Digitale Signaturen für Internetgeschäfte und Computer-Banking: kinderleicht zu knacken
Trotz Geld- und Datenklau: Verbraucher handeln im Netz leichtfertig.
Nach extremer Zunahme der Betrügereien mit Plastikgeld hat es auch Innenminister Schily inzwischen gemerkt: Magnetstreifen auf Geldkarten sind leicht zu kopieren und zu fälschen, Kreditkartendaten leicht zu stehlen oder zu manipulieren. Die digitale Signatur, eine elektronische Unterschrift für Banküberweisungen und Übermittlung geheimer Daten per Computer hat die Regierung schon als eine Problemlösung propagiert. Nur: Diese Technik ist auch völlig unsicher oder aber so kompliziert, dass sie niemand nutzen kann.
Bei herkömmlichen Einkäufen oder Vereinbarungen wird der Kauf mit einer Quittung oder einem schriftlichen Vertrag rechtsgültig. Doch wie läuft das heute, wenn man vom Sessel aus weltweit Bücher, Kleidung, Elektrogeräte und selbst Autos kaufen will? Bezahlt wird weiter mit Kreditkarten, deren Daten meist unverschlüsselt ins Netz gegeben werden. Folge: Millionenschäden durch abgefangene und manipulierte Karten-Daten. Jetzt sollen Bankgeschäfte, Versicherungsabschlüsse oder Zahlungen von Waren und Dienstleistungen angeblich auch elektronischen Einbruchversuchen standhalten!
Wann nützen Sicherheitsschlüssel gegen Computer-Einbrecher?
Wie kann man die „digitale Signatur“ fälschungssicher machen? Mit Verschlüsselungen, angeblich einfach und schnell. Nur: wenn beide Seiten einen identischen Schlüssel benutzen, haben es Einschleichdiebe relativ leicht. Deshalb werden verbesserte Schlüsselsysteme angepriesen: entweder längere Schlüssel oder Kombinationen von öffentlich zugänglichen und geheimen Schlüsseln. Der Neukunde beantragt dann per Computer bei einer Zertifizierungsstelle je einen öffentlichen und einen geheimen privaten Schlüssel, erhält ein Zertifikat und kann die Schlüssel nun in Abstimmung mit dem Geschäftspartner nutzen, ohne eigene Geheimnisse preiszugeben.
Verschlüsselungsverfahren
Symmetrische Verschlüsselungsverfahren
Symmetrische Verfahren zeichnen sich dadurch aus, dass ein Schlüssel gleichzeitig zum Ver- und Entschlüsseln dient. Die Stärke einer Verschlüsselung bei symmetrischen Verschlüsselungsverfahren basiert auf der Länge des Schlüssels und damit auf der Zeit, die man zum Herausfinden der Kombination benötigt. Die Rechner sind durch die Zahlenflut oft überfordert. Weiterer Nachteil des symmetrischen Verfahrens: Da der Schlüssel zum Ver- und Entschlüsseln gleich ist, muss er dem Empfänger mindestens einmal zugänglich gemacht werden. Es besteht die Gefahr, dass er während des Transportes für einen Missbrauch abgefangen und wird. Die vertrauliche Kommunikation wäre damit gescheitert.
Asymmetrische Verschlüsselungsverfahren
Eine Lösung bieten asymmetrische Verschlüsselungsverfahren. Bei diesen Verfahren benötigen die Teilnehmer das oben genannte Schlüsselpaar. Der eine Schlüssel wird als „Public Key“ (öffentlicher Schlüssel), der andere als „Private Key“ (privater geheimer Schlüssel) bezeichnet. Was mit dem einem Schlüssel verschlüsselt wurde, kann nur mit dem anderen Schlüssel wieder entschlüsselt werden. Auch beim relativ sicheren asymmetrischen Verfahren werden in der Regel 1024 Bit Schlüssellängen verwendet. Extremer Nachteil: Die Rechenzeiten bei asymmetrischen Verfahren sind gegenüber symmetrischen Verfahren mindestens um den Faktor 100 länger. Solch ein Verfahren kostet also weit mehr Zeit und Geld.
Hybride Verschlüsselungsverfahren
Die Lösung liegt in der Kombination von symmetrischen und asymmetrischen Verfahren, den hybriden Verfahren. Aus den zwei öffentlichen und den zwei geheimen Schlüsseln wird ein kurzer symmetrischer und relativ kurzer Schlüssel errechnet, den beide Seiten nur einmal nutzen können. Das verkürzt die Rechenvorgänge erheblich, ohne auf das Sicherheitsniveau der normalen öffentlich zugänglichen symmetrischen Schlüssel abzusinken.
Bedenkenträger
Die Datenschützer stehen der digitalen Signatur weiterhin skeptisch gegenüber. Beispielsweise vergleicht Dr. Helmut Bäumler, der oberste Datenschützer Schleswig-Holsteins, die digitalen Signaturen mit einem Safe, der in eine Holzwand eingebaut ist. Übersetzt: Die Tür zu öffnen ist schwer möglich, den ganzen Safe zu klauen, eine Kleinigkeit.
...und allem drohen weiterhin die trojanischen Pferde.
Trojanische Pferde, Spitzeldateien, die sich jeder aus dem Netz laden kann, um sie anderen Computernutzern auf den Rechner zu laden, wo sie jeden Vorgang ausspionieren können, drohen trotz digitaler Signaturen weiter, weil selbst Geheimdaten an den Absender des trojanischen Pferdes übermittelt werden. Deshalb dürfen PIN und Schlüssel von der Chipkarte auch nie über ein Lesegerät in der Tastatur des Computers eingegeben werden.
Einzige Lösung: Eingabe von Schlüssel und PIN über eine separates Lesegerät mit eigener Eingabetastatur. Zur Zeit kann der Computer nur so umgangen werden, so dass ein trojanisches Pferd die Schlüsseldaten nicht ausspionieren kann.
Fazit:
Wenn die Technik der digitalen Signatur bzw. der Datenverschlüsselung einigermaßen sicher ist, wird sie für Normalverbraucher völlig unübersichtlich und damit unbrauchbar. Verlässt man sich dagegen auf einfache Verschlüsselungen, kann man sehr leicht in großem Maß bestohlen werden.
