PKI

PKI - Die versteckten Kosten von nachlässigem Schlüsselmanagement

, Keyfactor | Autor: Herbert Wieler

PKI - Die versteckten Kosten von nachlässigem Schlüsselmanagement

Von Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

Wenn ein Unternehmen im 21. Jahrhundert wächst, dann nicht nur physisch, sondern auch digital. Und mit dieser digitalen Expansion wächst automatisch auch die Public Key Infrastructure (PKI). Doch genau hier liegt ein oft unterschätztes Problem: Viele Unternehmen nehmen das Management ihrer PKI nicht wirklich ernst, verschieben Investitionen und schieben eine Professionalisierung immer wieder auf die lange Bank.

Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

Statt ein spezialisiertes PKI-Team aufzubauen, landen die Aufgaben rund um Zertifikate oft bei Mitarbeitenden verschiedenster IT-Abteilungen – verteilt, weitergereicht, manchmal auch komplett ohne klare Zuständigkeit. Die Folge: Der Überblick geht verloren. Zertifikate laufen unbemerkt ab, kompromittierte Zertifikate werden nicht widerrufen, und neue Zertifikate entstehen mitunter ohne Wissen oder Freigabe der eigentlichen Verantwortlichen.

Hinzu kommt: In vielen Unternehmen wird PKI-Management immer noch mit Bordmitteln betrieben. Statt professioneller Tools kommen Excel-Tabellen, Google Calendar, Snipe-IT, eigene PowerShell-Skripte, IT Glue oder sogar Helpdesk-Tickets zum Einsatz. Kurzfristig mag das funktionieren – langfristig bringt es Teams aber schnell an ihre Grenzen. Denn während die Lebensdauer von Zertifikaten stetig kürzer wird, steigt die Anzahl an Zertifikaten im Unternehmen unaufhörlich. Das Ergebnis: ein gefährlicher Nährboden für Fehler, Stress und Missmanagement.

Und dieses Missmanagement, es kann, tritt dann einmal ein Schadensfall ein, rasch erhebliche Kosten zur Folge haben: 

  • Direkte Kosten (unmittelbare und messbare Verluste): Wenn ein Schlüssel oder Zertifikat abläuft oder falsch konfiguriert ist, können wichtige Systeme, wie Websites, APIs, VPNs oder Authentifizierungsdienste, ausfallen. Interne Teams können den Zugriff auf Tools, Dateien oder Arbeitsabläufe, die mit abgelaufenen oder widerrufenen Schlüsseln verbunden sind, verlieren. Bis das Problem behoben ist, steht die Arbeit in den betroffenen Bereichen dann still. Zudem binden die Maßnahmen zur Behebung des Problems zahlreiche hochspezialisierte Mitarbeiter – oder erzeugen, sofern professionelle Dienstleister engagiert werden, erhebliche externe Kosten. 
  • Indirekte Kosten (Längerfristige Auswirkungen auf das Geschäft): Nicht verfolgte oder missbräuchlich verwendete Schlüssel verstoßen gegen zahlreiche Sicherheits- und Datenschutzvorschriften wie PCI-DSS, HIPAA oder GDPR. Bußgelder können die Folge sein. Außerdem können Kunden, Investoren und Partner schlecht verwaltete Schlüssel, abgelaufene Zertifikate und Ausfälle als Anzeichen einer schwachen Sicherheitshygiene interpretieren. Viel Vertrauen kann hier unnötig verspielt werden. 
  • Opportunitätskosten (entgangene strategische Vorteile): Die manuelle Handhabung von Zertifikaten ist eine der Hauptursachen für die schlechte Verwaltung öffentlicher Schlüssel. Sie verlangsamt CI/CD-Pipelines und Cloud-Einführungen. Ingenieure müssen ihre kostbare Zeit damit verschwenden, Zertifikate zu erneuern, Keystores ausfindig zu machen und PKI-Probleme zu debuggen – anstatt Code zu schreiben oder neue Funktionen zu entwickeln. 

Um das Risiko PKI-bezogener Schadensfälle so gering wie möglich zu halten, hilft nur: Zentralisierung, Automatisierung und Agilisierung der gesamten PKI. Am einfachsten lässt sich dies über einen modernen PKI-Verwaltungsservice  realisieren. Eine zentralisierte PKI ermöglicht eine rasche Reaktion bei Vorfällen und verringert das Risiko, dass nicht verfolgte Zertifizierungen oder nicht verwaltete Schlüssel in CI/CD-Pipelines gelangen. Eine Automatisierung der Ausstellung, Erneuerung und Sperrung von Zertifikaten spart menschliche Arbeitskräfte ein, reduziert das Risiko menschlicher Fehler bei repetitiven Aufgaben und hilft, konsistente Richtlinien durchzusetzen, schwache Konfigurationen zu eliminieren und die allgemeine kryptografische Hygiene in verschiedenen Umgebungen anzuheben. Und mit einer agilen PKI schließlich, lassen sich fundamentale Richtlinienänderungen hinsichtlich der Algorithmen (Stichwort PQC) schneller und unkomplizierter umsetzen.