Digitale Sicherheit: Warum Zertifikate Automatisierung benötigen (Gesponsert)

Sprecherin: Diese Folge wurde vom Arbeitgeber des Interviewpartners gesponsert. „heise meets … - der Entscheider-Talk. Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. Heise Business Services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik. Immer aktuell und nah am Geschehen.

Sprecher: Eine neue Folge von „heise meets …“ und ich darf heute Patrycja Schrenk begrüßen. Moin, moin, Patrycja in Fulda. Grüße nach Hessen.

Patrycja Schrenk: Ja, guten Morgen.

Sprecher: Wir wollen eigentlich über Zertifikate reden. Wir kennen das alle von Websites mit SSL-Zertifikaten. Wir haben da mehr Vertrauen. PSW, so heißt das Unternehmen, das Patrycja leitet, beschreibt das so: Zertifikate schützen, einfach ausgedrückt, die Verbindung zwischen Website und Besucher. Sie sorgen für Vertrauen, Datenschutz und Seriosität.

Doch bevor wir über Zertifikate reden, Patricia, wollen wir ein bisschen über dich reden. Wo kommst du her? Wo gehst du hin? Was machst du gerade?

Patrycja Schrenk: Ich sitze gerade hier in Fulda in unserem Büro und freue mich, mit dir über aktuelle Themen rund um SSL-Zertifikate zu sprechen. Also genauer gesagt, welche Entscheidungen gerade anstehen, welche Prozesse man braucht, wie baut man das Ganze so in der Praxis auf, damit das alles auch reibungslos funktioniert.

Für mich stehen gerade drei wichtige Punkte im Vordergrund: Erstens die Laufzeiten von TLS-Zertifikaten. Die werden kürzer. Das schafft natürlich viel mehr Aufwand bei den Betreibern der SSL-Zertifikate.

Zweitens der Punkt mit der Automatisierung – die standardisierte Beantragung, die Validierung, Erneuerung und Installation der Zertifikate, am besten herstellerunabhängig, damit sich die Lösung auch an den jeweiligen Use Case anpasst und nicht umgekehrt.

Und weil Sicherheit nicht beim Web aufhört, sind auch Zertifikate für E-Mail zunehmend wichtig. Das bringt natürlich große Herausforderungen für Unternehmen, aber auch zunehmend für Privatpersonen und auch kleinere Organisationen.

Privat reise ich leidenschaftlich gern und bin ein großer Serienjunkie. Das ist mein Ausgleich zum ganzen PKI-Geschäft.

Sprecher: Du bist eben aus Marokko zurück, hast du mir verraten. Was hat dich an dem Land so fasziniert?

Patrycja Schrenk: Es war tatsächlich eine Geschäftsreise, in der ich unterwegs war. Hinfahren bin ich wegen Partnerschaften in unserem Business. Aber das Land hat mich schon immer fasziniert. Wir waren in der Hauptstadt, in Marrakesh gewesen, und die Stadt ist wirklich super zum Anschauen.

Ich hatte dort auch ein paar ganz skurrile Sachen erlebt. Wir waren auf einem Markt unterwegs und ich war super beeindruckt von dem Gesamteindruck, was die Leute dort angeboten haben, die Vielfalt. Erschrocken war ich dann doch über die ganzen Gerüche, die auf mich eingewirkt haben.

Es hat mich auf jeden Fall überwältigt, denn die Mischung aus den ganzen Gewürzen, dem Essen und Sonstigem, das bleibt mir heute noch in der Nase.

Sprecher: Das heißt, auf nach Marokko und vorher Patrycja konsultieren, was wichtig ist. Du hast gesagt, du bist Serienjunkie. Was muss ich unbedingt gesehen haben?

Patrycja Schrenk: Game of Thrones. Das muss man, glaube ich, gesehen haben. Für mich Pflicht. Eine der besten Serien der letzten Zeit.

Sprecher: Okay, da kann ich mithalten, habe ich gesehen. Zurück zu Zertifikaten. Sie sind wichtig, da sind wir uns einig, und da ändert sich gerade ganz viel. Deswegen bist du zu Gast bei heise meets … Wer muss sich alles auf Veränderungen einstellen? Privatpersonen, Firmen, beide? Wer muss sich einstellen?

