PKI für die Praxis Erfolgskriterien von Public-Key-Infrastrukturen

Ordnungsmerkmale

erschienen in: <kes> 2007^#4, Seite 60

Zusammenfassung: In einer gemeinsamen Studie haben die FH Brandenburg und der TeleTrusT e. V. Erfolgskriterien und Hemmnisse beim Einsatz von Public-Key-Infrastrukturen (PKI) analysiert. Die Ergebnisse: Soziologische Aspekte spielen eine größere Bedeutung als angenommen, betriebswirtschaftliche Argumente wirken nur im Kontext konkreter Geschäftsprozesse und Nutzer nehmen PKI-Anwendungen nur an, wenn sie beim Einführungsprozess begleitet werden.

Autor: Von Malte Hesse, Essen

Bereiche zu finden, in denen weiterer Forschungs- und Förderungsbedarf für Public-Key-Infrastrukturen (PKI) und -Anwendungen besteht, war ein Anliegen des Bundesministeriums für Bildung und Forschung (BMBF), das die gemeinsame PKI-Studie der FH Brandenburg und des TeleTrusT e. V. in Auftrag gegeben hat (s. a. [1]). Ebenfalls auf der Agenda stand, weiteres Potenzial für Innovationen zu identifizieren.

Zur strukturierten Herangehensweise wurde das Thema PKI hierbei in drei Teil-Aspekten behandelt: technische Perspektiven, betriebswirtschaftliche Aspekte sowie Nutzungs- und soziologische Aspekte. Im Folgenden finden Sie in dieser Aufgliederung zunächst wichtige Ergebnisse und anschließend die Empfehlungen des Projektteams, das aus Anja Bayer (TU Illmenau), Malte Hesse (FH Gelsenkirchen), Prof. Dr. Friedrich Holl und Peter Morcinek (FH Brandenburg), Prof. Dr. Sachar Paulus (SAP) sowie Sophie Hellmann und Prof. Dr. Helmut Reimer (TeleTrusT) bestand.

In einer Literaturstudie wurden hierzu technische Perspektiven zusammengetragen (etwa zum Einsatz von Biometrie und Tokens, aber auch zur Austauschbarkeit von Kryptoalgorithmen) und über eine Reihe von Experten-Interviews validiert. Die betriebswirtschaftlichen Aspekte haben die Projektpartner der FH Brandenburg erarbeitet. Die Nutzungsaspekte wurden wiederum in zwei Phasen zusammengetragen, indem zuerst erfolgreiche PKI-Implementierungen in Interviews untersucht und dann die gesammelten Ergebnisse in einem High-Level-Expertenworkshop diskutiert und reflektiert wurden.

Technische Perspektiven

Bei PKIs fallen für eine Infrastrukturtechnologie vergleichsweise lange und anfangs auch hohe Investitionen an. Daher muss technisch gesehen eine lange Nutzungsdauer vorgesehen sein, damit sich die Kosten amortisieren können. Inwieweit sich ein technisches Verfahren durchsetzt, reguliert jedoch üblicherweise der Markt, und gerade der IT-Markt "denkt" immer kurzfristiger, was eine technologische Ausrichtung auf langfristige Verwendung als nicht sinnvoll erscheinen lässt.

Unter diesem Gesichtspunkt der Praktiker muss somit auch die bisherige Fokussierung auf die Stabilität der kryptographischen Basis (Haltbarkeit von Algorithmen und Schüssellängen) infrage gestellt werden – zumindest in dem hohen Maße, in dem dies in Deutschland in den letzten Jahren diskutiert wurde. Konkret zeigt sich: Die Austauschbarkeit der Algorithmen und die langfristig "haltbare" Schlüssellänge als Konsequenz einer konzipierten langen Nutzungsdauer sind im Hinblick auf Unternehmensanwendungen als esoterisch anzusehen. Für staatliche Anwendungen, die langfristige Sicherheit benötigen, kann dies hingegen durchaus eine sinnvolle und notwendige Vorgabe sein (dazu zählen nicht nur Ausweisdokumente, sondern z. B. auch gesetzlich längerfristig zu archivierende Dokumente).

