“Jeden Morgen, wenn Sie Ihr Mobiltelefon einstecken, gehen Sie mit dem Netzbetreiber implizit einen Handel ein: „Ich möchte Anrufe tätigen und entgegen nehmen können. Im Gegenzug ermächtige ich den Betreiber, jederzeit zu wissen, wo ich mich aufhalte.“

Bruce Schneiers Buch „Data and Goliath“ beginnt damit, den Handel zu beschreiben, den die meisten von uns täglich unbewusst eingehen: im Tausch gegen Bequemlichkeit nehmen wir einen Zustand der Dauerüberwachung bereitwillig in Kauf. In einer von Daten und digitaler Kommunikation dominierten Welt ist es Geheimdiensten und Konzernen somit ein Leichtes, uns millionenfach auszuspähen.

Schneier kennt sich aus: Als Experte für Kryptographie und Computersicherheit, Mitbegründer einer Computersicherheitsfirma und Vorstandsmitglied der Electronic Frontier Foundation steht der Amerikaer dem britischen Guardian bei dessen Berichterstattung zu den von Edward Snowden entwendeten NSA-Dokumenten beratend zur Seite. Schneier beherrscht seine Materie nicht nur fachlich, er schafft es zudem, anschaulich und leicht verständlich darzustellen, wie globale Überwachung funktioniert und wie den daraus resultierenden gesellschaftlichen und politischen Herausforderungen zu begegnen ist.

Worum geht’s genau?

Das Buch ist in drei Teile gegliedert und einen ausführlichen Glossar gegliedert. Der erste Teil, „The World We’re Creating“, befasst sich mit der Bedeutung von Daten, die als „Nebenprodukt“ der Nutzung von Computern und vergleichbaren Technologien entstehen und sowohl von Konzernen als auch von Regierungen massenhaft gesammelt und analysiert werden. Hier dürfte es selbst gut informierte Laien und Experten bisweilen gruseln, denn Schneier macht anhand einer Fülle von Beispielen unmissverständlich klar, wie verräterisch, langlebig und daher begehrt Kommunikationsdaten sind. „Google weiß besser, was ich denke, als ich selbst“, schreibt er. „Denn Google erinnert sich an alles – perfekt und für immer.“

Im zweiten Teil mit dem Titel „What’s at Stake“ erläutert Schneier die negativen Auswirkungen der Massenüberwachung auf politischen Aktivismus, Redefreiheit und gesellschaftliche Veränderung und illustriert, wie leicht Überwachung missbraucht und zum Instrument von Diskriminierung und Manipulation werden kann. Schneier widerspricht einmal mehr der Idee, dass Privatsphäre nur für diejenigen erstrebenswert ist, die etwas zu verbergen haben. Und er erklärt, warum Übergewichtung nationaler Sicherheit auf Kosten der Privatsphäre schädlich und wenig sinnvoll ist.

Der dritte Teil des Buches, „What To Do About It“, greift die Erkenntnisse und Schlussfolgerungen der ersten beiden Teile auf und richtet sich an Elektronikkonzerne, Regierungen und die sogenannten Endnutzer, also an uns alle. Schneier macht es sich zur Aufgabe, umfassend Antworten und Lösungsvorschläge anzubieten. Dieser Teil ist sicherlich insbesondere für diejenigen Leser, die mit der Materie vertraut und angesichts der nur schleppend folgenden Veränderungen frustriert sind, der interessanteste. Aber schafft Schneier es, Fragen zu stellen, die nicht bereits tausendfach wiederholt und mit nur mäßigem Erfolg diskutiert worden sind? Bringt er neue Argumente, die endlich wirkliches Verständnis dafür vermitteln, warum das Problem Massenüberwachung uns alle nicht nur theoretisch und abstrakt, sondern jederzeit praktisch und konkret betrifft? Die Antwort lautet ja.

Was kann es?

Auf dem Cover des Buches findet sich eine Bewertung des kanadischen Autors Malcolm Gladwell:

„The public conversation about surveillance in the digital age would be a good deal more intelligent if we all read Bruce Schneier first“, also:

„Die öffentliche Debatte über Überwachung im digitalen Zeitalter fiele wesentlich intelligenter aus, wenn wir alle zuerst Bruce Schneier gelesen hätten.“

Gladwell hat Recht: Bruce Schneiers Buch ist nicht nur extrem gut lesbar, spannend und sinnvoll strukturiert. Als einer der wenigen Experten weltweit mit direkten Zugriff auf die Snowden-Dokumente befindet sich Schneier zudem in der außergewöhnlichen Position, Informationen aus diesen teilweise hochkomplexen und technischen Geheimunterlagen allgemeinverständlich wiedergeben zu können. Schneiers Verdienst besteht darin, dass es ihm nicht nur gelingt, Laien gut zu informieren, sondern auch denjenigen neue Argumente an die Hand zu geben, die mit dem Thema Sicherheit und Überwachung versus Privatsphäre und Bürgerrechte bereits länger vertraut sind. Denn, so Schneier, unsere Herausforderung bestehe nicht allein darin, den Überwachungsstaat zu reformieren, sondern vor allem darin, ihn und die Kontrolle, die er über uns ausübt, zu verstehen. Zu diesem Verständnis kann „Data and Goliath“ maßgeblich beitragen. Mehr noch, Schneier bietet im letzten Teil tatsächlich konkrete Lösungsvorschläge an, die bei der Errichtung einer globalen sicheren Kommunikationsinfrastruktur helfen können.

Bemerkenswert ist der moderate und vernünftige Ton, mit dem der Autor die dargestellten Problematiken angeht. Der Untertitel des Buches, The Hidden Battles to Collect our Data and Control our World, beschreibt die Welt, in der wir leben, als eine Welt geheimer Kämpfe um Daten und Kontrolle. Aber Schneier liegt es fern, Überwachung, Telekommunikation oder Technologie als Schreckgespenster darzustellen. Er erläutert neben ihrem Gefahrenpotenzial auch die enormen Vorteile, die jedem Einzelnen durch technologische Innovation entstehen. Ganz pragmatisch weist er nebenbei darauf hin, dass die leichtfertige Aussage „If you don’t like it, don’t do it“ schlicht unrealistisch ist. Gleichzeitig zeigt sich Schneier besorgt darüber, wohin uns die Bereitschaft, unsere Privatsphäre aufzugeben, führen kann.

Prädikat: besonders wertvoll

Einige von Schneiers Vorschlägen zur Vermeidung einer dystopischen Gesellschaft in Stile George Orwells erscheinen realistischer als andere. Kaum jemand wird es sich wohl zur Gewohnheit machen, nur noch in Verkleidung vor die Tür zu gehen, um die automatische Gesichtserkennung zu erschweren. Andere Vorschläge hingegen sind sehr interessant. Wie beispielsweise die Forderung, Datensammlung und Eingriffe in die Privatsphäre sichtbarer zu machen. Momentan, so Schneier, nehmen wir unsere Internetaktivität zu sehr wie eine virtuelle Party wahr, auf der wir uns mit unseren Freunden ungestört unterhalten. Was uns dabei kaum bewusst ist: dass alles, was wir sagen und (mit)teilen, von Dritten aufgezeichnet wird. Und auch wenn das schiere Ausmaß der Überwachung für manch einen nur noch Anlass zum Zynismus sein mag, es ist es nicht so, dass wir dem Ganzen hilflos gegenüber stehen. Schneier wehrt sich entschieden gegen Defätismus. Denn ob wir uns am Ende für Überwachung, Transparenz oder Privatsphäre entscheiden würden, schreibt er: Die auf unseren Entscheidungen basierende Infrastruktur nutzen in der globalen Welt des Internets schließlich wir alle. Daher sei es höchste Zeit, dass wir die Realität anerkennen, uns eingehend damit befassenund uns um die sinnvolle Veränderung unseres Verhaltens bemühen.

„Data and Goliath“ ist ein wichtiger Schritt auf diesem Weg.

Bild: World Leaks

W.W. Norton&Company Ltd.

Das Internet sei noch nicht sicher genug, um ihm das hohe Gut der Demokratie in die Hände zu legen. So lässt sich ein Statement zusammenfassen, das auf VerifiedVoting.org veröffentlicht wurde. Verfasst hat es David Dill, ein Professor der Computerwissenschaften in Stanford. Unter den 24 Unterzeichnern finden sich Computerwissenschaftler von renommierten amerikanischen Universitäten und EDV-Firmen.

Dabei sprechen sich die Wissenschaftler nicht grundsätzlich gegen Internetwahlen aus. Vielmehr sehen sie die Gefahren momentan als zu groß an, um bereits im Internet zu wählen, wie dies in verschiedenen Pilotprojekten bereits getan wird. Probleme sehen sie vor allem in der mangelnden Nachvollziehbarkeit der Auszählungen und den Möglichkeiten der Manipulation.

Einen anderen Blick auf den Krieg in Datennetzen wirft der Beitrag von Ralf Bendrath, der sich mit der Eroberung des Cyberspace durch die US-Streitkräfte beschäftigt. In wieweit hier der Begriff der Subkultur noch zutreffend ist, wird von mir bezweifelt. Aber das nur als Randnotiz.
Während Hackern und Viren wie “i love you” eine erhöhte Medienaufmerksamkeit sicher ist, sind die Bestrebungen staatlicher Organe, sich für die zukünftige Kriegsführung fit zu machen, nur selten Thema in den Medien. Nach den Ereignissen des 11. Septembers stehen reale Bedrohungen klar im Vordergrund. Aber im Zuge der Ausbreitung des Internet und der einsetzenden Diskussionen über den Wandel der Gesellschaft zur Wissens- bzw. Informationsgesellschaft, erhält die neue zentrale Ressource “Wissen” auch eine erhöhte Aufmerksamkeit in Militärkreisen. Ralf Bendrath fasst die neue Doktrin der US-Streitkräfte folgenderweise zusammen: “Wenn postindustrielle Gesellschaften und ihre Streitkräfte nicht mehr vor allem auf Menschen und Maschinen als Mittel von Produktion oder Destruktion angewiesen sind, (…), dann sind die Angriffsziele militärischer Operationen nicht mehr die Kräfte des Gegners, sondern seine Informationsverarbeitungssysteme” (157).
Sind wir auf einem Weg zum Cyberwar? Wie kann ein neuer Rüstungswettlauf gestoppt werden? Antworten liefert der Beitrag im Buch, aber auch das Interview von politik-digital mit Ralf Bendrath.
Weitere Beiträge des Sammelbandes liefern uns Einblicke in die Welt von Virenprogrammierern, erklären uns die Rolle der Viren im Globalisierungs- und Sicherheitsdiskurs, beleuchten die Schattenseite des e-Commerce in Form von Spam-Mails und weisen mit Nachdruck auf die Bedeutung von Datenschutzwerkzeugen für alle hin.
Dass das Buch seinem selbstgesteckten Ziel, einen vorurteilsfreien Blick auf die sogenannten “dunklen Seiten” des Internet zu werfen, nicht gerecht geworden ist, liegt an der hohen Qualität der Beiträge, die dankenswerterweise nicht mit pointierten Kommentaren und Sympathien geizen, sondern klar Stellung beziehen. Denn das wichtigere Ziel hat das Buch eingelöst: Die Förderung einer sachlichen, informierten Debatte über die “tatsächlichen Gefahren der Vernetzung unserer Gesellschaft” – also die Verteidigung des Rechtes auf freie Meinungsäußerung und die Mobilisierung gegen den Trend einer flächendeckenden Überwachung des Internets. Jetzt sind wir an der Reihe, unseren Beitrag zur Wahrung unserer Grundrechte im Netz zu leisten. Denn der im Beitrag von Bernhard Günther zitierte us-amerikanische Internet- und Verfassungsrechtsexperte Lawrence Lessing warnt vor der riskanten und bequemen Einstellung, “dass das Internet sei wie es ist”. Dabei ist das Netz lediglich von Menschen geschaffener Code – in Form von Protokollen – “der zur Zeit massive Veränderungen erfahre” (30). Frühere Subkulturen forderten in solchen Situation: “Act up”. Wie sagen wir heute dazu?

Zitate alle aus dem Buch – Seitenzahlen in Klammern

Österreichische e-Government-Lösungen gehören zu den europäischen Paradebeispielen erfolgreicher Umsetzung der neuen Informations- und Kommunikationstechnologien im Bereich der Verwaltung. Die Österreichische Bundesregierung wird mit der eGovernment Offensive 2003 sukzessive den Schritt von der reinen Information zur bürgernahen Transaktion in der öffentlichen Verwaltung vollziehen: Sämtliche Verfahren sollen bis Ende 2005 im Internet angeboten werden.

Nachhaltige e-Government-Lösungen müssen modular aufgebaut sein. Nur so ist es möglich, auf Änderungen von technischen und legistischen Rahmenbedingungen rasch und kostengünstig zu reagieren. Nicht mehr ganze Verfahren müssen neu programmiert werden, sondern einzelne Module können einfach ausgetauscht werden. Als e-Government Musterverfahren, wurde die Meldebestätigung herangezogen. Die wichtigsten Bausteine jedes elektronischen Verfahrens sind auch hier enthalten:

– Ausfüllen eines Antragsformulars im Web

– Sofern es das Verfahren erfordert, elektronische Identifikation der Person und Signatur am Antrag

– Elektronische Bezahlung der anfallenden Gebühren

– Elektronische Zustellung einer auch in Papierform weiterverwendbaren Erledigung

Styleguide für Antragsformulare

Formulare sollen in Zukunft immer dasselbe Erscheinungsbild haben, gleich von welcher Behörde sie angeboten werden. In den zwischen Bundes-, Ländern-, Städte- und Gemeindebehörden gemeinsam erarbeiteten Formular-Styleguide fließen regelmäßig die neuesten Erkenntnisse über Bedürfnisse von Anwendern und Anwenderinnen ein. Dadurch sollen einheitliche, leicht auszufüllende Formulare verwaltungsübergreifend sichergestellt werden.

Signatur am Antrag

Die elektronische Signatur ist die Grundlage verantwortungsbewussten, sicheren eGovernments. Identität und Authentizität von Personen – vor allem auch zum Schutz der Bürgerinnen und Bürger und der Wirtschaft -, sowie Integrität von Schriftstücken muss sichergestellt sein. In Ergänzung des Konzepts Bürgerkarte wurde nun das Instrument der Verwaltungssignatur umgesetzt, das im kommenden österreichischen eGovernment-Gesetz auch verankert werden soll. Diese kann auch mit dem Mobiltelefon ausgelöst werden. Dadurch kann jeder am eGovernment mit einer bekannten und bewährten Technik ohne zusätzliche Installation von Software und ohne weitere Hardware teilnehmen.

Die Voraussetzung für die Anwendung der Signatur ist eine Registrierung auf Basis einer gesicherten Identifikation, bei der ein Signaturzertifikat und die Personenbindung erzeugt werden. Die Registrierung erfolgt bei der Anmeldung des Mobiltelefons. Nach diesem einmaligen Vorgang steht die Signatur als Mittel zur Identifikation und zum Unterschreiben von Anbringen allen e-Government-Anwendungen zur Verfügung. Das Auslösen der Signatur erfolgt durch Besitz (Chipkarte, Handy,…) und Wissen (Signatur-PIN) und ist damit sicher vor unbefugtem Zugriff geschützt.

Elektronische Bezahlung

Gebühren müssen bei der Abwicklung von Online-Verfahren ohne Medienbruch bezahlt werden können, wobei die erfolgte Bezahlung dem Verfahren ohne Nachbearbeitung zugeordnet werden können muss.

Elektronische Zustellung

Die elektronische Zustellung könnte zu einer ganz wesentlichen Applikation des e-Governments werden. Allein die Bundesministerien für Finanzen und für Justiz versenden in Österreich über 30 Millionen Schriftstücke pro Jahr. Bei derzeitigen Kosten von etwa 7 € pro konventioneller RSa/RSb Zustellung, aber auch in Bezug auf gewöhnliche Briefe der Behörde, ergeben sich hier enorme Einsparungspotentiale, wenn es gelingt die Bürgerinnen und Bürger zur Teilnahme zu motivieren. Bürgerinnen und Bürger können in Zukunft persönliche Zustellungen ortsunabhängig einfach und unkompliziert zu jedem Zeitpunkt entgegennehmen. Die elektronisch verfügbaren Dokumente können somit jederzeit wieder für neue Internettransaktionen und mit der aufgedruckten elektronischen Signatur auch im normalen Amtsverkehr verwendet werden.

Der Prozess der Meldebestätigung

Die Meldebestätigung wird über das Portal help.gv.at beantragt. Bürgerinnen und Bürger rufen dort das Formular zum Antrag auf Ausstellung einer Meldebestätigung auf. Danach sind folgende Schritte notwendig:

1. Entscheidung ob der Antrag mittels Bürgerkarte oder Bürgerkarte light gestellt wird.

2. Ausfüllen des Web-Formulars.

3. Bei erstmaliger Nutzung der Mobiltelefonsignatur Login am e-Government-Portal der österreichischen Mobilkom mittels Passwort und User ID. Damit wird dem Rechner mitgeteilt, welches Mobiltelefon der Kunde benutzen will.

4. Bürger autorisiert das Auslesen seiner Personenbindung und wird damit authentifiziert. Damit ist sichergestellt, dass eine Meldebestätigung nur für die eigene Person, nicht jedoch für Dritte angefordert werden kann.

