Der Kontakt von Mensch zu Mensch nimmt im Informationsprozeß immer mehr ab. Zwischen die Kommunikationspartner ist eine Technik getreten, die zwar vieles rationalisiert, vor menschlicher Manipulation aber nicht sicher ist. Eckart Raubold* skizziert in diesem Beitrag Sicherheitsrisiken und stellt die Frage nach übergeordneten, anonymen Instanzen, die moderne Kommunikation nachprüfbar machen.

Zu den wichtigsten Voraussetzungen, damit die Informationstechnik zum Medium einer umfassenden Kommunikation werden kann und als solches auch akzeptiert wird, gehört, daß sie sicher, verläßlich und vertrauenswürdig wird. Das geht weit über den Geheimnisschutz oder die Abwehr von Angriffen der sogenannten "Computer-Viren" hinaus.

Das tägliche Leben dreht sich weniger darum, Dinge geheimzuhalten, als nachweisbar zu machen. Auch mit einem elektronischen Medium muß es möglich sein, Sachverhalte wie beispielsweise Geschäftsabläufe rechtlich beweiskräftig zu rekonstruieren. Eine elektronische Bestellung muß ebenso rechtsverbindlich und unverfälschbar sein wie die Lieferung einer Rechner-Dienstleistung und die Bezahlung per Computer. Nur von einem solchen Ansatz her bestehen Aussichten, diese Probleme überzeugend zu lösen.

Um sich über die Anforderungen an ein zuverlässiges System der globalen Kooperation mit Hilfe der Informationstechnik sowie auch über dessen mögliche Gefährdungen klar zu werden, ist es hilfreich, ein Modell mit den wichtigsten Rollenträgern zu konzipieren. Es besteht im einfachsten Fall aus

- mindestens zwei Benutzern des technischen Mediums, die miteinander kooperieren wollen,

- einem Betreiber des Leitungsnetzes und seiner technischen Einrichtungen, mit dem die Benutzer in der Regel einen Vertrag über die Nutzung des Mediums schließen müssen sowie

- einem Konstrukteur, der bestimmte Anwendungen wie File-Transfer oder einen elektronischen Briefkasten entwickelt und den Benutzern über das technische Medium des Betreibers anbietet (siehe Abbildung).

Vier Basisangriffe werden diskutiert

Wichtig ist in jedem Fall, daß es nicht um Beziehungen zwischen Computern oder Computersystemen geht, sondern um Beziehungen zwischen Menschen, die sich der Computer bedienen. Diese Beziehungen sind allerdings Gefährdungen ausgesetzt, die beim "Zwischenschalten" eines elektronischen Mediums besondere Probleme aufwerfen und denen es zu begegnen gilt. Im wesentlichen werden vier Basisangriffe auf dieses Beziehungsgeflecht diskutiert:

- Vortäuschen einer Identität. Beispiel: Person A nimmt von Person B eine Dienstleistung in Anspruch, täuscht aber vor, Person C zu sein.

- Unbefugtes Lesen: Man bringt sich in den Besitz von Informationen, die nicht für einen bestimmt sind.

- Unbefugtes Ändern: Das Spektrum reicht vom Fälschen eines elektronischen Textes über das gezielte Verändern von Programmen etwa zum Zweck der persönlichen

Bereicherung bis hin zu reiner Sabotage. Virenangriffe sind ein - wenn auch spektakulärer -Spezialfall eines solchen Szenarios.

- Ableugnen einer Handlung. Beispiel: A behauptet, keine Nachricht an B gesandt zu haben, oder C leugnet den Empfang einer Nachricht von D. In der Regel wird damit

implizit behauptet, daß das technische System einen Fehler gemacht oder ein Dritter mit vorgetäuschter Identität gehandelt hat.

Prinzipiell sind diese Angriffe auf die Kooperationsbeziehungen zwischen Partnern nicht neu. Sie sind auch mit technischen Mitteln nicht zu verhindern. Es muß aber mit allem Einfallsreichtum des Forschers und Entwicklers erreicht werden, daß das technische System als Medium zumindest auf Dauer keine zusätzlichen Störungen und Risiken zwischen den Partnern erzeugt, so daß Konflikte zwischen Benutzern des Mediums immer und sicher wieder auf Konflikte zwischen Menschen zurückgeführt werden können. Nur dann ist der reibungslose Betrieb und die Benutzung der Technik auch verantwortbar.

Folgende vier Eigenschaften müssen hierzu von einem technischen Medium mindestens erfüllt werden.

0 Funktionsgewißheit: Der Benutzer muß genau wissen, welche Wirkungen ein Auftrag hat, den er dem Medium gibt. Er muß sicher sein können, daß sein Auftrag wie gewollt ausgeführt wird oder daß das System ihm anderenfalls eindeutig mitteilt, daß der Auftrag nicht erledigt werden konnte. Nicht verantwortbar wäre, wenn Unbeteiligte mitbetroffen oder Beteiligte in anderer Weise betroffen würden als beabsichtigt.

0 Partnergewißheit: Der Benutzer muß sicher sein können, daß er es mit dem gewünschten Partner und mit keinem anderen zu tun hat. Ihm muß nicht etwa die persönliche Identität des Partners routinemäßig mitgeteilt werden, er muß sie auch nicht in jedem Fall erfragen können. Bei einem Interessenkonflikt aber muß das System garantieren, daß diese Identität auch nachträglich festgestellt werden kann.

