Digitale Zertifikate: Nur 34% der Unternehmen haben Kontrolle – Studie warnt vor Ausfällen

Nur 34 Prozent der Unternehmen weltweit haben einen vollständigen Überblick über ihre digitalen Zertifikate. Das geht aus einer aktuellen Untersuchung von DigiCert und Omdia hervor, die Anfang Juni 2026 veröffentlicht wurde. Die Mehrheit der Organisationen läuft damit Gefahr, unerwartete Ausfälle oder Sicherheitsverletzungen zu erleiden.

Ausfälle durch abgelaufene Zertifikate sind die größte Sorge

Der Mangel an zentraler Kontrolle bereitet IT-Verantwortlichen zunehmend Kopfzerbrechen. 74 Prozent der befragten Unternehmen zeigen sich tief besorgt über mögliche Service-Unterbrechungen durch abgelaufene Zertifikate. Genauso viele nennen das unkontrollierte Wachstum digitaler Identitäten – das sogenannte „Certificate Sprawl" – als operative Herausforderung.

Anzeige: Wer die Kontrolle über seine digitalen Zertifikate verloren hat, riskiert nicht nur Sicherheitslücken, sondern konkrete Serviceausfälle – wie das Microsoft-KEK-Zertifikat zeigt, das am 27. Juni 2026 ausläuft. Dieser Report liefert eine Schritt-für-Schritt-Checkliste, um Ihren Bestand in 3 Schritten zu erfassen und Renewal-Prozesse zu automatisieren. Jetzt kostenlosen Report anfordern

Die Studie befragte große Organisationen mit mehr als 1.000 Mitarbeitern in Nordamerika, Europa und dem asiatisch-pazifischen Raum. Dabei zeigte sich: Manuelle Prozesse bleiben ein erhebliches Problem. Rund 51 Prozent der Unternehmen kämpfen mit isolierten Tools, 47 Prozent verlassen sich sogar noch auf Tabellenkalkulationen zur Verwaltung ihrer digitalen Vertrauensanlagen.

Die Zahl der Zertifikate steigt rasant – angetrieben durch Cloud-Dienste, das Internet der Dinge (IoT) und Zero-Trust-Sicherheitsarchitekturen. Hinzu kommt: TLS-Zertifikate haben immer kürzere Laufzeiten, was die IT-Abteilungen unter zusätzlichen Renewal-Druck setzt.

Microsoft-Zertifikat läuft Ende Juni aus – Systeme in Gefahr

Ein konkretes Datum rückt nun in den Fokus: Am 27. Juni 2026 läuft das Microsoft KEK CA 2011-Zertifikat ab. Betroffen sind nahezu alle Windows-Geräte, die seit 2012 produziert wurden – mit Ausnahme neuerer Spezialhardware. Experten warnen: Wer seine Systeme nicht rechtzeitig auf neuere Zertifikate aus dem Jahr 2023 umstellt, riskiert, dass die DBX-Datenbank (die Liste gesperrter Signaturen) nicht mehr aktualisiert werden kann.

Die Folge: Systeme wären nicht mehr gegen Bootkit-Angriffe wie BlackLotus oder BootHole geschützt. Das Problem betrifft nicht nur Windows-PCs, sondern auch Linux-Systeme mit dem Shim-Bootloader sowie virtuelle Maschinen auf verschiedenen Hypervisoren. Viele ältere Systeme, die sich dem Ende ihres Lebenszyklus nähern, erhalten möglicherweise keine BIOS-Updates mehr. Und Standard-Management-Tools können den Status dieses speziellen Zertifikats oft gar nicht melden.

PKI-Modernisierung: 80 Prozent der Firmen planen Umbau

Die Verwundbarkeit hat Konsequenzen: 80 Prozent der befragten Organisationen planen oder implementieren bereits eine Modernisierung ihrer Public-Key-Infrastruktur (PKI). Wer den Schritt schon gegangen ist, profitiert: 64 Prozent berichten von besserer Lebenszyklus-Automatisierung, 60 Prozent von weniger Serviceausfällen.

Die Modernisierung ist eng mit Zukunftstechnologien verknüpft. Zwischen 72 und 75 Prozent der Befragten glauben, dass PKI eine Schlüsselrolle bei der Sicherung von Künstlicher Intelligenz (KI) spielen wird. Doch bei der Vorbereitung auf künftige kryptografische Herausforderungen klafft eine Lücke: Nur 22 Prozent der Organisationen haben ihre Systeme auf Risiken durch Quantencomputer geprüft – trotz des wachsenden Fokus auf Post-Quanten-Kryptografie (PQC).

Auf einer großen Entwicklerkonferenz am 3. Juni 2026 kündigte Microsoft weitere Schritte zur Härtung der Infrastruktur an. Der Konzern will den PQC-Support im Windows-TLS-Stack und in verschiedenen APIs ausbauen. Die nächste Version von Windows Server soll zudem die Unterstützung für NTLM einstellen und auf sicherere Authentifizierungsprotokolle setzen. Strengere Treiber-Zertifizierungsprozesse werden ebenfalls eingeführt: Künftig sind WHCP-Signaturen Pflicht, Cross-Signing von Root-Zertifikaten wird eingestellt.

Anzeige: 80 Prozent der Unternehmen planen bereits eine PKI-Modernisierung – wer jetzt nicht handelt, bleibt mit manuellen Tabellen und isolierten Tools zurück. Der Report zeigt, wie Sie Ihre Public-Key-Infrastruktur ohne Ausfallrisiko umbauen und gleichzeitig die Lebenszyklus-Automatisierung verbessern. PKI-Modernisierungs-Leitfaden jetzt sichern

Angriffe auf Netzwerk-Geräte nehmen zu

Die Folgen mangelhaften Zertifikatsmanagements zeigen sich bereits in aktuellen Exploit-Trends. Sicherheitsforscher berichteten am 1. Juni 2026, dass Edge-Geräte zum bevorzugten Ziel von Angreifern geworden sind. Eine kritische Sicherheitslücke – CVE-2026-0257 – wurde in Palo Alto Networks' GlobalProtect VPN entdeckt. Sie ermöglicht einen Authentifizierungs-Bypass durch manipulierte Cookies.

Der Exploit erfordert eine Konfiguration, bei der zertifikatsbasierte Authentifizierung zusammen mit „Authentication Override" verwendet wird. Behörden und Sicherheitsfirmen beobachten seit Mai 2026 aktive Angriffe auf diese und andere Zero-Day-Lücken in Edge-Produkten. Die Vorfälle zeigen: Edge-Geräte sind für Unternehmen oft ein blinder Fleck im Monitoring – besonders wenn Zertifikatskonfigurationen nicht streng verwaltet werden.

de | wirtschaft | 69476629 |