Public-Key-Infrastruktur-Beratung
Wir entwerfen PKI-Architekturen, die IT- und OT-Umgebungen zuverlässig absichern und automatisiertes Zertifikatsmanagement ermöglichen. Manuelle Prozesse werden in eine skalierbare, zukunftssichere Infrastruktur überführt.
Ihre Zertifikatsinfrastruktur ist nicht für moderne IT/OT-Konvergenz gerüstet
Über zwei Jahrzehnte hinweg hat Ihre Organisation Zertifizierungsstellen, Enrollment-Prozesse und Management-Workflows angesammelt. Die IT verfolgt einen PKI-Ansatz, die OT einen anderen, und Cloud-Services bringen eigene Mechanismen mit. Das Ergebnis ist eine fragmentierte Infrastruktur, die weder automatisiertes Zertifikatsmanagement noch Compliance-Anforderungen oder die Skalierbarkeit moderner Umgebungen zuverlässig unterstützt.
Manuelles Zertifikatsmanagement skaliert nicht
Die meisten Industrieunternehmen verfügen über eine PKI-Infrastruktur – aber nicht über eine durchdachte PKI-Architektur. Zertifikate wurden nach Bedarf ergänzt: eine CA für Webserver, eine weitere für VPNs, vielleicht eine dritte für selbstsignierte OT-Geräte. Jede mit eigenen Enrollment-Prozessen, Erneuerungsworkflows und Management-Tools. Das funktioniert, bis Skalierung, Automatisierung und Compliance-Anforderungen die strukturellen Schwächen offenlegen.
Zertifikatsausfälle durch manuelle Erneuerungsprozesse. Zertifikate laufen ab, weil niemand rechtzeitig an die Erneuerung gedacht hat. Oder weil der Erneuerungsprozess nicht dokumentiert war. Oder weil die Person, die wusste, wie es funktioniert, das Unternehmen verlassen hat. Jedes abgelaufene Zertifikat ist ein potenzieller Ausfall – ob Web-Services, VPN-Zugänge oder Produktionscontroller. Die geschäftlichen Auswirkungen reichen von geringfügigen Störungen bis hin zum Produktionsstillstand.
Fragmentierte CA-Infrastruktur ohne konsistente Governance. Mehrere Root-CAs, uneinheitliche Sub-CA-Hierarchien, unterschiedliche Zertifikatsrichtlinien und kein einheitliches Trust-Modell. In OT-Umgebungen erstellen Ingenieure häufig selbstsignierte Zertifikate für schnelle Inbetriebnahmen – umgehen damit die PKI vollständig und schaffen massive Probleme im Vertrauens- und Identitätsmanagement.
Compliance-Anforderungen verlangen dokumentierte PKI-Governance. IEC 62443 fordert ein strukturiertes Maschinenidentitätsmanagement. NIS2 verlangt kryptografische Schutzmaßnahmen. Zero-Trust-Ansätze setzen auf zertifikatsbasierte Authentifizierung. Doch Compliance bedeutet nicht nur „Zertifikate zu haben“ – erforderlich sind dokumentierte Zertifikatsrichtlinien, Certificate Policy (CP), Certification Practice Statements (CPS), Schlüsselmanagement-Prozesse und nachvollziehbare Audit-Trails.
Das Ergebnis: Die PKI wird zum Bremsklotz für Sicherheitsinitiativen statt zu deren Enabler. Automatisiertes Zertifikatsmanagement ist ohne konsistente Enrollment-Infrastruktur nicht möglich. Zero Trust scheitert ohne einheitliche Identitätsarchitektur. Compliance lässt sich ohne dokumentierte Governance nicht nachweisen.
Vom Zertifikatschaos zur kontrollierten Infrastruktur
BxC bietet PKI-Beratung speziell für Organisationen, die sich in der IT/OT-Konvergenz befinden. Wir entwerfen PKI-Architekturen, die sowohl moderne IT-Anforderungen als auch die besonderen Rahmenbedingungen von OT-Umgebungen berücksichtigen – und unterstützen Sie bei der Umsetzung, ohne bestehende Systeme zu beeinträchtigen.
