Regalreihen
DevOps IT-Automatisierung Sicherheit

Was ist Zertifikatslebenszyklusverwaltung?

By Matthew Kosinski
Veröffentlicht 24. März 2026

Zertifikatslebenszyklusverwaltung, definiert

Die Zertifikatslebenszyklusverwaltung (CLM) ist der formelle Prozess zur Verwaltung und Sicherung der digitalen Zertifikate eines Unternehmens. Die Zertifikatslebenszyklusverwaltung zielt darauf ab, jede Phase des Zertifikatslebenszyklus zu optimieren und zu automatisieren: Bestandsaufnahme, Ausstellung, Bereitstellung, Überwachung, Verlängerung, Sperrung und Entsorgung.

Digitale Zertifikate sind elektronische Dokumente, die mittels Kryptografie mit öffentlichen Schlüsseln die Identität ihrer Inhaber nachweisen. Sie werden häufig zur Authentifizierung von nicht-menschlichen Identitäten (NHIs) wie Websites, Servern, Anwendungen und KI-Agenten verwendet.  

Da sich NHI im Unternehmensnetzwerk immer weiter verbreiten – angetrieben durch DevOps, Cloud-Umgebungen, künstliche Intelligenz (KI) und maschinelles Lernen (ML) – werden Zertifikate zu einem immer wichtigeren Bestandteil des Identity und Access Managements (IAM).

Die rasante Zunahme von NHIs bedeutet jedoch auch eine explosionsartige Zunahme von Zertifikaten, die wie alle anderen digitalen Zugangsdaten vor Bedrohungsakteuren geschützt werden müssen.  

Zudem bringen Zertifikate eine zusätzliche Komplikation mit sich: Ablaufdaten. 

Zertifikate sind systembedingt nicht ewig gültig. Wenn eines abläuft, bevor sie verlängert werden kann, kommt es zu erheblichen Störungen, Dienstausfällen und Ausfallzeiten, die erhebliche Auswirkungen haben können. Kunden können möglicherweise nicht mehr auf eine Website zugreifen. Kritische Teile der Netzwerkinfrastruktur können ihren Betrieb einstellen. Zahlungsabwicklungsdienste können ausfallen. 

Die Zertifikatslebenszyklusverwaltung zielt darauf ab, Unternehmen Tools, Vorgehensweisen und Strategien bereitzustellen, um wichtige Zertifikats-Workflows zu vereinfachen, wie beispielsweise die Verfolgung des Zertifikatsstatus, die Zugriffskontrolle sowie die Erneuerung und den Widerruf von Zertifikaten. Auf diese Weise kann die CLM Zertifikatsbetrug, -diebstahl und -missbrauch eindämmen und gleichzeitig kostspielige, unerwartete Ausfälle verhindern. 

Die neuesten Tech-News – von Experten bestätigt

Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Was sind digitale Zertifikate?

Digitale Zertifikate – auch X.509-Zertifikate genannt, benannt nach dem X.509-Standard, der ihr Format definiert – sind elektronische Dokumente, die zur Überprüfung digitaler Identitäten dienen. Zertifikate werden hauptsächlich von nicht-menschlichen und maschinellen Identitäten wie Servern, Software, Computern und Endgeräten des Internets der Dinge (IoT) verwendet.

Zertifikate basieren auf einem Framework namens Public-Key-Infrastruktur (PKI), das asymmetrische Kryptografie nutzt, um die Identität von Entitäten zu überprüfen und die Kommunikation zwischen ihnen zu sichern.  

Genauer gesagt verwenden asymmetrische Kryptosysteme zwei verschiedene Schlüssel – einen öffentlichen und einen privaten Schlüssel –, um Daten zu verschlüsseln und zu entschlüsseln. Jeder kann einen öffentlichen Schlüssel zum Verschlüsseln von Daten verwenden. Allerdings können nur die Inhaber des entsprechenden privaten Schlüssels diese Daten entschlüsseln.

Digitale Zertifikate beweisen, dass ein bestimmter privater Schlüssel zu einer bestimmten Entität gehört, und der Besitz eines authentischen Zertifikats gilt häufig als Nachweis für die Identität dieser Entität.  

