Digitale Signaturen unausgereift

In Deutschland ist es mit Inkrafttreten des Signaturgesetzes erstmals möglich elektronische Dokumente wie Emails und Verträge digital rechtskräftig zu Unterschreiben. Dies stellt einen bedeutenden Vorteil für Unternehmen und auch Privatpersonen dar, da nun viele Geschäftsprozesse bedeutend schneller (und direkt online) erledigt werden können, für die vorher noch - wegen der Notwendigkeit einer rechtsverbindlichen Unterschrift - langwierige Verfahren per Post benötigt wurden.

Es herrscht Aufbruchsstimmung

Bundesweit finden Informationsveranstaltungen statt, auf denen die Vorteile der digitalen Signatur gepriesen werden, Organisationen wie die IHK haben einen eigenen Vertrieb für Chipkartenlesegeräte und Smartcards (für die Schlüssel) gegründet und werden nicht müde ihren Mitgliedern die Vorteile der Technik zu verkaufen.

Alles wird einfacher...

Zu Gast auf einer Vortragsveranstaltung geht es gleich richtig los. Mit dem Signieren geht das ganz leicht, man drückt einfach auf den Knopf im Email-Programm und steckt seine Karte in das Lesegerät und schon ist die Nachricht signiert. Die neue Technik ist also ganz leicht für jeden zu bedienen und sicher sei das Ganze auch, schließlich gelten ja strenge Vorschriften für die Zertifizierungsstellen und die Mitarbeiter.

... alles wird gefährlicher.

So sicher und ausgeklügelt die Maßnahmen auf Seiten der Zertifizierungsstellen auch sein mögen, der Benutzer ist gefährdet:

Es bestehen keinerlei Anforderungen an das Computersystem, an dem die Signierung vorgenommen wird. Das Signaturprogramm läuft in einer unsicheren Umgebung in der die entsprechende Software nicht vollkommen vor anderen Prozessen auf dem System geschützt werden kann. Es besteht also

Das das Signatursystem auch in Emailprogramme mit bekannten Sicherheitsproblemen (z.B. die Microsoft Outlook-Familie) integriert wird um einen möglichst komfortablen Einsatz zu ermöglichen trägt sicherlich nicht zur Absicherung des Systems bei.

Ein fünf Meter großer Teddybär...

der ungewollt von der Post geliefert wird ist sicherlich eine interessante Erfahrung, problematisch wird es nur wenn die Bestellung vom eigenen PC mit gültiger Signatur kam: Nach dem Signaturgesetz muss bei Missbrauch (z.B. durch ein bösartiges Computerprogramm, einen Arbeitskollegen ...) der Geschädigte (dessen digitale Signatur missbraucht wurde) nachweisen, dass nicht er das betreffende Dokument signiert hat, sondern ein Angreifer.
Bei entsprechend intelligenter Programmierung z.B. eines trojanischen Pferdes dürfte das selbst Spezialisten schwer fallen.

Mit Volldampf ins Ungewisse

fährt wer ohne genaue Betrachtung der Risiken blind die aktuell verfügbar Technologie einsetzt. Schnell kann der Vorteil von kurzen Antwortzeiten, Papierersparnis und schlankeren Geschäftsprozessen in ein Sicherheitsrisiko sondergleichen ausarten.
Zum Einsatz von Signierungs- und Verschlüsselungsverfahren gehört eben deutlich mehr als einer Chipkarte, einem Lesegerät und dem Drücken auf einen Knopf:
So müssen Nutzen und Risiken abgewogen werden, wer blind der Technik vertraut handelt grob fahrlässig.


Alexander Böhm

Fragen, Anregungen und Kritik bitte per Email

--
(K) 2001 by Team Cauchy, reprint what you like, all rights reversed.