Von: Stefan Strobel
Seit vielen Jahren schon ist Public-Key-Kryptografie mit privaten und öffentlichen Schlüsseln eine Technik, die in nahezu jedem IT-Sicherheitsprodukt verwendet wird. Zertifikate stellen dazu fast immer eine notwendige Erweiterung dar. Damit bestätigt eine vertrauenswürdige dritte Stelle die Echtheit eines öffentlichen Schlüssels oder die Zugehörigkeit eines Schlüssels zu einer bestimmten Person.
Zur zentralen Verwaltung von Zertifikaten, Schlüsseln, Anwendungen und Anwenderdaten für Public-Key-Verschlüsselung sind kommerzielle Produkte auf dem Markt. Man spricht dabei von "Public-Key-Infrastrukturen", kurz PKI.
PKI soll Administration vereinfachen
Die Idee hinter einer PKI ist also einfach. Zugleich eröffnen sich viele Möglichkeiten, eine PKI zu nutzen: Anstelle von Passwörtern könnten sich Anwender mit Hilfe ihrer geheimen Schlüssel und ihrer Zertifikate am Netzwerk oder an Servern anmelden. Anwender wären in der Lage, E-Mails mit den Schlüsseln und Zertifikaten zu verschlüsseln oder digital zu unterschreiben. Die PKI könnte die Schlüssel für große Virtual Private Networks (VPN) oder die Daten der Kunden und Partner in einem E-Business-Projekt verwalten.
Nimmt man diese Möglichkeiten zusammen, müsste eine PKI vielen Unternehmen die Arbeit erleichtern, da sie verschiedenen Anwendungen im Bereich der Authentisierung und IT-Sicherheit als Verwaltungstool zur Verfügung steht. Die PKI sollte auch die Administration vereinfachen und die Fehlerhäufigkeit verringern, was die Sicherheit deutlich erhöhen müsste.
Ein einfaches und einleuchtendes Beispiel ist die Ablösung von klassischen Token-Systemen durch Chipkarten, auf denen ein Schlüsselpaar und ein zugehöriges Zertifikat gespeichert sind. Der Anwender meldet sich in diesem Fall mit der Chipkarte und einem PIN-Code an. Zur Verwaltung wird eine PKI verwendet, welche die Zertifikate ausstellt und die Benutzerdaten verwaltet. Mit derselben Chipkarte kann der Anwender aber auch seine E-Mails verschlüsseln oder digital unterschreiben. Die PKI tritt als zentrale Instanz an die Stelle von separaten Verwaltungssystemen, in denen die Benutzer-Informationen mehrfach redundant gepflegt werden müssen.
Viele Projekte hängen im Pilotstadium
Betrachtet man die bisher realisierten PKI-Projekte, so entsteht aber ein eher negatives Bild. Obwohl die Technologie und die Produkte schon seit mehreren Jahren verfügbar sind, haben nur sehr wenige und sehr große Unternehmen, Banken oder öffentliche Einrichtungen bisher eine PKI aufgebaut. Viele Projekte sind nur Pilot-Installationen und keineswegs im produktiven Einsatz. Vor diesem Hintergrund drängt sich die Frage auf, warum eine auf den ersten Blick so interessante Technologie nicht vorankommt. Viele PKI-Berater und Firmen, die schon sehr früh in diesen Bereich investiert haben, kennen inzwischen die Antwort: Gerade weil eine PKI für so viele verschiedene Anwendungen von Vorteil sein kann, ist der Aufwand für die Analyse und Planung immens hoch. Man versucht deshalb, vor der Produktauswahl und Implementierung die Anforderungen und Randbedingungen möglichst genau zu erfassen, möglichst viele Anwendungsbereiche schon im Vorfeld einzuplanen und das Zusammenspiel der Komponenten möglichst genau auszuloten.
Prinzipiell ist ein derart strukturiertes Vorgehen auch sinnvoll. Bei ähnlich komplexen Projekten im Sicherheitsbereich hat es sich längst bewährt. Inkompatibilitäten beispielsweise können schon im Vorfeld ausgeschlossen werden. Eine wichtige Rolle spielen dabei die Policies. Nur wenn genau definiert ist, für welche Anwendungen die PKI in die Unternehmensprozesse eingebunden werden soll, und welche Semantik dabei hinter einem Zertifikat oder einer digitalen Unterschrift steckt, ist eine effektive Verwendung überhaupt möglich.