In gewisser Weise ähnelt ein Zertifikat der Eigentumsurkunde eines Hauses: Es hält fest, wem ein bestimmtes Objekt (der Schlüssel) gehört, und wenn jemand im Besitz der Urkunde ist, ist er höchstwahrscheinlich der rechtmäßige Eigentümer dieses Objekts.

Diese Analogie verdeutlicht jedoch auch die Grenzen von Zertifikaten und die Bedeutung ihrer Sicherung. Wenn ein Angreifer ein Zertifikat stiehlt, kann er sich als vertrauenswürdige Instanz ausgeben – und andere Nutzer könnten ihm Glauben schenken, was potenziell katastrophale Folgen haben kann.  

Angenommen, ein Bedrohungsakteur stiehlt oder fälscht eine Zertifikatskopie einer legitimen Website. Der Angreifer erstellt daraufhin eine betrügerische Kopie der Website, die Nutzerdaten stehlen soll. Da der Angreifer über ein scheinbar authentisches Zertifikat verfügt, halten Webbrowser seine Phishing-Seite für echt, und die Nutzer erhalten keine Warnung, dass es sich um eine Fälschung handelt. 

Um das Risiko zu verringern, dass sie in die falschen Hände geraten, sind die meisten Zertifikate nur für einen begrenzten Zeitraum gültig. Die Gültigkeitsdauer von Zertifikaten ist eineCybersicherheitsmaßnahme, ähnlich wie die regelmäßige Erneuerung von Zugangsdaten. Selbst wenn Angreifer ein gültiges Zertifikat in die Hände bekommen, ist dessen Nutzen begrenzt – sofern der eigentliche Eigentümer es nicht zuvor widerruft. 

Welche Informationen enthalten Zertifikate?

Ein Zertifikat umfasst typischerweise:

  • Der Betreff: Die Person, Maschine, Website oder sonstige Einheit, auf die sich das Zertifikat bezieht. Zertifikate können auch alternative Betreffnamen (SANs) enthalten, bei denen es sich um andere Namen handelt, für die die Nutzung des Zertifikats autorisiert ist. So kann das Zertifikat für eine Website beispielsweise auch alle Subdomains dieser Website enthalten.  
     

  • Der Aussteller: Die Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat.  
     

  • Die Gültigkeitsdauer: Ab wann das Zertifikat gültig ist und wann es abläuft.
     

  • Der öffentliche Schlüssel: Andere Nutzer – ob Menschen oder Maschinen – können diesen öffentlichen Schlüssel verwenden, um ihre Kommunikation mit dem Zertifikatsinhaber zu verschlüsseln. Da nur der Zertifikatsinhaber über den zugehörigen privaten Schlüssel verfügt, kann nur er diese Nachrichten entschlüsseln und deren Inhalt einsehen.
     

  • Die digitale Signatur der ausstellenden Zertifizierungsstelle: Diese Signatur bestätigt, dass das Zertifikat von einer legitimen Zertifizierungsstelle ausgestellt wurde, was in der Regel bedeutet, dass es vertrauenswürdig ist. 

Wie Zertifikate ausgestellt werden

Die meisten Zertifikate werden von einer Zertifizierungsstelle (CA) ausgestellt, einer vertrauenswürdigen dritten Partei, die die Identität der Antragsteller überprüft und ihnen vertrauenswürdige Zertifikate ausstellt.

Zertifizierungsstellen sind in der Regel Mitglieder des CA/Browser-Forums (CA/B-Forum), eines Konsortiums, das Standards für Zertifikate und Zertifizierungsstellen festlegt. Diese Zugehörigkeit und die Einhaltung der CA/B-Standards sind es, die einer Zertifizierungsstelle das Vertrauen anderer Unternehmen, Anwendungen und Nutzer sichern. 

Zu den bekannten CAs zählen die gemeinnützige Organisation Let’s Encrypt sowie private Unternehmen wie GlobalSign, DigiCert und Microsoft Active Directory Certificate Services.

