Noch Mitte der 90er Jahre mussten sicherheitsbewusste IT-Verantwortliche mit der Lupe nach professionellen Verschlüsselungslösungen suchen - das wenige, was es gab, war dann meist noch proprietär. Bereits zwei Jahre später hatte sich der Markt jedoch entscheidend verändert: Wer sich Sorgen um vertrauliche Daten machte, konnte auf eine ständig größer werdende Auswahl von Verschlüsselungslösungen für hohe Ansprüche zurückgreifen. Fortschritte in der Standardisierung sorgten zudem dafür, dass sich unterschiedliche Lösungen gegenseitig verstanden. Inzwischen ist die Entwicklung sogar so weit, dass ein Hersteller mit einer reinen Verschlüsselungslösung kaum noch einen Kunden beeindrucken kann - dies hat die Systems ''99 gezeigt. Als nächsten Schritt propagiert Willi Mannheims vom Essener IT-Sicherheitsspezialisten Secunet Security Networks AG die Schaffung der notwendigen Rahmenbedingungen. Darunter versteht er, dass so genannte Public-Key-Infrastrukturen (PKI) aufgebaut werden müssen.
Hinter dem Begriff PKI verbirgt sich die Gesamtheit der Hard- und Software, die die Arbeit mit modernen Public-Key-Verfahren ermöglicht. Public-Key-Verfahren lassen sich zum Verschlüsseln und digitalen Signieren verwenden. Sie zeichnen sich dadurch aus, dass zum Verschlüsseln einer Nachricht ein anderer Schlüssel verwendet wird als zum Entschlüsseln. Aufgabe einer PKI ist es dabei, für die Verteilung, Beglaubigung und Sperrung der Schlüssel zum Verschlüsseln (öffentliche Schlüssel) zu sorgen und nebenbei die Schlüssel zum Entschlüsseln (private Schlüssel) zu schützen. Beglaubigte Schlüssel werden auch als digitale Zertifikate bezeichnet.
Die gängigste Form der PKI sieht eine Zentralstelle als wichtigsten Bestandteil vor. Das Trust-Center ist für die Ausgabe und Sperrung von digitalen Zertifikaten zuständig. Für ein Unternehmen bedeutet dies, dass ein neuer Mitarbeiter sich beim Trust-Center des Unternehmens anmelden muss, um ein digitales Zertifikat und den zugehörigen privaten Schlüssel zu erhalten. Scheidet ein Mitarbeiter aus, wird sein Schlüsselpaar gesperrt. Damit öffentliche Schlüssel für alle Firmenmitarbeiter und externe Kommunikationspartner zugänglich sind, gehört zu einem Trust-Center meist auch eine Datenbank (Verzeichnisdienst), die digitale Zertifikate allgemein zugänglich speichert.
Die Vorteile einer PKI mit Trust-Center sind gerade für größere Unternehmen erheblich. Jeder Mitarbeiter kann damit Daten so verschlüsseln, dass sie nachprüfbar nur für die gewünschten Empfänger lesbar sind. Jeder Empfänger kann wiederum zuverlässig den Absender feststellen. Schon durch dieses Prinzip wird ein Maß an Sicherheit erreicht, das mit einfacher Verschlüsselung nicht realisierbar ist. Doch eine PKI leistet noch mehr: Da Public-Key-Verfahren auch digitale Signaturen ermöglichen, lassen sich vielfach Unterschriften durch ein digitales Äquivalent ersetzen. Die Anmeldung an Computersystemen ist eine weitere PKI-Anwendung.
Neben einem Trust-Center gehören zu einer PKI natürlich noch andere Bestandteile: Zu nennen sind vor allem die Anwenderkomponenten, die zum Verschlüsseln und Signieren eingesetzt werden. PKI-taugliche Software in Form von Plug-ins für E-Mail-Verschlüsselung, für Dateiverschlüsselung oder WWW-Proxies gibt es längst zuhauf und von verschiedenen Herstellern. Alle wichtigen PKI-Bestandteile sind im PKIX-Standard des Internet-Standardisierungsgremiums IETF (Internet Engineering Task Force) spezifiziert.
Dass Public-Key-Infrastrukturen mehr sind als eine Spielerei, hat inzwischen auch der Gesetzgeber erkannt. Das 1997 in Kraft getretene Signaturgesetz und die dazugehörenden Bestimmungen bestehen zum großen Teil aus Anforderungen, die eine PKI erfüllen muss, um dem Gesetz zu entsprechen. Einen Zwang, sich bei der Verwendung digitaler Signaturen daran zu halten, gibt es jedoch nicht. Vielmehr beschreibt das Gesetz eine Art Standard, dessen Einhaltung verschiedene Vorteile bringen soll. Unter anderem kann die Befolgung des Signaturgesetzes die Beweisführung vor Gericht deutlich erleichtern.
Noch gibt es jedoch nur wenige PKI-Hersteller und Trust-Center-Betreiber, die sich an das Signaturgesetz halten. Zu den wenigen gehört neben der Deutschen Telekom (Telesec) inzwischen auch die Deutsche Post, die ihr Trust-Center 1999 der Öffentlichkeit vorstellte. Marcus Belke von Deutsche Post Signtrust attestiert der Lösung bereits eine erhebliche Nachfrage. "Da wir unsere Zertifikate in den Postfilialen verkaufen wollen, rechnen wir auch mit einem beträchtlichen Privatkunden-Geschäft", fügt er hinzu. Die Hersteller von PKI-Produkten wie Entrust, Baltimore oder Celo, konnten sich dagegen bisher nicht entschließen, ihre Produkte an das Gesetz anzupassen. Kein Wunder, schließlich erfordert das Signaturgesetz aufwändige Sicherheitsevaluationen, die Millioneninvestitionen voraussetzen.
Die hohen Kosten, die das Signaturgesetz nach sich zieht, haben dazu geführt, dass sich nahezu alle am Betrieb einer PKI interessierten Unternehmen bisher nicht daran halten. Schwerer als diese Entscheidung fällt dagegen meist die Beantwortung der Frage, ob ein Unternehmen ein Trust-Center selbst betreiben soll oder ob man Outsourcing praktiziert. Dies stellen etwa die genannten signaturgesetzkonformen Trust-Center zur Verfügung. "Wir bieten unseren Kunden den Betrieb eines virtuellen Trust-Centers an", erklärt Belke. "Dabei werden alle Trust-Center-Funktionen von uns übernommen. Nach außen hin ist jedoch nur unser Kunde als Betreiber sichtbar."
Wie immer beim Thema Outsourcing hoffen die Befürworter, dass durch das Auslagern lästige Arbeit entfällt, während sich das Unternehmen auf das Kerngeschäft konzentrieren kann. Outsourcing-Gegner argumentieren dagegen, dass eine solch sicherheitskritische Aufgabe nicht aus dem Haus gegeben werden sollte. Bisher entscheiden sich die meisten Unternehmen für den Eigenbetrieb.
Bei allen Vorteilen - billig ist der Aufbau einer PKI nicht. Schon für die Anschaffung der für den Betrieb eines Trust-Centers nötigen Hard- und Software sind Investitionen in der Größenordnung von 100000 Mark aufzubringen. Zu den Ausgaben für die Technik kommen neben Wartungsverträgen und Administrationskosten noch Aufwände für Konzeption und Schulung. Schließlich ist eine PKI ein komplexes System, dessen Aufbau gut durchdacht sein muss. Ein Betriebsplan für das Trust-Center sowie ein Sicherheitskonzept sind genauso notwendig wie Schulungen der Mitarbeiter. Letztere spielen nicht zuletzt auch deshalb eine Rolle, weil die Akzeptanz der Anwender häufig nicht gegeben ist. Verschlüsselung und Signatur sind für viele Mitarbeiter nun einmal lästig, während die Vorteile indirekter Natur sind.
Laut Willi Mannheims gibt es jedoch auch einen Aspekt im Zusammenhang mit Public-Key-Infrastrukturen, der sowohl Anwender als auch Controller überzeugen kann: "Ist eine PKI erst einmal aufgebaut und wird sie für unterschiedliche Anwendungen genutzt, dann kann sie das Leben erleichtern und Kosten sparen", so Mannheims. "Eine Kostenersparnis ergibt sich vor allem dann, wenn Geschäftsprozesse neu gestaltet werden. So lassen sich etwa Bestellungen, Quittungen und Urkunden mit Hilfe digitaler Signaturen papierlos realisieren." Auch für die Anwender gibt es Vorteile: Bestimmungen, die das Versenden sensibler Daten per E-Mail verbieten, entfallen, und das lästige Hantieren mit mehreren Passwörtern für unterschiedliche Anwendungen gehört der Vergangenheit an.
* Klaus Schmeh arbeitet für die Secunet Security Networks AG im Bereich Public-Key-Infrastrukturen.
Abb.: Zu einer PKI gehören neben einem Trust-Center mit Verzeichnisdienst vor allem Anwenderkomponenten wie Datei- oder E-Mail-Verschlüsselungssoftware. Quelle: Schmeh