Blackfort Technology
DORA Zertifikatsregister

DORA Compliance

DORA Zertifikatsregister

Vollständiges Zertifikats-Inventory gemäß DORA-Anforderungen – von der Discovery über den Aufbau bis zum laufenden Lifecycle Management. Unterstützt durch Blackfort Certificate Intelligence.

DORA Zertifikat: Was damit gemeint ist – und was nicht

Wer nach einem "DORA Zertifikat" sucht, meint in der Regel eines von zwei verschiedenen Dingen: erstens die digitalen Zertifikate (TLS, PKI, Code-Signing), die DORA in Artikel 8 explizit als Bestandteil des IKT-Asset-Registers nennt – und zweitens ein Compliance-Nachweis für DORA selbst, also eine Art "DORA-Zertifizierung". Beide Fragen werden hier beantwortet.

Gibt es eine offizielle DORA-Zertifizierung? Nein. DORA kennt kein formales Zertifizierungsschema wie etwa ISO 27001, das durch akkreditierte Zertifizierungsstellen vergeben wird. DORA ist eine EU-Verordnung, deren Compliance durch die zuständigen nationalen Aufsichtsbehörden (in Deutschland: BaFin, für Banken auch EZB/ECB) geprüft und durchgesetzt wird. Ein "DORA-Zertifikat" im Sinne eines offiziellen Compliance-Nachweises existiert nicht. Was existiert, sind interne Attestierungen, Prüfberichte durch zugelassene Prüfer und behördliche Konformitätsfeststellungen.

DORA Zertifikat = digitales Zertifikat in der IKT-Infrastruktur: Was DORA konkret und mit präzisen Anforderungen fordert, ist die vollständige Erfassung aller kryptografischen Zertifikate in einem IKT-Asset-Register. TLS-Zertifikate, Client-Zertifikate, Code-Signing-Zertifikate, S/MIME-Zertifikate und Root-CA-Zertifikate müssen inventarisiert, mit Metadaten versehen und in einem aktiven Lifecycle-Prozess überwacht werden. Das ist das sogenannte DORA-Zertifikatsregister.

Was ist das DORA-Zertifikatsregister?

Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen ab dem 17. Januar 2025 zur vollständigen Inventarisierung aller kryptografischen Mittel und digitalen Zertifikate. Artikel 8 DORA und die zugehörigen Regulatory Technical Standards (RTS) schreiben vor, dass Finanzunternehmen ein aktuelles Register aller IKT-Assets führen, das explizit auch Zertifikate und kryptografische Schlüssel umfasst.

Das Zertifikatsregister ist damit kein optionales Governance-Instrument, sondern eine aufsichtsrechtliche Pflicht. Bei Prüfungen durch BaFin, ECB oder andere zuständige Behörden wird das Register als Nachweis der IKT-Risikokontrolle herangezogen. Fehlende oder veraltete Einträge können als wesentliche Kontrollschwäche gewertet werden.

Blackfort Technology unterstützt Finanzunternehmen und deren IKT-Drittdienstleister beim Aufbau und Betrieb eines DORA-konformen Zertifikatsregisters – von der initialen Discovery über die Prozessintegration bis zur Tool-Auswahl.

Welche Zertifikate müssen erfasst werden?

Das Register sollte alle Zertifikatstypen erfassen, die in der IKT-Infrastruktur des Finanzunternehmens verwendet werden: TLS/SSL-Zertifikate für Web-Services und APIs, Client-Zertifikate für Maschinenidentitäten, Code-Signing-Zertifikate, S/MIME-Zertifikate für E-Mail-Verschlüsselung sowie Root- und Intermediate-CA-Zertifikate. Auch Zertifikate in Cloud-Umgebungen, bei IKT-Drittdienstleistern und in OT-/IoT-Umgebungen sind einzubeziehen.

Neben dem Zertifikat selbst müssen das zugehörige Schlüsselmaterial, Ablaufdaten, ausstellende CA, Verwendungszweck, verantwortliche Organisationseinheit und der Status (aktiv, abgelaufen, widerrufen) dokumentiert werden. Die Herausforderung liegt in der vollständigen Discovery: Erfahrungsgemäß sind 30–50 % aller Zertifikate in größeren Organisationen nicht zentral bekannt und werden erst durch aktive Scans oder Certificate Transparency Monitoring aufgefunden.