Der Ausgabeprozess läuft wie folgt ab:

  1.  Die Entität, die ein Zertifikat benötigt („der Antragsteller“), generiert ein öffentlich-privates Schlüsselpaar.

  2. Der Antragsteller sendet eine Zertifikatssignierungsanforderung (CSR) an die von ihm gewählte Zertifizierungsstelle. Diese Anfrage enthält den öffentlichen Schlüssel des Antragstellers sowie die Informationen, die erforderlich sind, um die Identität des Antragstellers gegenüber der Zertifizierungsstelle nachzuweisen. Beispielsweise muss eine CSR für eine Website unter Umständen einen Nachweis enthalten, dass der Antragsteller Eigentümer der betreffenden Website ist. 

  3. Die Zertifizierungsstelle prüft den CSR, überprüft die Identität des Antragstellers und stellt ein Zertifikat aus. Das Zertifikat wird mit dem privaten Schlüssel der Zertifizierungsstelle kryptografisch signiert, um seine Echtheit zu bestätigen.

  4. Das Zertifikat wird dort installiert, wo es benötigt wird – auf einem Server, einem Gerät oder anderswo.

Im Grunde genommen sind Zertifikate ein Garantiesystem. Der Zertifikatsinhaber stellt der Zertifizierungsstelle die erforderlichen Nachweise zur Feststellung seiner digitalen Identität zur Verfügung. Die Zertifizierungsstelle bestätigt dies mit den Worten: Diese Identität ist legitim – und hier ist ein Schlüssel, damit andere sicher mit ihr kommunizieren können.Da der Zertifizierungsstelle vertrauenswürdig ist, gelten auch ihre Zertifikate als vertrauenswürdig.

Unternehmen können auch ihre eigenen selbstsignierten Zertifikate erstellen, doch diese haben außerhalb geschlossener Umgebungen, in denen sich alle Beteiligten bereits gegenseitig vertrauen, kaum Gewicht.

Arten von Zertifikaten

TLS/SSL-Zertifikate

Diese Zertifikate, die manchmal auch als SSL- oder TLS-Zertifikate bezeichnet werden, gehören zu den am häufigsten verwendeten Zertifikaten. Ihr Name leitet sich von zwei im Internet verwendeten kryptografischen Kommunikationsprotokollen ab: Transport Layer Security (TLS) und dem weitgehend veralteten Secure Sockets Layer (SSL).

TLS/SSL-Zertifikate authentifizieren Webserver und stellen Webbrowsern den öffentlichen Schlüssel des Servers zur Verfügung, wodurch sichere, verschlüsselte Verbindungen zwischen Servern und Clients ermöglicht werden. 

Es gibt drei Haupttypen:

  • Domain-validiert (DV): Überprüft lediglich die Eigentumsrechte an der Website. 

  • Vom Unternehmen verifiziert (OV): Überprüft sowohl die Inhaberschaft der Website als auch das dahinterstehende Unternehmen

  • Erweiterte Validierung (EV): Der strengste Typ, der eine manuelle Überprüfung durch eine Person erfordert. Wird in Branchen eingesetzt, die ein Höchstmaß an Vertrauen erfordern, wie beispielsweise im Finanz- und Bankwesen. 

E-Mail-Zertifikate 

Diese werden auch als S/MIME-Zertifikate bezeichnet (nach dem Standard „Secure/Multipurpose Internet Mail Extensions“) und ermöglichen die Identitätsprüfung sowie die verschlüsselte Kommunikation per E-Mail.

Zertifikate zur Codesignierung 

Diese überprüfen, ob ein Programm, eine Anwendung, ein Patch oder ein anderer Code authentisch ist und nicht manipuliert wurde. Sie funktionieren, indem sie den Code zum Zeitpunkt der Veröffentlichung mit einer digitalen Signatur versehen. Der Entwickler signiert den Code mit seinem privaten Schlüssel, und jeder Benutzer oder jedes System, das den Code ausführt, kann diese Signatur anhand des entsprechenden öffentlichen Schlüssels überprüfen. 

