Public-Key-Infrastrukturen
Identity-Management verschlankt PKI
In einer Public-Key-Infrastruktur (PKI) fallen Prozesse wie die Registrierung von Anwendern, Sperrungen oder Zertifikatserneuerung an. Gegenwärtig liegt es im Trend, dafür Identity-Management-Systeme einzusetzen. Dem Sorgenthema PKI hat diese Entwicklung in den letzten Jahren den lang erwarteten Durchbruch beschert.
Ende der Neunzigerjahre gab es wohl kaum ein Großunternehmen im deutschsprachigen Raum, das sich
nicht mit dem Aufbau einer Public-Key-Infrastruktur (PKI) beschäftigte. Die Gründe dafür sind
offensichtlich: Das boomende Internet drängte sich damals für die kommerzielle Nutzung auf,
offenbarte jedoch zu viele Sicherheitslücken, um für Bankgeschäfte, Beschaffung oder vertrauliche
Nachrichten wirklich geeignet zu sein. Eine PKI – also eine Infrastruktur zum Einsatz von
Verschlüsselung und digitaler Signatur – konnte zwar viele dieser Probleme lösen.
Sicherheitsbeauftragte und PKI-Anbieter mussten jedoch zusehen, wie der PKI-Boom nach einigen
Jahren ergebnislos verschwand.
Die Gründe für die PKI-Enttäuschung sind vielschichtig, doch das Hauptproblem ist klar
erkennbar: Der Aufbau und Betrieb einer PKI erwies sich als zu aufwändig. Kein Wunder, denn die
damaligen PKI-Produkte machten dem "I" in PKI alle Ehre. Als eigenständige Serverapplikationen mit
eigenen Prozessen, eigener Benutzerverwaltung und eigener Administrationsoberfläche schufen sie
tatsächlich eine neue Infrastruktur. Der Administrationsaufwand ähnelte dem eines SAP-Systems, ohne
dass ein Unternehmen von einer PKI einen vergleichbaren Return on Investment erwarten konnte.
Dieses Dilemma verstärkte sich noch dadurch, dass sich viele angehende PKI-Betreiber zu wenige
Gedanken über die Anwendung ihrer PKI machten. Wenn sich eine PKI-Applikation – etwa
E-Mail-Verschlüsselung oder Dokumentensignatur – nicht realisieren ließ, ging das
Kosten-Nutzen-Verhältnis erst recht in den Keller.
Identity-Management-Boom nutzen
Während der große PKI-Hype um das Jahr 2000 abklang, gewann in der IT-Welt ein neues Thema an
Fahrt: Identity-Management. Dieses hat bekanntlich zum Ziel, die Benutzerverwaltung
unterschiedlicher Serveranwendungen – beispielsweise über ein Meta-Directory – zusammenzuführen, um
so die Komplexität und den Administrationsaufwand zu senken. Von dieser neuen Entwicklung
profitierte nebenbei auch das Thema PKI, dessen Problem gerade die Komplexität und der
Administrationsaufwand gewesen war. Natürlich reagierten die Hersteller von
Identity-Management-Lösungen auf diesen neuen Trend und integrierten PKI-Lösungen in ihre Produkte.
Die PKI als eigenständige Infrastruktur hatte damit ausgedient. PKI als Feature des
Identity-Managements hieß dagegen das Gebot der Stunde. Seit sich dieses Paradigma durchgesetzt
hat, ist eine PKI-Renaissance nicht mehr zu übersehen.
Was die Zusammenlegung von PKI und Identity-Management bedeutet, lässt sich einfach beschreiben:
Die Nutzerverwaltung in der PKI muss direkt an das Meta-Directory gekoppelt werden oder sogar mit
diesem identisch sein. Wird ein neuer Mitarbeiter eingestellt, dann muss dieser neben
E-Mail-Adresse, Telefonnummer und Personalnummer auch für die PKI registriert werden (es gilt also,
ein digitales Zertifikat zu erstellen). Diese PKI-Registrierung muss so stark automatisiert sein,
dass weder für den Anwender noch für den Registrator ein spürbarer Zusatzaufwand entsteht. In
ähnlicher Form müssen auch Änderungen wie etwa ein Namenswechsel bei Heirat und Sperrungen
automatisiert ablaufen.