Besondere Aufmerksamkeit gilt Zertifikaten mit kurzer Laufzeit (90-Tage-Zertifikate via Let's Encrypt und ähnliche), die ein automatisiertes Lifecycle-Management erfordern. DORA fordert implizit, dass Zertifikatsablauf nicht zu ungeplanten Ausfällen führen darf – eine direkte Verknüpfung zum DORA-Anforderungsbereich „IKT-Betriebsstabilität“.

Aufbau eines DORA-konformen Zertifikatsregisters

Das Management eines robusten Zertifikatsregisters erfolgt über drei Schichten: Discovery (Auffinden aller Zertifikate), Inventory (strukturierte Erfassung in einem zentralen System) und Lifecycle Management (automatisierte Überwachung, Erneuerung und Alarmierung). Ohne Automatisierung in der Discovery-Schicht sind vollständige Inventare in mittleren und großen Organisationen nicht wartbar.

Als Tool-Basis eignen sich dedizierte Certificate Lifecycle Management (CLM)-Lösungen wie Venafi, Keyfactor oder AppViewX, aber auch SIEM-Integration und interne PKI-Lösungen (Microsoft ADCS, EJBCA). Blackfort bewertet Ihre bestehende PKI-Infrastruktur und empfiehlt den Ansatz mit dem besten Kosten-Nutzen-Verhältnis für Ihre spezifische DORA-Anforderungssituation.

Prozessseitig ist das Zertifikatsregister in das Change Management zu integrieren: Jede neue Systemeinführung, jeder Lieferantenwechsel und jede Infrastrukturveränderung muss eine Zertifikats-Review auslösen. Wir helfen Ihnen, diese Integration in Ihre bestehenden ITSM-Prozesse (ServiceNow, Jira Service Management o.ä.) zu verankern.

Technische Mindestanforderungen laut RTS

Artikel 7 Abs. 4 der RTS zum IKT-Risikomanagement (EU 2024/1774) formuliert die konkreten technischen Pflichten: „Finanzunternehmen führen und aktualisieren ein Register aller Zertifikate und Zertifikatsspeicher zumindest für jene IKT-Assets, die kritische oder wichtige Funktionen unterstützen.“ Das Register muss Zertifikatstyp, Ausstellungs- und Ablaufdatum sowie Verwendungszweck vollständig dokumentieren.

Vier technische Kernanforderungen ergeben sich aus dem RTS-Text: Erstens vollständige Erfassung aller PKI-Zertifikate inklusive Typ, Gültigkeitsdaten und Verwendungszweck. Zweitens automatisiertes Monitoring mit proaktiver Alarmierung bei bevorstehenden Abläufen oder Anomalien. Drittens Konformität mit aktuellen Sicherheitsstandards zum Schutz vor unberechtigtem Zugriff und Manipulation. Viertens lückenlose Audit-Protokollierung aller Änderungen und Zugriffe auf das Register.

Diese Anforderungen sind technisch umsetzbar – aber nur dann nachhaltig, wenn sie nicht auf manuelle Prozesse oder Excel-Listen angewiesen sind. Eine aktuelle Studie zeigt, dass in Organisationen mit mehr als 500 Mitarbeitenden durchschnittlich 40–60 % aller aktiven Zertifikate nicht in einem zentralen Register erfasst sind. Bei einem Prüfzugriff durch BaFin oder ECB wäre ein solches Inventar nicht prüfungsfähig.

DORA-Checkliste Zertifikate

  • Vollständige Zertifikatsdiscovery (intern + Cloud)
  • Zentrales Inventory mit Metadaten
  • Ablaufüberwachung & automatische Alarmierung
  • Lifecycle-Prozesse (Erneuerung, Widerruf)
  • Integration in Change Management
  • Drittdienstleister-Abdeckung
  • Prüffertige Dokumentation für BaFin/ECB

DORA-Readiness prüfen

Wir analysieren Ihre aktuelle Zertifikatssituation und identifizieren DORA-Lücken.

