computerwoche.de

Archiv

Expertenrunde zu Public-Key-Infrastrukturen

12.04.2002
Von 
Vice President Software & SaaS Markets PAC Germany
Alle Posts des Autors

Ungeachtet der PKI-Produkte namhafter Hersteller nutzen einige Unternehmen statt dessen die Technik "Pretty Good Privacy" (PGP), um etwa ihre E-Mail-Kommunikation abzusichern. Zu ihnen zählt beispielsweise der Chemiekonzern BASF aus Ludwigshafen. Ob dieses Beispiel Schule machen kann, bezweifelt Norbert Olbrich von RSA Security jedoch. Auch hier gelte es, das Verfahren zunächst in bestehende Anwendungen wie E-Mail-Software einzubinden.

Die Kosten für eine PKI-Einführung sind ohnehin nur schwer zu beziffern. Geht es nur um die Web-basierende Authentifizierung einer Vielzahl von Benutzern, fallen für ein elektronisches Zertifikat etwa zwei bis drei Dollar pro Anwender an. Müssen Clients angepasst werden, betragen die Aufwendungen für jeden Arbeitsplatz bereits 200 Dollar.

Bestandteile einer PKI: Public-Key-Infrastrukturen (PKIs) lassen sich nicht durch den Erwerb eines einzelnen Produkts realisieren. Vielmehr bestehen sie aus einer Reihe von Funktionsbausteinen, verbunden mit Verwaltungsinstanzen. Der Name "Public Key" rührt von dem asymmetrischen Verschlüsselungsverfahren her, das bei solchen Systemen zum Einsatz kommt. Jeder Kommunikationsteilnehmer verfügt über ein Schlüsselpaar, nämlich einen öffentlichen (public) und einen geheimen (private) Key. Mit dieser Schlüsselkombination lassen sich Dateien codieren sowie Dokumente oder E-Mails signieren. Jeder Anwender erhält zudem ein elektronisches Echtheitszertifikat, vergleichbar mit einem Behördenstempel. Eine PKI besteht aus Systemen zur Schlüsselerzeugung sowie zur Verwaltung der Zertifikate, darüber hinaus sind Verzeichnisse für Benutzer erforderlich. Neben der

Technik müssen Firmen organisatorische Vorkehrungen treffen, um die Technik in die Arbeitsabläufe einzubeziehen.

Outsourcing angebracht

Noch höhere Investitionen sind fällig, wenn zusätzlich eine Integration in Applikationen sowie externes Beratungs-Know-how erforderlich sind. Diese Zahlen beruhen auf Erfahrungswerten der Meta Group. "Wie so oft stellt sich für Firmen die Frage: Kaufen oder Mieten?", bemerkt Faktum-Geschäftsführerin Frey. So können Unternehmen die Verwaltung der Zertifikate von einem Dienstleister abwickeln lassen. Eine komplette PKI intern abzubilden sei für die meisten Firmen ohnehin zu teuer.