Sechs Tipps für den erfolgreichen Aufbau einer PKI
Veröffentlicht am 19.08.2018
Sie wollen mit Geschäftspartnern sensible Informationen austauschen – die nicht von Kriminellen abgefischt werden können? Zudem soll nachweisbar sein, dass die Nachricht wirklich von Ihnen stammt und auf dem Weg zum Empfänger nicht verändert wurde? Dann benötigen Sie eine sogenannte Public-Key-Infrastruktur (PKI). Dr. Kim Nguyen, Geschäftsführer der D-Trust, gibt sechs Tipps zum erfolgreichen Aufbau einer sicheren PKI.
1. „Der Weise lernt von den Erfahrungen anderer“
Beherzigen Sie diesen schon jahrtausendealten und immer noch gültigen Rat von König Salomon. Analysieren Sie Best Practices für PKIs und wenden Sie die gewonnenen Erkenntnisse auf Ihre individuellen Anforderungen an. Lernen Sie auch aus den Problemen und Herausforderungen anderer PKI-Projekte. Das bewahrt Sie vielleicht davor, bereits gemachte Fehler zu wiederholen. Vor allem aber werden Sie dadurch für die wirtschaftlichen und politischen Konsequenzen sensibilisiert. Denn verlorene Investitionen oder Zusatzkosten, die durch Problembehebung entstehen, sind meist nicht das Schlimmste. Problematisch sind vielmehr Imageschäden und das verlorene Vertrauen von Kunden in die Funktionsfähigkeit Ihrer Lösung.
2. Nicht den zweiten Schritt vor dem ersten tun
Bevor Sie mit der technischen Umsetzung beginnen, sollten Sie sich ausreichend Zeit für die Vorbereitung und konzeptionelle Entwicklung nehmen. In einem Basis-Workshop etwa wird Mitarbeitern und Management Grundlagenwissen über die PKI und ihre technische Umsetzung vermittelt. Während der Bedarfsanalyse werden die Prozesse identifiziert, die mit einer PKI geschützt werden sollen. Auf Basis konkreter Anwendungsfälle werden Zielsetzungen formuliert, das PKI-Verfahren definiert und damit zusammenhängend Software und Dienstleistungen ausgewählt.
3. Sicherheit und Usability müssen Hand in Hand gehen
Usability – also eine einfache und komfortable Handhabung – und Sicherheit müssen sich nicht ausschließen. So gibt es Verfahren, bei denen sich die berechtigten Teilnehmer einer PKI über die Kombination aus Token und PIN-Code authentifizieren. Das Token kann als Software auf den Client-Rechnern abgelegt sein oder sich auf einer Smartcard befinden. Sind Software-Token oder Lesegerät installiert, genügt es, zur Authentifizierung den PIN-Code einzugeben. PKI-Workflows können auch über sogenannte serverbasierte E-Mail-Gateways stattfinden. Alle Nachrichten, die diesen Server passieren, werden automatisch ver- und entschlüsselt. Auch Zertifikate lassen sich auf dem E-Mail-Gateway automatisiert zur Verfügung stellen.
4. Die Sicherheit einer PKI-Lösung basiert auf ihrer Transparenz
Viele Anwender tendieren dazu, das verwendete Verschlüsselungsverfahren strikt geheim zu halten, um möglichst wenige Angriffsflächen zu bieten. Gemäß dem „Kerckhoffs’schen Prinzip“ – einem Grundsatz der modernen Kryptografie und bereits 1883 von Auguste Kerckhoffs formuliert – verhält es sich jedoch genau umgekehrt: So beruht die Sicherheit einer Verschlüsselungslösung auf der Geheimhaltung des Schlüssels und nicht auf der Geheimhaltung des genutzten Verfahrens. Sicherheitslücken ließen sich nur dann schnell erkennen, wenn sich viele Experten mit den eingesetzten Verfahren beschäftigen könnten.
5. Man muss nicht alles selbst machen
PKIs lassen sich in Eigenregie oder mithilfe eines Vertrauensdiensteanbieters (VDA) betreiben. Doch Achtung: Oft werden Aufwand und benötigte Ressourcen unterschätzt. Sie sollten etwa vorab klären, wer sich dauerhaft um die Pflege und die Erweiterung der PKI kümmern kann und wie Sie sicherstellen können, dass bei einem Mitarbeiterwechsel alles ordnungsgemäß weiterläuft. Es kann sinnvoll sein, einen akkreditierten VDA ins Boot zu holen, der es übernimmt, digitale Zertifikate auszustellen, zu verteilen, zu verwalten und zu prüfen. Sogenannte webbasierte Managed-PKI-Plattformen minimieren Zeit und Kosten für die Verwaltung der Zertifikate. Die Administrationslösungen ermöglichen, dass Sie Ihre bestehenden IT-Infrastrukturen und IT-Systeme an die PKIs des VDAs anbinden können. Zertifikate lassen sich dann in einem durchgängigen Workflow erstellen sowie manuell oder automatisiert beziehen.
6. VDA ist nicht gleich VDA
Die europäische Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) unterscheidet zwischen Vertrauensdiensteanbietern (VDA) und qualifizierten Vertrauensdiensteanbietern (qVDA). Letztere besitzen den höchsten Vertrauensstatus, sie unterliegen sehr strengen Sicherheitsvorschriften und Haftungsregelungen. Dazu gehört, Sicherheitsvorfälle innerhalb von 24 Stunden zu melden, Datenschutz und Datensicherheit zu gewährleisten sowie vertrauenswürdige IT-Systeme und IT-Infrastrukturen einzusetzen. Es empfiehlt sich deshalb, mit einem qVDA zusammenzuarbeiten.