Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.07.1998 - 

Kryptographie und Authentifizierung/Anstoß zu einer bundesweiten vertrauenswürdigen Infrastruktur

Das Gesetz zur Digitalen Signatur: Ein solides Fundament für E-Commerce

Die Gewährleistung von Vertrauen ist eine der letzten großen Herausforderungen der Software-Industrie. In der Internet-Welt gibt es keine Geschäfte per Handschlag. Aus dem anonymen "All-to-all"-Geschäftsmodell des Internet-Dschungels muß die Software eine "One-to-one"-Beziehung, ein Geschäft auf Vertrauen, herausschälen können. Will man die wirtschaftlichen Potentiale des Internet ausnutzen, müssen sich ad hoc vertrauenswürdige Kanäle zwischen x-beliebigen Personen, zwischen Personen und Systemen aufbauen lassen.

Führende Unternehmen der Software-Industrie haben inzwischen Lösungen entwickelt, die solche vertrauenswürdigen Kanäle bereitstellen. Angefangen von starken Identifizierungs- und Authentisierungsmechanismen mit Chipkarten über leistungsstarke kryptographische Verfahren für die Kommunikation bis hin zum Anwender- und Rechte-Management haben Unternehmen und einige Gremien die technischen Rahmenbedingungen für den elektronischen Geschäfts- und Verwaltungsverkehr (Electronic Commerce) festgelegt.

Das 1997 verabschiedete Signaturgesetz samt zugehöriger Verordnung und einem Maßnahmenkatalog steht im wesentlichen auf zwei Beinen. Zum einen stößt es die Schaffung einer bundesweiten vertrauenswürdigen Infrastruktur an. Über ein Netz von privaten Zertifizierungsstellen - neudeutsch Certification Authorities oder Trust-Center genannt (siehe auch Seite 58) - soll die Identität von Internet-Nutzern belegt und die Vertrauenswürdigkeit von Transaktionen sichergestellt werden. Über allem steht die Root, das oberste Trust-Center der Bundesrepublik bei den Telekommunikationsregulierern in Mainz.

Auf der anderen Seite legt der Gesetzgeber strenge Maßstäbe an die Verfahren an, die zur digitalen Signatur eines Geschäftsvorgangs führen. Von den Anforderungen an die Software über Hardwarekomponenten wie Chipkarten und Chipkartenleser bis hin zur Länge der kryptographischen Schlüssel für Identifizierung und Unterschrift schreiben das Gesetz und seine Verordnungen Mindeststandards fest.

So soll eine Visualisierungskomponente garantieren, daß der Anwender auch sicher sieht, was er unterschreibt. Der Text, ob E-Mail oder Bestellung per Browser, soll - so die Vorstellung einiger "Experten" - auf einem Viewer dargestellt werden, bevor die Signatur erfolgen kann. Für IT-Profis eine geradezu groteske Vorstellung; man denke nur an den Aufwand, den Maschinenbauer Klotz für das digitale Signieren einer Autocad-Konstruktionszeichnung betreiben müßte.

Darüber hinaus werden ITSEC- Mindestnormen (IT Security Evaluation Criteria) für die verwendete Hard- und Software festgelegt. So muß die Chipkarte "E4 Hoch" (Evolutionsstufe 4, hoch, mittel, niedrig) zertifiziert sein, bevor sie den Anforderungen des Gesetzgebers genügt. Diese verbindlichen Normen stellen schon eine gewaltige Hürde für all jene dar, die Böses im Schilde führen. Aber auch für die Industrie sind die regulativen Barrieren nahezu unüberwindlich. Selbst für IT-Riesen vom Schlage IBM stellt die E4-Hoch-Zertifizierung von Chipkarten eine große, wirtschaftlich nahezu unlösbare Herausforderung dar. Wann die ersten nach dem Gesetz zertifizierten Trust-Center an den Start gehen werden, steht noch in den Sternen. Experten räumen allenfalls der Telesec, dem Trust-Center der Deutschen Telekom, Chancen ein, frühzeitig mit einer gesetzeskonformen und dennoch praktikablen Lösung aufwarten zu können. Hier zahlt sich jahrelange Pionierarbeit aus.

Überhaupt haben nach Meinung von Insidern nur finanzstarke Unternehmen wie die Deutsche Telekom oder Debis eine reelle Chance, als Zertifizierungsstelle akkreditiert zu werden. Es hat den Anschein, als sei das Gesetz von den Großen für die Großen geschrieben worden. Auch wenn vielen noch nicht klar ist, wo die Trust-Center, Soft- und Hardwarehersteller ihr Geld verdienen, reiben sich wenigstens die Zertifizierungsdienstleister die Hände. Ihr Geschäft ist auf Jahre gesichert.

Kleine und mittelständische IT-Hersteller bleiben allzuleicht außen vor. Für sie stehen die wirtschaftlichen Hürden - insbesondere Zertifizierungswildwuchs und -kosten - und die Marktpotentiale in keiner Relation.

So sieht auch Erika Mann, Europaparlamentarierin aus Niedersachsen, die Gefahr künstlicher Marktschranken für kleine und mittelständische IT-Unternehmen. Die EU geht daher mit der Rahmenrichtlinie zur digitalen Signatur einen anderen Weg als der deutsche Gesetzgeber. Für Erika Mann sollte eine Signaturgesetzgebung nicht zur technologischen Aufrüstung führen. "Die digitale Signatur soll Märkte eröffnen und keine künstlichen Hürden schaffen. Wir benötigen keine Regulierung bis ins Detail, sondern einfache und praktikable Lösungen", so die E-Commerce-Protagonistin.

Ähnlich sehen es viele Softwarehäuser. "Durch technische und regulative Hürden wird die gute Idee in Frage gestellt", kritisiert Christian Kanja, Geschäftsführer der Offenbacher Glück & Kanja GmbH, die deutsche Regulierungs- und Zertifizierungswut. "Durch hohe Einstiegskosten stellt sich bei mittelständischen Anbietern wie Anwendern die Frage nach dem Business Case. Unsere Kunden brauchen praktikable und wirtschaftliche Lösungen. Da ist für paranoides Sicherheitsdenken kein Platz", bekräftigt der IT-Experte.

Wenn es nicht gelingt, die Kosten für Infrastruktur und Zertifizierung im Zaum zu halten, kann sich die Strenge der Gesetzgebung als Bumerang erweisen. Zu hohe Kosten können die Chancen einer frühen Gesetzgebung zunichte machen. Wettbewerbsnachteile für deutsche Unternehmen sind so nicht auszuschließen.

Die Frage nach der Wirtschaftlichkeit stellt sich um so mehr, als bislang nur ein ganz bescheidener Teil der Internet-Geschäftsvorfälle durch Gesetz und Verordnung abgedeckt wird. Die Berater des Gesetzgebers hatten noch den geschrieben Brief vor Augen, als sie die Spielregeln formulierten - darin liegt eine der großen Schwächen des Signaturgesetzes. Ein Brief wird geschrieben und unterschrieben und anschließend von A nach B geschickt. So ähnlich sind die Verfahren des Signaturgesetzes gedacht. Ein Dokument wird quasi zu Papier sprich in die bereits erwähnte Visualisierungskomponente gebracht und anschließend unterschrieben.

Genau so wie die ersten Fernsehmacher nichts anderes produzierten als bebilderte Radiosendungen, muß sich das eigentliche Potential der digitalen Signatur erst entwickeln. Für Ralf Struckmaier und Ulf Leichsenring, Unternehmensberater bei der Lufthansa Systems AS in Norderstedt, ist das Unterschreiben von Word-Dokumenten ein ziemlich müdes Geschäft. "Die Musik wird da gespielt, wo Chipkarten und digitale Signaturen in ganz neue Anwendungen einfließen. Dort tut sich ein gewaltiges Potential auf", meint Struckmaier.

Im Internet ergibt sich immer wieder das Problem: Wer darf wann und in welchem Umfang eine bestimmte Ressource nutzen? Die sichere Beantwortung solcher Fragen wird immer bedeutsamer. Zum Beispiel wenn Außendienstler aus dem Netz auf bestimmte - aber lange nicht auf alle - Kundendaten zugreifen können sollen. Oder der Bankkunde, der sich per Browser über den aktuellen Stand seiner Hypotheken oder seines Wertpapierdepots erkundigt. Der Journalist, der eine kostenpflichtige Datenbankrecherche vornimmt. Oder der Finanzfachmann, der von Zuhause aus ein paar Buchungssätze im SAP-System seiner Firma ändert. Allen diesen Beispielen ist gemein, daß hier keine elektronischen Briefe hin- und hergeschickt werden. Es muß sich aber nachvollziehen lassen, wer, wann und wie lange Systemressourcen genutzt hat und welche Änderungen vorgenommen wurden. Diese Fälle werden durch das Gesetz nicht oder nur sehr unzulänglich abgedeckt.

E-Commerce geschäftsfähig gemacht

Trotz aller Kritik an der Realisierung - das Signal ist entscheidend. Den Vätern des deutschen Signaturgesetzes ist ein dickes Lob zu zollen, sie haben einen Meilenstein für die Entwicklung des Internet gelegt. Deutschland ist es als erstem Land gelungen, Vertrauen mit Hilfe eines Signaturgesetzes zu institutionalisieren und damit E-Commerce geschäftsfähig zu machen.

Auch für Sabine Kockskämper überwiegen die Vorteile: "Wir betrachten das Signaturgesetz als echte Chance", so die Geschäftsführerin von TC Trustcenter, einem der kleineren Anbieter von Trust-Center-Diensten. "Wichtig ist nur, daß das Gesetz so angepaßt wird, daß Anwender in ihrer täglichen Praxis von diesem hohen Sicherheitsniveau profitieren können. Darüber hinaus müssen internationale Standards berücksichtigt werden."

Mit Hilfe sicherer IT-Infrastrukturen und geeigneter rechtlicher Rahmenbedingungen wird der Rationalisierungskreislauf der Informationstechnologie jetzt endgültig geschlossen. Aus dem Geschäftedschungel Internet wird vielleicht doch noch so etwas wie der dörfliche Tante-Emma-Laden.

ANGEKLICKT

Auch wenn es für manchen überraschend klingen mag: Der deutsche Gesetzgeber hat nahezu im Gleichschritt mit den technischen Möglichkeiten mitgezogen und das Gesetz zur Digitalen Signatur auf den Weg gebracht. Damit war Deutschland der erste Staat, der einen solchen gesetzlichen Rahmen für Transaktionen im Internet geschaffen hat. Das Gesetz zur Digitalen Signatur schafft erstmals ein solides rechtliches Fundament für Business- und Verwaltungsverkehr im Internet. Von der Bestellung eines Bleistifts über den Abschluß einer Versicherung bis hin zum Ummelden eines Fahrzeugs sollen sich nun alle möglichen Internet-Transaktionen in einem geregelten Rahmen vollziehen lassen.

Geschäfte auf Vertrauen

Für den Hannoveraner Professor und Branchenquerdenker Johannes Ehrhardt ist das Bild vom Internet als beschauliches Dorf eine absolut unhaltbare Verniedlichung. Das Netz ist vielmehr eine Metropole mit blinkenden Leuchtreklamen, Geschäften und Geschäftemachern, mit Vergnügungsvierteln, Politikern, Freaks und Verrückten. Vor allem aber ist das Internet vollkommen anonym.

