"Besonders die Entwicklung von Verschlüsselungs-und Zertifizierungssystemen für Unternehmen und die unter anderem dazu nötigen Smartcards sind interessant", meint Herbert Leitold vom Grazer Institut für angewandte Informationsverarbeitung. Die Wissenschaft trifft sich in diesen Aktivitäten mit der steigenden Nachfrage seitens der Firmen, wie Wolfgang Goller vom Grazer E-Business-Kompetenzzentrum Evolaris bestätigt: "Immer mehr Unternehmen interessieren sich für 'Public Key Infrastructures', mit denen nicht nur Unterlagen verschlüsselt ausgetauscht, sondern auch die Identitäten von Geschäftspartnern festgestellt werden können." Das alles funktioniert durch ein asymmetrisches Kryptografieverfahren (siehe Wissen): Jeder Teilnehmer einer solchen Infrastruktur verfügt über einen öffentlichen und einen privaten Schlüssel. Wenn jetzt Mitarbeiter A möchte, dass Mitarbeiter B ein verschlüsseltes Dokument bekommt und lesen kann, verwendet er den öffentlich bekannten Schlüssel von B zum Codieren. B kann das Dokument dann unter Verwendung seines privaten Schlüssels entziffern. Auch zum Signieren von Dokumenten kann diese Technologie angewandt werden: Indem B etwa einen Vertrag mit seinem nur ihm zugeordneten privaten Code verschlüsselt, kann dieser Vorgang als seine digitale Unterschrift eindeutig nachgewiesen werden.
Am häufigsten würden Unternehmen über die komplexe Schlüssel- und Zertifikatsverwaltung klagen, erzählt Telematiker Goller. Sein Evolaris-Kollege Michael Haberler weist aber auf die juristische Bedeutung sicherer Verschlüsselungssysteme hin. "Nur die sichere elektronische Signatur gilt vor Gericht wie eine händische Unterschrift." Alle anderen Varianten wie etwa eine Auftragsbestätigung per E-Mail würden zwar im Konfliktfall vielleicht helfen, rechtsverbindlich seien sie freilich nicht.
Persönlicher Code
Noch ist die sichere digitale Signatur in Österreich kaum verbreitet. Haberler hofft, dass die geplante Bürgerkarte, die wie ein digitaler Personalausweis zur Abwicklung elektronischer Verwaltungsverfahren dienen soll, das allgemeine Bewusstsein steigern wird. Denn auch diese Karte wird einen privaten Schlüssel enthalten, der den einzelnen Bürger in Verknüpfung mit dem Melderegister und einer persönlichen Zugangsnummer eindeutig identifizieren kann.
Mit dieser Kombination hoffen Forscher wie Herbert Leitold, der im "Zentrum für sichere Informationstechnologien" (A-SIT) an der Entwicklung der Bürgerkarte mitarbeitet, den digitalen Ausweis "nach dem derzeitigen Stand der Technik sicher zu machen". Das scheint umso wichtiger, als es in den vergangenen Jahren einige Aufsehen erregende Attacken auf Smartcards, wie die Bürgerkarte eine sein wird, gegeben hat. Die Schlüsselknacker maßen dabei den Stromverbrauch des kleinen Computers im Kartenchip und leiteten aus den Spannungsschwankungen den Code ab. Dem Softwareexperten Serge Humpich gelang es 1999, den öffentlichen Schlüssel des französischen Bankkartensystems zu knacken und für sich selbst unbegrenzt viele funktionierende Karten auszustellen. Seine Entdeckung wollte er der französischen Bankkartenvereinigung verkaufen, er landete aber wegen Fälschung im Gefängnis. Details seiner Entdeckung kursieren angeblich noch immer im Netz.
Für die österreichische Bürgerkarte, deren Einführung zeitlich noch nicht fixiert ist, gelten strenge Vorgaben: So darf der Zugangscode "nicht ausspähbar" sein, der private Schlüssel muss auf der Karte bleiben und darf auch bei E-Government-Angeboten nie an einen fremden Server geschickt werden. Bleibt der Risikofaktor Mensch. Denn wenn der PIN-Code gemeinsam mit der Bürgerkarte in der Brieftasche verwahrt wird, kann auch die ausgeklügeltste Verschlüsselung Missbrauch nicht verhindern.
Quelle: Der Standard
