Wo liegen eigentlich Ihre privaten Schlüssel? Warum kein Unternehmen seinen Zertifikatsbestand wirklich kennt

Zertifikate

IT-Sicherheit  ·  Zertifikatsmanagement

Wo liegen eigentlich Ihre privaten Schlüssel? Warum kein Unternehmen seinen Zertifikatsbestand wirklich kennt

Lesezeit ca. 5 Minuten  ·  von Jörn Walter, IT-Service Walter

Fragen Sie einmal in Ihrer IT-Abteilung nach einer vollständigen Liste aller Zertifikate und privaten Schlüssel im Unternehmen. In den meisten Fällen entsteht eine kurze, unangenehme Stille. Genau diese Stille ist das Problem – und sie ist gefährlicher, als die meisten Verantwortlichen vermuten.

Zertifikate sind das Rückgrat moderner Windows-Infrastrukturen: TLS-Verbindungen, Smartcard-Anmeldung, Code-Signing, sichere E-Mail, VPN, WLAN-Authentifizierung. Sie sind überall – und genau deshalb verliert man sie aus den Augen. Ein abgelaufenes Zertifikat legt einen Dienst lahm. Ein ungeschützter privater Schlüssel auf einem Netzlaufwerk hebelt die gesamte Sicherheit aus, die das zugehörige Zertifikat eigentlich gewährleisten soll. Beides passiert ständig. Beides ist vermeidbar.

Das eigentliche Problem: herumliegende Schlüssel

In der Praxis finde ich private Schlüssel und Zertifikate immer wieder dort, wo sie nichts zu suchen haben: exportierte .pfx-Dateien aus einer Server-Migration, OpenSSL-.key-Dateien neben dem Webserver-Konfigurationsordner, Backups von Webserver-Zertifikaten auf einer Freigabe, Test- und Entwicklungsschlüssel, die nie aufgeräumt wurden. Häufig unverschlüsselt. Häufig auf Laufwerken, auf die halbe Abteilungen Zugriff haben.

Der Kern in einem Satz: Ein privater Schlüssel, der unverschlüsselt und ohne Zugriffsschutz auf einem Datenträger liegt, ist kein Datei-Fund – er ist ein vollwertiges Sicherheitsleck. Wer ihn besitzt, kann sich als der legitime Inhaber ausgeben, verschlüsselte Daten lesen oder Signaturen fälschen.

Das Tückische daran: Diese Schlüssel tauchen in keinem Zertifikatspeicher auf. Sie liegen als lose Dateien im Dateisystem. Die übliche Antwort „Wir verwalten unsere Zertifikate über die Windows-Zertifikatspeicher” greift hier ins Leere – denn das größte Risiko liegt genau außerhalb davon.

Man kann nur schützen, was man kennt

Aus dieser simplen Erkenntnis heraus ist der ISW Certificate Inventory Manager entstanden. Das Werkzeug verfolgt einen Anspruch: vollständige Transparenz über den kryptographischen Bestand einer Windows-Landschaft – und zwar an beiden kritischen Stellen.

Zertifikatspeicher
Computer- und Benutzer-Store von Servern und Clients – lokal oder remote per WinRM, auf Wunsch über alle Benutzerprofile einer Maschine hinweg.
Dateisystem
Rekursive Suche nach losen Zertifikats- und Schlüsseldateien – genau dort, wo die vergessenen privaten Schlüssel tatsächlich liegen.

Die Ergebnisse landen nicht in einer unübersichtlichen Logdatei, sondern in einem Dashboard mit aussagekräftigen Kennzahlen: Gesamtbestand, Verteilung auf Computer- und Benutzer-Store, Zertifikate mit privatem Schlüssel sowie klare Risiko-Indikatoren – abgelaufen, Ablauf in 30 oder 90 Tagen, schwache RSA-Schlüssel unter 2048 Bit. Eine eigene Kennzahlen-Reihe widmet sich ausschließlich dem Schlüsselmaterial aus dem Dateisystem und macht sichtbar, was sonst niemand sieht: etwa unverschlüsselte .key-Dateien, deren privater Schlüssel sich ohne Passwort auslesen lässt.

Vom Risiko zum Nachweis

Transparenz ist das eine. Der zweite Schritt ist der belastbare Nachweis. Genau hier wird das Thema für jeden relevant, der Verantwortung für Informationssicherheit trägt – denn der sichere Umgang mit kryptographischen Schlüsseln ist kein „Nice to have”, sondern in den einschlägigen Regelwerken fest verankert.

BSI IT-Grundschutz

Der Baustein CON.1 „Kryptokonzept” fordert ein geregeltes Schlüsselmanagement über den gesamten Lebenszyklus – die sichere Erzeugung, Speicherung, Verteilung und Vernichtung kryptographischer Schlüssel sowie ausdrücklich den Schutz privater Schlüssel vor unbefugtem Zugriff. Ein ungeschützt im Dateisystem liegender Schlüssel widerspricht dieser Anforderung unmittelbar. Die technische Richtlinie BSI TR-02102-1 gibt zudem Mindestschlüssellängen vor – die Grundlage für die Kennzeichnung schwacher RSA-Schlüssel im Tool.

