Die digitale Bedrohungslage verschärft sich kontinuierlich, denn die Cyberkriminalität nimmt zu und die Angriffe werden immer raffinierter. Gleichzeitig steigen die regulatorischen Vorgaben in zahlreichen Branchen – so etwa durch die NIS2-Richtlinie oder der Digital Operational Resilience Act(DORA) und die Organisationen sind gefordert, entsprechende Sicherheitsstandards zu implementieren. Besonders in regulierten Branchen sind klassische Authentifizierungsverfahren oft nicht mehr ausreichend. Public Key Infrastructure (PKI) setzt hier Maßstäbe für eine zentrale, zuverlässige und skalierbare sowie weniger anfällige Authentifizierungslösung.
Foto: Pointsharp
Matthias Kess ist Head of Product Management bei Pointsharp ( www.pointsharp.com ) und verantwortet die Produktstrategie des Unternehmens. Seit 1998 ist er in der IT tätig, zunächst als Consultant bei IBM, bevor er 2007 ins Produktmanagement wechselte.
Foto: Pointsharp
Der eingesteckte Token dient als physischer Träger des privaten Schlüssels zur Authentifizierung mit dem Smartphone.
Foto: Pointsharp
Mittels eines privaten Schlüssels auf einem sicheren Token erfolgt die Authentifizierung passwortfei.
Laut dem aktuellen BSI-Lagebericht nimmt die Cyberbedrohung für Unternehmen, Behörden und kritische Infrastrukturen im DACH-Raum weiter zu: Angreifer nutzen gezielt Schwachstellen in Netzwerken und IT-Systemen aus, um sensible Daten zu stehlen oder ganze Infrastrukturen lahmzulegen. Für Organisationen ist es daher besonders wichtig, Sicherheitsvorkehrungen zu treffen, um den Geschäftsbetrieb aufrechtzuerhalten und wertvolle Assets vor Unbefugten zu schützen. Allgemeine und branchenspezifische Vorschriften unterstützen dabei, die Sicherheitsstandards kontinuierlich zu erhöhen. Klassische Maßnahmen wie Passwortrichtlinien und Multifaktor-Authentifizierung, beispielsweise per SMS-Codes, sind hier bereits Mindestanforderungen. Für ein Höchstmaß an Sicherheit – etwa im Gesundheitswesen, dem öffentlichen Sektor, der Industrie oder im Bereich kritischer Infrastrukturen – geht der Trend immer mehr in Richtung passwortfreier, zertifikatsbasierter Authentifizierung – und das aus guten Gründen.
Selbst komplexe Passwörter stellen nicht immer ein Hindernis für moderne Cyberangriffe dar: Sie können durch Phishing, Brute-Force-Attacken oder Credential Stuffing kompromittiert werden. Sogar bei einigen Mehrfaktor-Authentifizierungsverfahren bleiben Schwachstellen – beispielsweise dann, wenn unsichere Faktoren wie SMS-TANs oder statische OTPs (One-Time Passwords) zum Einsatz kommen. Abhilfe schafft hier eine Public-Key-Infrastruktur (PKI), die eine starke, zertifikatsbasierte Authentifizierung bietet und es Nutzern ermöglicht, sich zuverlässig zu verifizieren, Daten zu verschlüsseln und digitale Signaturen zu erstellen. Man stelle sich dies wie einen digitalen Reisepass vor: Wer einreisen möchte, zeigt an der Grenze seinen Pass vor, in dem eine Ausstellungsbehörde die Identität bestätigt. Der Grenzbeamte überprüft den Pass, stellt sicher, dass er gültig und nicht manipuliert ist, und gewährt dann den Zugang. Ähnlich funktioniert PKI: Anstatt ein Passwort einzugeben, verwendet der Nutzer ein digitales Zertifikat (privater Schlüssel), das von einer vertrauenswürdigen Instanz – der Zertifizierungsstelle – vorab verifiziert wurde (öffentlicher Schlüssel). Wann immer der Nutzer auf eine Unternehmensressource zugreifen möchte, überprüft das System automatisch, ob das Zertifikat authentisch und gültig ist, bevor der Zugriff gewährt wird. Folglich müssen sich Anwender keine Passwörter mehr merken.
Die Erstellung des kryptografischen Schlüsselpaars durch den Nutzer und die Zertifizierung durch eine Certificate Authority (CA) erfolgt einmalig. Der private Schlüssel wird an einem sicheren Ort (z. B. physischer Token) gespeichert, während der öffentliche Schlüssel dazu dient, die Identität des Nutzers oder Geräts zu bestätigen. Diese Methode stellt sicher, dass nur autorisierte Nutzer und Geräte auf geschützte Systeme zugreifen können. Phishing und Passwortdiebstahl sind ohnehin unmöglich, weil es kein Passwort gibt, das sich stehlen lässt. Die Kenntnis des öffentlichen Schlüssels lässt keinen Rückschluss auf den privaten Schlüssel zu. Aufgrund der unvorstellbar großen Zahl von Möglichkeiten ist der private Schlüssel unmöglich zu erraten. Er lässt sich auch durch Ausprobieren aller Möglichkeiten (Brute-Force-Angriff) mittels herkömmlicher Computer nicht in einem praktikablen Zeitraum ermitteln. Quantencomputer wurden lange als Risikofaktor betrachtet, da sie solche Aufgaben wesentlich schneller lösen können. Zwischenzeitlich befinden sich jedoch kryptographische Verfahren in der Phase der Standardisierung, die auch hinreichenden Schutz gegen die gesteigerte Rechenpower von Quantencomputern bieten.
Obwohl PKI eine der sichersten Methoden zur Authentifizierung und Verschlüsselung darstellt, bringt ihr Management in Organisationen einige Herausforderungen mit sich.
1. Effiziente Verwaltung von Identitäten und Zertifikaten durch Lifecycle-Management
Besonders die Verwaltung von Tokens und Zertifikaten kann komplex werden – insbesondere für große Organisationen, die regelmäßig Mitarbeiter on- und offboarden. Ein fehlerhaftes Zertifikatsmanagement kann dazu führen, dass ehemalige Mitarbeiter weiterhin Zugriff haben oder neue Nutzer nicht rechtzeitig autorisiert sind. Ein Lifecycle-Management für digitale Identitäten und Zertifikate stellt sicher, dass diese automatisch ausgestellt, erneuert und bei Bedarf gesperrt werden. Das entlastet die IT und verhindert, dass ehemalige Mitarbeitende weiterhin über gültige Zertifikate verfügen.
2. PKI-as-a-Service als Alternative zur komplexen Eigenverwaltung
Ein weiteres Hindernis sind die erforderlichen Ressourcen und das notwendige Know-how, um eine PKI korrekt aufzusetzen und zu betreiben. Organisationen benötigen nicht nur spezialisierte IT-Sicherheitsfachkräfte, sondern auch Hardware-Sicherheitsmodule (HSMs), Zertifizierungsstellen und skalierbare Verwaltungsprozesse – all das erfordert Investitionen. PKI-as-a-Service kann hier eine attraktive Alternative sein, da sie alle notwendigen Funktionen als Cloud-Service bereitstellt und keine weiteren spezifischen Ressourcen – hinsichtlich Hardware, Rechenzentrum, Personal oder Know-how – erfordert. Dies reduziert Kosten und stellt sicher, dass die PKI stets auf dem neuesten Sicherheitsstandard bleibt. Allerdings eignet sich PKI-as-a-Service nur für Unternehmen, die ihre IT-Sicherheitsinfrastruktur in der Cloud hosten können.
3. Benutzerfreundlichkeit dank Self-Service
Eine zertifikatsbasierte Authentifizierung ist in der Regel wesentlich einfacher und komfortabler als herkömmliche Login-Methoden mit Benutzernamen und Passwort. Trotzdem kann es vorkommen, dass sich Nutzende aussperren, sei es durch verlorene Tokens, defekte Smartcards oder vergessene PINs. Moderne Self- Service-Funktionen ermöglichen es ihnen, verlorene oder abgelaufene Zertifikate eigenständig zu erneuern, ohne auf die Freischaltung durch die IT-Abteilung warten zu müssen. Dies reduziert nicht nur den Helpdesk-Aufwand und sorgt füreine höhere Benutzerzufriedenheit – dank Lifecycle-Management bleibt die Verwaltung dennoch übersichtlich für Administratoren.
4. Zukunftssicherheit durch Kryptoagilität
Aufgrund der zunehmenden Professionalisierung der Cyberkriminalität – heute durch ausgeklügelte Angriffsmethoden wie Ransomware oder zukünftig durch Quantencomputer, die klassische Verschlüsselungen aushebeln könnten –, ist Kryptoagilität ein wichtiger Aspekt bei PKI. Das bedeutet, dass die Lösungen in der Lage sind, neue kryptografische Verfahren schnell zu integrieren sowie Zertifikate automatisch zu aktualisieren – ohne, dass aufwendige manuelle Migrationen notwendig sind. Nur so bleibt die zertifikatsbasierte Authentifizierung langfristig sicher, anpassungsfähig und schützt somit die getätigten Investitionen effektiv. Ein durchdachtes PKI-Management sorgt also nicht nur für höhere Sicherheit, sondern reduziert auch den administrativen Aufwand und stellt sicher, dass Unternehmen und andere Institutionen flexibel auf technologische Veränderungen reagieren können.
Alles in allem ist der Verwaltungsaufwand einer Public-Key-Infrastruktur nicht zu unterschätzen. Hier hilft es, das PKI-Management in die Hände eines professionellen Anbieters zu legen. Dieser sollte umfassende Dienstleistungen anbieten, darunter Lifecycle-Management und Self-Service-Funktionen. Außerdem ist eine Wahl zwischen On-Premises- oder PKI-as-a-Service-Modellen essenziell. Der Anbieter muss über eine erprobte Infrastruktur und hohe Kryptoagilität verfügen. Er sollte eine Vielzahl von Smartcards und Token-Typen unterstützen, um ein Vendor Lock-In zu vermeiden und flexibel auf neue Trends sowie wechselnde Anforderungen reagieren zu können. Zudem ist es wichtig, dass der Sitz des Anbieters sowie der Betrieb von Cloud-Services innerhalb der EU liegen und entsprechende Sicherheitszertifizierungen vorweisen. So stellen Organisationen auch zuverlässig die Gesetzeskonformität und interne Compliance ihrer Authentifizierungslösung sicher. In Anbetracht der digitalen Bedrohungslage und zunehmenden Regulatorik sollten Unternehmen nicht untätig bleiben. Wer jetzt ohnehin seine Authentifizierungsmethoden anpassen muss, ist gut beraten, direkt die größtmögliche Sicherheitsstufe zu wählen: die zertifikatsbasierte Authentifizierung mit PKI.
