Von: Christa Hülk, Thomas Reich
Über das Internet schließen Geschäftspartner grenzüberschreitend Geschäfte ab, ohne sich persönlich zu begegnen oder Schriftstücke über Zollgrenzen zu verschicken. Dabei sorgen kryptografische Verfahren und digitale Signaturen dafür, daß sich Händler und Kunden auf die ausgetauschten Daten verlassen können.
Verschlüsselte Daten
Kryptografische Programme verschlüsseln die versendeten Nachrichten und schützen sie damit vor dem Zugriff Unbefugter. Beim Chiffrieren und Dechiffrieren greifen sie auf einen Schlüssel zurück, der in seiner einfachsten Form nichts anderes als eine Zahl ist. Der Schlüssel muß sowohl dem Absender als auch dem Empfänger der Nachricht bekannt sein. Damit kein Dritter in den Besitz der Nachricht kommen kann, muß gleichzeitig gewährleistet sein, daß ausschließlich Absender und Empfänger den gemeinsam genutzten Schlüssel kennen.
Falls der Absender und der Empfänger dieselbe Zahl benützen, spricht man von einem symmetrischen Schlüssel. Für
die meisten Nachrichtenübermittlungen bieten derzeit 128 Bit lange Schlüssel einen hinreichenden Schutz.
Asymmetrische Verfahren verwenden einen öffentlichen und einen privaten Schlüssel. Der Absender kann die öffentliche Zahlenkombination frei versenden, wohingegen er die private für sich behält.
Elektronische Unterschriften
Allein das Verschlüsseln der Nachrichten garantiert noch nicht die Integrität der versendeten Daten. Ein Ausfall von Strings aufgrund von Störungen beim Transfer kann den Inhalt der Nachricht verstümmeln oder verfälschen. Abhilfe schaffen hier sogenannte Hash-Wert-Verfahren, die aus der zu versendenden Nachricht einen Hash-Wert generieren und zusammen mit der Nachricht verschikken. Der Empfänger dechriffiert beides, den Hash-Wert und die Nachricht, generiert aus dem Text nach dem gleichen Algorithmus seinen eigenen Hash-Wert und vergleicht ihn mit der gesendeten Zahl. Sind die Werte identisch, ist die Wahrscheinlichkeit sehr hoch, daß der Empfänger die ursprüngliche, unverfälschte Nachricht erhalten hat.
Zudem lassen sich mit Hash-Wert-Verfahren digitale Signaturen erstellen, welche den Ursprung einer Nachricht sichern. Eine Hash-Funktion verwandelt hierbei das Dokument zusammen mit dem Datum und der Uhrzeit in eine kryptografische Prüfsumme, die der Krypto-Algorithmus mit dem geheimen Schlüssel des Absenders codiert. Die digitale Signatur wird zudem durch ein Signaturschlüsselzertifikat einer vertrauenswürdigen Stelle ergänzt, welches aus einer digitalen Unterschrift und Angaben über den Absender besteht. Ein Verfallsdatum begrenzt dabei den Gültigkeitszeitraum des Zertifikats (Bild 1).
Vertrauenswürdige Stellen, welche mit ihrer Unterschrift in elektronischen Zertifikaten für die Zusammengehörigkeit des Absenders und seines öffentlichen Schlüssels bürgen, heißen Trust Center, oder zu deutsch, Zertifizierungsstellen (Bild 2).
Weil die digitale Signatur künftig ebenso wie die handschriftliche rechtskräftig sein soll, haben bereits mehrere Mitgliedsstaaten der EU Gesetze verabschiedet, die ihren Einsatz regeln. Die Rechtsgrundlagen der einzelnen Länder weichen jedoch zum Teil erheblich
voneinander ab. Unterschiedliche Vorschriften gibt es zum Beispiel hinsichtlich der rechtlichen Wirkung elektronischer Unterschriften und was die technische Ausrüstung eines Trust Centers anbelangt. Abweichende Bestimmungen regeln darüber hinaus die Haftung bei Schäden im E-Commerce.
Als Antwort auf die auseinanderdriftenden Gesetzesinitiativen der Mitgliedsländer erarbeitete die Kommission der europäischen Union im Mai 1998 einen "Vorschlag für eine Richtlinie des europäischen Parlaments und des Rates über gemeinsame Rahmenbedingungen für elektronische Signaturen" (siehe Kasten "EU-Richtlinie").
Mit den Richtlinien will die europäische Kommission gemäß den Wünschen verschiedener Mitgliedsstaaten Rahmenbedingungen setzen, die den Binnenmarkt fördern. Sie hat versucht, den Gesetzestext möglichst technikneutral zu formulieren, damit er auch künftigen Authentifizierungsverfahren gerecht wird. Dabei bezieht sich die EU-Vorgabe nur auf Zertifikate des öffentlichen Datenverkehrs und nicht auf Signaturen, die innerhalb eines Firmennetzes bleiben.
