10/01 - Erst ein Zwei-Schlüssel-System macht Internet-Vertragsabschlüsse wirklich sicher
Trierer Spitzenforscher fordert staatliche Infrastruktur
Trier. Käufer wie Verkäufer sollten bei Vertragsabschlüssen übers Internet nicht fahrlässig auf notwendige Sicherheitsmaßnahmen verzichten. Dies rät das Institut für Telematik. Wie der Leiter der Trierer Spitzenforschungseinrichtung, Professor Christoph Meinel (47), mitteilte, seien mittlerweile technisch ausgereifte Verfahren verfügbar, um Dokumente elektronisch zu unterschreiben und zu verschlüsseln. Allerdings existierten noch viel zu wenig "Trust Center", also elektronische Notare. Auch könne sich der eine "E-Notar" mit dem anderen zur Zeit nicht verständigen. Meinel forderte deshalb den Staat auf, seine hoheitliche Verantwortung wahrzunehmen und für eine flächendeckende, funktionierende Infrastruktur zu sorgen. Auch sei eine Kampagne für den breiten Einsatz der digitalen Signatur, der elektronischen Unterschrift, erforderlich.
Trust Center sind, wie der Trierer Telematik-Professor betonte, eine wichtige Voraussetzung dafür, dass der Handel via Internet sicher und rechtsverbindlich abgewickelt werden könne. "Wer sich erfolgreich am E-Commerce beteiligen will, muss absolut sicher sein, dass Daten vertraulich übermittelt und während der Übertragung nicht verändert werden", unterstrich Meinel. Ferner müsse garantiert sein, dass man bei einer übermittelten Information deren tatsächlichen Urheber identifizieren und dieser die Urheberschaft nicht abstreiten könne.
Ein "Publik Key Infrastruktur" (PKI) genanntes Zwei-Schlüssel-System hält das Trierer Institut für Telematik für die beste Lösung, um in einem offenen Netz wie dem Internet sensible, schutzbedürftige Daten so zu übermitteln, dass Integrität, Authentizität, Verbindlichkeit und Vertraulichkeit gewährleistet sind. Diese moderne Verschlüsselungstechnik kann von den Beteiligten direkt und unmittelbar eingesetzt werden. Die Schlüssel dafür erzeugt und verwaltet ein Trust Center.
"Das Trust Center kann man mit einem elektronischen Notar vergleichen", sagt Prof. Meinel. Es erzeugt für jeden Nutzer zwei digitale Schlüssel, die jeweils nur einmalig existieren und sich ergänzen. Ein Schlüssel ist für den Nutzer persönlich und heißt deshalb privater Schlüssel ("Private Key"). Er verbleibt ausschließlich beim Nutzer, der ihn am sichersten auf einer Chipkarte speichert. Der andere Schlüssel wird vom Trust Center verwaltet und ist - wie bei einem Telefonverzeichnis - allen Interessenten zugänglich. Deshalb bezeichnet man ihn als öffentlichen Schlüssel ("Public Key"). Obwohl sich beide Schlüssel ergänzen, haben sie unterschiedliche Funktionen - beim elektronischen Unterschreiben einerseits und Verschlüsseln andererseits.
Prof. Meinel: "Wenn ich jemandem eine vertrauliche Nachricht senden will, hole ich mir beim Trust Center den öffentlichen Schlüssel des Empfängers und verschlüssele damit die Information. Der private Schlüssel des Empfängers ist der einzige, der zu seinem öffentlichen passt. Deshalb kann nur er die Nachricht entschlüsseln und niemand anderes."
Beim digitalen Signieren dokumentiert die elektronische Unterschrift zweifelsfrei, wer die Daten versendet hat und dass die Daten auf dem Weg zum Empfänger nicht verändert wurden. "Die digitale Signatur des Absenders ist eine kleine Datei, die sich mit Hilfe seines privaten Schlüssels aus dem elektronischen Fingerabdruck des Dokuments, einem sogenannten Hashwert, berechnen lässt. Die digitale Signatur verschlüsselt also den Hashwert des Dokuments und nicht das Dokument selbst", erläutert Prof. Meinel.