0 Nachweisbarkeit des Verursachers: Die Ausrede, "das System sei schuld", darf keinerlei reale Basis haben. Jede ausgelöste Wirkung muß notfalls bis zu ihrem letztlich menschlichen Verursacher zurückverfolgt werden können.

0 Schutz der persönlichen Daten: Die Prinzipien der Partnergewißheit und der Nachweisbarkeit des Verursachers dürfen nicht zum "gläsernen Benutzer" des Kooperationssystems, zur Aufhebung jeder Anonymität und Privatsphäre führen. lnformationen und Informationsdienste muß man in einem solchen System erwerben können, wie Waren in einem Supermarkt. Sie dürfen insbesondere nicht ohne Wissen des Betroffenen nutzbar gemacht werden.

Es muß einen Vertrauensträger geben

Aus den prinzipiellen Anforderungen an ein solches System und den möglichen Gefährdungen folgt, daß es einen entscheidenden Funktionsträger geben muß, - nämlich den "Vertrauensträger". Er ist dazu da, Angriffe auf das Beziehungsgeflecht abzuwehren oder zumindest entdeckbar zu machen. Als Dritter im Bunde, vertrauen ihm beide kooperations- oder kommunikationswilligen Benutzer, ohne sich gegenseitig zu kennen. Er ist sozusagen der Notar, der Verläßlichkeit und Verantwortbarkeit garantiert, weil er die systemtechnischen Möglichkeiten dazu hat und selbst keinerlei Interessen in diesen Beziehungen verfolgt.

Technisch gesehen kann dieser "Vertrauensträger" beispielsweise eine Zertifizierungsinstanz sein. Sie ist für die Vergabe und Beglaubigung der beiden Code-Schlüssel zuständig, die für die in der GMD unter dem Namen "TeleTrusT" entwickelte elektronische Unterschrift aus der Chipkarte notwendig sind. Nur diese Instanz weiß, welcher Person der geheime Teil des Schlüsselpaares zugewiesen wurde. Über diese elektronische Unterschrift kann dann, falls notwendig, herausgefunden werden, wer welche Aktion ausgelöst hat oder ob ein elektronisches Dokument so und nicht anders von einer bestimmten Person verfaßt wurde oder nicht.

Chipkarten zuteilen und Signatur beglaubigen

Ein solches "Vertrauensträger-System" muß nicht zentral, sondern kann durchaus hierarchisch organisiert sein. Beispielsweise kann die Gesellschaft für Mathematik und Datenverarbeitung (GMD) ihren Mitarbeitern Chipkarten zuteilen und die elektronischen Unterschriften beglaubigen. Auf der nächsthöheren Ebene könnte ein Ministerium oder eine Kammer Unternehmen wie die GMD zertifizieren und notfalls mitteilen, daß eine bestimmte Unterschrift von einem GMD-Mitarbeiter stammt und die GMD weiß, um welche Person es sich handelt. Eine weltweite Organisation, die den einzelnen Staaten Chipkarten-Schlüsselpaare zuteilt, ist darüber hinaus denkbar, muß es aber nicht geben: Im Prinzip reicht es aus, daß sich die jeweiligen nationalen Zertifizierungsinstanzen vertrauen.

Zur Zeit kein Mandat für Verschlüsselungsstandard

Obwohl eine technische Lösung der Sicherungsprobleme bekannt ist, sind noch eine Reihe von Problemen zu bewältigen, bis eine wohlverstandene, am Markt eingeführte und breit akzeptierte Sicherungstechnik wirklich erreicht werden kann. Als Basis ist zunächst ein öffentlicher Standard für ein geeignetes Verschlüsselungsverfahren erforderlich. Solche Verfahren sind bekannt und erprobt, aber zur Zeit hat die ISO kein Mandat für die Festlegung eines solchen Standards.

Ferner sind ISO-Standards für die wichtigsten Sicherungsdienste auf der Grundlage des oben genannten Verschlüsselungsverfahrens notwendig. Hier gibt es zwar schon Festlegungen für den speziellen Einsatzfall des Umgangs mit elektronischen Teilnehmerverzeichnissen bei elektronischer Post, aber die Verallgemeinerung steht als Standardisierungsaufgabe noch aus.

Schließlich muß für eine verläßliche Implementation der Sicherungsverfahren in den beteiligten Rechnern, also insbesondere auch in den Rechnern an den Arbeitsplätzen, gesorgt werden. Daß dieses Problem nicht einfach zu lösen ist, beweisen immer wieder neue Nachrichten über "Viren" in Rechnersystemen. Zunächst ist "sicher", daß mit herkömmlichen Betriebssystemen wie DOS und Unix der Konflikt zwischen Eigengestaltbarkeit der lokalen Software-Umgebung und Manipulationssicherheit bestimmter Systemfunktionen prinzipiell nicht beseitigt werden kann. Es müssen also neue Wege gesucht und gefunden werden.

Am wichtigsten scheint aber die Forderung zu sein, bei der Entwicklung und Einführung solcher auf allgemeine Verwendbarkeit und Anwendung durch jedermann zielenden Sicherungssysteme schrittweise und in enger Wechselwirkung von Entwicklung und Erprobung vorzugehen. Hierbei müssen ständig auch die Fragen der möglichen gesellschaftlichen Folgen und ihrer Verträglichkeit mit unserem Sozial- und Rechtssystem untersucht werden. Nur so kann die schwierige Gratwanderung zwischen den Vorteilen der Rechnerunterstützung in einer Informationsgesellschaft und den Gefahren der Verdatung und Formalisierung unserer Informationsbeziehungen gesteuert werden.