NIST

NIST SP 800-57 beschreibt Schutz und Lebenszyklus privater Schlüssel und benennt unbeaufsichtigte oder ungeschützte Schlüssel ausdrücklich als Risiko, dem mit Zugriffsschutz und Inventarisierung zu begegnen ist. NIST SP 1800-16 empfiehlt explizit eine vollständige Inventarisierung von Zertifikaten, um unbekannte, abgelaufene oder nicht autorisierte Zertifikate zu vermeiden – exakt die Kernaufgabe dieses Werkzeugs.

DSGVO, ISO 27001 und NIS2

Art. 32 DSGVO verlangt angemessene technische Maßnahmen einschließlich Verschlüsselung – ein ungeschützter privater Schlüssel untergräbt genau diese Schutzmaßnahme. ISO/IEC 27001:2022 fordert mit Control 8.24 geregelte Kryptographie und mit Control 5.9 ein vollständiges Asset-Inventar. Und Art. 21 der NIS2-Richtlinie verlangt Risikomanagementmaßnahmen einschließlich Kryptographie – wofür eine belastbare Bestandsaufnahme die Grundlage bildet.

Wichtig: Diese Zuordnung dient der Orientierung und ersetzt keine rechtliche oder auditbezogene Einzelfallprüfung. Die konkrete Anwendbarkeit hängt vom jeweiligen Geltungsbereich, der Schutzbedarfsfeststellung und der eingesetzten Edition der Regelwerke ab. Die Botschaft bleibt aber unabhängig davon eindeutig: Ein vollständiges, dokumentiertes Inventar ist keine Kür, sondern Grundlage.

Was das Werkzeug in der Praxis leistet

Der ISW Certificate Inventory Manager ist bewusst für den Alltag von Administratoren und Managed Service Providern gebaut – also für Umgebungen mit vielen Servern, mehreren Kundendomänen und realen Berechtigungsgrenzen:

  • Remote-Erfassung per WinRM über HTTP oder HTTPS, mit konfigurierbarer Zertifikatsprüfung – auch für selbstsignierte Listener.
  • Mehrbenutzer-Scan über alle Profile einer Maschine – nicht nur über das gerade verbundene Konto.
  • Dateisystem-Scan nach .pfx, .p12, .key, .pem und weiteren Formaten – lokal und auf mehreren Servern.
  • Import aus dem Active Directory: Computerobjekte direkt übernehmen, statt Hostnamen abzutippen.
  • Revisionssichere Berichte in PDF, HTML und CSV – als Audit-Nachweis und Planungsgrundlage für Erneuerungen.
  • Versand per E-Mail direkt an Kunden oder Verantwortliche – komplett mit Anhängen.

Besonders für MSP ist der letzte Punkt entscheidend: Mehrere Server und Kundendomänen lassen sich zentral erfassen und sauber getrennt auswerten. Aus „Wir kümmern uns um Ihre Zertifikate” wird ein belegbares Quartals-Dokument, das man dem Kunden auf den Tisch legen kann.

Drei Fragen, die jeder Verantwortliche beantworten können sollte

Am Ende geht es nicht um ein Werkzeug, sondern um drei Fragen. Wenn Sie alle drei aus dem Stand beantworten können, ist Ihr Zertifikatsmanagement in guter Verfassung:

1 Welche Zertifikate laufen in den nächsten 30 Tagen ab?
2 Wo im Unternehmen liegen private Schlüssel als lose Dateien – und welche davon sind unverschlüsselt?
3 Können Sie diesen Stand für ein Audit nachweisen – auf Knopfdruck?

Die allermeisten Organisationen können das nicht. Nicht aus Nachlässigkeit, sondern weil ihnen schlicht das Werkzeug fehlte, das beide Welten – Zertifikatspeicher und Dateisystem – an einer Stelle zusammenführt und sichtbar macht.

Fazit

Zertifikate und private Schlüssel sind sicherheitskritische Werte – aber in gewachsenen Windows-Umgebungen sind sie selten vollständig bekannt. Der ISW Certificate Inventory Manager schließt genau diese Lücke: Er macht den gesamten Bestand sichtbar, deckt ungeschützte Schlüssel auf, warnt rechtzeitig vor Abläufen und liefert den Nachweis, den Audits nach BSI, ISO 27001 und NIS2 verlangen. Transparenz ist der erste und wichtigste Schritt zu echter Sicherheit – denn schützen kann man nur, was man kennt.

© IT-Service Walter  ·  isw-adtools.de  ·  der-windows-papst.de