GlobalSign Blog

26 Sep 2017

Warum Ihr XaaS-Unternehmen PKI benötigt

Bevor wir anfangen, möchten wir Ihnen erklären, was wir mit XaaS meinen. Wenn wir über "X" als Service sprechen, zählen wir dazu: Software as a Service, Platform as a Service, Infrastructure as a Service, Identity as a Service, Communication as a Service und vieles mehr. Denken Sie an Dinge wie Website-Designer, Dienste in der Cloud (bei denen auf einer eindeutigen URL im Web-Browser auf das Abonnement zugegriffen wird), virtualisierte Computing Services über das Internet, VoIP oder Internet-Telekommunikations-Services.

Da der heutige Markt für Cloud-basierte Dienste so heftig umkämpft ist, ist es nicht immer einfach, sich von der Masse abzuheben. Das Managen eines vertrauenswürdigen Services ist großartig, wenn Sie etabliert sind und große Mengen verkaufen. Aber wenn Sie gerade erst angefangen haben, benötigen Sie wichtige wettbewerbsfähige Unterscheidungsmerkmale, die außerhalb Ihres normalen Angebots liegen können.

Wir möchten Ihnen eine sehr effektive Möglichkeit erläutern, mit der Sie Unterscheidungsmerkmale in Ihrem Markt schaffen und alle über Ihren neuen Produktvorteil reden - PKI (Public Key Infrastructure).

Bei PKI geht es letztlich um das Verschlüsseln und Sichern von Kommunikation, was zurzeit in aller Munde ist. Sicherheit und Datenschutz werden zu unerlässlichen Bestandteilen jedes Cloud-basierten Services und Ihre Kunden brauchen sie. Warum nicht in Ihren Service eingebaute Sicherheit anbieten?

Gemalto veröffentlichte 2016 einen Bericht, der zu dem Ergebnis kam, dass Verbraucher Unternehmen für den Datenschutz verantwortlich halten. Zwei Drittel der Befragten würden wahrscheinlich nicht von einem Unternehmen einkaufen, das eine Datenschutzverletzung erlebte, bei der ihre personenbezogenen oder finanziellen Daten gestohlen wurden. Denken Sie nur an den riesigen Verlust, den Talk Talk nach seiner Datenschutzverletzung erlitt. Sie gaben an, dass sie 65 Mio. € und 101.000 Kunden verloren hatten, aber der Verlust an Reputation und Integrität im Markt ist auch ein Faktor - es ist einfach schwieriger, ihn zu beziffern.

Wenn Verbraucher sich Sorgen machen, sollten Sie es auch. Denn heutzutage müssen Ihre Kunden mehr denn je ihre Daten sichern und dies nachweisen können.

Was sind die geschäftlichen Beweggründe für PKI?

Zuerst möchten wir die geschäftlichen Beweggründe für die Einführung von PKI in Ihre XaaS-Lösung oder Service besprechen.

Neben einem erhöhten Bewusstsein für Internetsicherheit benötigen Ihre Kunden Sicherheit, dass Sie ihre Unternehmen, Benutzer und Kunden bei der Nutzung Ihres Services schützen. Es reicht nicht, zu wissen, dass die Daten verschlüsselt werden, da Hacker diesen Verkehr immer noch abfangen und sich als vertrauenswürdiges Unternehmen der Entität ausgeben können.

Was kann die Einführung von PKI in Ihren Service bewirken?

Web- und Serversicherheit – Verwendung von SSL/TLS-Zertifikaten zur Verschlüsselung von Daten und zum Nachweis der Identität auf Websites, die von Kunden besucht werden.

  • Sichere E-Mail – Digitales Signieren und Verschlüsseln von E-Mails mit S/MIME-Zertifikaten, um die Identität des Absenders nachzuweisen und Phishing, E-Mail-Snooping und Datenverlust zu reduzieren.
  • Document Signing – PDFs oder Word-Dokumente können mit einer Identität digital signiert und zertifiziert werden, um handschriftliche Unterschriften zu eliminieren, eine papierlose Arbeitsumgebung zu ermöglichen und den Dokumenteninhalt vor Manipulationen zu schützen.
  • Zeitstempel – Verwendung eines Drittanbieter-Services, um Unleugbarkeit etwa um den Zeitpunkt herum, als eine Transaktion stattgefunden hat, zu erreichen.

Gesetzgebung

Einer der überzeugendsten geschäftlichen Beweggründe für PKI ist natürlich die Gesetzgebung. Je nachdem, wie Ihre Kunden Ihren Service nutzen, gibt es unterschiedliche Gesetze, die sie möglicherweise einzuhalten haben. Allerdings gibt es ein paar Verordnungen, die alle Unternehmen betreffen, die Geschäfte in Europa treiben. Dies sind eIDAS und GDPR (DS-GVO) und in Deutschland

eIDAS

Wir haben bereits viel rund um eIDAS und was es für Unternehmen bedeutet, gepostet.

