Selbst die Telekom wird als Vorreiter erst im September soweit sein. Ein halbes Jahr später wollen Bundesdruckerei und Debis IT Security Services mit dem gemeinsamen Projekt "D-Trust" folgen.

Nicht einmal der oberste Hüter der digitalen Signatur in Deutschland, die Regulierungsbehörde für Post und Telekommunikation (RegTP) verfügt bis dato über ein eigenes Trust-Center um andere Unternehmen zertifizieren zu können. Nach einer internationalen Ausschreibung baut die Telekom derzeit eine entsprechende Struktur für die Regulierer auf.

Anläßlich des zweiten Symposiums der Anwendervereinigung CNEC (Competence Network of Electronic Commerce) erläuterte Paul Mertes von der Telesec am Beispiel des eigenen Hauses, wie aufwendig die Umsetzung der Signaturverordnungen ist. Mertes ist bei der Telekom-Tochter zuständig für Marketing-Support, Finanz-Management und Recht. Allein für die Evaluation der technischen Komponenten und die Überprüfung des Gesamtsystems durch die RegTP müsse ein Unternehmen laut Mertes ein bis anderthalb Jahre einkalkulieren. Etwa eine halbe bis eine Million Mark seien für den Genehmigungsprozeß anzusetzen.

Erste große Hürde auf dem Weg zur Zertifizierungsinstanz ist das sogenannte Sicherheitskonzept, das alle Kandidaten den Regulierern vorlegen müssen. Hier wird jede sicherheitsrelevante Kleinigkeit, vom Antragsformular für den Kunden bis zum dazugehörigen Briefumschlag, detailliert beschrieben. Die Bestätigung und Prüfung habe alleine 800 000 Mark gekostet, so Mertes. Weiterhin sind Zertifizierer gehalten, ein aufwendiges Dokumentenmanagement zu betreiben und Verzeichnisdienste aufzubauen, die Aussagen über Identitätszertifikate und Attribute wie Prokura ermöglichen. Einzelne Zertifikate müssen 35 Jahre lang aufbewahrt werden, sprich reproduzierbar sein. Außerdem sollen Trust-Center alle Kunden mit einem "Beipackzettel" über Risiken und Nebenwirkungen der digitalen Signatur genau informieren. Zeitstempel- und Sperrdienste (ähnlich einer Kontosperre bei Verlust der EC-Karte) runden zusammen mit einer Hotline das Leistungsspektrum ab. Letzter ist zwar nicht zwingend vorgeschrieben, doch ohne sie dürfte ein Unternehmen die Kunden kaum bei der Stange halten. Für einen 24-Stunden-Sperrdienst setzt Mertes etwa zwölf Vollzeitkräfte an.

Vor diesem Hintergrund verwundert es kaum, daß bei der Regulierungsbehörde erst elf Anträge eingegangen sind. Johannes Ueberberg, Senior Consultant bei Debis rechnet mittelfristig mit maximal fünf Anbietern. Sicherlich werden sich nur finanzkräftige Unternehmen mit starken Partnern den Aufwand einer SigG-konformen Struktur leisten können. Über die Bundesdruckerei und die Meldeämter kann Debis beispielsweise die vorgeschriebene persönliche Erstidentifikation eines Kunden abwickeln. Die Telekom will hierzu das eigene Vertriebsnetz der "T-Punkte" einsetzen.

So droht durch die hohen Hürden, die das Signaturgesetz errichtet, die Quasi-Monopolisierung des Marktes durch einige wenige Anbieter. Diese Gefahr sieht auch Teletrust-Chef Reimers. Sein Verein werde sich entschieden für einen Wettbewerb auf diesem Gebiet einsetzen. Ob diesen Bemühungen Erfolg beschieden ist, darf angesichts der Teletrust-Mitgliederliste zumindest angezweifelt werden. Hier finden sich sowohl Debis und die Bundesdruckerei, als auch die Telesec.