Patrycja Schrenk: Ganz klar, alle müssen sich auf Änderungen einstellen. Jede Organisation, die über das Web kommuniziert – egal ob man einen Webshop hat, ein Portal, ein Kundenlogin, eine API. Überall da ist TLS im Einsatz. Wenn Laufzeiten sinken, steigen die Touchpoints im Betrieb. Mehr Erneuerungen, mehr Zuständigkeiten, mehr Stellen, an denen etwas übersehen werden kann.

Für Entscheider heißt das: Wir reden nicht nur über Technik, sondern auch über das Reputationsrisiko. Denn eine abgelaufene Domain produziert Warnseiten. Die User brechen ab und das kostet unmittelbar Conversion.

Auch Vereine oder Freiberufler sind betroffen, aber das Ganze an einem kleineren Maßstab. Aber mit dem gleichen Effekt: Wo es Warnungen gibt, springen die User ab.

Konsequenz: klarere Prozesse, Automatisierung, damit man sich eben auf die ganzen Veränderungen einstellen kann.

Sprecher: Ich muss da mal dazwischen grätschen, Patrycja. Ich habe bei Ihnen auf der Website geschaut, da habt ihr zwölf alleine für die SSL-Verschlüsselung zuständige Zertifikate auf der ersten Seite. Das geht über acht Seiten so weiter. Woher weiß ich denn als Privatmensch, was ich überhaupt für ein Zertifikat brauche? Privatmensch wie Unternehmen, wenn ich diesen kleinen Webshop habe. Woher weiß ich das?

Patrycja Schrenk: Ja, du hast recht. Wir haben sehr viele Produkte auf unserer Website. Als Tipp von mir: Ich versuche dann immer, mich anhand von drei Fragen zu hangeln, um die richtige Antwort zu finden, welches Produkt ich brauchen würde.

Habe ich nur einen Namen, eine Domain also, die abgedeckt werden muss, würde für mich ein Einzelzertifikat in Frage kommen. Habe ich eine Domain mit vielen Subdomains, ist ein Wildcard-Zertifikat die richtige Antwort. Habe ich mehrere unterschiedliche Domains, dann sollte man sich für ein Multi-Domain-Zertifikat entscheiden.

Zudem werden die Zertifikate auch nach Validierungsart unterschieden. Ich weiß, das ist komplex. Also nach dem Vertrauensniveau. Es gibt drei unterschiedliche Arten, wie ein Zertifikat validiert werden kann:

Eine Domain-Validierung ist die einfachste Validierungsart. Da muss man eben nur nachweisen, dass man den Zugriff auf eine Domain hat. Dieses Zertifikat empfehlen wir meistens für Webseiten wie ein Blog oder eine nicht-kommerzielle Seite für Vereine oder so.

Für Unternehmen, die natürlich auch mit Vertrauen werben wollen, da empfehlen wir organisationsvalidierte oder erweitert validierte Zertifikate. Das schafft bei den Usern Vertrauen, weil ich auch bei der Beantragung des Zertifikates nachgewiesen habe, dass es mich als Unternehmen gibt und dass mein Unternehmen mindestens drei Jahre eine Geschäftstätigkeit nachweisen kann. Das hilft auch, um sogenannten Phishing-Seiten oder irgendwelchen betrügerischen Webseiten entgegenzuwirken.

Also wenn ich das habe, dann bin ich wirklich ein seriöses Unternehmen und habe entsprechende Nachweise geliefert.

Drittens sollte man auch darauf schauen, wenn man sich Produkte aussucht: Welche sind denn schon automatisierbar? Also ist das Produkt womöglich über eine API-Schnittstelle schon bestellbar? Da wird das Zertifikat über die API-Schnittstelle beantragt, validiert, installiert und natürlich im nächsten Zyklus dann automatisch erneuert.

Wenn diese drei Fragen von allen klar beantwortet werden können, dann ist die Produktauswahl bei uns auf der Website mit so vielen Produkten viel einfacher.

Wenn man sich nicht sicher ist, da hilft auch unser Support. Einfach kurz anrufen, die Anforderungen durchgeben. Unser Support kann dann eine klare Empfehlung aussprechen und, wenn gewünscht, auch einen Installationsservice anbieten und Zertifikate auf dem eigenen Server installieren.

