Ein abgelaufenes Zertifikat klingt nach einem technischen Randproblem. In Wirklichkeit ist es ein Governance-Versagen, mit messbaren finanziellen Folgen. Und ab 2029 wird dieses Problem für jedes Unternehmen ohne automatisiertes Zertifikatsmanagement strukturell unlösbar.
Digitale Zertifikate sind die Ausweise der digitalen Welt. Sie authentifizieren Server und Dienste (TLS/SSL), signieren Code und Dokumente, schützen E-Mail-Kommunikation (S/MIME), sichern VPN-Verbindungen und identifizieren IoT-Geräte im Netzwerk. Ohne gültige Zertifikate können kritische Systeme nicht kommunizieren, Nutzer nicht authentifiziert werden, Transaktionen nicht stattfinden. Das Besondere: Abgelaufene Zertifikate kündigen sich nicht aktiv an. Es gibt keinen Alarm, keine Warnung im Dashboard, keine automatische Eskalation, außer in Organisationen, die aktiv dafür gesorgt haben. In allen anderen: stiller Ausfall. Und dieser Ausfall trifft nicht nur den Betrieb, sondern löst, je nach Kontext, auch Haftungsfragen aus.
International tätige Industrieunternehmen verwalten typischerweise mehrere hundert bis tausende Zertifikate über verschiedene Plattformen, Organisationseinheiten und Standorte. In der Mehrheit der Fälle geschieht das überwiegend manuell, ohne zentrale Übersicht, mit unklaren Verantwortlichkeiten und ohne systematisches Monitoring.
Der CA/Browser-Forum-Beschluss: Die Zeitbombe, die bereits läuft
Im April 2025 fasste das CA/Browser Forum, der Zusammenschluss von Zertifizierungsstellen und Browser-Anbietern, dem Apple, Google, Mozilla, Microsoft und DigiCert angehören, einen Beschluss, der die IT-Sicherheitslandschaft fundamental verändert: Die maximale Gültigkeitsdauer öffentlich vertrauenswürdiger TLS/SSL-Zertifikate wird bis März 2029 schrittweise von 398 auf 47 Tage reduziert. Gleichzeitig wird die Wiederverwendbarkeit von Domain-Validierungen auf zehn Tage begrenzt.
– Bis 14. März 2026: max. 398 Tage — heutiger Status quo
– Ab 15. März 2026: max. 200 Tage — erste Verkürzung in Kraft
– Ab 15. März 2027: max. 100 Tage — manuelle Prozesse werden kritisch
– Ab 15. März 2029: max. 47 Tage — Vollautomatisierung zwingend erforderlich
Ein Unternehmen, das heute 500 Zertifikate manuell jährlich erneuert, muss ab 2029 jedes Zertifikat achtmal pro Jahr erneuern. Das entspricht 4.000 Erneuerungsvorgängen pro Jahr. Jeder Vorgang umfasst Validierungsschritte, Tests und Deployment. Kein IT-Team kann das manuell bewältigen. Die erste Stufe der Verkürzung auf 200 Tage ist seit März 2026 bereits in Kraft. Unternehmen, die bis 2027 keine Automatisierungsstrategie implementiert haben, riskieren ihren ersten ungeplanten Zertifikatsausfall. Das ist keine Prognose, es ist ein Rechenbeispiel.
Certificate Lifecycle Management (CLM) ist die systematische Verwaltung digitaler Zertifikate über ihren gesamten Lebenszyklus: Ausstellung, Erneuerung, Widerruf, Inventarisierung. Es ist kein Nischenthema für Sicherheitsspezialisten mehr, es ist eine Governance-Anforderung, die direkt aus NIS2 §30 Nr. 8 („Kryptographie und Verschlüsselung“) folgt.
Reifes CLM ist auf drei Ebenen strukturiert: Strategisch werden Governance-Modell, Encryption Policy und Verantwortlichkeiten definiert. Taktisch werden CA-Hierarchie, Zertifikatsklassen und Ausstellungsprozesse festgelegt. Operativ erfolgt die Automatisierung: Discovery aller Zertifikate, automatisierte Erneuerung über den ACME-Standard, kontinuierliches Monitoring und integriertes Incident Handling.
Der ACME-Standard (Automated Certificate Management Environment) ist das industriell anerkannte Protokoll für automatisierte Zertifikatsausstellung und -erneuerung. Er wird von allen führenden Certificate Authorities unterstützt und ist die technische Voraussetzung, um die 47-Tage-Anforderungen ab 2029 bewältigen zu können.
Was die Herausforderung im Zertifikatsmanagement besonders dringlich macht, ist die Konvergenz mehrerer Entwicklungen: Die Laufzeitenverkürzung durch das CA/Browser Forum erhöht den operativen Druck exponentiell. NIS2 §30 Nr. 8 schafft eine regulatorische Nachweispflicht für kryptographische Prozesse. DORA (Digital Operational Resilience Act) stellt spezifische Anforderungen an die digitale Betriebsresilienz im Finanzsektor. Und eIDAS 2.0 schärft die Anforderungen an qualifizierte elektronische Signaturen und Vertrauensdienste. Organisationen, die diese Anforderungen als Einzelprobleme behandeln, werden strukturell überfordert sein. Nur eine integrierte, hochautomatisierte Trust-Infrastruktur, die alle digitalen Identitäten ganzheitlich abdeckt, ist langfristig tragfähig.
Die Verkürzung auf 47 Tage ist beschlossen. Der Zeitplan ist veröffentlicht. Die regulatorischen Anforderungen sind in Kraft. Was jetzt fehlt, ist in vielen Unternehmen die organisatorische Reaktion: ein vollständiges Inventar, eine klare Governance-Struktur und ein Automatisierungsplan mit realistischem Zeithorizont. CLM-Projekte von der Discovery bis zur voll automatisierten Erneuerung dauern typischerweise sechs bis zwölf Monate. Wer 2027 noch manuell arbeitet, hat den Puffer bereits aufgebraucht. Der richtige Zeitpunkt zu handeln war gestern. Der nächstbeste ist heute.