Alles geregelt (taz, 05.10.2000)
Alles geregelt
bei digitalen Signaturen. Doch jetzt warnen Experten vor der Informationsfülle solcher virtueller Unterschriften : Sie fürchten Nutzerprofile, Überwachung und Identitätsklau.
taz, 05.10.2000
Eigentlich ist alles geregelt. Seit dem 13. Juni 1997 gibt es in Deutschland ein Gesetz zur digitalen Signatur (SigG), seit neustem auch eine EU-Richtlinie. Theoretisch soll man mit seiner digitalem Unterschrift nun im Internet ein Auto kaufen können.
Theoretisch. Denn das deutsche Gesetz reguliert viel ohne die digitale der wirklichen Unterschrift gleichzusetzen. Dass deshalb kaum signiert wird in Deutschland, ist aber auf den zweiten Blick gar nicht so schlecht und rückständig. Denn: muss ein Autoverkäufer etwa Namen, Telefonnummer, Geburtsort und Alter seiner Kunden wissen? Eine sichere Bestätigung des Kreditrahmens reicht eigentlich fürs Geschäft. Mehr sollten digitale Signaturen auch nicht enthüllen, warnt nun Stefan Brands. Der Wissenschaftler des kanadischen Unternehmens Zero Knowledge Systems hält die heutige Freigebigkeit solcher Verifizierungstechnologien für eine Bedrohung, da sie lückelose Überwachung und Identitätsraub erleichtere.
In seiner Rede beim „International Forum on Surveillance by Design” an der London School of Economics kritisierte Brands die von E-Commerce Unternehmen propagierte digitale Signatur: „Alles was man tut, kann automatisch verfolgt werden. In naher Zukunft werden Identitätszertifikate in alles mögliche integriert werden: Computer, Telefone, Uhren.“
Digitale Signaturen geben Internetgeschäften sichere Informationen über ihre Kunden. Sie bestätigen zum Beispiel Namen, Geburtsdatum oder auch den Kreditrahmen. Die Informationen werden beim Transfer im Netz verschlüsselt. Die enorme Popularität der Technik bewies ironischerweise kurz nach Brands Rede eine Ankündigung der Britischen Post: Noch in diesem Jahr will sie jedem britischen Internetnutzer kostenlos ein eigene digitale Signatur ausstellen. Schon heute sind sie vor britischen Gerichten als Beweis zulässig.
Brands ist nicht der einzige Experte, der dieses Treiben kritisch beäugt. „Eine digitale Signatur zu verwenden ist das gleiche, wie alle Dokumente in seiner Geldbörse wegzugeben, nur um sein Alter zu bestätigen“, urteilte Austin Hill, Vorstandsvorsitzender von Brands Arbeiteber Zero Knowledge Systems im April bei der „Computer, Freedom and Privacy Conference“ in Toronto.
Das Problem ist prinzipiell, dass zu viele Informationen übertragen werden. So erhalten Unternehmen Informationen, die sie eigentlich nicht benötigen. Was dann damit geschehen kann, zeigen Beispiele wie Amazon und CDUiverse. Amazon.com änderte Anfang September die Datenschutzbestimmungen seines US-Angebots. Protokolliert werden von nun an IP-Adresse, e-Mailadresse, Passwort, Browsertyp, Betriebssystem, Einkäufe Auktionen und Telefonnummern der Benutzer. Beim Verkauf von Tochterfirmen können diese Daten durchaus an Dritte weitergegeben werden.
CDUniverse speicherte Informationen über Kreditkartenkäufe seiner Kunden auf einem übers Netz zugänglichen Server. Die Daten wurden gehackt und die Kreditkartennummern veröffentlicht. Ähnliches kann – trotz starker Verschlüsselung – auch bei digitalen Signaturen passieren, glaubt Phil Hester von IBM: „Mit genug Motivation oder Zeit kann jede digitale Signatur geknackt werden“.
Doch auch wenn Unternehmen eine ernsthafte Datenschutzpolitik bereiben und die Daten nicht von einem Dritten entschlüsselt werden, droht Gefahr. „Die Menschen sind von der Verschlüsselung geblendet. Sie glauben, starke Verschlüsselung gäbe starke Sicherheit, aber es ist wie eine Tresortür an einem Pappkarton“, beschrieb Carl Ellison, Sicherheitsexperte bei Intel in Toronto das Risiko. Denn wenn eine digitale Signatur geklaut wird, nützt auch die Verschlüsselung nichts. Es gibt Vorschläge, die Technik um etwas wie die Kontrolle des Daumenabdrucks zu ergänzen, damit Gewissheit bestehe, dass tatsächlich der richtige Eigentümer die digitalen Signatur verwendet. Doch Fingerabdrücke hält Ellison für ungeeignet. Als Schlüssel wären sie in etwa so leicht zu knacken wie ein drei- oder vierstelliges Passwort.
Die einzige Lösung für Stefan Brand von Zero Knowledge Systems ist daher die Reduzierung der in der Signatur enthaltenen Information. In seinem Buch „Rethinking Public Key Infrastructures and Digital Certificates” plädiert er für digitale Äquivalente zur Fahr- oder Eintrittskarte: Eine Signatur, die nur die vom Benutzer ausgewählte Information bestätigt – sogar ohne seinen Namen zu enthüllen. Brands hat Software, die das ermöglicht, seit langem patentiert. Im Februar ging er samt Patenten zu Zero Knowledge. Die Signatur der Zukunft funktioniert etwa so: X will ein Auto im Internet kaufen. Er lässt sich von seiner Bank den Kreditrahmen von 50000 Mark zertifizieren. Mit diesem Zertifikat kann er sich dann dem Autohändler als vertrauenswürdiger Kunde ausweisen, mittels eines mathematischen Prinzips ähnlich dem von Pretty Good Privacy.
Ob Zero Knowledge aber tatsächlich die absolute Anonymität ins Netz zurückbringt, ist fraglich. Zählt Brands in seinem Buch noch als mögliche Anwendungen seiner Technik absolut anonymes elektronisches Gelds auf, ist bei Zero Knowledge keine Rede von einem solchen Produkt. Im Februar bekannte Brands bei der Konferenz „Financial Cryptography 00“ auf Anguilla: „Große Banken halten das für nicht akzeptabel, totale Anonymität ist einfach zu viel.“
- Auf Twitter teilen
- Auf Facebook teilen
- Auf LinkedIn teilen
- Auf Pinterest teilen
- Per E-Mail teilen
- Link kopieren
