Die TREND REPORT-Redaktion im Gespräch mit Sebastian Schulz, Partner Account Manager bei GlobalSign über die Rolle von Public-Key-Infrastrukturen (PKI) und sichere Identitäten im Zeitalter des Internets of Everything.

Herr Schulz, was sind aus Ihrer Sicht heraus, die wichtigsten Voraussetzungen, damit wir wirklich digital und smart werden können?

Digitalisierung hat eine ganz zentrale Voraussetzung: Der Umschwung zu neuen Technologien muss in allen Köpfen als etwas Positives wahrgenommen werden. Dabei kommen zwei Faktoren ins Spiel: User Experience und natürlich Sicherheit. Wenn man mithilfe einer neuen Technologie etwas schneller und bequemer erledigen kann, dann ist der Nutzer auch motiviert umzusteigen. Was er nicht will ist, sich zusätzlich Gedanken über neue potentielle Fallstricke zu machen.

Was genau ist PKI, wie funktioniert PKI Authentication und was kann Sie in diesem Kontext leisten?

Ganz simpel erklärt basiert eine Public Key Infrastruktur darauf, dass die verschiedenen „Teilnehmer“ einer PKI (Personen oder Geräte) jeweils zueinander gehörige private und öffentliche kryptographische Schlüssel besitzen. Diese Schlüssel können über verschiedene Verfahren zur Verschlüsselung und Authentifizierung genutzt werden.

Authentifizierung bedeutet die Identität einer Person oder eines Gerätes in einem Netzwerk zu prüfen. Dies hilft dabei festzustellen welcher Person und welchem Gerät man welche Befugnisse einräumen will, den physikalischen Zugang oder den Zugang zu Netzwerken zu regulieren, Passwörter zu ersetzen oder im Bereich „Big Data“ Ordnung herzustellen.

Das Zusammenspiel verschiedener PKI-Lösungen hat sich in der Vergangenheit oft als technische Herausforderung gezeigt.
Wie ist der Stand heute?

PKI basiert auf asymmetrischer Verschlüsselung und ist für sich alleine genommen nicht die berühmte „Silver Bullet“ zur Datensicherung. Allerdings gibt es mittlerweile viele Unternehmen, die die PKI- Technologie für den Endbenutzer leichter „verdaulich“ machen, seien es Email-Programme, Filesharing-Dienste oder Software um Dokumente digital zu signieren. Wo man sich vor 20 Jahren noch Gedanken machen musste, ob die eigene Webseite korrekt geladen werden kann, wenn man ein SSL-Zertifikat hinterlegt hat, da herrscht heute Konsensus. Das ist ein weiterer wichtiger Punkt: Unternehmen, auch Wettbewerber, müssen sich im Interesse der Nutzer auf technologische Standards einigen.

Welche Faktoren spielen beim Einsatz von Public-Key-Infrastrukturen (PKI) eine Rolle?

PKI ist dank des hierarchischen Aufbaus von einer zentralen „Root“ bis hin zu Milliarden von Endpunkten nicht immer einfach zu verwalten. Damit ein Unternehmen PKI erfolgreich umsetzen kann sind folgende Dinge notwendig: Eine gute Management-Plattform und einen umfassenden Überblick über die PKI, garantierte Sicherheit der Root und natürlich Administratoren mit den richtigen Kenntnissen und Erfahrungen. Deswegen gehen Unternehmen inzwischen oftmals dazu über, ihre PKI an Anbieter auszulagern, die alle diese Faktoren abdecken können.

Ist PKI im breiten Massenmarkt angekommen?

Ohne jeden Zweifel. SSL/TLS ist heutzutage der Standard, https hat das normale http beinahe vollständig ersetzt. Auch im Bereich Identity- und Access-Management (IAM), in Zeiten von „Bring Your Own Device“ (BYOD) extrem wichtig, spielt PKI eine zentrale Rolle.

