Public-Key-Infrastrukturen

PKI ist eine Abkürzung und steht für Public-Key-Infrastruktur. Sie ist ein wichtiger Bestandteil eines soliden Sicherheitskonzepts und beschreibt einen kryptografischen Vertrauensanker. In diesem Rahmen müssen sich jedes Gerät und jeder Benutzer identifizieren. Nur mit einer erfolgreichen Authentifizierung ist es anschließend möglich, eine sichere Kommunikation beziehungsweise Verbindung zwischen zwei Endpunkten zu ermöglichen.

Definition und Erklärung

Wo verwendet man Public-Key-Infrastrukturen?

Die Sicherheitsmechanismen des Konzepts sorgen für mehr Sicherheit zwischen digitalen und physischen Ressourcen. Damit sie eine sichere Kommunikation zwischen Menschen, Geräten und Software ermöglichen, müssen sie die vertrauenswürdigen elektronischen Identitäten erstellen und verwalten. Diese Identitäten umfassen sowohl Personen, Dienste wie auch Gegenstände.

public-key-infrastrukturen

Grundlagen der PKI

Das sind die Merkmale einer PKI

Die Grundlage der PKI sind Hardware, Richtlinien, Standards und Software. Ohne eine Kombination aus diesen Elementen wäre es nicht möglich, ein digitales PKI Zertifikat zu erstellen. Gewscheige denn, dieses zu verteilen, zu verwalten oder gar zu widerrufen. Schließlich garantiert die PKI, dass ein digitales Zertifikat vertrauenswürdig ist. Aus diesem Grund zeichnet sie sich durch unterschiedliche Merkmale aus.

Das digitale Zertifikat

Das digitale Zertifikat setzt sich aus unterschiedlichen Daten wie einer Seriennummer und anderen identifizierenden Informationen zusammen. In den meisten Fällen basiert es auf dem X509-Standard. Dieser ordnet einen öffentlichen Key eindeutig einer Anwendung, einem Gerät oder einer Person zu.

Öffentliche und private Keys

Während der öffentliche Schlüssel bekannt ist, kennt den privaten Schlüssel nur sein Besitzer. Auf diese Weise ist sichergestellt, dass sich die Person, das System oder das Gerät eindeutig identifizieren kann. Beide Schlüssel sind als Paar erstellt und mathematisch miteinander verknüpft.

Die elektronische Identität

Die Kombination aus einem öffentlichen digitalen Zertifikat und einem privaten Schlüssel ist auch als eID bekannt. Das Ensemble aus Zertifikat und privatem Schlüssel funktioniert dank der PKI Infrastruktur wie ein digitaler Ausweis. Sie ermöglicht es also, die eigene Identität nachzuweisen.

Branchen

Automotive
Finance
Healthcare
KMU
Startup
Technology

Zertifikate

Anwendungsbereiche

Wir helfen bei der sicheren Implementierung einer PKI

Da die PKI elektronische Identitäten für Personen, Geräte und Dienste verwaltet, erlaubt sie eine starke Authentifizierung, Datenverschlüsselung sowie digitale Signatur.

PKI-Arten

Beschreibung der PKI-Arten im Unternehmen

Die Grundlage für dieses System ist die Kombination aus einem public und einem private Key. Mithilfe dieser Schlüssel überprüft die PKI Infrastruktur, ob beispielsweise eine Kommunikation mit anderen Geräten möglich ist. Konkret bedeutet das: Die PKI überprüft die Identität des Inhabers. Nach der Prüfung stellt sie ein Zertifikat für den jeweiligen Public Key aus, wodurch sie die Authentizität des Schlüsselpaares bescheinigt. Auf diese Weise lässt sich auch die Echtheit eines Zertifikats prüfen.

Eine PKI beschreibt eine Sicherheitspyramide
Wichtig ist, dass es sich bei der PKI um eine mehrstufige Sicherheitspyramide handelt. Selbst mit einer PKI Karte kommen unterschiedliche Instanzen zum Einsatz, die die Identität erfolgreich bestätigen müssen.
Bisher wurde der PKI-Standard lokal in den unternehmenseigenen Rechenzentren von Unternehmen implementiert. Das Problem daran ist, dass das notwendige Know-how und ausreichend Personal unbedingt notwendig sind.
PKI aus der Cloud und As-a-Service
Um die PKI aus der Cloud nutzen zu können, gilt es, unterschiedliche Security Policies zu erstellen. Außerdem ist es notwendig, die gesamte PKI zu konzeptionieren und zu spezifizieren. Anschließend können sie anhand der Systemumgebung und des Betriebskonzeptes angepasst und implementiert werden. Für Unternehmen stellt sich dabei jedoch die Frage: Ist es besser, die PKI in der Cloud zu nutzen, As-a-Service oder weiterhin auf die On-Premise-Lösung zu setzen?
On-Premises-Implementierung
Auch müssen die notwendigen Kapazitäten bestimmt werden. Wer die PKIs beispielsweise nur temporär benötigt, profitiert auf jedem Fall von einer ausgelagerten Lösung. Bei einem gleichbleibenden Volumen hingegen ist das fachliche Know-how meist in der Firma fest verankert. In diesem Fall kann es durchaus sinnvoll sein, eine lokale Implementierung in Betracht zu ziehen.
architektur

Leistungsspektrum für Cyber Security

Weitere sinnvolle Leistungen im Rahmen eines IT-Sicherheits-Audits

Penetration Test
Penetration Tests sind simulierte Angriffe aus externen oder internen Quellen, um die Sicherheit von Webanwendungen, Apps, Netzwerken und Infrastrukturen zu ermitteln und etwaige Schwachstellen aufzudecken.
Cloud Security
Aufgrund der steigenden Komplexität bei Cloud-Infrastrukturen sind viele Dienste fehlerhaft konfiguriert. Wir helfen Ihnen Fehlkonfigurationen und dessen Auswirkungen zu identifizieren und zu eliminieren.
Phishing Simulation
Eine Speer-Phishing-Simulation wird dazu verwendet die Erkennungsfähigkeit der Mitarbeiter zu steigern. Wir helfen Ihnen, Ihre Mitarbeiter zu sensibilisieren und somit die letzte Barriere zu stärken.
Statische Code-Analyse
Die statische Codeanalyse, auch bekannt als Quellcodeanalyse, wird in der Regel im Rahmen einer Code-Überprüfung durchgeführt und findet in der Implementierungsphase eines Security Development Lifecycle (SDL) statt.

Verlinkbar in Ihrer Website

Zertifizierung mit Siegel

Wir haben ein effektives und umfangreiches Format für nachweisbare Sicherheit entwickelt, dass direkt mit in Ihre Webseite eingebunden werden kann. Dieses Zertifikat belegt gegenüber Dritten wie z.B. Kunden oder Versicherungen ein hohes Sicherheitsniveau, Datenschutz und eine Sensibilisierung für IT-Sicherheit.

Die von uns ausgestellten Zertifikate belegen ein hohes IT-Sicherheitsniveau zu einem gegebenen Zeitpunkt nach einem Standard oder individuellen Testmodulen. Je nach Assessment werden unterschiedliche Testleitfaden gewählt und ausgewertet.

Zum Zertifikat
zertifikat

Aktuelle Informationen

Aktuelle Blog-Artikel

Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security

Penetrationstest
DiPA-Apps und Cyber Security

Cyber Security im Fokus: Eine Betrachtung der Sicherheitsaspekte im DiPA-Leitfaden und Empfehlungen für Verbesserungen.

Jan Kahmen
jan_kahmen
Jan Kahmen
3 min Lesezeit
Penetrationstest
Evaluation Assurance Level (EAL)

Der Evaluation Assurance Level (EAL) ist ein numerischer Wert, der die Vertrauenswürdigkeit bzw. die Sicherheit eines IT-Produkts oder Systems wiedergibt.

Jan Kahmen
jan_kahmen
Jan Kahmen
5 min Lesezeit
Penetrationstest
OWASP IoT Security Testing Guide

Der OWASP IoT Security Testing Guide (ISTG) ist eine umfassende Ressource, die Sicherheitsexperten bei der Durchführung von Pentests auf IoT-Geräten verwenden.

Jan Kahmen
jan_kahmen
Jan Kahmen
5 min Lesezeit

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:

Termin vereinbaren