Suchen

Public Key Infrastruktur (PKI) richtig umsetzen Die Bedeutung der NIS-Direktive für Cloud-Deployments

Autor / Redakteur: Andreas Philipp* / Elke Witmer-Goßner

Die NIS-Richtlinie will ein einheitliches Cybersecurity-Niveau in allen EU-Mitgliedsstaaten schaffen. Sie gilt unter anderem für Betreiber von kritischen Infrastrukturen und für Cloud Provider. Eine zentrale Rolle bei der Umsetzung spielt die Einführung einer Public Key Infrastruktur (PKI). KRITIS-Unternehmen müssen daher bei ihren Cloud-Deployments jetzt einiges beachten.

Firmen zum Thema

Die NIS-Direktive der EU-Kommission soll das Cybersicherheits-Niveau in allen Mitgliedstaaten hochhalten.
Die NIS-Direktive der EU-Kommission soll das Cybersicherheits-Niveau in allen Mitgliedstaaten hochhalten.
(Bild: © chinnarach - stock.adobe.com)

Cybervorfälle zählen weltweit zu den größten Geschäftsrisiken. Für kritische Infrastrukturen sind sie brandgefährlich, denn ein erfolgreicher Angriff könnte das gesamte gesellschaftliche Leben zum Erliegen bringen. Um europaweit für mehr Schutz zu sorgen, hat die EU-Kommission die NIS-Direktive über die Sicherheit von Netz- und Informationssystemen erlassen. Sie soll ein einheitliches, hohes Cybersicherheits-Niveau in allen Mitgliedstaaten schaffen.

Die NIS-Richtlinie ist seit August 2016 in Kraft und wurde im Mai 2018 in nationales Recht umgesetzt. Sie gilt für Betreiber kritischer Infrastrukturen sowie für Anbieter digitaler Dienste. Erstmals stehen damit auch Cloud Provider im Fokus eines Cyber-Sicherheitsgesetzes und müssen dafür sorgen, dass sie die Direktive erfüllen. KRITIS-Unternehmen wiederum, die solche Services einsetzen, brauchen eine Security-Management-Strategie, die ihre Cloud-Deployments miteinschließt.

PKI als Schlüsseltechnologie

Zu den zentralen Anforderungen der NIS-Richtlinie zählt, dass Unternehmen angemessene technische Maßnahmen ergreifen müssen, um Nutzer, Geräte und Systeme zu authentisieren und zu autorisieren. So soll die Authentizität der Teilnehmer verifiziert und sichergestellt werden, dass nur Berechtigte Zugriff auf Dienste oder Daten erhalten.

Die am weitesten verbreitete Technologie, um dies umzusetzen, ist eine Public Key Infrastruktur (PKI). Sie ermöglicht es, die Identität jedes Teilnehmers in einem Netzwerk anhand von Zertifikaten eindeutig festzustellen. Außerdem schafft sie die Voraussetzung für sichere, verschlüsselte Kommunikation. Eine PKI umfasst Software, Hardware, Prozesse und Richtlinien, um digitale Zertifikate und öffentliche Schlüssel zu erstellen, zu verwalten, zu verteilen, zu verwenden, zu speichern und zu widerrufen.

Oft vernachlässigt: die Zertifikats-Policy

Viele Cloud-Provider und KRITIS-Unternehmen haben bereits eine PKI eingeführt oder sind gerade dabei. Die NIS-Richtlinie beflügelt dies, denn jetzt sind betroffene Unternehmen dazu verpflichtet, geeignete Security-Maßnahmen nachzuweisen. Viele streben daher eine Zertifizierung nach ISO 27001 an, um ihren Schutzstatus messbar zu machen.

Dabei vergessen sie häufig, dass eine PKI mehr ist als nur Technik. Vielmehr handelt es sich um ein Sicherheitskonzept, das auch organisatorische Maßnahmen erfordert. Damit die PKI wirklich sicher ist, brauchen Unternehmen eine Zertifikats-Policy. Sie beschreibt die technischen, personellen und organisatorischen Sicherheitsanforderungen für die Ausstellung von Zertifikaten.

