Handlungsdruck ist da

E3-Magazin: Verschiedentlich wird im Zusammenhang mit Zertifikatsverkürzungen von einem „SSL-Laufzeitschock“ gesprochen. Ist diese Dramatik gerechtfertigt?

Marcus Bogenstätter, Empirius: Die Dramatik ist absolut berechtigt, denn am 15. März dieses Jahres wurde die Laufzeit für neue Zertifikate von 398 auf 200 Tage reduziert. Im nächsten Jahr sind es dann 100 Tage und am 15. März 2029 final nur noch 47 Tage. Diese massiven Reduzierungen wurden einseitig durch Browser-Hersteller wie Apple und Google und die Zertifikatsstellen, also die sogenannten Certificate Authorities, verkündet. Einseitig deswegen, weil die Industrie und andere nicht mit einbezogen wurden. Keine Frage: Dies hat massive Auswirkungen oder wird es noch haben. Mögliche betriebswirtschaftliche Ausfälle inbegriffen. Schenkt man der Untersuchung etwa von Ponemon und Digicert Glauben, dann sind heute bereits über 60 Prozent der Unternehmen von Schäden aufgrund abgelaufener Zertifikate betroffen. Bis 2029 wird demnach das Fehlerrisiko ohne Automatisierung exponentiell zunehmen.

E3: Von welchen betriebswirtschaftlichen Schäden reden wir hier? Können Sie bitte Beispiele benennen?

Bogenstätter: Durch abgelaufene Zertifikate steht die Geschäftskontinuität auf dem Spiel. Weil ohne notwendige Zertifikatserneuerungen die IT-Systeme schlichtweg die Verbindung zur Gegenstelle verlieren, so als ob man das Netzwerkkabel ziehen oder das WLAN ausschalten würde. IoT-Anwendungen und -Geräte mit abgelaufenen Zertifikaten funktionieren nicht mehr, ebenso KI-Anwendungen. Produktions- und Logistikketten können in eine Zertifikatsfalle laufen, ebenso Versicherungs- und Bankenanwendungen sowie Steueranwendungen. Praktisch alle über das öffent-liche Netz oder über das Internet laufenden beziehungsweise verbundenen Systeme können von den Auswirkungen durch die SSL-Zertifikatsverkürzungen betroffen sein.

E3: Und SAP-Anwender, müssen auch sie reagieren?

Bogenstätter: Ja, zweifellos. SAP-Landschaften sind heute hochgradig vernetzt – man denke an verteilte ERP-Systeme, Intercompany-Prozesse, SAP-Cloud-Anwendungen, HR-Applikationen oder Web-Schnittstellen. Alle diese Verbindungen basieren auf Vertrauensstellungen durch Zertifikate. Wenn ein Glied in der Kette bricht, steht der Geschäftsprozess still. 

E3: Ist der Handlungsbedarf in Sachen Zertifikatsverkürzungen bei den SAP-Anwendern Ihrer Meinung nach angekommen? 

Bogenstätter: Das Bewusstsein wächst, ist aber noch nicht flächendeckend vorhanden. Große Serviceprovider, die teils über 10.000 SAP-Systeme hosten, setzen hier bereits auf unsere Automatisierungslösungen. Bei mittelständischen Kunden sehen wir jedoch oft noch eine abwartende Haltung. Viele unterschätzen den Aufwand, der entsteht, wenn man Zertifikate statt einmal im Jahr plötzlich achtmal pro Jahr manuell tauschen muss.

E3: Warum spielt Automatisierung im Zusammenhang mit Zertifikatsverkürzungen eine große Rolle?

Bogenstätter: Manuelles Management ist bei diesen Frequenzen ein unkalkulierbares Compliance- und Betriebsrisiko. Als Quasi-Standard für Automatisierung hat sich Automated Certificate Management Environment, kurz ACME, herauskristallisiert, vor allem außerhalb der SAP-Welt. Über unsere Epos-App SAP Certificate Management integrieren wir dieses Protokoll direkt in die SAP-Welt. Es geht darum, den gesamten Lebenszyklus – von der Beantragung bis zur Installation im System – ohne menschliches Eingreifen abzubilden.

E3: Was ist das Besondere an der Lösung?

Bogenstätter: Zuerst einmal, dass sie die SAP-Besonderheiten berücksichtigt, konkret die tief verwurzelten, sogenannten PSE-Zertifikatscontainer und die verschiedenen Applikationen wie zum Beispiel S/4, Java-Stacks, Web Dispatcher, die Hana-Datenbank, den Cloud Connector und andere. Ferner erfüllt sie die Kriterien hinsichtlich einer sicheren und umfassenden Certificate-Lifecycle-Management-Lösung. Dafür beinhaltet sie ein starkes Reporting mit vollständiger und übersichtlicher Darstellung aller Zertifikate. Die moderne Web-Oberfläche stellt alles in einer Art Ampelsystem mit „Status rot für Zertifikatserneuerungen“ und „grün für alles ok“ übersichtlich dar und bietet jeweils dazu passende Workflows an. Und sehr wichtig: Die Lösung ist Rise-ready!

“Viele unterschätzen den Aufwand, der entsteht, wenn man Zertifikate statt einmal im Jahr plötzlich achtmal pro Jahr manuell tauschen muss.”

Marcus Bogenstätter,
Chief Technology Officer (CTO),
Empirius

E3: Sie erwähnten PSE-Dateien. Warum sind diese so kritisch?

Bogenstätter: In einem einzigen SAP-System existieren oft circa 10 Personal-Security-Environment-Dateien, für jede Anwendung eine eigene. Diese PSE-Container wiederum enthalten mehrere Zertifikate. Und wenn nun SAP-Landschaften mit 100 oder mehr Systemen verwaltet werden, multipliziert sich das Ganze sehr, sehr schnell zu einer manuell nicht mehr zu managenden Zertifikatsflut. Alle unsere Epos-Automatisierungs-Apps sind grundsätzlich darauf ausgelegt, dass sie bei mittelständischen SAP-Anwendern und bei SAP-Großanwendern zum Einsatz kommen können.

E3: Was sollten Anwender tun, um das Thema Zertifikatsverkürzung in den Griff zu bekommen?

Bogenstätter: Sie werden um automatisierte Lösungen wie ACME und eine Certificate-Lifecycle-Management-Lösung nicht herumkommen. Deshalb die Empfehlung: sich mit der Problematik der Zertifikatsverkürzungen zeitnah zu befassen und Lösungen wie zum Beispiel Epos zu evaluieren. Wichtig zudem ist, dass sich Anwender in den Lösungen wiederfinden. Wir jedenfalls fragen Anwender praktisch permanent, was ihnen wichtig ist, und nehmen Kundenanregungen oder -wünsche gerne auf. So auch geschehen in unserer neuen Version der Epos-App SAP Certification Management. Mit dieser Verfahrensweise sind wir seit jeher gut gefahren. So ist dann bedarfsgerecht auch wirklich bedarfsgerecht. (rk, Quelle: Empirius)

Weiter zum Partnereintrag: