Mehr als 600 Sicherheitsexperten aus Wirtschaft, Verwaltung und Wissenschaft trafen sich auf dem Deutschen IT-Sicherheitskongress, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgerichtet hat. Das Motto "Odyssee im Cyberspace? Sicherheit im Internet!" war ein Fingerzeig darauf, dass die Entwicklung des Internet nicht absehbar, aber ganz sicher nur dann erfolgreich ist, wenn die Sicherheit gewährleistet ist.
Kein Wunder, dass es dem Weltmarkt für Sicherheitssoftware blendend geht. Wie das britische Marktforschungsunternehmen Datamonitor errechnete, haben Unternehmen im Jahr 2000 etwa 18,5 Milliarden Dollar für Authentifikation, Antivirusprogramme, Verschlüsselung, LANs, Firewalls und Public-Key-Infrastrukturen (PKIs) ausgegeben.
Deutscher MarktAllein 920 Millionen Mark Umsatz generierte die deutsche Kryptoindustrie, berichtete Franz Büllingen vom Wissenschaftlichen Institut für Kommunikationsdienste in Bad Honnef. Der deutsche Markt sei voller junger, meist mittelständischer Betriebe mit einer Exportquote von mehr als 60 Prozent und einer Wachstumserwartung von 20 bis 40 Prozent (Weltmarkt: 25 Prozent). Büllingen hat im vergangenen Herbst in einer Befragung dieser Unternehmen unter anderem erfahren, welche Faktoren die zukünftige Marktentwicklung beeinflussen. 68 Prozent der Firmen fanden die Qualitätsprüfung durch Zertifizierung zu zeitaufwändig und 64 Prozent zu teuer. 57 Prozent beklagten Arbeitskräftemangel, 54 Prozent fanden das allgemein fehlende Sicherheitsbewusstsein und 43 Prozent den Informationsstand ihrer potenziellen Kunden zu gering. Vier von fünf Firmen schätzen die liberale Krypto-Regulierung in Deutschland. Als echte Markthemmnisse wurden zu wenig Grundlagenforschung und Technologietransfer sowie eine fehlende Trust-Center-Infrastruktur genannt. Die Sensibilisierung für Sicherheitsfragen sei zwar mittlerweile Chefsache, stellte Büllingen fest, auf die Investitionsbereitschaft der Unternehmen habe das aber erstaunlicherweise kaum Einfluss.
Über alle wirtschaftlichen, technischen und organisatorischen Fragen hinaus stand in den Kongressvorträgen häufig der Mensch im Mittelpunkt. Mit rhetorischen Tricks setzen die Referenten dem technisch versierten Publikum immer wieder die Brille des Web-ungeübten Otto-Normalverbrauchers auf. "Stellen Sie sich vor, Ihre Mutter sollte im Internet eine Transaktion vornehmen. Für die ist das Eingeben der PIN schon eine entscheidende Hürde", mahnte Herbert Kubicek von der Universität Bremen. Kubicek ist Gründer des Bremer Stadtinformationssystems und am Ausbau der Site zu einer E-Government-Plattform beteiligt. Der Informatikprofessor führte vor, was ein Bürger nach derzeitigem Stand der Technik tun müsste, der das erste Mal online eine Behördendienstleistung in Anspruch nimmt. Ein simpler Vorgang wie die Bestellung und Bezahlung einer Geburtsurkunde wäre mit einem Gang ins Amt getan - online sind derzeit mehr als ein Dutzend Schritte notwendig.
Die Odyssee des Nutzers beginnt in einer Registrierungsstelle, wo er mit dem Personalausweis einen komplizierten Antrag auf eine Sign-Trust-Karte stellt, die er dann nach einer bis drei Wochen für 50 bis 150 Mark erhält, so Kubicek. Nach Download und Installation der zugehörigen Software merkt er, dass er einen Kartenleser benötigt. Im Internet erfährt er dann, welche es gibt, aber nicht wo, und im Handel wird ihm kaum jemand sagen können, welcher dieser Leser mit seiner Software kompatibel ist. Wenn alles läuft, kann er auf der Behörden-Website das Java-Bestellformular herunterladen, ausfüllen und signieren. Es folgt ein umfangreicher Sicherheitshinweis, der Nutzer befindet sich plötzlich auf der Website des Herstellers des Signierprogramms, steckt seine Karte in das Lesegerät, wartet 20 Sekunden und gibt dann seine PIN ein. Er bestätigt den eingegebenen Text und stimmt der Speicherung seiner Daten für spätere Bestellungen durch Klicken auf "OK" zu. Zum Bezahlen wird die Signaturkarte durch die Geldkarte ersetzt (sofern das Lesegerät beide Karten erkennt). Es folgen wieder die Authentifizierung, der Wechsel zur Website des Geldinstituts, die Eingabe des Betrages und dessen Abbuchung. "So ist Akzeptanz in der Bevölkerung wirklich nicht zu erlangen", schließt Kubicek.