Der Hashwert wird durch eine hochkomplizierte mathematische Berechnung gewonnen. Die entsprechende Funktion stellt dabei sicher, dass jedes Dokument nur einen Hashwert hat. Darum bezeichnet man ihn ja auch als elektronischen Fingerabdruck. Würde man nur ein einziges Zeichen im Dokument verändern, ergäbe sich sofort ein völlig anderer Hashwert. Entsprechend würde die digitale Signatur völlig anders aussehen. Um die elektronische Unterschrift des Absenders zu prüfen, fordert der Empfänger den öffentlichen Schlüssel des Absenders beim Trust Center an. Dieses garantiert dafür, dass der öffentliche Schlüssel tatsächlich zu diesem einen Unterzeichner gehört. Nun berechnet der Empfänger des Dokuments ebenfalls den Hashwert des Dokuments und entschlüsselt mit dem öffentlichen Schlüssel des Absenders die digitale Signatur.
"Wenn beide Werte übereinstimmen, ist das Dokument fehlerfrei übertragen worden", sagt Prof. Meinel. Es stehe dann nachweisbar fest, dass dieses Dokument tatsächlich vom "richtigen" Absender stamme. Um das Verständnis für den Nutzen des Zwei-Schlüssel-Systems auf breiter Front zu fördern, bieten die Trierer Telematik-Experten auf der Website ihres Instituts (www.telematik-institut.org) neuerdings eine interaktive und allgemein verständliche Einführung in digitales Signieren und Nachrichten-Verschlüsselung an.
Institutsleiter Meinel hofft, dass mit der populären Darstellung einer Public Key Infrastruktur deren überzeugende Vorteile einer breiteren Öffentlichkeit bekannt gemacht werden können. Erst wenn die bisher existierenden Sicherheitsmängel allen bewusst gemacht seien und schließlich beseitigt würden, könne mit einem stärkeren wirtschaftlichen Wachstum der E-Commerce-Branche gerechnet werden, meint Meinel. Zwar existiere mittlerweile ein überarbeitetes Signaturgesetz in Deutschland, der Einsatz digitaler Signaturen sei aber noch die Ausnahme.
Der Trierer Telematik-Professor sieht den Staat in der Pflicht, ähnlich wie bei der Personalausweis- und Pass-Vergabe Verantwortung für die flächendeckende Einrichtung von Trust Centern zu übernehmen: "Die wesentlichen hoheitlichen Aufgaben sollte der Staat selbst erledigen. Und die Gewährleistung sicheren, rechtsverbindlichen Handels im Cyberspace ist eine hoheitliche Aufgabe!" Das als eingetragener Verein verfasste gemeinnützige und außeruniversitäre Institut für Telematik betreibt selbst ein Trust Center im eigenen Hause.
Am 1. Januar 1998 gegründet, kann das Institut, das sich schwerpunktmäßig mit der Sicherheit der Datenkommunikation in offenen Netzen beschäftigt, schon auf zwei Patente, zwei Promotionen und rund 70 Fachbeiträge zu internationalen Konferenzen verweisen. Zuletzt hatte ein Wissenschaftler des Instituts Mitte Mai auf dem 7. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik über das neue deutsche und amerikanische Signaturgesetz referiert.
Weitere Tätigkeiten des international beachteten Spitzenforschungsinstituts, das mit der Fraunhofer-Gesellschaft verbunden ist, sind anwenderfreundliche und praxistaugliche Hightech-Lösungen auf den Feldern M-Commerce, Internet/Intranet, Telemedizin und Elektronisches Publizieren. Auch mit Systementwurf und -analyse beschäftigt sich das rund 50-köpfige Mitarbeiterteam rund um Prof. Meinel.
Anfang Juni hatten die Trierer Telematik-Forscher die Sicherheitsrisiken des M-Commerce auf den Prüfstand gestellt. Bei einem Symposium, das parallel auch im Internet übertragen wurde, präsentierten ein Dutzend führende Experten aus Wissenschaft und Wirtschaft sowohl den Tagungs-Teilnehmern in Trier als auch den via Web-Cam verbundenen Interessenten aus aller Welt die künftigen Möglichkeiten der modernen Informations- und Kommunikationstechniken im Bereich der mobilen Anwendungen. Wie die durch technische Weiterentwicklungen und immer kompliziertere Anwendungen bedrohte Sicherheit des drahtlosen elektronischen Geschäftsverkehrs gewährleistet werden kann, stand dabei besonders im Vordergrund.