Jedermann betrifft, was bis vor kurzem nur für Handel, Industrie und Verwaltungen galt: Wer Informations- und Kommunikationstechnik nicht nutzt, verliert den Anschluß. Lange vorbei sind die Zeiten, als man sich fragte, wozu ein PC zu Hause gut sein soll. Mit dem Computer werden Steuererklärungen und Bewerbungen geschrieben, Online-Banking und die Unterrichtsvorbereitung bei Lehrern sind ebenso zu Selbstverständlichkeiten geworden wie Telearbeit und vieles andere mehr. Laut Aussagen von Firmen wurden bis heute mehr Internet-Browser verkauft als Textsysteme und Tabellenkalkulationsprogramme.

Immer mehr Dienstleistungen werden ohne inhaltliche Einschränkungen elektronisch über Netze angeboten, der Kunde erhält dabei alles in der gewohnten Qualität. Solche Services nennt man virtuelle Dienste.

Wer nur ein paarmal ins Internet schaut, sieht: Die Möglichkeiten sind fast grenzenlos. Profitieren kann jeder, der die Mentalität der Online-Surfer kennt und ein gutes Anwendungspaket schnüren kann. Voraussetzung ist allerdings eine profunde Kenntnis der Online-Dienste und der Sicherheitstechnik. Alles Wesentliche steht bereit:

-Elektronische Signaturen können auf fast allen Anwendungsgebieten vertraglich vereinbart werden.

-Deutsche Firmen bieten Sicherheitsprodukte und Sicherheitspakete. Ihr Vorteil ist: Sie müssen die von der amerikanischen Regierung verordnete Beschränkung in der Schlüsselsicherheit nicht befolgen.

-Wer will, kann ein Trust-Center zur Vergabe und Verwaltung kryptografischer Schlüssel und Zertifikate für sich und andere eröffnen. So kann er Erfahrungen im Vorgriff auf eine generelle Betriebserlaubnis sammeln. Wie so etwas geht? Das Internet liefert dazu Beispiele, allerdings in den USA.

Hierzulande stehen wir erst am Anfang der Entwicklung. Immer noch ist Deutschland Nachzügler in der Statistik der Privat-PCs. Immer noch hängt die Mehrheit der Bevölkerung dem Irrtum an, Datenschutz und Datensicherheit seien in Gefahr, der Verbraucherschutz sei nicht gewährleistet, das Internet diene nur den Kriminellen. Unsere Sprachpuristen mokieren sich über die amerikanischen Computerbegriffe. Besser wäre es jedoch, alles zu tun, damit deutsche oder zumindest europäische Ingenieure ihrer Technik und ihrer Bezeichnung Geltung verschaffen.

Zu viele Führungskräfte reden nur

Dazu gibt es jetzt Gelegenheit: Die amerikanischen Hersteller, in vorderster Front Netscape mit seinem Secure Sockets Layer (SSL), Version 3, bieten universell einsetzbare Sicherheitsarchitekturen. Wer nutzt die deutschen und europäischen Lösungen? Welche Anwender zeigen den Herstellern von Sicherheitstechnik, wie amerikanische kryptografische Sicherheitsprotokolle mit europäischen Hochsicherheitsalgorithmen für unsere Zwecke optimal kombiniert werden? Welche Firmen bieten demnächst gesichertes Online-Banking übers Internet? Wo kann man virtuelles Geld nutzen? Welche Call-Center erlauben eine Benutzeridentifikation und Berechtigungsprüfung über kryptografische Chipkarten? Welche Privathaushalte setzen Verschlüsselungstechnik für elektronisches Einkaufen ein?

Viel zu viele Führungskräfte bei uns reden von den Chancen der Informations- und Kommunikationstechnik. Umfragen zeigen, daß sie diese Chancen in der Vergangenheit nur ungenügend wahrgenommen haben: Derzeit besitzt nur ein Drittel aller Unternehmen eine schriftlich fixierte Sicherheitsstrategie.

Die letzte Sicherheitsüberprüfung deckte bei drei Vierteln aller Firmen Sicherheitslücken auf. Nur etwa 50 Prozent der Großrechner erstellen Sicherheitsprotokolle, obwohl diese eine wesentliche Stütze der sogenannten passiven Sicherheit sind. Nur zirka 71 Prozent verfügen über eine Zugangssicherung durch Paßwort. Irrtum, Nachlässigkeit und Softwarefehler sind die größten Risiken der Computertechnik. Die daraus resultierenden Gefahren muß die Sicherheitstechnik vor allem reduzieren.