Interoperabilität, als wesentliche Voraussetzung für erfolgreiche PKI-Anwendung verstanden, wird ebenfalls noch kontrovers diskutiert: Bei "monoprozessualen" PKI-Anwendungen – also Einsatzgebieten, in denen die PKI genau einem Prozess oder Zweck dient – spielt die Interoperabilität so gut wie keine Rolle. Bei "multiprozessualer" Anwendung hingegen ist Interoperabilität unabdingbar und weitestgehend durch den Markt getrieben. Fazit: Standards und Interoperabilität kann man nicht verordnen, der Markt muss sie fordern und fördern. Bestes Beispiel: Mit PGP und S/MIME existieren seit Langem zwei akzeptierte, aber inkompatible Standards.

Die Anwendungsintegration ist ebenfalls vorrangig marktgetrieben – auch hier gibt es nicht viele standardisierte Vorgehensweisen. Es zeigt sich aber, dass nicht nur die Algorithmen, sondern auch die Implementierungen (bei multiprozessualen Anwendungen) interoperabel sein müssen (vgl. die Probleme zwischen verschiedenen S/MIME-Implementierungen oder abweichend implementiertes "Vertrauensmanagement" in Browsern).

Die Interoperabilität zwischen PKI-Lösungen ist heute oft noch nicht so weit fortgeschritten, wie es sich die Kunden vorstellen; das betrifft allem voran das Schlüsselmanagement.

Sonderfall Signatur

Die digitale Signatur ist ein Sonderfall: Dort ist die Interoperabilität nicht nur auf Implementierungs-, sondern sogar auf Dokumentenebene notwendig. Dies zeigt sich vor allem bei der qualifizierten Signatur, wo durch national unterschiedliche Regulierungen Interoperabilitätsprobleme auf internationaler Ebene entstanden sind. Ob das Ziel der Dokumenteninteroperabilität mit proprietären, jedoch gesetzlich vorgeschriebenen Signaturverfahren überhaupt erreicht werden kann, ist fraglich.

Der größte Bedarf im Bereich der Anwendungsintegration wurde beim Schlüsselmanagement identifiziert: Oft wird das Key-Management noch als Eigenschaft der Anwendungsintegration gesehen, obwohl sich – vor allem in Unternehmen – die Verwaltung der Schlüssel zunehmend als das Hauptproblem herauskristallisiert (übrigens selbst für monoprozessuale Anwendungen). Die Entwicklung gemeinsam verwendbarer Schlüssel oder alternativ die Verwaltung parallel existierender Schlüssel ist daher dringend anzustreben.

Mittelfristig erscheint zudem eine Ergänzung von rein softwarebasierten Zertifikaten durch Token notwendig, um einen vertretbaren Sicherheitslevel zu erreichen. Die physische Gestaltung der Token ist noch offen: ob als Smartcard im klassischen Chipkartenformat, als USB-Token oder in Gestalt vorhandener Geräte wie Handys, MP3-Player, Kameras und PC-Steckkarten oder (im staatlichen Umfeld) als Ausweise. Die Form der Token ist aber letztlich auch nicht relevant, weder für den prinzipiellen Erfolg von PKI noch für eine bestimmte Ausprägung.

Eine Kombination mit biometrischen Techniken ist hingegen abzusehen und nicht zu vermeiden: Im Consumer- und Unternehmenskontext vorrangig aus Usability- und Bequemlichkeitsgesichtspunkten, im staatlichen Bereich auch aus Sicherheitserwägungen heraus eingesetzt, dient Biometrie der eindeutigen Identifikation von Personen. Eine gezielte Förderung bestimmter Token, gebunden an die Akzeptanz durch die Verbraucher, ist dabei sinnvoll. Wichtig ist im Hinblick auf die Austauschbarkeit der Algorithmen, dass auch Smartcards und Token die hierfür notwendige Unterstützung gewähren.