Jetzt anfragen

Praxis

Warum Zertifikatsregister in der Praxis oft scheitern

Regulatorische Anforderungen sind klar formuliert. In der Praxis scheitert die Umsetzung selten am Wollen, sondern an gewachsenen Strukturen rund um die interne Microsoft-Zertifizierungsstelle. Diese neun Muster sehen wir wiederkehrend in mittleren und großen Umgebungen.

Microsoft CA seit Jahren im Betrieb

Zertifikatsdienste laufen oft über mehrere Jahre, ohne dass Templates, Enrollment-Rechte oder ausgestellte Zertifikate strukturiert reviewed werden.

Keine vollständige Übersicht

Ausgestellte Zertifikate sind selten zentral inventarisiert. Ablaufdaten, Eigentümer und Verwendungszweck sind nicht durchgängig dokumentiert.

Fehlende Ownership

Zertifikate werden über Jahre erneuert, ohne dass technische oder organisatorische Verantwortlichkeit eindeutig zugeordnet ist.

Wildcard-Zertifikate

Wildcard- und Multi-SAN-Zertifikate verschleiern die tatsächliche Nutzungsbreite und erschweren Governance, Risk Review und Incident Response.

Schwache Kryptographie

In gewachsenen CA-Hierarchien finden sich häufig veraltete Algorithmen, kurze Schlüssellängen oder SHA-1-Restbestände.

Unbekannte Templates

Template-Berechtigungen sind über die Jahre gewachsen. Welche Identitäten welche Zertifikate ausstellen dürfen, ist oft nicht mehr nachvollziehbar.

Keine Auditfähigkeit

Eine kurzfristige Audit-Anfrage nach allen aktiven Zertifikaten lässt sich häufig nicht aus einer einzigen, konsistenten Quelle beantworten.

Ablaufprobleme

Abgelaufene Zertifikate führen zu unangekündigten Ausfällen kritischer Dienste – mit direktem Bezug zu DORA-Anforderungen an die IKT-Betriebsstabilität.

Keine zentrale Governance

Zertifikatsentscheidungen werden dezentral getroffen. Eine übergreifende Sicht für Compliance, Risk und IT-Betrieb fehlt.

Produkt

Blackfort Certificate Intelligence

Multi-CA-Governance & Zertifikats-Sichtbarkeit

Beim praktischen Aufbau des DORA-Registers nutzt Blackfort das eigene, rein lesende Zertifikatsinventar Blackfort Certificate Intelligence. Es konsolidiert Zertifikate aus fünf CA-Plattformen (Microsoft ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca, Azure Key Vault) sowie aus einem eigenen TLS-Scanner, CT-Log-Monitoring und Air-Gap-Datei-Import – ohne Eingriff in produktive Quellsysteme und niemals mit privaten Schlüsseln.

Der Ansatz ist bewusst lesend: Zertifikate werden quellsystem-übergreifend erfasst, über den SHA-256-Fingerprint konsolidiert, mit Governance-Feldern (kritische / wichtige Funktion, Ownership) versehen und mit Risiko-, Ablauf- und Sperrstatus-Findings (CRL/OCSP) ausgewertet. Blackfort Certificate Intelligence ist kein vollständiges CLM (keine automatischen Renewals) – sondern ein gezieltes Werkzeug, das den Aufbau und Betrieb des Registers trägt.

5 CA-Connectoren

Rein lesende Connectoren für Microsoft ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca und Azure Key Vault – am PKI-Testlab validiert.

Eigener TLS-Scanner

Schlanker, rein lesender Zertifikatsabruf je host:port – ohne Cipher-Probing und ohne Eingriff in produktive Dienste.

CT-Log-Monitoring

Überwachung öffentlich vertrauter Zertifikate Ihrer Domänen über Certificate-Transparency-Logs – klar als „extern“ gekennzeichnet.

Air-Gap-Datei-Import

Erfassung aus isolierten Netzsegmenten per Datei-Import – auch ohne Netzverbindung ins zentrale Register.