Eine zentrale Rolle spielt dabei die Frage, wie sich die Identitätssicherheit und das Vertrauen wiederherstellen lassen, wenn die PKI bei einem Cybervorfall kompromittiert wurde. Woher weiß man, welchen Identitäten man noch vertrauen kann? Müssen nach einem Hackerangriff sämtliche Personen und Geräte im Netzwerk wieder neu identifiziert werden? Muss die gesamte Infrastruktur neu aufgebaut werden?

Die Root CA hat in der Cloud nichts verloren

In der PKI wird Vertrauen mithilfe von Zertifikaten hergestellt. Dabei gibt es eine streng hierarchische Vertrauenskette. Oberste Instanz ist die Root CA (certificate authority), die Wurzel-Zertifizierungsstelle. Sie fungiert als Vertrauensanker (Trust Anchor), das heißt ihr vertrauen sämtliche anderen Teilnehmer in der PKI. Von der Root CA sind untergeordnete Sub CAs autorisiert, die wiederum Zertifikate für Geräte oder Personen ausstellen. Wird nun eine Sub CA gehackt, lässt sich die Identität eines Teilnehmers immer noch anhand der Root CA verifizieren. Daher ist es entscheidend für die Sicherheit, dass die Root CA nicht in falsche Hände gelangt. Sie sollte immer unter eigener Kontrolle bleiben.

Das ist insbesondere wichtig, wenn Unternehmen Public Cloud Services einsetzen. Denn hier entzieht sich vieles ihrer Kontrolle und obliegt dem Cloud Provider. Wer eine PKI in der Public Cloud betreibt, sollte also unbedingt darauf achten, dass er die Root CA trotzdem selbst managen kann. Sie darf niemals in der Cloud liegen. Die Security Policies des Cloud Providers sollten im Einklang mit der eigenen Sicherheitsstrategie und der NIS-Richtlinie sein.

Doch auch wenn dies gewährleistet ist, müssen sich Unternehmen trotzdem noch selbst um Datenschutz-, Datensicherheits-, Wiederherstellungs- und Reporting-Prozesse kümmern. Dafür brauchen sie die geeigneten technischen und organisatorischen Möglichkeiten. Raimund Wilhelmer, COO beim Sicherheitsspezialisten Cryptas, erklärt: „Gerade in der Cloud sollten Unternehmen darauf achten, dass ihre Security Policies eingehalten werden. Sie müssen sich insbesondere über das gesamte Risiko-Management und insbesondere auch Gedanken über Recovery-Szenarien machen und die Kontrolle über die Root CA behalten. Eine PKI-Lösung wie die EJBCA von PrimeKey ermöglicht es Unternehmen, ihre Cloud Deployments ideal und NIS-konform umzusetzen und so ihre Geschäftsziele zu erreichen.“

Die richtige PKI-Lösung finden

Andreas Philipp von PrimeKey.
Andreas Philipp von PrimeKey.
(Bild: PrimeKey)

Bei der Wahl der geeigneten PKI-Lösung sollten Unternehmen darauf achten, dass der Anbieter nach ISO 27001, ISO 27002 und ISO 9001 zertifiziert ist. Dadurch können sie sicher sein, dass hohe Security- und Qualitätsmanagement-Standards eingehalten werden. Empfehlenswert sind außerdem Produkt-Zertifizierungen nach Common Criteria. Damit erfüllen Produkte sowohl hohe funktionale Anforderungen an die Sicherheit als auch an die Vertrauenswürdigkeit. Außerdem sollte die PKI-Lösung möglichst einfach einzusetzen sein und sich bereits nachweisbar bei Kunden im Praxiseinsatz bewährt haben.

* Der Autor Andreas Philipp ist Business Development Manager bei PrimeKey.

(ID:46610114)