Sprecher: Verstehe ich. Es sind einfach so viele und ich muss mich, egal was ich für eine Website betreibe, ob als Privatperson oder als Unternehmen, einfach damit abfinden, dass es so viele sind und dass es einen Dienstleister wie PSW für mich in die Hand nimmt, das alles zu managen.

Patrycja Schrenk: Genau, wir versuchen das eben abhängig von den Bedürfnissen des Kunden oder von den Systemen, die im Einsatz sind, da die besten Lösungen herauszufinden. Dafür haben wir ein außerordentlich großes Support-Team, das eben darauf geschult ist, sich mit den Infrastrukturen der Kunden auseinanderzusetzen und die beste Lösung herauszufinden.

Wir bieten ja auch nicht nur Zertifikate an für die Verschlüsselung von Website-Transaktionen, sondern auch um die E-Mail-Kommunikation zu verschlüsseln. Und gerade die wird auch bei Privatpersonen immer gefragter.

Wir verschicken ja alle E-Mails tagtäglich und die meisten sind ungeschützt. Das heißt, es ist genauso, als würde ich jedes Mal eine Postkarte verschicken. Jeder kann es mitlesen.

Und der Trend geht dahin, gerade in der Kommunikation mit Behörden, dass eben diese Kommunikation auch verschlüsselt sein sollte, was natürlich auch sinnvoll ist. Denn keiner will, dass die eigenen E-Mails mitgelesen werden, wenn es vor allem um behördliche Kommunikation geht.

Sprecher: Wer schreibt schon dem Finanzamt eine Postkarte ;-)

Patrycja Schrenk: Richtig. Das würde, glaube ich, keiner wollen, wenn man eine Postkarte bekommt mit dem Steuerbescheid. Oder wenn man irgendwas nachzahlen müsste oder noch, keine Ahnung, Androhung von Stundung oder ähnliches. Also das will ja auch keiner, dass das öffentlich ist. Man möchte ja auch Sachen für sich behalten. Und das sollte man ja auch, auch natürlich in der digitalen Kommunikation.

Sprecher: Patrycja, niemand möchte, dass das Finanzamt mit mir per Postkarte kommuniziert. Aber das ist jetzt auch ein Extrembeispiel. Du hast noch wesentlich mehr Beispiele.

Patrycja Schrenk: Ja, gerade bei der Kommunikation mit öffentlichen Behörden ist es wichtig, hatte ich ja schon gesagt, dass die Inhalte verschlüsselt werden. Als aktuelles Beispiel: Die Kommunikation mit der Agentur für Arbeit zum Beispiel muss verschlüsselt werden.

Das heißt, wenn Sie als Unternehmen, aber auch als Privatperson mit der Agentur für Arbeit kommunizieren möchten, müssen Sie die E-Mail verschlüsseln. Das bedeutet, Sie müssen sich dann als jemand, der überhaupt keine Ahnung hat, ein Zertifikat aussuchen. Und das heißt nicht irgendein, sondern es gibt eine Liste der Agentur für Arbeit für Produkte, die die akzeptieren.

Wir helfen natürlich immer auch den Kunden, das passende Produkt rauszusuchen, installieren das auf dem eigenen Laptop, auf dem Rechner, damit dann die Kommunikation mit der Agentur für Arbeit verschlüsselt funktionieren kann.

Sprecher: Wenn das Finanzamt, wenn das Arbeitsamt, wir bleiben jetzt bei den Ämtern, egal wie die richtig heißen, wenn die Ämter eine verschlüsselte Kommunikation von mir als Nutzer haben wollen, bei Banken will ich es selber haben, wagst du eine Prognose, wer demnächst alles noch dazukommen kann, Patrycja? Wer will mit mir verschlüsselt kommunizieren?

Patrycja Schrenk: Also das wird sich ausweiten auf alle Behörden, auf die gesamte Kommunikation mit den öffentlichen Einrichtungen. Da wird es auch Vorgaben geben, was auch natürlich sinnvoll ist.

Ich meine, man kennt das ja auch von den Steuerberatern. Das ist ja jetzt nicht nur ein Beispiel. Wenn ich mit meinem Steuerberater kommuniziere, muss ich einwilligen, dass meine Daten unverschlüsselt übertragen werden. Ich bin dann aber auch selbst schuld, wenn dann die Daten abfließen.