Konsolidiertes Register

Quellsystem-übergreifendes Inventar mit SHA-256-Fingerprint als Schlüssel; Import als Upsert/Merge erhält die Governance-Felder.

Governance-Datenmodell

Kritische / wichtige Funktion, verantwortliche Stelle, Funktion / Prozess und Verwaisung direkt am Zertifikat.

Sperrstatus (CRL & OCSP)

Rein lesende Prüfung über CRL (CDP) und OCSP (AIA) inkl. Spalte „widerrufen, aber aktiv“.

Konfigurierbare Ablauf-Alerts

Eskalation nach Service-Klasse, dazu Teams-Benachrichtigungen mit Schwellen, Toggles und optionalem Tages-Digest.

DORA-Auswertungs-Views

Vorbereitete Schnellfilter und Sichten für DORA-relevante Auswertungen über den Gesamtbestand.

Audit-tauglicher Registerexport

XLSX-/CSV-/Registerexport für DORA, NIS2, ISO 27001 und interne Prüfungen.

Compliance-Findings

Schwache Krypto (RSA < 2048 / SHA-1), self-signed auf kritischer Funktion, Wildcard, Key-Reuse (SPKI) und Waisen.

RBAC, Audit-Trail & Soft-Archiv

Web-Login mit Rollen (admin / viewer), append-only Audit-Trail und reversibles Soft-Archiv statt hartem Löschen.

Hinweis zum Status: Verfügbar und am PKI-Testlab validiert sind fünf rein lesende CA-Connectoren (ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca, Azure Key Vault), ein eigener TLS-Scanner, CT-Log-Monitoring und Air-Gap-Datei-Import; dazu Sperrstatus über CRL/OCSP (inkl. „widerrufen, aber aktiv“), DORA-Auswertungs-Views, RBAC, Teams-Benachrichtigungen, append-only Audit-Trail und audit-tauglicher XLSX-/CSV-/Registerexport. Auslieferung als Container (Docker, Air-Gap-tauglich) oder VM-Appliance (OVA). Automatische Renewal-Prozesse sind bewusst nicht Teil des aktuellen Standes.

Certificate Intelligence in Aktion

So sieht das Register aus

Die folgenden Ansichten stammen aus der laufenden Anwendung – konsolidiertes Inventar, Governance-Felder am Asset und DORA-Schnellfilter. Genau das, was ein DORA-Zertifikatsregister prüffest macht.

Demo-Daten / synthetisch

Konsolidiertes Inventar

Ein Register über alle Quellen – fünf CA-Plattformen, TLS-Scan, CT-Log und Air-Gap, dedupliziert über den SHA-256-Fingerprint.

Kritische / wichtige Funktion am Asset

Die DORA-Zuordnung „unterstützt kritische / wichtige Funktion“ plus Ownership steht direkt am Zertifikat – das Herz des DORA-Registers.

Audit-tauglicher Registerexport

XLSX-/CSV-/Registerexport mit append-only Audit-Trail – übergabefähig für BaFin-/ECB-Prüfungen.

Rein lesend, nicht invasiv

Niemals private Schlüssel, kein Eingriff in produktive Quellsysteme – nur öffentliche Zertifikatsteile und Metadaten.

Sperrstatus als DORA-Risikosignal

CRL/OCSP-Auswertung mit der Kombination „widerrufen, aber aktiv“ – ein hartes Betriebsrisiko, das ein reines Ablauf-Monitoring nicht sieht.

Provenienz getrennt geführt

„Zuletzt importiert“ und „zuletzt gesehen“ getrennt – sichtbar, ob ein Zertifikat aktiv beobachtet wird oder nur historisch im Register liegt.