Gerade weil jedem klar zu sein scheint, wie tief die PKI-Technik in die Infrastrukturen und Business-Prozesse der Anwender eingreift, wird die Planung dabei vorsorglich auf Sektoren ausgedehnt, die die Lösung gar nicht berührt.
Viele Unternehmen schrecken daraufhin vor der Einführung einer PKI zurück, da sie die Komplexität als zu hoch empfinden. Auf vielen Kongressen hört man von PKI-Projekten, die mindestens ein Jahr Zeit in Anspruch genommen und mehrere Millionen Mark ge-kostet haben. Ein "Return of Investment" ist in solchen Fällen nur schwer erreichbar. Fast scheint es, als seien die vielen Einsatzgebiete und die vielfältigen Berührungspunkte einer PKI mit anderen IT-Systemen, die den großen Wert einer solchen Infrastruktur erst ausmachen, gleichzeitig der größte Hemmschuh.
Der Planungsaufwand schreckt ab
Ein Großteil der Analysen und Policies wäre aber überflüssig, wenn sich eine PKI anfangs nur für die Authentifizierung bei Remote-Access und für das Verschlüsseln von E-Mails verwenden lassen würde. Erst die vielen weiteren Anwendungsmöglichkeiten haben dazu geführt, dass sich ein sehr aufwändiges Vorgehen bei der Implementierung etabliert hat. Unternehmen wenden es selbst dann an, wenn Authentifizierung und E-Mail-Verschlüsselung in der Praxis auch auf längere Sicht die einzigen PKI-Anwendungen bleiben. Viele Berater und Hersteller von PKI-Produkten bestehen außerdem auf dem etablierten Vorgehen mit aufwändigen Analysen und Policies. Diese Praxis führt zu Nebeneffekten, die das folgende Beispiel erläutern soll:
Ein Unternehmen, das für den Remote-Access-Bereich starke Authentifizierung benötigt, überlegt, ob es ein klassisches Token-System implementieren oder statt dessen eine PKI mit Chipkarten aufbauen soll. Die Authentisierung ist die einzige Anwendung, die relevant ist - und die PKI soll zunächst weder für digitale Unterschriften noch für andere Business-Anwendungen zum Einsatz kommen. Der Vorteil einer PKI-Lösung wäre jedoch, dass sich die Mitarbeiter im IT-Bereich an den Einsatz von Chipkarten gewöhnen und erste Erfahrungen mit dem Betrieb einer PKI sammeln könnten. Diese praktischen Erfahrungen sind sehr hilfreich, falls später der Einsatz von PKI für andere Anwendungen diskutiert wird.
Wenn das Unternehmen mit diesen Anforderungen an Lieferanten herantritt, wird es einerseits viele günstige Angebote für Token-basierte Systeme bekommen, andererseits aber viele Angebote für vollständige PKI-Analysen, PKIPolicy-Erstellung und andere langwierige und teure Beratungstätigkeiten, die typischerweise bei PKI-Projekten durchgeführt werden.
Auch PKI profitiert vom Learning by Doing
Berater, die für PKI höchsten Aufwand treiben wollen, fordern für dieselbe Anwendung mit denselben Implikationen, aber einer anderen Technologie, den Tokens, keine Policy-Entwicklung - und auch die Analysen und Konzepte liegen meist in wenigen Tagen vor, sofern sie überhaupt durchgeführt werden. Diese Diskrepanz führt bei den Kunden meist dazu, dass sie die PKI-Lösung ausschließen und Techniken einsetzen, die bei vergleichbarer Sicherheit aber einen erhöhten Aufwand in der Administration mit sich bringen.
Diese Beobachtungen legen den Schluss nahe, dass in den vergangenen Jahren eine Polarisierung in der IT-Sicherheit entstanden ist: In manchen Bereichen wird vernachlässigt, was in anderen übertrieben wird. Während man bei Firewalls etwa häufig versäumt, auch nur eine minimale Risikoabschätzung oder Bedarfsanalyse durchzuführen, strebt man bei PKI die maximale Palette von Analysen an. Und während man bei anderen Sicherheitssystemen schriftliche Policies und Betriebskonzepte noch immer selten vorfindet, werden bei PKI ein "Certificate Practice Statement" und eine individuelle Policy angefordert, selbst wenn die Anwendung einfach ist.
Würden sich Berater und Anbieter stärker an den individuellen Anforderungen der Projekte orientieren, käme dies allen IT-Sicherheitsprojekten zugute. (jo)
Zur Person
Stefan Strobel
ist Manager Strategy Development bei Articon Integralis.