PKI & Certificate Management

Digitale Zertifikate sind allgegenwärtig in modernen IT-Infrastrukturen, aber selten im Blickfeld – bis sie ablaufen. TLS-Zertifikate sichern die Kommunikation zwischen Systemen und Nutzern. S/MIME-Zertifikate signieren und verschlüsseln E-Mails. Code-Signing-Zertifikate authentifizieren Software und Skripte. Gerätezertifikate nach IEEE 802.1X kontrollieren den Netzwerkzugang. Client-Zertifikate ersetzen Passwörter für Benutzerauthentifizierung.

Das Management dieser Zertifikate ist für viele Unternehmen unstrukturiert oder vollständig manuell. Zertifikate werden einzeln beschafft, in Tabellen verwaltet, und die Erneuerung erfolgt reaktiv – wenn das Monitoring-System oder, schlimmer, ein Nutzer einen Fehler meldet. Abgelaufene Zertifikate sind einer der häufigsten Ursachen für ungeplante Serviceausfälle: Sie erzeugen Fehlermeldungen, unterbrechen API-Kommunikation, blockieren E-Mail-Signierung und machen VPN-Verbindungen unzuverlässig.

Für Unternehmen, die regulatorische Anforderungen erfüllen müssen – ISO 27001, NIS2, DORA –, ist das Zertifikatsmanagement explizit adressiert. Kryptographische Schlüssel und Zertifikate müssen inventarisiert, nach Policy verwaltet und regelmäßig erneuert werden. Eine nicht dokumentierte, ad-hoc-verwaltete PKI-Landschaft ist ein Auditrisiko.

On-Premise-PKI gibt Organisationen die vollständige Kontrolle über die Zertifizierungsstellen-Infrastruktur. Microsoft Active Directory Certificate Services (ADCS) ist die dominierende Wahl in Windows-zentrischen Umgebungen, eng integriert mit Active Directory für Geräte- und Benutzerzertifikate. EJBCA (Enterprise Java Beans Certificate Authority) ist die führende Open-Source-Alternative mit hoher Ausstellungsleistung und breitem Protokoll-Support. On-Premise-PKI ist die richtige Wahl für Organisationen mit strikten Anforderungen an Datenresidenz, in regulierten Umgebungen (Finanzwesen, Gesundheit, kritische Infrastruktur) oder bei großen Ausstellungsvolumina.

Cloud-gehostete PKI verlagert die CA-Infrastruktur auf einen Managed Service. AWS Private CA, Azure Key Vault und kommerzielle Managed-PKI-Anbieter bieten API-gesteuerte Zertifikatsausstellung ohne eigene Infrastruktur-Verwaltung. Diese Lösungen passen für Cloud-native Umgebungen, DevOps-Automatisierungspipelines und Organisationen, die operativen Overhead reduzieren wollen. Der Trade-off: Abhängigkeit von Verfügbarkeit und Preisgestaltung des Cloud-Anbieters sowie Datensouveränitäts-Aspekte, die unter DSGVO und NIS2 besonders relevant sind.

Hybrid-PKI kombiniert beide Modelle: eine On-Premise-Root-CA (für maximale Sicherheit offline gehalten) mit cloud-integrierten Issuing-CAs oder CLM-Tooling, das Ausstellung und Erneuerung automatisiert. Das ist die Architektur, die Blackfort mittelständischen Unternehmen typischerweise empfiehlt – sie bewahrt die Kontrolle über den Vertrauensanker und ermöglicht gleichzeitig operative Flexibilität auf der Ausstellungsschicht.

Eine sichere PKI-Architektur trennt Root CA und Issuing CA. Die Root CA – die höchste Vertrauensinstanz der Hierarchie – wird offline betrieben: Sie ist ausgeschaltet und in einem physisch gesicherten Bereich, wird nur für Root-CA-Aufgaben (Erneuerung der Issuing-CA-Zertifikate, Widerruf) aktiviert und danach sofort wieder offline genommen. Diese Offline-Root-CA-Architektur verhindert, dass eine Kompromittierung der Betriebsinfrastruktur die gesamte PKI-Vertrauenskette gefährdet.

Die Issuing CAs hingegen sind online und stellen Zertifikate für verschiedene Verwendungszwecke aus: dedizierte CAs für TLS-Zertifikate, für Code Signing, für Gerätezertifikate (jeweils mit unterschiedlichen Policies, Laufzeiten und Zertifikatsprofilen). Diese Trennung ermöglicht eine granulare Verwaltung und begrenzt den Schadenradius bei einer Kompromittierung einer CA.

Wir implementieren sowohl Microsoft Active Directory Certificate Services (ADCS) als auch Open-Source-Lösungen wie EJBCA (Enterprise Java Beans Certificate Authority). Die Wahl hängt von Ihrer Infrastruktur, Ihren Anforderungen und Ihrem Betriebsmodell ab. Für Hochsicherheitsumgebungen integrieren wir Hardware Security Modules (HSMs), die kryptographische Schlüssel in manipulationssicherer Hardware speichern.

CLM (Certificate Lifecycle Management) bezeichnet den vollständigen Prozess von der Zertifikatsanforderung über Ausstellung, Monitoring und rechtzeitige Erneuerung bis zum kontrollierten Widerruf. Ziel ist vollständige Sichtbarkeit: Welche Zertifikate existieren? Wo sind sie eingesetzt? Wann laufen sie ab? Wer ist verantwortlich?

