Die Geschäftskommunikation zwischen Unternehmen wird zunehmend über elektronische Medien abgewickelt. Telefax, E-Mail und File-Transfer sind die gängigsten Informationsträger. Bei geeignetem Einsatz dieser Techniken werden Bestell- und Bezahlungsvorgänge schneller und kostengünstiger abgewickelt, da der herkömmliche Postversand und die aufwendige Mehrfachdateneingabe wegfallen. Nach Aussage des amerikanischen Marktforschungsunternehmens Forrester Research wächst der elektronische Einzelhandel in den USA bis zum Jahr 2003 um durchschnittlich 70 Prozent.
Noch werden die Möglichkeiten der Vernetzung nicht in vollem Umfang genutzt. Insbesondere in Deutschland gibt es zwar verschiedene Pilotprojekte von Anbietern und Banken, aber insgesamt steckt der E-Commerce hierzulande noch in den Kinderschuhen. Ein Grund dafür ist, daß die elektronische Form von Dokumentenversand und -bearbeitung eine Reihe von Sicherheitsproblemen mit sich bringt.
Es ist hinlänglich bekannt, daß sich elektronische Dokumente einfach und unauffällig kopieren oder fälschen lassen. Dabei kommt es gerade bei der unternehmensübergreifenden Geschäftskommunikation auf Manipulationssicherheit, Authentizität, Beweisbarkeit und Rechtsverbindlichkeit von Dokumenten an. Diese Barriere für den E-Commerce kann durch das im letzten Jahr eingeführte Signaturgesetz und die Nutzung entsprechender Standards mittelfristig jedoch umgangen werden.
Eine Nachricht im Internet ist ungeschützt wie eine Postkarte und läßt sich ohne viel Aufwand lesen. Soll beispielsweise ein verbindlicher Heiratsantrag online gestellt werden, bietet es sich unbedingt an, die E-Mail mit einer digitalen Signatur zu schützen. So kann der Empfänger überprüfen, ob der Absender die Nachricht wirklich abgeschickt (Überprüfung der Authentizität) und auch niemand anderes die Nachricht auf dem Weg durch das Internet verändert hat (Überprüfung der Integrität). Möglich ist dies im privaten Bereich beispielsweise mit Pretty Good Privacy (PGP) schon seit längerem.
Für den Geschäftsbereich ist seit dem Inkrafttreten des Signaturgesetzes im Sommer 1998 die gesetzliche Grundlage für die digitale Signatur und Verschlüsselung elektronischer Nachrichten als Wegbereiter für den elektronischen Handel auch in Deutschland gegeben. So läßt sich nun auch mit einer E-Mail derselbe Grad der Vertraulichkeit erreichen, wie er mit einem verschlossenen Postbrief oder einer chiffrierten Botschaft möglich ist.
Bereits 1985 wurde eine Reihe von Standardisierungsempfehlungen für elektronische Post unter dem Standard X.400 veröffentlicht. Hier hatte sich die International Telecommunications Union (ITU) viel vorgenommen und Dienstelemente, normiert beispielsweise Einschreiben mit Rückschein, die auch bei der gelben Post häufig genutzt werden. Ein fehlender Verzeichnisdienst, eine komplizierte Adressierung, die Weiterentwicklungen der Marktführer Microsoft und Lotus sowie eine Reihe von Ergänzungen zum E-Mail-Dienst im Internet führten jedoch zu einem stetigen Rückzug der X.400-Produkte vom Markt.
Was sich im Bereich der Kommunikation zwischen Personen geändert hat, muß nicht unbedingt auch für den zweiten wichtigen Anwendungsbereich von X.400 gelten: die Kommunikation zwischen Warenwirtschaftssystemen mittels EDI beziehungsweise Edifact. Allerdings gilt: Wer sich privat scheut, seine Kreditkartennummer oder Bankverbindung über das Internet zu versenden, wird auch beruflich kaum Angebote, Bestellungen und Rechnungen darüber versenden. Speziell in diesem Anwendungsbereich des elektronischen Handels sind Provider aufgefordert, vertrauenswürdige Wege aufzuzeigen.
Administratoren von E-Mail-Systemen oder Opfer der elektronischen Werbepost werden mit manipulierten Nachrichten konfrontiert, deren Ursprung sich nicht zurückverfolgen läßt. Authentizität kennzeichnet, daß eine Nachricht eindeutig von einer bestimmten Person versendet wurde. Die Briefpost stellt dies beispielsweise durch eine Unterschrift sicher. Der Nachweis der Authentizität ist neben ihrem unmittelbaren Nutzen auch Grundlage von Zugriffsschutzverfahren, die nur Berechtigten Zugang zu Daten und Diensten erlauben.
Integrität hingegen bedeutet, daß die Nachricht auf ihrem Weg nicht verändert wurde. Die Sicherstellung der Integrität erfolgt mit Hilfe der Kryptografie. Etabliert hat sich ein asymmetrisches Verfahren, das 1976 von Whitfield Diffie und Martin Hellmann vorgestellt wurde, die Public-Key-Infrastruktur (PKI). Deren Grundlage ist die Verwendung zweier Schlüssel, einem privaten und einem zugehörigen öffentlich zugänglichen Schlüssel. Der geheime (private) Schlüssel darf wie eine PIN für die EC-Karte nicht weitergegeben werden und sollte sich auf einer Chip-Karte oder einem ähnlich sicheren Datenträger befinden.
