Die PKI-Komplexitätsfalle: Warum einfache Sicherheit so kompliziert wurde

von | Okt. 26, 2025 | Informationssicherheit, Nachgedacht, Unternehmensarchitektur

Die Provokation

[Dieser Artikel vertieft meinen LinkedIn-Post vom 26. Oktober 2024]

PKI interne Netzwerke sind heute ein Albtraum für jeden IT-Administrator. Was eigentlich eine simple Sicherheitsanforderung sein sollte – verschlüsselte Kommunikation im Firmennetz – ist zu einer komplexen Herausforderung mutiert, für die es keine einfache Lösung gibt.

🧠 Nachgedacht: Wenn man heute im Firmennetz sicher verschlüsseln will, braucht man eine eigene Zertifizierungsstelle – sonst geht es schlicht nicht. Öffentliche Anbieter dürfen keine Zertifikate für interne Netze ausstellen. Selbstsignierte Zertifikate werden blockiert. Warum gibt es dafür kein fertiges, einfaches Produkt? Eine kleine Box, die man einmal einrichtet, prüft, ins Regal stellt – und fertig ist die interne Vertrauensbasis. Ist das wirklich so kompliziert – oder haben wir uns nur daran gewöhnt, dass es das nicht gibt?

Die Reaktionen auf diesen Post waren erhellend. Ein Experte kommentierte mit einer Liste von Lösungen – jede mit einem „wenn“: „Man kann… wenn man einen DNS-Namensraum fährt… wenn man ACME-Automatisierung hat… wenn man als Trusted Roots ausrollt…“

Genau das ist das Problem.

Der Hintergrund: Wie wir hier gelandet sind

2015 traf das CA/Browser Forum eine folgenreiche Entscheidung: Öffentliche Zertifizierungsstellen dürfen keine Zertifikate mehr für interne Domains (wie .local), private IP-Adressen oder nicht-routbare Netzwerke ausstellen. Die Begründung war nachvollziehbar – es ging um die Verhinderung von Domain-Hijacking und Man-in-the-Middle-Attacken.

Was dabei übersehen wurde: Millionen von Unternehmen betreiben interne Systeme, die niemals das Internet sehen werden. Produktionsanlagen, Steuerungssysteme, interne Datenbanken – sie alle benötigen verschlüsselte Kommunikation. Die Lösung? Jedes Unternehmen muss seine eigene PKI aufbauen.

PKI interne Netzwerke: Warum aus Sicherheit Raketenwissenschaft wurde

In meinen 35 Jahren in der IT habe ich viele Technologien kommen und gehen sehen. Aber selten habe ich erlebt, dass eine grundlegende Sicherheitsanforderung so unnötig verkompliziert wurde wie die interne PKI.

PKI interne Netzwerke versagen: Wenn Server die Verbindung verweigern

Das eigentliche Problem ist noch gravierender als die meisten ahnen: Moderne Server und Anwendungen lehnen unverschlüsselte Verbindungen zunehmend kategorisch ab. Nicht aus Böswilligkeit, sondern aus Sicherheitsgründen.

Das Server-zu-Server-Dilemma:

Szenario 1: Datenbank-Cluster

  • PostgreSQL 15+ erzwingt SSL/TLS für Replikation
  • Ohne gültige Zertifikate: Keine Synchronisation
  • Selbstsignierte Zertifikate: Werden abgelehnt
  • Folge: Kein Hochverfügbarkeits-Cluster möglich

Szenario 2: Microservice-Architektur

  • Service Mesh (Istio, Linkerd) verlangt mTLS
  • Jeder Service braucht ein eigenes Zertifikat
  • Bei 200 Services: 200 Zertifikate verwalten
  • Ohne PKI: Die Services bleiben stumm

Szenario 3: Backup-Systeme

  • Moderne Backup-Lösungen verschlüsseln Transport
  • Server akzeptiert nur verifizierte Clients
  • Ohne gültige Zertifikate: Keine Backups
  • Im Ernstfall: Totalverlust

Die Evolution der Verweigerung:

2015: „WARNING: Unencrypted connection“
2020: „WARNING: Self-signed certificate (continue anyway?)“
2024: „ERROR: Connection refused – invalid certificate“
2025: Keine Verbindung. Punkt.

Reale Beispiele aus meiner Praxis:

Bei einem Kunden (Energie) weigerte sich die neue Version der ERP-Software, mit den Um-Systemen zu kommunizieren. Der Grund? Man hatte nur ein selbstsigniertes Zertifikat. Die ERP-Software: „TLS 1.3 mit gültigem Zertifikat oder gar keine Verbindung.“

Kosten des Stillstands: 50.000 Euro/Tag.

Die Notlösung? Ein externer Berater baute in 72 Stunden Dauereinsatz eine Minimal-PKI auf. Kosten: 35.000 EUR. Dauerlösung? Bis heute nicht implementiert.

Zero-Trust macht es noch schlimmer:

Mit dem Zero-Trust-Paradigma wird es drastischer:

  • Jede Verbindung muss authentifiziert sein
  • Jeder Endpoint braucht eine Identität
  • Jedes Paket wird validiert
  • Ohne PKI: Komplette Isolation

In KRITIS-Umgebungen ist das bereits Pflicht. Ein Kunde aus dem Energiesektor musste seine komplette OT-Umgebung nachrüsten. 1.200 Geräte. Jedes brauchte ein Zertifikat. Die manuelle Einrichtung dauerte 8 Monate.

Die Komplexitätsstufen einer „einfachen“ PKI:

  1. Root-CA einrichten – Schon hier beginnt die Philosophiediskussion: Online oder Offline? Hardware-Security-Module? Welcher Algorithmus? RSA 4096 oder doch ECC?
  2. Intermediate CAs – Natürlich braucht man die, sagen die Best Practices. Aber wie viele? Eine pro Abteilung? Eine pro Anwendungsfall?
  3. Zertifikats-Templates – Dutzende Parameter. Key Usage, Extended Key Usage, SANs, Validity Period. Jeder falsch gesetzte Wert kann später zum Problem werden.
  4. Verteilung der Root-Zertifikate – Group Policies für Windows, Mobile Device Management für Smartphones, manuelle Installation für Linux, spezielle Verfahren für IoT-Geräte.
  5. Revocation-Infrastruktur – CRL oder OCSP? Oder beides? Hochverfügbar natürlich.
  6. Renewal-Prozesse – Die neue Mode: Zertifikate mit 47 Tagen Laufzeit. Wer tauscht die manuell in 500 Systemen?

Das ACME-Versprechen

Let’s Encrypt hat mit ACME gezeigt, wie einfach Zertifikatsverwaltung sein kann – für öffentliche Domains. Für interne Netze? Dann brauchen Sie:

  • Einen öffentlich registrierten Domain-Namen
  • DNS-Challenge-Unterstützung
  • Automatisierung in ALLEN Systemen
  • Und beten, dass Ihre 20 Jahre alte Produktionsanlage das versteht

Historische Parallelen: Wir hatten das Problem schon gelöst

1995 – ich erinnere mich noch gut – hatte Lotus Domino eine eingebaute PKI. Symmetrische Verschlüsselung, ja, aber sie funktionierte. Überall. Automatisch. Ohne Wenn und Aber.

Die Ironie: Heute, 30 Jahre später, kämpfen wir mit Problemen, die damals gelöst waren. Wir haben die Verschlüsselung asymmetrisch gemacht (gut!), aber dabei die Einfachheit verloren (schlecht!).

Bei der Bundeswehr lernte ich in den 80ern: „Ein System, das im Gefecht nicht bedienbar ist, ist nutzlos.“ Das gilt heute für PKI: Ein Sicherheitssystem, das so komplex ist, dass es niemand richtig implementiert, macht uns nicht sicherer – es macht uns verwundbarer.

