Von: Achim Born
Anlaß für die Veranstaltung "Der Schlüssel zur Sicherheit der digitalen Kommunikation" Ende Oktober war das offizielle Inkrafttreten der Signaturverordnung (Artikel 3 IuKDG) am 1. November. Schließlich tut Sicherheit not, wie Dr. Gerhard Weck den Teilnehmern vor Augen führte. Der Infodas-Mitarbeiter: "EMail ist wie eine mit Bleistift geschriebene Postkarte. Jeder kann darin lesen und schreiben." Sämtliche möglichen Angriffe via Internet seien nicht nur Theorie, sondern finstere Unternehmenspraxis. Sobald Firmen und Organisationen mit IP-Adressen im Internet auftreten, würde es im Mittel nur zwölf Minuten bis zum ersten Anklopfen eines Hackers dauern.
Digitale Signatur als sicheres Beweismittel
Um Daten vor Mitlesern zu schützen und die Herkunft sicherzustellen, gibt es Verschlüsselungsverfahren. Die digitale Signatur, so Weck, stelle dabei einen der leistungsstärksten Mechanismen dar. Wie die gesetzlichen Eckpunkte hierzu lauten, stellte im Anschluß Wendelin Bieser vom Bundesinnenministerium vor. Das Signaturgesetz, so der Mitautor des Referentenentwurfs zum Multimediagesetz, schaffe die Rahmenregelungen, bei deren Einhaltung ein elektronisches Dokument mindestens vergleichbare Beweissicherheit wie ein herkömmliches Schriftstück böte.
Grob gesehen, ersetzt bei der digitalen Signatur (sie folgt dem asymmetrischen Verschlüsselungsverfahren mit privatem und öffentlichem Schlüssel) eine Chip-Karte das bisherige Schreibgerät. Auf der Karte befindet sich der geschützte private Schlüssel, die PIN zur Identifizierung und die manipulationsgeschützte Signiertechnik. Anhand des öffentlichen Schlüssels kann ein signiertes Segment jederzeit auf Echtheit und Unverfälschtheit überprüft werden.
Mit der Vergabe dieser Schlüssel-Duos wollen die staatlichen Behörden selbst wenig zu tun haben. Diese Aufgabe soll von privatwirtschaftlich organisierten Zertifizierungsstellen übernommen werden, die von einer maximal vier Mitarbeiter starken Aufsichtsbehörde kontrolliert wird. Diese künftig beim Regulierer angesiedelte Gruppe könne bei Bedarf, so Bieser, auf das Know-how der 300 Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zurückgreifen.
Hohe Kosten für Trust Center
Neben Gesetz und Verordnung sollen noch im ersten Quartal des kommenden Jahres ergänzend sogenannte Maßnahmenkataloge (Entwurf unter http://www.bsi.bund.de) im Bundesanzeiger veröffentlicht werden. Darin werden die Empfehlungen für Standards sowie beispielhaft Zertifizierungsstellen und die technischen Komponenten zur Erzeugung und Prüfung digitaler Signaturen gemäß Gesetzeslage beschrieben. Anfang 1999 sollen auch die Änderungen im BGB beendet sein, die die digitale Signatur auf die gleiche Stufe wie die Schriftform stellen werden. Heute sehen noch weit über 3800 Rechtsvorschriften die Schriftform vor, so daß die digitale Signatur "nur" im allgemeinen Geschäftsverkehr direkt eingesetzt werden kann.
Da die hohen Sicherheitsforderungen an das Equipment und den Betrieb eines Trust Centers erhebliche Kosten verursachen, stehen Unternehmen, Verbände und Behörden vor der Entscheidung, eine solche Clearingstelle selbst zu betreiben oder die Dienste Dritter in Anspruch zu nehmen. So planen Mannesmann, die Sozialversicherungen (Gesundheitswesen) und der Verband für Versicherungen eigene Zertifizierungsstellen, während die Deutsche Telekom ein Komplettangebot über alle T-Punkte in 1998 offerieren will. Unternehmen wie SAP wollen aber auch Inhouse-Lösungen realisieren, um Dienste wie Remote Services sicher abzuwickeln. So soll die betriebswirtschaftliche Standardsoftware R/3 ab dem Release 4.0 die digitale Signatur unterstützen.
Auf der Kölner Veranstaltung wurde deutlich, daß die potentiellen "Trust-Center-Unternehmen" zunächst die "geschlossenen" Nutzergruppen in Unternehmen mit ihren Leistungen adressieren. Auch die beiden Veranstalter werden gemeinsam neben einer Prüfstelle für Trust-Center-Komponenten selbst ein Trust Center für geschlossene Benutzergruppen aufbauen. Die Kosten für den Bezug dieser "Sicherheitsleistungen" stehen noch nicht fest. Dr. Ralf Röhrig vom TÜV Rheinland erwartet, daß sie sich in Struktur und Höhe an dem Preismodell der heutigen Online-Dienste orientieren werden. (cep)