Sicherheit im Internet - digitale
Verschlüsselung & digitale Signatur
| ||
|
Passwörter könnten in Kanzlei- und Unternehmens-IT-Strukturen und im Internet bald ausgedient haben: Chip-Karten – sog. SmartCards – d.h. Plastikkarten mit integriertem Speicher, sind billig, vielseitig und bieten einen guten Sicherheitsschutz. Nachdem SmartCards den Handy-Markt in Gestalt der SIM-Karten erobert haben, nehmen die Chipkarten-Hersteller nach der Verabschiedung Ende 1999 der "EU-Richtlinie zur Verwendung elektronischer Signaturen" (die in den nächsten 18 Monaten noch in nationales Recht umgesetzt werden muss) nun die unternehmensweiten IT-Strukturen ins Visier, das derzeitige SmartCard-Geschäft boomt: von 544 Mill. Karten soll der Markt weltweit auf 3,4 Millarden anwachsen (1,5 Millarden hiervon in Europa) und Hersteller wie der Neuemittent Infineon AG prognostizieren riesige Umsatzzuwächse. Der IT-Markt träumt schon von der „neuen Zeit“ - mit über SmartCards abgesicherten, digital verschlüsselten und digital signierten eMails: Steuererklärungen ans Finanzamt, Anmeldungen beim Strassenverkehrs- oder beim Einwohnermeldeamt, Schriftsätze ans Gericht, betriebswirtschaftlichen Auswertungen und Lohnauswertungen vom Steuerberater an den Mandanten, Geldgeschäften im Internet oder am Point-of-Sales, vertraulichen eMails usw., usw. (GMD: „Grundlagen, Technik, Sicherheitsaspekte“). Alle möchten „Vertrauens-Zentrum“ für die Vergabe von Schlüsseln zur digitalen Signatur werden und wollen bei der zuständigen „Regulierungsbehörde für Telekommunikation und Post“ eine Trust-Center-Lizenz beantragen. Aber die "Tücke" liegt im Detail! Universelle SmartCards, die alle möglichen Funktionen in sich vereinen, wird es nicht geben – zu diesem Ergebnis kommt zumindest das Wirtschaftsforschungsinstitut Forrester. Unzulängliche SmartCard-Betriebssysteme, verschiedene, inkompatible Lesegeräte, falsche Zusammenstellung von Anwendungen, fehlende Zusammenarbeit geeigneter Partner und andere Hindernisse würden die neue Kartengeneration - laut Forrester - untergraben. So hat die Genossenschaft der Steuerberater – DATEV eG – ein eigenes SmartCard-System entwickelt, will u.a. auch eines der kommenden deutschen Trust-Center werden und will hierüber den Datenaustausch zwischen Steuerberater und Mandant für die Bereiche Finanzbuchführung, Betriebswirtschaftliche Auswertungen, Kostenrechnung und Lohn realisieren. Aber auch die Landesfinanzbehörden – z.B. das Finanzministerium NRW – wollen selbst Trust-Center nach der neuen, europäischen Signaturverordnung werden und für jeden Steuerpflichtigen eine eigene SmartCard herausgeben, u.a. zur Übertragung der Steuererklärungen an die Finanzbehörden. Die Industrie & Handelskammern (IHK`s) wollen ebenfalls Trust-Center werden und haben hierzu sogar eine eigene Gesellschaft für SmartCard-Systeme gegründet. In USA wurden bereits die klassischen Kreditkarten-Organisationen MasterCard und Visa zunächst angeprangert, da sie die Einführung von SmartCard-Systemen verzögert haben sollen – jetzt wollen sie Vorreiter spielen, um nicht andere zu Monopolisten werden zu lassen. In Finnland gibt es bereits den Personalausweis auf SmartCard-Basis. Auch deutsche Behörden stehen hier zum Teil schon kurz vor der Markteinführung. Langweilige, zeitaufwendige Gänge durch graue Amtsstuben wie beispielsweise Einwohnermeldeamt, Finanzamt oder Kfz-Zulassungsstellen könnten mit der Einführung der digitalen Signatur entfallen. Auch die Bundesländer bringen die Internet-Technik nach vorne: Niedersachsen z.B. erlaubt es schon seinen Beamten, digital zu unterschreiben. Neben dem Kommunalwesen werden möglicherweise auch Archive und der Bereich E-Commerce einen frischen Wind erfahren. Im Mai-2000 wurde auch noch ein SmartCard-System als globaler Ärzte-Ausweis beschlossen. Ein weiteres Trust-Center mit einer eigenen digitalen Verschlüsselung und digitalen Signatur ist die Bundesversicherungsanstalt für Angestellte – BfA und hat natürlich wieder ein eigenes System. |