5. Das vollständig ausgefüllte Formular sowie eine Information über die entstehenden Kosten werden angezeigt.

6. Die Signatur wird durch die Eingabe der Signatur PIN und des per SMS empfangenen Transaktionscodes ausgelöst.

7. Auswahl der Zahlungsmethode. Bei der Demonstration kommt die paybox, ein e-payment Verfahren auf Mobiltelefonbasis, zum Einsatz.

8. Im Browser des Users wird die Nachricht angezeigt, dass die beantragte Meldebestätigung in Kürze am Zustellserver abzuholen ist.

9. Identifikation am Zustellserver mittels Bürgerkarte oder Bürgerkarte light und Abholung des Bescheides. Auch hier wird mit der Signatur sichergestellt, dass nur an die eigene Person adressierte Schriftstücke eingesehen und geholt werden können. Optional wird in diesem Schritt der Behörde ein Zustellnachweis übermittelt.

Der Vorgang dauert max. 2 Minuten; die Online- Meldebestätigung mit Bürgerkarte, einer Chipkarte mit sicherer Signatur ist bereits verfügbar. Mit Verwaltungssignatur und Mobiltelefon befindet sich das Projekt in der Endphase an der bereits zahlreiche friendly User teilnehmen

Blütenträume

Als der deutsche Gesetzgeber 1997 mit dem Signaturgesetz einen rechtlichen Rahmen für digitale Signaturen schaffte, waren die Erwartungen an ihre Verbreitung noch hoch. Die Strategen fühlten sich in ihrer Analyse der Sicherheitslücken elektronischer Kommunikation unangefochten. Das eine Problem war das der Authentizität, wonach der Empfänger eines elektronischen Dokumentes erkennen können muss, ob das Dokument wirklich von demjenigen stammt, der als Urheber genannt ist. Das andere Problem hieß Integrität, wonach der Empfänger erkennen können muss, ob das elektronische Dokument unverändert bei ihm angekommen ist. Gleichzeitig wurde diese beiden Probleme auch als Ursache für das fehlende Vertrauen der Nutzer in das Medium Internet verantwortlich gemacht. Vor diesem Hintergrund erschienen elektronische Signaturen in Verbindung mit einer Infrastruktur elektronischer Zertifikate die Lösung zu sein, um das theoretische Beweisproblem und das praktische Vertrauensproblem zu lösen.

Voraussetzungen

Unabdingbare Voraussetzung dieser Signaturen ist allerdings die Entwicklung einer Sicherheitsinfrastruktur öffentlich verfügbarer Zertifikate. Eine anspruchsvolle Aufgabe, weil mit der Infrastruktur eine Reihe von Funktionen der Schlüsselverwaltung und der technischen und organisatorischen Interoperabilität erfüllt werden müssen. Vielleicht hätte dies eine Aufgabe der Wirtschaft sein können, jedoch war Mitte der 90er Jahre eine ausreichende Kompetenz und Bereitschaft zur Selbstregulierung nicht erkennbar: Die Banken wollten ihre eigenen Standards und andere Anbieter scharrten bereits hoffnungsfroh mit den Füßen. Vor diesem Hintergrund schlüpfte der deutsche Gesetzgeber 1997 in die Rolle eines „Geburtshelfers“, indem er die Rahmenbedingungen für Zertifizierungsdienstleistungen festlegte, um auf diese Weise einen „Beitrag zur Akzeptanz“ des Internet zu leisten (BT-Drs. 13/7385, S. 17). Eine Signaturverordnung wurde erlassen, eine Behörde eingerichtet, Anforderungskataloge verabschiedet und mit den ersten Arbeiten an interoperablen Strukturen begonnen. Getragen von der Euphorie der Gründerzeit der Informationsgesellschaft schien es nur eine Frage der Zeit zu sein, bis die ersten Nutzer mit Hilfe elektronischer Signaturen rechtsverbindlich bestellen würden
.

Bitteres Erwachen

Nun, nach 6 Jahren deutscher Signaturregulierung ist festzustellen, dass eine nennenswerte Nachfrage nach gesetzeskonformen Signaturen (qualifizierte bzw. akkreditierte elektronische Signaturen) im Gegensatz zu allen Beteuerungen nicht bestanden hat. Wörtlich verstanden war jene Formulierung aus dem Evaluierungsbericht der Bundesregierung zum Signaturgesetz vom 18. Juni 1999 nicht falsch, in dem die als feststehend bezeichnet wurde, dass „das Signaturgesetz den breiten Aufbau einer IT-Sicherheitsinfrastruktur in Form von Zertifizierungsstellen und technischen Komponenten ermöglicht“ habe (BT-Drs. 14/1191, S. 31). Nur wollte sie keiner nutzen! Gleichwohl konnte man 1 ½ Jahre später in der Regierungsbegründung zum Novellierungsentwurf des Signaturgesetzes vom 16. November 2000 lesen, Deutschland verfüge inzwischen „über eine flächendeckende IT-Sicherheitsinfrastruktur“. Unerwähnt blieb wiederum, dass bereits damals – ebenso wie heute – die Zahl der Kunden dieser Zertifizierungsstellen verschwindend gering war, sondern dass praktisch kein Unternehmer im E-Commerce, seinen Kunden eine elektronische Bestellung mit Hilfe gesetzeskonformer Signaturen anbot. Warum auch? Die fehlende Nachfrage ließ sich schließlich nicht mehr leugnen, nachdem im Frühjahr 2002 die Deutsche Post AG die Aktivitäten ihrer Tochterfirma SignTrust als Anbieter für den Massenmarkt einstellte. Andere Anbieter bereuten öffentlich, auf den PKI-Zug aufgesprungen zu sein. Tatsächlich beschränkt sich die Bedeutung elektronischer Signaturen sich bis heute auf das Angebot fortgeschrittener Signaturen für geschlossene Benutzergruppen.

Stolpersteine

Die Gründe für die geringe Bedeutung gesetzeskonformer elektronischer Signaturen sind vielfältig. Sie lassen sich zum Teil auf endogene Fehler in der Einführungsphase zurückführen wie bspw. das Angebot proprietärer SmartCard-Systeme und Protokolle durch die ersten Anbieter oder die fehlende Bereitschaft der Banken, den HBCI-Standard interbankenfähig flächendeckend zu implementieren und ihre SmartCards als Trägermedium für gesetzeskonforme Signaturen anzubieten. Als weiteres Entwicklungshemmnis erwies sich zumindest in der Anfangsphase, dass gesetzeskonform evaluierte technische Komponenten noch nicht zur Verfügung standen. Schließlich wurde die Verbreitung der Signaturen bereits auch durch eine prohibitive Preisgestaltung zu Beginn der Einführungsphase gebremst, so dass qualifizierte Signaturen das Image eines Premiumproduktes bekamen, auf das man auch gut verzichten kann. Im Rückblick waren diese Faktoren aber nur Stolpersteine, die für die Zukunft bspw. mit Hilfe des Signaturbündnisses aus dem Weg gerollt werden können. Der Wirklichkeit näher kommt der Erklärungsversuch mit dem „Henne-Ei-Vergleich“: Ohne Signaturanwendungen keine Nachfrage – ohne Nachfrage keine Signaturanwendungen. Allerdings ist auch dies nur ein halbherziger, weil naiver Erklärungsversuch. Wenn in sechs Jahren noch keiner trotz Unterstützung des Gesetzgebers durch die Einführung einer elektronischen Form und Beweiserleichterungen die Killerapplikation für elektronische Signaturen gefunden hat, dann spricht vieles für die Annahme, dass es diese gar nicht gibt. Das Signaturbündnis konzentriert sich daher aus guten Gründen auf eine Politik der koordinierten Durchsetzung der Infrastrukturvoraussetzungen, insbesondere der erforderlichen interoperablen Chipkarten.

Wie funktioniert der eCommerce ?

Um die Gründe für die Krise der Hochsicherheitssignaturen zu verstehen, muss man die bereits funktionierenden Sicherheitsfunktionen des E-Commerce analysieren: Zentraler Ausgangspunkt für die Lösung des Vertrauensproblems mit Hilfe qualifizierter Signaturen war die Vorstellung von einer prinzipiell offenen Kommunikationsstruktur, bei der sich die Kommunikationspartner vorher nicht kennen. Betrachtet man die Wirklichkeit des eCommerce dann gilt diese Annahme zwar für die Phase der Kundengewinnung, nicht aber für die innerhalb einer bestehenden Kundenbeziehung abgewickelte Kommunikation. Quantitativ ist allein die zweite von erheblicher Bedeutung, aber auch die Kundengewinnung darf unter wirtschaftlichen Gesichtspunkten nicht unterschätzt werden. Nur gelten für die Kundengewinnung die Kommunikationsbedingungen des Kunden und nicht die des Anbieters: Kein Kunde wird sich für eine elektronische Bestellung im E-Commerce gewinnen lassen, wenn ihm zunächst einmal der Erwerb eines Chipkartenlesers, die Beantragung einer Chipkarte, die Beantragung eines qualifizierten Zertifikates, die Lektüre zahlreicher Verhaltenspflichten, die (erfolgreiche) Installation von Hard- und Software und dies alles auf eigene Kosten abverlangt wird.

