Nach wie vor tendieren IT-Verantwortliche von Finanzinstituten dazu, dem Management ihrer Public Key Infrastructure (PKI) nicht die ihm gebührende Bedeutung beizumessen. Viele Finanzunternehmen verfügen weder über spezialisierte PKI-Teams noch über moderne technische PKI-Management-Lösungen. Dabei stellen die effektive Verschlüsselung der eigenen Daten und das damit verbundene effiziente und sichere Key-Management einen zentralen Baustein einer jeden Sicherheitsarchitektur dar – auch und gerade im Fall von Finanzinstituten. Längst haben Vorgaben an das PKI-Management Einzug in zentrale Compliance-Anforderungen von Banken und Finanzdienstleistern gehalten. Anforderungen, die umgesetzt werden müssen – und dies nachweisbar.

Dora etwa, verlangt kryptografischen Kontrollen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherstellen – selbst im Fall eines Cybersicherheitsvorfalls. PCI DSS v4.0 hält Anforderungen an die Verwaltung des kryptografischen Inventars und die Kontrolle der Lebenszyklen von Schlüsseln bereit. NIS2 verlangt die Einrichtung von Governance-Richtlinien für kryptografische Schlüssel und Zertifikate sowie die Identitätssicherung in komplexen Lieferketten und hybriden Umgebungen. Aufsichtsbehörden von Banken wiederum fordern mittlerweile einen Nachweis, dass ein Finanzinstitut über die erforderlichen Pläne und technischen Möglichkeiten verfügt, die eigene Kryptografie auf das Quantenzeitalter umzustellen – Stichwort PQC. All diese Vorgaben und Richtlinien, sie müssen von den IT-Verantwortlichen und ihren Teams nicht nur in die Realität überführt, sie müssen auch kontinuierlich geprüft, validiert und dokumentiert werden.

Diese Aufgabe aber wird für die IT-Abteilungen von Finanzdienstleistern zu einer immer komplexeren Herausforderung. Denn: die Zahl der zu verwaltenden kryptografischen Schlüssel und Zertifikate, sie wächst und wächst seit Jahren. Ein Ende ist nicht in Sicht. Gleichzeitig fehlt es den Verantwortlichen an den erforderlichen Ressourcen, um sich einen umfassenden PKI-Überblick, möglichst in Echtzeit, zu verschaffen. Das Management der PKI erfolgt bei vielen Finanzinstituten immer noch manuell – unter Zuhilfenahme von Tabellenkalkulationsprogrammen, Ticketsystemen und Shell-Skripten. Menschliche Fehler sind so vorprogrammiert. Leicht wird ein auslaufendes oder kompromittiertes Zertifikat übersehen oder vergessen – was dann, im schlimmsten Fall, einen vorübergehenden Totalausfall der involvierten Systeme zur Folge haben kann. Dem Wildwuchs selbstsignierter Zertifikate durch Mitarbeiter der IT- und Entwicklungsabteilungen kann so auch nicht effektiv begegnet werden. All das bringt erhebliche Probleme mit sich – für die effektive Umsetzung von Sicherheit aber auch für die Erstellung der vorgeschriebenen Compliance-Reportings und -Audits.

IT-Abteilungen von Finanzdienstleistern müssen dokumentieren, dass über ihre gesamte PKI-Landschaft hinweg

• vollständige Transparenz herrscht: Ein Echtzeit-Inventar aller Zertifikate, Schlüssel und kryptografischen Anlagen muss vorliegen.

• sämtliche Governance-Richtlinien durchgesetzt werden: Klare Prüfpfade müssen existieren, die belegen, dass die Ausstellung von Zertifikaten genehmigten Richtlinien folgt (z. B. CA-Quelle, Algorithmusstärke, Schlüssellänge).

• alle erkannten PKI-Risiken quantifiziert und zurückgefahren werden: Metriken zur mittleren Zeit bis zur Erneuerung (MTTRenew) abgelaufener oder falsch konfigurierter Zertifikate müssen existieren.

• die erforderliche Krypto-Agilität gewährleistet wird: Die Bereitschaft der PKI zur Umstellung auf neue Algorithmen, einschließlich hybrider klassischer/Post-Quantum-Zertifikate, muss nachgewiesen werden.

Rein manuell lässt sich die Einhaltung all dieser Compliance-Anforderungen – weitere werden in den kommenden Jahren sicherlich noch hinzukommen – kaum mehr bewältigen. Für das effektive Management – und die effektive Dokumentation – stetig wachsender PKI-Infrastrukturen bedarf es einer ganzheitlichen technischen Lösung. Moderne PKI-Management-Lösungen arbeiten mittlerweile stark automatisiert – unter Zuhilfenahme vorher festgelegter Governance-Richtlinien. Dies ermöglicht nicht nur eine vereinheitlichte Bestandsaufnahme von Zertifikaten und Schlüsseln, deren automatisierte Erstellung, Widerrufung und Erneuerung und eine deutliche Steigerung der PKI-Kryptoagilität, es ermöglicht auch eine automatisierte umfassende Compliance-Berichterstattung in Echtzeit. Sie bilden eine echte Arbeitserleichterung für die ohnehin stark beanspruchten IT-Teams und helfen sicherzustellen, dass Verordnungen und Richtlinien vorschriftsgemäß eingehalten werden.