Digitale Signatur - mit oder ohne Zusatzhardware?

...der Techniker, er wünscht einen möglichst sicheren und auch theoretisch sehr schwer überwindbaren Schutz. Der Praktiker, er muss mit der Sicherheitslösung leben, sie im Betrieb umsetzen und seine Mitarbeiter auch motivieren, sie zu verwenden. Der Privatuser, er muss den Sinn einer digitalen Signatur für sich selbst erst erkennen und die Lösung muss einfach verwendbar sein.

Die digitale Signatur bietet einen technisch nahezu perfekten Schutz gegenüber Absenderfälschung. Diese Technik ist aber nur so sicher, wie deren Organisation - daher strebt man die Regel an: Signatur ist sicher, wenn man,

• etwas "besitzen" muss (eine Chipkarte, einen Token),
• etwas "wissen" muss (PIN, Zielrechner),
• eine "sichere" Hardware verwendet, die keine "Tastaturspionage" zulässt,
• eine "unterschriebene Bürgschaft" verwendet (Zertifikat, signiert von einer vertrauenswürdigen Stelle, die auch eine Personenüberprüfung durchführt, am besten staatlich anerkannt),
• jedes Dokument einzeln signiert (damit einem keines "untergeschoben" werden kann).

Wie man sieht, eine sichere Technik ist aufwendig und speziell bei "Massensignaturen" schwer einsetzbar.

Zusätzlich kommen noch Rechtsfragen zum Tragen. Wann und mit welchen Anwendungen kann ich "rechtsgültig" signieren? Das ist ein besonders heißes Thema, wenn es um den Versand von digitalen Dokumenten geht. Es besitzt auch höchste Aktualität beim Thema "E-Billing": werden Rechnungen digital versandt und "falsch" signiert könnte die einbehaltene Vorsteuer rückgefordert werden! (Derzeit ist seitens des Finanzministeriums noch keine verbindliche Auskunft zu erhalten, welche Lösungen neben der sicheren Signatur im Falle einer gegebenenfalls nur fortgeschrittenen Signatur anerkannt werden).

Nach dem Signaturgesetzt ist eine qualifizierte, sichere Signatur (derzeit?) nur mit einem eigenen Chipkartenleser umsetzbar, damit ein eingegebener PIN nicht durch eventuelle Malware von der Tastatur mitgelesen werden kann. Eine "fortgeschrittene" Signatur kommt ohne spezielle Hardware aus, kann als reine Software mit entsprechendem organisatorischem Background umgesetzt werden. Eine Mischform ist der Einsatz des Handys als "Front-End" für die Signatur, dabei erfolgt die Identifikation per Web über eine Zentrale, die per SMS einen Code für den Abschluss der Signatur rückmeldet.

Was derzeit fehlt, ist die passende "Killerapplikation" für die eine oder andere Variante der digitalen Signatur. Bei mehr als 1 Million aktiver Benutzer von Finanz-Online verwendet nur ein verschwindend kleiner Teil die Bürgerkartenfunktion, der Rest wählt die Passwortvariante.

Es muss eine Lösung entstehen, die von einer extrem großen Anzahl von Benutzern sehr oft verwendet wird - vorzugsweise täglich. Und es muss der Mehrwert stimmen: jedem User muss der Vorteil des Einsatzes der digitalen Signatur selbstverständlich sein und die Usability muss stimmen!

Digitale Signatur, ein heißes Thema für einen - hoffentlich heißen - Sommer! Aber ich glaube, dass der Herbst einige Weichenstellung zu diesem Thema bringen wird!

Sollten Sie Fragen zum beschriebenen Thema, das ich hier nur kurz anreißen konnte, oder einzelnen Lösungen zur digitalen Signatur haben bzw. Sie andere Securityfragen bewegen, senden Sie eine kurze E- Mail an die Redaktion.

Dr. Manfred Wöhrl, ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger. Manfred.Woehrl@rics.at

Sie haben Security-Probleme - Fragen Sie Dr.Wöhrl

Sollten Sie Fragen zum Thema "Security" haben, senden Sie eine kurze E-Mail an die MONITOR-Redaktion, troger@monitor.co.at, wir leiten Ihre E-Mail gerne an Dr. Manfred Wöhrl weiter.