Sichere Authentifizierung für E-Business: PKI

Public Key Infrastruktur (PKI) gilt weitgehend als beste Sicherheitsoption für elektronische Transaktionen.

Mittelpunkt der PKI sind zwei Keys, ein privater und ein öffentlicher. Informationen, die unter Verwendung des öffentlichen Keys verschlüsselt wurden, können nur unter Einsatz des ergänzenden privaten Keys entschlüsselt werden. Dieses System bedeutet, dass die öffentlichen Keys aller Anwender in öffentlichen Verzeichnissen geführt werden können, um eine Kommunikation zwischen allen Beteiligten zu ermöglichen. Neben der Verschlüsselung können die öffentlichen und privaten Keys auch dazu dienen, ‚Digitalunterschriften‘ zu erstellen und zu verifizieren. Diese können dann Nachrichten angehängt werden, um die Nachricht und den Absender zu authentifizieren.

Obwohl die Sicherheit der PKI nachgewiesen ist, fand diese Technologie bisher in beschränkterem Maße Anwendung, als von Industrieanalytikern erwartet wurde. Organisationen, die PKI erworben haben, sind in der Regel diejenigen, die mit hochwertigen Geldtransaktionen oder dem Management vertraulicher Dokumente befasst sind. Das heißt also große Bankinstitute, Regierungsbehörden und Hersteller, die sich auf High-End E-Commerce spezialisiert haben.

Unabhängige PKI-Projekte, die große Anwendergruppen einbeziehen, sind noch immer relativ selten zu finden, da sich PKI kurzfristig gesehen je Anwender als kostspielig erweist. Zudem ist der Einsatz der PKI im Allgemeinen mit einer komplizierten Systemintegration verbunden.

Änderungen sind jedoch bereits abzusehen. Große IT-Händler beginnen, ihre führenden Produkte PKI-kompatibel zu machen. Microsofts Windows 2000 und XP-Anwendungsprogramme sind die beiden profiliertesten Produkte, die in den letzten Monaten ihre Kompatibilität mit PKI bekannt gegeben haben, aber auch IBM, Cisco und Oracle sind sich der Tatsache bewusst, dass ihre neuen Versionen über PKI-Sicherheit verfügen müssen.

Dies bedeutet, dass Organisationen, die in PKI investieren, jetzt wissen, dass sie die Kosten der Technologie auf mehr Geschäftsanwendungen verteilen können – von ihrer Unternehmens-E-Mail bis zu ihren Personalunterlagen. Dies führt zu einer Kostensenkung bei der Systemintegration.

Eine weitere Option für Unternehmen, die das mit PKI verbundene hohe Maß an Sicherheit erfordern, die aber nicht in der Lage (oder nicht bereit) sind, viel Geld anzulegen, besteht darin, sich um die Bereitstellung dieser Dienstleistungen durch einen externen Managementanbieter zu bemühen. Diese Anbieter sind in der Lage, die Kosten der PKI unter mehreren Organisationen aufzuteilen und PKI somit preisgünstiger anzubieten. Zwei solche Anbieter in Deutschland sind die Deutsche Telekom und TC TrustCenter. Diese Option erweist sich besonders kostengünstig für Organisationen, die PKI nur für ein oder zwei Geschäftsanwendungen einsetzen möchten.

Welche Lösung ist also für mich die beste?
Die Auswahl der Authentifizierungsoption, die für Ihre Organisation die richtige ist, hängt in gewissem Maße nach wie vor von der Art der Transaktion ab, die Sie absichern möchten. Handelt es sich um geringwertige Geldtransaktionen oder nicht-vertrauliche Informationen, dann reicht eine Sicherheit auf Passwortbasis wahrscheinlich aus. PKI ist jedoch die sicherste Authentifizierungsoption. Diese Art von Sicherheit wird jedoch immer preiswerter, da es Organisationen ermöglicht wird, die Kosten für PKI über mehr Geschäftsanwendungen zu verteilen, und immer mehr Anbieter beginnen, PKI als fremdbezogene Dienstleistung anzubieten.