Auch Banken und Sparkassen wollen eigene SmartCard-Systeme auf den Markt bringen und die 4 deutschen Großbanken Commerzbank, Deutsche Bank, Dresdner Bank und Hypo-Vereinsbank haben eine Beteiligung von je 25 % am Hamburger Internet-Dienstleister TC-TrustCenter erworben. Die Hypo-Vereinsbank arbeitet hierzu z.B. in einer Kooperation mit Siemens und der Allianz-Lebensversicherung. Die deutschen Gerichte beschäftigen sich ebenfalls mit dem gesicherten eMail-System über SmartCard-Absicherung, so fällen bereits Richter in Hamburg in einem Pilotprojekt Urteile via Internet. Auch der juristische Online-Dienst kümmert sich um die Sicherheits-Aspekte rund ums Internet. Im Internet zieht Prof. Dr. Helmut Rüßmann - „Das Beweisrecht elektronischer Dokumente“ sein Fazit: „Eine Änderung des deutschen Beweisrechts durch den Gesetzgeber ist nicht geboten und die ausdrücklichen Gleichstellungen der elektronischen und der schriftlichen Dokumente in ausländischen Rechten dient nur der Überwindung hausgemachter Probleme, die das deutsche Recht nicht kennt - nach deutschem Recht sind elektronische Dokumente zulässige Beweismittel“. Der deutsche Einzelhandel will auch mitmischen, dabei spielt auch der EURO eine wichtige Rolle: Wo ohnehin Investitionen fällig sind, um Kassensysteme und Automaten an die neue Währung anzupassen, bietet es sich an, diese auch gleich für digitale Zahlung einzurichten. Das „klassische Unternehmen für den Einschreibebrief“, die Deutsche Post AG will sich nicht „die Butter vom Brot“ nehmen lassen und will ihren Kunden auch digitale Signaturen anbieten: SignTrust der Post AG. Zu diesem Zweck hat das Unternehmen in Darmstadt ein Trust-Center eröffnet, das Kunden registriert, elektronische Verschlüsselungen erzeugt und Zertifikate vergibt. Das ganze funktioniert wie folgt: Der interessierte Kunde geht mit seinem Personalausweis ins nächste Postamt oder zum Post-Vertragspartner, dort werden die Daten erfasst und an das Trust-Center der Post AG weitergeleitet, dieses übermittelt dem Kunden anschließend ein Zertifikat mit elektronischem Schlüssel und eine PIN-gesicherte SmartCard. Letztere nutzt der Anwender, wenn er rechtsverbindliche Erklärungen auf elektronischem Wege abgeben möchte. Dazu benötigt er noch einen entsprechenden SmartCard-Kartenleser. Im Mai-2000 wird ergänzend gemeldet: Die Deutsche Post AG und die Computerkette Vobis unterzeichneten eine Vereinbarung, die die digitale Signatur nach Signaturgesetz und EU-Richtlinie weiter auf dem europäischen Markt verbreiten soll. In den Vobis-Filialen sollen ab Herbst die SmartCard der Deutschen Post sowie ein in den PC integriertes Lesegerät erhältlich sein, die das Signieren und Verschlüsseln elektronischer Nachrichten ermöglichen. Nach der Aufteilung der guten, alten Deutschen Post Behörde, gibt es doch dort noch ein Unternehmen ... oder? Auch die Deutsche Telekom AG sieht es als einen ihrer zukünftigen Geschäftszweige an, digitale Verschlüsselung und digitale Signatur zu vertreiben. Mit TelSec bietet auch die Telekom SmartCard-Systeme und ist Trust-Center nach dem deutschen Signaturgesetz. „Last-but-not-least“ - nun hat auch Microsoft das Zeitalter der digitalen Verschlüsselung und digitalen Signatur erkannt: In seiner Eröffnungsrede am 10.5.2000 auf der Netzwerkmesse "Networld + Interop 2000" hat Microsoft-Chairman und Chief-Software-Architect, Bill Gates, Hersteller und Anwender dazu aufgerufen, SmartCard-Technologien vermehrt einzusetzen, denn nur so lasse sich das "schwächste Glied in der Sicherheitskette" verstärken. Microsoft will sein Imperium auf SmartCard-Technologien ausdehnen. Im Internet gibt es schon Seiten, wo „Hacker“-Tools für SmartCards angeboten werden und die Technik schreitet weiter voran: Siemens vertreibt z.B. Mäuse mit Fingerabdruck-Erkennung und andere bieten WEB-Cameras mit Iris/Pupillen-Erkennung. Im Internet hat sich sogar ein extra SmartCard-Forum gebildet. Aber auch das Angebot an SmartCard-Lösungen scheint unbegrenzt zu sein, im Internet bieten mittlerweile über 3.000 Firmen ihre unterschiedlichen SmartCard-Lösungen an. | |
|
| ||
|
Abschließend stellt sich neben all diesen Geschäfts-Interessen nur die Frage: Was macht der arme Anwender? Werden wir in Zukunft Koffer mit unseren verschieden SmartCards herumtragen? Wann kommt die Twin-SmartCard heraus, damit auch in Abwesenheit noch eMails geöffnet werden können? Wer organisiert und wie organisiert man die digitale Verschlüsselung und Signatur in den Kanzleien und Büros? Werden unsere PC`s neben Disketten-, CD-ROM-, DVD-Laufwerken, USB-, PCMCIA-Slots auch noch zig unterschiedliche SmartCard-Lesegeräte besitzen müssen? Es gibt zwar extra das Bundesamt für
Sicherheit in der Informationstechnik – BSI, dies hat auch zur
Förderung „interoperabler Verfahren für digitale Signaturen eine
Schnittstellenspezifikation zur Entwicklung interoperabler Verfahren und
Komponenten nach SigG/SigV“ in Auftrag gegeben, sieht aber ansonsten seine
Aufgabe nur in der allgemeinen Aufklärungsarbeit, um die Bürger
hinreichend im Umgang mit der neuen Technologie zu sensibilisieren. Können
wir es – nach I LOVE YOU – nur „dem Markt überlassen“, dieses für uns alle
wichtige Thema zu lösen? | ||