Die Renaissance der digitalen Zertifikate

Die Renaissance der digitalen Zertifikate

Sie sichern Online-Banking, E-Commerce und Soziale Netzwerke, sie werden bei digitalen Stromzählern, elektronischen Rezepten, in der Car-to-Car-Kommunikation und der Anmeldung in digitalen Rathäuser eingesetzt; fast jeder Internetnutzer nutzt sie täglich, egal ob privat oder beruflich – doch kaum einer kennt sie: digitale Zertifikate. Was es damit auf sich hat, erfahren Sie hier.

Nur jeder sechste deutsche Internet-Nutzer (16 Prozent) kann den Begriff "Digitale Zertifikate" erklären. Jeder fünfte (21 Prozent) hat ihn schon einmal gehört, kann ihn aber nicht erklären. Und weit über die Hälfte (60 Prozent) hat noch nie etwas von digitalen Zertifikaten gehört. Das ergab eine repräsentative Umfrage im Auftrag der Bundesdruckerei GmbH.

Transport Layer Security schafft Vertrauen

Ein wichtiger Vertreter der digitalen Zertifikate ist das sogenannte TLS-Zertifikat (Transport Layer Security, ehemals SSL-Zertifikat), welches insbesondere bei der Authentifizierung von Web-Servern eingesetzt wird. Beispielsweise beim Online-Banking möchte der Nutzer sicher gehen, dass die Website der Bank auch wirklich zu der Bank gehört und nicht von einem Betrüger nur vorgespielt wird.

Zudem sollte der Datenverkehr verschlüsselt werden. Auf diese Weise können Phishing-Angriffe vermieden werden. Das funktioniert wie folgt: Nach dem Aufruf der Website durch den Nutzer zeigt der Server sein auf ihn ausgestelltes TLS-Zertifikat dem Browser des Nutzers vor. Dort wird das Zertifikat auf Richtigkeit des Server-Namens sowie auf dessen Gültigkeit geprüft. Zudem wird noch der Ursprung des Zertifikates geprüft – d. h. aus welchem Wurzelverzeichnis (root) es stammt und ob der Browser dieser Root vertraut.

Im Falle positiver Prüfungen zeigt häufig der Browser einen grünen Balken in der Adresszeile an, um so den Nutzer die Vertrauenswürdigkeit des Zertifikates anzuzeigen. Um die eigentliche Kommunikation zwischen Nutzer und Server zu beginnen, wird jetzt vom Nutzer-Browser ein geheimer Schlüssel (Session-Key) erzeugt, der dem Server über seinem im Zertifikat enthaltenen öffentlichen Schlüssel gesichert übertragen wird. Somit haben beide Seiten den Session-Key mit dem der Datenaustausch verschlüsselt wird. Zusätzlich wird dieser Schlüssel auch für den sogenannten Message Authentication Code benutzt, um die Integrität und Authentizität der gesendeten Daten zu überprüfen. Nach Abschluss der Session vergessen beide Seiten diesen Schlüssel.

Wo kommen die Zertifikate her?

Von Browsern oder Betriebssystemen anerkannte TLS-Zertifikate werden von sogenannten Vertrauensdiensteanbietern – früher auch Trustcenter – ausgegeben, die als unabhängige Dritte für Sicherheit und Vertrauen in der digitalen Welt sorgen. Die Bundesdruckerei-Tochter D-TRUST ist z. B. einer der wenigen deutschen Vertrauensdiensteanbieter, deren Zertifikate von gängigen Anwendungen automatisch als vertrauenswürdig angesehen werden.

Vom vernetzten Auto bis zum Rathaus-Service-Portal: Digitale Zertifikate werden überall gebraucht, doch kaum jemand kennt sie

Um ein TLS-Zertifikat für einen Server zu erhalten, müssen sich Unternehmen bei der D-TRUST nach einem festgelegten Procedere identifizieren. Vertrauensdiensteanbieter wie D-TRUST prüfen dann die Zuordnung des Servers anhand vertrauenswürdiger Quellen wie dem Handelsregister. Nachdem der Administrator des Unternehmens dann die Authentizität des Servers bezeugt, wird das Zertifikat in Echtzeit ausgestellt und entweder als Download oder über einen Webservice zur Verfügung gestellt. Über den Certificate-Service-Manager mit komfortabler GUI hat der Administrator eine Übersicht aller Zertifikate, erhält Benachrichtigungen für abgelaufene Zertifikate und kann Zertifikate sperren.

Um digitale Zertifikate nicht nur für Server, sondern auch für Personen und Objekte zu erstellen, zu verwalten und zu prüfen, brauchen Unternehmen eine Public-Key-Infrastruktur (PKI). Aufbau und Betrieb eines derartigen, eigenen IT-Systems sind jedoch komplex und aufwändig. Zudem sind solch selbst erstellte Zertifikate außerhalb des Unternehmens nicht anerkannt – also für die vernetzte Industrie und andere Anwendungen kaum verwendbar. Viele Mittelständler verzichteten daher auf die Nutzung derartiger Sicherheitsmechanismen.

Authentifizierungslösungen für alle

Das kann sich nun durch neuartige Angebote ändern: Mit "PKI-as-a-Service" können kleine und mittelgroße Unternehmen mit geringem Aufwand hochsichere TLS-, Verschlüsselungs-, Signatur- und Authentifizierungslösungen nutzen. Statt viel Zeit und Geld in eine eigene PKI zu investieren, binden Kunden bestehende Infrastrukturen einfach über Standardschnittstellen an die PKI der Vertrauensdiensteanbieter an. Zertifikate für elektronische Identitäten können somit einfach und sicher erstellt sowie manuell oder automatisiert bezogen werden. Über einen integrierten Prüfdienst können Anwendungen und Geschäftspartner jederzeit die Echtheit und Gültigkeit der Zertifikate online überprüfen.

Zertifikate: Anerkannt und flexibel

Die Zertifikate sind zudem weltweit anerkannt und können inhaltlich den Bedürfnissen der Kunden angepasst werden. „PKI-as-a-Service“ nutzt z. B. Microsoft selbst für den Einsatz von TLS-Zertifikaten, um den Datenfluss bei Microsofts Cloud-Anwendungen Azure, Office 365 und Dynamics CRM Online zu sichern.

Durch die Vernetzung der Industrie und mit dem Beginn des Cloud-Zeitalters beginnt auch die Renaissance der digitalen Zertifikate und der Vertrauensdiensteanbieter.

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Februar 2016 im Auftrag der Bundesdruckerei GmbH durchgeführt hat. Dabei wurden 1005 Verbraucher ab 14 Jahren befragt, darunter 812 Internetnutzer. Die Umfrage ist repräsentativ. Die Frage lautete: "Haben Sie schon einmal den Begriff Digitale Zertifikate‘ gehört bzw. gelesen? Wissen Sie, was sogenannte Digitale Zertifikate sind?

 

Bildquelle: © Robert Kneschke, JiSign - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.