Motivationen

Unterschätzt wird schließlich die Motivationslage des Kunden: Warum sollte sich der Kunde auf eigene Kosten – vom Installationsaufwand ganz zu schweigen – eine qualifizierte Signatur zulegen? Nur damit der Empfänger – also der Anbieter im E-Commerce weiß, mit wem er es zu tun hat. Die sich ökonomisch rational verhaltenden Kunden haben diese Erwartung bereits intuitiv nicht erfüllt. Denn warum sollte sich ein Kunde auf eigene Kosten ein Sicherheitswerkzeug zulegen, dass seine Beweissituation gegenüber dem Anbieter verschlechtert, aber die des Anbieters verbessert?


Erhellens ist aber auch die Frage nach den Motiven der Anbieter von Waren und Dienstleistungen. Solange diese nicht bereit sind, sich an den Kosten für die Signaturverfahren ihrer Kunden zumindest zu beteiligen, kann die zuverlässige Identifikation des Kunden auch kein wirkliches Problem zu sein. Eine Subventionierung qualifizierter elektronischer Signaturen durch einen Anbieter würde im übrigen auch nicht ihrer wirtschaftlichen Interessenlage entsprechen. Mit der Förderung qualifizierter Signaturen würde der Anbieter nicht die Kundenbindung vertiefen, sondern im Gegenteil die Mobilität seiner Kunden gegenüber anderen Anbietern erhöhen, denn qualifizierte Zertifikate können als elektronischer Nachweis der Identität gegenüber jedermann/frau verwendet werden.

Medienbrüche erwünscht


In Wirklichkeit beruht das Sicherheitsmodell im Internet auch nicht auf qualifizierten Signaturen, sondern auf einer rechtlich ermöglichten und zum Teil auch technisch konfigurierten Interaktion zwischen Anbieter und Kunden, die zwischen den Phasen der Kundengewinnung und Kundenbindung unterscheidet. Die Kundenbindung erfolgt über eindeutige, vorher vereinbarten „Kennzeichen“ (Passwörter), die den Kunden gegenüber dem Anbieter authentifizieren. Die Phase der Kundengewinnung wird hingegen offen unter Verwendung verschiedener Elemente gestaltet. Hierzu gehören die Bestellung unter Angabe einer Kreditkartennummer (widerruflich), die Erteilung einer elektronischen Lastschrift (widerruflich) oder bei hochpreisigen Artikeln auch das Angebot einer telefonischen Kontaktaufnahme seitens des Anbieters. Wichtig für eine erfolgreiche Gestaltung der Phase der Kundengewinnung scheint es, sich vom Postulat der medienbruchfreien Kommunikation zu verabschieden. Oder umgekehrt formuliert: Kalkulierte Medienbrüche können auf Seiten der Kunden Sicherheit generieren. Das Interaktionsmodell folgt im Übrigen einer sozialen Erfahrung, dass die Kontaktaufnahme zu anderen immer ein riskantes, aber auch reizvolles Unterfangen ist.

Die Wirklichkeit des eGovernment

Das Modell aus Kundengewinnung und Kundenbindung gilt leicht abgewandelt auch für Anwendungen im eGovernment mit der Unterscheidung zwischen Erst? und Folgekontakt. Das spezifische im eGovernment ist, dass die Verwaltung ihren Bürger in der Regel vor einem ersten elektronischen Kommunikationsakt bereits kennt (Anmeldung bei der Verwaltung) und damit über ausreichende Informationen zur Identifizierung für den Fall einer elektronischen Kontaktaufnahme verfügt. Bürger und Verwaltung kommunizieren also regelmäßig in einer geschlossenen Benutzergruppe. Die Authentifizierung erfolgt über einschlägige Nummern wie bspw. die Steuernummer gegenüber dem Finanzamt, die Kundennummer aus einem Gebührenbescheid, Name, Geburtsdatum, Anschrift etc. aus dem Melderegister oder aber einem spezifischen Browserzertifikat der Verwaltung.

Letztlich richten sich die Anforderung an die Authentifizierung und den Integritätsschutz nach den Sicherheitsanforderungen des jeweiligen Fachverfahrens sowie ihrer wirtschaftlichen Rentabilität. Es mag für die öffentliche Verwaltung vorteilhaft sein, wenn alle Bürger über ein qualifiziertes elektronisches Zertifikat verfügen. Aber die entscheidende Frage lautet, ob die dadurch erzielten Kosteneinsparungen im workflow der öffentlichen Verwaltung hoch genug sind, um jedem Bürger die erforderliche Infrastruktur zur Verfügung zu stellen. Wer die Antwort sucht, wird sich gleichzeitig auch der Frage nach einfacheren und billigeren Verfahren der Authentifizierung stellen müssen.

Die Chancen des Signaturbündnisses

Nach sechs Jahren Signaturregulierung gilt es von den Blütenträumen einer offenen Kommunikation Abschied zu nehmen: Die Realität orientiert sich an dem Paradigma eines relativ unsicheren Erstkontaktes und relativ sichereren Folgekontakten, die auf diesem Erstkontakt beruhen. Der Erstkontakt dient zur Anbahnung der Kommunikationsbeziehung, ist tendenziell riskant, kann aber – wie die Praxis zeigt – durch Medienbrüche relativ sicher gestaltet werden. Die Sicherheit der Folgekontakte beruht auf Merkmalen, die im Erstkontakt ausgehandelt wurden und zusätzlich durch Kontextwissen abgesichert werden.

Die Bedeutung des Signaturbündnisses besteht erstens in der Öffnung fortgeschrittener elektronischer Signaturen mit und ohne zusätzliche Sicherheitsanforderungen und ihrer Standardisierung. Auf diese Weise wird das Instrument für Anwendungen in geschlossenen Benutzergruppen interessant. Das Signaturbündnis kann zweitens für die Ausgabe und Verbreitung von Chipkarten von Bedeutung werden, wenn auf diese Weise die Ausgabekosten auf Seiten der Anbieter und die Einstiegkosten für die Nutzer signifikant gesenkt werden können.

Die Bedeutung des Signaturbündnisses wird allerdings überschätzt, wenn ihm auch die Entwicklung und Förderung von „Killerapplikationen“ zugetraut wird, für die der Einsatz von qualifizierten und akkreditieren Signaturen unabdingbare Voraussetzung ist. Die Sicherheitsbedürfnisse zahlreicher Anwendungen des E-Commerce und des E-Government können offensichtlich durch ein auf die jeweiligen Geschäftsmodelle und Fachverfahren abgestimmtes Setting aus „technischen Werkzeugen“ wie bspw. elektronischen Signaturen und organisatorischen und rechtlichen Umgebungsbedingungen ausreichend und kostengünstig befriedigt werden. Die Notwendigkeit, Hochsicherheit in einzelne Anwendungen zu implementieren, wird sich letztlich nur auf wenige Verfahren beschränken.

Der Autor Dr. Johann Bizer ist Herausgeber der Fachzeitschrift Datenschutz und Datensicherheit (
www.dud.de)

Die qualifizierte elektronische Signatur ist mehrere Jahre nach ihrer Einführung am Markt kaum verbreitet. Daran ändert auch das Signaturbündnis kurzfristig nichts. Beim E-Government geht es aber nicht um möglichst viele Anwendungen, sondern um möglichst viele Anwender. Andere Staaten zeigen hier Wege mit deutlich weniger Aufwand und Regulierungs-dichte. Hamburg geht deshalb mit dem HamburgGateway einen marktnahen Weg zu sicheren und komfortablen digitalen Transaktionen. Dieser Weg steht auch anderen Gebietskörperschaften offen.

Ausgangssituation

Nimmt man die Wünsche von Bürgern und Wirtschaft ernst, steht E-Government vor einer schnellen Verbreitung. Über zwei Drittel der deutschen Haushalte haben einen Computer. Mehr als die Hälfte hat einen Internetzugang. Nach einer 2003 in Hamburg durchgeführten Bürgerbefragung wollen 70% der Befragten An- und Ummeldungen elektronisch erledigen, und je 62% Auskünfte aus Melde- und anderen Registern abfragen sowie Dokumente und Formulare bestellen. Aus diesen Potentialen kann aber nur dann Praxis werden, wenn E-Government-Anwendungen – vor allem solche, die nicht nur Information und Kommunikation, sondern echte Transaktionen abbilden – auch von einer großen Zahl von Kunden benutzt werden.

Bisher keine Akzeptanz digitaler Signaturen

Die qualifizierte digitale Signatur ist aber noch längst kein breit akzeptierter Zugang zur digitalen Verwaltung. Generell ist schon Skepsis angebracht, ob weltweite Internet-Standards erfolgreich durch deutsche Normen reguliert werden können. Im europäischen und weltweiten Vergleich ist die kartenbasierte Signatur kaum verbreitet. Alle im E-Government führenden Länder, z.B. Kanada, Skandinavien oder Großbritannien, setzen dagegen Benutzerverwaltungen ein. Wer selbst Erfolge erreichen will, sollte sich aber an den Erfahrungen der weltweit Besten orientieren.