In einer papierlosen Büroumgebung ist ein gewisses Vertrauensniveau erforderlich. Ebenso ist ein gewisses Vertrauensniveau erforderlich, wenn man ein Dokument mit einem Stift auf Papier unterschreibt. Sie wissen von wem die Unterschrift stammt, aber es besteht immer eine kleine Möglichkeit für eine Fälschung. Digitale Signaturen geben das zusätzliche Vertrauen, dass eine Stift- und Tintenunterschrift nicht geben kann.

Wenn ein Dokument mit einem von einem Drittanbieter verifizierten digitalen Zertifikat signiert wird, kann man sicher sein, dass es tatsächlich die angegebene Person war, die das Dokument signiert hat. eIDAS verlangt von allen Unternehmen, digitale Signaturen auf diese Weise einzusetzen, und klassifiziert zwei Sicherheitsstufen (fortgeschritten und qualifiziert), die eine höhere Identitätsverifizierung haben, die PKI bieten kann.

Als Ergebnis dieser Verordnung werden standardmäßige handschriftliche Unterschriften langsam in zertifikatbasierte Signaturen übergehen, um mehr Sicherheit zu gewinnen.

DS-GVO

Sie haben sicher die Datenschutz-Grundverordnung (DS-GVO oder GDPR) bereits voll auf dem Radar. Es kommt ziemlich selten vor, dass so eine strenge Verordnung zu Datenschutz und Daten auftaucht. Es geht dabei darum, die Art und Weise, wie Unternehmen personenbezogene Daten nutzen und handhaben, zu ändern. Um eine so große Veränderung bei Geschäftsmustern und -verhalten zu bewirken, muss die Verordnung eine treibende Kraft sein.

Im Wesentlichen geht es in der Verordnung um den Schutz, die Transparenz der Verarbeitung und den sicheren Umgang mit personenbezogenen Daten von EU-Bürgern (das sind alle Daten, die einen einzelnen Bürger identifizieren können). Strafen für die Nichteinhaltung werden mit 4% des Jahresumsatzes oder 20 Millionen Euro angegeben, je nachdem, welcher Wert höher ist.

Als XaaS-Anbieter wird es unerlässlich sein, nicht nur die Einhaltung der Verordnung hinsichtlich der Handhabung und Sicherung der Daten Ihrer Kunden, sondern auch die Fähigkeit, innovative Produktlösungen zu implementieren, die Ihren Kunden auch die Einhaltung der Vorschriften ermöglichen können, nachzuweisen.

Branchenvorschriften

Ähnlich wie bei der Gesetzgebung, ist es für alle Unternehmen, die mit ihren Kunden Geschäfte machen und als vertrauenswürdig angesehen werden wollen, ein Muss, mit den Branchenvorschriften konform zu sein.

Das UK Land Registry verfügt beispielsweise über ein neues System, das zertifikatbasierte eSignaturen verlangt (fortgeschrittene elektronische Signaturen nach eIDAS), sodass ein Transportunternehmen sich mit dem Tool verbinden und die Plattform und den Workflow steuern kann.

Ein weiteres Beispiel für etwas Ähnliches ist die britische Wasser- und Versorgungsbranche. Wasserversorgern wurde die Möglichkeit angeboten, allen Gewerbegrundstücken, als Teil des so genannten Open Water Programme, Wasser zu liefern. Um die Dienste zu eröffnen, müssen sich Wasserunternehmen bei dem sogenannten Central Market Operating System (CMOS) einloggen, für das die Authentifizierung über ein digitales Zertifikat benötigt wird.

Risikominimierung

Jedes Geschäft ist mit Risiken verbunden, wie eine Datenschutzverletzung, eine Klage oder ein Cyber-Angriff. Wenn etwas schief geht, können Unternehmen so schnell geschlossen werden, wie sie eröffnet wurden. Daher brauchen wir immer jemanden, der die potenziellen Gewinne gegen die potenziellen Risiken abwägt, und entscheidet, wohin das Unternehmen geht. Aus diesem Grund führen viele Unternehmen interne Audits durch externe Branchenaufsichtsbehörden durch.

PKI ist genau das Richtige, um die oben erwähnten Risiken zu mindern. Sie schafft dies durch Verschlüsselung von Kommunikation und Datenübertragungen, Authentifizierung der Identitäten von Benutzern und anderen Endpunkten, sowie Schutz der Daten vor Änderungen.

Ein Beispiel, wie dies heutzutage funktioniert, ist eine Bildungseinrichtung, die Qualifikationen vergibt. Hier wird PKI verwendet, um zu verifizieren, dass die Qualifikationen, die sie vergeben, tatsächlich echt sind und nicht verfälscht werden können.

