MÜNCHEN (COMPUTERWOCHE) - Nachdem im vergangenen Monat in Deutschland das neue Signaturgesetz in Kraft getreten ist (Computerwoche online berichtete), gibt es nun zunehmend Zweifel an der Sicherheit der digitale Unterschriften. Einem Bericht von "Spiegel Online" zufolge sehen Experten das Sicherheitsrisiko vor allem in dem Microsoft-Betriebssystem Windows.
Wissenschaftliche Mitarbeiter des Bonner Instituts für Informatik hatten bereits im Herbst vergangenen Jahres Sicherheitslücken bei der Erstellung von digitalen Unterschriften entdeckt. Die Experten programmierten einen so genannten Trojaner, der bei der derzeit im Handel verfügbaren Signiersoftware nicht nur die persönliche Identitäts-Nummer (PIN) auslesen, sondern auch die versendeten Dokumente manipulieren konnte. "Dafür braucht man nicht Informatik studiert zu haben", so Institutsmitarbeiter Armin Cremers.
Die Regulierungsbehörde für Telekommunikation und Post ( RegTP) hat unterdessen auf ihren Websites einen Sicherheitshinweis veröffentlicht. Die Behörde sieht die Ursache des Problems in "den heute üblichen PC-Betriebssystemen, die praktisch das Fundament bilden, auf dem eine Signaturanwendungskomponente in Form von Spezialsoftware aufsetzen" müsse. Die RegTP rät den Kunden, dass Anwenderkomponenten bei der Erzeugung digitaler Signaturen "nur auf vertrauenswürdigen IT-Systemen betrieben werden sollten".
Microsoft wies Darstellungen zurück, wonach Windows allein die Schwachstelle bei der elektronischen Unterschrift sei. "Praktisch betrifft dies alle Betriebssysteme mit grafischer Benutzeroberfläche", so ein Firmensprecher. Nach Meinung von Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnik (BSI) besteht das Hauptproblem jedoch in der Nutzung des Microsoft-Betriebssystems. Hier gebe es die Sicherheitslücke, die für Viren und Trojaner erst eine Angriffsfläche biete. "Die Sicherheitsprobleme in Microsoft Outlook sind ja schon länger bekannt", sagte Dickopf.
Für die Zukunft rechnet er damit, dass zunehmend alternative Betriebssysteme wie etwa "Linux" eingesetzt werden. "Künftige Strategien werden mit Sicherheit auf Open-Source- Lösungen basieren", so Dickopf. Eine mögliche Übergangslösung könnte die Nutzung von Chiplesegeräten mit eigener Tastatur sein, die beim Lesevorgang der PIN-Nummer nicht auf das Betriebssystem zurückgreifen müssen.