Die Public Key Infrastruktur – kurz: PKI

Schlüssel_Digitale Signatur

In diesem Beitrag wollen wir Ihnen die wichtigsten Fragen zum Thema PKI beantworten: Was ist eine PKI und wofür benötige ich sie? Aus welchen Komponenten besteht eine PKI? Was sind die Vor- und Nachteile einer eigenen PKI gegenüber der Inanspruchnahme einer entsprechenden Dienstleistung? Worauf ist bei der Einführung und dem Betrieb eines solchen Systems zu achten?

Inhalt:

  1. Was ist eine PKI?
  2. Aus welchen Komponenten besteht eine PKI?
  3. Wofür braucht man eine PKI?
  4. Wer braucht eine eigene PKI?
  5. Wie implementiert und betreibt man eine PKI?

Was ist eine PKI? Definition und Grundlagen.

Der Bedarf an Lösungen, die die Vertraulichkeit, Integrität und Authentizität von Daten sicherstellen, ist in den letzten Jahren rasant gestiegen. Unternehmen haben die potenziellen Bedrohungen erkannt und wissen, dass der Schutz unternehmensrelevanter Daten höchste Priorität hat. Dabei existiert für jeden Schutzbedarf eine adäquate Lösung: So werden Daten verschlüsselt, um ihre Vertraulichkeit sicherzustellen oder aber elektronische Unterschriften verwendet, um die Integrität zu wahren.

Die meisten Verfahren in der IT-Sicherheit haben eine Gemeinsamkeit: sie benötigen Schlüssel. Und zumindest ein Teil jedes Schlüssels muss in der Regel geheim gehalten werden, damit die Verfahren funktionieren. Gleichzeitig gibt es aber auch einen öffentlich bekannten Teil des Schlüssels, bei dem einwandfrei beweisbar sein muss, zu welcher Person und damit zu welchem geheimen Schlüssel der öffentliche Teil gehört. Dafür wird der öffentliche Teil des Schlüssels – oder kurz der „öffentliche Schlüssel“ – von einer vertrauenswürdigen Stelle geprüft und dessen Zugehörigkeit zu dem geheimen – dem „privaten“ – Schlüssel und dem Schlüsselinhaber bestätigt. Man spricht hierbei von einer „Zertifizierung“ des Schlüssels.

Eine PKI stellt sämtliche technischen, organisatorischen und physikalischen Faktoren zur Verfügung, die für eine solche Schlüsselerzeugung und Zertifizierung benötigt werden. Allein daraus lässt sich schon ableiten, dass der Aufbau und Betrieb einer PKI eine komplexe und höchst individualisierbare Angelegenheit ist.

Woraus besteht eine PKI? Die Komponenten.

Eine PKI besteht in der Regel aus mehreren technischen Komponenten sowie vielfältigen organisatorischen Maßnahmen, die die Sicherheit und Funktionsfähigkeit des Systems gewährleisten.

Die technischen Komponenten einer PKI umfassen unter anderem

  • eine Einheit zur Schlüsselerzeugung,
  • eine Einheit zur Zertifizierung öffentlicher Schlüssel,
  • eine Einheit zur Veröffentlichung der erstellten Zertifikate und etwaiger Sperrlisten.

Je nach Bedarf und Einsatzszenario können weitere Komponenten hinzukommen.

Das Kernstück einer PKI ist die Zertifizierungskomponente. Sie wird häufig auch als Trustcenter bezeichnet, da sie die vertrauenswürdige Instanz ist, die die Echtheit der Schlüssel bestätigt. Es versteht sich von selbst, dass diese Zertifizierungsstelle einen besonderen Schutzbedarf hat.

Die organisatorischen Maßnahmen sind in der Regel in Form von Policies und Prozessbeschreibungen festgelegt und regeln,

  • wer die Berechtigung hat, die einzelnen Teile der PKI zu nutzen.
  • wie die Schlüsselerzeugung abläuft.
  • auf welchem Wege ein Zertifikat zu einem öffentlichen Schlüssel beantragt werden kann.
  • wie Schlüssel und Zertifikate verteilt werden.
  • viele weitere Details, die gewährleisten, dass das System reibungslos und sicher funktioniert.

Wofür braucht man eine PKI? Einsatzszenarien.

Eine PKI ist immer nur Mittel zum Zweck – sie wird gebraucht, um andere Prozesse zu unterstützen und abzusichern. Sie stellt die Grundvoraussetzungen dafür zur Verfügung, dass Daten verschlüsselt, digital unterschrieben, mit Zeitstempeln versehen oder anderweitig geschützt werden können.

PKIen sind in der IT-Landschaft an vielen Stellen im Einsatz – manchmal sogar, ohne dass der Benutzer es überhaupt bemerkt. Ein Beispiel hierfür ist die Benutzerverwaltung von Windows, die auf PKI-Methoden basiert. Und auch unsere eigenen Produkte arbeiten mit einer PKI: sei es einer integrierten PKI, die Sie auf den ersten Blick als solche gar nicht erkennen – wie im Falle von fideAS® file enterprise – oder mit Schlüsseln einer externen PKI wie in fideAS® health.

