Foto: T-Systems
Die sichere Übertragung von Informationen bei Online-Geschäftsprozessen und in der E-Mail-Kommunikation ist aus dem modernen Geschäftsalltag nicht mehr wegzudenken. Eine steigende Anzahl von Unternehmen setzt daher auf den Einsatz elektronischer Zertifikate und eine eigene Public-Key-Infrastruktur. Während eine unternehmenseigene Zertifizierungsstelle (Corporate Certification Authority) in puncto Flexibilität und Kontrolle einige Vorteile bietet, gibt es aber auch einen entscheidenden Nachteil. Denn die eigenen Private-Root-Zertifikate werden von Webbrowsern und vielen Applikationen nicht automatisch als vertrauenswürdig eingestuft, was zur Verunsicherung bei Anwendern führt.
Abhilfe schafft in diesem Fall das sogenannte Root Signing. Das bedeutet, dass Unternehmen ihre eigenen Zertifikate unter das vertrauenswürdige Root eines international anerkannten Zertifizierungsanbieters stellen. Die unternehmenseigenen Zertifikate werden nach dem Root Signing von allen gängigen Betriebssystemen und Browsern erkannt, ohne dass Mitarbeiter und Kunden auf ihrem Computer das unternehmenseigene Stammzertifikat manuell installieren müssen. Denn dieser Umstand führt sonst gerade bei IT-fernen Durchschnittsusern immer wieder zu Problemen.
Diese Erfahrung musste auch die IT-Abteilung der Schweizer Migros-Gruppe nach der Einführung einer unternehmenseigenen Zertifizierungsstelle machen. "Viele User waren damals mit unserer Stand-alone-CA überfordert, wenn sie vom benutzten Browser oder dem E-Mailprogramm die Fehlermeldung angezeigt bekamen, dass unserem Zertifikat nicht vertraut wird", sagt Rudolf Gisler, IT-Application Security Officer beim Migros Genossenschaftsbund im Gespräch mit pressetext.
"Innerhalb der Migros-Gruppe, die rund 84.000 Personen umfasst, setzen wir daher seit vier Jahren auf Root Signing. Dadurch können wir garantieren, dass unsere unternehmenseigenen Zertifikate von den verschiedenen Betriebssystemen und Browsern automatisch als vertrauenswürdig eingestuft werden - aus Benutzersicht ein enormer Fortschritt", erklärt Gisler. "Die Reklamationen haben seit damals aufgehört. Dass wir kein Feedback mehr erhalten, ist für uns die beste Bestätigung, dass nun alles problemlos funktioniert.
Vorteil von Root Signing
Als Vorteil von Root Signing gilt auch, dass die geschäftsinternen Prozesse weiterhin selbst definiert werden können, da die Corporate CA beibehalten werden kann. Mitarbeiter und Kunden sollten folglich von der sicheren Kommunikation im Internet im Normalfall gar nichts mitbekommen. Aber auch der Kostenfaktor stellt ein wesentliches Argument für die Verwendung von Root Signing dar, da die offizielle Absegnung der eigenen Zertifikate bei den jeweiligen Software- und Serviceanbietern mit hohem Aufwand verbunden wäre.
"Root Signing ist eine kostengünstige Alternative, da keine aufwändigen Akkreditierungsprozesse bei den Root-Programmen von Betriebssystem- und Applikationsherstellern durchlaufen werden müssen", erklärt Carl Rosenast, CEO des Root-Signing-Anbieters QuoVadis, gegenüber pressetext. "Zertifikate können sowohl im internen Einsatz als auch in der Kommunikation mit Dritten eingesetzt werden und erhalten nach dem Root Signing sofort eine weltweite Anerkennung", so Rosenast.
Während kleinere und mittlere Betriebe sich teilweise immer noch an das Thema der sicheren Online-Kommunikation herantasten, zählen Verschlüsselungs- und Authentifizierungstechnologien für die großen Konzerne längst zum Geschäftsalltag. "Die Kommunikationswege und Geschäftsprozesse finden heute zu einem wesentlichen Teil über das Internet statt. Für ein Unternehmen in der Größenordnung wie Coop ist der Einsatz von Zertifikaten daher unumgänglich, um die eigene Glaubwürdigkeit zu gewährleisten", erklärt Sidney Soejima, Leiter Internet-Sicherheit bei Coop, im pressetext-Interview.
Für Coop, das täglich mit Tausenden von Lieferanten und Geschäftspartnern zu tun hat, kommt eine Lösung ohne offiziell signiertes Root Zertifikat daher nicht in Frage. "Technisch gesehen ist Root Signing eine einfache Sache. Die von den Anbietern vorgeschriebenen Auflagen für die Implementierung stellen eine gewisse organisatorische Herausforderung dar, garantieren jedoch den hohen Sicherheitsstandard", sagt Soejima. Darüber hinaus seien das Prozedere und die Anforderungen für alle Mitbewerber und Geschäftspartner die gleichen, was zusätzliches Vertrauen schaffe, meint Soejima gegenüber pressetext. (pte)