In Deutschland ist es mit Inkrafttreten des Signaturgesetzes erstmals möglich elektronische Dokumente wie Emails und Verträge digital rechtskräftig zu Unterschreiben. Dies stellt einen bedeutenden Vorteil für Unternehmen und auch Privatpersonen dar, da nun viele Geschäftsprozesse bedeutend schneller (und direkt online) erledigt werden können, für die vorher noch - wegen der Notwendigkeit einer rechtsverbindlichen Unterschrift - langwierige Verfahren per Post benötigt wurden.
Es herrscht AufbruchsstimmungBundesweit finden Informationsveranstaltungen statt, auf denen die Vorteile der digitalen Signatur gepriesen werden, Organisationen wie die IHK haben einen eigenen Vertrieb für Chipkartenlesegeräte und Smartcards (für die Schlüssel) gegründet und werden nicht müde ihren Mitgliedern die Vorteile der Technik zu verkaufen.
Alles wird einfacher...
Zu Gast auf einer Vortragsveranstaltung geht es gleich richtig los. Mit dem Signieren geht das ganz leicht, man drückt einfach auf den Knopf im Email-Programm und steckt seine Karte in das Lesegerät und schon ist die Nachricht signiert. Die neue Technik ist also ganz leicht für jeden zu bedienen und sicher sei das Ganze auch, schließlich gelten ja strenge Vorschriften für die Zertifizierungsstellen und die Mitarbeiter.
... alles wird gefährlicher.
So sicher und ausgeklügelt die Maßnahmen auf Seiten der Zertifizierungsstellen auch sein mögen, der Benutzer ist gefährdet:
Es bestehen keinerlei Anforderungen an das Computersystem, an dem die Signierung vorgenommen wird. Das Signaturprogramm läuft in einer unsicheren Umgebung in der die entsprechende Software nicht vollkommen vor anderen Prozessen auf dem System geschützt werden kann. Es besteht also
Das das Signatursystem auch in Emailprogramme mit bekannten Sicherheitsproblemen
(z.B. die Microsoft Outlook-Familie) integriert wird um einen möglichst
komfortablen Einsatz zu ermöglichen trägt sicherlich nicht zur Absicherung
des Systems bei.
Ein fünf Meter großer Teddybär...
der ungewollt von der Post geliefert wird ist sicherlich eine interessante
Erfahrung, problematisch wird es nur wenn die Bestellung vom eigenen PC mit
gültiger Signatur kam: Nach dem Signaturgesetz muss bei Missbrauch (z.B.
durch ein bösartiges Computerprogramm, einen Arbeitskollegen ...) der Geschädigte
(dessen digitale Signatur missbraucht wurde) nachweisen, dass nicht er das betreffende
Dokument signiert hat, sondern ein Angreifer.
Bei entsprechend intelligenter Programmierung z.B. eines trojanischen Pferdes
dürfte das selbst Spezialisten schwer fallen.
Mit Volldampf ins Ungewisse
fährt wer ohne genaue Betrachtung der Risiken blind die aktuell verfügbar
Technologie einsetzt. Schnell kann der Vorteil von kurzen Antwortzeiten, Papierersparnis
und schlankeren Geschäftsprozessen in ein Sicherheitsrisiko sondergleichen
ausarten.
Zum Einsatz von Signierungs- und Verschlüsselungsverfahren gehört
eben deutlich mehr als einer Chipkarte, einem Lesegerät und dem Drücken
auf einen Knopf:
So müssen Nutzen und Risiken abgewogen werden, wer blind der Technik vertraut
handelt grob fahrlässig.
Alexander Böhm
Fragen, Anregungen und Kritik bitte per Email
--
(K) 2001 by Team Cauchy, reprint what you like, all rights reversed.