Wie ein Identity-Management-integrierter PKI-Ansatz in der Praxis aussehen kann, zeigt ein Blick
auf das Angebot von Microsoft. Die PKI-Lösung dieses Herstellers ist bekanntlich im Lieferumfang
des Windows-Betriebssystems enthalten. Bereits in Windows 2000 wurde die Windows-CA als Zusatz zum
Active Directory geliefert, das über den Microsoft Identity Integration Server (MIIS) auch als
Meta-Directory genutzt werden kann. Dadurch ist es möglich, die Benutzerverwaltung für die PKI und
für andere Anwendungen zu einer Einheit zu verschmelzen. Bereits die Windows-2000-CA bot zudem ein
so genanntes Auto-Enrollment für Maschinenzertifikate an, also für digitale Zertifikate, die
beispielsweise von VPN-Servern oder SSL-Servern genutzt werden. Auto-Enrollment bedeutet, dass für
ein im Verzeichnisdienst vorhandenes Objekt ohne zusätzliche Registrierung ein digitales Zertifikat
generiert wird. Menschliche Anwender mussten ihre digitalen Zertifikate damals noch über eine
Webschnittstelle bei der CA beantragen, doch seit Windows 2003 gibt es auch
Anwender-Auto-Enrollment. Das Generieren eines digitalen Zertifikats ist dabei in das
Betriebssystem-Login integriert und erfordert sowohl vom Administrator als auch vom Anwender kaum
mehr als ein paar Mausklicks.
Obwohl Microsoft damit eine sehr tiefe Integration ihrer PKI-Lösung in das Active Directory
realisiert hat, ist die Windows-CA auch ohne dieses lauffähig. Dies liegt daran, dass die
Windows-CA eine JET-Engine als Datenspeicher verwendet und dadurch autark bleiben kann. Der Vorteil
dieser Trennung liegt darin, dass eine solche im Hochsicherheitsumfeld manchmal gefordert wird.
Darüber hinaus wird das Thema Certificate-Lifecycle-Management (CLM) bei Microsoft derzeit groß
geschrieben. Das Unternehmen hat aus diesem Grund den US-Anbieter Alacris aufgekauft. Dessen
CLM-Lösung ist speziell für einen flexiblen PKI-Workflow, für die Realisierung eines
Vier-Augen-Prizips, für Webseiten zur PIN-Entsperrung und ähnliche CLM-Aufgaben entwickelt
worden.
Novell, Sun, Siemens
Zu den größten Konkurrenten von Microsoft auf dem Identity-Management-Markt gehört Novell. Deren
Verzeichnisdienstlösung ist das Edirectory (ehemals NDS). Verschiedene Vorteile – vor allem eine
höhere Skalierbarkeit – sorgen dafür, dass sich dieses Produkt bisher gut gegen Microsoft behaupten
kann. Der Ausbau des Edirectory zum Meta-Verzeichnis erfolgt mit dem Novell-Identity-Manager. Das
Edirectory bietet zwar selbst keine mit der Windows-CA vergleichbar PKI-Funktionalität an – dafür
gibt es jedoch Drittanbieterlösungen wie Cv Act Pkintegrated von Cryptovision, mit der sich
entsprechende Funktionen im Edirectory nachrüsten lassen. Mit dieser Erweiterung etwa ist ein
Auto-Enrollment sowohl für Anwender- als auch für Maschinenzertifikate möglich. Dieses
Auto-Enrollment lässt sich insbesondere auch in den Novell-Client, über den in Novell-Umgebungen
das Login erfolgt, einbinden. Im Gegensatz zur Windows-CA, die mit einer eigenen Datenbank
arbeitet, nutzt Cv Act Pkintegrated das Edirectory auch als Datenspeicher. Dies hat den Vorteil,
dass es sich dabei um eine besonders schlanke Lösung handelt, lässt aber andererseits die im
Hochsicherheitsumfeld manchmal geforderte separate Datenhaltung nicht zu.