Qualifizierte digitale Signaturen sind wegen der hohen Kosten für jeden Anwender und der inkompatiblen Technik verschiedener Anbieter weit von jeder Marktdurchsetzung entfernt, zumal sie außer dem Staat keiner standardisiert einsetzt. Warum sollten sich Bürger oder kleinere Unternehmen eine Signaturlösung anschaffen, nur um durchschnittlich zweimal pro Jahr mit der Verwaltung Kontakt auf-zunehmen? Die Initiative des Bundes für ein Signaturbündnis kann helfen, diese Hürde zu überwinden, wenn die Privatwirtschaft, vor allem der Bankensektor, selbst mit entsprechenden Lösungen in Vorlage tritt. Das ist aber kurzfristig nicht zu erwarten.

Außerdem setzen Online-Massenverfahren Funktionen voraus, die sich nicht durch Signaturen, sondern nur durch eine Benutzerverwaltung realisieren lassen. Zum einen die eindeutige Identifikation: Geburtsort, Geburtsdatum oder Adressen, mit denen die Verwaltung normalerweise Kunden mit dem gleichen Namen unterscheidet, sind nämlich keine Pflichtattribute. Zum anderen schaffen Signaturen allein nicht die Möglichkeit, die bereits heute existierende große Zahl von internen Verwaltungsanwendungen auf einfache und gleichzeitig sichere Weise internetfähig zu machen.

Das heißt: selbst eine bundesweit technisch standardisierte qualifizierte Signaturlösung wäre weder marktgängig noch funktional ausreichend für ein erfolgreiches E-Government. Wer also für rechtswirksame Transaktionen mit der Verwaltung allein auf kartenbasierte Signaturen setzt, läuft Gefahr, den Durchbruch beim E-Government in ferne Zukunft zu vertagen.

Das HamburgGateway – ein digitales Tor zur ganzen Stadt

Hamburg geht diese Probleme mit einer neuen, gleichzeitig einfachen und sicheren Lösung an. Ab Herbst 2003 wird das HamburgGateway als Tor zur modernen digitalen Stadt zur Verfügung stehen. Es bietet den Zugang zu allen Verwaltungsleistungen der Stadt Hamburg und bündelt die notwendigen Funktionen, um Verwaltungsanwendungen schnell und sicher internetfähig zu machen:

– Authentisierung von Kunden und Benutzerverwaltung

– Zuverlässige Abwicklung der Online-Bezahlung

– sichere Abwicklung von Kundenanfragen

– sichere Bereitstellung von Antworten

– Nutzung bestehender Verfahren

– Sicherheit der Verfahren und des hamburgischen Netzes

Das HamburgGateway ist 7 x 24 Stunden erreichbar. Jede Kommunikation mit dem Kunden erfolgt über sichere, verschlüsselte SSL-Verbindungen. Kann die Antwort nicht sofort bereit gestellt werden, da das Backendsystem nicht verfügbar ist oder ein Sachbearbeiter einen Arbeitsschritt vornehmen muss, wird der Kunde per E-Mail informiert, sobald seine Antwort vorliegt.

Durch den Einsatz unterschiedlicher Firewall-Systeme wird die Architektur in verschiedene Sicherheitszonen, so genannte demilitarisierte Zonen, und das Backendsystem geteilt. Im Backend werden die heute bestehenden Fachverfahren weiter eingesetzt. Als einheitliches und flexibles Schnittstellenformat wird XML eingesetzt. Für jedes Fachverfahren wird ein Adapter entwickelt, der die Verbindung von der Basisschicht zum Fachverfahren vornimmt. Die Sicherheitsstandards des HamburgGateway sind erweiterbar, so dass anlassbezogen auf weitere Sicherheitsbedürfnisse reagiert werden kann.

Komfortabel zum E-Government

Das Gateway bietet eine sichere, einfache, kostengünstige und massentaugliche Identifizierung mit vier gestuften Zugangsarten:

– Für Anwendungen, die weder aus Sicherheitsgründen noch für Bezahlfunktionen eine exakte Identifikation erfordern, reicht eine Registrierung mit Benutzerkennung und Passwort aus.

– Für Online-Services mit höherem Sicherheitsbedarf ist es notwendig, sich einmalig persönlich in einem der städtischen Kundenzentren auszuweisen. Das sichert für die Verwaltung eine eindeutige Identifizierung und ist für die Kunden ein u.a. vom Online-Banking bekanntes und akzeptiertes Verfahren.

– Für Firmen wird eine an das jeweilige Verfahren geknüpfte Registrierung als Masteruser angeboten. Sie können diese Benutzerberechtigung intern an bestimmte Mitarbeiter übertragen.

– Für die Mitarbeiterinnen und Mitarbeiter der FHH werden die Berechtigungen für Zugriffe auf Fachverfahren über die zentrale Benutzerverwaltung, das Active Directory, geregelt.

Anschließend an die Registrierung können alle Services der entsprechenden Sicherheitsstufe genutzt werden. Im Hamburger Verwaltungsverfahrensgesetz sowie einer ergänzenden Verordnung soll geregelt werden, dass in den Fällen, in denen Landesrecht gilt, das HamburgGateway die Schriftform ersetzen kann. Bürger und Betriebe benötigen für alle künftigen E-Government-Angebote der Stadt damit weder zusätzliche Hardware noch komplexe Softwarelösungen. Damit bietet das HamburgGateway marktgängige und einfach nutzbare Lösungen sowohl für eine sichere Zugangstechnologie als auch für eine komfortable Identifizierung an.

Die erste Anwendung im HamburgGateway wird die elektronische Melderegisterauskunft sein – verbunden mit einer Bezahlfunktion. Ihr folgen das Verfahren INEZ (Integrierte Erfassung und Bearbeitung von Zuwendungen) und die Online-Abwicklung von Aufgrabescheinen für das Verlegen von Ver- und Entsorgungsleitungen auf öffentlichen Straßenflächen.

Produktiver Wettbewerb um die beste Lösung – und ein Angebot für alle

Das HamburgGateway soll einen Beitrag zu einem produktiven Wettbewerb um die beste Lösung für ein schnell nutzbares E-Government leisten. Gleichzeitig soll es in die technische und organisatorische Zusammenarbeit zwischen Bund, Ländern und Kommunen integriert bleiben.

Als nächster Schritt ist darum die Integration qualifizierter digitaler Signaturen geplant. Das verspricht trotz der oben beschriebenen Probleme einen kurzfristigen Nutzen zumindest für Benutzergruppen, die häufig mit der Verwaltung kommunizieren und für die sich deshalb Signaturen „lohnen“ könnten. Bei der Frage „Signatur oder Benutzerverwaltung“ geht es nämlich nicht um ein Entweder-Oder, sondern um zwei denkbare Wege zum gleichen Ziel – eine breite Nutzung von Angeboten der digitalen Verwaltung. Nach dem derzeitigen Stand ist das HamburgGateway dafür der schnellere, einfachere und marktnähere und darum der bessere Weg.

Das HamburgGateway ist mandantenfähig und skalierbar und kann damit auch für andere Kommunen und Länder eingesetzt werden. Damit leistet Hamburg einen wichtigen Beitrag zum Konzept „Deutschland Online“, mit dem die Zusammenarbeit zwischen Bund, Ländern und Kommunen beim E-Government durch das Prinzip „einige für alle“ – die gemeinsame Nutzung von Komponenten und Anwendungen – verbessert werden soll.

Der Autor ist Projektleiter E-Government der Finanzbehörde Hamburg.

Kernstück zur Förderung dieses Vertrauens, ist die elektronische Signatur, die bestimmte Sicherheitsanforderungen erfüllt. Elektronische Signaturverfahren garantieren in der elektronischen Welt die Authentizität des Absenders einer Nachricht und die Integrität der Daten in Hinblick auf ihre Unverfälschtheit.

Elektronische Signatur ersetzt Unterschrift

Die elektronische Signatur ersetzt bei Online-Geschäften und Online-Behördengängen die eigenhändige Unterschrift – zumindest rechtlich. Tatsächlich kommen elektronische Signaturen in der Praxis bislang kaum vor. Denn die elektronische Signatur ist eines der seltenen Beispiele, bei der eine technologische Innovation rechtlich gefasst wurde, bevor sie im Markt überhaupt nennenswert angekommen war. Das erste Signaturgesetz stammt von 1997, die EU-Richtlinie von 1999.

