PKI-Sicherheit und Best Practices

Eine PKI ist nur so sicher wie ihr schwächstes Glied. Die Kryptografie hinter X.509 ist mathematisch stark – aber PKI-Sicherheitsprobleme entstehen fast nie durch gebrochene Algorithmen. Sie entstehen durch schlecht geschützte private Schlüssel, vergessene Ablaufdaten, fehlende Widerrufsinfrastruktur oder unkontrollierte CA-Erweiterung. Diese Lektion zeigt die wichtigsten Angriffsvektoren und Best Practices für eine sichere PKI.

1) PKI-Risiken nach Schweregrad

Als Azubi musst du nicht alle Details kennen – aber du sollst ein Gefühl dafür bekommen, welche Fehler kritisch sind und welche weniger schlimm. Die folgende Übersicht zeigt die vier wichtigsten Risikokategorien mit konkreten Gegenmaßnahmen. In der Praxis wirst du besonders beim Thema Schlüsselschutz und abgelaufene Zertifikate auf Probleme stoßen.

PKI-Risikokategorien mit Gegenmaßnahmen

KRITISCH

Kompromittierung der Root CA

Wird die Root CA gestohlen oder ihr privater Schlüssel kompromittiert, kann ein Angreifer beliebige vertrauenswürdige Zertifikate ausstellen – für jede Domain. Das gesamte PKI-Vertrauen bricht zusammen. Bekanntes Beispiel: DigiNotar 2011 – Root CA kompromittiert, Browservertrauen entzogen.

→ Root CA offline und air-gapped betreiben. Physischer Zugang stark einschränken. HSM (Hardware Security Module) für Root-Key-Schutz.

KRITISCH

Privaten Schlüssel verlieren / gestohlen

Wer den privaten Schlüssel eines Servers hat, kann Man-in-the-Middle-Angriffe durchführen – er kann den Datenverkehr entschlüsseln und sich als echter Server ausgeben. Besonders brisant bei VPN-Servern und externen HTTPS-Servern.

→ Private Schlüssel verschlüsselt ablegen. Zugriffsrechte minimal halten (nur der Dienst, der ihn braucht). Nie per E-Mail verschicken. Bei Kompromittierung: sofort Zertifikat widerrufen.

HOCH

Abgelaufene Zertifikate

Abgelaufene Zertifikate verursachen Produktionsausfälle und Sicherheitswarnungen. Klingt trivial – ist aber die häufigste Ursache für PKI-bezogene Incidents in Unternehmen. Besonders gefährlich bei internen Diensten, die niemand täglich nutzt.

→ Monitoring-System einrichten das 30 Tage vor Ablauf warnt. Automatische Erneuerung (certbot, ADCS Auto-Enrollment) nutzen. Inventar aller Zertifikate führen.

HOCH

Zu schwache Kryptografie

SHA-1 als Signaturalgorithmus gilt als gebrochen (Kollisionsangriffe möglich). RSA unter 2048 Bit ist unsicher. MD5 für Zertifikate ist seit 2008 gebrochen. Alte Konfigurationen können diese Algorithmen noch verwenden.

→ Mindeststandard: SHA-256, RSA 2048 (besser 4096) oder EC P-256. Alte Zertifikate und Konfigurationen regelmäßig auf schwache Algorithmen prüfen.

Hardware Security Modules (HSMs) sind spezialisierte Hardware-Chips die kryptografische Schlüssel schützen. Der private Schlüssel verlässt das HSM nie – alle Operationen werden im Chip durchgeführt. Teure aber sichere Lösung für Root CAs und hochwertige Zertifikate. Beispiele: Thales Luna, Yubico YubiHSM.

2) Best-Practices-Checkliste für eine sichere PKI

Die folgende Checkliste fasst die wichtigsten Maßnahmen für eine produktionsreife PKI zusammen. Du kannst sie als interaktive To-do-Liste nutzen. In der Praxis gilt: Je mehr dieser Punkte umgesetzt sind, desto widerstandsfähiger ist die PKI gegen Angriffe und Ausfälle.

PKI-Sicherheitscheckliste – abhaken was bereits umgesetzt ist

0 / 10 umgesetzt

Diese Checkliste ist keine vollständige Sicherheitsrichtlinie, sondern ein Einstieg. Für produktive PKIs gibt es offizielle Richtlinien: BSI-Grundschutz (B 1.7), RFC 3647 (Certificate Policy Framework) und die CA/Browser Forum Baseline Requirements für öffentliche CAs.

Zusammenfassung

Größte Risiken: Kompromittierung der Root CA (Air-Gap!), gestohlene private Schlüssel (Widerruf!), abgelaufene Zertifikate (Monitoring!), schwache Algorithmen (SHA-256+, RSA 2048+). Best Practices: Schlüssel verschlüsselt ablegen, Monitoring, Auto-Renewal, OCSP Stapling, Zertifikats-Inventar. HSMs für Root-CA-Schlüsselschutz in sicherheitskritischen Umgebungen.

PKI-Sicherheit und Best Practices

1) PKI-Risiken nach Schweregrad

2) Best-Practices-Checkliste für eine sichere PKI

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title