Anders als Microsoft und Novell bietet Sun Microsystems, ebenfalls ein Global Player im Bereich
des Identity-Managements, weder eine eigene PKI-Lösung noch ein integriertes Fremdprodukt an. Dies
war nicht immer so, denn im Rahmen der Netscape-Sun-Allianz übernahm Sun unter anderem den Netscape
Certificate Server, der einige Jahre als bevorzugte PKI-Lösung diente. 2002 wurde dieses Produkt
jedoch vom Markt genommen. Derzeit verfolgt Sun die Strategie, sich nicht auf ein bestimmtes
PKI-Produkt festzulegen, sondern die Lösungen anderer Hersteller, etwa Entrust oder Cybertrust,
möglichst gut zu integrieren. Dieses Vorgehen wird damit begründet, dass Sun vor allem für
Großkunden arbeitet, bei denen eine PKI von der Stange ohnehin nicht ohne weiteres realisierbar
ist. Statt also alle Kunden über einen Kamm zu scheren, versucht Sun, individuelle Lösungen zu
entwickeln und dabei die Projekterfahrung des Unternehmens zu nutzen. Zudem entspricht dies der
Strategie, für das Identity-Management nicht das eigene Directory zu propagieren, sondern jede
Datenquelle nutzen zu können (Virtuelles Directory). Das Thema Certificate-Lifecycle-Management
steht auch bei Sun hoch im Kurs. Man betrachtet es als Untermenge des
Identity-Lifecycle-Managements, in dem Sun nicht zuletzt dank eines speziellen Workflow-Tools eine
anerkanntermaßen hohe Kompetenz besitzt.
Ähnlich wie Sun Microsystems bietet auch Siemens derzeit keine eigene PKI-Lösung an. Stattdessen
hät man sich an die Strategie, alle marktführenden Produkte mit entsprechenden Konnektoren in die
eigene Identity-Management-Lösung zu integrieren. Beispielsweise hat Siemens dafür mit Nexus eine
Technologiepartnerschaft abgeschlossen. Siemens hat offensichtlich auch keine Berührungsängste
gegenüber der Windows-CA, die über einen Active-Directory-Konnektor an ein Siemens-Directory (DirX)
angebunden werden kann. Die Themen Certificate-Lifecycle-Management und Auto-Enrollment überlässt
Siemens zur Zeit noch dem PKI-Hersteller. Als einziger Hersteller liefert Siemens neben
Identity-Management-Produkten auch eigene Smartcard-Produkte, wie beispielsweise ein
Smartcard-Betriebssystem und ein Kartenmanagement- und Personalisierungssystem.
Triebfeder Compliance
Mit der zunehmenden IDM-Integration fallen die Investitionen in eine PKI deutlich geringer aus
als früher. Für einen Return on Investment ist es jedoch zusätzlich notwendig, dass die
entsprechenden PKI-Anwendungen von Anfang an im Mittelpunkt stehen. E-Mail-Verschlüsselung,
WLAN-Absicherung, digitale Signaturen und ähnlich Anwendungen geben der PKI schließlich erst ihren
Sinn. Eine wichtige Antriebskraft ist dabei momentan das Thema Compliance. Damit ist unter anderem
gemeint, dass derzeit viele Unternehmen Verschlüsselungslösungen einführen müssen, um Vorschriften
wie dem US-Gesetz Sarbanes-Oxley-Act oder dem deutschen KonTraG zu entsprechen (um "compliant" zu
sein). Diese Vorschriften schreiben IT-Sicherheit als Bestandteil einer ordentlichen
Unternehmensführung vor, für die das Management geradestehen muss. Für die Anbieter von
PKI-Lösungen ist Compliance nicht zuletzt deshalb äußerst hilfreich, weil es die Türen in die
Managementetagen öffnet. Die notwendigen Budgets lassen sich dort meist einfacher loseisen als in
der IT-Sicherheits-Abteilung. Der Grund: für mangelnde Compliance drohen harte Strafen.
Lesen Sie mehr zum Thema