Seitdem haben sich Chipkarten mit elektronischer Signatur nicht durchsetzen können, weil niemand bereit ist, ihre Ausgabe zu bezahlen. Hermann-Josef Lamberti, IT-Vorstand der Deutschen Bank, vergleicht das Signaturgesetz mit der Straßenverkehrsordnung, die Signaturkarten mit den Straßen, der Infrastruktur des Verkehrswesens. Ohne Straßen kein Autoverkehr, selbst wenn die Verkehrsregeln klar sind.

Verkauf von Signaturkarten läuft schleppend

Woran liegt das? Die Zurückhaltung bei der Ausgabe und dem Erwerb von Signaturkarten hat zwei Ursachen: Zum einen das Wirrwarr unterschiedlicher Signaturen, zum anderen die vielzitierte Henne-Ei-Problematik.

Die elektronische Signatur als technische Innovation hat sich nach ihrer Entstehung in vielfältigen konkurrierenden Produkten niedergeschlagen. Zertifikate werden auf dem PC gespeichert oder in Chipkarten, letztere kontaktlos oder kontaktbehaftet. Spezialanwendungen für den Einsatz der Signatur finden sich als verbundener Teil von Fachanwendungen ebenso wie als Plug-In für Standard-Software. Unterschiedliche Zertifikatsformate und Verzeichnis-Strukturen verkomplizieren die Lage zusätzlich.

Signaturvielfalt hat Signaturgesetz befördert

Diese Produktvielfalt rund um die Signatur hat das Signaturgesetz nicht verhindert, sondern ein Stück weit befördert: Durch die Definition unterschiedlicher Arten von Signatur, gedacht als Leitlinie für verschiedene Verwendungszwecke, hat das Gesetz eine leidenschaftliche Diskussion über die “richtige” Signatur ausgelöst, die durch die technischen Inkompatibilitäten zusätzlich an Schärfe gewann. Als Folge kann niemand genau sagen, was gemeint ist, wenn eine Anwendung “die elektronische Signatur” integriert oder wenn ein Nutzer eine Chipkarte “mit Signatur” erwirbt. In vielen Fällen wird beides nicht zueinander passen.

Zum Wirrwarr der Signaturen kommt das Fehlen von Anwendungen. Anwendungen, die eine elektronische Signatur voraussetzen, gibt es bislang kaum. Das liegt zum einen daran, dass viele gewinnbringende Geschäftsideen im Internet ohne keine elektronische Signatur auskommen – Beispiel Amazon, Beispiel eBay. Auch bei den Behördendienstleistungen wird die eigenhändige Unterschrift respektive elektronische Signatur nicht so häufig benötigt, wie allgemein angenommen wird: Unter 100 der über 400 BundOnline-Dienstleistungen sind tatsächlich auf die elektronische Signatur angewiesen.

Signaturkarten könnten Sicherheit von verbessern

Der Mangel an Anwendungen liegt zum anderen daran, dass kaum ein Kunde eine Signatur besitzt. Zwar ließe sich mit der Signatur die Sicherheit von eCommerce- und eGovernment-Anwendungen deutlich erhöhen – auch da, wo die Signatur rechtlich nicht notwendig wäre. Doch das lohnt sich für Online-Händler oder Behörden nicht, solange die Karten kaum verbreitet sind. Und für den Kunden lohnt sich die Karte nicht, weil es keine Anwendungen gibt die Henne-Ei-Problematik.

Das Signaturbündnis ist angetreten, beides zu überwinden, den technischen Wirrwarr und die Henne-Ei-Problematik. Mit der deutschen Kreditwirtschaft und der öffentlichen Verwaltung haben sich zwei Partner zusammen getan, die beide ein Interesse am Erfolg der elektronischen Signatur haben. Banken und Behörden mit ihrer vielfältigen Kunden- und Anwendungsstruktur haben kein Interesse an der Diskussion über diese oder jene Art der Signatur. Sie brauchen eine Signatur, eine marktgängige, universell akzeptierte Lösung, mit der jeder Kunde alle Services der Banken und Behörden nutzen kann.

Bündnisziel: Alle Partner sollen alle Anwendungen erledigen können

Sie definiert das Signaturbündnis. In einem “Konvergenzpapier” wird festgelegt, welche Standards die Partner der elektronischen Signatur zugrunde legen, damit die Signaturkarten aller Partner für die Anwendungen aller Partner nutzbar sind: Alle Anwendungen mit allen Karten ist das große Ziel des Bündnisses. Wie man sich beim Geldautomaten gemeinhin keine Gedanken machen muss, ob die eigene ec-Karte interoperabel ist, so soll es auch bei den Signaturanwendungen sein. Mit den Standards des Signaturbündnisses im Rücken muss sich kein Anwendungsentwickler mehr Gedanken machen, ob er in die “richtige” Signatur investiert. Die Bundesregierung hat mit dem Signaturbündnis die klare Aussage verbunden, dass alle staatlichen Kartenprodukte, von der Jobcard über die Health Professional Card bis hin zu einem elektronischen Personalausweis die Standards des Signaturbündnisses berücksichtigen werden.

Daneben geht das Bündnis auch das Henne-Ei-Thema an: Die Kreditwirtschaft als wichtiger Partner im Bündnis gibt zahlreiche Karten aus, demnächst auch mit Chip. Sie sind allgemein akzeptiert und eignen sich hervorragend als Träger der elektronischen Signatur. Der Staat wird nach und nach auf allen Ebenen die Verwaltungsvorgänge ins Internet stellen und dabei auch auf die elektronische Signatur setzen. Was liegt näher, als diese Anwendungen so zu gestalten, dass sie mit Karten der Banken genutzt werden können? Erfolgreiche Beispiele wie die Elektronische Steuererklärung (ELSTER) und die Rentenauskunft der Bundesversicherungsanstalt für Angestellte zeigen, dass das machbar ist. Im Signaturbündnis arbeiten wir nun an einem Geschäftsmodell, mit dem die Kosten dieser Vorgehensweise zwischen den Partnern aufgeteilt werden – Henne und Ei entstehen gleichzeitig.

Deutschland hat als erstes Land eine Standard-Signatur eingeführt

Deutschland ist Marktführer bei der Chipkartentechnologie. Deutschland hat mit dem Signaturgesetz als eines der ersten Länder die Voraussetzung geschaffen, dass elektronische Signaturen rechtsverbindlich werden. Deutschland ist jetzt das erste Land, dass eine von Wirtschaft und Verwaltung breit akzeptierte Standard-Signatur einführt.

Der Kanzler setzte die Zielmarke. In seiner Rede zur Eröffnung der diesjährigen CeBIT sagte er:

“Man kann mit gutem Grund darauf hinweisen, dass wir in Deutschland Fortschritte gemacht haben und sie weiter machen werden. … Mit der Verbreitung der Online-Kommunikation steigen die Anforderungen an die Sicherheit. Gerade weil der persönliche Kontakt entfällt, müssen sich die Internetpartner elektronisch einwandfrei identifizieren können. Das ist eine wichtige und schwierige Aufgabe. Der Schlüssel dafür ist die elektronische Signatur. Deutschland ist eines der ersten Länder, das alle rechtlichen Grundlagen für die Gleichwertigkeit von elektronischer Signatur und eigenhändiger Unterschrift geschaffen hat. Wir wollen möglichst rasch erreichen, dass Online-Banking, elektronische Einkäufe, aber auch elektronische Behördengänge über das Internet mit ein und derselben elektronischen Unterschrift einfach und sicher möglich werden. … Ziel ist es, dass ab Anfang 2004 in größerem Umfang Bankkarten mit elektronischer Signaturfunktion für eine Vielzahl von Anwendungen genutzt werden können.”

Die Gründung eines Signaturbündnisses mit dem Ziel der Entwicklung eines einheitlichen Standards für elektronische Signaturen ist ein entscheidender Schritt auf diesem Weg. Erstmals sitzen die öffentliche Verwaltung und Vertreter der Wirtschaft in einem Boot, um gemeinsam den breiten Einsatz elektronischer Unterschriften zu fördern.

In zwei Arbeitsgruppen, einer für die technische Entwicklung und einer für die Entwicklung tragfähiger Geschäftsmodelle, soll nun in den nächsten Monaten gearbeitet werden.

Unterschiedliche Standards und hohe Kosten

Bürgerinnen und Bürgern, die heute Signaturkarten nutzen möchten, bietet sich ein verwirrendes Bild: unterschiedliche Anwendungen erfordern unterschiedliche Signaturen, mal eine fortgeschrittene, mal eine qualifizierte, gelegentlich geht es auch ganz ohne. Dies oft sogar bei unterschiedlichen Dienstleistungen ein und des selben Anbieters. Entscheidet man sich dann für die Anschaffung einer Signaturkarte, sind dafür immer noch hohe Gebühren zu zahlen.

Bei der Entwicklung des eGovernment zeigte sich schon sehr früh, dass sich nur mit Banken und Sparkassen gemeinsam die notwendige Verbreitung von Signaturkarten erreichen lässt. Sie verfügen einerseits bereits über weit verbreitete Chipkarten, auf denen sich auch digitale Signaturen aufbringen lassen können, andererseits haben sie selbst ein großes Interesse an der Entwicklung von Karten, die auch für das sichere Online-Banking zu verwenden sind. Eine Karte für alle Anwendungen eben.

Die Sparkasse Bremen wurde deshalb auch Gesellschafter bei bremen online services GmbH & Co. KG (bos).

In Bremen wurde bislang mit erheblichem Aufwand erreicht, dass sich die Anwendungen des bremer-online-service mit nahezu allen Signaturkarten nutzen lassen. Es wird die Arbeit des technischen Arbeitskreises des Signaturbündnisses sein, die Standardisierung von Signaturkarten und Lesegeräten voran zu treiben, um diesen Aufwand zukünftig zu minimieren.

Ein wichtiges Ziel: ein tragfähiges Geschäftsmodell

Besonders gespannt sein darf man auch auf die Ergebnisse einer weiteren Arbeitsgruppe, die ein tragfähiges Geschäftsmodell entwickeln will, bei dem die Kosten so verteilt werden sollen, wie auch der Nutzen entsteht. Heute müssen die Kosten einer Signaturkarte vom Karteninhaber getragen werden. Angesichts des geringen Nutzen stellen diese Kosten ein großes Hindernis für die weitere Verbreitung dar. Abhilfe könnte ein Gebührenmodell schaffen, wie es bei Geld- und Kreditkarten üblich ist. An deren Kosten wird auch der Einzelhandel beteiligt, und zwar bei jedem Karteneinsatz. Übertragen auf die Signaturkarte müssten Behörden und Unternehmen, die elektronische Signaturen akzeptieren, einen Obolus an die Karten ausgebenden TrustCenter entrichten.

EC-Cash ist so erfolgreich, weil sich hier auf Seite des Verbrauchers nur geringe Kosten ergeben und die Karte fast überall als Zahlungsmittel anerkannt wird. Der Handel akzeptiert wegen der damit verbundenen zusätzlichen Umsätze die Kostenbeteiligung. Nur ein Finanzierungsmodell, das sich daran orientiert, wird erfolgreich sein.

Zukunft des eGovernment

Der Erfolg des eGovernment in Deutschland hängt wesentlich von der erfolgreichen Arbeit des Signaturbündnisses ab. Große Nutzerzahlen für Verwaltungsdienstleistungen im Internet wurden bislang vor allem bei Anwendungen für die Wirtschaft erzielt. In Bremen sind dies beispielsweise das Online-Mahnverfahren oder die elektronische Registerauskunft. Bei diesen Anwendungen stehen die Kosten für die bei den Nutzern notwendige Infrastruktur (Signaturkarte und Leser) in einem vernünftigen Verhältnis zum Nutzen. Für Bürgerinnen und Bürger bedeutet die Anschaffung einer Signaturkarte einen erheblichen Kostenfaktor, wenn der Preis nicht, wie in Bremen, durch Fördermittel erheblich subventioniert wird.

Nicht nur die Bürgerinnen und Bürger profitieren von den elektronischen Unterschriften. Sie machen interne und externe Verwaltungsabläufe effizienter, schneller und sicherer. Dies birgt für Verwaltung und Wirtschaft ein erhebliches Einsparpotenzial. Bereits heutige eGovernment-Dienstleistungen konnten dies erfolgreich belegen.

Wichtig ist hier auch, dass sich Bund, Länder und Kommunen ihrer politischen Verantwortung auf diesem Feld bewusst werden und für den neuen einheitlichen Standard auch eine entsprechende Infrastruktur schaffen.

Dabei liegen die Vorteile von E-Commerce und E-Government auf der Hand: Online-Banking und elektronische Ausschreibungen sind wichtige B2C- bzw. B2B-E-Commerce Anwendungen. Auch im E-Government gibt es zahlreiche attraktive Angebote: könnte sich ein Bürger nach einem Wohnungswechsel zum Beispiel auf elektronischem Wege ummelden und über das Internet für sein Auto ein neues Kennzeichen beantragen, würde er oftmals lange Warteschlangen in den Behörden umgehen und Zeit sparen. In Bremen ist das schon möglich – allerdings bleibt diese Option von den meisten Bürgern ungenutzt. Denn zahlreiche E-Government Anwendungen erfordern, dass die Verwaltung ihren Kommunikationspartner eindeutig identifizieren kann und dass dieser auch im Internet eine rechtlich bindende Willenserklärung abgibt. Eine zuverlässige Authentifizierung ist mit Hilfe einer qualifizierten Digitalen Signatur möglich. Eine Karte, die qualifizierte digitale Signaturen erzeugen kann, besitzen allerdings nur wenige Bremer.

Anwendungen und Karten fehlen

Diese Situation charakterisiert das Grundproblem, dem sich E-Government und E-Commerce derzeit gegenübersehen. Dabei sind die rechtlichen Voraussetzungen gegeben: mit Signaturgesetz und der Gleichstellung von händischer Unterschrift und Digitaler Signatur besteht ein Rahmen, innerhalb dessen rechtlich bindende Willenserklärungen auf elektronischem Weg abgegeben werden können. Bisher fehlt es aber sowohl an einer ausreichenden Zahl interessanter Anwendungen als auch an einer kritischen Masse bei den Signaturkarten. Aus Sicht des Bürgers lohnt es sich in der Regel nicht, für einen Umzug oder eine Kfz-Ummeldung eine Signaturkarte und den dazu gehörigen Leser zu erwerben. Die relativ hohen Kosten für den Kauf einer Karte und des zugehörigen Lesegerätes schrecken mögliche Anwender ab, da ihnen nur vereinzelte nutzbringende Anwendungen gegenüberstehen. So interessant und zeitsparend E-Government ist – eine Killerapplikation ist es sicherlich nicht. Andererseits werden Unternehmen kaum attraktive Anwendungen zur Verfügung stellen, wenn keine ausreichende Zahl von Karten im Markt ist. In diesem Fall wird sich nämlich ihre Investition in die Online-Anwendung nicht amortisieren. Dieses sog. Henne-Ei Problem erschwert die weite Verbreitung und Nutzung der Digitalen Signatur: eine kritische Masse wird nicht erreicht.

Auch das Problem fehlender Standardisierung und Interoperabilität wirkt in die gleiche Richtung. Ziel muss es sein, dass ein Bürger mit einer Signaturkarte nicht nur seine Steuerklärung online durchführen kann oder bei der BfA eine Rentenauskunft erhält. Er sollte auch mit der gleichen Karte seine Adresse bei einer Versicherung ändern oder online ein Konto eröffnen können. Das bedeutet, dass alle Partner technisch in der Lage sein müssen, die von einem beliebigen Anbieter herausgegebenen Karten zu akzeptieren. Dies ist heute noch nicht der Fall: Insellösungen dominieren die Signaturlandschaft. Damit ist aber das Produkt „Signaturkarte“ eines bestimmten Kartenherausgebers für den Kunden nur sehr begrenzt einsetzbar und hat damit einen geringeren Nutzen als es potenziell haben könnte. Dies hemmt die Verbreitung von Signaturlösungen sowohl bei den Bürgern als auch bei den Unternehmen, die Anwendungen bereitstellen könnten.

Signaturbündnis schafft Abhilfe

Das Anfang April zwischen Vertretern von Staat und Wirtschaft geschaffene Signaturbündnis setzt genau an diesen Problemkreisen an: Es will sowohl die Ausgabe von interoperablen Karten als auch die Verbreitung von signaturfähigen Anwendungen fördern. Einer kritischen Masse von Signaturkarten soll damit der Weg bereitet werden. Dabei handelt es sich nicht nur um eine technisch motivierte Zielsetzung: die Nutzung von Digitalen Signaturen hat hohe praktische Relevanz, da sie die Fortentwicklung von E-Commerce und E-Government mitbestimmt.

Das Signaturbündnis startet unter guten Voraussetzungen: sowohl Anbieter von Kartenlösungen, insbesondere aus der Kreditwirtschaft, als auch Unternehmen und die öffentliche Verwaltung, die Anwendungen bereitstellen, sind Mitglieder des Bündnisses. Ein solches Public-Private-Partnership bietet die Chance, übergreifende Lösungen zu erarbeiten, die alle Beteiligten in einem koordinierten Prozess an der Lösungsfindung beteiligen. Und es hat den entscheidenden Vorteil, dass an beiden Komponenten gearbeitet wird: mit Hilfe der beteiligten Partner wird sowohl die Zahl der Anwendungen als auch die der im Markt befindlichen Karten erhöht.

