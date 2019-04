Seit der Dienstleister Digicert, schon bis dahin eine der führenden CAs (Certification Authority) weltweit 2017 das CA-Geschäft von Symantec übernahm, hat sich bei dem Unternehmen viel getan. CAs sind berechtigt, digitale Identitätszertifikate an Personen und Organisationen auszugeben.

Zur Erinnerung: Symantec hatte 2008 Verisign und damit das CA-Geschäft übernommen. Große Browser-Provider wie Microsoft und Google beklagten sich jedoch über ungenügende Zertifizierungspraktiken des Unternehmens und erklärten die Symantec/Verisign-Zertifikate für nicht mehr vertrauenswürdig. Deshalb gab Symantec das CA-Geschäft 2017 an Digicert ab – zusammen mit etwa 1000 Mitarbeitern.

Digicert, in den rund 20 Jahren seiner Existenz zu einer 1500-Personen-Firma mit Sitz in Lehi, Utah, und inzwischen auf 500 Millionen Dollar Umsatz herangewachsen, sah sich durch den Deal großen Aufgaben gegenüber: Rund fünf Millionen von Symantec ausgegebene Zertifikate mussten erneuert werden.

Runderneuerte Infrastruktur

Gleichzeitig nutzte das Unternehmen die Chance, die interne Infrastruktur von Grund auf zu modernisieren: Neben den zwei bereits bestehenden eigenen Rechenzentren führte der Dienstleister bei zwei von Verisign übernommenen RZs eine Grundrenovierung durch und baute zwei neue Data Centers. Europäische RZs befinden sich in den Niederlanden und der Schweiz.

Bei der Renovierung setzte das Unternehmen auf eine moderne, skalierbare Mikroservice-Architektur mit Containern unter Kubernetes-Management und agile Entwicklungsmethoden. Die bisher verwendete Software ließ sich nicht modularisieren, sondern wurde von über 200 Programmierern in einjährigem Einsatz neu geschrieben.

Derzeit entstehen vier neue Online-Plattformen für Anwender, die bei Digicert Zertifikate kaufen wollen. Sie sollen möglichst noch in diesem Jahr online gehen. Die Plattformen adressieren jeweils eine Zielgruppe und sind funktional auf sie zugeschnitten: es wird eine für große Unternehmen (mehr als 100 Zertifikate), eine für Mittelständler (5 bis 100 Zertifikate), eine für Kleinunternehmen (bis 5 Zertifikate) und eine Plattform für Channelpartner geben. Immerhin wickelt Digicert rund ein Viertel seiner Geschäfte über lokale Channelpartner ab, in Deutschland beispielsweise über 1&1 IONOS und InterNetX

„Sicherheit ist ein lokales Geschäft“

Gleichzeitig versucht die US-Firma ihr Geschäft in anderen Weltteilen zu intensivieren. „Sicherheit ist ein lokales Business, auch wenn man dafür eine global einsetzbare Technologie verwendet“, ist CEO John Merrill überzeugt. Es gibt zwar in Deutschland Niederlassungen, etwa in München, doch wolle man sich in den jeweiligen Märkten noch besser aufstellen. In Japan hat Digicert deshalb bereits länger eine lokale CA gekauft.

Nun folgte die Übernahme von QuoVadis aus St. Gallen, welche auch in den Niederlanden, Belgien, Deutschland und England vertreten ist. Der Mittelständler hat 60 Mitarbeiter, machte 2018 26 Mio. CHF Umsatz und wächst jährlich um 20 bis 25 Prozent. Bei Digicert sind es jährlich noch rund zehn Prozent. QuoVadis ist autorisiert, in den meisten Ländern Europas qualifizierte digitale Identitätszertifikate auszustellen, die sich für Online-Transaktionen verwenden lassen. Das Geschäft mit dem qualifizierten Digitalzertifikat beispielsweise spezifisch für den Personalausweis bleibt aber in Deutschland Unternehmen wie D-Trust oder Telesec vorbehalten.

„Wir bedienen vor allem kleinere und mittlere Unternehmen sowie Einzelpersonen in Europa“, sagt Roman Brunner, nunmehr Managing Director Emerging Markets Europa bei Digicert +QuoVadis. Verfügbar sind fortgeschrittene und qualifizierte Zertifikate, jeweils für Personen und Organisationen, wobei das qualifizierte Zertifikat das höherwertige ist. In Zukunft könnte dieses Geschäft noch lohnender werden, denn mit qualifizierten eIDAS-konformen Zertifikaten soll es Personen zukünftig möglich sein, europaweit Transaktionen zu tätigen, egal, wo dieses Zertifikat erworben wurde.

eIDAS steht für die Verordnung 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (Signaturrichtlinie). In Deutschland wurde eIDAS seit 29.7.2017 durch ein Durchführungsgesetz und das dort in Paragraph 1 erwähnte Vertrauensdienstgesetz umgesetzt. Die entsprechende Durchführungsverordnung folgte im Februar 2019.

Faible für europäische Impulse

Digicert dagegen beliefert traditionell Großunternehmen, beispielsweise Banken, allerdings auch KMUs und Einzelpersonen. Drei Zertifikate Klassen mit unterschiedlichem Prüfniveau bis hin zur kompletten Organisationsinvestigation sind verfügbar, sie kosten jährlich 100, 200 und 300 US-Dollar und werden häufig durch zusätzliche Services komplettiert.

„Wir unterstützen die meisten europäischen Technologieimpulse“, sagt Merrill. So auch PSD II. Die Direktive für sicheren Online-Zahlungsverkehr, die inzwischen in Kraft ist, nutzt ab September Technologie von Digicert+QuoVadis. Banken testen sie bereits ab 1. Mai des laufenden Jahres. PSD II verlangt eine Kombination aus TLS/SSL für die Ende-zu-Ende-Verschlüsselung der Verbindung und ein elektronisches Siegel (ein Hashing-Mechanismus) zum zusätzlichen Schutz der Dokumente vor Manipulationen und unerlaubter Einsicht. Zudem wird ein sogenanntes QWAC (Qualified Web Authentication Certificate) benötigt, das wiederum nur durch sogenannte QTSPs (Qualified Trust Service Provider) wie Digicert+Quovadis ausgeben dürfen. Dieses Geschäft soll in den kommenden fünf Jahren viel zum Wachstum beitragen – außer Digicert hat sich keine andere global aktive CA für PSD II qualifiziert.

Quantensichere Schlüssel in Arbeit

Die aktuellen Forschungsinitiativen dienen dazu, die Nase gegenüber finsteren Elementen vorn zu behalten. „Wenn Quantencomputer breiter verfügbar sind, sind die bisherigen Schlüssellängen schlicht nicht mehr ausreichend“, sagt Merrill. Unter Verwendung eines Microsoft-Algorithmus und in Kooperation mit Isara, einen Spezialisten für quantenfeste Sicherheitsmechanismen sowie dem deutschen Sicherheitsspezialisten Utimaco werden neue HSM- (Hardware Security Module) basierende Lösungen mit erheblich längeren Schlüsseln entwickelt. Auch dafür werden Quantenrechner eingesetzt, das Ergebnis sollen Schlüssel sein, die selbst Quantenrechner-Leistungen etwas entgegenzusetzen haben. Banken seien, so Merrill, bereits sehr interessiert.

Außerdem entwickelt Digicert einen Prüfmechanismus für die Authentizität von Filmen und einem QR-Schutzmechanismus für Fotos, der, ähnlich einem Wasserzeichen, unbemerkte Bildveränderungen unmöglich macht – Produkte, die gut zu den Initiativen rund um verbesserten Urheberschutz im Internet passen.