Aber vor ein paar Monaten gab es einen großen Fall, wo dann eine Rechnung per E-Mail verschickt worden ist. Die ist nicht verschlüsselt übertragen worden. Und das Ganze ist dann vor Gericht gelandet, weil der Empfänger gesagt hat, er hat die E-Mail nicht bekommen. Der, der die Rechnung verschickt hat, hat gesagt, ich habe sie verschickt. Und man hatte eben auch nicht den Nachweis.

Die Rechnung ist irgendwie auf diesem Weg von einem Dritten abgefangen worden, manipuliert worden, verändert worden. Und dann hat am Ende der Empfänger eine andere Rechnung bekommen mit anderen Kontodaten und er hat natürlich auf ein falsches Konto bezahlt.

Und dann wurde halt eben gestritten: Wer ist jetzt schuld? Ist jetzt der Versender der Rechnung dafür verantwortlich, das Ganze zu verschlüsseln und sicher zu übertragen? Oder ist jetzt trotzdem der Empfänger schuld, weil er hat ja irgendwo hinüberwiesen, er hätte das ja auch mal verifizieren können.

Also da gibt es so viele Beispiele, so viele Fälle, wo man sagt: Verschlüsselung ist auf jeden Fall wichtig und deswegen gehen natürlich die öffentlichen Einrichtungen dahin, dass man das vorschreibt, Verschlüsselung von der E-Mail-Kommunikation.

Sprecher: Völlig klar. Ich habe auch ein paar Zertifikate, Website, E-Mail und so weiter. Ich habe das bisher ganz bequem in der Excel-Liste. Da schlägst du die Hände über dem Kopf zusammen und sagst, oh nee, das geht nicht.

Patrycja Schrenk: Bei zwei SSL-Zertifikaten kann man die Excel-Liste ja noch nutzen. Aber für echte große Landschaften eignet sich das definitiv nicht. Ich kann in der Excel weder Fristen, Verantwortlichkeiten, Installationsstandorte oder die Trennung zwischen Produktiv- und Testumgebung gar nicht richtig abbilden. Dazu kommt ja noch, dass die Laufzeiten immer kürzer werden. Und eine Excel-Liste würde mich ja auch nicht erinnern, ob mein Zertifikat ausläuft. Also dann wird das Handling wirklich unübersichtlich. Daher meine Empfehlung, ein System, das erinnert, erneuert, installiert, jede Änderung protokolliert. Das ist entsprechend eine Lösung, die mich davor schützt, dass Zertifikate auslaufen, die Kunden Warnseiten erhalten und ich am Ende dann wirklich auch Geld verlieren kann.

Sprecher: Darüber reden wir gleich. Ich muss noch vorher mal fragen, warum werden die Laufzeiten immer kürzer? Also ich kann mich erinnern, ich habe selber Zertifikate, die laufen 365 Tage. Jetzt sagtest du, demnächst 47 Tage. Warum?

Patrycja Schrenk: Das ist eine Branchenentwicklung, um das Risiko zu reduzieren. Kürzere Laufzeiten bei den SSL-Zertifikaten bedeutet, die Chance, dass das Zertifikat kompromittiert wird durch das Knacken der Verschlüsselung, die sinkt. Dadurch steigt ja die Sicherheit und auch das Vertrauen in die Verschlüsselung, das Vertrauen in die verschlüsselten Inhalte. Auf der anderen Seite heißt das aber für die Betreiber der SSL-Zertifikate, dass eben die Installierung, die Installation, die Erneuerung der Zertifikate, das muss zukünftig automatisiert laufen.

Sprecher: Das heißt, 47 Tage sind nicht mal zwei Monate. Da muss ich mich immer auf ein neues Zertifikat einstellen.

Patrycja Schrenk: Richtig. Man muss sich ja die Entwicklung, die im Laufe der Zeit geschehen ist, betrachten. Als ich damals angefangen habe hier bei der PSW vor 18 Jahren, da waren die Zertifikate zehn Jahre lang gültig. Also das muss man sich mal vorstellen. Man hat sich dann eins gekauft und dann lief das halt zehn Jahre. Der Aufwand war wirklich einfach mal händelbar. Dann haben sie gesagt, okay, dann kürzen wir das Ganze auf fünf Jahre und dann haben sie es auf drei Jahre gekürzt. Und dann war ja der Konsens lange in der Wirtschaft: Okay, drei Jahre Laufzeiten, das ist gut zum Händeln bei der Masse von Webseiten. Das kann man auch ziemlich gut machen. Ich könnte es ja auch noch in der Excel machen, wie du vorhin schon gesagt hast, das wäre dann möglich. Aber dann nach und nach hat man gesagt, nee, das ist unsicher und wir müssen die Laufzeiten reduzieren. Die Kürzung auf 47 Tage stellt viele Firmen vor große Herausforderungen, das Ganze irgendwie auch einigermaßen effizient händeln zu können.

