Sechs Tipps für den erfolgreichen Aufbau einer PKI

6 Lehren PKI

Sie wollen mit Geschäftspartnern sensible Informationen austauschen – die nicht von Kriminellen abgefischt werden können? Zudem soll nachweisbar sein, dass die Nachricht wirklich von Ihnen stammt und auf dem Weg zum Empfänger nicht verändert wurde? Dann benötigen Sie eine sogenannte Public-Key-Infrastruktur (PKI). Unser Experte Dr. Kim Nguyen gibt sechs Tipps zum erfolgreichen Aufbau einer sicheren PKI.

1. „Der Weise lernt von den Erfahrungen anderer“

Beherzigen Sie diesen schon jahrtausendealten und immer noch gültigen Rat von König Salomon. Analysieren Sie Best Practices für PKIs und wenden Sie die gewonnenen Erkenntnisse auf Ihre individuellen Anforderungen an. Lernen Sie auch aus den Problemen und Herausforderungen anderer PKI-Projekte. Das bewahrt Sie vielleicht davor, bereits gemachte Fehler zu wiederholen. Vor allem aber werden Sie dadurch für die wirtschaftlichen und politischen Konsequenzen sensibilisiert. Denn verlorene Investitionen oder Zusatzkosten, die durch Problembehebung entstehen, sind meist nicht das Schlimmste. Problematisch sind vielmehr Imageschäden und das verlorene Vertrauen von Kunden in die Funktionsfähigkeit Ihrer Lösung.

Dr. Kim Nguyen, Geschäftsführer der D-TRUST GmbH

Dr. Kim Nguyen ist Geschäftsführer der Bundesdruckerei-Tochter D-TRUST GmbH

2. Nicht den zweiten Schritt vor dem ersten tun

Bevor Sie mit der technischen Umsetzung beginnen, sollten Sie sich ausreichend Zeit für die Vorbereitung und konzeptionelle Entwicklung nehmen. In einem Basis-Workshop etwa wird Mitarbeitern und Management Grundlagenwissen über die PKI und ihre technische Umsetzung vermittelt. Während der Bedarfsanalyse werden die Prozesse identifiziert, die mit einer PKI geschützt werden sollen. Auf Basis konkreter Anwendungsfälle werden Zielsetzungen formuliert, das PKI-Verfahren definiert und damit zusammenhängend Software und Dienstleistungen ausgewählt.

3. Sicherheit und Usability müssen Hand in Hand gehen

Usability – also eine einfache und komfortable Handhabung – und Sicherheit müssen sich nicht ausschließen. So gibt es Verfahren, bei denen sich die berechtigten Teilnehmer einer PKI über die Kombination aus Token und PIN-Code authentifizieren. Das Token kann als Software auf den Client-Rechnern abgelegt sein oder sich auf einer Smartcard befinden. Sind Software-Token oder Lesegerät installiert, genügt es, zur Authentifizierung den PIN-Code einzugeben. PKI-Workflows können auch über sogenannte serverbasierte E-Mail-Gateways stattfinden. Alle Nachrichten, die diesen Server passieren, werden automatisch ver- und entschlüsselt. Auch Zertifikate lassen sich auf dem E-Mail-Gateway automatisiert zur Verfügung stellen.

4. Die Sicherheit einer PKI-Lösung basiert auf ihrer Transparenz

Viele Anwender tendieren dazu, das verwendete Verschlüsselungsverfahren strikt geheim zu halten, um möglichst wenige Angriffsflächen zu bieten. Gemäß dem „Kerckhoffs’schen Prinzip“ – einem Grundsatz der modernen Kryptografie und bereits 1883 von Auguste Kerckhoffs formuliert – verhält es sich jedoch genau umgekehrt: So beruht die Sicherheit einer Verschlüsselungslösung auf der Geheimhaltung des Schlüssels und nicht auf der Geheimhaltung des genutzten Verfahrens. Sicherheitslücken ließen sich nur dann schnell erkennen, wenn sich viele Experten mit den eingesetzten Verfahren beschäftigen könnten.

5. Man muss nicht alles selbst machen

PKIs lassen sich in Eigenregie oder mithilfe eines Vertrauensdiensteanbieters (VDA) betreiben. Doch Achtung: Oft werden Aufwand und benötigte Ressourcen unterschätzt. Sie sollten etwa vorab klären, wer sich dauerhaft um die Pflege und die Erweiterung der PKI kümmern kann und wie Sie sicherstellen können, dass bei einem Mitarbeiterwechsel alles ordnungsgemäß weiterläuft. Es kann sinnvoll sein, einen akkreditierten VDA ins Boot zu holen, der es übernimmt, digitale Zertifikate auszustellen, zu verteilen, zu verwalten und zu prüfen. Sogenannte webbasierte Managed-PKI-Plattformen minimieren Zeit und Kosten für die Verwaltung der Zertifikate. Die Administrationslösungen ermöglichen, dass Sie Ihre bestehenden IT-Infrastrukturen und IT-Systeme an die PKIs des VDAs anbinden können. Zertifikate lassen sich dann in einem durchgängigen Workflow erstellen sowie manuell oder automatisiert beziehen.

6. VDA ist nicht gleich VDA

Die europäische Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) unterscheidet zwischen Vertrauensdiensteanbietern (VDA) und qualifizierten Vertrauensdiensteanbietern (qVDA). Letztere besitzen den höchsten Vertrauensstatus, sie unterliegen sehr strengen Sicherheitsvorschriften und Haftungsregelungen. Dazu gehört, Sicherheitsvorfälle innerhalb von 24 Stunden zu melden, Datenschutz und Datensicherheit zu gewährleisten sowie vertrauenswürdige IT-Systeme und IT-Infrastrukturen einzusetzen. Es empfiehlt sich deshalb, mit einem qVDA zusammenzuarbeiten.

Magazinartikel Verkürzte Laufzeiten
Magazinartikel Verkürzte Laufzeiten
Digitale Sicherheit

Website-Zertifikate: Verkürzte Laufzeiten, niedriges Risiko?

Digital Arbeiten

Fünf Praxistipps für sichere E-Mail-Verschlüsselung

Jedes zweite deutsche Unternehmen will E-Mails zu verschlüsseln. Das ergab eine repräsentative Umfrage der Bundesdruckerei, die im Rahmen der „Initiative Mittelstand verschlüsselt!“ durchgeführt wurde. Fünf Praxistipps können Unternehmen dabei helfen, eigene Verschlüsselungsprojekte zu planen und umzusetzen.

Digitale Sicherheit

Wie Ransomware-Angriffe die Cyber-Sicherheit in Kliniken bedrohen

In den letzten Monaten haben sie die Cyber-Sicherheit auf eine harte Probe gestellt. Ransomwares verursachen in Deutschland jedes Jahr großen wirtschaftlichen Schaden. Der Bund unterstützt Krankenhausbetreiber beim Thema Cyber-Sicherheit.