Strategisches PKI-Architekturdesign
Wir entwerfen Zertifizierungsstellen-Hierarchien, Trust-Modelle und Governance-Strukturen, die zu Ihrer konkreten Umgebung passen. Keine theoretischen PKI-Lehrbuchkonzepte, sondern praxisnahe Architekturen, die bestehende Infrastruktur, organisatorische Strukturen, Compliance-Anforderungen und operative Rahmenbedingungen berücksichtigen.
Hybride IT/OT-PKI-Expertise
Industrieunternehmen benötigen eine PKI, die IT- und OT-Umgebungen gleichermaßen abdeckt. Wir konzipieren einheitliche PKI-Architekturen, die Webserver und SPSen, Domain Controller und SCADA-Systeme, Cloud-Services und Industrial IoT unterstützen – unterschiedliche Sicherheitsanforderungen, unterschiedliche Enrollment-Fähigkeiten, eine gemeinsame Vertrauensbasis.
Brownfield-PKI-Migration und -Modernisierung
Eine bestehende PKI lässt sich nicht einfach ersetzen – zu viele Abhängigkeiten, zu hohes Betriebsrisiko. Wir entwickeln inkrementelle Migrationsstrategien, die den Übergang von Legacy- zu moderner PKI ermöglichen: neue Sub-CAs werden etabliert, während bestehende CAs weiterbetrieben werden. Vertrauen bleibt während der gesamten Transition erhalten.
Implementierungsplanung und -koordination
PKI-Implementierungen betreffen viele Beteiligte: IT-Betrieb, OT-Engineering, Security, Applikationsverantwortliche und Netzwerkteams. Wir übernehmen Projektkoordination, liefern technische Leitplanken und begleiten die Umsetzung, damit auch komplexe PKI-Rollouts planbar, stabil und termingerecht erfolgen.
BxC bietet drei sich ergänzende PKI-Services
- PKI Beratung (diese Leistung) – Strategisches PKI-Design, Architektur und Implementierungsplanung. Sie betreiben die PKI selbst – wir konzipieren sie und unterstützen beim Aufbau.
- PKI Managed Service – Wir übernehmen den operativen Betrieb Ihrer PKI als Service: Zertifikatsausstellung, CA-Betrieb, Monitoring und Compliance-Reporting.
Die meisten Kunden starten mit PKI Beratung, um eine belastbare Strategie und Architektur zu etablieren. Anschließend entscheiden sie sich entweder für den Eigenbetrieb oder den PKI Managed Service und ergänzen diesen durch CERIAL/IDIAL zur durchgängigen Automatisierung.
Drei Phasen vom Assessment zur operative PKI
1. PKI-Assessment und Strategie
Wir analysieren Ihre bestehende Zertifikatsinfrastruktur umfassend: Inventarisierung und Analyse der CA-Hierarchien, Nutzung und Verteilung von Zertifikaten, Enrollment-Prozesse und Lifecycle-Management, Schlüsselmanagement und HSM-Infrastruktur, Vertrauensbeziehungen und Abhängigkeiten sowie Compliance-Lücken gegenüber IEC 62443- und NIS2-Anforderungen.
2. PKI-Architekturdesign und Migrationsplanung
Auf Basis der Assessment-Ergebnisse entwickeln wir eine ganzheitliche PKI-Architektur: CA-Hierarchien passend zu Ihren Use Cases, Certificate Policy (CP) und Certification Practice Statement (CPS), ein durchgängiges Trust-Modell über IT- und OT-Grenzen hinweg, Integration geeigneter Enrollment-Protokolle, definierte Zertifikats-Lifecycle-Prozesse sowie eine Migrationsstrategie von Legacy- zu moderner PKI.
3. Implementierung und Transition
Wir koordinieren die Umsetzung und Migration Ihrer PKI end-to-end: Projektmanagement und Stakeholder-Koordination, enge Zusammenarbeit mit Ihren IT-/OT-Teams und PKI-Anbietern, phasenweise Bereitstellung mit minimaler Betriebsbeeinträchtigung, Migration von Legacy- zu moderner PKI mittels Cross-Signing und Parallelbetrieb, umfassende Tests und Validierung sowie Dokumentation und Wissenstransfer.
Für Kunden, die nach der Umsetzung einen operativen PKI-Betrieb benötigen, bieten wir den PKI Lifecycle Service als nahtlose Fortsetzung an.
PKI-Modernisierung für globale Fertigung
Ein weltweit tätiges Industrieunternehmen betrieb eine fragmentierte PKI-Infrastruktur über mehrere Geschäftsbereiche hinweg: drei separate Root-CAs, über einen Zeitraum von mehr als 15 Jahren aufgebaut, uneinheitliche Sub-CA-Architekturen, fehlende zentrale Governance und zunehmender Compliance-Druck durch IEC-62443-Anforderungen.
Die Herausforderung: Entwicklung einer einheitlichen PKI-Architektur, die die bestehende Vertrauensinfrastruktur konsolidiert, ohne tausende abhängige Systeme in Produktionsstätten weltweit zu beeinträchtigen.
BxC führte ein umfassendes PKI-Assessment durch, entwarf eine konsolidierte CA-Hierarchie mit klarer Trennung von IT- und OT-Bereichen, entwickelte Zertifikatsrichtlinien im Einklang mit IEC 62443 und erstellte einen phasenweisen Migrationsplan über 18 Monate.
Das Ergebnis: Eine einheitliche Root of Trust, die die fragmentierte Infrastruktur ersetzt, dedizierte Sub-CAs für IT-, OT- und IIoT-Systeme, dokumentierte Governance zur nachweisbaren Compliance-Erfüllung sowie eine belastbare Grundlage für zertifikatsbasierte Automatisierung mit CERIAL.
Das ist die Komplexität, in der wir arbeiten: Mehrere Legacy-Root-CAs. Globale Koordination. Regulatorischer Druck. Null Toleranz für Betriebsunterbrechungen. Strategische PKI-Architektur, die Restriktionen in echte Fähigkeiten verwandelt.
PKI-Architektur für Sicherheit, Skalierbarkeit und Governance
Moderne Sicherheitsarchitekturen basieren auf PKI: zertifikatsbasierte Authentifizierung, Mutual TLS und eindeutige Geräteidentitäten. Ohne eine sauber konzipierte PKI-Infrastruktur bleiben diese Konzepte theoretisch. Das PKI-Beratung von BxC etabliert die Vertrauensbasis, die fortgeschrittene Sicherheitskontrollen erst praktikabel macht.
Manuelles Zertifikatsmanagement skaliert nicht. CERIAL und IDIAL liefern die Automatisierung – benötigen dafür jedoch eine passende PKI-Grundlage. Unser PKI-Beratung entwirft die erforderlichen Enrollment-Protokolle, CA-Integrationspunkte und Governance-Strukturen, um automatisiertes Zertifikatsmanagement über tausende Geräte hinweg zuverlässig umzusetzen.
Ihre PKI muss Webserver und SPSen, Domain Controller und SCADA-Systeme, Cloud-Services und Industrial IoT gleichermaßen unterstützen. Wir entwerfen hybride PKI-Architekturen, die IT- und OT-Sicherheitsanforderungen miteinander verbinden – und so Konvergenz ermöglichen, ohne die spezifischen Bedürfnisse der jeweiligen Umgebung zu kompromittieren.
IEC 62443 fordert ein strukturiertes Maschinenidentitätsmanagement. NIS2 verlangt kryptografische Schutzmaßnahmen. Auditoren erwarten dokumentierte Zertifikatsrichtlinien und Certification Practice Statements (CPS). Das PKI-Beratung von BxC liefert die Architektur, Policies und Prozesse, die regulatorische Anforderungen erfüllen und eine belastbare Audit-Validierung ermöglichen.
Unsere PKI-Beratung schafft die architektonische Grundlage für ganzheitliches Zertifikatsmanagement – die Infrastruktur, auf der moderne Sicherheitsinitiativen aufbauen.
PKI Beratung schafft Infrastruktur und Governance. Ergänzen Sie dies durch:
- CERIAL für automatisierten Zertifikatslebenszyklus in IT-Umgebungen
- IDIAL für OT-Geräte-Zertifikatsautomatisierung via OPC UA GDS Push
- PKI Managed Service für den operativen PKI-Betrieb als Service
- Network Architecture Beratung für zonenbasierte Zertifikatsbereitstellung
Konkrete Deliverables ermöglichen die Umsetzung
PKI-Architektur-Design-Paket
Umfassende PKI-Architekturdokumentation mit einer CA-Hierarchie, die auf Ihre spezifischen Use Cases ausgelegt ist (z. B. TLS Server/Client-Authentifizierung, Dokumentensignatur, industrielle Protokolle wie MQTT/OPC UA, Network Access Control, Firmware-Updates). Inklusive Trust-Modell-Spezifikationen, Certificate Policy (CP) und Certification Practice Statement (CPS), Schlüsselmanagement-Verfahren sowie Enrollment-Protokoll-Spezifikationen.
Governance-Framework
Definierte Zertifikats-Lifecycle-Prozesse, Freigabe-Workflows, Key-Management-Praktiken, Compliance-Validierungsprozesse und operative Runbooks. Dokumentierte Governance, die PKI von „implizitem Wissen“ zu wiederholbaren, auditfähigen Prozessen transformiert.
Migrations- und Implementierungs-Roadmap
Phasenweiser Umsetzungsplan mit Prioritäten, Abhängigkeiten, Zeitplänen und Ressourcenbedarfen. Für Brownfield-Umgebungen: detaillierte Migrationsstrategie von Legacy- zu moderner PKI, einschließlich Cross-Signing und Parallelbetrieb.
Compliance-Dokumentation
Architekturdokumentation zur Unterstützung von IEC 62443, NIS2 und branchenspezifischen Anforderungen. CP/CPS in auditgerechtem Format für eine nachweisbare Compliance-Validierung.
Branchen und Szenarien, mit maximalem PKI-Nutzen
- Pharma & Biotechnologie – GMP-Compliance, 21 CFR Part 11 elektronische Signaturen, Integrität von Batch Records, Qualifizierung von Anlagen, Serialisierung und Track-and-Trace.
- Chemische Industrie – Safety Instrumented Systems (SIS), Integrität der Prozesssteuerung, CFATS-Compliance, Sicherheit verteilter Leitsysteme (DCS).
- Energie & Versorger – SCADA-Authentifizierung, Smart-Grid-Sicherheit, NERC CIP-Compliance, Steuerungssysteme für erneuerbare Energien, Umspannwerksautomatisierung.
- Diskrete Fertigung – Automatisierte Produktionslinien, Zertifikatsmanagement für Robotik, Integrität von Qualitätssystemen, Industrie 4.0 / IIoT-Geräteidentitäten.
Sie benötigen unser PKI Beratung, wenn:
• Sie noch keine PKI-Infrastruktur haben und diese von Grund auf (Greenfield) aufbauen müssen
• Ihre Zertifikatsinfrastruktur fragmentiert über IT- und OT-Umgebungen verteilt ist
• Sie IEC 62443- oder NIS2-Anforderungen erfüllen müssen, die ein strukturiertes Maschinenidentitätsmanagement verlangen
• Sie Zertifikatsautomatisierung (CERIAL/IDIAL) planen, aber die PKI-Grundlage fehlt
• Ihre bestehende PKI Legacy-Kryptografie (z. B. SHA-1) oder End-of-Life-CAs verwendet
• Sie eine Zero-Trust-Architektur mit zertifikatsbasierter Authentifizierung einführen
• Ihnen dokumentierte Zertifikatsrichtlinien und Governance für eine belastbare Compliance-Validierung fehlen
Von der Analyse zur operativen PKI-Architektur
Ein klares Verständnis dessen, was PKI-Beratung umfasst, hilft Ihnen dabei, Ressourcen zu planen, Erwartungen zu steuern und relevante Stakeholder gezielt einzubinden.
- Assessment-Phase: 1–2 Wochen: Analyse des Ist-Zustands, Inventarisierung der CAs, Mapping der Zertifikatsnutzung, Interviews mit relevanten Stakeholdern. Sie erhalten einen detaillierten Assessment-Bericht mit Ergebnissen und konkreten Empfehlungen.
- Architekturdesign: 2–4 Wochen: Entwurf der PKI-Architektur inklusive CA-Hierarchie, Zertifikatsrichtlinien (CP/CPS), Governance-Framework und Migrations-Roadmap. Umsetzung als Festpreis-Engagement mit klar definierten Deliverables.
- Implementierung und Migration: 2 Wochen bis 6 Monate: Der Zeitrahmen variiert je nach Umfang und bestehender PKI-Infrastruktur. Hypercare-Phasen werden abhängig von der Änderungstiefe geplant. Die Umsetzung erfolgt phasenweise, beginnend mit den Use Cases mit höchster Priorität.