Sprecher: Völlig klar, da kommt ihr jetzt ins Spiel. Du hast schon gesagt, wir haben dafür eine Konsole. Wie funktioniert das Ganze und kann ich mich dann wirklich zurücklehnen, egal ob ich jetzt Privatmann bin oder IT-Admin im Unternehmen? Wie funktioniert diese Konsole?

Patrycja Schrenk: Unsere Konsole kann man sich wie eine Management-Plattform für digitale Zertifikate vorstellen. Wir haben dadurch, dass wir unterschiedliche Anbieter auch im Portfolio haben, alle CAs in einem System gebündelt. Ich habe also die Möglichkeit zwischen unterschiedlichen Anbietern zu wählen und in der Konsole habe ich auch die Möglichkeit, Zertifikate zu beantragen, die Validierung durchzuführen, automatisch die Installation anzustoßen, je nachdem, ob ich eben eine ECMI-Schnittstelle nutze oder nicht.

Das Ganze ist klar, kann von allen genutzt werden, die bei uns einen Account haben, egal ob das jetzt eine Privatperson ist, die ein E-Mail-Zertifikat kaufen möchte oder der IT-Admin eines großen Unternehmens, der das gesamte Management der Zertifikate über unser System abbilden möchte. Für größere Unternehmen oder falls die IT-Landschaft im eigenen Unternehmen sehr groß ist, bieten wir natürlich auch einen Inhouse-Betrieb an.

Wir arbeiten mit unterschiedlichen Lösungsanbietern zusammen und können verschiedene Lösungen anbieten, um den gesamten Zertifikatsbestand, egal ob SMIM oder TLS-Zertifikate, über ein Infrastrukturscan zu erfassen. Die Zertifikate können dann entsprechend inventarisiert werden. Man hat auch die Möglichkeit, unterschiedliche Policies anzulegen, Prozesse zu automatisieren, Vorgaben zu machen, welche Zertifikate an wen ausgegeben werden, welche Verantwortlichkeiten eben dadurch auch entstehen oder wer ist denn für das Ausrollen von SMM-Zertifikaten zum Beispiel verantwortlich.

Also ich kann den klaren Ablauf, den ich in meinem Unternehmen habe, auch eben in dem System abbilden. Dadurch spart mir natürlich Zeit, das ganze Handling manuell zu machen und ich bin vor auslaufenden Zertifikaten bestens geschützt.

Das heißt, es ist wirklich alles automatisiert. Die Excel-Datei gehört dann der Vergangenheit an. Das sollte man nicht mehr brauchen. Also durch die Systeme, die auch automatisch erneuern, das Ganze installieren, ist das alles nicht mehr notwendig. Das heißt nicht, dass wir jetzt die IT-Admins abschaffen wollen. Zumindest kann man sich den Aufwand in diesem Bereich dann sparen.

Sprecher: Ihr seid nicht der einzige Anbieter am Markt. Aber was macht ihr anders als andere? Was kann PSW besser?

Patrycja Schrenk: Was können wir besser? Ich würde auf jeden Fall sagen die Unabhängigkeit und die operative Nähe. Das zeichnet uns aus. Wir vereinen viele CAs in unserer eigenen Plattform. Dadurch können wir für jeden Use Case das passende Zertifikat anbieten und durch unseren Support haben wir auch die technische Expertise um unsere Kunden bei der Installation oder bei der Auswahl des Zertifikates auch gut unterstützen zu können.

Wir sind nicht nur ein Anbieter, der Produkte listen kann und auf unserer Webseite gibt es ja auch wirklich viele, sondern gerade bei großen Unternehmen zeichnet es uns auch aus, dass wir die Unterstützung bieten, die entsprechenden Lösungen auszuwählen und auch unterstützen, Zertifikate zu installieren. Oder sollte sich ein Kunde für eine Inhouse-Lösung entscheiden, helfen wir natürlich auch bei der Umstellung und der Migration.

