Die Implementierung einer Public Key Infrastructure (PKI) mit dem Kauf einer elektrischen Zahnbürste zu vergleichen, erscheint zunächst absurd.
Doch haben beide mehr gemein als man denkt. Denn beide sind der De-Facto-Standard in ihren Disziplinen. Wer seine Zähne besonders gründlich pflegen will, greift zur „Elektrischen“. Und wer im Unternehmen auf „Nummer Sicher“ gehen möchte, greift zu einer PKI.
Starke Authentifizierung, Datenverschlüsselung und digitale Signaturen sind die wesentlichen Funktionen, die mit einer PKI umgesetzt werden. Das Ziel: die Sicherheit im Unternehmen erhöhen.
Auf die Technik kommt es an
Wer sich für eine elektrische Zahnbürste entscheidet, will die Zahnhygiene verbessern. Aber der Kauf alleine sorgt nicht automatisch für gesündere Zähne. Denn auf die richtige Technik kommt es auch mit der „Elektrischen“ an!
Wer die Zahnbürste nur einmal in der Woche benutzt, wird nicht strahlender lächeln. Und wer die Bürste zu fest aufs Zahnfleisch drückt, tut den Zähnen ebenfalls keinen Gefallen.
Eine PKI alleine bedeutet nicht mehr Sicherheit
So verhält es sich auch mit einer Public Key Infrastructure. Eine PKI alleine erhöht im Unternehmen nicht automatisch die Sicherheit.
Innerhalb einer PKI sorgen digitale Zertifikate für die Vertrauenswürdigkeit von Identitäten. Sie stellen sicher, dass sowohl Menschen, Geräte und auch Software sicher miteinander kommunizieren können. Sie alle besitzen ein digitales Zertifikat, dass die jeweilige Identität verlässlich bestätigt.
Ein digitales Zertifikat „lebt“
Doch mit der Bereitstellung von digitalen Zertifikaten durch eine sogenannte Certification Authority (CA) ist es nicht getan. Denn Zertifikate „leben“:
- Sie werden erstellt.
- Sie werden verteilt.
- Sie werden verwendet.
- Sie werden erneuert.
- Sie werden ungültig.
Der Lebenszyklus digitaler Zertifikat muss durch ein Zertifikatsmanagement durchgängig und nachvollziehbar verwaltet werden. Dafür benötigen Unternehmen zum einen die technische Basis und die notwendigen Prozesse und Richtlinien!
Benötigt wird eine Lösung für das Identity and Access Management
Damit eine PKI funktioniert wie gewünscht, benötigen Unternehmen eine verlässliche Lösung für das Identity and Access Management (IAM). Eine solche Lösung ermöglicht unter anderem:
- die zentrale Verwaltung sämtlicher im Unternehmen eingesetzter Zertifikate,
- automatische Benachrichtigungen über demnächst ablaufende Zertifikate,
- die Speicherung und Ausgabe von Zertifikaten auf verschiedenen Medien wie beispielsweise Smartcards oder Hardware-Tokens., Software-Tokens oder virtuellen Smartcards.
Fazit: Eine PKI alleine erhöht nicht die Sicherheit im Unternehmen. Um von ihr zu profitieren, wird zum einen eine verlässliche IAM-Lösung benötigt. Des weiteren sind Prozesse und Richtlinien notwendig, um digitale Zertifikate durchgängig über den gesamten Lebenszyklus zu verwalten.