Deutsches Allgemeines Sonntagsblatt v. 06.02.1998
Damit nicht jeder alles weiß: Wer private Daten durchs Netz reisen läßt, sollte sie auch schützen.
Keine Firma versendet Geschäftsgeheimnisse mit der Postkarte, und Privatleute vertrauen ihre Intimsphäre auch lieber einem gut verklebten Briefumschlag an. Im Internet sieht das anders aus: Elektronische Post (E-Mail), die vom heimischen Computer aus die Reise in die Weiten des weltumspannenden Computernetzes aufnimmt, läuft gänzlich offen durch das Netz der Netze. Selbst für ungeübte Freizeithacker stellt es kaum ein Problem dar, diese Nachrichten abzufangen, zu lesen und nach Gutdünken zu verändern. Kommunikation im Internet ist somit unsicher, denn es läßt sich nicht feststellen, ob eine E-Mail tatsächlich vom richtigen Absender kommt. Online-Kaufhäuser stehen vor diesem Problem, denn sie konnten bislang nicht nachweisen, daß eine Bestellung tatsächlich von einem Kunden aufgegeben oder ob diese nur fingiert wurde. Geschäfte über den Computer scheitern also an der fehlenden Identifikation des Partners.
Damit sich digitaler Einkauf samt dazugehörigem Geldverkehr etabliert, gründen sich in der Bundesrepublik jetzt sogenannten „Trust-Center“. Diese überprüfen die Identität des Partners, so daß sich die beide sicher sein können, daß der jeweilige Gegenüber ihr Vertrauen verdient. In Meppen und bei der Telekom in Siegen legte man letztes Jahr den Grundstein für Trust-Center. „Um die Rolle dieser Institution zu verstehen, muß man die ihnen zu Grunde liegenden Techniken begreifen“, sagt Michael Hortmann, Projektleiter beim „TC TrustCenter“ in Hamburg-Harburg. Grundlage vertrauenswürdiger Transaktion im Netz ist die Verschlüsselung von Nachrichten, die Kryptographie. Früher hauptsächlich im militärischen Bereich eingesetzt, benutzen heute immer mehr Menschen Verschlüsselungsprogramme, damit kein Unbefugter ihre Nachrichten lesen kann, wenn sie um die Welt reisen. Kryptographie entspricht also einem Briefumschlag. Wirklich gute -weil nicht entschlüsselbare- Programme für den PC, wie PGP („Pretty Good Privacy“), arbeiten mit zwei „Schlüsseln“. Jeder Benutzer verfügt über zwei Schüssel; einer davon, der „öffentliche Schlüssel“, ist jedermann zugänglich, während der zweite private, „geheime Schlüssel“ niemand anderem bekannt sein darf. Wollen Kunde und Anbieter über das Internet ein Geschäft eingehen, verschlüsselt jeder seine Nachricht mit dem öffentlichen Schlüssel des Partners und schickt sie in die Weiten des Netzes. Dazu hat er zunächst den Schlüssel des Partners angefordert und bekommen. Die Verschlüsselung aufheben kann nur der Besitzer des zugehörigen geheimen Schlüssels. Nun kommt schon bei geselligen Privatleuten nach einiger Zeit ein enorm großes Schlüsselbund zustande, denn von jeder Person, mit der ungestört kommuniziert werden soll, muß der ö ;ffentliche Schlüssel angefordert und zudem sichergestellt werden, daß er authentisch vom Partner stammt. Wenn Behörden und Unternehmen das Internet in Zukunft vermehrt nutzen, dürfte ihr Schlüsselbund groteske Ausmaße annehmen.
Die entstehenden Trust-Center wollen Ordnung in das drohende Chaos bringen, indem sie die Schlüssel ihre Klienten verläßlich verwalten. Die besonders wichtige Zuordnung des öffentlichen Schlüssel zum einzelnen Teilnehmer sei, so meint zumindest Hortmann, nur auf diesem Wege zu gewährleisten. Ein Beispiel: Wenn man seiner Bank vertrauliche Daten übermitteln möchte, sollte man sicher sein, daß der benutzte öffentliche Schlüssel auch tatsächlich der Bank gehört und nicht jemandem, der deren Identität nur vorspiegelt. Diese vertrauenswürdige Zuordnung leistet das Trust-Center durch ein digitales Zertifikat, vergleichbar einem Paß, welcher nachweist, daß Person und Schlüssel zusammen gehören. Die Kosten sind für ein breites Publikum tragbar, ein Zertifikat der niedrigsten Sicherheitsstufe wird etwa zehn Mark jährlich kosten. Hortmann und das „TC TrustCenter“ wünschen sich ein „Massenpublikum“ als Klientel, was aber nur zu erreichen sei, „wenn genügend Firmen und Behörden mitmachen, die als Kommunikations- und Vertragspartner für viele begehrt sind“.
Vorerst reicht es für den Privatmenschen aber, sich mit PGP, dem de-facto Standard im Internet für Verschlüsselung, auszustatten (www.pgp.com). In seiner neuesten Version ist das Programm problemlos zu bedienen. Das Prinzip, wenn erst einmal verstanden, ist denkbar einfach: Alles, was mit dem öffentlichen Schlüssel (Public Key) codiert wird, läßt sich nur mit dem dazugehörigen geheimen Schlüssel (Private Key) wieder dechiffrieren und umgekehrt. Zur Entschlüsselung benötigt man neben dem geheimen Schlüssel eine Passphrase, auch Mantra genannt.
Der Vorteil der Verschlüsselung mit zwei Schlüsseln liegt nicht nur in der hohen Sicherheit und der leicht verständlichen Bedienung, sondern auch darin, daß dieses Verfahren die Möglichkeit der sogenannten digitalen Signatur bietet. Die elektronische Unterschrift dient dazu, Nachrichten so zu versiegeln, daß ihre Echtheit gewährleistet ist. Das im letzten Jahr vom Bundesrat verabschiedete Signaturgesetz setzt die Rahmenbedingungen für eine Gleichstellung von elektronischen und Papierdokumenten. PGP bietet die digitale Signatur auf genial einfache Weise: Der Absender erstellt mir Hilfe seines geheimen Schlüssels eine digitale Signatur, in der wesentliche Eigenschaften des Dokuments in stark gekürzter Form codiert sind. Der Empfänger kann dann mit Hilfe des öffentlichen Schlüssels des Absenders sicherstellen, daß die Nachricht tatsächlich in der vorliegenden Form vom Absender stammt.
Die Zwei-Schlüssel-Kryptographie ermöglicht damit sowohl den chiffrierten, für unbefugte Dritte nicht einsehbaren Austausch von Dokumenten über das Netz, wie auch die digitale Signatur, welche die Integrität des „Schriftstücks“ garantiert. Und beide Komponenten sind für die vertrauenswürdige und authentische Kommunikation im Internet unabdingbar.