Electronic Commerce/Chipkarten mit Koprozessor sollen E-Commerce absichern

Technik und Recht müssen Hand in Hand gehen

16.10.1998

Zunächst stellt sich eine grundsätzliche Frage: Welche fundamentalen Anforderungen an die Sicherheit in Netzen gilt es zu erfüllen? Zu unterscheiden sind hier die Angriffsarten und die Schutzwälle (siehe Abbildung "Schutzwälle").

Ein sicheres Netz muß fünf Typen von Attacken abwehren können:

- Ausspähung: Schutz gegen das Mitlesen von Informationen. Dies schließt auch Paßwörter ein.

- Verlust der Integrität: Schutz gegen die Manipulation von Inhalten (beispielsweise in einem Vertrag die Änderung einer Summe von 10000 Mark in 100000 Mark oder umgekehrt).

- Unerlaubte Handlungen: Darunter fällt eine Vielzahl denkbarer Aktivitäten. Dies reicht von der Vireneinschleusung über das Lahmlegen von Rechnern bis zur Blockade ganzer Netze.

- Identitätsfälschung: Die Partner auf beiden Seiten der elektronischen Kommunikation müssen sich über die Identität des jeweils anderen absolut sicher sein (mit wem rede ich?). Es darf also nicht möglich sein, Inhalte unter einem fremden Namen zu versenden.

- Ableugnung: Dies ist der umgekehrte Fall - einer der (echten) Partner bestreitet nachträglich, daß und mit welchem (echten) Inhalt die Kommunikation stattgefunden hat. Auch dagegen wird ein Schutzmechanismus benötigt.

Die Abwehr gegen Angriffe muß mehrere Ebenen umfassen:

- Organisation: Auf dieser Ebene geht es um allgemeine Sicherheitskonzepte. Dazu gehört beispielsweise die Klassifizierung des Vertraulichkeitsgrads von Informationen: Wer hat prinzipiell den Zugang zu welchen Informationen - und wer nicht?

- Zugangskontrolle: Die befugten Personen müssen individuell zweifelsfrei identifiziert werden - wer meldet sich an, wer will in welchen Rechner und in welches Netz hinein? Welche Befugnisse besitzt er?

- Firewalls: Sie schützen abgrenzbare Netzabschnitte gegen unbefugten Zugang und wirken wie Schutzmauern um eine Festung. Firewalls können verglichen werden mit den Wachen, die an den Festungstoren stehen. Was Firewalls aber nicht können: gegen Übeltäter schützen, die bereits in der Festung sind. Die Erfahrung zeigt, daß der weitaus größte Anteil bemerkter Angriffe von innen kommt. Daher ist die vierte Schutzebene die wichtigste:

- Kryptografie: Hier geht es um die Datenverschlüsselung sowie um die benutzten Algorithmen, Schlüssel und Verfahren. Dafür stehen verschiedene technische Ansätze zur Verfügung, die eines gemeinsam haben: Sowohl die Codierung als auch die Decodierung ist nur denjenigen möglich, die dazu im konkreten Einzelfall berechtigt sind, also die notwendigen Chiffrierschlüssel besitzen.

- Tempest: ein englisches Kunstwort, das für "Temporary Emanation and Spurious Transmissions" steht und die elektromagnetische Abstrahlung von Geräten und Datenleitungen meint. Beispielsweise können handelsübliche, nicht durch spezielle Vorrichtungen abgeschirmte Monitore durchaus Abstrahlungen in der Größenordnung von einem Watt aufweisen. Die Bildschirmdarstellungen sind damit für entsprechende Spionagegeräte so sichtbar wie ein 1000-Watt-Scheinwerfer für den nächtlichen Spaziergänger: Was auf dem Monitor erscheint, kann auch aus größerer Entfernung mitgelesen werden - sogar durch normale Wände und Fenster hindurch. Die Abschirmung von Geräten und Gebäuden ist die letzte und zugleich teuerste Barriere gegen unerlaubtes Ausspähen des elektronischen Datenverkehrs. Man findet sie vor allem bei Computern für militärische Zwecke.

Erst wenn die Sicherheit im Netz garantiert ist, lassen sich auch elektronisch Geschäfte guten Gefühls tätigen. Nicht nur das Bestellen und Bezahlen preiswerter Güter, wie es heute schon praktiziert wird, sondern auch höherwertige Käufe und Verkäufe, Bestellungen oder Mietverträge, die Abgabe von Steuererklärungen und die Erteilung von Steuerbescheiden können dann elektronisch und damit papierlos abgewickelt werden. Dies setzt jedoch die Rechtsverbindlichkeit elektronischer Dokumente voraus. Hier fehlen (noch) die dafür erforderlichen internationalen Rahmenbedingungen. Dies betrifft mehr die rechtlichen Fragen als die technischen Standards.