Das Motto dieser Weltmetropole heißt "All-to-all". Jeder kann über Landes- und Zeitgrenzen hinweg mit jedem kommunizieren und Geschäfte machen. Dabei ist das Netz für Unternehmer wie Konsumenten mehr Dschungel denn Plattform für geregelte Transaktionen. Mit dem Internet hat sich schlagartig ein nahezu unendlicher Markt eröffnet. So für den kleinen Keramikhersteller aus Ecuador, der über das Internet erste Handelsverbindungen mit Deutschland anknüpfte. Ohne das Netz hätte er davon nicht einmal zu träumen gewagt. Der Casinobetreiber aus Las Vegas kann deutschen Zockern ungeachtet nationaler Gesetze Roulette und Pferdewetten anbieten.

Aber auch anderweitig tun sich Chancen auf. Hermann Klotz, Spezialmaschinenhersteller aus Kötz, legt stolz alle Details seiner Konstruktionen ins Netz. Weltweit können sich so potentielle Kunden von der Innovationsfähigkeit des süddeutschen Mittelständlers überzeugen. Das Internet ist für Klotz das Tor zum Weltmarkt.

Der Handel im Netz steckt immer noch in den Kinderschuhen. Vor allem fehlende Sicherheitsmechanismen und -standards auf der technischen Seite und Unsicherheiten bei den Anwendern verhindern die Ausschöpfung ökonomischer Potentiale. Obwohl ein großer Teil der oft genannten Bedrohungen und Gefahren eher dem Reich der Sagen und Mythen zuzuschreiben ist, sollte man diese subjektiv empfundenen Ängste keinesfalls außer acht lassen. Denn jede Unsicherheit und jede Bedrohung - ob real oder nicht - haben letztlich einen negativen Einfluß auf Akzeptanz und Wirtschaftlichkeit im Internet.

Vertrauen spielt in vielen Bereichen eine entscheidende Rolle. Im Lauf unseres Lebens haben wir heuristische Strategien erlernt, mit deren Hilfe wir Situationen abschätzen und Risiken bewerten können. So haben wir uns den Weg zur Bank oder Sparkasse eingeprägt, haben gelernt, daß das Gebäude mit dem roten S die Sparkasse ist und wir haben gelernt, den Menschen hinter dem Schalter Vertrauen zu schenken. Kurz und gut: Wir vertrauen dem Angestellten in der Sparkasse blind unser Geld an und sind sicher, daß es dort in guten sprich sicheren Händen ist.

Ganz anders sieht es im Internet aus. Mancher, der sein ganzen Hab und Gut der Sparkasse anvertraut, würde im Internet nicht einmal seine Kreditkartennummer preisgeben.

Sucht man per Suchmaschine nach einer bestimmten Sparkasse oder Bank, wird man zahlreiche Links finden. Ein Doppelklick führt uns auf eine Homepage, die vorgeblich einer Bank zuzuordnen ist. Anhand der Logos und anderer Gestaltungsmerkmale glaubt man eine Bank oder Sparkasse erkennen zu können - Schein oder Wirklichkeit? Doch die Sparkasse ist nicht die Sparkasse, sondern ein virtuelles Abziehbild, das authentisch oder gefälscht sein kann. Der Maler David Hockney sagte einmal, daß uns die Möglichkeit, Bilder - und das Internet ist nichts anderes als eine Flut von Bildern und Bildinformationen - mit Software zu manipulieren und zu fälschen, den Boden unter den Füßen entzieht. Die Orientierung geht verloren, das Vertrauen bleibt auf der Strecke.

Dabei ist Vertrauen, wie es der Ökonomie-Nobelpreisträger Douglass North formulierte, Grundlage einer jeden Transaktion - einer jeden Wirtschaftsbeziehung. Ohne Vertrauen ist kein Unternehmen, keine Volkswirtschaft und kein Gesellschaftsgebilde lebensfähig.

Dr. Lutz Becker ist Leiter der Fachgruppe Netzsicherheit des Bundesverbands Informations- und Kommunikationssysteme e.V., Bad Homburg.