Schlüsselmanagement und Gültigkeitsprüfungen leiden bisweilen auch unter Netzwerkproblemen, wenn Sicherheitssysteme nicht hinreichend auf PKIs eingestellt sind.

Betriebswirtschaftliche Betrachtungen

Von der betriebswirtschaftlichen Seite ist grundsätzlich zu diskutieren, ob eine PKI als Investition für eine innovative Infrastruktur oder für einen bestimmbaren Prozess zu sehen ist; eine Betrachtung jedes einzelnen Geschäftsprozesses ist allerdings enorm aufwändig. Die Studie hat hier als Problem identifiziert, dass PKI als Infrastruktur im Hinblick auf Einsparpotenziale nicht direkt prozessrelevant ist (wie u. a. auch E-Mail- oder Netzwerktechnik).

Diese Schwierigkeit, bei Innovationen keine an Prozessen ausgerichtete Return-on-Investment-Rechnung (ROI) durchführen zu können, gilt grundsätzlich für jeden Fall, wo Ausgaben für technische Grundlagen notwendig sind, um neuartige Prozesse zu ermöglichen. Identitätsmanagement als große Herausforderung für PKI leidet unter dem gleichen "Henne-Ei-Problem": ohne Grundlagentechnik keine neuen, schlanken Prozesse mit Einsparpotenzial – dieses Einsparpotenzial ergibt sich aber nicht für die Technologie-Treiber.

Letztendlich bleibt PKI ein Geschäftsprozess-Enabler (wie serviceorientierte Architekturen – SOA), dessen Aufwendungen sich aber nur im Kontext von konkreten Prozessen betriebswirtschaftlich begründen lassen. Wo das nicht geht, führt nur eine positive Grundhaltung gegenüber einer innovativen Infrastruktur zur Einführung einer PKI. Dieses Prinzip findet in Unternehmen aber immer weniger Anhänger.

Monetäre Argumente

Somit ergeben sich zwei mögliche finanziell motivierte, in der Natur der Sache durchaus ähnliche Argumentationen für eine PKI: entweder als Einsparmaßnahme, um Prozesse erstmalig digitalisieren zu können (z. B. elektronische Rechnungen) oder als Maßnahme zur Steigerung der Effizienz von Geschäftsprozessen, um bestehende Prozesse beschleunigt, vereinfacht oder vereinheitlicht elektronisch abbilden zu können (z. B. Authentifizierung mit Zertifikaten beim Business-Process-Outsourcing).

Allerdings haben selbst Prozess-Verantwortliche oft keinen Überblick über die Kosten eines Prozesses, weil die Kostenstrukturen in Unternehmen (noch?) an Infrastruktur- und Systemkomponenten hängen. Auch den Nutzen, geschweige denn das Risiko können Verantwortliche oft nicht quantifizieren. Prozess-Kosten sind daher nur sehr schwer zu berechnen, in der Folge Einsparungen eher selten objektiv nachweisbar und wenig vergleichbar, da sie direkt an die Komplexität des Geschäftsmodells im Unternehmen gekoppelt sind.

PKI erfordert somit Vorinvestitionen und damit, dass die Entscheider von der Sinnhaftigkeit einer PKI überzeugt sein müssen. Denn eine rein betriebswirtschaftliche Betrachtung aufgrund von Prozesskosten-Einsparungen erscheint in der überwiegenden Anzahl der Fälle nicht möglich.

PKIs im Einsatz

Unabhängig von dieser Problematik ist festzustellen, dass eine nicht unbeträchtliche Anzahl von PKIs schon in der Praxis eingerichtet wurden – gerade multinationale Unternehmen haben oft schon in der einen oder anderen Form PKI-Projekte realisiert. Selbst dort wird eine PKI allerdings oft nicht so flächendeckend genutzt, wie es möglich wäre. Ein positives Beispiel ist Siemens, wo die PKI mit Anwendungsservices (z. B. Authentifizierung) verknüpft ist und damit eine Motivation für Fachabteilungen besteht, sich dieser Dienste zu bedienen. Bei aller kritischen Diskussion soll deshalb auch betont werden, dass durchaus eine Reihe erfolgreicher Implementierungen existiert.

