Einschlägige Analysten prophezeien dem Handel über elektronische Marktplätze schon in naher Zukunft ein Billionen-Dollar-Volumen. Einigkeit besteht auch über das Gefahrenpotenzial und die mangelnde Vertrauenswürdigkeit der zugrunde liegenden Infrastruktur. Im Bereich der unternehmensübergreifenden Geschäftsbeziehungen (Business to Business, B2B) kann sich dieser Sicherheitsmangel zu einer ernsthaften Gefährdung ausweiten. Offene digitale Marktplätze, auf denen Unternehmen bei Ausschreibungen oder Angeboten auf noch nicht bekannte Geschäftspartner stoßen, können nur funktionieren, wenn ihre Vertrauenswürdigkeit gewährleistet ist. Um diese Vertrauenslücke in der digitalen Kommunikation zu schließen, sind eine Reihe von Initiativen angetreten, um die digitale Signatur als Äquivalent zur Unterschrift sowie die damit einhergehenden Public Key Infrastrukturen (PKIs) zu etablieren. Der Aufbau einer solchen Infrastruktur bedeutet für Unternehmen allerdings ein kostspieliges Unterfangen. Untersuchungen in den USA weisen hier Aufwendungen von bis zu 10 Mio. DM und mehr als ein Jahr Projektdauer aus. Die Gartner Group prognostiziert, dass im nächsten Jahr jedes fünfte Unternehmen für den Betrieb eines Trustcenters externe Hilfe in Anspruch nehmen wird. Vielfach haben Firmen eigene Anstrengungen bereits zugunsten globaler Initiativen eingestellt.
Eine solche globale Initiative haben im April 1999 acht der größten Finanzinstitutionen der Welt gestartet: die in den USA beheimatete Organisation Identrus. Die Zusammensetzung des Namens aus Identity und Trust birgt bereits die Zielsetzung in sich: Aufbau und Etablierung einer weltweiten Zertifizierungsarchitektur. Identrus will den Weg zu vertrauenswürdigen Geschäftsbeziehungen ebnen und eine rechtliche und technische Infrastruktur schaffen, die auf einer Reihe einheitlicher Systemvorschriften, Verträgen und Geschäftspraktiken für das umfassende Vertrauens- und Risikomanagement beruht.
Konkret bedeutet dies eine Einigung der beteiligten Banken auf den Einsatz spezifischer PKI-Techniken, um weltweit eine tragfähige Basis aus Zertifizierungsinstanzen, Online-Validierungstechnologien und SmartCards für das gegenseitige Vertrauen zu schaffen. Im Rahmen des Pilotbetriebs konnte man im April diesen Jahres belegen, dass die Sicherheitstechnik von 18 verschiedenen Anbietern im Identrus-System problemlos interagiert: Mit dabei waren Baltimore Technologies, Chrysalis ITS, Computer Associates, CyberTrust (gehört mittlerweile zu Baltimore), Datakey, Entrust Technologies, Gemplus, iD2 Technologies, Litronic, nCipher, Oberthur Card Systems, Rainbow Technologies, Schlumberger, Setec, SPYRUS, TC TrustCenter, ValiCert und VeriSign.
Identrus fungiert als Wurzelinstanz (Root CA) für Finanzinstitutionen, die ihrerseits wiederum als Zertifizierungsinstanzen für weitere Banken oder Firmenkunden auftreten. Letztgenannte setzen SmartCards ein, um ihre Korrespondenz digital zu signieren. Validierungssysteme bei den Identrus-Partnern bestätigen in Echtzeit die Gültigkeit der digitalen Zertifikate zum Zeitpunkt der jeweiligen Transaktion oder Kommunikation. Client-Anwendungen prüfen den aktuellen Status jedes Identrus-Zertifikats online über den IETF-Standard OCSP (Online Certificate Status Protocol, RFC 2560). Damit erteilt Identrus den bislang üblicherweise genutzten, periodisch erscheinenden Widerrufslisten (Certificate Revocation Lists, CRLs) eine klare Absage: zu schnell können sich heutzutage Risiken im Umgang mit Geschäftspartnern ändern.
Die Identrus-PKI sieht über den IETF-Standard OCSP eine
Online-Zertifikatsprüfung aller beteiligten Schlüssel in
just dem Moment vor, in dem sie verwendet werden.
Mithilfe entsprechender OCSP-Responder validieren Banken digitale Zertifikate in just dem Moment, in dem sie eingesetzt werden. Neben der bloßen Zertifikatsverwaltung kann das zugrunde liegende System auch Policies, Zugriffsrechte, Finanzinformationen usw. für unterschiedliche Geschäftsszenarien und Nutzerkreise bereitstellen sowie verschiedene Zertifizierungsarchitekturen unterstützen. Beispielsweise baut der im Piloteinsatz genutzte Validierungsserver eTrust OCSPro von Computer Associates auf das eTrust Directory: Dieser verteilte X.500-konforme LDAP-Verzeichnisdienst (Lightweight Directory Access Protocol) sammelt in einer relationalen Datenbank sämtliche relevanten Daten und Aktivitäten der beteiligten Geschäftspartner. Die Echtzeit-Verwaltung und -Anwendung digitaler Zertifikate über OCSPro arbeitet im Kontext der definierten Sicherheitsregeln. Das ermöglicht schnelle Ja/Nein-Entscheidungen für E-Business-Geschäftsbeziehungen. Für hohe Verfügbarkeit sorgen Ausfallschutz und Lastverteilung über mehrere Server-Systeme.
Die Identrus-Architektur verfügt jedoch auch über entsprechende Schnittstellen, um existierende Anwendungen, die aufkommenden digitalen Marktplätze, aber auch firmeneigene PKIs zu integrieren. Dies ist wichtig, da trotz aller angestrebter Globalität Identrus allein weder sämtliche mit dem Thema E-Business und Sicherheit verbundenen Aufgaben lösen noch die angestrebte Effizienz durch weitreichende Automatisierung erfüllen kann. Die Identrus-Partner beziehungsweise -Anwender müssen daher die gesamte PKI und auch den Zertifizierungsprozess in ihre allgemeinen Geschäftsabläufe und Kundenbindungsprogramme integrieren.
Da Identrus sich neben der reinen Technik auf bindende Verträge und die Risikomanagement-Erfahrung von weltweit agierenden Finanzinstitutionen stützt, besitzt diese Initiative gute Chancen, Hindernisse für vertrauenswürdige Beziehungen im elektronischen Business-to-Business-Handel zu beseitigen: Zweifel an der Identität und Autorisation des Partners sowie die Abstreitbarkeit elektronischer Abschlüsse. Schließlich sind Banken durch ihre bisherige Geschäftstätigkeit für die Position des vertrauenswürdige Dritten geradezu prädestiniert. Sie garantieren einem Hersteller beispielsweise mithilfe des digitalen Identrus-Zertifikats, dass eine über das Internet erfolgte Angebotsanforderung von einem bislang unbekannten Unternehmen auf "sicheren Beinen" steht. Dabei können ergänzende finanztechnische Informationen gleichzeitig Auskunft über die Kreditwürdigkeit des potenziellen Partners geben.
Rajiv Saxena ist Senior Consultant bei Computer Associates in Darmstadt.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 50
