Zeitung Heute : Digitale Signatur: Nie mehr Kuli

Burkhard Schröder

Eine elektronische Postkarte von gerhard.schroeder@kanzleramt.de muss nicht vom Bundeskanzler stammen. Wer eine Ernennung zum Staatssekretär per E-Mail erhält, sollte prüfen, ob der Absender authentisch und der Inhalt nicht gefälscht ist. Das geht nur, wenn die E-Mail digital unterschrieben ist. Das digitale Signaturgesetz macht es möglich: Ab Mai gelten unter bestimmten Voraussetzungen auch Dokumente mit einer vom Computer erzeugten Unterschrift im juristischen Sinn als Urkunde. Bis jetzt wurden nur Schriftsätze als solche anerkannt, die jemand handschriftlich unterzeichnet hatte.

Elektronische Kommunikation ist extrem unsicher. Jeder Verwalter jedes Rechners, über den eine E-Mail zu ihrem Ziel gelangt, könnte diese verfälschen. Online-Geschäfte und Verträge per Internet sind daher ohne elektronische Unterschrift wertlos. Der Bundestag hat am 15. Februar beschlossen, die Richtlinie der EU aus dem Jahr 1999 umzusetzen, die die digitale Signatur regelt. Die Praxis jedoch hat ihre Tücken: Es gibt bisher kein sicheres Verfahren, den gesamten Vorgang, so wie ihn das Signaturgesetz vorsieht, fälschungssicher zu machen.

Die elektronische Unterschrift hat gegenüber der per Hand erzeugten mehrere Vorteile. Sie ist eine Art Siegel, die nicht nur den eindeutig identitifiziert, der unterschrieben hat, sondern auch überprüft, ob der signierte Text manipuliert worden ist. Die Software zur Signatur erzeugt zwei Schlüssel: einen geheimen und einen öffentlichen, der per E-Mail verschickt werden und jedermann zugänglich sein kann. Das Prinzip ist vergleichbar mit dem, E-Mails zu verschlüsseln. Ein elektronisches Dokument wird mit dem geheimen Schlüssel auf dem Rechner des Absender signiert, und der Empfänger überprüft die Unterschrift mit dem öffentlichen Schlüssel, den er parallel erhalten hat.

Dieses Verfahren hat zwei Schwachstellen: Der öffentliche Schlüssel könnte von einer dritten Instanz manipuliert worden sein, und jemand könnte sich Zugang zu dem geheimen Schlüssel verschaffen, wenn der Computer des Absender mit anderen vernetzt ist. Sicher wäre die Signatur, wenn der Nutzer den geheimen Schlüssel auf Diskette oder Chipkarte mit sich trüge und nur bei Bedarf in den Rechner einspeist, wenn er ein Dokument unterzeichnen will. Bei vernetzten Computern und einem Internet-Zugang ist nicht ausgeschlossen, dass der Netzverwalter Dateien manipuliert oder jemand ein so genannten Trojanisches Pferd installiert, um Passwörter oder auch den geheimen Schlüssel auszuspionieren.

Das Gesetz zur elektronischen Signatur sieht daher vor, dass "vertrauenswürdige" Zertifizierungsstellen die öffentlichen Schlüssel überprüfen und die geheimen auf eine Chipkarte drucken, die nicht ausgelesen kann. Kritiker des Gesetzes wie der Informatik-Professor Klaus Brunnstein bemängeln, dass die Regierung keine exakten Vorgaben defininiert hat, ob diese öffentlichen Trustcenter seriös sind. Zwar gibt es strenge Vorgaben, wer ein Trustcenter eröffnen kann, jedoch keine nachvollziehbare Kontrolle, ob das benutze Verfahren wirklich fälschungssicher ist. Brunnstein meint, das neue Gesetz öffne dem Missbrauch alle Türen. Er rät den Verbrauchern davon ab, die elektronische Signatur nach dem amtlichen Modell zu benutzen.

Die Praxis der Trustcenter beweist, dass die Methode unausgegoren ist und nicht dem Standard entspricht, der möglich wäre. Signtrust zum Beispiel - Eigentümer ist die Deutsche Post AG - verlangt, bevor der Online-Antrag zur Zertifizierung gestellt werden kann, die Sicherheitseinstellungen des Browsers herunterzustellen. Das wirkt nicht vertrauenserweckend. Der Code der Website www.signtrust.de entspricht nicht den Regeln, die das Bundesamt für Sicherheit in der Informationstechnik einzuhalten empfiehlt. Der Antrag muss ausgedruckt und von einem real existierenden Postbeamten anhand des Personalausweises überprüft werden. Das Trustcenter verschickt dann die Signatur an den Verbraucher. Erst wenn der Empfang des ersten handschriftlich bestätigt worden ist, folgt der zweite Teil. Leider arbeitet die Software, die die Deutsche Post für die Signatur vorsieht, automatisch nur mit Outlook Express zusammen - ein Programm, das wegen seiner Sicherheitslücken niemand nutzt, der professionell mit E-Mails arbeitet.

Wer auf Sicherheit und Authentizität Wert legt, dem bleibt ein Ausweg: Pretty Good Privacy (PGP), der weltweite, kostenlose Standard zum Verschlüsseln und Signieren von E-Mails, erfüllt die Vorgaben des Signaturgesetzes. Jeder Nutzer kann anhand des digitalen "Fingerabdrucks" überprüfen, ob der öffentliche Schlüssel einer anderen Person echt ist. Vorausgesetzt, jeder benutzt PGP und verstünde die Grundlagen. Warum man für eine digitale Unterschrift Software der Deutschen Post oder der Telekom für 120 oder 250 Mark kaufen soll, die ohnehin mit professioneller E-Mail-Programmen nicht richtig zusammenarbeitet, bleibt das Geheimnis der kommerziellen Trustcenter.

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar