Was ist eine Public Key Infrastructure (PKI)?

Eine Public Key Infrastructure (PKI) ist die zentrale Vertrauensarchitektur für digitale Identitäten, Verschlüsselung und Authentifizierung in IT-Systemen. Sie ermöglicht es, kryptografische Schlüssel eindeutig Personen, Geräten oder Services zuzuordnen und deren Vertrauenswürdigkeit nachzuweisen. Im Kern besteht eine PKI aus Zertifikaten, Zertifizierungsstellen (CAs) und Prozessen zur Verwaltung von Schlüsseln und Identitäten. Ohne PKI sind moderne Sicherheitsmechanismen wie TLS, Zero Trust oder Maschinenidentitäten nicht skalierbar umsetzbar. Für Unternehmen ist PKI damit kein Einzeltool, sondern ein strategisches Fundament der Sicherheitsarchitektur. 

Wie funktioniert eine PKI in der Praxis?

Eine PKI basiert auf asymmetrischer Kryptografie mit einem Schlüsselpaar aus öffentlichem und privatem Schlüssel. Der öffentliche Schlüssel wird in einem Zertifikat veröffentlicht, während der private Schlüssel geheim bleibt und zur Signatur oder Entschlüsselung dient. Eine Zertifizierungsstelle (CA) bestätigt die Identität des Zertifikatsinhabers und signiert das Zertifikat digital. Systeme vertrauen diesem Zertifikat, wenn sie der CA vertrauen. So entsteht eine Vertrauenskette, die sichere Kommunikation und eindeutige Identifikation ermöglicht.

Architektur statt Tool: Warum PKI strategisch gedacht werden muss

PKI wird oft als technisches Detail von TLS oder Zertifikaten missverstanden, ist aber in Wirklichkeit eine Governance-Frage. Unternehmen verwalten heute tausende bis Millionen von Zertifikaten für Benutzer, Geräte, APIs und Workloads. Ohne klare Prozesse für Ausstellung, Rotation und Widerruf entsteht schnell ein unkalkulierbares Risiko. Moderne Sicherheitsmodelle wie Zero Trust oder Identity-first Security setzen voraus, dass jede Entität eindeutig identifizierbar und kryptografisch abgesichert ist. PKI bildet genau diese Grundlage und muss daher in Architektur, Betrieb und Compliance integriert werden. 

Welche Komponenten gehören zu einer PKI?

Eine PKI besteht aus mehreren klar definierten Bausteinen. Dazu zählen Zertifizierungsstellen (Root- und Intermediate-CAs), Registrierungsstellen (RA), die Identitäten prüfen, sowie Verzeichnisdienste zur Bereitstellung von Zertifikaten. Ergänzt wird dies durch Mechanismen zur Prüfung von Zertifikatsgültigkeit, etwa CRLs oder OCSP. Wichtig ist außerdem das Lifecycle-Management, das die Erstellung, Erneuerung und den Widerruf von Zertifikaten steuert. Erst das Zusammenspiel dieser Komponenten macht eine PKI belastbar und skalierbar.

Vertrauen ist kein Zufall: Die Rolle der Zertifikatskette

Vertrauen in einer PKI entsteht nicht durch einzelne Zertifikate, sondern durch die sogenannte Trust Chain. Diese beginnt bei einer Root-CA, der implizit vertraut wird, und setzt sich über Intermediate-CAs bis zum Endzertifikat fort. Jedes Zertifikat wird dabei vom übergeordneten Element signiert. Diese Hierarchie erlaubt es, Vertrauen zu delegieren und gleichzeitig zu kontrollieren. In der Praxis entscheidet die saubere Gestaltung dieser Kette über Sicherheit, Skalierbarkeit und Auditierbarkeit.

Wofür wird PKI konkret eingesetzt?

PKI wird in zahlreichen sicherheitskritischen Szenarien eingesetzt. Dazu gehören die Absicherung von HTTPS-Verbindungen, E-Mail-Verschlüsselung, Code-Signing sowie die Authentifizierung von Benutzern und Geräten. Besonders relevant ist PKI für Maschinenidentitäten in Cloud- und DevOps-Umgebungen, wo Services automatisiert miteinander kommunizieren. Auch im IoT-Umfeld ist PKI entscheidend, um Geräte eindeutig zu identifizieren und vor Manipulation zu schützen. Die Bandbreite der Anwendungsfälle zeigt, dass PKI ein Querschnittsthema über alle IT-Domänen hinweg ist. 