Was das für Ihr Unternehmen bedeutet

Ich sehe bei meinen Kunden drei Reaktionsmuster:

Die Perfektionisten

Bauen eine Enterprise-PKI nach allen Regeln der Kunst auf. Budget: 500.000 EUR. Implementierungszeit: 18 Monate. Vollzeit-Administrator: 1-2 Personen. Ergebnis: Funktioniert, aber niemand versteht es.

Die Pragmatiker

Nutzen selbstsignierte Zertifikate und klicken Warnungen weg. Kosten: Null. Sicherheit: Auch null. Gewöhnung an Warnungen: 100%.

Die Resignierten

Verzichten auf Verschlüsselung im internen Netz. „Ist ja nur intern.“ Bis zur ersten Ransomware-Attacke.

Meine Lösung: Die PKI-Box

Was die Industrie braucht – und was ich seit Jahren predige – ist radikal einfach:

Eine Box. Fertig konfiguriert. Plug & Play.

So würde sie funktionieren:

  1. Auspacken, anschließen – Wie einen WLAN-Router
  2. Basis-Setup über Web-Interface – Firmenname, Domain, fertig
  3. Automatische Integration – DHCP-Option für Clients, SCEP für mobile Geräte
  4. Selbstheilend – Automatische Renewal, Monitoring, Alerting
  5. Compliance-ready – Audit-Logs, HSM-Option für Regulierte

Warum gibt es das nicht?

Die unbequeme Wahrheit: Komplexität ist ein Geschäftsmodell.

  • PKI-Berater leben von der Komplexität
  • Software-Hersteller verkaufen Enterprise-Lizenzen
  • Zertifizierungs-Anbieter verdienen an Schulungen
  • Hardware-Vendor pushen HSMs für 50.000 EUR

Eine 2.000 EUR Box, die einfach funktioniert? Wo bleibt da das Consulting? Die Wartungsverträge? Die Zertifizierungen?

Weiterführende Gedanken: Der größere Kontext

Die PKI-Komplexität ist symptomatisch für ein größeres Problem in der IT: Wir lösen einfache Probleme mit komplexen Lösungen.

In meinem Buch „Greenfield Approach“ beschreibe ich, wie man radikal vereinfacht. Bei PKI hieße das:

  • Weg mit der Zertifikats-Hierarchie für kleine Firmen
  • Ein Zertifikat pro Service, nicht pro Server
  • 10 Jahre Laufzeit für interne Systeme
  • Automatische Verteilung über bestehende Kanäle

Das ist keine Rocket Science. Das ist gesunder Menschenverstand.

Der Ausblick

Ich arbeite aktuell an einem Proof of Concept. Ein Raspberry Pi 5, ein bisschen Python, eine klare Vision. Die Alpha-Version läuft bereits in meinem Lab.

Was fehlt? Ein mutiger Hersteller, der sagt: „Wir machen Sicherheit einfach.“ Nicht „Enterprise-ready“. Nicht „Cloud-native“. Nicht „KI-powered“. Einfach nur: Es funktioniert.

Fazit: Zeit für eine Revolution

35 Jahre in der IT haben mich gelehrt: Die besten Lösungen sind die einfachsten. M/OMS läuft seit 1985 – weil es einfach ist. Meine Kunden bei Mercedes, Vodafone und der Telekom schätzen mich nicht, weil ich Komplexität hinzufüge, sondern weil ich sie reduziere.

PKI muss nicht kompliziert sein. Wir haben es kompliziert gemacht. Zeit, das zu ändern.

Wer macht mit?

💬 Diskutieren Sie mit mir auf LinkedIn: Zum Original-Post

📞 Oder kontaktieren Sie mich direkt: Kontakt aufnehmen

🏢 Sie brauchen PKI-Beratung? Ich zeige Ihnen, wie es einfach geht.