Hierfür wurden und werden eine Reihe von Lösungsansätzen entwickelt. Die im deutschen Geschäfts- und Behördenverkehr wichtigsten Ansätze sollen in diesem Artikel kurz einander gegenübergestellt werden.

Im Einklang mit der immer stärkeren Internetnutzung durch weite Teile der Bevölkerung wachsen auch die Bestrebungen sowohl von Unternehmen wie auch von staatlichen Stellen, bisher noch schriftlich und unter Nutzung klassischer Briefpost abgewickelte Kommunikation in den elektronischen Bereich zu verlagern. Dies soll einerseits Kosten sparen, andererseits die Bearbeitungszeiten verringern. Hierbei existiert jedoch eine Reihe von Problemen bzw. muss, um einen formalen Standpunkt einzunehmen, eine Reihe von Schutzzielen beachtet werden:

Vertraulichkeit

Zunächst ist da das Problem der Vertraulichkeit zu nennen. Abhängig vom Inhalt der Nachricht haben Empfänger und/oder Absender ein mehr oder weniger ausgeprägtes Interesse daran, den Inhalt der Nachricht vertraulich zu halten, unter Umständen hat sogar eine der Parteien (meist der Empfänger) gegenüber der anderen (meist der Absender) einen rechtlich durchsetzbaren Anspruch hierauf. Diese Vertraulichkeit ist aber in einem öffentlichen Netzwerk, dessen in die Übermittlung der Nachricht eingebundene Bestandteile meist von mehreren unterschiedlichen und oft den Kommunikationspartnern gar nicht bekannten Netzanbietern betrieben werden, zunächst nicht gewährleistet. Hier hilft lediglich Verschlüsselung weiter. Dafür wird ein Verfahren benötigt, das eine ausreichende Verschlüsselungsqualität mit einer einfach handhabbaren Möglichkeit verbindet, die verwendeten Schlüssel auszutauschen. Üblich ist es mittlerweile, sogenannte asymmetrische Verfahren, also Verfahren, bei denen zum Verschlüsseln und zum Entschlüsseln unterschiedliche Schlüssel benötigt werden, zu nutzen. Da hier der Verschlüsselungsschlüssel öffentlich sein darf (denn eine Entschlüsselung der geheimen Nachricht ist mit ihm ja nicht möglich), erlauben derartige Verfahren den Aufbau einer verschlüsselten Verbindung über unsichere Verbindungsstrecken, ohne dass eine zusätzliche (vertrauenswürdige) Kommunikation zum Schlüsselaustausch benötigt wird. Auf Grund der geringen Geschwindigkeit asymmetrischer Verfahren werden meist Hybridlösungen eingesetzt, bei denen die asymmetrische Verschlüsselung lediglich zum Austausch eines Schlüssels für ein klassisches (schnelles) symmetrisches Verfahren verwendet wird.

Problematisch bei den asymmetrischen Verschlüsselungsverfahren, bei denen eine direkte persönliche Kommunikation zwischen Absender und Empfänger ja nicht zwingend erforderlich ist, ist die zuverlässige Zuordnung des öffentlichen Schlüssels zu einem bestimmten Kommunikationspartner. Schafft es ein Angreifer, einem Anwender einen eigenen Schlüssel als den eines anderen unter zu schieben, so kontrolliert er die gesamte Kommunikation und kann sie ggf. manipulieren – dies passiert bspw. bei einem Phishing-Angriff. Dieser Gefahr wird dadurch begegnet, dass vertrauenswürdige Dritte (sogenannte Zertifizierungsstellen) Echtheitszertifikate für Schlüssel ausstellen. Der Besitzer eines Schlüsselpaares zur asymmetrischen Verschlüsselung wird sich also an eine solche Stelle wenden und dort in geeigneter Weise seine Identität nachweisen. Der Zertifizierungsdienstanbieter bestätigt die Identität, indem er den öffentlichen Schlüssel des Antragstellers zusammen mit den Informationen zu dessen Identität seinerseits signiert. Diese Signatur der Zertifizierungsstelle, die Identitätsinformationen des Antragsstellers und der öffentliche Schlüssel des Antragstellers bilden zusammen das sogenannte Zertifikat. Dieses Zertifikat wird von seinem Besitzer (dem Antragsteller) öffentlich gemacht und bei signierten Nachrichten auch mit versendet. Der Empfänger kann (und sollte tunlichst) die Authentizität des öffentlichen Schlüssels prüfen, in dem er die Signatur der Zertifizierungsstelle überprüft. Zur Überprüfung der Signatur der Zertifizierungsstelle muss sich der Empfänger deren öffentlichen Schlüssel beschaffen, diese Arbeit wird ihm i.A. von den Herstellern der Mailprogramme abgenommen.

