Wenn Unternehmen sich in der Vergangenheit an das Thema PKI wagten, wählten sie dabei häufig eine falsche Herangehensweise. Wie Secorvo-Mann Völker berichtet, "krankten viele Projekte daran, dass ein viel zu breiter Ansatz verfolgt wurde, der darauf abzielte, erst einmal eine PKI als Infrastrukturkomponente aufzubauen und zu betreiben". An die Anwendungen und daran, wie sie in die PKI integriert werden können, wurde erst in zweiter Linie gedacht. "Wer einen zu globalen Ansatz wählt, läuft Gefahr, sich zu verheddern", warnt der Experte.

Anscheinend haben aber sowohl die Industrie als auch die Anwender aus den Fehlern der Vergangenheit gelernt. So schätzt etwa die Meta Group, dass Anwender ab dem Jahr 2004 verstärkt mit dem Aufbau von PKIs beginnen, dabei jedoch "selektiv und vorsichtig" vorgehen. Typisch sei das Realisieren derartiger Projekte für spezielle Bereiche oder Nutzergruppen. Die Investitionen in PKIs wachsen aus Sicht der Analysten - in Deutschland vor allem getrieben von großen Unternehmen - "gering, aber stetig".

Spezialist Völker bestätigt, es gebe nach wie vor Unternehmen, die den Einsatz derartiger Techniken planen und realisieren. "Die meisten größeren Finanzinstitute haben bereits die eine oder andere PKI-Lösung, außerdem sehen wir insbesondere Aktivitäten im Bereich der Automobilindustrie sowie der Chemie", weiß der Experte. Die Eurofighter GmbH in Hallbergmoos bei München hat auf Basis von Entrust-Technik ein umfassendes PKI-Projekt realisiert, das die Sicherheit bei der Produktion des Kampfjets gewährleisten soll. In Berlin ist die Bundesversicherungsanstalt für Angestellte (BfA) derzeit dabei, eine signaturgesetzkonforme Infrastruktur aufzubauen.

Sichere E-Mail als Motor für PKI

Wie Völker berichtet, gehen Unternehmen, die heute ein PKI-Projekt planen, "wesentlich zielgerichteter vor, als dies noch vor zwei, drei Jahren der Fall war." Aktuell laufende Projekte seien stark auf tatsächliche Einssatzszenarien und die betroffenen Anwendungen ausgerichtet, die von der PKI profitieren sollen. Dabei ist aus seiner Sicht die E-Mail-Verschlüsselung "nach wie vor der Klassiker, der das Thema PKI antreibt." Wer sichere E-Mail-Kommunikation im Unternehmen einführen will, komme an PKI "so gut wie nicht vorbei." Aber auch Themen wie Remote Access via VPN sowie das Chiffrieren von Festplatten, Dateien oder Verzeichnissen lassen sich mit Hilfe einer PKI lösen. Volker Zeuner, Vertriebsleiter bei Secunet, ergänzt, dass überdies das Einführen von Berechtigungskonzepten und die Möglichkeit, Dateien oder Dokumente über elektronische Signaturen gezielt einzelnen Personen zuzuordnen, wichtige Einsatzbereiche der Technik darstellen.

Damit die Kosten nicht aus dem Ruder laufen und das Gelingen der Projekte nicht gefährdet wird, gilt es einige Ratschläge zu beherzigen. Berater Völker empfiehlt in diesem Zusammenhang: "Das A und O eines jeden PKI-Projekts sollte die penible und exakte Anforderungsanalyse sein." Damit schafft man sich ein solides Fundament, das später auch die Auswahl des geeigneten Herstellers beziehungsweise Produkts erleichtert. Dabei sei es jedoch auch im Hinblick auf die Kosten wichtig, nicht nur die Anschaffung einer konkreten PKI-Lösung zu bedenken, sondern auch die Folgekosten während des laufenden Betriebs im Auge zu behalten. "So kann die Microsoft-Lösung unter Berücksichtigung der erforderlichen Funktionalitäten und Betriebskosten der PKI teurer sein als andere", gibt der Experte zu bedenken.