PKI Service Center

Ermittlung der Rahmenbedingungen

Zunächst sollten die Schutzziele des Unternehmens formuliert und die inhaltlichen Anforderungen der einzelnen PKI-relevanten Anwendungsfälle zusammengestellt werden, von denen im Folgenden einige typische auszugsweise genannt seien: 

  • E-Mail-Kommunikation
    Die Absicherung dieses Standardeinsatzgebiets erfolgt durch signierte und verschlüsselte E-Mails.

  • Authentisierung
    Die PKI-basierte Authentisierung von Mitarbeitern gegenüber Web-Anwendungen oder bei Logins bietet im Verhältnis zur passwortbasierten Authentisierung ein höheres Sicherheitsniveau und eine verbesserte Benutzerfreundlichkeit.

  • Sichere Dokumentenablage
    Die sichere Ablage vertraulicher Inhalte führt zu Festplatten- oder Dokumentenverschlüsselung, die auch zertifikatsbasiert aufgesetzt werden kann. Soll darüber hinaus die Integrität der abgelegten Daten gewährleistet werden, so sind zusätzlich Dokumentsignaturen erforderlich. Dieser Anwendungsfall kann stufenweise ausgebaut werden, bis hin zur Kombination von Signaturen und Zeitstempeln für die revisionssichere Archivierung elektronischer Daten über lange Zeiträume.

  • IT-Infrastruktur
    Eine PKI wird auch für die Absicherung der IT-Infrastruktur anhand von Zertifikaten für Web- und E-Mail-Server, Domain-Controller, VPN etc. benötigt.

  • Code-Signing
    Schließlich setzt man die Zertifikate zum Code-Signing im Kontext von Softwareentwicklung und Content-Angeboten ein, z. B. für Makros, Gerätetreiber, Virenupdates, Konfigurationsdateien o.ä.

Gegebenenfalls können Signaturen oder Verschlüsselung für weitere unternehmensspezifische,
Nicht-Standardanwendungen sinnvoll sein.

Geschäftsprozesse

Weitere Randbedingungen für die PKI können sich gerade in größeren Unternehmen durch die bilaterale Integration von Unternehmensprozessen und der PKI ergeben Eine frühzeitig geplante enge Verzahnung ermöglicht kostenreduzierende Synergie-Effekte.

Einerseits wird die PKI zur Absicherung der Geschäftsprozesse genutzt. Wo Unterschriften gefordert sind, ermöglichen Zertifikate eine weitreichende Digitalisierung von Workflows ohne lästige Medienbrüche und gewähren Vertraulichkeit, wenn notwendig. Das unternehmensinterne Identitätsmanagement kann zertifikatsbasiert aufgebaut werden. Andererseits kann die Nutzung des Personalsystems für die Registrierung der Zertifikatsnehmer und die Identitätsprüfungen sinnvoll sein. Die Registrierungsstellen einer PKI benötigen für die eindeutige Zuordnung von Zertifikaten die Personenstammdaten, diese Informationen können aus dem Personalsystem des Unternehmens gezogen werden. Auch ein bereits vorhandener Verzeichnisdienst kann für den PKI-Betrieb genutzt werden, z. B. um Zertifikate zu veröffentlichen oder Daten aus dem Verzeichnisdienst für die Erstellung der Zertifikate zu verwerten.

Schließlich ist die Einbeziehung der Roadmap für zukünftige Prozesse und IT-Anwendungen in die PKI-Planung obligatorisch, um die Voraussetzung für eine zukunftssichere PKI zu schaffen. Nachträgliche Anpassungen von grundlegenden Eigenschaften einer PKI führen meist zu beachtlichem Aufwand. Muss beispielsweise das Zertifikatsprofil verändert werden, um einen neuen Anwendungsfall abzudecken, so sind im schlechtesten Falle alle ausgegebenen Zertifikate zu ersetzen. Das bedeutet nicht nur für das PKI-Team erheblichen zusätzlichen Aufwand, sondern auch für jeden einzelnen Zertifikatsnehmer und eventuell sogar für externe Kommunikationspartner.

Wichtige Aspekte für das PKI-Design

Im Vorfeld der PKI-Entscheidung sollte die Kommunikation mit externen Partnern, Kunden, Lieferanten und insbesondere öffentlichen Stellen analysiert werden, da sich zusätzliche Anforderungen an Infrastruktur, Zertifikatsprofil oder die einzusetzende Soft- und Hardware ergeben können. Es muss recherchiert werden, ob wichtige Kommunikationspartner bereits Zertifikate einsetzen und inwiefern Kompatibilität mit diesen ein vorrangiges Ziel ist. Ist es für ein Unternehmen wichtig, signierte E-Mails an Kunden oder Partner zu versenden, oder ist geplant, Web-Anwendungen mit SSL/TLS-Zertifikaten nach außen anzubieten, so sind sorgfältige Vorüberlegungen angebracht:

  • Root
    Zertifikate aus einer PKI, deren Wurzel-Zertifikat (Root) nicht in den aktuellen Browsern bzw. Mail-Clients integriert ist, führen zu irritierenden und missverständlichen Warnmeldungen bei https-Verbindungen oder Signatur-Prüfungen. Über das tatsächliche Sicherheitsniveau der eingesetzten Zertifikate oder der Verbindung sagt eine solche Warnmeldung nichts aus. Das Sicherheitsniveau kann sehr gut sein – nur ist dies nicht überprüfbar. Diese Warnmeldungen, mit denen der Kommunikationspartner konfrontiert wird, und die auf eine potentiell unsichere Kommunikation hinweisen, kann man vermeiden, indem die Zertifikatskette der eingesetzten Zertifikate zu einem in den gängigen Browsern bzw. Mail-Clients bereits integrierten Root führt. Das heißt, entweder bezieht das Unternehmen seine Zertifikate direkt bei einem Trustcenter, dessen Root in den Browsern enthalten ist, oder man strebt die Verkettung der eigenen PKI mit einem solchen Root an. Einer Verkettung geht im Allgemeinen eine aufwändige Evaluierung voraus. Die Verifizierung des eigenen Zertifikates findet erst bei einer derartigen Verkettung für den Kommunikationspartner transparent statt und es wird dann – wie gewünscht – lediglich angezeigt, dass es sich um eine sichere Verbindung handelt.

  • Rechtslage
    Für das Design der passenden PKI kann weiterhin die Rechtsverbindlichkeit der einzusetzenden elektronischen Signaturen eine Rolle spielen. Benötigt das Unternehmen qualifizierte elektronische Signaturen gemäß Signaturgesetz (SigG)1 oder sind fortgeschrittene oder gar einfache Signaturen ausreichend für die in der IST-Analyse und in der Roadmap ermittelten Anwendungsfälle? In bestimmten Kontexten wird eine qualifizierte Signatur gefordert, z.B. als Ersatz für die gesetzlich vorgeschriebene Schriftform, wenn die handschriftliche Unterschrift in einem Online-Verfahren ersetzt werden soll bei gleichbleibender Rechtsverbindlichkeit. Verschlüsselung kann ebenfalls für bestimmte Anwendungsfälle vorgeschrieben sein, z.B. aus Gründen des Datenschutzes bei der Übertragung personenbezogener Daten. Im Zweifelsfall sollte juristischer Rat eingeholt werden.

 Wahl des Betreibers

Generell gilt, je kleiner ein Unternehmen, je geringer die Anzahl an Mitarbeitern, die ein Zertifikat benötigen, desto weniger lohnt es, eine eigene PKI zu betreiben. Es gibt eine Reihe von Anbietern, bei denen digitale Zertifikate eingekauft werden können – auf verschiedenen Sicherheitsniveaus zu unterschiedlichen Preisen.

Werden Zertifikate nur sporadisch oder für eine überschaubare Anzahl von Standard-Einsatzzwecken genutzt, sollte auf die Trustcenter und Zertifizierungsdienste der etablierten Anbieter zurückgegriffen werden, da der sichere Betrieb einer eigenen PKI mit guter Verfügbarkeit und akzeptabler Benutzbarkeit recht aufwändig ist. Alternativ kann die zukünftige PKI unternehmensintern betrieben werden. Dies erfordert zwar einiges an Know-how und Investitionen, lohnt sich aber durchaus, wenn entweder die externen Trustcenter spezielle Anforderungen nicht erfüllen oder eine große Menge an Zertifikaten benötigt wird. Eine Mischform bietet das Outsourcen der firmeneigenen Public-Key-Infrastruktur an einen externen Betreiber. Hier müssen jeweils genaue Kosten-Nutzen-Analysen im Vorfeld durchgeführt werden. Auf keinen Fall sollte man sich dazu verleiten lassen, eine kostengünstige Lösung unprofessionell selbst zu betreiben, es sei denn, man nimmt deutliche Abstriche bei der Sicherheit in Kauf. Auch hier gilt: Das schwächste Glied in der Kette bestimmt das Sicherheitsniveau.