Konsolidiertes Register
Konsolidiertes Zertifikatsregister von Blackfort Certificate Intelligence mit synthetischen Demo-Daten
Quellsystem-übergreifendes Inventar mit SHA-256-Fingerprint, Quellklasse und Status – eine Sicht über alle CA-Plattformen, TLS-Scan, CT-Log und Air-Gap.
DORA-Governance am Asset
Governance-Felder eines Zertifikats inklusive kritischer / wichtiger Funktion und Ownership, mit synthetischen Demo-Daten
Kritische / wichtige Funktion, verantwortliche Stelle und Funktion / Prozess direkt am Zertifikat – der register-relevante Kern für DORA Art. 8.
DORA-Schnellfilter
DORA-Schnellfilter für Ablauf kritischer und wichtiger Funktionen in Blackfort Certificate Intelligence, mit synthetischen Demo-Daten
Vorbereitete DORA-Auswertungs-Views – Ablauf kritisch / wichtig auf einen Klick, als Grundlage für die prüffeste Register-Auswertung.

Hinweis: Alle dargestellten Daten sind synthetisch (Beispiel-Domains wie example.com / demo.internal) und zeigen ausschließlich die Oberfläche, nicht reale Kundenbestände.

Mehr zum Produkt

Microsoft ADCS

Microsoft ADCS Governance sichtbar machen

Viele Unternehmen betreiben ihre Microsoft-Zertifizierungsstelle über Jahre hinweg ohne strukturierte Governance: keine systematische Template-Review, keine klar zugewiesene Ownership, keine durchgängige Risiko- und Lifecycle-Sicht.

In der Folge wachsen interne Zertifikatslandschaften, ohne dass jemand das Gesamtbild kennt. Aufsichts- und Auditfragen treffen auf eine Realität, die sich nur mit erheblichem Aufwand rekonstruieren lässt. Ein erster, lesender Blick auf den Bestand bringt diese Realität in eine handhabbare Form.

Typische Risikofelder

  • Schwache Algorithmen und veraltete Schlüssellängen
  • Wildcards mit weitreichender impliziter Nutzung
  • Fehlende Verantwortlichkeiten und Eigentümer
  • Unkontrollierte Enrollment-Rechte
  • Unübersichtliche, gewachsene Zertifikatslandschaften

Was Governance hier konkret bedeutet

Eine belastbare Governance-Sicht auf Microsoft ADCS bedeutet nicht, jede einzelne CVE oder ESC-Schwachstelle einzeln zu jagen. Sie bedeutet zunächst, drei Fragen verlässlich beantworten zu können:

  • 1.Welche Zertifikate existieren überhaupt – und wem gehören sie?
  • 2.Welche dieser Zertifikate sind aus Algorithmus-, Wildcard- oder Template-Sicht auffällig?
  • 3.Welche laufen wann ab – und was hängt jeweils daran?

Assessment

Microsoft ADCS Governance Assessment

Das Assessment liefert in einem klar abgegrenzten Vorgehen eine erste, belastbare Sicht auf Ihre bestehende Microsoft-Zertifizierungsstelle. Der Ansatz ist rein lesend: Es werden keine Templates verändert, keine Zertifikate ausgestellt oder revoziert und keine produktiven Einstellungen der CA modifiziert.

Ergebnis ist ein konsolidiertes Register, eine technische Risiko- und Ablaufanalyse sowie eine Governance-Einordnung mit Management Summary – nutzbar für interne Reviews, DORA-/NIS2-Vorbereitung und ISO 27001-Audits.

Inhalte des Assessments

  • Microsoft ADCS Export ausgestellter Zertifikate
  • Azure Key Vault & Azure App Service Discovery
  • Strukturierte Erfassung relevanter Drittanbieter-Zertifikate
  • Manueller Erfassungsprozess für OT-/IoT-Zertifikate (Pilotumfang)
  • Registerbildung und Ablaufanalyse
  • Risiko-/Governance-Findings (Algorithmen, Wildcards, Templates, Ownership)
  • Konfiguration erster Ablauf-Alerts
  • Excel-/Audit-Export und Management Summary
Assessment anfragen

Warum Blackfort

Erfahrung in regulierten PKI-Umgebungen

Zertifikate sind technisch unscheinbar – und gleichzeitig tragender Bestandteil regulierter IT-Architekturen. Wir arbeiten seit vielen Jahren in genau dieser Schnittmenge aus Kryptographie, regulatorischer Erwartung und Betriebsrealität.

