von

Wissen

Praxis-Artikel rund um Microsoft ADCS – alle frei verfügbar. Architektur, Härtung, ESC-Angriffsvektoren, Auto-Enrollment, HSM, Migration und Post-Quantum.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Quick Health Check deiner ADCS-Umgebung. CA-Hierarchie-Redesign, BSI-/NIS2-Härtung, HSM-Integration, Migration und Algorithmenwechsel.

Zur Beratung
Fachbücher

Mein Fachbuch zu PKI und Zertifikaten in modernen Microsoft-Umgebungen – ADCS-Architektur, Härtung, Templates, S/MIME, TLS, Codesigning und 47-Tage-Migration. Kompromisslos praxisnah. In Vorbereitung!

Zu den Büchern
Tools

CertBinder erneuert TLS-Zertifikate atomar über IIS, Exchange, SharePoint, ADFS, SQL Server, RDS und LDAPS hinweg. SMimeManager rollt S/MIME-Zertifikate für Exchange Online/Server sauber aus. Beide on-premises, einmalige Lizenz.

Tools ansehen
Schulungen

Online-Workshops zu ADCS, Härtung, ESC-Angriffsvektoren, Templates, Migration und Post-Quantum – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen
Table of Contents
2
3

Wirtschaftlichkeit eigene PKI

Wann sich ADCS lohnt – und wann nicht

Wirtschaftlichkeit einer eigenen PKI – Kosten, Aufwand, Break-Even

Die ehrliche Antwort auf „Lohnt sich eine eigene PKI?“ lautet: ab etwa 100 bis 150 Zertifikaten pro Jahr fast immer, darunter selten. Die Lizenz für ADCS kostet nichts – es ist eine Server-Rolle, keine eigene SKU. Teuer ist nicht die Anschaffung, sondern der laufende Betrieb. Wer nur Lizenzkosten vergleicht, rechnet sich die Cloud-CA schön; wer den vollen TCO über drei Jahre betrachtet, sieht, dass sich eine eigene PKI bei stabilem Bedarf meist schon im zweiten Jahr amortisiert.

Abb. 1: Break-Even-Logik – ADCS hat hohe Fixkosten, aber kaum Stückkosten. Die öffentliche CA skaliert linear mit der Menge.

1. Warum die Lizenzfrage in die Irre führt

„ADCS ist kostenlos“ ist beliebt – und nur die halbe Wahrheit. Richtig ist: Die Rolle ist Teil von Windows Server und verursacht keine zusätzlichen Lizenzkosten. Falsch ist die stillschweigende Schlussfolgerung, eine eigene PKI sei deshalb umsonst. Eine CA ist ein Tier-0-System wie der Domänencontroller. Sie will betrieben, überwacht und gepflegt werden – und genau da liegt der Aufwand.

Die ganze Wirtschaftlichkeitsrechnung dreht sich um eine simple Asymmetrie: ADCS hat hohe einmalige Fixkosten und fast keine Stückkosten. Eine öffentliche CA hat keine Fixkosten, aber jedes Zertifikat kostet einzeln. Wo sich die beiden Kurven schneiden, liegt der Break-Even.

Info · Die richtige Frage

Nicht „Was kostet ADCS?“ ist die relevante Frage, sondern „Wie viele Zertifikate brauchen wir pro Jahr – und welcher Art?“ Bei einer Handvoll Public-TLS-Zertifikate gewinnt fast immer die öffentliche CA. Bei geräte- oder nutzergebundener Authentifizierung in dreistelliger Menge gewinnt fast immer ADCS. Die grundsätzliche Lösungsfrage klärt Spoke 1.1.

2. Die Kostenbestandteile einer eigenen PKI

Damit die Rechnung ehrlich bleibt, müssen alle Posten auf den Tisch – nicht nur die sichtbaren. Fünf Kategorien sind relevant:

Abb. 2: Die fünf Kostenblöcke. Der laufende Betrieb ist der am häufigsten unterschätzte Posten.