IAM bildet Identitäten elektronisch ab und liefert so die Datengrundlage für PKI

Identity and Access Management (IAM) bildet Identitäten digital ab und stellt damit die zentrale Datenbasis für jede PKI dar. Zertifikate sind nur dann vertrauenswürdig, wenn die zugrunde liegende Identität eindeutig, aktuell und korrekt gepflegt ist. IAM-Systeme liefern genau diese Informationen, etwa Benutzerattribute, Rollen, Gerätezuordnungen oder organisatorische Kontexte. Auf dieser Basis kann eine PKI die Zertifikate automatisiert ausstellen, zuordnen und über den gesamten Lebenszyklus hinweg steuern. Ohne ein sauberes IAM fehlt der PKI die verlässliche Identitätsquelle – und damit die Grundlage für vertrauenswürdige digitale Kommunikation. 

Ohne Public-Key-Verfahren keine digitale Unterschrift

Digitale Unterschriften basieren zwingend auf Public-Key-Verfahren, da nur asymmetrische Kryptografie Identität und Integrität eindeutig verknüpft. Der private Schlüssel erzeugt die Signatur, während der öffentliche Schlüssel deren Echtheit überprüfbar macht. Standards wie X.509PKCS#7/CMS sowie PAdES, XAdES und CAdES sichern Interoperabilität und rechtliche Verbindlichkeit. Die eIDAS-Verordnung bildet in Europa den regulatorischen Rahmen für qualifizierte Signaturen. Initiativen wie EUDI und swiyu bauen darauf auf und ermöglichen vertrauenswürdige, grenzüberschreitende digitale Identitäten.

Warum wird PKI im Kontext von Zero Trust immer wichtiger?

Zero Trust basiert auf der Annahme, dass kein Netzwerk und keine Identität per se vertrauenswürdig ist. Jede Anfrage muss überprüft und kryptografisch abgesichert werden. Genau hier kommt PKI ins Spiel, da sie die technische Grundlage für diese Vertrauensprüfung liefert. Ohne valide Zertifikate und eindeutige Schlüsselzuordnung lässt sich Zero Trust nicht umsetzen. PKI wird damit vom unterstützenden Element zum zentralen Enabler moderner Sicherheitsarchitekturen.

Trägermedien von Private Keys: Wo liegt der Schlüssel wirklich?

Der private Schlüssel kann auf unterschiedlichen Trägermedien gespeichert werden, die sich in Sicherheit, Flexibilität und Skalierbarkeit deutlich unterscheiden. Klassische Varianten sind Smartcards oder Hardware-Token, die hohen physischen Schutz bieten, aber operativ aufwendig sind. Moderne Ansätze nutzen Hardware-Sicherheitsmodule (HSMs), TPMs oder Secure Enclaves in unseren Smartphones, um Schlüssel sicher und integriert bereitzustellen. Gleichzeitig existieren softwarebasierte Key Stores, die flexibler sind, jedoch stärker abgesichert werden müssen. Die Wahl des Trägermediums ist damit immer eine strategische Entscheidung zwischen Sicherheitsniveau, Nutzerfreundlichkeit und Betriebsmodell. 

Wie geht PAM mit Client-Zertifikaten für privilegierte Benutzer um?

Privileged Access Management (PAM) integriert Client-Zertifikate, um hochprivilegierte Zugriffe kryptografisch abzusichern und eindeutig zuzuordnen. Dabei werden Zertifikate zentral verwaltet, ausgestellt und bei Bedarf automatisch rotiert oder widerrufen, um Missbrauch zu verhindern. Moderne PAM-Lösungen verknüpfen Zertifikate mit Identitäten, Sessions und Policies, sodass Zugriffe kontextbasiert gesteuert und vollständig auditiert werden können. Zusätzlich ermöglichen sie Just-in-Time-Zugriffe und die temporäre Ausstellung von Zertifikaten für privilegierte Aktionen. So wird PKI zu einem aktiven Steuerungsinstrument für privilegierte Zugriffe statt nur zu einer passiven Vertrauensbasis. 

Warum die Smartcard ein Auslaufmodell ist?

Smartcards waren lange ein Standardmedium zur sicheren Speicherung von privaten Schlüsseln, insbesondere im Bereich der Benutzeridentitäten. Sie bieten physische Sicherheit und sind schwer zu kompromittieren. Allerdings stoßen sie in modernen IT-Umgebungen an klare Grenzen: fehlende Skalierbarkeit, hoher administrativer Aufwand und mangelnde Integration in Cloud- und Mobile-Szenarien. Gleichzeitig entstehen flexiblere Alternativen wie Mobile Keys, FIDO2-Authentifikatoren oder integrierte Secure Enclaves. Diese bieten vergleichbare Sicherheit bei deutlich besserer Nutzererfahrung und geringeren Betriebskosten. Die Smartcard wird daher zunehmend durch software- und plattformnahe Lösungen ersetzt.

PKI vs. TLS/SSL: Wo liegt der Unterschied?

TLS (früher SSL) ist ein Protokoll zur Absicherung von Netzwerkverbindungen, während PKI die zugrunde liegende Vertrauensinfrastruktur bereitstellt. Ohne PKI gäbe es keine Zertifikate, die TLS-Verbindungen absichern könnten. PKI ist somit die Voraussetzung, TLS ist die Anwendung. Diese Unterscheidung ist wichtig, da viele Sicherheitsprobleme nicht im Protokoll selbst, sondern in der Verwaltung von Zertifikaten entstehen. Wer PKI nicht im Griff hat, hat auch TLS nicht im Griff.

Welche Risiken entstehen ohne PKI-Governance?

Ohne strukturiertes PKI-Management verlieren Unternehmen schnell den Überblick über ihre Zertifikate. Abgelaufene Zertifikate können kritische Systeme lahmlegen, kompromittierte Schlüssel bleiben unentdeckt und Schatten-IT wächst unkontrolliert. Besonders in dynamischen Cloud-Umgebungen entstehen täglich neue Identitäten, die abgesichert werden müssen. Fehlende Governance führt hier direkt zu Sicherheitslücken und Compliance-Verstößen. PKI ist daher nicht nur ein technisches Thema, sondern auch eine organisatorische Herausforderung. 

Wie sieht eine moderne PKI-Strategie aus?

Eine zukunftsfähige PKI-Strategie kombiniert zentrale Governance mit automatisierten Prozessen. Zertifikatsmanagement wird in DevOps-Pipelines integriert, Schlüssel werden möglichst hardwaregestützt geschützt und Lifecycle-Prozesse sind vollständig automatisiert. Gleichzeitig müssen Rollen, Verantwortlichkeiten und Richtlinien klar definiert sein. Ziel ist es, Sicherheit und Geschwindigkeit in Einklang zu bringen. Unternehmen, die PKI strategisch denken, schaffen damit die Grundlage für skalierbare und vertrauenswürdige digitale Geschäftsmodelle.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen. 

Autor:

Simon Ahlers-Hirschmann
Managing Director Technical Delivery IPG Information Process Group Austria GmbH
Blog 17.06.26

Signal Driven Access: Moderne Zugriffskontrolle Zero Trust

Erfahren Sie, wie Signal Driven Access Identität und Kontext vereint. Warum moderne Zero-Trust-Architekturen auf kontextbasierte Zugriffskontrolle setzen.

Blogbeitrag, was bedeutet Zero Trust bedeutet
Blog 28.08.24

Zero Trust Architektur: IAM, CISA-Säulen & Umsetzung

Wie Zero Trust Identitäten, Zugriffe und Daten schützt – mit IAM, MFA, Monitoring und modernen Sicherheitsarchitekturen.

Blog

AIdentity: Die nächste Stufe im Identity Management

Erfahren Sie, wie AIdentity klassische IAM-Modelle erweitert, Identitäten dynamischer macht und Unternehmen bei Zero Trust, Machine Identities und AI-gestützter Zugriffskontrolle unterstützt.

Blog 17.09.25

Was ist swiyu?

Was bedeutet swiyu für Unternehmen? Die Schweizer Lösung für digitale Identität verändert IAM- und CIAM-Architekturen, Trust Frameworks sowie Compliance-Anforderungen.

