"Viele Firmen sind dem Irrglauben erlegen, PKI würden all ihre Probleme in puncto Authentifizierung, Verschlüsselung und digitaler Signatur lösen", kommentiert Carsten Casper, Security-Berater der Meta Group aus Essen, die derzeitige Situation. Von einem explosionsartigen Wachstum, wie es beispielsweise das Marktforschungsunternehmen Datamonitor vorhersagt, kann der Berater wenig spüren. Die Analysten beziffern das Umsatzvolumen für PKI-Technik im Jahr 2001 auf 436 Millionen Dollar und erwarten für 2005 satte 3,4 Milliarden Dollar.
Kleine Schritte statt GroßprojektenNach Meinung Caspers sollten sich Firmen zwar eine umfassende PKI-Strategie zurechtlegen, doch statt alle Mitarbeiter, Kunden und Partner in ein gigantisches Projekt einzubeziehen, sei es besser, kleine, konkrete Vorhaben umzusetzen, für die sich in Bezug auf diese Sicherheitstechnik eine geschäftliche Notwendigkeit ergibt. Dem kann Norbert Olbrich, Technical Manager beim Sicherheitsspezialisten RSA Security aus Mainz, nur beipflichten. Sein Unternehmen zählt zu den Herstellern von PKI-Technologie. "Firmen müssen sich die Frage stellen, wo es Geschäftsprozesse gibt, die sich mit PKI-Technik zwecks Prozessautomatisierung kombinieren lassen." Prädestiniert dafür seien gut strukturierte Vorgänge.
In den meisten Fällen sind Prozessoptimierungen jedoch gar nicht die Intention der Firmen, die mit einer PKI liebäugeln. Meta-Consultant Casper legte Ergebnisse einer Studie seines Unternehmens vor, wonach die meisten Firmen (63 Prozent) diese Systeme in Verbindung mit dem Remote-LAN-Access nutzen wollen. Ebenfalls hoch im Kurs steht die Absicherung von E-Mail-Systemen. Nur jede fünfte befragte Firma plant die Anwendung der digitalen Signatur, obwohl gerade dieses Thema die PKI-Technik bekannt gemacht hat. Die Anschaffung einer PKI-Lösung allein als Grundlage für einen besseren Zugriffsschutz hält Barbara Frey indes für nicht wirtschaftlich. Die Geschäftsführerin der Firma Faktum Softwareentwicklung, die wie RSA Security ihren Sitz in Mainz hat, ist in einige PKI-Projekte bei Finanzinstituten involviert. Ihrer Ansicht nach ließen sich viele, heute noch mit Medienbrüchen behaftete Vorgänge durch den Einsatz der digitalen Signatur vereinfachen und beschleunigen, und Banken würden von dieser Möglichkeit Gebrauch machen. Um dies zu verwirklichen, kommen Anwender aber nicht umhin, ihre bestehenden Applikationen PKI-tauglich zu machen. Da dies auch die Hersteller erkannt haben, gibt es eine Reihe von Standards. RSA-Mann Olbrich verweist hier etwa auf den Public Key Cryptography Standard (PKCS), in dem unter anderem der Austausch und das Abspeichern von Zertifikaten spezifiziert ist. Zudem existiere mit X.509 ein weltweit gültiger Zertifikatsstandard. Gleichwohl räumt der Sicherheitsexperte ein, dass es gerade bei den Standards feine Unterschiede gebe. Nicht jeder Hersteller decke alle Funktionen ab.
Viele Vorhaben floppenTrotz Standards scheint es Firmen nach wie vor große Schwierigkeiten zu bereiten, ihre Anwendungssoftware mit der PKI-Technik zu verbinden. Meta-Berater Casper verweist auch hierbei auf eine Umfrage seines Unternehmens, in der sich Probleme bei der Integration in die bestehenden IT-Systeme als Hauptgrund für das Scheitern von PKI-Projekten herauskristallisiert haben. Bei 35 Prozent der missglückten Vorhaben war eine Einbindung anderer Sicherheitsprodukte nicht möglich. Das Fehlen von Standards sei indes nur von 13 Prozent als Ursache für den Fehlschlag genannt worden. Im Finanzwesen scheint die Situation besser zu sein. Faktum-Geschäftsführerin Frey nennt hier als Beispiel Softwarelösungen auf Basis des deutschen Online-Banking-Verfahrens Home Banking Computer Interface (HBCI), das sich auf Public-Key-Technik stützt. Zudem erinnert Frey daran, dass Hersteller damit begonnen haben, PKI-Funktionen in Betriebssystem-Software zu integrieren. Doch hier seien die Anbieter noch am Anfang, da sie erst jetzt den Bedarf für solche Komponenten erkannt hätten.
Ungeachtet der PKI-Produkte namhafter Hersteller nutzen einige Unternehmen statt dessen die Technik "Pretty Good Privacy" (PGP), um etwa ihre E-Mail-Kommunikation abzusichern. Zu ihnen zählt beispielsweise der Chemiekonzern BASF aus Ludwigshafen. Ob dieses Beispiel Schule machen kann, bezweifelt Norbert Olbrich von RSA Security jedoch. Auch hier gelte es, das Verfahren zunächst in bestehende Anwendungen wie E-Mail-Software einzubinden.
Die Kosten für eine PKI-Einführung sind ohnehin nur schwer zu beziffern. Geht es nur um die Web-basierende Authentifizierung einer Vielzahl von Benutzern, fallen für ein elektronisches Zertifikat etwa zwei bis drei Dollar pro Anwender an. Müssen Clients angepasst werden, betragen die Aufwendungen für jeden Arbeitsplatz bereits 200 Dollar.
Outsourcing angebrachtNoch höhere Investitionen sind fällig, wenn zusätzlich eine Integration in Applikationen sowie externes Beratungs-Know-how erforderlich sind. Diese Zahlen beruhen auf Erfahrungswerten der Meta Group. "Wie so oft stellt sich für Firmen die Frage: Kaufen oder Mieten?", bemerkt Faktum-Geschäftsführerin Frey. So können Unternehmen die Verwaltung der Zertifikate von einem Dienstleister abwickeln lassen. Eine komplette PKI intern abzubilden sei für die meisten Firmen ohnehin zu teuer.
Möglicherweise stößt die Technik erst über Umwege ins Unternehmen vor. "PKI greift in das Leben jedes Einzelnen ein, beispielsweise durch die elektronische Steuererklärung oder über das Smartcard-gestützte Homebanking", so Frey. Die Frage ist, ob der Inhaber einer Bank-Smartcard weitere Zertifikate auf dieses System laden kann, um sich mit der Chipkarte auch bei anderen Diensten oder Anwendungen anzumelden. Hier dämpft jedoch Olbrich von RSA Security die Erwartungen. "Es dürfte kaum im Interesse der Bank liegen, wenn ein Kunde deren Smartcard auch für Transaktionen bei anderen Geldinstituten nutzt."
Identifikation via Handy?Von großer Bedeutung für den Erfolg von PKI-Systemen ist ohne Zweifel die Akzeptanz des Anwenders. Wie dies funktionieren kann, haben die Mobilfunk-Netzbetreiber bewiesen, denn in jedem Handy steckt eine Smartcard, mit der sich das Gerät gegenüber dem Netzbetreiber authentifiziert. Es wäre nach Ansicht von Olbrich auch technisch ohne weiteres machbar, die PKI-Funktionen im Mobiltelefon mit Applikationen zu verbinden, etwa zur Identifikation des Benutzers. Anbieter mobiler Bezahlsysteme machen sich dies bereits zunutze, etwa das von der Deutschen Bank forcierte "Paybox"-Verfahren.
Demnächst wollen auch Vodafone und T-Mobile ein ähnliches Payment-Verfahren einführen. Vor allzu großer Euphorie warnt indes Meta-Berater Casper. Die PKI-Systeme der Mobilfunknetze auch beispielsweise für den Zugriff auf Firmenanwendungen zu nutzen setze ein gehöriges Maß an Vertrauen in die Netzbetreiber voraus.
Bestandteile einer PKIPublic-Key-Infrastrukturen (PKIs) lassen sich nicht durch den Erwerb eines einzelnen Produkts realisieren. Vielmehr bestehen sie aus einer Reihe von Funktionsbausteinen, verbunden mit Verwaltungsinstanzen. Der Name "Public Key" rührt von dem asymmetrischen Verschlüsselungsverfahren her, das bei solchen Systemen zum Einsatz kommt. Jeder Kommunikationsteilnehmer verfügt über ein Schlüsselpaar, nämlich einen öffentlichen (public) und einen geheimen (private) Key. Mit dieser Schlüsselkombination lassen sich Dateien codieren sowie Dokumente oder E-Mails signieren. Jeder Anwender erhält zudem ein elektronisches Echtheitszertifikat, vergleichbar mit einem Behördenstempel. Eine PKI besteht aus Systemen zur Schlüsselerzeugung sowie zur Verwaltung der Zertifikate, darüber hinaus sind Verzeichnisse für Benutzer erforderlich. Neben der Technik müssen Firmen organisatorische Vorkehrungen treffen, um die Technik in die Arbeitsabläufe einzubeziehen.