NS1 Connect

IBM NS1 Connect

Stärken Sie die Ausfallsicherheit Ihres Netzwerks mit IBM NS1 Connect. In diesem Video erläutern wir den Wert von IBM NS1 Connect für die Ausfallsicherheit und Leistung von Anwendungen.
Erkunden sie IBM NS1 connect

Der Zertifikatslebenszyklus

Zertifikat entdecken 

Die Zertifikatserkennung umfasst das Scannen eines Netzwerks sowie aller angeschlossenen Assets und der Infrastruktur, um alle aktiven Zertifikate zu ermitteln, die von Hardware, Software, virtuellen Maschinen und menschlichen Nutzern verwendet werden. 
Zertifikatsausstellung 

Die Ausstellung von Zertifikaten umfasst die sichere Anforderung und den Empfang neuer Zertifikate von einer Zertifizierungsstelle.
Zertifikatsbereitstellung 

Die Zertifikatsbereitstellung, die manchmal auch als „Bereitstellung“ bezeichnet wird, umfasst die Installation von Zertifikaten auf den entsprechenden Geräten, Anwendungen oder Diensten.
Zertifikatsüberwachung 

Die Zertifikatsüberwachung ist der Prozess der Nachverfolgung der Zertifikatsnutzung, um sicherzustellen, dass Zertifikate nur für den vorgesehenen Zweck von autorisierten Stellen mit den entsprechenden Berechtigungen verwendet werden. 
Verlängerung des Zertifikats 

Die Zertifikatserneuerung umfasst die Verlängerung oder Neuausstellung von Zertifikaten, deren Gültigkeit bald abläuft. 
Widerruf und Entsorgung von Zertifikaten 

Die Zertifikatswiderrufung ist die absichtliche Außerkraftsetzung eines Zertifikats vor dessen Ablaufdatum. Der Widerruf wird in der Regel ausgelöst, wenn ein Zertifikat kompromittiert wurde – beispielsweise wenn das Zertifikat oder der zugehörige private Schlüssel gestohlen wurde. 

Zertifikate werden auch widerrufen, wenn sie nicht mehr korrekt sind, beispielsweise nach einer Domainänderung. 

Wenn ein Zertifikatsinhaber sein Zertifikat widerrufen muss, fordert er die ausstellende Zertifizierungsstelle auf, dieses Zertifikat in eine Zertifikatssperrliste (CRL) aufzunehmen. Wie der Name schon sagt, handelt es sich bei einer CRL um eine Liste ungültiger Zertifikate. Wenn jemand oder etwas versucht, sich mit dem widerrufenen Zertifikat zu authentifizieren – sei es in böswilliger Absicht oder versehentlich –, erkennt die Gegenpartei das Zertifikat in der CRL und lehnt es ab.

Die Zertifikatsentsorgung ist die sichere Vernichtung von Zertifikaten, die abgelaufen sind oder nicht mehr benötigt werden, einschließlich aller zugehörigen Sicherungskopien oder Schlüssel. 

Tools für die Zertifikatslebenszyklusverwaltung

CLM-Tools, auch als Zertifikatsmanagement-Lösungen bekannt, tragen dazu bei, einen Großteil des Lebenszyklus der Zertifikatsverwaltung zu vereinfachen, zu sichern, zu optimieren und zu automatisieren. Tatsächlich sind viele zentrale Aspekte der Zertifikatsverwaltung – wie beispielsweise die Erfassung aller aktiven Zertifikate in einem Netzwerk und die Verlängerung von Zertifikaten vor deren Ablauf – ohne diese Tools praktisch unmöglich.

Zu den gängigen Funktionen von CLM-Tools gehören: 

  • Automatische Erfassung und Bestandsaufnahme aller Zertifikate unter Erfassung wichtiger Details wie Inhaber, Installationsort und Ablaufdatum. 

  • Dynamische Zertifikatserstellung auf Abruf für mehr Sicherheit und einen optimierten Zugriff auf Zertifikate.

  • Vollständig oder teilweise automatisierte CSR-Generierung, einschließlich der Möglichkeit, neue Schlüsselpaare zu erstellen, der sicheren Übertragung von CSR-Daten, der Integration in vertrauenswürdige Zertifizierungsstellen-Systeme sowie der Erstellung selbstsignierter Zertifikate.

  • Remote-Bereitstellung, sodass Zertifikate über ein einziges zentrales Bedienfeld direkt auf den entsprechenden Geräten und Diensten installiert werden können.

  • Überwachungs- und Konformitätsprotokolle zur Nachverfolgung der Nutzung und Gültigkeit von Zertifikaten, zur Erkennung bevorstehender Ablaufdaten und zur Identifizierung von Schwachstellen wie schwachen oder veralteten kryptografischen Standards.  

