Frankfurter Allgemeine Zeitung v. 10.12.1996
Wem gebe ich meinen Schlüssel?
Trust-Center sollen die zukünftige Kommunikation im Internet organisieren
Noch immer boomt das Internet. Täglich schließen sich mehr Leute an das weltumspannenden Computernetz an, knüpfen Kontakt zu Gleichgesinnten, suchen Informationen oder gleiten über die bunten Bilder des World Wide Web (WWW). Online sein ist in, eine elektronische Adresse auf der Visitenkarte gehört teilweise schon zur Grundausstattung eines Großstadtbewohners, besser noch die eigene Homepage. Wo viele Menschen aufeinandertreffen, hofft die Wirtschaft auf ihr Geschäft, denn auch das virtuelle Dorf will versorgt sein. Der Traum der Kaufleute: Morgens liest der Kunde die Zeitung am Bildschirm und erledigt seine Bankgeschäfte, mittags kauft er einen Anzug, bestellt gleich ein paar Schuhe mit und abends wird die Pizza zum Fernsehen ebenfalls über das Netz geordert. Mit den Daten fließt dann, so die Hoffnung, viel Geld durch die Drähte.
Zwei Faktoren verhinderten bislang allerdings, daß aus dem Internet eine finanzielle Quelle wurde. Zum einen wehren sich die Ureinwohner des Netzes gegen die Kommerzialisierung, sie sehen den Sinn des weltweiten Datenaustausches in der freien, globalen Kommunikation. Virtuelle Einkaufszentren hält man für nutzlose Konsumtempel. Zum anderen scheitern Geschäfte über den Computer an der fehlenden Identifikation des Partners. Wer weiß denn, ob sich hinter der E-Mail Adresse wirklich der verbirgt, der er vorgibt zu sein? Und wie kann man dem elektronischen Kunden seine Zahlungsfähigkeit ansehen? Und warum sollte dieser seine Kreditkartennummer preisgeben, wenn sie offen durch die Leitungen reist? Damit sich digitaler Einkauf samt dazugehörigem Geldverkehr etabliert, gründen sich in der Bundesrepublik jetzt sogenannten „Trust-Center“. Diese überprüfen die Identität des Partners, so daß sich die beide sicher sein können, daß der jeweilige Gegenüber ihr Vertrauen verdient. In Meppen und bei der Telekom in Siegen legte man dieses Jahr den Grundstein für Trust-Center.
Im Mikroelektronik Anwendungszentrum (www.maz.de) in Hamburg-Harburg baut man zur Zeit ebenfalls ein solches Trust-Center (www.trustcenter.de) auf. „Um die Rolle dieses Institution zu verstehen, muß man die ihnen zu Grunde liegenden Techniken begreifen“, sagt Michael Hortmann, Projektleiter beim MAZ. Grundlage vertrauenswürdiger Transaktion im Netz ist die Verschlüsselung von Nachrichten, die Kryptographie. Früher hauptsächlich im militärischen Bereich eingesetzt, benutzen heute immer mehr Menschen Verschlüsselungsprogramme, damit kein Unbefugter ihre Nachrichten lesen kann, wenn sie um die Welt reisen. Kryptographie entspricht also einem Briefumschlag. Wirklich gute -weil nicht entschlüsselbare- Programme für den PC, wie PGP („Pretty Good Privacy“), arbeiten mit zwei „Schlüsseln“. Jeder Benutzer verfügt über zwei Schüssel; einer davon, der „öffentliche Schlüssel“, ist jedermann zugänglich, während der zweite „private Schlüssel“ niemand anderem bekannt sein darf. Wollen Kunde und Anbieter über das Internet ein Geschäft eingehen, verschlüsselt jeder seine Nachricht mit dem öffentlichen Schlüssel des Partners und schickt sie in die Weiten des Netzes. Dazu hat er zunächst den Schlüssel des Partners angefordert und bekommen. Die Verschlüsselung aufheben kann nur der Besitzer des zugehörigen geheimen Schlüssels. Nun kommt schon bei geselligen Privatleuten nach einiger Zeit ein enorm großes Schlüsselbund zustande, denn von jeder Person, mit der ungestört kommuniziert werden soll, muß der öffentliche Schlüssel angefordert und zudem sichergestellt werden, daß er authentisch vom Partner stammt. Wenn Behörden und Unternehmen das Internet in Zukunft vermehrt nutzen, dürfte ihr Schlüsselbund groteske Ausmaße annehmen.