Auch wenn das Thema "Return on Security Investment" (ROSI) nicht direkt PKI-bezogen ist, spielt es doch bei Diskussionen um betriebswirtschaftliche Auswirkungen von (auch nur vermeintlichen) Sicherheits-Maßnahmen immer eine zentrale Rolle. Grundsätzlich geht es dabei um die Frage: Will man Schaden eindämmen, also Maßnahmen gezielt einsetzen, um bestimmte Ereignisse in ihrer Wirkung abzuschwächen, oder will man – analog zu einer Versicherung – Vorsorge treffen, um generell seinen Status quo besser zu schützen. Diese "ROSI-Frage" stellt sich für alle möglichen Risiken, die ein Unternehmen bedrohen.

Heikel ist dabei in beiden Alternativen, dass ROSI eher als "Kaffeesatzleserei" anzusehen ist: Denn die Kalkulationen gehen immer vom "verhinderten angenommenen Schaden" aus. Das impliziert die Annahme, dass ein Schadensfall nicht nur mit einer gewissen Wahrscheinlichkeit eintritt, sondern sogar (im Verhältnis der Wahrscheinlichkeit) tatsächlich irgendwann auftreten würde, wenn die schützende Maßnahme nicht umgesetzt würde – was aber ja keiner weiß.

Kostenpoker

Kosten auf Geschäftsprozessebene sind schwer berechenbar, wenn – wie häufig zu beobachten – die Prozesskomponenten nicht bekannt sind. Einzelne Kennzahlen wie ROI/ROSI oder der Net Present Value (NPV) liefern kein vollständiges Bild für eine Investitionsentscheidung. Häufig führen sie auch zu einem negativen Ergebnis, sprächen also gegen eine Investition. Erst mit der Anwendung eines Methodenmixes kann man eine detailliertere Kostenbetrachtung vornehmen: Hier sollten vor allem akzeptierte Methoden zum Einsatz kommen, beispielsweise ROSI inklusive Total-Cost-of-Ownership-Betrachtung (TCO) plus NPV plus Balanced Scorecards.

Auch wenn man den Nutzen nicht in Zahlen fassen kann, ist es in der Regel doch möglich, ihn zumindest qualitativ zu erfassen. Ein wesentlicher Faktor ist dabei, dass in der Natur der PKI "das Asymmetrische" liegt: Das heißt, aus Nutzengesichtspunkten ist es sehr wahrscheinlich – und das zeigt auch die Praxis –, dass derjenige, der die Kosten trägt, dennoch nicht den Nutzen hat.

Der gewünschte Kosten-Nutzen-Transfer kann – so ein Ergebnis der jetzigen Studie – tatsächlich gar nicht auf der Infrastrukturebene, sondern erst auf der Ebene der Geschäftsprozesse stattfinden. Das geht innerhalb einer Organisation relativ gut, da hier eine Infrastruktur-Investition (im Rahmen der Möglichkeiten) auch noch auf Prozess-Ebene als Nutzen erkennbar bleiben kann. Bei organisationsübergreifenden Prozessen ist hingegen ein Kosten-Nutzen-Transfer nur schwierig darstellbar. Daher finden auch PKI-Bezahlmodelle und Ansätze zur Verlagerung der Kosten keine Akzeptanz im Markt – ein Grund für den Niedergang der Trust-Center.

Es müssen daher andere Motivatoren für eine Kostenübernahme gefunden werden! Eine mögliche Motivation, die aber erfahrungsgemäß nicht lange hält, ist die Compliance, also eine Risikominderung für Geschäftsführer. Hier könnte der Einsatz von PKI als Enabling-Technology günstig erscheinen, wenn dadurch die Haftung auf Seiten des Dienste-Anbieters erhöht wird. Als Gegenargument könnte jedoch verringerte Innovationsgeschwindigkeit gelten.

Zusammengefasst bleibt PKI ohne Anwendung nur eine Infrastruktur ohne Wert. Ihr Wert kommt erst von den unterstützten, neu ermöglichten Prozessen. Ergeben sich keine neuen, verbesserten oder verschlankten Prozesse, braucht man also auch keine PKI. Konsequenterweise hat daher – auf die Spitze getrieben – PKI in einer ROSI-Berechnung nichts zu suchen! PKI ist in erster Linie "Business Enabler" und nur nachrangig Sicherheitstechnologie. PKI muss daher den Beweis antreten, dass ein Prozess ohne sie teurer ist als mit ihr. Ist eine PKI aber erst einmal etabliert – das zeigen die positiven Beispiele –, dann sind die Vorteile für die Unterstützung weiterer Geschäftsprozesse offensichtlich.

Nutzungsbedingungen

PKI ist bislang kein Massenmarkt (noch nicht "commoditized"), Lösungen von der Stange sind in der Praxis eher selten anzutreffen. Dazu passt, dass die Interoperabilität zwischen Lösungen oft noch nicht so weit ist, wie es sich die Kunden vorstellen. Das betrifft allem voran das Schlüsselmanagement: Anwender wünschen sich eine zentrale Verwaltung von allen Schlüsseln in ihrer Organisation und keine anwendungsspezifische Administration.

Wichtig erscheint den Autoren der Studie zudem die Beobachtung, dass PKI-Projekte "empfindlich" sind: Veränderung von Anforderungen und Randbedingungen im Laufe eines PKI-Projekts können dessen Erfolg infrage stellen. Die größten Schwierigkeiten sind aber meist politischer Natur: Ein Hauptgrund für Probleme ist paradoxerweise die Vertrauenswürdigkeit der PKI-unterstützten Prozesse, denn diese bedeutet gleichzeitig eine Einschränkung der Freiheit für Prozessbeteiligte. Es ergibt sich ein individuell empfundener Kontrollverlust: Beteiligte können Prozesse nicht mehr nach eigenem Gutdünken manipulieren (möglicherweise durchaus im Sinne des Unternehmens). Abstrakter formuliert: PKI zentralisiert Vertrauensentscheidungen und sichert einen vorgesehenen Prozessablauf. In der Praxis ist dies aber schwer durchsetzbar, weil es den individuellen Interessen der Mitarbeiter oder Abteilungen entgegenstehen kann.

Akzeptanz braucht Verständnis

Der Nutzen von IT-Sicherheit ist im Allgemeinen für den Anwender nicht fassbar. Dementsprechend bringt dieser auch kein Verständnis für zusätzliche Handlungen oder Entscheidungen auf, die im Security-Umfeld erforderlich wären. Endkunden und Heimanwender sowie Anwender im Unternehmensumfeld erwarten gleichermaßen, dass Geschäftsprozesse, mit denen sie zu tun haben, "in sich" sicher sind – und dass kein eigener Beitrag zur Sicherheit dieser Prozesse notwendig ist.

Um eine Akzeptanz für PKI-Anwendungen zu schaffen, müssen deshalb Vertrauensentscheidungen (z. B. "möchten Sie diesem Zertifikat vertrauen?") einfach und transparent sein, also im Kontext des Geschäftsprozesses und in der Sprache des Anwenders verständlich sein. Hier darf keine vom Geschäftsprozess losgelöste Entscheidung notwendig werden. Aus Akzeptanzgründen sollten deshalb idealerweise keine Entscheidungen durch den Anwender zu treffen sein, sondern die entsprechenden Alternativen durch die Vertrauensparameter des Geschäftsprozesses vorgegeben werden.

Erfahrene PKI-Projektleiter berichteten, dass der Support-Aufwand (Help-Desk, On-Site-Schulungen usw.) bei PKI ungleich höher sei als bei anderen IT-Projekten. Einerseits warnten sie davor, diesen Teil des Projektes zu unterschätzen, andererseits wurde mehrfach darauf hingewiesen, wie kritisch es für den Gesamtprojekterfolg sei, im Help-Desk geschulte Mitarbeiter zu haben, die Sicherheitsvorgaben nicht durch falsche Ratschläge korrumpieren.

