Wizards of OS

Digitale Signatur und Sicherheit

Seit der Verabschiedung des Signaturgesetzes im Mai dieses Jahres wird vielerorts das Problem der "sicheren Signaturerstellungseinheit", also normalerweise des Endanwender-PCs, diskutiert. Die gilt besonders, seit Bonner Informatiker kurz nach Erscheinen der eTRUST-Mail-1.01- Software der Posttochter Signtrust die Möglichkeit nutzten, ein trojanisches Pferd in das System einzuschleusen. Damit konnte das Team von Prof. Armin Cremer (Bonn) im Juni dieses Jahres die Unsicherheit unter Ausnutzung von Sicherheitslücken im Windows-Betriebssystem nachweisen.

Der Vertreter des BSI, Klaus Keus, meinte dazu, dass das nur möglich gewesen sei, da die Forscher direkten Zugriff auf das System hatten. Seiner Meinung nach wäre der Angriff über das Internet nicht möglich gewesen. Diese Behauptung stieß jedoch auf allgemeines Kopfschütteln. Denn man denke nur an den Fall des Microsoft Hacks vom 27.10.2000, bei dem ein Trojaner zum Ausspionieren des internen Netzes von Microsoft über das Internet eingesetzt wurde.

Hier kommt die Bedeutung der gesamten Kette der IT-Sicherheit zum Tragen - von der untersten Hardware-Ebene über das Betriebssystem bis hin zu den Anwendungen. Das schwächste Glied in der Kette bestimmt die Sicherheit des gesamten Systems. Nach Meinung von Hannes Federrath von der TU Dresden, gibt es zurzeit noch keine "bezahlbaren" vertrauenswürdigen Systeme für den Massenmarkt.

Weitere Probleme im Zusammenhang mit der digitalen Signatur wurden von Oliver Passek von den Grünen angesprochen. Seiner Meinung nach dürften auf einer zur Signatur eingesetzten Chipkarte nicht "zu viele" Daten über den Inhaber der Karte enthalten sein. So stellt er Informationen zur Bonität der Anwender auf der Karte in Frage und sieht es als kritisch an, dass es einmal zu einer "Karte für alles" kommen könnte. Auch soziale Aspekte kommen Passek zufolge in der Debatte zu kurz. Er fragte, ob man wirklich den Fingerabdruck als biometrische Authentifizierungshilfe wolle.