Integrität und Authentizität

Weitere Probleme bestehen hinsichtlich der Integrität und Authentizität einer übertragenen Nachricht. Es müssen ja sowohl die Integrität des Nachrichteninhaltes als auch die der behaupteten Absenderanschrift gesichert sein, oder anders formuliert: Der Empfänger muss sicher sein können, dass die Nachricht, die er erhalten hat (und auf die er sich ggf. später beruft), auch tatsächlich die unveränderte Äußerung des behaupteten Absenders ist. Dieses nicht nur in der digitalen Welt besthende Problem wird im „first life“ z.T. durch entsprechende Formvorgaben (Schriftform, Textform) gemindert. In der elektronischen Kommunikation lässt sich dies durch entsprechende Signaturen lösen. Technisch setzen Signatur dabei wieder auf die eben schon angesprochenen asymmetrischen Verschlüsselungsverfahren auf: Eine sehr kompliziert gebildete „Prüfsumme“ (ein sogenannter Hash-Wert) des zu signierenden Dokumentes wird mittels des privaten Schlüssels verschlüsselt und zusammen mit dem Dokument verschickt. Die Empfänger können diesen mitgeschickten Wert mit Hilfe des öffentlichen Schlüssels des Absenders entschlüsseln und mit der von ihnen selbst gebildeten Prüfsumme über das empfangene Dokument vergleichen. Stimmen diese Werte überein, so bedeutet dies, dass das Dokument (nach menschlichem Ermessen) unverändert übermittelt wurde.

Nur mit derartigen Signaturverfahren kann bei elektronisch übermittelten Nachrichten und Dokumenten sowohl die Integrität des Inhaltes als auch die des Urhebers der Nachricht ausreichend sicher gestellt werden. Der Gesetzgeber hat dem dadurch Rechnung getragen, dass er eine qualifizierte Signatur elektronischer Dokumente der Schriftform gleich gesetzt hat. Eine qualifizierte Signatur ist eine elektronische Signatur, die mit einer sicheren Signaturerzeugungseinheit (zugelassene Signaturkarte und Kartenleser) erzeugt wurde und auf einem qualifizierten Zertifikat eines zugelassenen Zertifikatsanbieters beruht. Die genauen Anforderungen an sichere Signaturerzeugungseinheiten und an zugelassene Zertifizierungsstellen sind im Signaturgesetz und der Signaturverordnung geregelt.

Nachvollziehbarkeit

Die Nachvollziehbarkeit ist ein weiteres wichtiges Schutzziel im Umfeld von Informationsübermittlung. Gemeint ist hiermit, dass der Absender mit hinreichender Wahrscheinlichkeit davon ausgehen kann, dass der Empfänger die Nachricht auch tatsächlich erhalten hat. Hinreichend heißt in diesem Zusammenhang, das sowohl gesetzliche Vorgaben erfüllt werden als auch ggf. ein gerichtsfester Nachweis darüber geführt werden kann. Die rechtlichen Vorgaben sind generell abhängig von der rechtlichen Einordnung der übermittelten Nachricht, also davon, ob es sich um den Zugang einer Willensäußerung (dies gilt im Wesentlichen für alle Rechtsgeschäfte des Zivilrechts), für die keine Zustellung vorgeschrieben ist, die Bekanntgabe eines Verwaltungsaktes (betrifft die gesamte Kommunikation der öffentlichen Verwaltung), bei der keine Zustellung vorgeschrieben ist, oder eine Zustellung gemäß Zivilprozessordnung oder Verwaltungsverfahrensgesetz (bzw. der entsprechenden landesrechtlichen Regelungen) handelt. Dabei ist die Zustellung als einzige dieser Arten recht genau formalisiert, die Form der anderen Arten der Mitteilungen ist dagegen sehr viel freier (auch das Winken eines Polizeibeamten kann die Bekanntgabe eines Verwaltungsaktes sein), wodurch insbesondere Übermittlungen von Willensbekundungen, sofern im konkreten Fall nicht die Schriftform vorgeschrieben ist, auch in Form einer eMail zulässig sind. Allerdings bestehen hier, anders als bei Übermittlung per Briefpost, wo viele Fragen (wo beginnt der Herrschaftsbereich des Empfängers, zu welchem Zeitpunkt ist ein früh morgens in den Hausbriefkasten geworfener Brief zugegangen u.v.a.m) in Laufe jahrzehntelanger Praxis geklärt wurden, auf Grund der Neuheit der Technik noch etliche Unsicherheiten und widersprüchliche Bewertungen, die sich erst im Laufe der Zeit angleichen werden.

Das bisher Gesagte deutet schon an, dass die drei Schutzziele Vertraulichkeit, Integrität und Authentizität technisch gelöst werden können, dass aber beim Thema Nachvollziehbarkeit noch erhebliche Fragen (auch rechtlicher Natur) offen sind, die einer Klärung harren. Weiterhin stellt sich natürlich die Frage, ob die möglichen technischen Lösungen für den alltäglichen Einsatz praktikabel sind. Im Folgenden sollen einige Verfahren elektronischer Kommunikation, die sich in Deutschland bereits etabliert haben oder für die nächste Zeit geplant sind, vor dem erläuterten Hintergrund betrachtet und einander gegenüber gestellt werden. Betrachtet werden die klassische Internetmail mit entsprechenden Erweiterungen (Kryptografie am Endgerät, Kryptografie am Gateway), Webmaillösungen, existierende Lösungen in Bereich eGovernment (elektronisches Gerichtspostfach, ELSTER) sowie das geplante DeMail-System und analoge privatwirtschaftliche Lösungen.

• Verwandte Themen
• Risiken bei „Cloud Computing“
• Sicherheit im elektronischen Geschäfts- und Behördenverkehr (2)
• Juristische Fallstricke bei Scan-/Pentests?
• Adobe Flash und die Super Cookies
• Einführung in die Kryptographie (Teil 7)
• Einführung in die Kryptographie (Teil 1)