Wir implementieren CLM-Tools, die in Ihre ITSM-Plattform (ServiceNow, Jira) integriert werden: automatisiertes Discovery installierter Zertifikate, kontinuierliches Monitoring des Ablaufdatums mit konfigurierbaren Vorab-Alertings (90, 30, 7 Tage), automatisierter oder halbautomatisierter Renewal-Workflow für interne und externe Zertifikate. Für öffentliche TLS-Zertifikate unterstützen wir die Integration des ACME-Protokolls (Let's Encrypt, ACME-fähige kommerzielle CAs) für vollautomatische Erneuerung.

Die Erfahrung zeigt: Unternehmen, die CLM einführen, entdecken regelmäßig Zertifikate, die bislang unbekannt waren – auf produktiven Systemen, von externen Dienstleistern ausgestellt, mit abgelaufenen Ablaufdaten oder mit schwachen Algorithmen (MD5, SHA-1, RSA 1024). Diese Discovery-Phase allein ist oft schon ein erheblicher Sicherheitsgewinn.

Die meisten PKI-Sicherheitsfehler sind keine ausgefeilten Zero-Days – es sind angesammelte Fehlkonfigurationen und operative Lücken, die nie überprüft wurden. Die häufigsten Befunde in PKI-Sicherheitsbewertungen: Zertifikatsvorlagen in Microsoft ADCS mit Enrolment-Berechtigungen, die alle authentifizierten Domain-Nutzer einschließen; Root-CA-Schlüssel als Software statt im HSM auf vernetzten Rechnern; nicht erreichbare oder veraltete CRL- oder OCSP-Endpunkte; veraltete kryptografische Algorithmen (RSA 1024, SHA-1, MD5), die noch produktiv genutzt werden; sowie zu breit eingesetzte Wildcard-Zertifikate, deren Kompromittierung ganze Infrastrukturbereiche gleichzeitig trifft.

In Windows-Umgebungen sind die ADCS-spezifischen Schwachstellen das kritischste PKI-Risiko. Die Angriffspfade ESC1 bis ESC13 – dokumentiert von SpecterOps und integriert in Tools wie Certipy und BloodHound Enterprise – zeigen, wie fehlkonfigurierte Zertifikatsvorlagen es niedrigprivilegierten Domain-Nutzern erlauben, Zertifikate für beliebige Accounts auszustellen, einschließlich Domain Admins. ESC1, der häufigste Befund, kombiniert eine Vorlage, in der der Antragsteller den Subject Alternative Name (SAN) angeben darf, mit zu weit gefassten Enrolment-Permissions. Konsequenz: Ein Angreifer mit einem beliebigen gültigen Domain-Account kann ein Zertifikat für ein privilegiertes Konto erhalten und sich dauerhaft authentifizieren – ohne Rücksicht auf Passwort-Resets, MFA oder Account-Lockout. In Umgebungen mit Kerberos PKINIT oder zertifikatsbasierter Authentifizierung ist eine kompromittierte PKI gleichbedeutend mit einer kompromittierten Domain.

Ein Blackfort PKI-Assessment deckt die vollständige Angriffsfläche ab: Template-Enumeration und -Review gegen ACLs, EKU-Einstellungen und bekannte ESC-Muster; CA-Hierarchie-Audit (Offline-Root-Verfahren, HSM-Einsatz, CRL/OCSP-Erreichbarkeit); kryptografische Policy-Review (Algorithmen, Schlüssellängen, Laufzeiten gegen ISO 27001 A.8.24 und NIS2 Art. 21); Zertifikats-Discovery (Schatten-CAs, unbekannte Issuer, Schwachalgorithmen). Das Ergebnis ist ein priorisierter Remediation-Plan mit konkreter Risiko-Einstufung pro Befund.

Regulatorische Rahmenwerke in Europa schreiben PKI-Governance zunehmend explizit vor. ISO 27001:2022 Annex A.8.24 (Einsatz von Kryptographie) verlangt eine dokumentierte kryptografische Policy mit Schlüsselmanagement, Zertifikatslebenszyklen und Algorithmen-Auswahl. Eine undokumentierte PKI mit manuellen Erneuerungsprozessen besteht kein ISO-27001-Audit. NIS2 Art. 21 fordert angemessene kryptografische Kontrollen als Mindestmaßnahme für wesentliche und wichtige Einrichtungen. DORA verlangt für Finanzunternehmen Crypto-Agility – die Fähigkeit, Algorithmen und Zertifikate auf neue Bedrohungen oder Schwachstellen hin schnell auszutauschen.

Crypto-Agility ist ein zunehmend kritisches Designziel für Enterprise-PKI. Mit fortschreitenden Quanten-Computing-Fähigkeiten werden aktuelle RSA- und ECC-Algorithmen mittelfristig anfällig für Harvest-now-decrypt-later-Angriffe auf langlebige Daten. Wer heute eine PKI aufbaut, sollte für Algorithmen-Migration designen: vollständiges Inventar aller Zertifikate und Algorithmen, CLM-Tooling mit automatisierter Neuausstellung gegen neue Algorithmen-Parameter und getestete Prozesse für Notfall-Massen-Re-Issuance.

Blackfort designt PKI-Lösungen mit regulatorischen Anforderungen ab Tag eins – nicht als nachträgliche Anpassung. Das umfasst die Erstellung der Certificate Policy (CP) und Certification Practice Statement (CPS), die Auditoren erwarten, den Aufbau des Governance-Frameworks für CA-Betriebsprozesse und das technische Design für sowohl aktuelle als auch künftige Compliance-Anforderungen, einschließlich Post-Quantum-Readiness.