Management und Wissen

Public Key Infrastructures

Quo vadis PKI?

Von Hadi Stiel, Bad Camberg

Public Key Infrastructures gelten als kompliziert und teuer. Entsprechend zögerlich implementieren Unternehmen und Verwaltung diese Technologie. Im KES-Interview geht es um Gründe und Lösungsansätze für die schleppende Verbreitung von PKIs.

Public Key Infrastructures (PKI) als sichere Methode zur Authentisierung und Verschlüsselung wurden mit viel Vorschusslorbeeren im E-Business- und E-Commerce-Markt bedacht. Gebracht haben diese Avancen der Sicherheitstechnik über die Jahre nicht viel. PKI tritt weiterhin eher auf der Stelle, ohne nennenswerten Umsatz. Dass es so ist, liegt nicht nur an der angespannten wirtschaftlichen Situation und an der begrenzten Investitionsbereitschaft der Unternehmen und öffentlichen Verwaltungen. Für den mangelnden Markterfolg sprechen auch viele andere Gründe. Welche das sind und was man anders machen müsste, erörtert im Gespräch mit der KES Michael Altrogge, Consultant bei der Management- und Technologieberatung C_sar consulting, solutions and results AG in Hamburg.

Michael Altrogge, C_sar consulting, solutions and results AG: "Die Konformität mit dem Signaturgesetz ist kein Garant für E-Business und E-Commerce. Die strikte Befolgung aller Gesetzesvorgaben bläht die PKI-Apparatur auf, verleiht ihr zusätzliche Komplexität und macht sie verwaltungsintensiv und somit auch teurer. Das hatten auch die Banken erkannt, die ihre Trust-Center lange Zeit ohne Signaturgesetzkonformität betrieben haben. Dadurch ist dieser Bereich neben dem Gesundheitswesen der Einzige, in dem PKI heute in Ansätzen greift."

KES: Was ist faul an der PKI-Technologie? Hat die Philosophie der sicheren Authentisierung über Zertifikate ihren Stellenwert verloren?

Altrogge: Bestimmt nicht. PKI ist zurzeit die sicherste Methode zur Authentisierung – sogar sicherer als biometrische Verfahren. Aktuelle Untersuchungen untermauern, dass Fingerkuppen- und Iris-Scan durchaus kompromittierbar sind. Auch ist die zentrale Haltung von biometrischen Informationen aus der Sicht des Datenschutzes bedenklich. Wenn wider Erwarten ein PKI-Zertifikat verloren geht, geknackt oder gestohlen wird, muss lediglich ein neuer Schlüssel zugewiesen werden. PKI ist also im Falle eines Falles einfacher zu handhaben als die Authentisierung mittels Biometrie. Insgesamt besehen hat damit PKI im Vergleich zur Biometrie die höheren Überlebenschancen im Markt.

KES: An der Sicherheit dieser Methode liegt es also nicht. Woran dann?

Altrogge: Für den bisher schleppenden Erfolg dieser Infrastruktur gibt es viele Gründe. Ein wesentlicher davon: Viele PKI-Produkte wurden von Technikern für Techniker entwickelt. Die Folgen bleiben nicht aus: Die Lösungen und ihre Verwaltung sind komplex, die Generierung und Verteilung von Zertifikaten aufwändig, der Umgang mit der Chipkarte und den Schlüsseln zu kompliziert.

Eigentlich sollte bei der PKI der Mensch im Vordergrund stehen, ebenso wie die Organisation, die damit finanziell und verfahrenstechnisch zurechtkommen muss. Bei den meisten PKI-Produkten sieht es aber anders aus.

KES: Chipkarten sind zumeist die unmittelbare Teilnehmerschnittstelle zur PKI. Sie sind damit entscheidend für die mehr oder weniger große Akzeptanz von PKI bei den Benutzern. Was läuft dabei schief?

Altrogge: Das beginnt damit, dass der geheime Schlüssel oftmals in einer Certificate Authority (CA) generiert und dort auf die Chipkarte aufgebracht wird. Wieso generiert man ihn statt dessen nicht gleich auf einer entsprechenden Smartcard? Das würde zu einer geschlossenen Privatsphäre dieses Schlüssels beitragen und bei den Konsumenten sicher gut ankommen. Anders sieht die Ausgangssituation im geschäftlichen Bereich aus. Dort sind Unternehmen beziehungsweise die öffentliche Verwaltung natürlich daran interessiert, im Fall eines Falles Zugriff auf die geheimen Schlüssel der Mitarbeiter zu haben, die zur Entschlüsselung eingesetzt werden. Beispielsweise wenn Mitarbeiterwechsel anstehen oder ein Mitarbeiter seiner Tätigkeit nicht mehr nachgehen kann. Eine zentrale Haltung dieser Schlüssel ist also hier durchaus angebracht.

Was meist aber fehlt, sind Sicherheitsvorkehrungen, um auch in dieser Konstellation die Privatspähre des Mitarbeiters soweit wie möglich zu wahren. Voraussetzung dazu ist mindestens das Vieraugenprinzip, also dass beispielsweise ein Vertreter der Personalabteilung und ein Mitglied des Betriebsrats im Einvernehmen Zugriff auf die geheimen Schlüssel des Mitarbeiters erhalten. Noch besser geschützt ist die Privatsphäre des Mitarbeiters, wenn diese nur in verschlüsselter Form in einem zentralen Verzeichnis abgelegt sind und alle Parteien nur Teilschlüssel zur Dekodierung dieser Schlüssel haben. Auf diese Weise könnte auch im geschäftlichen Bereich die Hemmschwelle der Mitarbeiter gegenüber PKI kräftig heruntergefahren werden.

KES: Sind nicht auch die unterschiedlichen Chipkarten-Terminals ein Problem?

Altrogge: Das ist ein Kapitel für sich. Unterschiedliche Lesegeräte erschweren zusätzlich den Umgang mit den Chipkarten. Dazu kommt der Aspekt, dass die verschiedenen Anbieter wie Banken, öffentliche Verwaltungen und Internet-Anbieter jeweils ihre eigene Schlüsselphilosophie mit speziellen Chipkarten verfechten. Auch das bremst die Akzeptanz von PKI bei den privaten und geschäftlichen Kunden. Und das nur, weil jeder Bereich seine eigene Lösung verfechtet und auf seine Art der PKI-Verwaltung pocht.

Im Markt Erfolg haben wird PKI aber lediglich dann, wenn der Teilnehmer auf eine Smart Card für alle angebotenen Dienstleistungen zurückgreifen kann. Und das unabhängig davon, ob sie von Banken, öffentlichen Verwaltungen oder von Internet-Anbietern offeriert werden. Bis es soweit ist, haben die privaten und geschäftlichen PKI-Teilnehmer zudem das Nachsehen bei den Kosten – und im Extremfall für jeden in Anspruch genommenen Dienst ein gesondertes Zertifikat.

KES: Wie könnte man der Kostenfalle entkommen?

Altrogge: Nur wenn mehr Einheitlichkeit in diesen Markt einkehrt, werden die Kosten für Zertifikate, Smartcards und Lesegeräte weiter sinken. Und erst dann wird PKI eine echte Verbreitungschance haben. Dazu gehört auch ein vernünftiges Konzept, die Zertifikate ohne großen Aufwand an die Teilnehmer zu verteilen. Der Umgang mit den Zertifikaten – Beantragung, Aushändigung und Gebrauch – darf letztlich für sie nicht umständlicher und aufwändiger sein als beispielsweise der Umgang mit ihrem Personalausweis. Allerdings müssen parallel auch Angebote entstehen, die den Kunden oder Mitarbeitern einen erkennbaren Mehrwert bieten.

KES: Sehen Sie in dieser Richtung Bewegung?

Altrogge: Bestenfalls im Bankenbereich. Die Smardcard ist hier schon etabliert. Auch Trust-Center sind schon aufgebaut. In allen anderen Branchen, zudem in öffentlichen Verwaltungen ist in Richtung PKI kaum Bewegung abzusehen. Da beißt sich die Katze buchstäblich in den Schwanz: Wieso sollten die Teilnehmer in teures Sicherheits-Equipment investieren, wenn sie darüber keine wesentlichen Transaktionen und Informationstransfers abwickeln können? Hier sind die Unternehmen, Anbieter jeglicher Couleur sowie die öffentlichen Verwaltungen gefordert, endlich mit interessanten Angeboten Anreize zu schaffen, damit der PKI-Markt auch in ihrem Interesse vorankommt.

KES: Das heißt, sie sollten ihre PKI-Projekte jetzt endlich anpacken?

Altrogge: Das sollten sie – aber angemessen. Das heißt im Klartext: ihr Augenmerk erst einmal auf die Anforderungen an Organisation und Abläufe richten, anstatt sich von vornherein in der komplexen PKI-Technologie zu versteigen. Das beginnt mit einem ausgereiften Konzept, mit dem Verantwortlichkeiten rund um die PKI-Architektur geklärt und festgelegt werden. Das geht weiter mit der Etablierung von Prozessen wie zur Schlüsselgenerierung und -Verteilung und endet mit der Absicherung von Schlüsseln innerhalb eines Hochsicherheitstrakts. Erst dann ist die technische Umsetzung gefragt. Sie sollte so einfach wie möglich gehalten werden, unter Rückgriff ausschließlich auf ausgereifte Lösungen, um unnötiger Komplexität und Schnittstellenproblemen von vornherein aus dem Weg zu gehen.

KES: Sollte man dann auf einen Schlag alle Möglichkeiten der PKI nutzen oder zunächst mit Pilotprojekten arbeiten?

Altrogge: Die Einführung der PKI sollte stufenweise, Dienst für Dienst, geplant werden. Am besten sollte eine einfache PKI-Anwendung den Anfang machen. Hier bietet sich E-Mail an, die Zertifikate dazu können über ein externes Trust-Center bezogen werden. Folgen kann der interne Dokumentenaustausch. Bevor die Unternehmen und öffentlichen Verwaltungen ihre Installation ausweiten, bis hin zur Integration von IPsec-VPNs und der Absolvierung auch der Zugriffskontrolle via PKI, wo dann Laufzeit-Zertifikate vom Sicherheits-Server ausgestellt werden.

Eines steht auf jeden Fall außer Frage: Der Aufbau und Betrieb eines eigenen Trust-Centers dürfte nur in seltensten Fällen für die Unternehmen und öffentlichen Verwaltungen Sinn machen – schon aus Kosten- und Komplexitätsgründen. Besser ist in der Regel die Nutzung eines externen Trust-Centers, das für alle Sicherheitsvoraussetzungen verantwortlich zeichnet.

KES: Was muss in puncto PKI vorausschauend geplant werden, um nicht in Zukunft das Nachsehen zu haben?

Altrogge: Da gibt es vieles. So muss beispielsweise sichergestellt sein, dass man signierte Dokumente über einen längeren Zeitraum aufbewahren kann. Zudem sollten die Schlüssel zum Unterschreiben der Dokumente eine hinreichende Länge haben, damit sie auch in Zukunft nicht kompromittiert werden können. Darüber hinaus will gewährleistet sein, dass der Ursprung der digitalen Unterschriften auch in ein paar Jahren zweifelsfrei nachzuvollziehen ist, auch wenn ein Mitarbeiter dann nicht mehr dem Unternehmen oder der öffentlichen Verwaltung angehört.

KES: Wie sehen Sie die weitere Zukunft von PKI?

Altrogge: Durchaus positiv. Die notwendigen Produkte und Protokolle sind vorhanden. Was jetzt noch geschaffen werden muss, ist ein hinreichendes Angebot, das von einer sicheren PKI profitiert, vor allem auch im öffentlichen Bereich. Zudem muss für die Entscheider das Kosten-Nutzenverhältnis für die notwendigen Verfahren und die eingesetzte Technik stimmen. Das heißt, vor allem die Preise für Chipkarten, Lesegeräte und Zertifikate müssen fallen. Dann hat PKI eine gute Chance, im Markt voranzukommen.

Hadi Stiel ist freier Journalist und Berater in Bad Camberg.