Die Betonung liegt auf "international": In einer Welt, die politisch und ökonomisch zusammenwächst, sind rein nationale, untereinander inkompatible Regeln und Verfahren nicht ausreichend. Es geht um eine globale "Infrastruktur" für elektronische Geschäfte.

Als Analogie bietet sich die Entwicklung der Verkehrsinfrastruktur des Eisenbahnwesens im 19. Jahrhundert an. Hätten alle Staaten damals die Grundsatzentscheidungen nur für sich getroffen - etwa für die Spurweite der Gleise, die Breite und Maximalhöhe von Lokomotiven und Waggons oder die Höhe der Bahnsteige -, müßte man wohl noch heute bei einer Bahnreise von Hamburg nach Madrid an den Grenzen mehrfach den Zug wechseln. Oder die Züge müßten zumindest auf andere Fahrgestelle umgesetzt werden. Bei der Fahrt von Berlin nach Moskau ist dies übrigens der Fall: Das Zarenreich entschied sich vor über hundert Jahren für eine andere Spurweite als Westeuropa.

Für die erforderlichen Standards beim elektronischen Geschäftsverkehr in einer vernetzten Welt sind in rechtlicher Hinsicht die ersten Schritte bereits getan worden. So hat Deutschland im vergangenen Jahr ein Signaturgesetz verabschiedet, dessen Ziel es ist, elektronisch signierte Dokumente zivilrechtlich mit herkömmlichen, von Hand unterschriebenen Dokumenten gleichzustellen.

Rechtssicherheit und Verbraucherschutz erfordern hohe Sicherheitsstandards. Aus diesem Grund wird das Gesetz leider von Kritikern in anderen Staaten als zu kompliziert und damit kostentreibend eingeschätzt. Die Bundesregierung ist dennoch bestrebt, den deutschen Sicherheitsstandard auch in eine europaweite Regelung einzubringen. Ein erster Entwurf der Europäischen Kommission für eine EU-Richtlinie geht allerdings von einem niedrigeren Sicherheitsniveau aus.

Die Diskussion der Fachleute ist also entbrannt (siehe Kasten "EU-kompatibel"). Welche Vorstellungen sich am Ende durchsetzen werden, bleibt abzuwarten. Immerhin ist unumstritten, daß für den internationalen elektronischen Geschäftsverkehr staatlicher Regelungsbedarf besteht und daß schnell gehandelt wer-den muß.

In technischer Hinsicht sind die entscheidenden Fragen der elektronischen - oder besser "digitalen" - Signatur mit der Entdeckung der "asymmetrischen Kryptografie" geklärt (siehe "Unterschreiben mit der Smart Card", Seite 85). Sie beruht auf Verschlüsselungsverfahren, die mit zwei zusammengehörigen Schlüsseln arbeiten. Diese Schlüsselpaare werden mathematisch ermittelt. Sie müssen einer Person zweifelsfrei zugeordnet und übergeben werden.

Verschlüsseln kann man ein Dokument mit jedem Schlüssel eines zusammengehörigen Paares. Entschlüsseln kann man es nur mit dem jeweils anderen Teil. Einer von beiden Teilen muß unter allen Umständen geheim gehalten werden, der andere Teil kann, ähnlich wie eine Telefonnummer, zusammen mit dem Namen seines Trägers in einem öffentlichen Verzeichnis stehen. Der persönliche Geheimschlüssel wird auch "Private Key" genannt, der zugehörige öffentliche Schlüssel "Public Key". Die Verwendung von zwei Schlüsseln für eine kryptografische Operation ist das Charakteristikum des Verfahrens, das deshalb als "asymmetrisch" bezeichnet wird. Die herkömmliche Kryptografie dagegen verwendet für das Ver- und Entschlüsseln immer den gleichen Geheimschlüssel. Sie heißt deswegen auch "symmetrische Kryptografie".

Durch verschiedene Kombinationen in der Abfolge der einzelnen Verfahrensschritte lassen sich mit Hilfe der asymmetrischen Kryptografie die Urheberschaft eines Dokuments, die Integrität und die Vertraulichkeit sicherstellen. Damit ist die Vertrauensbasis für den elektronischen Geschäftsverkehr gelegt. Fehlt nur noch eines: Es darf keinen Zweifel daran geben, daß der Inhaber eines Schlüsselpaars auch authentisch ist, daß er also seine Identität nicht fälscht. Auch dafür hat man eine Lösung gefunden: Die Schlüsselinhaber werden von einer unabhängigen Vertrauensinstanz, einer Zertifizierungsstelle ("Certification Authority"), beglaubigt. Sie erhalten von dieser Stelle ihren beglaubigten Public Key, der dann "Zertifikat" heißt.

Zertifizierungsstellen "wurzeln" in Mainz

Zertifizierungsstellen können von privaten Firmen eingerichtet werden. Die oberste Zertifizierungsstelle im deutschen Rechtsbereich ist allerdings eine behördliche Instanz: Sie heißt kurz "Wurzel" und wird zur Zeit bei der Regulierungsbehörde für Telekommunikation und Post (Reg TP) in Mainz eingerichtet. Aufgabe von Wurzel ist, für die Einhaltung des Signaturgesetzes zu sorgen und die privaten Zertifizierungsstellen so zu überwachen, daß der Vertrauensschutz gewährleistet ist.

Erreicht wird das durch eine Art "Zertifizierungsstellen-TÜV": Die Zertifizierungsstellen müssen behördlich zugelassen sein. Ihr Betrieb wird beaufsichtigt, damit alles seine Richtigkeit hat. Zertifikate von staatlich zugelassenen Zertifizierungsstellen geben den Anwendern im elektronischen Geschäftsverkehr den Anspruch auf Rechtsverbindlichkeit. Zertifikate von anderen Zertifizierungsstellen lassen sich natürlich auch verwenden. Sie haben aber im Geltungsbereich des deutschen Rechts kaum Beweiskraft, wenn Geschäftsvorfälle strittig werden. Im Geschäftsverkehr mit Behörden werden sie ohnehin nicht anerkannt.

Nachdem die technischen Voraussetzungen zur Schaffung einer vertrauenswürdigen Grundlage für den elektronischen Geschäftsverkehr über das Internet vorhanden sind, ist jetzt der Gesetzgeber gefordert, und zwar weltweit. Ob auf supranationaler Ebene wie in der Europäischen Union oder national, sei es in den EU-Mitgliedsstaaten, den USA, Japan und anderen führenden Industrienationen, - ein einheitlicher Rechtsrahmen und ein möglichst hohes, einheitliches technisches Niveau sind unabdingbar für den nächsten, wichtigen Schritt auf dem Weg zum elektronischen "globalen Dorf".

Eu-kompatibel

Die Europäische Kommission hat unlängst den Entwurf für eine EU-Richtlinie vorgelegt, die unionsweit die Rahmenbedingungen für elektronische Signaturen definieren soll. Zu den Ansprechpartnern, die um Stellungnahmen zu dem Entwurf gebeten wurden, gehört in Deutschland Teletrust. Mitglieder des eingetragenen Vereins sind Entwickler, Anbieter und Anwender von Verfahren und Komponenten für die elektronische Signatur, darunter auch Siemens. Auszüge aus der Stellungnahme:

"Teletrust begrüßt die mit dem Entwurf (...) angestrebte Zielsetzung, neben der papiergebundenen Schriftform eine europaweit sowohl gesetzlich als auch in bezug auf bestimmte Anforderungen harmonisierte elektronische Form zu fördern. Eine derartige Richtlinie ist dringend erforderlich, um angesichts der gesetzgeberischen Aktivitäten in den Mitgliedsstaaten die von der Kommission aufgezeigten gesetzgeberischen Aktivitäten so auszurichten, daß eine kompatible Infrastruktur für Europa sowohl in bezug auf kommunikationstechnische Kompatibilität als auch in bezug auf die Sicherheitsanforderungen entsteht. Für den Einsatz von elektronischen oder digitalen Signaturen ist es von größter Bedeutung, daß diese im europaweiten und internationalen Geschäftsverkehr eingesetzt werden können und gegenseitig kompatibel und anerkennungsfähig sind.

Die Sicherheit digitaler Signaturverfahren ist in erheblichem Umfang abhängig von der ordnungsgemäßen Arbeitsweise und Organisation der Zertifizierungsstelle. Die Mitgliedsstaaten sollten die Möglichkeit haben, qualifizierte Anforderungen an die Sicherheit (...) von Zertifizierungsstellen stellen zu können, wenn diese Signaturen Anforderungen der Schriftform und der Urkunde erfüllen sollen. Die Erfüllung von Formerfordernissen muß an bestimmte Sicherheitsstandards geknüpft werden, die überprüfbar sind.

Sobald mit der Signatur Formanforderungen der Schriftlichkeit erfüllt werden sollen, sei es aus Gründen der Rechtssicherheit, des Verbraucherschutzes oder der Prozeßökonomie, müssen elektronische Signaturen bestimmte Anforderungen wie Urheberschaft, Echtheit, Warn- und Abschlußfunktion erfüllen.

Angeklickt

Die technischen Voraussetzungen für das Geschäft im elektronischen globalen Dorf sind vorhanden, an den Voraussetzungen zur Interoperabilität wird mit großem Eifer gearbeitet. Langsamer geht es bei der Schaffung der internationalen rechtlichen Rahmenbedingungen. Wir werden wohl in absehbarer Zeit zuerst in Deutschland und später dann auch in Europa erleben, daß elektronische Dokumente mit gleicher Rechtsverbindlichkeit wie herkömmliche Papierdokumente im Geschäfts- und Behördenverkehr benutzt werden.

Helmut Jäger arbeitet im Geschäftsgebiet IT Networks, Marketing Smart Cards, bei der Siemens AG in München.