Sprecher: Worauf sollte ich am besten achten, wenn ich als Unternehmen einen Partner für meine Zertifikate suche?

Patrycja Schrenk: Wenn ich jetzt einen Anbieter für Zertifikate suchen würde, dann würde ich auf die Vertrauenswürdigkeit schauen. Also wo ist der Standort? Sind Zertifizierungen bekannt? ISO 27000, also Informationssicherheit, ist eine der Zertifizierungen, auf die ich schauen würde. Dann definitiv die Unabhängigkeit. Gibt es mehrere CAs, die der Anbieter anbietet? Wird mir eben eine Lösung angeboten, die zu mir passt oder muss ich eben die Lösung nehmen, die nur eben der Partner anbietet?

Ich bin der Meinung, dass ein breites Portfolio auch natürlich ein Vorteil sein kann, weil auch der Anbieter unabhängig ist. Dann würde ich auf jeden Fall gucken, ob Automatisierung, Reminder, Unterstützung bei der Integration angeboten werden und auch ein wichtiger Punkt ist der Support. Kann ich wirklich auch einen echten Menschen erreichen, sind vielleicht Reaktionszeiten irgendwo veröffentlicht, ist ja auch ganz wichtig. Wenn meine Webseite ausfällt, weil das Zertifikat ausgelaufen ist, dann brauche ich natürlich auch schnelle Hilfe, um ein neues Zertifikat installiert zu bekommen oder auf jeden Fall ausgestellt zu bekommen. Das kann ja unter Umständen bei einigen Anbietern auch etwas länger dauern. Und wenn ich dann jemanden am Telefon habe, der den Prozess kennt, der auch da schnell eingreifen kann, ist das wirklich wahres Geld wert.

Dann natürlich echte Expertise, also Unternehmen, die auch schon ein bisschen länger auf dem Markt sind. Also wenn man dann jemanden gefunden hat, ist das in der Regel so, dass dann die Zusammenarbeit auch jahrelang gut funktionieren kann.

Sprecher: Das ist quasi so die Checkliste. Wo sitzt der, was hat der selbst für Zertifizierung und was kostet mich der?

Patrycja Schrenk Also das sind aus meiner Warte die Punkte. Ich meine, der Preis spielt immer eine Rolle.

Sprecher: Völlig klar.

Patrycja Schrenk: Und ich würde auch gerade in dem Bereich Vertrauensdienste, weil das ist ja eigentlich das, was wir anbieten. Wir bieten Vertrauensdienste an und da muss ich ja Vertrauen haben. Ich muss Vertrauen haben, dass das Unternehmen, wo ich eben die Vertrauensdienste beziehe, dass das etabliert ist. Ich will ja nirgendwo kaufen, wo dann in, weiß ich nicht, in den nächsten Monaten, ja dann Schicht im Schacht ist und das Unternehmen dann nicht mehr am Markt ist.

Also ich würde schon gucken, dass das ein etablierter Partner ist, der auch Marktkenntnisse hat, der auch in dem Bereich sich mit den aktuellen Entwicklungen, mit den Herausforderungen auch aus der Branche dann auskennt. Ist ja schwer auf der Webseite auslesbar, ich weiß schon.

Sprecher: Vertrauen ist das Wichtigste.

Patrycja Schrenk: Ich würde sagen, Vertrauen ist schon das Wichtigste, weil es sind ja Vertrauensdienste. Im Internet werden ja die Daten eigentlich unverschlüsselt übertragen und ich muss ja Vertrauen haben in die Kommunikation und ich muss auch Vertrauen haben in den Anbieter.

Sprecher: Patrycja, wir schreiben das Jahr 2025. Lass uns mal gemeinsam in die Glaskugel gucken. Wo geht die Reise hin bei Zertifikaten? Wir haben schon gesagt, es wird immer schneller, immer kürzer werden die Laufzeiten. Was erwartest du für die nächste Zeit?