Die entstehenden Trust-Center wollen Ordnung in das drohende Chaos bringen, indem sie die Schlüssel ihre Klienten verläßlich verwalten. Die besonders wichtige Zuordnung des öffentlichen Schlüssel zum einzelnen Teilnehmer sei, so meint zumindest Hortmann, nur auf diesem Wege zu gewährleisten. Ein Beispiel: Wenn man seiner Bank vertrauliche Daten übermitteln möchte, sollte man sicher sein, daß der benutzte öffentliche Schlüssel auch tatsächlich der Bank gehört und nicht jemandem, der deren Identität nur vorspiegelt. Diese vertrauenswürdige Zuordnung leistet das Trust-Center durch ein digitales Zertifikat, vergleichbar einem Paß, welcher nachweist, daß Person und Schlüssel zusammen gehören. Die Kosten sind für ein breites Publikum tragbar, ein Zertifikat der niedrigsten Sicherheitsstufe wird etwa zehn Mark jährlich kosten. Hortmann und die MAZ wünschen sich ein „Massenpublikum“ als Klientel, was aber nur zu erreichen sei, „wenn genügend Firmen und Behörden mitmachen, die als Kommunikations- und Vertragspartner für viele begehrt sind“. Erste Schritte in Richtung einer globalen Kooperation sind bereits vollzogen, denn das MAZ steht in Verhandlungen mit Netscape, der Firma, die das gängigste Programm zum surfen im WWW, den sogenannten Browsern, vertreibt. Für den sicherheitsbewußten Anwender vor dem heimischen PC soll der verwirrende Umgang mit den Schlüsseln damit einfacher gemacht werden, denn der Netscape-Browser verwaltet die Schlüssel selbständig.
Die Idee zur Einrichtung der Trust-Center findet ihren Grund aber nicht nur im Willen der Wirtschaft, endlich Gewinne aus dem Internet zu ziehen. Vielmehr soll damit auch eines der Hauptprobleme der Verschlüsselung von Daten gelöst werden. Weltweit sehen Regierungen Kryptographie in erster Linie als gefährliche Waffe in Händen von Verbrechern. Nachrichten, die mithilfe von PGP codiert sind, kann selbst der amerikanische Geheimdienst mit seinen Hochleistungsrechner kaum noch knacken – ein Horrorszenario für die Staatsschützer. Die USA schlugen deshalb jüngst eine Regelung vor, die Anwendern zwar die Verschlüsselung ihrer Briefe gestattet, die öffentlichen wie geheimen Schlüssel müßten aber, geht es nach den Vorstellungen der Clinton-Administration, unabhängigen Einrichtungen ausgehändigt werden. In Bonn ist ein Kryptographie-Gesetz in Vorbereitung, welches dem amerikanischen Vorbild maßgeblich ähnelt.
Im Netz selber laufen die Menschen Sturm gegen jedwede Pläne, welche die Codierung ihrer Daten einschränken. Die große Mehrheit hält eine digitale Signatur nur dann für vertrauenswürdig, wenn niemand außer dem Inhaber Zugang zu einer Kopie des geheimen Schlüssels hat. Zudem glaubt man, daß die Regierungen mit der Vergabe und dem Entzug von Lizenzen für Verschlüsselungsverfahren den Markt regulieren werden und nur die Verfahren zulassen, die mit einigem Aufwand doch zu entschlüsseln sind. Ihr weiterer Verdacht: Der Umstand, daß zum ersten Mal in der Geschichte jedermann ungekürzt und unzensiert publizieren kann, stört die Machthaber. Die Apologeten des freien Datenflusses finden Unterstützung von juristischer Seite. Johann Bizer, Rechtsexperte für die Verschlüsselung von Daten, zieht aus den Grundrechten den Anspruch jedes Bürgers, unbehelligt vom Staat seinen individuellen Schutzbemühungen nachzugehen. Beides, ein Verbot von Verschlüsselung ebenso wie die Einführung von Lizensierungsverfahren, die den Sicherheitsbehörden einen Zugriff auf private Schlüssel ermöglichen, verletzen nach Ansicht Bizers die im Grundgesetz verankerten Grundrechte. Für den Staat stellen sich die entscheidenen Fragen anders, wobei Justizminister Edzard Schmidt-Jortzig den Kern des Problems trifft. Nicht ohne weiteres entschlüsselbare Verfahren seien sowohl für den Ausbau der kommerziellen Nutzung wie für die Wahrung der Privatsphäre ohne Zweifel nötig, meint der FDP-Politiker. Andererseits müsse wie bei Brief und Telefon die Möglichkeit bestehen, im Rahmen einer richterlichen Anordnung die Nachrichten einzelner Sender oder Empfänger zu überwachen. Zugleich gibt er zu: „Die bisherige Praxis zeigt, daß Verdächtige, die sich der Gefahr der Abhörung bewußt sind, eh auf andere Kommunikationswege ausweichen und nicht etwa verschlüsse lte Nachrichten versenden.“
Im MAZ tritt man der Diskussion auf eigene Art entgegen. Hortmann will das Managment der Schlüssel so regeln, daß die privaten Schlüssel der Teilnehmer gar nicht im Trust-Center gespeichert sind. „Falls ein Kunde die Verwahrung seines geheimen Schlüssels wünscht, und das kann durchaus sinnvoll sein, schlagen wir eine Speicherung von Teilschlüsseln bei verschiedenen Trust-Centern oder Notaren vor.“ Auch die anderen Trust-Center in der Republik ziehen es vor, keine geheimen Schlüssel zu speichern. Den Überlegungen der Bundesregierung, elektronische Kommunikation an die Abgabe beider Schlüssel zu binden, steht der Mathematiker an der Universität Bremen skeptisch gegenüber. Er fordert mindestens zwei voneinander unabhänige Institutionen, die Teilschlüssel erhalten. Eine technische Rafinesse soll die Neugier der Abhörer zusätzlich bremsen. Hortmann schlägt vor, die Verschlüsselung so konfigurieren, daß sich bei Herausgabe des Schlüssels an eine Behörde nur ein gewisses „Zeitfenster“ für das Abhören öffnet.