Editorial

Porträtfoto Norbert Luckhardt

Frühlingserwachen

Lange Zeit haben Anwender Chipkarten und digitaler Signatur die kalte Schulter gezeigt – egal ob in Firmen oder privat. Zu teuer, zu kompliziert, kein etablierter Standard, zu wenig Anwendungen, ... Viele Projekte zu Public Key Infrastructures lagen erstmal auf Eis. Mit dem Vorliegen von zertifizierten Geldkartenlösungen für Internetzahlungen, dem Regierungsbekenntnis zum E-Government und dem neuen Signaturgesetz mit seinen Aussichten auf weniger aufwändige Verfahren für mehr Rechtssicherheit im E-Business zeigen sich nun aus verschiedenen Richtungen Eisbrecher am Horizont.

Das wir einen Schritt weiter sind, zeigt auch das erwachende Interesse an Angriffen auf Chipkarten: Hieß es vor einem Jahr noch "Mausklicks und Softwarezertifikate sind unsicher, wir brauchen Signatur-Smartcards", so sieht man jetzt auch diesen Lösungen auf die Finger und fragt nach, inwieweit sie im Anwendungsumfeld vor Manipulationen beispielsweise durch Trojanische Pferde geschützt sind. Ein Vortrag auf dem BSI-Kongress brachte wohl einen Stein ins Rollen, der es bis in die Massenmedien brachte: Veränderung der Darstellung in der "sicheren Anzeigekomponente" und Zugriff auf die PIN-Eingabe bei einer gemäß (altem) Signaturgesetz (SigG-97) zertifizierten Software. Der Beitrag der Bonner Wissenschaftler Armin Cremers, Adrian Spalka und Hanno Langweg hat übrigens auf dem Kongress einen Best Paper Award (s. S. 27) errungen und wird in einer der kommenden KES-Ausgaben abgedruckt.

Nun brauchen wir also (endlich) für die sicher in Smartcards aufbewahrten Signaturschlüssel auch eine sichere Anwendungsumgebung zur Darstellung und PIN-Eingabe (oder zum Fingerabdruckcheck, vgl. S. 14). Zum Glück hatten die Banken für die Geldkarte im Internet schon vorausschauend so genannte Klasse-3-Leser verpflichtend vorgesehen, die ein eigenes Display und PIN-Pad für genau diese Zwecke besitzen müssen – sonst wäre spätestens jetzt diese Diskussion erneut entflammt. Auch für (folgenschwere) elektronische Signaturen wird man um eine sichere Darstellungskomponente – zumindest für Eckdaten – wohl langfristig nicht herumkommen, denn in den verbreiteten PCs ist nun mal "der Wurm drin" (oder das Trojanische Pferd). Jedenfalls lässt sich das nur schwer ausschließen ...

Aber auch die vergleichsweise sicheren Chipkarten selbst wird man hinterfragen: Mit zunehmender Tragweite der Transaktionen wächst auch die Gefahr von Angriffen auf die "sichere Hardware". KES wird sich diesem Thema im Laufe des Jahres ebenfalls widmen.

Was auch immer sich ergibt: Man sollte die Verhältnismäßigkeit nicht außer Acht lassen. Bei der Bewertung von Sicherheit und Unsicherheit sind nicht nur die technischen Möglichkeiten gefragt, sondern auch das Maß an sinnvollem Einsatz. Man sollte die Messlatte zwar nicht zu tief anlegen, aber auch nicht immer und überall "per aspera ad astra" streben. Simple Internetbestellungen in überschaubaren Größenordnungen sollte man weiterhin auch ohne "Hochsicherheitsumgebung" ausführen können – schließlich hat man in der realen Welt bei schriftlichen, Fax- oder Telefonbestellungen auch nicht immer einen Notar bei der Hand.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2001, Seite 3