Nicht blind vertrauen

Zertifikate durch Zuständige vergeben lassen

Ein klassisches Beispiel dafür ist im englischen Gesundheitswesen zu beobachten. Ein streng hierarchisches Modell der Zertifizierung erschwert einem praktischem Arzt, eine Aushilfsschwester einzustellen. Denn diese benötigt für den Zugriff auf den Arztrechner einen zertifizierten Schlüssel, wobei das Zertifikat nicht der Arzt, sondern allein die Schwesternkammer ausstellen darf. Der Arzt ist in seiner Entscheidungsfreiheit eingeschränkt.

Ein ähnlicher Fall kann in einer Personalabteilung auftreten: Verwendet das Büro für alle geschäftlichen Kommunikationsformen Zertifikate externer Anbieter, die beispielsweise eine Prokura bestätigen, muß es jede Änderung kostenpflichtig beim externen Zertifizierer bestätigen lassen. Das dreistufige Konzept des deutschen Signaturgesetzes gebietet genau diesen Gebrauch und ist deswegen für eine ernsthafte Business-to-Business-Kommunikation ungeeignet.

Möchte man selbst festlegen, welche Personen im Unternehmen mit welchen Aufgaben befaßt sind, kommt man um eine unternehmenseigene Zertifizierungsstruktur nicht herum. Diese ist sinnvollerweise dort anzusiedeln, wo die Entscheidungen getroffen werden. So erzeugt und widerruft am besten die Personalabteilung die Zertifikate für Mitarbeiter, während die Zertifikate für Geschäftskontakte der Außendienst verwalten sollte.

Allerdings genießt nicht jeder Mitarbeiter eines Unternehmens uneingeschränktes Vertrauen. Eine Lösung besteht darin, daß der Außendienstler ausschließlich als Registrierungsinstanz fungiert, also ein Formular ausfüllt, das als Grundlage eines firmeninternen Zertifikats dient.