Best Practice

Obwohl Best Practice nicht der am einfachsten herauszustellende Beweggrund ist, ist er gepaart mit Regulierungs- und Compliancegründen ein Gewinn.

Selbst wenn eine Verordnung in einer Branche nicht strikt durchgesetzt wird, kann Compliance langfristig von großem Vorteil sein. Wenn mehr Unternehmen mit dem Bundesdatenschutzgesetz (BDSG) konform wären, würde die Arbeitsbelastung für DS-GVO eventuell halbiert werden.

Ihre Kunden suchen nach Unternehmen wie Ihrem, die ihre Daten effektiv verwalten und ausreichende Vorkehrungen treffen, um sicherzustellen, dass die Gefahr einer Datenschutzverletzung minimiert wird.

Aus dem Grund erhalten Menschen ISO- oder ISMS-Zertifizierungen, verwenden sie Identity & Access Management, S/MIME, Authentifizierung und vieles mehr.

Vorteile der Verwendung von PKI in Ihrem XaaS-Service

Geschäftliche Beweggründe sind nicht der einzige Faktor, der gelten sollte, wenn Sie PKI zu Ihrer XaaS-Lösung hinzufügen möchten. Geschäftliche Vorteile sind auch erwähnenswert.

Automatisierung

Technologie macht mit hohem Tempo Fortschritte und erlaubt uns, unsere Prozesse zu digitalisieren und unseren Kunden schnellere und effektivere Dienste bieten zu können. Die Digitalisierung macht derzeit enorme Fortschritte im Banken- und IoT-Sektor.

XaaS-Anbieter bedienen Kunden überall in digitaler Form und machen damit ihre Prozesse schneller und einfacher. Wer hat gesagt, dass dies beim Zertifikatmanagement anders sein muss? Mit automatisierten Zertifikat-Erneuerungsprozessen können Verschlüsselungs-, Authentifizierungs-, Signier- und Zeitstempelprozesse auch weiterhin effektiv bleiben, ohne dass es jedes Mal, wenn ein Zertifikat erneuert werden muss oder abgelaufen ist, zum Stillstand kommt.

Wettbewerbsvorteil

Wenn Sie Ihren Service mit etwas ausstatten, dass Ihre Konkurrenz nicht hat, können Sie Marktanteile gewinnen.

Sie erhalten dadurch einen Wettbewerbsvorteil, indem Sie den Sicherheitsdienst anbieten, den Ihre Kunden benötigen und diese damit einfach in Ihrer Plattform halten. Wenn Ihre Kunden mit Ihrem Service signieren, verschlüsseln und authentifizieren können, haben sie keinen Grund, die Plattform zu verlassen und ihre Prozesse werden dadurch effizienter.

Kundenerfahrung und -zufriedenheit

Wie bereits erwähnt, können Prozesse und Effizienz verbessert werden, wenn Sie Ihre Kunden in der Plattform halten. Wenn Sie den Arbeitstag Ihres Kunden verkürzen oder den Kunden erfreuen können, indem Sie ihnen ermöglichen, etwas einfach zu tun, das vorher einmal ein mühsamer langer Prozess war, gewinnen Sie. Ihre Kunden sind eher dazu geneigt bei Ihrem Dienst zu bleiben, wenn sie glücklich sind - dadurch können Sie Kundenabwanderungen und die hohen Kosten für die Akquise neuer Kunden reduzieren.

Unternehmensführung

Die Regeln und Prozesse eines Unternehmens, können zum Teil mit PKI unterstützt werden. Nehmen Sie das Beispiel einer Firma namens Passageways, ein Online Sitzungs-Portal für Vorstände. Um die Führung einfacher zu gestalten, schufen sie eine App, mit der Vorstandssitzungen dokumentiert und für die Zusammenarbeit während und zwischen den Meetings weitergegeben werden können.

Bei der alten Vorgehensweise wären die Sitzungsprotokolle papierbasiert. Heutzutage sind die Vorstände mobil und oft nicht im selben Raum. Daher brauchen sie eine Plattform, die sie wie Passageways benutzen können. Pro Jahr werden mehr als 200 Stunden in Meetings verbracht. Oft werden sensible Themen besprochen. Bei der Einführung einer Online-Plattform müssen Sicherheitsmaßnahmen umgesetzt werden, um Benutzer zu authentifizieren und Informationen zu verschlüsseln sowie die endgültigen Vorstandssitzungsprotokolle digital zu signieren. PKI ermöglicht dies, da es in den Service integriert ist.

XaaS und PKI mischen

Wenn Sie genauso überzeugt sind wie wir, dass PKI Ihnen helfen wird, Herausforderungen zu lösen, Compliance zu erfüllen und Ihnen einen Wettbewerbsvorteil verleiht, ist der nächste Schritt, Ihre Akteure zu überzeugen.

Artikel teilen

Jetzt Blog abonnieren