Bei einer Public-Key-Infrastruktur (PKI) handelt es sich um eine Sicherheitsinfrastruktur, die Services für den sicheren Austausch von Daten zwischen Kommunikationspartnern bereitstellt. Mit Hilfe der PKI lassen sich Zertifikate und die Zugehörigkeit von öffentlichen Schlüsseln prüfen.
In einer Public Key Infrastructure (PKI) arbeiten privater und öffentlicher Schlüssel als sich ergänzendes Schlüsselpaar. Der öffentliche Schlüssel verschlüsselt Daten und der priavte Schlüssel entschlüsselt sie.
(Bild: SergeyNivens via Getty Images)
Die Abkürzung PKI steht für Public-Key-Infrastruktur und bezeichnet ein System, mit dessen Hilfe sich digitale Zertifikate ausstellen, verteilen und prüfen lassen. Dank der PKI ist der sichere und verschlüsselte Austausch und die Signatur von Daten im Internet möglich. Die Public Key Infrastructure stellt Services bereit, mit denen die Zugehörigkeit von öffentlichen Schlüsseln und die Echtheit von Zertifikaten zuverlässig überprüfbar ist. Zudem liefert die Public-Key-Infrastruktur Verzeichnisse zum Speichern von Zertifikaten oder von Zertifikatssperrlisten.
Die asymmetrische Verschlüsselung nutzt ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Die PKI sorgt mithilfe digital signierter Zertifikate dafür, dass die Echtheit des öffentlichen Schlüssels überprüfbar ist. Diese Zertifikate bilden eine Zertifikatskette, die bis zu einer vertrauenswürdigen Root-Zertifizierungsstelle (CA) zurückverfolgt werden kann.
Für die Verschlüsselung und Signatur von Daten nutzt die PKI das asymmetrische Verschlüsselungsverfahren. Dieses verwendet private und öffentlichen Schlüssel. Daten, die mit einem öffentlichen Schlüssel (Public Key) eines Kommunikationspartners verschlüsselt wurden, lassen sich nur mit dem geheimen privaten Schlüssel (Private Key) des gleichen Kommunikationspartners wieder entschlüsseln. Da die öffentlichen Schlüssel für jeden verfügbar sind, muss die Zugehörigkeit eines öffentlichen Schlüssels zweifelsfrei überprüfbar sein. Diese Aufgabe übernimmt die Public-Key-Infrastruktur. Sie stellt Zertifikate aus, mit denen die Authentizität des öffentlichen Schlüssels bestätigt wird.
Die digitalen Zertifikate selbst sind durch eine digitale Signatur der Zertifizierungsstelle (Certification Authority, CA) unterzeichnet und lassen sich mit dem öffentlichen Schlüssel des Ausstellers prüfen. Für die Überprüfung der Authentizität des Ausstellers benötigt man wiederum ein Zertifikat. Es entsteht eine Zertifikatskette, die bis zu einem Root-Zertifikat führt. Betriebssysteme und Browser besitzen in der Regel eine Liste mit vertrauenswürdigen CAs, anhand derer sich die Echtheit von Zertifikaten feststellen lässt.
In der Regel ist in der Public-Key-Infrastruktur eine streng hierarchische Vertrauensstruktur vorzufinden. Diese Struktur setzt die Existenz einer Root-CA (Wurzelzertifizierungsinstanz) voraus, der alle an der PKI teilnehmenden Instanzen vertrauen. In der Praxis existieren mehrere Root-CAs mit eigenen PKIs die länder- oder unternehmensspezifisch sein können. Die Zertifikate der Root-CA sind die so genannten Stammzertifikate und bilden den Ausgangspunkt eines hierarchischen Vertrauensbaums. Die Stammzertifikate der wichtigsten Root-CAs sind meist in Software wie Browsern oder in Betriebssystemen integriert. Der Schutz der Root-CA und ihres privaten Schlüssels ist für eine Public Key Infrastructure von höchster Bedeutung.
Ein zur hierarchischen Struktur konträres Vertrauensmodell stellt das Web of Trust – auch WoT oder Netz des Vertrauens genannt – dar. In diesem Modell sichern die gegenseitigen Signaturen (Bestätigungen) der verschiedenen Teilnehmer die Echtheit von digitalen Schlüsseln und Zertifikaten. Je mehr Signaturen einem Zertifikat hinzugefügt sind, desto vertrauenswürdiger ist das Zertifikat. Im Web of Trust übernehmen daher die vielen verschiedenen Teilnehmer die Rolle einer einzigen vertrauenswürdigen Instanz des hierarchischen Modells.
Eine Public Key Infrastructure aufzubauen ist komplex, doch möglich. Will man eine interne PKI aufbauen, muss man zuerst die entsprechenden Anwendungsbereiche definieren, dann das PKI-Zertifikat erstellen, CAs einrichten, die privaten Schlüssel sichern und warten.
1. Ziele und Anwendungsbereich definieren: Was soll mit der PKI abgesichert werden? Wer sollen die Zertifikatsinhaber sein? Welche Compliance-Anforderungen müssen beachtet werden?
2. Root-CA erstellen: Die Root Certificate Authority wird offline betrieben, das heißt, sie braucht keine Netzwerkverbindung. Sie wird nur verwendet, um die sogenannten Intermediate-Zertifikate zu erstellen. Diese sitzen zwischen dem Root-Zertifikat und dem Endnuzterzertifikat.
3. Privates Root-Schlüsselpaar erstellen: Das private Schlüsselpaar kann beispielsweise mit OpenSSL, EJBCA oder Microsoft CA erstellt werden. Daneben benötigt man das dazugehörige Root-Zertifikat.
4. Intermediate-CA aufsetzen: Die Intermediate-Zertifikate stellen die Endnutzerzertifikate aus. Sie werden mit dem privaten Schlüssel der Root-CA signiert.
5. Richtlinien definieren: Wer darf Zertifikate beantragen? Wie lange sind die Zertifikate gültig? Welche Identitätsprüfung soll erforderlich sein? Welche Verschlüsselungsalgorithmen und Schlüssellängen sollen verwendet werden?
6. Zertifikatsdienste einrichten: Im nächsten Schritt müssen die Registrierungsstelle, die Certificate Authority sowie eine Zertifikatssperrliste eingerichtet werden.
7. PKI-Software wählen: Es gibt verschiedene Software, mit der eine Public-Key-Infrastruktur aufgebaut werden kann. Bei der Auswahl einer Lösung sollten Sie darauf achten, dass sie sich an die spezifischen Anforderungen und Infrastrukturvorgaben ihres Unternehmens anpassen lässt.
8. Private Schlüssel absichern: Damit die PKI sicher ist, müssen auch die priavten Schlüssel vor Kompromittierung geschützt werden. Dafür sollten sie idealerweise in Hardware-Sicherheitsmodulen (HSM) gespeichert oder strikt offline gehalten sowie mit Zugriffskontrollen gesichert werden.
9. Zertifikate verteilen und prüfen: Steht die PKI, müssen die Zertifikate an Clients, Server und Gateways verteilt werden.
10. Wartung und Erneuerung: Die Ablaufdaten der Zertifikate müssen stets überwacht und gegebenenfalls erneuert werden. Außerdem sollten Sie Ihre PKI regelmäßig warten, um sicherzustellen, dass sie reibungslos funktioniert.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/09/6a/096ad833b4ff28862dfb18e0dc3ea094/0125079793v1.jpeg "Mittels eines privaten Schlüssels auf einem sicheren Token kann die Authentifizierung eines Benutzers passwortfei erfolgen. (Bild: Pointsharp)")
:quality(80)/p7i.vogel.de/wcms/a1/ea/a1ea3ad98c6ec9ccf1bd5be8445f940e/0121321420v1.jpeg "Die Bundesdruckerei arbeitet an neuen Methoden für eine Public-Key-Infrastruktur, die sicher vor Cyerbattacken mit Quantencomputern ist. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f91b6dae93d13f3f3b3210b659333ef/0120849979v1.jpeg "CERIAL (Certificate Enrollment and Renewal in Automated Lifecycle) ist eine kosten- und vertragsfreie Lösung für das Zertifikat-Lifecycle-Management. (Bild: © Abul – stock.adobe.com / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1442800/1442898/original.jpg "Die PKI ist tot, lang lebe die PKI! (Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a1/92/a192e07142edf48c56009ddf516fcca5/0115097902.jpeg "Ob Cloud-Migration, CA-Ablauf oder neue Anwendungsfälle – es gibt viele Gründe, die PKI-Strategie zu überdenken. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/6a/096ad833b4ff28862dfb18e0dc3ea094/0125079793v1.jpeg "Mittels eines privaten Schlüssels auf einem sicheren Token kann die Authentifizierung eines Benutzers passwortfei erfolgen. (Bild: Pointsharp)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6ffa4ee2503e5ba4c23eaae095d7d4/0125105677v1.jpeg "Mit check_cert lassen sich SSL/TLS-Zertifikate bis ins Detail prüfen – von Laufzeiten über Signaturverfahren bis hin zu Aussteller-Details. (Bild: Lang | Checkmk)")