Kostenblock

Charakter

Größenordnung

Lizenz

Server-Rolle, keine SKU

null

Hardware

2–3 VMs, meist vorhanden

gering, oft sunk cost

HSM (optional)

einmalige Anschaffung

ca. 2.000–25.000 €

Einrichtung

einmalig, Personentage

10–15 PT im Mittelstand

Betrieb

laufend, dauerhaft

der eigentliche Posten

Der laufende Betrieb ist der Posten, den fast alle vergessen: CRL-Erneuerung, OCSP-Verfügbarkeit, Backup der CA-Datenbank, Monitoring auf ablaufende Zertifikate, Schlüssel-Lifecycle. Das ist keine große monatliche Rechnung, aber dauerhafte Sorgfalt. Wer sie nicht einplant, hat irgendwann eine abgelaufene CRL – und dann steht das WLAN. Wie eine hochverfügbare Veröffentlichung aussieht, zeigt Spoke

„OCSP-Responder und CRL-Hochverfügbarkeit“.

Warnung · Der versteckte Betriebsaufwand

Die häufigste Fehlkalkulation: „Die CA läuft ja von allein.“ Tut sie nicht. Eine vergessene CRL-Erneuerung legt im schlimmsten Fall die gesamte zertifikatsbasierte Authentifizierung lahm – WLAN, VPN, Smartcard-Logon. Wer den Betrieb nicht als festen Posten einplant, spart ein paar Personenstunden im Jahr und riskiert dafür einen kompletten Ausfall. Das ist kein guter Deal.

3. Break-Even rechnen – ein konkretes Beispiel

Theorie ist schön, eine Zahl ist besser. Nehmen wir ein realistisches Mittelstandsszenario: 800 Zertifikate pro Jahr für Geräte und Nutzer, stabiler Bedarf über drei Jahre.

Bei einer öffentlichen CA zahlst du jedes dieser 800 Zertifikate – und im Folgejahr wieder, weil sie erneuert werden müssen. Die Kosten sind in jedem Jahr gleich hoch und laufen einfach weiter.

Bei ADCS fällt der Großteil im ersten Jahr an (Einrichtung, evtl. HSM), danach nur noch der vergleichsweise geringe Betrieb. Die 800 Zertifikate kosten pro Stück effektiv nichts.

Abb. 3: Relatives 3-Jahres-Kostenbild bei 800 Zertifikaten/Jahr. ADCS zieht im ersten Jahr an, fällt dann steil ab.

Das Bild ist eindeutig: Im ersten Jahr ist ADCS teurer, weil die Einrichtung anfällt. Ab dem zweiten Jahr dreht sich das Verhältnis, weil bei der öffentlichen CA jedes Jahr die volle Stückkostensumme erneut anfällt – bei ADCS nur der Betrieb. Über drei Jahre summiert liegt ADCS in diesem Szenario deutlich günstiger. Und je länger der Betrachtungszeitraum, desto klarer.

Praxis-Tipp · Rechne mit 3 Jahren, nicht mit 1

Wer ADCS gegen eine Cloud-CA stellt und nur das erste Jahr betrachtet, sieht ADCS verlieren – die Einrichtung schlägt durch. Das ist methodisch falsch. Eine PKI ist eine Infrastruktur-Investition mit Jahren Lebensdauer. Rechne mindestens über drei, besser fünf Jahre. Dann verschwindet die Einrichtung im Rauschen und die Stückkosten der externen CA dominieren.

4. Die drei Faktoren, die deine Rechnung kippen können

Die Break-Even-Schwelle ist kein fixer Wert, sondern verschiebt sich mit drei Faktoren. Wer sie kennt, kann die eigene Rechnung realistisch einordnen statt mit Durchschnittswerten zu hantieren.

Faktor 1: Erneuerungszyklus

Je kürzer die Gültigkeit, desto öfter musst du erneuern – und bei der öffentlichen CA bedeutet jede Erneuerung neue Stückkosten. Mit den kommenden kürzeren TLS-Laufzeiten (Richtung 47 Tage bis 2029) vervielfacht sich die Zahl der Ausstellungen. Das verschiebt den Break-Even drastisch zugunsten automatisierter Eigenausstellung. Was da auf jede PKI zukommt, beschreibt Spoke

„47-Tage-TLS in der Praxis“.

Faktor 2: Automatisierungsgrad

Manuell verwaltete Zertifikate kosten Personalzeit – egal von welcher CA. Der eigentliche Hebel von ADCS ist nicht der Stückpreis null, sondern das Auto-Enrollment: Geräte und Nutzer holen sich Zertifikate selbst, ohne Ticket, ohne Klick. Diese eingesparte Personalzeit gehört in jede ehrliche Wirtschaftlichkeitsrechnung. Wie das technisch läuft, zeigt der Auto-Enrollment-Spoke.

Faktor 3: Compliance-Anforderungen

Brauchst du HSM-gestützte Schlüssel, Audit-Logging und dokumentierte Prozesse (NIS2, BSI, eIDAS), steigen die Einrichtungs- und Betriebskosten auf beiden Seiten. Bei der öffentlichen CA zahlst du Aufpreise für qualifizierte Dienste; bei ADCS investierst du einmalig in HSM und Härtung. Auch hier gilt: Über die Laufzeit gerechnet ist die Eigeninvestition meist günstiger, sobald die Menge stimmt.

 

5. Wann sich die eigene PKI trotzdem nicht lohnt

Damit es ehrlich bleibt: Es gibt klare Fälle, in denen eine eigene PKI Unsinn ist.

  • Wenige Public-TLS-Zertifikate: Eine Handvoll Webserver-Zertifikate holst du dir günstiger und einfacher über Let’s Encrypt oder eine kommerzielle CA.
  • Kein Inhouse-Know-how und keine Bereitschaft, welches aufzubauen: Eine PKI ohne Betreuung ist gefährlicher als gar keine. Dann ist eine verwaltete Cloud-Lösung die ehrlichere Wahl.
  • Reine Intune-Geräteszenarien: Wer ausschließlich Intune-Gerätezertifikate braucht, kann mit Microsoft Cloud PKI günstiger fahren – mehr dazu in der Entscheidungsmatrix.

    • Diese Cloud-vs-On-Prem-Abwägung im Detail – inklusive Datenhoheit und Vendor-Lock-in – behandelt Spoke „Cloud-PKI vs. On-Prem ADCS“. Hinweis zur Einordnung: Ein dauerhafter, vollständig ausgelagerter Managed-Service ist hier bewusst nicht das Angebot – die Wirtschaftlichkeitsrechnung zielt auf den Eigenbetrieb mit punktueller Unterstützung.

    Praxis-Beispiel: Sparfuchs & Partner Steuerberatungs GmbH

    Die Sparfuchs & Partner Steuerberatungs GmbH, ein kleiner Dienstleister mit unter 100 Mitarbeitern, geringem Budget, aber hohen Compliance-Anforderungen, war der klassische Grenzfall. Die Geschäftsführung wollte „auf keinen Fall ein teures System“, brauchte aber S/MIME für die gesamte Mandantenkommunikation und Computer-Zertifikate für die VPN-Anbindung der Homeoffice-Arbeitsplätze.

    Die Rechnung war schnell klar: Bei rund 90 Mitarbeitern mit S/MIME plus Geräte- und VPN-Zertifikaten lag der jährliche Bedarf deutlich über der Break-Even-Schwelle. Eine schlanke zweistufige ADCS-Umgebung – ohne teures HSM, mit Software-Schlüsseln und sorgfältiger Härtung – war über drei Jahre gerechnet klar günstiger als gekaufte Zertifikate. Entscheidend war, den Betrieb realistisch einzuplanen: ein definierter Wartungsrhythmus statt „läuft schon“.

    Verwandte Themen

  • Pillar: Active Directory Certificate Services – der komplette Leitfaden
  • Schwester-Spoke: ADCS vs. öffentliche CAs – wann welche Lösung sinnvoll ist
  • Schwester-Spoke: Cloud-PKI vs. On-Prem ADCS – die ehrliche Entscheidungsmatrix
  • Schwester-Spoke: HSM-Auswahl für ADCS – Thales, Utimaco, YubiHSM im Vergleich

    • Häufige Fragen (FAQ)

    Ab wie vielen Zertifikaten lohnt sich eine eigene PKI?

    Grob ab 100 bis 150 Zertifikaten pro Jahr, oder sobald du geräte- bzw. nutzergebundene Authentifizierung brauchst. Darunter ist eine öffentliche CA meist günstiger. Die genaue Schwelle hängt von den Stückpreisen deines Anbieters und deinem Betriebsaufwand ab, aber die Größenordnung stimmt.

    Stimmt es, dass ADCS kostenlos ist?

    Die Lizenz ja – ADCS ist eine Rolle in Windows Server, keine separate SKU. Nicht kostenlos sind Hardware, optionales HSM, die einmalige Einrichtung und vor allem der laufende Betrieb. Wer „kostenlos“ mit „aufwandsfrei“ verwechselt, kalkuliert falsch.

    Was ist der größte versteckte Kostenfaktor?

    Der laufende Betrieb: CRL-Erneuerung, OCSP-Verfügbarkeit, Backup, Monitoring und Schlüssel-Lifecycle. Das ist kein großer Geldposten, aber dauerhafte Sorgfalt. Wird er ignoriert, drohen Ausfälle, die teurer sind als jede gekaufte Zertifikatsmenge.

    Brauche ich ein HSM, und was kostet das?

    Nicht zwingend, aber empfehlenswert für die Root, sobald Compliance-Anforderungen im Spiel sind. Ein YubiHSM 2 liegt im niedrigen vierstelligen Bereich, Thales- oder Utimaco-Geräte deutlich höher. Für kleine Umgebungen sind Software-Schlüssel mit guter Härtung oft vertretbar.

    Über welchen Zeitraum sollte ich die Kosten vergleichen?

    Mindestens drei, besser fünf Jahre. Eine PKI ist eine Infrastruktur-Investition mit langer Lebensdauer. Ein Ein-Jahres-Vergleich benachteiligt ADCS systematisch, weil die einmalige Einrichtung voll durchschlägt und die wiederkehrenden Stückkosten der externen CA noch nicht sichtbar werden.

    Lohnt sich ADCS auch für kleine Unternehmen?

    Es kommt auf den Bedarf an, nicht auf die Mitarbeiterzahl. Ein kleiner Dienstleister mit hohem S/MIME- und Gerätezertifikatsbedarf kann sehr wohl über der Break-Even-Schwelle liegen. Entscheidend ist eine schlanke Architektur ohne teures HSM und ein realistisch eingeplanter Betrieb.

    Nächste Schritte mit boddenberg.de

    Wenn du eine belastbare Zahl statt eines Bauchgefühls brauchst, lohnt sich eine kurze, fokussierte Bestandsaufnahme deines tatsächlichen Zertifikatsbedarfs und der bestehenden Kosten.

  • ADCS-Health-Check · Standortbestimmung der bestehenden PKI – Architektur, Härtung, Audit-Readiness, plus realistische Bedarfsabschätzung.
  • Architektur- oder Redesign-Workshop · vom Ist-Zustand zur wirtschaftlich sinnvollen Zielarchitektur – schlank, wo es geht, robust, wo es muss.
  • Implementierungs- oder Migrationsbegleitung · Beratung und technische Unterstützung beim Aufbau einer kosteneffizienten eigenen PKI.

    • Kontakt: Uli Boddenberg · boddenberg.de · Dortmund