Die Gefahr ist groß, daß die Führungskräfte die neuen Möglichkeiten der Sicherheitstechnik übersehen. Verschlüsselung oder Kryptografie sind extrem komplizierte mathematische Vorgänge. Sie bringen - richtig genutzt - mehr Sicherheit, mehr Flexibilität und neue Märkte. Falsch eingesetzt, entstehen neue Risiken und Verluste. Vertrauen und Souveränität im Umgang mit diesen Techniken kann nur aufbringen, wer sich auskennt.

Sicherheit ist Chefsache! Nach der im Oktober 1995 verabschiedeten EU-Datenschutzrichtlinie kann künftig der Einsatz der Informations- und Kommunikationstechnik beispielsweise verboten werden, wenn keine angemessenen Sicherheitskonzepte umgesetzt sind.

Verschlüsselung zusätzlich einsetzen

Wie muß man die Verschlüsselungstechnik einschätzen? Sie ist zumindest heute noch eine Methode, die zusätzlich zur klassischen Sicherheitstechnik eingesetzt werden muß. Sie wirkt additiv. Wer die Hausaufgaben bisher gut gemacht und die klassischen Sicherheitsfunktionen nach dem Stand der Technik eingesetzt hat, kann problemlos die kryptografischen Verfahren hinzufügen.

Wahrscheinlich werden wir in einigen Jahrzehnten ein Zeitalter erleben, in dem die Kryptografie ein wesentliches Ordnungselement der Informations- und Kommunikationstechnik ist. Dann wird jeder mehrere Verschlüsselungsprofile und zugehörige Chipkarten besitzen, so wie man heute schon eine Vielzahl von klassischen Plastikkarten besitzt. Aspekte des Persönlichkeitsrechts, daß niemand die Gesamtheit seiner Persönlichkeit als Profil mit einer Chipkarte und einem darauf gespeicherten geheimen Schlüssel (als neue Personenkennziffer) verbinden muß, lassen sich so berücksichtigen. Wer dann dabei sein will, muß heute anfangen. Neue Themen stehen an. Die sogenannte elektronische Unterschrift wird in Gesetzentwürfen vorbereitet. Microsoft hat eine Verschlüsselungsarchitektur für Privathaushalte entwickelt. Net- scape kann mit der neuen Version seines Secure Sockets Layer (SSL) elektronische Signaturen realisieren, außerdem den PC und seine Nutzer sicher erkennen und so eine neue Ära der elektronischen Geschäfte im virtuellen Kaufhaus in die Realität umsetzen. Auf dem amerikanischen Markt sind Toolkits für kryptografische Anwendungen jeder nur denkbaren Art erhältlich. DB2, Oracle und andere können Datenbankanwendungen sicher über unsichere Netze leiten. Es gibt mehr als eine Handvoll sicherer Verfahren für das elektronische Bezahlen alle praktisch relevanten Anwendungsfälle sind abgedeckt.

Verschlüsselungstechnik ist das Sesam-öffne-Dich für virtuelle Dienste:

-Die Prüfung von Benutzerberechtigungen mit Krypto-Algorithmen erfolgt mit hoher Sicherheit.

-Überweisungen, Kontoabfragen, Bestellungen, Kreditkartennummern, sensitive Informationen können sicher verschlüsselt und bedenkenlos über ein fremdes Netz geschleust werden.

-Informationen können differenziert freigeschaltet und gegen Entgelt zum Abruf freigegeben werden.

-Urheberrechtliche Probleme schwinden: Mit Hilfe der Steganografie und der Verschlüsselungstechnik kommen elektronische Wasserzeichen auf den Markt. Sie verhindern Raubkopien. Ein sauberes Bild bekommt nur, wer bezahlt hat. Die Zukunft gehört deshalb wohl nicht dem Video on demand über Kabelnetze, sondern dem - eventuell sogar interaktiven - PC-Film.

-Anonymes elektronisches Geld ist seit langem konzipiert. Es könnte neben der Chipkarte, die sich für den öffentlichen Nahverkehr und das Telefonieren benutzen läßt, eine Rolle spielen.

-Elektronische Siegel schützen Programme vor Verfälschungen etwa durch Computerviren.

Wie bei neuen technischen Produkten Sicherheitstechnik eingesetzt wird, ist auch ein Aspekt der Technikfolgenabschätzung. Dies zeigt sich unter anderem an den Sicherheitsfunktionen der erfolgreichen Online-Dienste. Beispiele sind die in T-Online aufgrund des Bildschirmtext-Staatsvertrags implementierten Funktionen, die Sicherheitsfunktionen von ISDN und generell viele Sicherheitsfunktionen, die aufgrund der Datenschutzvorschriften (zum Beispiel Anonymisierung, Eingabekontrolle) geschaffen wurden.