- Investition: PKI-Beratung-Projekte werden abhängig von Umgebungskomplexität, Anzahl der Use Cases und Migrationsanforderungen abgegrenzt. Nach einem initialen Austausch erhalten Sie ein detailliertes Angebot.
- Wer sollte eingebunden sein: IT-Security, PKI-Administratoren, Applikationsverantwortliche, OT-Engineering sowie Compliance-Organisationen. BxC bringt die PKI-Expertise ein, während Ihre Teams das Umgebungs- und Betriebswissen beisteuern.
Nicht sicher, ob ein vollständiges PKI-Redesign erforderlich ist?
Unser Cybersecurity Assessment Service bewertet Ihren ganzheitlichen Sicherheitsstatus – inklusive des Reifegrads Ihres Zertifikats- und PKI-Managements.
PKI-Architektur auf Basis von Industriestandards und Best Practices
Das PKI-Beratung von BxC basiert auf international anerkannten Standards und ist gezielt auf die Anforderungen der IT/OT-Konvergenz ausgerichtet:
X.509-Zertifikatsstandards – Industriestandard für Zertifikatsformate und -erweiterungen zur Authentifizierung, Verschlüsselung und Code-Signierung in IT- und OT-Umgebungen.
IETF PKIX (RFC 5280, 6960, 7030) – Standards für Zertifikats- und CRL-Profile (RFC 5280), Online-Zertifikatsstatus (OCSP, RFC 6960) sowie Enrollment-Protokolle (EST, RFC 7030).
CA/Browser Forum Requirements – Baseline Requirements und EV-Richtlinien für öffentlich vertrauenswürdige CAs; die zugrunde liegenden Prinzipien werden auf die interne PKI-Governance übertragen.
NIST SP 800-57 – Richtlinien für das Kryptoschlüssel-Management, einschließlich Schlüsselerzeugung, -verteilung, -speicherung und -vernichtung.
NIST SP 800-32 – Leitlinien für PKI-Architekturen, angewendet auf Enterprise- und industrielle PKI-Designs.
FIPS 140-2 / FIPS 140-3 – Validierung kryptografischer Module für HSM-Integration und Anforderungen an den Schutz kryptografischer Schlüssel.
Gängige PKI-Profile – Zertifikatsprofile für Webserver-Authentifizierung, Client-Authentifizierung, Code Signing, Geräteidentitäten sowie E-Mail-Signierung und -Verschlüsselung.
Enrollment-Protokolle – SCEP (Simple Certificate Enrollment Protocol), EST (Enrollment over Secure Transport) und CMP (Certificate Management Protocol).
IEC 62443-4-2 – Komponentenbezogene Sicherheitsanforderungen wie kryptografische Authentifizierung, Secure Boot und Geräteidentitätsmanagement. Unsere PKI-Architekturen unterstützen die Maschinenidentitätsanforderungen der IEC 62443.
NIS2-Richtlinie – EU-Cybersicherheitsregulierung mit Anforderungen an kryptografischen Schutz und Authentifizierung für wesentliche und wichtige Einrichtungen. Die PKI-Architektur bildet die Compliance-Grundlage.
Zero-Trust-Architektur (NIST SP 800-207) – Zertifikatsbasierte Geräte- und Benutzerauthentifizierung als Fundament von Zero Trust. Die PKI-Architektur ermöglicht kontinuierliche Verifikation nach dem Prinzip „Never trust, always verify“.
NERC CIP-005, CIP-007 – Anforderungen des nordamerikanischen Energiesektors an elektronische Sicherheitsperimeter und Systemsicherheitsmanagement. PKI ermöglicht zertifikatsbasierte Zugriffskontrollen.
FDA 21 CFR Part 11 – Elektronische Aufzeichnungen und Signaturen in der pharmazeutischen Produktion. Die PKI-Infrastruktur unterstützt rechtskonforme digitale Signaturen und auditfähige Nachvollziehbarkeit.
OPC UA Security – Zertifikatsbasierte Sicherheitsmechanismen für industrielle Kommunikationsprotokolle. Die PKI-Architektur ist in OPC UA GDS (Global Discovery Server) für das Zertifikatsmanagement von OT-Geräten integriert.
Cloud-PKI-Integration – Architekturkonzepte zur Integration von AWS Certificate Manager, Azure Key Vault und Google Certificate Authority Service in eine On-Premises-PKI-Infrastruktur.
