PKI ist tot, lang lebe PKI!

Vier Irrtümer zur Public Key Infrastructure

| Autor / Redakteur: Terrie Anderson / Peter Schmitz

Die PKI ist tot, lang lebe die PKI!
Die PKI ist tot, lang lebe die PKI! (Bild: Pixabay / CC0)

Eine Public Key Infrastruktur (PKI) gilt unter IT-Experten oft als veraltet, kompliziert und teuer und wird gerne bereits für tot erklärt. Aber PKI ist noch lange nicht tot! Im Gegenteil, das PKI-Management lebt und wird in Zeiten vonCloud, IoT, DevOps und Blockchain zu einem immer wichtigeren Bestandteil jedes Sicherheitsprogramms.

Viele Sicherheitsspezialisten, IT-Fachkräfte, Führungskräfte oder vorgebliche Experten halten an dem Irrglauben fest, dass die Zeiten der Public Key Infrastructure (PKI) vorbei sind. In diesen Kreisen gibt es die Vorstellung, dass es sich um eine veraltete Technologie handelt und wir über sie hinausgewachsen sind. Nichts könnte weiter von der Wahrheit entfernt sein. Die PKI ist immer noch in der Entwicklung und wird immer wichtiger werden, wenn wir nach leicht skalierbaren Möglichkeiten suchen, um die Kommunikation über die explosionsartig steigende Menge neuer Maschinen und Anwendungen hinweg zu verwalten und zu sichern. Insbesondere vier Annahmen, die im Folgenden widerlegt werden sollen, stehen der Akzeptanz der PKI entgegen.

Irrtum 1: PKI-Technologie ist von gestern und nicht mehr relevant

Das Problem bei der Bereitstellung einer PKI ist, dass es keinen geeigneten Ersatz gibt. Statt weniger relevant zu werden, steigt die Relevanz an, weil Unternehmen immer mehr Cloud- und DevOps-Infrastrukturen einsetzen. Beide Technologien benötigen eine große Anzahl von Zertifikaten, die nur für kurze Zeiträume genutzt werden. Welche anderen Technologien gibt es, die effektiv authentifizieren und überprüfen können, dass die Daten nicht verändert wurden, und gleichzeitig nur wenige Cent kosten? Es gibt keine. Niemand war bisher in der Lage, eine Alternative zu entwickeln, die so allgegenwärtig, einfach zu implementieren und kostengünstig ist.

Irrtum 2: PKI ist eine kleine Technologie für das Back Office

Zugegeben, PKI wurde für einen bestimmten Zweck erstellt, ehe es lange Zeit ruhig um sie wurde, sie unauffällig im Hintergrund benutzt wurde und niemand viel darüber nachgedacht hat. Vor 4 oder 5 Jahren begann dann eine neue Entwicklung, die man als PKI 2.0 bezeichnen kann. Auf einmal wurden Zertifikate auf Chipkarten und anderen Geräten verwendet, um sowohl Menschen als auch Maschinen – die nicht-menschlichen Akteure im Netzwerk – zu identifizieren, und jetzt haben wir eine explodierende Zahl von IoT-, virtuellen, Cloud- und DevOps-Maschinen, die alle eine einzigartige Identität benötigen. Jede dieser relativ kurzlebigen Maschinen benötigt eine Möglichkeit, sich gegenüber anderen Maschinen zu authentifizieren, damit sie sicher kommunizieren können. Die PKI ist immer noch die einzige Möglichkeit, dieses Chaos zu kontrollieren.

Irrtum 3: PKI ist zu kompliziert, um effektiv zu sein.

Wer kein Freund der PKI ist, hat vielleicht deshalb Angst davor, weil sie sehr tief und kompliziert erscheint. Das ist es aber nicht. Aber weil es für den Menschen so aussieht, gibt es diese Fehleinschätzung. Wer etwas tiefer gräbt, wird feststellen, dass nicht die zugrunde liegende PKI-Technologie problematisch ist, sondern die Verwaltung der PKI-Assets (oder Schlüssel und Zertifikate). Das Problem ist, dass die meisten Unternehmen diese kritischen Sicherheitsressourcen überhaupt nicht verwalten und als Folge des Mangels an grundlegender Kontrolle, benötigen sie bei Zertifikatsproblemen große Mengen an knappen, hoch qualifizierten Ressourcen und die Dinge werden stressig. Es ist relativ einfach, all diese Schwierigkeiten zu vermeiden und die PKI erheblich zu vereinfachen, indem die Verwaltung und der Workflow des Zertifikatslebenszyklus automatisiert werden. Das ist nicht annähernd so schwierig, wie es sich die Verantwortlichen in der Regel vorstellen; ein besseres Verständnis der Ursache der wahrgenommenen Herausforderung würde eine enorme Menge an Verwirrung, Frustration und öffentlicher Verlegenheit beseitigen.

Irrtum 4: PKI ist ein administratives Werkzeug, keine Sicherheitstechnologie

Führungskräfte empfinden PKI-Kosten oft als unangenehm, bis sie merken, dass sie durch die Nichtverfolgung von Maschinenidentitäten das Geschäft buchstäblich lahmlegen könnten. Nicht verwaltete Maschinenidentitäten können sich auf zwei Arten auf Ihr Unternehmen auswirken: erstens durch einen unerwarteten Incident, der dazu führt, dass Geschäftsprozesse unterbrochen werden und aus der Sicht eines externen Benutzers wie ein ernsthafter Sicherheitsvorfall aussieht. Zweitens, durch eine tatsächliche Gefährdung, die aber sehr ernst ist. Wenn ein Zertifikat und die dazugehörigen Schlüssel gestohlen werden, können Angreifer sie benutzen, um vertrauenswürdig zu erscheinen. Sie können sich dann völlig unbemerkt im Netzwerk des betroffenen Unternehmens bewegen und alle möglichen Dinge tun, an die niemand denken will, und die Sicherheitskontrollen werden sie in der Regel nicht erkennen. Ein effektives Management der PKI mildert das Risiko deutlich.

Wie geht es in Zukunft weiter?

PKI ist noch lange nicht tot - das PKI-Management lebt und wird zu einem immer wichtigeren Bestandteil jedes Sicherheitsprogramms und ist bereits Teil des IT-Audits. Private Schlüssel werden sogar Teil der Sicherung der meisten Blockchain-Technologien sein. Die explosionsartige Zunahme von Maschinen in all ihren externen Umgebungen bedeutet, dass es eine atemberaubende Menge von Schlüsseln und Zertifikaten auf dem Markt gibt. Es ist wichtig, dass der Sicherheitsverantwortliche in jedem Unternehmen genau weiß, wo sie alle sind. Aber das ist nicht alles – es muss auch bestätigt werden, dass sie dort sind, wo sie sein sollten, und dass sie in keiner Weise kompromittiert wurden, was zu einem Sicherheitsvorfall oder einer Gefährdung führen könnte. Wer seine PKI nicht aktiv verwaltet, wird das auf die harte Tour lernen, denn Analysten sagen voraus, dass Angreifer heute verstärkt auf Schlüssel und Zertifikate abzielen. Die PKI ist also auf lange Sicht lebendig und sie kann ein guter Freund oder ein erbitterter Widersacher werden.

Über den Autor: Terrie Anderson ist Regional Director APAC bei Venafi.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45462354 / Blockchain, Schlüssel und Zertifikate)