Erfahrung mit PKI

Langjährige Projekterfahrung mit interner und ausgelagerter PKI in regulierten Umgebungen.

Regulierte Branchen

Arbeit mit Finanzunternehmen, KRITIS-Betreibern, Verwaltungen und Gesundheits-Infrastruktur.

Offizieller DigiCert-Partner

Etablierte Partnerschaft mit DigiCert für öffentliche Zertifikate und Trust-Services.

Verwaltungs-PKI & Gematik

Erfahrung mit Verwaltungs-PKI und gematik-relevanten Architekturen im Gesundheitswesen.

Thales nShield Certified

Zertifizierter Security Expert für Thales nShield HSM – belastbare Schlüsselverwahrung.

NIS2-, DORA-, ISO27001-Fokus

Beratung entlang anerkannter Regulierungs- und Standardisierungsrahmen.

On-Prem-Perspektive

Lokale, lesende Auswertung. Kein erzwungener Cloud-Transfer interner Zertifikatsdaten.

Häufige Fragen zum DORA Zertifikat

Gibt es ein offizielles DORA-Zertifikat?

Nein. DORA kennt kein formales Zertifizierungsschema wie ISO 27001. Compliance wird durch zuständige Aufsichtsbehörden – in Deutschland die BaFin, für Banken auch die EZB – geprüft und durchgesetzt, nicht durch akkreditierte Zertifizierungsstellen. Was möglich ist: interne Attestierungen, externe Prüfberichte und die Dokumentation implementierter Maßnahmen als Compliance-Nachweis.

Was versteht DORA unter Zertifikaten?

DORA bezieht sich mit "Zertifikaten" auf digitale/kryptografische Zertifikate in der IKT-Infrastruktur: TLS/SSL-Zertifikate, Client-Zertifikate für Maschinenidentitäten, Code-Signing-Zertifikate, S/MIME-Zertifikate sowie Root- und Intermediate-CA-Zertifikate. Artikel 8 DORA verpflichtet Finanzunternehmen, alle diese Zertifikate in einem vollständigen, aktuellen IKT-Asset-Register zu erfassen.

Welche Konsequenzen hat ein unvollständiges DORA-Zertifikatsregister?

Bei Prüfungen durch BaFin oder ECB kann ein unvollständiges Register als wesentliche Kontrollschwäche gewertet werden – mit der Folge von Bußgeldern und behördlichen Auflagen. Darüber hinaus ist ein fehlendes Ablauf-Monitoring ein direktes Betriebsrisiko: ein ungeplant abgelaufenes Zertifikat kann kritische Dienste ohne Vorwarnung unterbrechen, was DORA als IKT-Betriebsstabilitätsverstoß qualifizieren kann.

Wie unterscheidet sich das Zertifikatsregister vom IKT-Drittanbieterregister?

Das Zertifikatsregister erfasst kryptografische Zertifikate und Schlüsselmaterial in der eigenen IKT-Infrastruktur. Das IKT-Drittanbieterregister erfasst externe Dienstleister und deren Abhängigkeiten. Beide sind nach DORA Pflicht und separate Inventare – können aber sinnvoll verknüpft werden, um Zertifikate bestimmten Drittdienstleistern zuzuordnen und deren Ablauf im Gesamtkontext zu überwachen.

Ist Blackfort Certificate Intelligence bereits ein vollständiges CLM-System?

Nein. Blackfort Certificate Intelligence ist kein vollständiges Certificate Lifecycle Management, sondern ein rein lesendes Zertifikatsinventar mit Governance- und Compliance-Intelligenz. Verfügbar und am PKI-Testlab validiert sind fünf CA-Connectoren (Microsoft ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca, Azure Key Vault), ein eigener TLS-Scanner, CT-Log-Monitoring und Air-Gap-Datei-Import; dazu Sperrstatusprüfung über CRL/OCSP, DORA-Auswertungs-Views, RBAC, Teams-Benachrichtigungen, append-only Audit-Trail sowie ein audit-tauglicher XLSX-/CSV-/Registerexport. Ausgeliefert wird als Container (Docker, Air-Gap-tauglich) oder VM-Appliance (OVA). Automatische Renewal-Prozesse gehören bewusst nicht zum aktuellen Stand.