  • Benachrichtigungen über ablaufende Zertifikate und automatische Verlängerungen zur Vermeidung von Ausfällen.

Warum CLM wichtig ist

Nicht-menschliche Identitäten machen einen immer größeren Anteil des Unternehmensnetzwerks aus. Die Schätzungen variieren - von 45:1 bis 92:1 - wobei es in einem durchschnittlichen IT-System deutlich mehr Nichtmenschen als Menschen gibt.

Diese NHIs stützen sich bei der Authentifizierung und Zugriffskontrolle auf Zertifikate.Die manuelle Verwaltung all dieser Zertifikate ist nicht nur ineffizient, sondern auch nicht skalierbar.

Ohne einen formellen CLM-Prozess und die richtigen Tools können Zertifikate unter den Tisch fallen, wodurch Unternehmen allen möglichen Risiken ausgesetzt werden.

Ablauf von Zertifikaten, Diebstahl und Betrug 

Aus Sicherheitsgründen sind Zertifikate nur für kurze Zeit gültig – und diese Zeit wird immer kürzer. Im März 2029 treten neue Standards des CA/B-Forums in Kraft, wonach SSL/TLS-Zertifikate alle 47 Tage erneuert werden müssen. 

Wenn die Zertifikatsverlängerung manuell erfolgt, können Fristen leicht versäumt werden, was Ausfallzeiten verursacht und Sicherheitslücken verursacht. Abgelaufene Zertifikate können den Zugriff für berechtigte Benutzer beeinträchtigen und unberechtigten Benutzern Möglichkeiten eröffnen, beispielsweise gefälschte Zertifikate einzuschleusen oder „Fail-Open“-Verhaltensweisen auszunutzen. 

(In diesem Zusammenhang bedeutet „Failing Open“, dass das System den Datenverkehr weiterhin zulässt, wenn eine Überprüfung der Zertifikatsgültigkeit nicht durchgeführt werden kann, es sei denn oder bis die Ungültigkeit festgestellt wird. Viele Zertifikatssysteme arbeiten standardmäßig im „Fail-Open“-Modus, da es kostspielig sein kann, bei jeder einzelnen Verwendung eines Zertifikats eine CRL auszulesen oder andere Gültigkeitsprüfungen durchzuführen.

Die automatische Verlängerung ist somit ebenso sehr eine Sicherheitslösung wie eine betriebliche Lösung. CLM-Tools tragen dazu bei, die Betriebszeit sicherzustellen und gleichzeitig das Risiko zu mindern, dass Angreifer gültige Zertifikate stehlen oder missbrauchen können.  

Bestand und Observability

In DevOps-orientierten, hybriden und Multicloud-Umgebungen – in denen Zertifikate lokal, remote, vorübergehend und in cloudbasierten Infrastrukturen vorhanden sein können – kann es schwierig sein, den Überblick über alle Zertifikate eines Unternehmens zu behalten. 

CLM-Tools ermöglichen eine regelmäßige, umfassende Überprüfung auf neue und bestehende Zertifikate in allen Anwendungen, Diensten und der gesamten Infrastruktur. Diese Tools können zudem Bestandsverzeichnisse führen und eine kryptografische Stückliste (CBOM) erstellen, um Algorithmen, Schlüssel und Zertifikate zu katalogisieren. 

Ein vollständiges Zertifikatsinventar erfasst für jedes Zertifikat den Eigentümer, den Verwendungszweck, den Endpunkt, den Aussteller, den Verlängerungsweg, den Pfad der Bereitstellung sowie den potenziellen Schadensumfang für den Fall, dass das Zertifikat unerwartet ablaufen sollte.

Bereit für Quantentechnologie

Quantencomputing stellt einen neuen Anwendungsbereich für CLM dar. Mit dem Fortschritt der Quanteninformatik droht die Gefahr, dass herkömmliche Verschlüsselungsmethoden geknackt werden und das digitale Vertrauen untergraben wird. CLM-Tools können Unternehmen dabei unterstützen, auf quantenbedingte Veränderungen zu reagieren, indem sie neue Verschlüsselungsstandards zügig einführen und veraltete Zertifikate, die auf überholten Verschlüsselungsmethoden beruhen, umgehend widerrufen. 

