Einstieg "light" statt Jahrhundertprojekt

Der Planungsaufwand schreckt ab

Ein Großteil der Analysen und Policies wäre aber überflüssig, wenn sich eine PKI anfangs nur für die Authentifizierung bei Remote-Access und für das Verschlüsseln von E-Mails verwenden lassen würde. Erst die vielen weiteren Anwendungsmöglichkeiten haben dazu geführt, dass sich ein sehr aufwändiges Vorgehen bei der Implementierung etabliert hat. Unternehmen wenden es selbst dann an, wenn Authentifizierung und E-Mail-Verschlüsselung in der Praxis auch auf längere Sicht die einzigen PKI-Anwendungen bleiben. Viele Berater und Hersteller von PKI-Produkten bestehen außerdem auf dem etablierten Vorgehen mit aufwändigen Analysen und Policies. Diese Praxis führt zu Nebeneffekten, die das folgende Beispiel erläutern soll:

Ein Unternehmen, das für den Remote-Access-Bereich starke Authentifizierung benötigt, überlegt, ob es ein klassisches Token-System implementieren oder statt dessen eine PKI mit Chipkarten aufbauen soll. Die Authentisierung ist die einzige Anwendung, die relevant ist - und die PKI soll zunächst weder für digitale Unterschriften noch für andere Business-Anwendungen zum Einsatz kommen. Der Vorteil einer PKI-Lösung wäre jedoch, dass sich die Mitarbeiter im IT-Bereich an den Einsatz von Chipkarten gewöhnen und erste Erfahrungen mit dem Betrieb einer PKI sammeln könnten. Diese praktischen Erfahrungen sind sehr hilfreich, falls später der Einsatz von PKI für andere Anwendungen diskutiert wird.

Wenn das Unternehmen mit diesen Anforderungen an Lieferanten herantritt, wird es einerseits viele günstige Angebote für Token-basierte Systeme bekommen, andererseits aber viele Angebote für vollständige PKI-Analysen, PKIPolicy-Erstellung und andere langwierige und teure Beratungstätigkeiten, die typischerweise bei PKI-Projekten durchgeführt werden.