Wirklich schwere Akzeptanzprobleme treten überwiegend erst bei organisationsübergreifenden Prozessen auf, weil gerade dort die Vertrauensentscheidungen kompliziert oder nicht nachvollziehbar sind. Aus IT-Leiter-Sicht ist häufig nicht klar, wer in einem solchen Szenario für die beteiligten Komponenten verantwortlich zeichnet. Letztendlich muss man zwischen drei verschiedenen Szenarien unterscheiden, die alle nach ihrer eigenen Dynamik funktionieren:

• Massenmarkt (Online-Shopping, Home-Banking etc.): Die Benutzung muss für den Anwender so leicht und so billig wie möglich sein. Dies kann durchaus bedeuten, dass PKI-Lösungen aufgrund ihrer Komplexität nicht zur Anwendung kommen. Zumindest sind in diesem Kontext die Anforderungen an Einfachheit, Transparenz und minimale Kosten für PKI-Lösungen besonders hoch.
• Unternehmenseinsatz: Hier ist größtmögliche Flexibilität erforderlich. Entsprechend den mehr oder weniger hohen Sicherheitsanforderungen müssen unterschiedliche Modelle, von der Technologie bis zur Stringenz der Mitarbeiterhandlungen, ein- und durchgesetzt werden. In diesem Umfeld haben Standardisierungen nicht die höchste Priorität, Insellösungen sind hier durchaus sehr erfolgreich – Standards können sich nur nach Marktregeln etablieren.
• Staatlicher Einflussbereich (z. B. Ausweise, aber auch steuerrelevante Prozesse der Finanzverwaltung): Standardisierung in Verbindung mit hoher Sicherheit und Nachhaltigkeit sind hier unverzichtbar. Dementsprechend sind eine Austauschbarkeit von Algorithmen, der Einsatz von Biometrie und vorkonfigurierte Vertrauensentscheidungen grundsätzlich vorzusehen.

Haftung

Bei der Analyse von Haftungsfragen war festzustellen, dass qualifizierte Zertifikate heute kaum verwendet werden. Ihre "A-Priori-Regulierung" der Haftungsfrage ist weltfremd. Es wird stattdessen empfohlen, mit PKI-Anwendungen unterschiedlicher Sicherheitsstufen in die Anwendung zu gehen und auf das "gelebte Recht" zu warten.

Die Sinnhaftigkeit des Sicherheitsniveaus qualifizierter Zertifikate wird zwar durch die Studie nicht infrage gestellt, aber die "staatliche Verordnung" dieses hohen Sicherheitsniveaus, verbunden mit beträchtlichen Kosten für alle Beteiligten, ist kritikwürdig. Darüber hinaus sollten Haftungsfragen nicht wegen des Einsatzes von PKI-Technik zu stellen sein, da sie für den jeweiligen Geschäftsprozess sowieso schon beantwortet worden sein müssen.

Als Fazit ergibt sich: Benutzer brauchen einfache und nachvollziehbare Vertrauensentscheidungen. Darüber hinaus müssen unternehmenspolitische Probleme vorab gelöst werden, um einen erfolgversprechenden PKI-Einsatz zu ermöglichen. Dabei ist zu beachten, dass dies nicht mit technischen Kniffen "erledigt" werden kann, auch wenn die Technik unter Umständen vor neue Anforderungen gestellt wird – die angeprochenen Probleme sind menschlicher, soziologischer Natur und müssen dementsprechend angegangen werden.

Zudem: Qualifizierte Zertifikate "sind die Mühe nicht wert" – zumindest für den Unternehmenseinsatz ist das Kosten-Nutzen-Verhältnis nicht akzeptabel. Gefordert ist stattdessen mehr Interoperabilität und zwar an zwei wesentlichen Stellen: bei der Integration der PKI in Geschäftsprozesse und bei der Verwaltung der Schlüssel. Darüber hinaus müssen weiter Konzepte entwickelt werden, um einfache(re) organisationsübergreifende Vertrauensbeziehungen zu modellieren, wie zum Beispiel "Instant Workgroups". Dabei ist wesentlich, dass "Vertrauen" prozessbezogen bleibt und einem Kommunikations- oder Geschäftspartner nicht grundsätzlich entgegengebracht werden muss.

Nach Meinung der Studien-Autoren lautet die wichtigste Erkenntnis aus diesem Abschnitt: Sicherheit ergibt sich aus Vertrauen und Kontrolle – und eine Reduzierung von Kontrolle kann nur durch Aufbau von Vertrauen kompensiert werden.

PKIs unterstützen eine komplexe Geschäftsprozesslandschaft, die zugehörige Policy sollte dennoch möglichst einfach, flexibel und pragmatisch sein und sich sich auf Risikomanagement gründen – rechtliche Anforderungen von "Spezialgesetzen" (qual. Sig. lt. SigG) erweisen sich als nicht relevant: Maßstab sind vielmehr Rechtswirksamkeit und Revisionssicherheit.

Empfehlungen

Im technischen Bereich gibt die vorliegende Studie die folgenden Empfehlungen:

• Token und ihre Personalisierung bilden einen erheblichen Kostenfaktor jeder PKI-Implementierung. Investitionssicherheit in diesem Bereich erfordert höhere Flexibilität bezüglich der in Hardware implementierten Algorithmen und Parameter. Dafür sind entsprechende Anreize für die Hardware-Hersteller notwendig. Alternative Formen zur Smartcard sollten weiter auf Alltagstauglichkeit untersucht werden.
• Schlüsselmanagement wird in der Zukunft eine wesentliche PKI-Funktionalität sein, die anwendungsübergreifend realisiert werden sollte. Dementsprechend sollte man die Interoperabilität von Schlüsselmanagement im Sinne eines "virtuellen Schlüsselbundes" fördern.
• Die Integration von PKIs in Anwendungen muss verbessert werden. Es stellen sich die Fragen: Wie kann das besser als momentan üblich umgesetzt werden? Wie lassen sich Erfahrungen mit flexiblen Vertrauensmodellen weiter ausbauen?
• Neue IT-Infrastrukturtrends müssen einbezogen werden. Dies gilt besonders für serviceorientierte Architekturen (SOA), denn dort ist eine Vertrauensbildung noch nicht modelliert. Für die Anwendungsintegration sollten Frameworks entwickelt werden.
• Die PKI-Grundlagenforschung muss sich mit einem Wirkungshorizont von 20+ Jahren beschäftigen. Stichworte sind der Zeitfaktor Quantenalgorithmen, die Sicherheit alternativer Krypto-Verfahren und Möglichkeiten und Grenzen von DNA-Computern.

Im betriebswirtschaftlichen Bereich empfiehlt die Studie:

• Um dem negativen Image zu begegnen, das PKI zurzeit hat, sollte entsprechendes Marketing durchgeführt werden, etwa in Form veröffentlichter Best-Practice-Beispiele.
• Ein Verständnis für die Sicherheitsanforderungen der Prozesse ist auch auf Managementebene erforderlich – Sicherheit muss impliziter Teil der Geschäftsprozessmodellierung und -entwicklung werden.
• Aus Kostensicht lassen sich PKI-Lösungen nur auf Geschäftsprozessebene sinnvoll betrachten; das erfordert detaillierte Kenntnisse dieser Prozesse. Deswegen müssen ausgewählte Kernprozesse benannt werden, die als "Enabler" dienen können. Prozessverantwortliche müssen die Anforderungen an zu erfüllende Sicherheitskriterien kennen und klar formulieren.
• Die Kosten fallen (gerade) bei Infrastrukturinvestitionen an anderer Stelle an als der Nutzen. Hier muss das Kosten-Nutzen-Verhältnis transparent gemacht werden: Die Kostenerbringer müssen auch am Nutzen teilhaben, um ihre Investitionen zu rechtfertigen.
• Einzelne Kennzahlen wie ROI/ROSI oder NPV liefern kein vollständiges Bild für eine Investitionsentscheidung und sind nach dem heutigen Stand nicht in der Lage, Public-Key-Infrastruktur-Ausgaben zu rechtfertigen. Diese Bewertungsverfahren gilt es praktikabler zu machen und um bestehende, in der Praxis verwendete Kennzahlensysteme für Sicherheitseigenschaften von Geschäftsprozessen zu erweitern. Mit der Anwendung eines Methodenmixes lässt sich eine detailliertere Kostenbetrachtung realisieren. Dabei sollten vor allem akzeptierte Methoden zum Einsatz kommen (z. B. ROSI inkl. TCO plus NPV plus Balanced Scorecards).
• Es bietet sich an, die Wirkung von Haftungsregelungen, technologieorientierte Regulierungen und mögliche Konsequenzen für PKI-Anwendungen im B2B- und B2C-Umfeld zu untersuchen. Ein alternativer Baustein könnte die Entwicklung und Förderung von Gütesiegeln für die Vertrauensbildung im elektronischen Geschäftsverkehr sein.

Als Empfehlungen im soziologischen Umfeld nennt die Studie:

• Im PKI-Umfeld sollten die Abhängigkeiten von Technik, Wirtschaft und soziologischen Aspekten untersucht werden, um die Vertrauensbildung im elektronischen Geschäftsverkehr zu verbessern.
• Unternehmen und Behörden sollten detaillierte Erfahrungsberichte von erfolgreichen und nicht erfolgreichen PKI-Projekten veröffentlichen; die Politik sollte hierfür eine Motivation schaffen.
• Es empfiehlt sich eine Förderung von Herstellern, die auf Interoperabilität achten. Proprietäre Insellösungen sollten im Behördenumfeld nicht zum Einsatz kommen.
• Eine deutlich stärkere Orientierung an Geschäftsprozessen und dementsprechende Kompetenz durch Lösungshersteller ist essenziell, um den Einsatz von PKIs zu stärken.
• PKI-Anwendungen dürfen Anwender nicht vor komplexe Vertrauensentscheidungen stellen, sondern sollten diese vielmehr im Rahmen ihrer Geschäftsprozesses "abholen".
• Qualifizierte Zertifikate können mit ihrem Zweck für den regulierten Einsatz im Urkundenbereich (im strengen Sinne für Formvorschriften) zunächst nur auf nationaler Ebene verwendet werden. Sie sind nicht als prägend für die in diesem Beitrag behandelten PKI-Anwendungen anzusehen.
• Es sollten Formen einfacherer organisationsübergreifender Vertrauensmodelle ("Instant Workgroups") untersucht werden.
• Wichtig ist auch die Forderung und Förderung "globaler" digitaler Identitäten mit öffentlicher Akzeptanz sowie die Förderung von sicherheitsbewusstem Verhalten (durch verschiedene Maßnahmen, etwa Steuervorteile).

Das vorliegende Projekt "Erfolgskriterien für Signatur-, Identifizierungs- und Authentifizierungsverfahren auf Basis asymmetrischer kryptographischer Verfahren" [1] hat viele "Binsenweisheiten" durch den Einsatz von wissenschaftlichen Methoden belegt, aber auch eine Reihe überraschender Ergebnisse hervorgebracht. Etliche dieser Erkenntnisse – gerade in Bezug auf wirtschaftliche Aspekte und die Nutzungsbedingungen – erscheinen dabei über den PKI-Bereich hinaus zu gelten und auch auf das Security-Management im Allgemeinen übertragbar zu sein.

Malte Hesse ist wissenschaftlicher Mitarbeiter am ifis – Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen ( www.internet-sicherheit.de).

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007^#4, Seite 60
tag:kes.info,2007:art:2007-4-060