Was zeichnet eine starke Identität durch PKI aus?

Für Identitäten innerhalb einer PKI gelten ähnliche Regeln wie für Identitäten im „richtigen Leben“. Wir vertrauen dem Ausweis einer Person nur aus zwei Gründen. Er ist von einer vertrauenswürdigen Instanz ausgestellt worden. Und er ist dank entsprechender Technologien soweit als möglich fälschungssicher. Genauso funktionieren digitale Identitäten, der Aussteller muss vertrauenswürdig und die Identität fälschungssicher sein.

Wann benötigt ein Unternehmen eine Public Key Infrastruktur?

Grundsätzlich ist PKI immer dann sinnvoll, wenn ein Unternehmen Daten verschlüsseln oder Personen beziehungsweise Geräte authentifizieren will. Allerdings ist gerade für KMUs schon der Einstieg in eine eigene PKI eine immense Hürde. Für Großunternehmen ist demgegenüber eine eigene PKI oft mit erheblichem Aufwand, Sicherheitsrisiken und Kosten verbunden. GlobalSign bietet daher eine hoch skalierbare „Managed PKI“ an um für alle Kunden Abhilfe zu schaffen.

Stichwort IoT-Identity Plattform: Der Fokus bei Entwicklern und Herstellern liegt oftmals auf Seiten der Funktionalität. Sicherheit spielt häufig noch eine eher untergeordnete Rolle bei der Entwicklung von IoT-Geräten. Wie unterstützt Ihre IoT-Identity Plattform hier?

Eine IoT-Identity Plattform hat den Zweck, die Sicherheitshürden für Entwickler und Hersteller einfacher zu überwinden. Auch hier geht es darum, den Betrieb einer PKI auszulagern statt sie im eigenen Unternehmen aufzusetzen. Dadurch haben Entwickler und Hersteller gleichermaßen die Möglichkeit sich zunächst auf die User Experience zu konzentrieren. Später haben sie die Option den Dienst unkompliziert an eine IoT-Identity Plattform anzubinden um zusätzlich auch die erforderliche Sicherheit zu garantieren.

Das IoT ist noch weitgehend am Anfang. Wie sehen Sie die weitere Entwicklung in naher Zukunft?

Ich persönlich stehe dieser Entwicklung sehr optimistisch gegenüber. Alle großen Entwicklungen, vom Rad über das Auto bis hin zum Internet haben es Menschen erlaubt besser zu leben und effizienter zu arbeiten. So sehe ich auch das IoT. Wie jede Entwicklung bringt das IoT natürlich Risiken mit, denen wir aber mit ausreichendem Engagement durchaus entgegenwirken können. Die Adaption des IoT wird aus meiner Sicht von Unternehmen vorangetrieben um schlussendlich im täglichen Leben Fuß zu fassen.

Vorsicht walten lassen müssen wir allerdings bei der Kombination Big Data und IoT. Daten sind die wertvollste Ressource des 21sten Jahrhunderts. Eine Ressource, die im IoT viel zu leicht missbraucht und unrechtmäßig analysiert werden kann. Wir wollen schließlich keine Dystopie in der wir alle „gläserne Menschen“ sind.

Interviewpartner:

Sebastian Schulz, Partner Account Manager bei GlobalSign

 

Über das Unternehmen:
GlobalSign ist seit Oktober anerkannter qualifizierter Vertrauensdiensteanbieter (QVDA) nach europäischem Recht (eIDAS). Das Unternehmen ist damit eine der ersten globalen Zertifizierungsstellen, die qualifizierte digitale Zertifikate für User und Organisationen zum Einfügen qualifizierter elektronischer Signaturen und Siegel in Dokumente ausstellt, wie z. B. für regulierte Branchen in der gesamten Europäischen Union (EU). Die neuen qualifizierten Zertifikate für elektronische Signaturen und Siegel sind verfügbar.

https://www.globalsign.com/de-de/