Einstieg "light" statt Jahrhundertprojekt

Viele Projekte hängen im Pilotstadium

Betrachtet man die bisher realisierten PKI-Projekte, so entsteht aber ein eher negatives Bild. Obwohl die Technologie und die Produkte schon seit mehreren Jahren verfügbar sind, haben nur sehr wenige und sehr große Unternehmen, Banken oder öffentliche Einrichtungen bisher eine PKI aufgebaut. Viele Projekte sind nur Pilot-Installationen und keineswegs im produktiven Einsatz. Vor diesem Hintergrund drängt sich die Frage auf, warum eine auf den ersten Blick so interessante Technologie nicht vorankommt. Viele PKI-Berater und Firmen, die schon sehr früh in diesen Bereich investiert haben, kennen inzwischen die Antwort: Gerade weil eine PKI für so viele verschiedene Anwendungen von Vorteil sein kann, ist der Aufwand für die Analyse und Planung immens hoch. Man versucht deshalb, vor der Produktauswahl und Implementierung die Anforderungen und Randbedingungen möglichst genau zu erfassen, möglichst viele Anwendungsbereiche schon im Vorfeld einzuplanen und das Zusammenspiel der Komponenten möglichst genau auszuloten.

Prinzipiell ist ein derart strukturiertes Vorgehen auch sinnvoll. Bei ähnlich komplexen Projekten im Sicherheitsbereich hat es sich längst bewährt. Inkompatibilitäten beispielsweise können schon im Vorfeld ausgeschlossen werden. Eine wichtige Rolle spielen dabei die Policies. Nur wenn genau definiert ist, für welche Anwendungen die PKI in die Unternehmensprozesse eingebunden werden soll, und welche Semantik dabei hinter einem Zertifikat oder einer digitalen Unterschrift steckt, ist eine effektive Verwendung überhaupt möglich.

Gerade weil jedem klar zu sein scheint, wie tief die PKI-Technik in die Infrastrukturen und Business-Prozesse der Anwender eingreift, wird die Planung dabei vorsorglich auf Sektoren ausgedehnt, die die Lösung gar nicht berührt.

Viele Unternehmen schrecken daraufhin vor der Einführung einer PKI zurück, da sie die Komplexität als zu hoch empfinden. Auf vielen Kongressen hört man von PKI-Projekten, die mindestens ein Jahr Zeit in Anspruch genommen und mehrere Millionen Mark ge-kostet haben. Ein "Return of Investment" ist in solchen Fällen nur schwer erreichbar. Fast scheint es, als seien die vielen Einsatzgebiete und die vielfältigen Berührungspunkte einer PKI mit anderen IT-Systemen, die den großen Wert einer solchen Infrastruktur erst ausmachen, gleichzeitig der größte Hemmschuh.