Hauptgrund für das schleppende Anlaufen solcher E-Government-Anwendungen ist die Andersartigkeit der Verwaltungstransaktionen. Während Ware beim E-Commerce erst nach Auslieferung bezahlt wird, erfordern Behördenabläufe vor der Dienstleistung die vollständige Bezahlung und Quittierung. Der Homebanking-Standard Home Banking Computer Interface (HBCI) ist hierfür nicht ausreichend. Das erweiterte Protokoll Online Services Computer Interface (OSCI) versieht jede Nachricht mit einer Art Laufzettel, der Auskunft über Verteiler, Routing und Zeitpunkte des Aufenthalts gibt und so den Vorgang nachvollziehbar macht. Mittels der regelbasierten Nachrichtenübermittlung können beispielsweise Dienstleistungen mit Gebühreneingängen verknüpft werden. Der Nachweis einer fristgerechten Zustellung von bestellten Urkunden hat vor Gericht Bestand. Die entscheidende Verbesserung für Internet-Nutzer durch OSCI besteht darin, dass sie lediglich einen einzigen Kartenleser und eine kombinierte Signatur- und Geldkarte benötigen.
Voraussetzung für rechtlich sichere Bestell- und Bezahlvorgänge ist die elektronische oder digitale Signatur. So ist es nicht verwunderlich, dass die ersten beiden Preise des erstmalig verliehenen "Best-Paper-Award" des Bundesamtes für Sicherheit (BSI) an Referenten aus diesem Bereich gingen. Den ersten Preis erhielten Christoph Ruland und Niko Schweitzer vom Institut für Nachrichtenübermittlung der Universität Siegen für ihren Vortrag über die digitale Signatur von Bitströmen. In dem von ihnen vorgestellten Verfahren werden kontinuierliche Datenströme ohne zusätzliche Bandbreite unterschrieben, da die Forscher nicht von einer Bitstromunterteilung in Pakete ausgehen. Die Methode lässt sich sowohl zwischen Einzelnutzern als auch im Broadcasting verwenden.
Der zweite Preis ging an Armin Cremers, Adrian Spalka und Hanno Langweg vom Institut für Informatik III an der Universität Bonn. Sie präsentierten ein Verfahren, das Angriffe von Trojanischen Pferden auf elektronische Signaturen abwehrt. Das "Trojan Resistant Secure Signing" schränkt den Lese- und Schreibzugriff der zu signierenden Daten ein und macht sie so unveränderlich. Nutzer können diese Daten in jedem beliebigen Anwendungsprogramm erstellen und sie ebenso wie die PIN sicher bis zur Signaturchipkarte übertragen.
"Aspekte der Cross-Zertifizierung", der dritte prämierte Betrag, stammt aus dem Bereich der Public Key Infrastructure. Volker Hammer und Holger Petersen von Secorvo Security Consulting rückten damit das bisherige Randproblem der Zusammenarbeit zwischen PKI-Herstellern in den Mittelpunkt. Statt "Insellösungen" zu betreiben, können mit Hilfe von Cross-Zertifikaten unabhängige PKIs miteinander verknüpft werden. In einem Zertifikat werden Zusicherungen und Verpflichtungen der Teilnehmer (Firmen oder Einzelnutzer) festgeschrieben. Bislang ist die Nutzung solcher Zertifikate aufgrund von organisatorischen, rechtlichen und technischen Hürden und eines niedrigen Problembewusstseins allerdings noch gering.
*Andrea Bonder ist freie Journalistin in Bonn.
BSI als DienstleisterDas BSI richtet sein Aufgabenspektrum immer mehr auf das Internet aus. Die Beamten analysieren die IT-Entwicklung, erstellen Technologieprognosen und das IT-Grundschutzhandbuch, das mittlerweile zum Standardwerk geworden ist. In der Einsatzzentrale für IT-Notfälle (Computer Emergency Responsible Team, CERT) sitzt seit Sommer letzten Jahres ein Notfallteam, das bei "Vorfällen nationaler Bedeutung" aktiv wird. Das BSI beteiligt sich an der E-Government-Initiative "Bund Online 2005", die auf die Online-Stellung aller Dienste der Bundesregierung innerhalb der nächsten vier Jahre abzielt, mit der Herausgabe des Handbuches und Workshops für Behörden sowie dem Pilotprojekt "Sphinx", in dem die digitale Signatur bei E-Mails getestet wird. Die Entwicklung des BSI geht in Richtung Sicherheitsdienstleister und Manager für IT-Projekte.
Abb: Wichtig für die künftige Marktentwicklung sind ...
200 Hersteller von Kryptoprodukten antworteten auf die Frage, womit sich künftig am meisten verdienen lässt. Quelle: Wissenschaftliches Institut für Kommunikationsdienste, Bad Honnef