Wird eine Person zertifiziert, so geschieht dies über die Bindung ihres öffentlichen Schlüssels an ihren Namen und an weitere Informationen, die das zu zertifizierende Objekt eindeutig charakterisieren. Eine Zertifizierungsstelle bestätigt dann als vertrauenswürdiger Dritter diese Bindung zwischen Empfänger und Absender mittels einer digitalen Unterschrift. In der Regel handelt es sich dabei um ihren eigenen öffentlichen Schlüssel.
Die Zertifizierungsstelle erzeugt einen Eintrag mit dem Zertifikat in das Public Key Directory (öffentliches Schlüsselverzeichnis). Von diesem Directory können alle gültigen Zertifikate abgefragt werden. Die Verteilung der Zertifikate beziehungsweise der privaten Schlüssel muß durch geeignete Medien in einer vertrauenswürdigen und sicheren Weise erfolgen. Ein Zertifikat ist eine Datei geringer Größe und enthält typischerweise Informationen wie die Namen des Eigentümers und der Ausgabestelle, einen Gültigkeitsnachweis und eine Seriennummer.
Das Signaturverfahren basiert auf zwei wesentlichen Anforderungen. Erstens muß der geheime Schlüssel wirklich geheim sein, was bedeutet, daß er weder von anderen eingesehen noch verwendet werden kann. Zweitens muß der öffentliche Schlüssel jedem zugänglich gemacht werden, der die Authentizität und Integrität der Nachricht sicherstellen möchte.
Für die Verbreitung des öffentlichen Schlüssels an einen großen Personenkreis bietet sich ein X.500-Verzeichnisdienst an. Er gestattet den Zugriff auf die Public Keys mit offenen Protokollen wie dem X.500-Protokoll DAP oder dem Internet-Protokoll LDAP. Denn die digitale Signatur und Verschlüsselung sind für den elektronischen Handel nur dann sinnvoll, wenn für die Geschäftspartner ein einfacher Zugriff auf den öffentlichen Schlüssel des betreffenden Gegenübers möglich ist.
Aus diesem Grund wurde der Verzeichnisdienststandard X.500 entwickelt, der die Datenstrukturen festlegt. Es ist jedoch absehbar, daß sich ein globaler Verzeichnisdienst auf Basis von LDAP und X.500 durchsetzen wird, der die einfache Handhabung von Sicherheitssystemen erst erlaubt. Neben den öffentlichen Schlüsseln eines Kommunikationspartners können in Directories weitere nützliche Informationen wie E-Mail-Adressen, Telefon- oder Telefaxrufnummer gespeichert und zur Verfügung gestellt werden.
Globales öffentliches Schlüsselverzeichnis
Der Vorteil von X.500 im Server-Bereich liegt darin, daß über das international standardisierte Protokoll ein automatischer Abgleich von öffentlichen Verzeichnissen erfolgt und hierdurch ein globales öffentliches Schlüsselverzeichnis entsteht. Für den einfachen Zugriff auf die öffentlichen Schlüssel aller Kommunikationspartner wird über das Verzeichnis hinaus eine Software zur Verschlüsselung und Signatur benötigt, die sich leicht in die Kommunikationsprogramme (E-Mail-System, Browser) integrieren läßt. Aufgrund der umständlichen Handhabung wird der Weg, zunächst ein Dokument zu signieren und dann über das E-Mail-System zu versenden, wohl nur zögerlich akzeptiert. Sinnvoll erscheint auch hier der Zugriff über LDAP auf die PKI in der Software selbst.
Die Gesellschaft bewegt sich weg von einem papierorientierten Kommunikationsmodell hin zur modernen digitalisierten Wirtschaft. Mit zunehmendem Einsatz der modernen Technik nehmen aber auch die Sicherheitsanforderungen zu. Die Industrie hat schon vor geraumer Zeit mit asymmetrischen Kryptoverfahren entsprechende Sicherheitsdienste entwickelt.
Für den Bereich des klassischen Electronic Data Interchange, also dem Austausch von Geschäftsdokumenten zwischen Warenwirtschaftssystemen, bestehen jedoch auch nach Einführung des Signaturgesetzes starke Vorbehalte, Informationen über das Internet zu versenden. Zur Verbesserung sind Multiprotokoll-Mail-Systeme, die neben den Internet-Mail-Diensten auch X.400 unterstützen, erforderlich. Meta-Directories auf Basis von LDAP und X.500 können sowohl für das Internet als auch für EDI via X.400 genutzt werden. Sie bieten den Anwendern vielfältige Möglichkeiten zur Vernetzung ihrer bisherigen Informationsinseln mit umfangreichen Sicherheitsmechanismen. Festzuhalten bleibt jedoch, daß der Wandel von X.400 zu X.500 noch nicht abgeschlossen ist. Beide Standards behaupten nach wie vor ihren Platz in der digitalen Welt.
Angeklickt
Um rechtsverbindliche Geschäfte über das Internet tätigen zu können, müssen Authentizität und Integrität digitaler Nachrichten gewährleistet sein. Öffentliche Schlüsselverzeichnisse auf Basis der X.400- und X.500-Directory-Services können ihren Teil dazu beitragen, daß der elektronische Handel künftig sicher abläuft.
*Holger Wosnitza ist Vertriebsleiter für Messaging und Directory Services beim Softwarehaus Dr. Materna GmbH in Dortmund.
Abb: Der elektronische Handel kommt erst richtig in Gang, wenn Anbieter für starke Sicherheitsfunktionen sorgen. Dazu zählen auch leistungsfähige Public-Key-Funktionen. Quelle: Dr. Materna GmbH