Blog 22.01.26

Tier Zero: Warum Identitäten das neue Kronjuwel sind

Tier Zero schützt die mächtigsten Identitäts- und Vertrauensanker eines Unternehmens. Der Beitrag erklärt Herkunft, Architektur und warum IAM und PAM entscheidend für eine Tier-0-Strategie sind

Blog 20.01.26

IVIP: Der neue Blick auf Identitäten und Berechtigungen

IVIP macht sichtbar, was klassische IAM-Systeme nicht leisten: ganzheitliche Transparenz über Identitäten, Berechtigungen und Risiken als Basis für Zero Trust, Governance und Compliance.

Blog 05.06.25

Was ist Cloud Infrastructure Entitlement (CIEM)?

Erfahren Sie, wie CIEM Cloud-Berechtigungen analysiert, Risiken reduziert und IAM sowie PAM sinnvoll ergänzt.

Blog 19.06.26

Berechtigungsverwaltung: Zugriffe systemübergreifend steuern

Erfahren Sie, wie Unternehmen Berechtigungsverwaltung in hybriden IT-Landschaften technisch kontrollieren – von Rollen und Gruppen bis zu effektiven Zugriffsrechten.

Blog 04.12.25

Entra External ID: Sichere Verwaltung externer Nutzer

Entdecken Sie Entra External ID: externe Nutzer effizient verwalten, Prozesse vereinfachen und Zugriff intelligent steuern.

Blog 05.08.25

Customer IAM: Sicherheit und Erlebnis vereinen

Erfahren Sie, wie Customer Identity & Access Management (CIAM) Sicherheit, Datenschutz und personalisierte Nutzererlebnisse kombiniert – und so Vertrauen und Kundenbindung stärkt.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 10.07.25

So verheiraten Sie One Identity Safeguard & -Manager

In unserem Blogbeitrag zeigen wir, wie Sie One Identity Safeguard und One Identity Manager verkuppeln und welche Vorteile Sie dadurch genießen!

Das Thema IT-Security immer weiter in den Fokus
Blog 07.01.21

Warum der Überwacher überwacht werden muss

Nach dem SolarWinds Hack rückt das Thema IT-Security immer weiter in den Fokus. In unserem Blogbeitrag beschreiben wir alles zum SolarWinds-Hack, deren Folgen und was wir daraus lernen können.

Blogbeitrag zu GARANCY IAM Suite Version 3
Blog 20.10.20

GARANCY IAM Suite – Das bietet Version 3

Die GARANCY IAM Suite ist für viele Professionals im Identity Access Management (IAM) das Tool der Wahl. Wir geben Ihnen einen Überblick zu den Neuerungen der dritten Version des Beta Systems Produkt.

Header zum Expertenbericht Self-Sovereign Identity 1
Blog 22.09.21

Self-Sovereign Identity Teil 1: Die Geschichte

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Blog 03.06.26

Was ist Benutzerverwaltung? Definition, Risiken & IAM-Fokus

Erfahren Sie den Unterschied zwischen lokaler Benutzerverwaltung & strategischem IAM. Erkennen Sie manuelle Risiken und optimieren Sie Ihre Governance

Blog 10.06.26

API Security für Non-Human Identities (NHI)

Warum reicht IAM für Maschinenidentitäten nicht aus? Erfahren Sie, wie API Security NHIs, Bots und KI-Agenten durch Verhaltensanalyse dynamisch schützt.

Header zum Expertenbericht Self-Sovereign Identity 3
Blog 06.10.21

Self-Sovereign Identity Teil 3: Eine neue Ära

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Blogbeitrag, zu was eigentlich „Single-Sign-On“ (SSO) ist
Blog 14.10.20

Was ist eigentlich „Single-Sign-On“ (SSO)?

Diese Frage beantworten wir unserem Blogbeitrag. Erfahren Sie außerdem, welche Geschichte sich hinter Single-SIgn-On verbirgt.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

Woran erkenne ich denn im IAM-System, ob Herr Mustermann auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Passwörter Zukunft
Blog 26.05.21

Die Zukunft des Passworts – Login ohne Gehirnakrobatik

Ist die Zukunft des Passworts eine Zukunft ohne Passwort? Lange Zeit hat sich in Sachen Identity Management nicht viel getan. Die Zukunft scheint vielversprechender – ein Gedankenexperiment.