Werden Cloud-Zertifikate unterstützt?

Ja. Azure Key Vault ist als rein lesender CA-Connector verfügbar und wird über die Azure-APIs gegen Ihre Tenants und Subscriptions ausgewertet. Öffentlich vertraute Cloud-Zertifikate Ihrer Domänen werden zusätzlich über CT-Log-Monitoring sichtbar (als „extern" gekennzeichnet). AWS Certificate Manager und GCP Certificate Manager sind heute nicht Bestandteil.

Wie werden IKT-Drittdienstleister berücksichtigt?

Für IKT-Drittdienstleister unterstützt der Pilot einen strukturierten manuellen Import in das Zertifikatsregister. Zertifikatsdaten externer Anbieter werden konsolidiert mit den eigenen Beständen ausgewiesen – inklusive Ablaufanalyse, Ownership und Governance-Findings. Eine automatische Discovery bei Drittanbietern ist nicht Bestandteil des MVP.

Wie werden OT-/IoT-Zertifikate berücksichtigt?

Für OT- und IoT-Umgebungen ist zunächst ein dokumentierter manueller Erfassungsprozess mit Registerintegration vorgesehen. Damit lassen sich auch Zertifikate aus Bereichen abbilden, die regulatorisch relevant, aber technisch oft nicht direkt scanbar sind. Automatische OT-/IoT-Discovery ist nicht Bestandteil des Piloten.

Gibt es konfigurierbare Ablauf-Alerts?

Ja. Pro Service-Klasse können Eskalationsfenster konfiguriert werden – etwa 90 Tage für kritische externe Services, 30 Tage für interne Standardservices. Damit lassen sich Ablaufrisiken differenziert sichtbar machen.

Werden automatisch Jira-Tickets erstellt?

Im aktuellen Stand nicht. Findings und Ablauf-Alerts werden strukturiert exportiert (Excel/CSV) und können manuell in bestehende ITSM-Prozesse übernommen werden.

Unterstützt das auch DigiCert?

Aktuell nicht Bestandteil des Piloten. Blackfort ist offizieller DigiCert-Partner für öffentliche Zertifikate und Trust-Services.

Muss dafür eine Cloud-Plattform genutzt werden?

Nein. Die Auswertung läuft in Ihrer Umgebung. Für Azure-Datenquellen werden ausschließlich Azure-APIs gegen Ihre eigenen Tenants und Subscriptions abgefragt – es entsteht keine zusätzliche Drittplattform, die Ihre Zertifikatsdaten persistieren würde.

Wird die Microsoft CA durch den Ansatz verändert?

Nein. Der Ansatz bleibt für die Microsoft CA rein lesend. Es werden Daten exportiert und ausgewertet; es werden keine Templates geändert, keine Zertifikate ausgestellt oder revoziert und keine produktiven Einstellungen modifiziert.

Reicht PRTG nicht aus?

PRTG kann einzelne Endpunkte und deren TLS-Zertifikate sehr gut überwachen. Was PRTG nicht liefert, ist eine quellsystem-übergreifende Governance-Sicht über mehrere CA-Plattformen hinweg (ADCS, EJBCA, Vault PKI, step-ca, Azure Key Vault) – inklusive Sperrstatus (CRL/OCSP), Ketten-/Trust-Auflösung, Key-Reuse und Governance-Feldern wie kritischer Funktion und Ownership.

Ist das für DORA oder NIS2 verpflichtend?

Nein. Verpflichtend sind DORA, NIS2 und vergleichbare Regulierungen selbst – nicht ein bestimmtes Produkt. Blackfort Certificate Intelligence ist ein Werkzeug, um die in DORA Art. 7 Abs. 4 RTS, NIS2 und ISO 27001 geforderte Governance- und Inventarfunktion für Zertifikate praktisch umzusetzen.

Kontakt aufnehmen

DORA-konformes Zertifikatsregister aufbauen

Lassen Sie uns gemeinsam Ihre Zertifikatssituation analysieren und einen DORA-konformen Inventory-Prozess etablieren.