Unternehmen beginnen damit, ihre Zertifikatslandschaften im Hinblick auf die Post-Quanten-Kryptografie zu planen, wobei sich die Lösungen nun auf quantensichere Public-Key-Infrastrukturen (PKI) sowie auf neue Algorithmen wie CRYSTALS-Kyber für die Schlüsselverschlüsselung und CRYSTALS-Dilithium sowie Falcon für digitale Signaturen konzentrieren.

Unternehmen müssen jedoch wissen, wo sich ihre Zertifikate befinden – und welche Verschlüsselung sie verwenden –, damit diese Umstellungen erfolgreich verlaufen. Ein einziges übersehenes Zertifikat kann Angreifern bereits ausreichen, um sich Zugang zu verschaffen. 

Durch umfassende Erfassung und Bestandsaufnahme sowie automatisierte Verlängerungen und Widerrufe können CLM-Tools und -Prozesse Unternehmen dabei unterstützen, sicherzustellen, dass Zertifikate den aktuellsten Standards für kryptografische Sicherheit entsprechen. 

Autor

Matthew Kosinski

Staff Editor

IBM Think

Erleben Sie IBM NS1 Connect in Aktion mit einer personalisierten Demo

IBM NS1 Connect bietet verwaltete autoritatives DNS und fortschrittliche Lösungen zur Datenverkehrssteuerung für eine verbesserte Anwendungsleistung und Resilienz.

Ressourcen

Top Strategic Technology Trends for 2025: Agentic AI

Laden Sie diese Gartner-Studie herunter, um mehr über die Chancen und Risiken agentischer KI für IT-Führungskräfte zu erfahren und wie Sie sich auf diese nächste Welle der KI-Innovation vorbereiten können.
KI zum Einsatz bringen: Mehr ROI dank generativer KI

Erkunden Sie die wichtigsten Rollen und Aufgaben, auf die Sie sich konzentrieren sollten, um KI-Ausgaben in KI-Wert umzuwandeln.
Was KI-Governance wirklich bedeutet. Und warum es wichtig ist

Erfahren Sie, wie Unternehmen KI-Governance angehen, von Richtlinien über die Aufsicht bis hin zur Infrastruktur, und warum dies für eine verantwortungsvolle Skalierung unerlässlich ist.
Was 2.000 Unternehmen derzeit mit KI machen

Erfahren Sie, wie echte Unternehmen KI in Branchen einsetzen und welche Infrastruktur sie dabei nutzen.
So bereiten Sie Ihre Daten auf die KI vor

In diesem Leitfaden werden die grundlegenden Schritte beschrieben, um Ihre Daten für die KI nutzbar zu machen, einschließlich der Art und Weise, wie sie durch Cloud-Systeme und Netzwerkebenen fließen.
Wie Unternehmen von KI-Ideen zur Umsetzung kommen

Dieser Bericht erläutert den Übergang von generativen KI-Experimenten zur Implementierung und was erfolgreiche Unternehmen anders machen.
Weiterführende Lösungen
IBM Cloud Pak for Network Automation 

IBM Cloud Pak for Network Automation ist ein Cloud Pak, das die Automatisierung und Orchestrierung von Netzwerkinfrastrukturbetrieben ermöglicht.

 Cloud Pak Automation erkunden
Netzwerklösungen

Cloud-Netzwerklösungen von IBM bieten eine leistungsstarke Konnektivität, um Ihre Apps und Ihr Unternehmen zu unterstützen.

 Cloud-Netzwerklösungen erkunden
Netzwerk-Support-Services

Konsolidieren Sie die Rechenzentrumsunterstützung mit IBM Technology Lifecycle Services für Cloud-Netzwerke und mehr.

 Cloud-Netzwerkdienste
Machen Sie den nächsten Schritt

Stärken Sie Ihr Unternehmen mit modernsten DNS-Management- und Cloud-Netzwerklösungen. Verbessern Sie die Zuverlässigkeit Ihrer Anwendungen und optimieren Sie die Netzwerkleistung mit den führenden Diensten von IBM.

  1. Cloud-Netzwerklösungen erkunden
  2. Managed DNS Services entdecken