Konzentration auf spezielle Einsatzbereiche führt zum Erfolg

Anwender gehen PKI-Projekte gezielter an

24.09.2004
MÜNCHEN (ave) - In der Vergangenheit brachten PKI-Projekte in Unternehmen nicht immer den gewünschten Erfolg: Viele gerieten ins Stocken oder scheiterten, weil der gewählte Ansatz zu umfassend war und zu viele Applikationen berücksichtigen sollte. Die Konzentration auf eine Kernanwendung hat sich hingegen bewährt.

Manchmal irren sich auch Analysten: Gründlich daneben lag beispielsweise die Aberdeen Group, die in einer Studie vor wenigen Jahren prophezeite, dass bis 2003 etwa 98 Prozent aller Unternehmen das Verschlüsselungssystem Public Key Infrastructure (PKI) einsetzen werden. Die Realität im Jahr 2004 sieht leider anders aus: Bei einer Online-Umfrage der Computerwoche gab lediglich ein Drittel (34,2 Prozent) der Antwortenden an, derzeit eine PKI innerhalb des Unternehmens zu nutzen, weitere 10,8 Prozent planen die Implementierung einer derartigen Lösung. Fast die Hälfte (44,7 Prozent) der Antwortenden verfügt noch nicht über eine PKI.

Dabei sind diese Systeme durchaus nützlich und längst nicht nur auf das Thema Verschlüsselung von E-Mails oder Daten begrenzt: Auch Berechtigungskonzepte oder Systeme zum Nachweis der Urheberschaft von Texten oder Dokumenten lassen sich mit den bereitstehenden digitalen Zertifikaten realisieren.

Allerdings ist "die große Euphorie um PKI verflogen", stellt Jörg Völker, Security Consultant beim Dienstleistungsunternehmen Secorvo fest. Das liegt unter anderem daran, dass in der Vergangenheit einiges schief lief, wenn es um PKI ging. Nach Erkenntnissen der Meta Group scheiterten im Jahr 2002 weltweit rund 43 Prozent aller PKI-Projekte. Bei einer Befragung deutscher Anwender im Jahr 2001 hatten rund 23 Prozent noch angegeben, Pilotvorhaben in die Wege zu leiten. Diese sind den Analysten zufolge jedoch "mit zunehmender Abschwächung des wirtschaftlichen Klimas dem Rotstift zum Opfer gefallen".

Wenn Unternehmen sich in der Vergangenheit an das Thema PKI wagten, wählten sie dabei häufig eine falsche Herangehensweise. Wie Secorvo-Mann Völker berichtet, "krankten viele Projekte daran, dass ein viel zu breiter Ansatz verfolgt wurde, der darauf abzielte, erst einmal eine PKI als Infrastrukturkomponente aufzubauen und zu betreiben". An die Anwendungen und daran, wie sie in die PKI integriert werden können, wurde erst in zweiter Linie gedacht. "Wer einen zu globalen Ansatz wählt, läuft Gefahr, sich zu verheddern", warnt der Experte.

Anscheinend haben aber sowohl die Industrie als auch die Anwender aus den Fehlern der Vergangenheit gelernt. So schätzt etwa die Meta Group, dass Anwender ab dem Jahr 2004 verstärkt mit dem Aufbau von PKIs beginnen, dabei jedoch "selektiv und vorsichtig" vorgehen. Typisch sei das Realisieren derartiger Projekte für spezielle Bereiche oder Nutzergruppen. Die Investitionen in PKIs wachsen aus Sicht der Analysten - in Deutschland vor allem getrieben von großen Unternehmen - "gering, aber stetig".

Spezialist Völker bestätigt, es gebe nach wie vor Unternehmen, die den Einsatz derartiger Techniken planen und realisieren. "Die meisten größeren Finanzinstitute haben bereits die eine oder andere PKI-Lösung, außerdem sehen wir insbesondere Aktivitäten im Bereich der Automobilindustrie sowie der Chemie", weiß der Experte. Die Eurofighter GmbH in Hallbergmoos bei München hat auf Basis von Entrust-Technik ein umfassendes PKI-Projekt realisiert, das die Sicherheit bei der Produktion des Kampfjets gewährleisten soll. In Berlin ist die Bundesversicherungsanstalt für Angestellte (BfA) derzeit dabei, eine signaturgesetzkonforme Infrastruktur aufzubauen.

Sichere E-Mail als Motor für PKI

Wie Völker berichtet, gehen Unternehmen, die heute ein PKI-Projekt planen, "wesentlich zielgerichteter vor, als dies noch vor zwei, drei Jahren der Fall war." Aktuell laufende Projekte seien stark auf tatsächliche Einssatzszenarien und die betroffenen Anwendungen ausgerichtet, die von der PKI profitieren sollen. Dabei ist aus seiner Sicht die E-Mail-Verschlüsselung "nach wie vor der Klassiker, der das Thema PKI antreibt." Wer sichere E-Mail-Kommunikation im Unternehmen einführen will, komme an PKI "so gut wie nicht vorbei." Aber auch Themen wie Remote Access via VPN sowie das Chiffrieren von Festplatten, Dateien oder Verzeichnissen lassen sich mit Hilfe einer PKI lösen. Volker Zeuner, Vertriebsleiter bei Secunet, ergänzt, dass überdies das Einführen von Berechtigungskonzepten und die Möglichkeit, Dateien oder Dokumente über elektronische Signaturen gezielt einzelnen Personen zuzuordnen, wichtige Einsatzbereiche der Technik darstellen.

Damit die Kosten nicht aus dem Ruder laufen und das Gelingen der Projekte nicht gefährdet wird, gilt es einige Ratschläge zu beherzigen. Berater Völker empfiehlt in diesem Zusammenhang: "Das A und O eines jeden PKI-Projekts sollte die penible und exakte Anforderungsanalyse sein." Damit schafft man sich ein solides Fundament, das später auch die Auswahl des geeigneten Herstellers beziehungsweise Produkts erleichtert. Dabei sei es jedoch auch im Hinblick auf die Kosten wichtig, nicht nur die Anschaffung einer konkreten PKI-Lösung zu bedenken, sondern auch die Folgekosten während des laufenden Betriebs im Auge zu behalten. "So kann die Microsoft-Lösung unter Berücksichtigung der erforderlichen Funktionalitäten und Betriebskosten der PKI teurer sein als andere", gibt der Experte zu bedenken.

PKI-Spezialist Zeuner rät Unternehmen zudem, sich bereits frühzeitig Gedanken zu machen, welche Anwendungen in Zukunft möglicherweise ebenfalls vom Einsatz der PKI profitieren könnten. Neben der daran anschließenden Auswahl eines möglichst offenen, zukunftssicheren Systems empfiehlt der Secunet-Mann, bereits frühzeitig damit zu beginnen, bei den Mitarbeitern für die Akzeptanz der PKI zu werben. Besonders dieser letzte Punkt sei für den Erfolg einer PKI-Lösung enorm wichtig, denn die zugrunde liegende Technik sei "zwar ausgereift, aber kompliziert". Insbesondere die Schnittstellen zu den Anwendern sind aus seiner Sicht noch verbesserungswürdig und der Bedienungskomfort "noch nicht ausgereift genug, um PKI bei den einzelnen Mitarbeitern beliebt zu machen".

Die Flops der letzten Jahre waren zum Teil aber auch auf handfeste technische Probleme zurückzuführen. Hans Ydema, Geschäftsführer beim PKI-Spezialisten Entrust Technologies GmbH, berichtet, dass in der Vergangenheit mehrere Unternehmen zwar derartige Lösungen gekauft, aber letztlich nicht eingesetzt hätten. Die Software sei unter anderem deshalb im Schrank gelandet, weil Tests ergaben, dass die Systeme noch nicht einmal im Labor richtig funktionierten.

Sicherheitsexperte Völker bestätigt: "Viele Anwendungen verursachten Schwierigkeiten bei der Anbindung an die PKI. Andererseits kam es vor, dass selbst standardisierte Verfahren wie zum Beispiel S/Mime in der Praxis häufig zu Problemen führten, da die entsprechenden Anwendungen nicht interoperabel waren." Victor Wheatman, Vice-President IT Security bei Gartner, schätzt die Lage ähnlich ein. Außerdem, so der Analyst, bereite vielen Anwendern gestern wie heute die Frage Kopfzerbrechen, wie sie digitale Zertifikate entweder auf Desktops oder anderen Medien wie Smart Cards oder USB-Tokens speichern können. Unklarheiten herrschen zudem, was die Wahl des zu benutzenden Verzeichnisses anging.