Der Markt zeigt, daß Kunden bei virtuellen Diensten folgendes wollen:

-eine stimmige ganzheitliche Lösung,

-Vertrauenswürdigkeit und Solidität sowie

-Klarheit insbesondere bei der Abrechnung, Verständlichkeit und Robustheit bei Fehlbedienungen.

Kurzum: Die Kunden wollen Sicherheit.

Das Internet, die neuen Kommunikationstechniken wie Frame Relay und ATM, mobile PCs und offene Client-Server-Systeme sind die größte Herausforderung für die Sicherheitstechnik. Frame Relay beispielsweise verzichtet weitgehend auf die bei X.25 üblichen Quittierungen über den fehlerfreien Transport von Datenpaketen. Höhere Netzwerkschichten müssen Fehlersituationen erkennen und auffangen. Das geht über klassische Methoden wie die Quersummenbildung (zum Beispiel Cyclic Redundancy Check), aber auch über Verschlüsselungstechniken, etwa eine elektronische Signatur.

Verschlüsselungstechnik? - Nur ein Strohfeuer. Wer das sagt, erinnert an die überschätzte Bedeutung der künstlichen Intelligenz. Doch jetzt, nachdem diese Technik Zeit zur Reife hatte, setzen sich regelbasierte Anwendungen immer mehr durch. Als ein Beispiel sei der regelbasierte Firewall der Firma Hewlett-Packard genannt. So wird sich über kurz oder lang auch die Verschlüsselung immer stärker durchsetzen. Der einfache Grund hierfür ist: Es gibt in bestimmten Bereichen einfach keine Alternative dazu.

Wie soll man also praktisch vorgehen? Wer in der Praxis über den Einsatz von Verschlüsselungstechniken entscheiden muß, wandelt auf einem schmalen Grat. Viele gute Konzepte sind vorhanden. Es existieren aber auch viele unbefriedigende, ja sogar fehlerhafte Produkte. Einige Hersteller bieten immer noch nur ein Verschlüsselungsprogramm ohne Benutzerverwaltungssystem, Signaturprogramm und Zertifizierungssystem.

Die IuK-Branche ist es gewohnt, neue Techniken wortreich und frühzeitig anzukündigen. Doch viele Produkte, die versprochen wurden, erblicken nie das Licht der Welt. Das gilt selbstverständlich auch für die Sicherheitstechnik. Nur wer sich informiert, kann dem entgehen.

In der Praxis hat Erfolg, wer stufenweise vorgeht:

1.Am Anfang steht die Sicherheitsanalyse etwa nach dem IT-Sicherheitshandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch die anderen Bücher des BSI sind zu empfehlen.

2.Die klassische Sicherheitstechnik muß man beherrschen. Dazu gehört das gesamte Umfeld: eine sicherheitsorientierte Organisation, Configuration-Change und Problem-Management in allen Betriebsbereichen, Sicherheitsanalyseprogramme etwa für die Client-Server-Welt. Selbstverständlich kommt eine gute Kenntnis der klassischen Mechanismen (etwa Paßworttechnik) und ihrer Grenzen dazu.

3.Einfache abgegrenzte Anwendungsbereiche werden mit kryptografischen Verfahren automatisiert. Dabei beschafft man sich ein Wissen über die Grenzen und Möglichkeiten der Kryptografie.

4.Eine Sicherheitsarchitektur wird für das Unternehmen als Standard festgelegt. Der Betrieb des Trust-Centers wird organisiert, denn nur Pretty Good Privacy (PGP) und einfache Anwendungen kommen ohne ein solches aus. Allgemeine Lösungen werden konzipiert und implementiert.

ANGEKLICKT

Etliche Probleme sind zu bewältigen: Welche Anwender zeigen den Herstellern von Sicherheitstechnik, wie amerikanische kryptographische Sicherheitsprotokolle mit europäischen Hochsicherheitsalgorithmen für unsere Zwecke optimal kombiniert werden? Welche Firmen bieten demnächst gesichertes Online-Banking übers Internet? Wo kann man virtuelles Geld nutzen? Welche Call Center erlauben eine Benutzeridentifikation und Berechtigungsprüfung über kryptographische Chipkaren? Die Gefahr ist groß, daß die Führungskräfte die neuen Möglichkeiten der Sicherheitstechnik übersehen.

*Diplommathematiker Georg Schäfer ist Leiter des Bereichs IuK - Technik der Stabsstelle für Verwaltungsreform im Innenministerium Baden-Württemberg. Der Bundesrat ernannte Schäfer zu seinem Beauftragten für die "Gruppe Hoher Beamter mit Verantwortung für die Einführung der Telematik in die Verwaltungen der Mitgliedstaaten (TAC).