Trotz steigender Internet-Piraterie und mit zunehmendem Fortschritt auch
größeren Angriffsmöglichkeiten durch Hacker wird eine sichere globale
Kommunikation und Interaktion - nicht nur bei ECommerce - zu wenig thematisiert und praktiziert.
Kryptographie ist ein Schlüsselwort für Sicherheit im Internet.
Leider stößt PGP hierbei in Deutschland derzeit an
seine Grenzen. Nach dem deutschen
Signaturgesetz (=Art.3 des IuKDG) ist erforderlich, daß der Schlüssel
- vereinfacht ausgedrückt - sicher verwahrt wird. Diese Voraussetzung erfüllt
nach dem Willen des Gesetzgebers zur Zeit jedoch nur eine Chip-Karte,
auf welcher die nötigen Informationen gespeichert sind, die nur mittels
eines speziellen Lesegeräts ausgelesen werden können (also ähnlich
der HBCI-Karte im Online- Banking-Bereich!).
PGP bietet (derzeit) jedoch keine Möglichkeit für die Verwendung eines
derartigen Chipkarten systems. Damit können mittels einer PGP-signierten
Unterschrift derzeit nach deutschem Recht Verträge online nicht rechtswirksam
geschlossen werden, da keine i.S.d. Signaturgesetz gültige Unterschrift
geleistet wurde.
Derzeit gibt es nur 2 Stellen, die als TrustCenter i.S.d. Signaturgesetz
agieren können. Dies sind eTrust von der deutschen Post und ......
(muß ich nochmals nachschaün). Derzeit führt die staatlich bestätigte
Zertifizierungsstelle eTrust an der Universität
Saarbrücken ein Pilotprojekt bzgl. digitaler Signatur durch. Hierbei erhalten
ca. 80 Studenten die Gelegenheit, Erfahrungen im Umgang mit dem - Signaturgesetz-konformen
- Chipkarten-System zu sammeln. Gegebenenfalls ist es mir deshalb möglich,
in nächster Zeit, auch eigene Erfahrungsberichte diesbezüglich hier
bekanntzugeben.
Persönliche Anmerkung:
Diese Entwicklung ist zwar aus rechtlicher Sicht verständlich, gleichermaßen
jedoch bedauerlich angesichts der Qualität von PGP und der Vorreiterrolle,
die es spielte, bis überhaupt einmal die Politik zu reagieren begann.
PGP findet dennoch ein gutes Einsatzfeld, wenigstens im außerrechtsgeschäftlichen
Bereich wie z.B. privater e-Mail-Verkehr. Voraussetzung ist
jedoch gemäß dem Grundgedanken von PGP vom Web of Trust, daß
tatsächlich Schlüssel nur als vertrauenswürdig
eingestuft werden, die von einem selbst bekannten anderen Personen signiert
wurden. Hilfreich wäre auch ein Zertifikat von einem Trust Center. Jedoch
sollte man auch auf die Art des Zertifikats achten;
so bedeutet bei TC Trustcenter Hamburg eine Class 3 - Zertifikat, daß
ein Post-ID-Verfahren durchgeführt wurde, welches wenigstens eine recht
große Sicherheit der Identitätsfestellung bedeutet. Leider, aber
auch verständlicherweise, verlangen diese TrustCenter inzwischen auch einen
jährlichen Obulus, so daß angesichts der rechtlichen Problematik
die Hemmschwelle der Nutzer steigen dürfte. Desweiteren sollte der private
Schlüssel unbedingt auf einem externen Medium wie einer Diskette
und nicht auf Festplatte abgespeichert werden ! Dies bietet wenigstens ein noch
größeres Maß an Sicherheit bzgl. der Entwendbarkeit des private
key !
© 1997-2001 by Alexander Gessinger, all rights reserved
|