Patrycja Schrenk: Was wir definitiv schon wissen, dass die Laufzeiten weiter sinken werden. Der erste große Meilenstein kommt nächstes Jahr im März. Da werden die Laufzeiten auf 200 Tage gekürzt. Ein Jahr später erfolgt dann schon bereits die nächste Kürzung auf 100 Tage. Und 2029 soll die Laufzeit auf 47 Tage gekürzt werden. In der Branche sind sie sich aber schon alle einig, dass das nicht das Ende ist. Es wird darüber nachgedacht, die Laufzeit auf 10 Tage oder sogar weniger zu kürzen.

Aber nicht nur die Laufzeit der Zertifikate wird gekürzt, sondern auch die Gültigkeitsdauer der Validierung. Also jetzt ist es so, wenn ich ein digitales Zertifikat bestelle, muss ich eine Domainvalidierung oder eine Organisationsvalidierung durchführen. Im Moment ist diese auch genauso lange gültig wie ein SSL-Zertifikat, sogar ein bisschen länger, 13 Monate. Aber zukünftig soll die Validierungsdauer auch gekürzt werden. Das heißt, nicht nur das Zertifikat muss erneuert werden, sondern auch die Domain-Validierung wird in immer kürzeren Laufzeiten erneut erfolgen müssen.

Was ist dann die Konsequenz daraus?

Die Konsequenz ist die Automatisierung. Die wird de facto zum Standard. Manuelle Lösungen sind dann keine Option mehr. Das zweite große Thema, was auf uns zukommt, ist die Quantenverschlüsselung. Das heißt, auch Unternehmen müssen sich so langsam mit der Post-Quantum-Strategie auseinandersetzen, also heute schon planen, wo muss ich Zertifikate, Quantum-Zertifikate einsetzen? Gibt es vielleicht bestimmte Libraries, die ich anpassen muss? Wie ist das mit Cloud-Diensten? Also da wird auf jeden Fall noch viel Neues auf die Unternehmen zukommen.

Sprecher: Das heißt, das ganze System, wie wir heute surfen, wird sich verändern?

Patrycja Schrenk: Ne, das System wird sich nicht verändern. Der einzige Aufwand, der wegfällt, ist für die Browser. Die müssen keine zusätzlichen Ressourcen bereitstellen, um irgendwelche Listen zu pflegen. Und ja, können dann Geld sparen.

Sprecher: Das Geld, das das Unternehmen quasi investieren muss, um zu garantieren, meine Seite ist sicher.

Patrycja Schrenk: Genau, um zu prüfen, dass das Zertifikat in Ordnung ist. Das müssen wir halt nicht mehr machen.

Sprecher: Das ist ja eine irre Entwicklung, die du da beschreibst. Also, wenn du sagst, PSW ist jetzt 25 Jahre am Markt, würdest du sagen, das, was da auf uns zukommt, ist eine Revolution oder nur ein Revolutionchen?

Patrycja Schrenk: Es ist auf jeden Fall, eine Revolution würde ich jetzt nicht bezeichnen, aber es sind auf jeden Fall sind große Veränderungen, die auf Unternehmen zukommen, dessen man sich bewusst sein soll, weil man, ich hatte ja schon gesagt, die 47 Tage, das kommt ja erst in 2029.

Sprecher: Das kommt schneller als man denkt.

Patrycja Schrenk: Richtig, man denkt, okay, das sind ja noch vier Jahre, aber die Zeit geht so schnell rum und wenn man dann nicht rechtzeitig sich um Lösungen kümmert, dann bleibt man dann wirklich auf der Strecke und wird dann einfach von dem Aufwand überrannt.

Sprecher: Patrycja Schrenk zu Gast bei "heise meets …". Ich sage herzlichen Dank. Ich habe eine Menge gelernt über Zertifikate, was ich bis dato überhaupt nicht wusste. Ich habe gelernt, dass unbedingt das Managen der Zertifikate automatisiert werden sollte, weil am Ende geht es um Vertrauen, Datenschutz und Seriosität. Und das ist ein Thema, was wir in nächster Zeit offensichtlich unbedingt angehen müssen. 2029 ist die Laufzeit der Zertifikate nur noch 47 Tage und es wird wahrscheinlich noch kürzer. Sagt uns Patrycja Schrenk von der PSW Group.

Herzlichen Dank Patrycja!

Patrycja Schrenk: Dankeschön.

Sprecherin: Das war "heise meets … – Der Entscheider-Talk". Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie.