Noch vor nicht allzu langer Zeit standen PKIs (Public Key Infrastructure) bei IT-Strategien weit oben, wurde aber wenig genutzt. Heute ist es genau umgekehrt. Zwar hat sich die starke Benutzerauthentifizierung nicht so verbreitet wie erhofft. Doch bei Web- und Webservices-Sicherheit oder Datenverschlüsselung werden entsprechende Kryptoverfahren und digitale Zertifikate breit eingesetzt. Das anwendungsübergreifende Schlüsselmanagement wird dabei aber zum Problem.
Vor wenigen Jahren hat man noch munter über die möglichen Einsatzbereiche von PKIs diskutiert. Der Blick war dabei aber meist nur auf die starke Authentifizierung gerichtet. Heute dagegen ist die Nutzung digitaler Zertifikate und von Public-/Private Key-Verfahren in vielen Bereichen längst Realität geworden.
Die Sicherheit von Webservices, von VPNs (Virtual Private Networks), die Verschlüsselung von Datenträgern oder der Kommunikation im Rahmen der Data Leakage Prevention (DLP) sind nur einige Anwendungsfälle, von den SSL-geschützten Webzugriffen oder dem elektronischen Personalausweis (ePA) ganz zu schweigen. Weitere Anwendungsfelder werden dazu kommen: Vor allem das Information Rights Management (IRM), also der Schutz von Informationen durch Verschlüsselung und direkt zugeordnete Zugriffsberechtigungen, ist hier zu nennen.
Auf der anderen Seite gibt es aber auch eine Reihe von Bereichen, in denen die Nutzung dieser Technologien hinter den Erwartungen zurückbleibt. Sichere E-Mail, die Client-Authentifizierung bei SSL und auch die starke Authentifizierung sind hier an erster Stelle zu nennen. Letztere hat jedoch gerade in den vergangenen Monaten einen deutlichen Aufschwung genommen – nicht zuletzt bedingt durch vielerlei Arten von Tokens, die oft deutlich weniger Investitions- und Administrationsaufwand verursachen als klassische Smartcards. USB-Tokens und Soft-Tokens sind nur zwei Beispiele dafür.
Dass sich einige Einsatzgebiete besser entwickeln als andere hat – neben den Investitions- und Administrationskosten – noch einen anderen Grund: Dort, wo der Benutzer mit dem Thema direkt konfrontiert wird, stößt man auf Hürden. Wer kann schon mit dem Begriff einer „vertrauenswürdigen Stammzertifizierungsstelle“ etwas anfangen? Dort, wo die Technologie im Hintergrund zum Einsatz kommt, wie bei der Webservices-Security, sind die Hürden kleiner.
Die wachsende Bedeutung von Public-/Private-Key-Verfahren, digitalen Zertifikaten und PKIs schafft aber auch neue Herausforderungen. Das Management von Schlüsseln (oder Zertifikaten) wird zunehmend zum Thema. Denn transparente Ansätze einzelner Anwendungen, mit denen man beispielsweise Datenträger schützen kann, haben den Nachteil, dass sie oft mit einer eigenen PKI arbeiten – und damit immer mehr Schlüssel vorhanden sind, die verwaltet und geschützt werden müssen.
Ein Workaround sind die auf den Markt kommenden Systeme für das Key Management. Viel wichtiger ist aber, dass man die PKI als ein zentrales Element von IT-Infrastrukturen wiederentdeckt. Dabei geht es nicht darum, ihre Bedeutung überzubewerten, aber eine klare Strategie für den Umgang mit PKIs, Zertifikaten und Schlüsseln zu entwickeln, um die administrativen Herausforderungen so gering wie möglich zu halten.
Es geht also darum, Einheitlichkeit statt Wildwuchs zu erreichen – was nicht zwingend bedeutet, dass man nur eine PKI betreibt oder nutzt, aber zumindest heißt, dass man weiß, welche es überhaupt gibt, wie welche Zertifikate und Schlüssel verwaltet werden und wer wofür verantwortlich ist. Außerdem muss man versuchen, die Vielfalt zu beschränken, denn nur dann ist dieses komplexe Thema wirklich beherrschbar.