Ydema erinnert sich außerdem, dass E-Mails beim Senden zwischen verschiedenen Servern immer wieder zusätzlich verschlüsselt wurden. Die Folge war ein ständiger Anstieg der zu übertragenden Datenmenge, was schließlich zu Netzwerkproblemen führte. Ein anderes Problem lag darin, zu entscheiden, wo die Entschlüsselung anfängt - an einem Server oder am Desktop des Mitarbeiters? Außerdem existierte lange Zeit keine Lösung für die Stellvertreterfrage: Wenn eine E-Mail an einen Mitarbeiter geschickt wird, der wegen Krankheit oder einem anderen Grund seine Nachrichten nicht abrufen kann, muss unter Umständen eine andere Person in der Lage sein, auf die verschlüsselten Daten zuzugreifen. Schwierigkeiten dieser Art seien inzwischen jedoch gelöst.

Abschreckend hätten auf viele Unternehmen jedoch auch die hohen Implementierungskosten gewirkt, die laut Ydema "in einer ähnlichen Größenordnung wie bei einer SAP-Einführung" lagen. Inzwischen sind auch hier die Preise gesunken, was nicht zuletzt daran liegen dürfte, dass Microsoft inzwischen mit Windows 2000 beziehungsweise Windows 2003 seinen Kunden die Grundlagen für den Aufbau einer PKI sozusagen frei Haus liefert.

Inzwischen hat sich auch die Organization for the Advancement of Structured Information Standards (Oasis) das Thema PKI verstärkt auf die Fahnen geschrieben. Um die Verbreitung der Technik zu fördern, wurde ein Technical Committee (TC) eingerichtet, das ausgehend von einer Anwenderbefragung im Juni und August 2003 in diesem Frühjahr einen "PKI Action Plan" vorgelegt hat. Darin werden nicht nur die größten Hürden für die Einführung einer PKI herausgestellt (siehe Kasten "Die fünf größten Hürden"), sondern auch Empfehlungen ausgesprochen, wie sie zu beseitigen sind.

Unter anderem fordert das Dokument, spezifische Profile oder Richtlinien zu entwickeln, die den Gebrauch technischer Standards in der Praxis beschreiben. Auf diesem Weg soll die Interoperabilität verbessert werden. Außerdem werden die Hersteller dazu aufgerufen, ihre Produkte verstärkt zu testen, um das reibungslose Zusammenspiel sicherzustellen. Die Autoren regen zudem das Erstellen eines "PKI-Kochbuchs" an, das Anwendern in leichten Schritten den Weg zum Aufbau einer einfachen PKI zeigt, die sich anpassen lässt, um höheren Ansprüchen zu genügen. Um die Kosten einzudämmen, schlägt der Action Plan den Anbietern außerdem vor, Anwendern PKI-Software kostenlos zur Verfügung zu stellen, um ohne finanzielles Risiko Pilotprojekte oder Tests zu fahren.

An der Umsetzung einiger dieser Punkte wird bereits gearbeitet. Um den Fortschritt der Anstrengungen zu gewährleisten, will das PKI-Forum weitere Befragungen organisieren und auswerten.

Klar ist, dass das Kapitel PKI nicht abgeschlossen ist, sondern Anwender auch in Zukunft beschäftigen wird. Gartner-Analyst Wheatman sieht bereits ein mögliches Thema, das wieder für frischen Schwung sorgen könnte: "Komplexe Web-Services zwischen mehreren Teilnehmern sind ohne die asymmetrischen Verschlüsselungsfunktionen einer PKI nicht in der Lage, Vertrauensbeziehungen adäquat darzustellen und gleichzeitig Vertraulichkeit und Datenschutz zu gewährleisten." Auch Spezialist Zeuner ist sich sicher: "An PKI führt auf lange Sicht kein Weg vorbei, die Technik wird nicht wieder verschwinden."

Hier lesen Sie ...

- mit welchen technischen Schwierigkeiten PKI-Vorhaben in der Vergangenheit behaftet waren;

- dass auch die Herangehensweise der Anwender oft nicht angemessen war;

- bei welchen Anwendungen PKI Vorteile bringen kann;

- wie Unternehmen bei der Planung neuer Projekte vorgehen sollten;

- was die Zukunft für PKI bringt.

Die fünf größten PKI-Hürden

1. Unzureichender Support durch Anwendungen;

2. zu hohe Kosten;

3. fehlendes Verständnis der Technik;

4. Fokus zu sehr auf der Technik, nicht auf dem eigentlichen Bedarf im Unternehmen;

5. schlechte Interoperabilität.

Quelle: "PKI Action Plan", PKI-Forum

So funktioniert PKI

Public Key Infrastructure (PKI) ist ein umfassendes Sicherheitssystem, das sich digitaler Zertifikate bedient, um Anwender zu identifizieren, den Zugang zu bestimmten Ressourcen zu kontrollieren, Kommunikation oder Dateien/Dokumente zu verschlüsseln und digital zu signieren. Dies geschieht nach dem Prinzip der von den Crypto-Spezialisten Whitfield Diffie und Martin Hellman 1976 entwickelten asymmetrischen Verschlüsselung über das Public-Key-Verfahren. Dabei besitzt jeder Anwender einen privaten und einen öffentlichen Schlüssel, mit dem er Daten oder Dokumente ver- beziehungsweise entschlüsseln kann. Dieses Schlüsselpaar hängt zwar mathematisch zusammen, es ist jedoch rechnerisch nicht möglich, aus der öffentlichen Komponente die private abzuleiten. Die technischen Grundlagen für PKI bildet die Empfehlung X.509 der International Telecommunication Union (ITU-T).

Und so funktioniert PKI im einzelnen: Will Mitarbeiterin Alice eine sichere Nachricht an Mitarbeiter Bob schicken, benötigt sie dazu seinen öffentlichen Schlüssel. Dieser wird in der Regel in einem LDAP-kompatiblen Verzeichnis abgelegt, wo Alice und andere ihn einsehen können. Alice verschlüsselt nun die Nachricht und unterschreibt mit ihrem privaten Schlüssel. Damit kann Bob später durch das Abgleichen mit dem öffentlichen Schlüssel von Alice deren Identität eindeutig bestätigen, denn niemand sonst kann oder sollte im Besitz dieses Zertifikats sein als sie selbst. Entsprechend kann die von Alice erzeugte Nachricht ausschließlich Bob lesen, da nur er den dazu nötigen privaten Schlüssel besitzt.

Damit dieses komplizierte System reibungslos funktioniert, bedarf es einer durchdachten Infrastruktur, die sorgfältig geplant und verwaltet werden muss. Unter anderem braucht es eine zentrale Instanz (Certificate Authority = CA), die digitale Zertifikate für Anwender, Services oder Anwendungen erstellt oder auch wieder einzieht. Mit dem ihr eigenen privaten Schlüssel "unterschreibt" die CA diese digitalen Dokumente. Unter Verwendung des öffentlichen Schlüssels der CA kontrollieren wiederum alle am PKI-System partizipierenden Parteien die Echtheit des Zertifikats. Die CA-Funktion kann innerhalb des Unternehmens auf einem oder mehreren Servern unter der Obhut der IT-Abteilung laufen oder von einem Drittanbieter (etwa Verisign oder GTE) als Service bereitgestellt werden.

Eine Registration Authority (RA) nimmt die Anträge auf Erteilung eines digitalen Zertifikats entgegen und überprüft die Identität eines jeden Antragstellers (etwa anhand des Ausweises). Diese Aufgaben könnte beispielsweise die Personalabteilung eines Unternehmens erfüllen.

Zudem ist ein zentrales Verzeichnis (ebenfalls in der Regel auf LDAP-Basis) nötig, in dem alle Zertifikate, öffentlichen Schlüssel und die so genannten Certificate Revocation Lists (CRLs) vorgehalten werden. Da die CA normalerweise ein Verfallsdatum (Time stamp) für digitale Zertifikate vergibt, wird mittels der CRLs festgehalten, wie lange bestimmte Zertifikate ihre Gültigkeit behalten. Sinnvoll ist zudem ein Dienst, um verloren gegangene Schlüssel wiederherzustellen.