Sven-Torsten Scherz

Sven-Torsten Scherz

Produktmanager
1847

Wir von apsec verfügen über jahrelange Erfahrung in der Konzeption, Entwicklung und Integration von PKIen.

Nutzen Sie unser Wissen

Eigene PKI oder Dienstleistung? Vor- und Nachteile.

Dass der Aufbau und Betrieb einer PKI keine ganz einfache Sache ist, ergibt sich aus den vielfältigen Anforderungen und Variationsmöglichkeiten, die weiter oben bereits kurz beschrieben wurden. Für viele Unternehmen stellt sich daher die Frage, ob der Betrieb einer eigenen PKI sinnvoll und wirtschaftlich rentabel ist. Umgekehrt muss aber auch beleuchtet werden, ob es geeignete Alternativen gibt.

Im Bereich der IT-Sicherheit gibt es diverse Anbieter, die die Zertifizierung von Schlüsseln als Dienstleistung anbieten und damit als Trustcenter auftreten. Abhängig vom Anbieter und von den geplanten Einsatzszenarien bieten diese Trustcenter teilweise die Abwicklung der gesamten Prozesskette an, die von der Erzeugung des Schlüssels auf einem sicheren Medium, z.B. einer Smartcard, über die Zertifizierung bis hin zur gesamten Verwaltung reicht.

Ein Unternehmen, das den Aufbau einer PKI in Erwägung zieht, sollte zunächst prüfen, wofür die Schlüssel und Zertifikate in Zukunft eingesetzt werden sollen. In diesem Zusammenhang ist es besonders wichtig, mögliche Synergieeffekte zu nutzen und alle Prozesse zu identifizieren, in denen Schlüssel und Zertifikate zum Einsatz kommen. Nach dieser Analyse kann erarbeitet werden,

  • ob ein Dienstleister alle identifizierten Anforderungen erfüllen kann.
  • ob aufgrund des Umfangs der geplanten PKI eine Dienstleistung oder ein Eigenbetrieb wirtschaftlich rentabler ist.
  • welches der beiden Szenarien von den übrigen Rahmenbedingungen begünstigt wird.

Rahmenbedingungen können in diesem Zusammenhang zum Beispiel die erforderliche Flexibilität, Skalierbarkeit und das Sicherheitsbedürfnis sein. Eine eigene PKI lässt sich weitaus flexibler an individuelle Anforderungen anpassen. Andererseits erfordert sie auch ein höheres Maß an Aufwand, der sich in der Regel erst ab einer bestimmten Größe der Lösung rechnet.

Wie betreibt man eine PKI? Implementierung und Betrieb.

Die vorangegangenen Abschnitte haben es bereits erläutert: der erfolgreiche Aufbau und Betrieb einer PKI erfordert zuallererst ein gutes und dem Zielszenario angepasstes Konzept. Dementsprechend ist bei der Planung die Konzeptionsphase von besonderer Wichtigkeit. Die geplanten Einsatzszenarien sollten dabei genauso sorgfältig dokumentiert werden wie Lasten- und Pflichtenhefte sowie Spezifikationen. Auch ein belastbares Betriebskonzept sollte erstellt werden. Hierbei empfiehlt es sich, die Beratung von Experten in Anspruch zu nehmen, die die erforderlichen Dokumente sowohl in ihrer Entstehung begleiten als auch abschließend prüfen können.

Im Betrieb sind regelmäßige Audits und Revisionen ebenfalls von Bedeutung, um eine gleichbleibende Sicherheit des Systems zu gewährleisten. Hierbei muss zum einen verifiziert werden, ob vorhandene Sicherheits-Policies und Prozessvorgaben eingehalten werden. Zum anderen muss regelmäßig überprüft werden, ob aufgrund geänderter Anforderungen oder sicherheitstechnischer Veränderungen Anpassungen und Aktualisierungen notwendig sind.

Ansprechpartner

Veronika Röthel

Veronika Röthel

Beraterin für Informationssicherheit
1841

Unsere Verschlüsselungslösungen

Jetzt informieren

Fazit zur Public Key Infrastruktur

  • Eine PKI liefert Ihnen die notwendige Infrastruktur für die sichere Verteilung und Nutzung von elektronischen Schlüsseln und Zertifikaten in Ihrem Unternehmen.
  • Der erfolgreiche Aufbau und Betrieb einer PKI erfordert eine Vielzahl von technischen und organisatorischen Maßnahmen.
  • Die Vor- und Nachteile des Betriebs einer eigenen PKI gegenüber der Schlüsselerzeugung und -zertifizierung durch einen Dienstleister sollten sorgfältig geprüft werden. Eine eigene PKI bietet mehr Flexibilität und stärkere Eigenkontrolle der Sicherheit, erfordert aber auch einen gewissen Aufwand, der unter Umständen erst ab einem höheren Umfang wirtschaftlich rentabel ist.
  • Sorgfältige Konzeptionierung und regelmäßige Überprüfungen sind wichtig für die nachhaltige Sicherheit einer PKI.