Der gesetzliche Rahmen soll sicherstellen, daß elektronische Signaturen und Zertifizierungsstellen grenzüberschreitend anerkannt werden. Das, so heißt es in der Begründung zum Vorschlag der Kommission, sei die Hauptaufgabe einer europäischen Regelung. Sie müsse dazu in erster Linie Anforderungen an Zertifizierungsstellen und Haftungsfragen klären. Die Kommission verweist in ihrem Dokument auf weitere internationale Gremien, die sich mit dem Thema beschäftigen. Die UN-Kommission für internationales Handelsrecht (UNCITRAL), die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) sowie die Welthandelsorganisation (WTO) arbeiten an einheitlichen Signatur-Regeln für den elektronischen Geschäftsverkehr. Die Richtlinie wird frühestens zwei Jahre nach ihrem Inkrafttreten für die Mitglieder bindend. Weil sich die Minister bisher noch nicht einig sind, wird das allerdings nicht vor dem 31. 12. 2000 sein.
Deutsche Trust Center
In Deutschland gibt es seit dem August 1997 ein Signaturgesetz. Eine Signaturverordnung vom November 1997 geht näher auf Details ein. Nach dem Signaturgesetz agiert die Regulierungsbehörde für Telekommunikation und Post als Wurzelinstanz bei den Signaturschlüsselzertifikaten. Der Nachfolger des Postministeriums genehmigt Trust Center, sofern diese den Vorschriften entsprechen, und bestätigt deren öffentlichen Schlüssel mit einem elektronischen Zertifikat.
Mehrere Trust Center haben bei der Regulierungsbehörde einen Antrag eingereicht. Unter den Bewerbern sind die Deutsche Telekom, D-Trust, eine gemeinsame Initiative von Debis und der Bundesdruckerei, die Deutsche Post, Giesecke und Devrient sowie der Bundesverband der Banken und weitere 30 Unternehmen. Nach Angaben der Regulierungsbehörde wird Telesec, das Trust Center der Telekom, im Januar als erster genehmigter Anbieter Zertifikate ausstellen.
Marc Diepolder, Leiter Marketingsupport bei Telesec, betont die Bedeutung genehmigter Stellen: "Es muß unterschieden werden zwischen signaturgesetzkonformen Trust Centern und solchen, die diesem Anspruch nicht genügen. Während die Technologie eines signaturgesetzkonformen Trust Centers dem aktuellen Stand der Forschung im Bereich Informationssicherheit entspricht und von unabhängigen Dritten einer gründlichen Prüfung unterzogen wurde, kann dies bei nicht signaturgesetzkonformen Trust Centern nicht vorausgesetzt werden."
Umstrittenes Gesetz
Norbert Book, Vertriebsleiter IT-Sicherheit bei Competence Center Informatik (CCI) in Meppen, eine Einrichtung, die seit zwei Jahren den gesetzlichen Krankenversicherungen als Trust Center dient, relativiert den Stellenwert des Gesetzes: "Das Signaturgesetz ist sehr umstritten, unter an-derem wegen der hohen, extrem kapitalintensiven Anforderungen. Außerdem warten die meisten Trust Center die weitere Entwicklung der EU-Richtlinie ab." Sobald diese in Kraft tritt, muß das Signaturgesetz mit den europäischen Regeln in Einklang gebracht
werden. Und im Gegensatz zum Signaturgesetz enthält der aktuelle Entwurf der EU-Richtlinie keine technischen Vorgaben.
Ein weiterer Unterschied liegt in der Haftungsregelung, die sich in Deutschland derzeit aus dem allgemeinen Recht ableitet. Christian Blunk, Produktmanager bei TC Trust Center in Hamburg, sieht den Kundenkreis in allen Benutzern elektronischer Kommunikationsdienste. Die Wettbewerbssituation ergebe sich aus den Tätigkeitsbereichen der Trust Center, die derzeit fast ausschließlich auf nationaler Ebene beziehungsweise für geschlossene Gruppen arbeiten. "Nur wenige", so Blunk, "bieten wie wir heute schon die Möglichkeit der Zertifikatbeantragung online über das WWW. Wir sehen uns im internationalen Sinn als Certification Authority (CA) und streben eine Zulassung als Zertifizierungsstelle nach dem deutschen Signaturgesetz an."
Gemächlicher Start
Nach Angaben der Regulierungsbehörde entsprechen nur wenige Anträge deutscher Trust Center den Vorschriften des Signaturgesetzes. Die meisten seien weit davon entfernt, weil sie nicht die nötigen technischen Geräte ausweisen oder zuwenig auf Sicherheit bedacht sind. Einigen Bewerbern fehle fachkundiges Personal, andere verfügten nicht über genügend Registrierstellen, bei denen Kunden laut Gesetz persönlich ihr Zertifikate beantragen müssen. Bis zum Herbst werde die Behörde schätzungsweise vier Anträge genehmigen. (kpl)