Zahlreiche Aufgaben zu lösen

Auf das Bündnis warten zahlreiche Aufgaben: In einer technischen Arbeitsgruppe müssen die Themen Standardisierung und Interoperabilität erarbeitet werden. Dabei geht es darum, die verschiedenen, am Markt angebotenen Karten und Anwendungen interoperabel zu gestalten. Ziel ist es, die bestehenden Insellösungen zu einer Public-Key Infrastruktur (PKI) zu integrieren. Dabei sollte das Bündnis auch europäisch denken: vor dem Hintergrund hoher wirtschaftlicher Integration in der Europäischen Union ist es unabdingbar, dass Signaturlösungen zumindest europaweit einsetzbar sind. Daher muss es auch darum gehen, darauf hinzuwirken, dass ein offenes, interoperables und praktikables System auf europäischer Ebene konzipiert wird.

In der Arbeitsgruppe Geschäftsmodelle sollen Konzepte für tragfähige Geschäftsmodelle entwickelt werden. Die Bereitstellung einer Signatur-Infrastruktur verursacht Kosten bei den Unternehmen, die Karten herausgeben. Diesen stehen Effizienzgewinne bei all den Unternehmen und Teilen der öffentlichen Verwaltung gegenüber, die mit Hilfe des Einsatzes von Digitalen Signaturen ihre Prozesse verschlanken. Für eine mittelfristig tragfähige Signaturlandschaft ist es daher unabdingbar, dass sich alle, die vom Einsatz digitaler Signaturen profitieren, auch an ihrer Finanzierung beteiligen. Es ist auch darüber nachzudenken, wie die Nutzung elektronischer Kanäle für den Bürger attraktiv gestaltet werden kann: denkbar ist zum Beispiel, dass Anwender von den Effizienzsteigerungen in den Behörden in Form von verminderten Verwaltungsgebühren partizipieren.

Neue Partner helfen, die kritische Masse zu erreichen

Um das Signaturbündnis zum Erfolg zu führen, kommt es entscheidend darauf an, neue Partner zu werben, die ebenfalls Anwendungen bereitstellen und/ oder Karten herausgeben. Dadurch wird das Bündnis auf eine breite Grundlage gestellt und das Ziel, eine kritische Masse bei der Verbreitung digitaler Signaturen zu erreichen, unterstützt. Die Digitale Signatur wird aber nur dann den Durchbruch erfahren, wenn sie in der breiten Öffentlichkeit Akzeptanz erfährt. Studien zeigen, dass vielen Bürgern der Nutzen der Digitalen Signatur unklar ist. Gezielte Öffentlichkeitsarbeit ist notwendig, um den Bürgern die Einsatzmöglichkeiten der Digitalen Signaturen zu verdeutlichen und das Vertrauen in Signaturlösungen zu erhöhen.

Ein Blick auf die bereits bestehenden Möglichkeiten zeigt, dass das Angebot sowohl für den Bürger als auch für Unternehmen attraktiv ist und sich der Ausbau von Signaturanwendungen lohnt. Die Chancen sind groß, mit Medienbruch-freien Prozessen die Effizienz von Unternehmen und öffentlicher Verwaltung zu steigern. Das Signaturbündnis wird auf einen Akzeptanzschub für die digitale Signatur hinwirken.

Formulare aus dem Internet auf den eigenen PC zu laden, auszufüllen und als E-Mail zu versenden – das und mehr an gespartem administrativen Aufwand ist heute nichts Besonderes mehr. Der Staat hat gegenüber der freien Wirtschaft allerdings Nachholbedarf. Grundsätzlich sind die Weichen aber gestellt: Seit letztem Jahr können beispielsweise 500.000 Bafög-Rückzahler mit ihrem Sachbearbeiter im Bundesverwaltungsamt über das Internet kommunizieren und Anträge auf vorzeitige Rückzahlung, Freistellung oder Stundung verschicken. Im Zuge der
Initiative BundOnline 2005 will Bundesinnenminister Otto Schily bis 2005 internetfähige Dienstleistungen online anbieten. Robuste, preiswerte und benutzerfreundliche Sicherheitstechniken sind dabei gefragt. Die Studie “Dem Fortschritt verpflichtet” der Unternehmensberatung
Accenture zeigt, dass die öffentliche Hand mit Unterstützung der Privatwirtschaft rechnen kann und dabei auf die partnerschaftliche Zusammenarbeit zwischen privaten und öffentlichen Institutionen (Public-Privat-Partnerschaften) setzt.

Kaum Schulungen

79 Prozent der von Accenture befragten Verwaltungsmanager gaben an, im Bereich Internet verstärkt mit der Privatwirtschaft zusammenarbeiten zu wollen. 59 Prozent denken sogar über Outsourcing-Möglichkeiten nach. Sicherheit ist für 75 Prozent aller befragten Staatsdiener ein wichtiger Faktor behördlicher Prozesse. Wenn man sich diesem Thema zuwendet, ist der Umgang mit Passwörtern zentral. Dass Mitarbeiter Passwörter richtig benutzen, ist eine grundlegende Trainingsaufgabe für Unternehmen und Staat. Zu kommunizieren ist dabei, dass Sicherheit nicht alleine Sache einer Behörde oder eines Konzerns ist. Es ist die Angelegenheit jedes Einzelnen! Des weiteren sind operative Aspekte wichtig: Wie erstelle ich ein Passwort? Wie sind die einheitlichen Regeln meiner Behörde, nach der ich mein individuelles Passwort erstellen muss? Wie muss ein Passwort zusammengesetzt sein? Wie lange ist ein Passwort gültig? Wann muss ich es ändern? In welcher Form müssen Passwörter hinterlegt werden? Im Alltag spielen diese Fragen eine untergeordnete Rolle: Faulheit kommt vor dem Fall! Passwörter werden selten und nicht gemäß der notwendigen Sicherheitsrichtlinien geändert. Ein katastrophaler Sicherheitsmangel! Es ist ein echtes Problem, dass es im Umgang mit Passwörtern nur unzureichende Schulungen gibt.

Was sich in der Wirtschaft bewährt hat…

Die
Beck et al. Services GmbH aus München sorgt im Umgang mit Passwörtern für mehr Sicherheit. Für ausgewählte Mitarbeiter der
Continental AG wurde ein E-Learning Kurs im unternehmenseigenen Intranet bereitgestellt. Dieser vermittelte alles Wissenswerte über den Gebrauch von Passwörtern. Basis des Kurses war ein internes Dokument mit Richtlinien der Continental AG. Die einheitlichen Regeln des Konzerns, die sogenannte Password Policy, konnten via technologiegestütztem Lernen schnell und unkompliziert an die Anwender verteilt werden. Praxisorientierte Übungen und Tests zum eigenen Überprüfen des Gelernten bereicherten die Informationsvermittlung. Die Systemexperten von Beck et al. Services strickten eine einstündige Lektion, die die Conti-Mitarbeiter für das Sicherheitsthema sensibilisierte und sie im einheitlichen und “sauberen” Umgang mit dem Passwort trainierte. Im Anschluss an die Kurslaufzeit wurde das Feedback der Anwender eingeholt. Demnach haben 79 Prozent der Kursteilnehmer den Kurs tatsächlich absolviert. Über 50 Prozent der Nutzer empfanden den Kurs Password Policy als “gut verständlich”. Für den IT-Dienstleister Beck et al. Services ergibt sich E-learning als logische Konsequenz aus dem IT-Support. “Wir können das Lernen nicht revolutionieren, denn lernen muss jeder User nach wie vor selbst. Aber wir stellen Anwendern Hilfe zur Verfügung. E-Learning ist hier ein zeit- und kostensparender Vermittlungskanal”, so Beck et al. Services Geschäftsführer Siegfried Lautenbacher. Mit Password Policy wurden etwa 20 Prozent der Kosten, die bei Präsenzschulung angefallen wären, gespart.

…kann dem Staat dienen

Für den staatlichen Bereich muss Sicherheit oberste Priorität haben. Die Erfahrungen, die bei der Continental AG mit Password Policy und Beck et al. Services gemacht wurden, könnten bei der Neuorganisation der staatlichen IT-Sicherheit nützlich sein. Bundesinnenminister Schily hat das Bundesamt für Sicherheit und Informationstechnik gebeten, gezielt Pilotprojekte zu unterstützen. Es ist hier aber wichtig, nicht nur an die Server und an die Umstellung der Computer an den Arbeitsplätzen zu denken (Stichwort Linux), sondern auch an die Schulung der Mitarbeiter im Bereich Passwort. Strategisch günstig wäre es, wenn die verschiedenen Prozesse Hand in Hand gehen würden. Der Erfolg von Password Policy hatte ein positives Nachspiel. Beck et al. Services bekam von der Continental AG den Auftrag, 21.000 User weltweit per E-Learning zu schulen. Der Reifenhersteller und Automobilzulieferer führt bis Ende 2002 Lotus Notes R5 als konzernweite Messaging- und Groupware-Plattform ein. Zu diesem Zweck werden acht E-Learning Kurse konzipiert und in zwölf Sprachen zur Verfügung gestellt.

Der Autor ist Mitarbeiter der Beck et al. Services GmbH München im Bereich Public Relations & Marketing.