Brownfield-PKI-Migrationsansatz:
Wir entwerfen Architekturen und Migrationsstrategien, die mit den Einschränkungen bestehender Infrastrukturen funktionieren. Nicht jede Organisation kann Root-CAs sofort ersetzen. Deshalb identifizieren wir pragmatische Migrationspfade, die die Sicherheit schrittweise erhöhen und gleichzeitig den laufenden Betrieb berücksichtigen.
PKI-Spezialisten mit Industrie-Erfahrung
- Zwei Jahrzehnte PKI-Expertise in IT und OT. BxC ist auf PKI-Architekturen für Industrieunternehmen spezialisiert, die IT/OT-Konvergenz umsetzen. Wir verstehen sowohl die PKI-Theorie als auch operative Rahmenbedingungen und entwerfen Architekturen, die in Brownfield-Umgebungen funktionieren – nicht nur in Lehrbuchszenarien.
- Herstellerunabhängige Beratung. Unsere Architekturen funktionieren mit jeder PKI-Plattform: Microsoft AD CS, Open-Source-Lösungen oder kommerzielle Produkte. Auch wenn wir Partnerschaften mit führenden Anbietern wie Nexus und Keyfactor pflegen, basieren unsere Empfehlungen ausschließlich auf Ihren Anforderungen – nicht auf Herstellerprovisionen.
- Tiefes OT-Verständnis kombiniert mit Enterprise-PKI-Erfahrung. Industrielle PKI hat besondere Anforderungen: Legacy-Geräte mit eingeschränkter Zertifikatsunterstützung, deterministische Steuerungsprozesse, 24/7-Verfügbarkeit und sicherheitskritische Auswirkungen. Wir verbinden IT-PKI-Best-Practices mit der operativen Realität in OT-Umgebungen.
- Von der Strategie bis zur Implementierungskoordination. Wir liefern nicht nur Architektur-Dokumente und ziehen uns zurück. BxC begleitet die Umsetzung aktiv, koordiniert Teams und Hersteller und stellt eine erfolgreiche PKI-Einführung sicher. Partnerschaft über den gesamten Weg.
Häufig gestellte Fragen
Sie haben Fragen? Wir haben die Antworten. Hier finden Sie häufige Fragen zum PKI Infrastructure Beratung.
PKI Beratung konzipiert Ihre Zertifikatsinfrastruktur – inklusive Architektur, Governance und Implementierungsplanung. Sie betreiben die PKI selbst, wir entwerfen sie und unterstützen beim Aufbau.
Der PKI Managed Service übernimmt den operativen Betrieb Ihrer PKI als Service: CA-Betrieb, Zertifikatsausstellung, Monitoring und Compliance-Reporting.
Ja. Die meisten Projekte betreffen Brownfield-Umgebungen mit bestehenden CAs und Abhängigkeiten, die nicht gestört werden dürfen. Wir entwickeln Migrationsstrategien, die mit Ihrer aktuellen Infrastruktur arbeiten und diese schrittweise modernisieren, während der Betrieb aufrechterhalten bleibt.
Der Austausch einer Root CA ist hochgradig disruptiv und in der Regel nicht erforderlich. Stattdessen entwerfen wir meist Sub-CA-Hierarchien unter bestehenden Roots oder setzen Cross-Signing im Rahmen der Migration ein.
CERIAL und IDIAL sind Tools zur Automatisierung des Zertifikatslebenszyklus, die innerhalb Ihrer PKI-Infrastruktur arbeiten. Damit sie effektiv funktionieren, benötigen sie eine sauber konzipierte PKI-Architektur.
Das PKI Beratung schafft diese infrastrukturelle Grundlage; CERIAL/IDIAL liefern die Automatisierungsebene. Viele Kunden kombinieren beides: zunächst PKI Beratung für Architektur und Governance, anschließend CERIAL/IDIAL für das automatisierte Zertifikatsmanagement.
Der Investitionsumfang hängt vom Projektumfang ab – insbesondere von Assessment-Tiefe, Architekturkomplexität, Anzahl der Use Cases und Migrationsanforderungen. Nach einem ersten Austausch erhalten Sie ein detailliertes Angebot mit Leistungsumfang, Deliverables, Zeitplan und Investitionsmodell.