Zusammenfassung

Das Konzept von Private Crendential Systems eröffnet damit ein gewaltiges Potiential, dass sich bereits heute vielerorts einsetzen lässt. Neben der Authentifizierung über Pseudonyme, Gewährung weitgehender Anonymität und dem Verwalten einer Vielzahl persönlicher Zertifikate, kontrollieren Identity Management Systeme nicht nur Zugriffe auf Benutzerebene sondern sind ebenso im Soft- und Hardwarebereich einsetzbar. Dabei muss jedoch sichergestellt werden, dass die Vergabe der Zertifikat authentisch ist, d.h. von einer vertrauenswürdigen Instanz erteilt wird. In einem sogenannten Net of Trust übernehmen alle Teilnehmer des public-key-Verfahrens die verantwortungsvolle Aufgabe, die Zertifikate anderer Teilnehmer zu signieren und damit öffentlich zu beglaubigen. Da dieser Vorgang auf einer subjektiven Vergabepraxis beruht, wurden hirarchische Publik-Key-Infrastrukturen (PKI) geschaffen, welche die Authentifizierung digitaler Zertifikate zur Bildung eines sicheren Netzwerks gewährleisten. Bundesbehörden wie das BSI, namenhafte Forschungsinstitute sowie kommerzielle Anbieter sind für die Ausstellung sogenannter Wurzelzertifikate verantwortlich um eine breite Vertrauensbasis bei den Teilnehmern des Systems zu schaffen. Sie bieten die grundlegenden Zertifizierungsdienste an, mit denen die Authentizität, Vertraulichkeit und Verbindlichkeit von Willenserklärungen bei der Teilnahme an elektronischen Diensten garantiert werden kann. Entsprechende Systeme bauen Chiphersteller, Hardware-fabrikanten und Softwareentwickler im Rahmen der Trusted Computing Group auf, wobei bereits heute Zertifikate bei der Installation von Treibern eingesetzt werden.

Private Credential Systems sind damit wesentliche Bestandteile im Aufbau sicherer IT-Netzwerke, in denen Vertrauen und Datenschutz Kernthemen des digitalen Geschäftsverkehrs darstellen. Identity Management Systeme gewährleisten dabei durch die kontrollierte Herausgabe persön-licher Daten nicht nur die Authentizität des Benutzers, sondern werden zugleich hohen Datenschutzaspekten gerecht. Ähnlich wie im alltäglichen Leben stellen diese Systeme jedoch keinen Vertrauensersatz zu Zertifizierungsdiensten dar, sondern erleichtern nur den Umgang mit einer Vielzahl digitaler Ausweise. Die Aufgabe, die Vertrauenswürdigkeit der Spitzenorganisa-tionen festzustellen, die bei der Zertifikatvergabe an oberster Stelle stehen, übersteigt jedoch die technischen Möglichkeiten. Ehe diese leistungsstarke Technik zum Einsatz kommt, sind daher grundlegende Überlegung zum Aufbau einer Publik-Key-Infrastruktur mit der Installation vertrauenswürdiger Zertifizierungsstellen notwendig. Die Bescheinigung eines unbekannten Dritten, dessen Institution nicht auf eine wohlbekannte und anerkannte Ausgabestelle zurückzuführen ist, ist nur schwer in der Lage, Glaubwürdigkeit beim Empfänger zu erlangen. Die Intervention durch die öffentliche Hand oder etablierter Unternehmen ist daher unerlässlich und können durch die zur Entwicklung der Technologie gegründeten Konsortien, wie die Trusted Computing Group oder das European PRIME Projects, erfolgen. Ob dieses Technologie vom Endanwender denn letztlich auch als vertrauenswürdig anerkannt oder als Kontrollsystem skeptisch zurückgewiesen wird, bleibt abzuwarten. Die vertrauensschaffenden Massnahmen liegen hier gleichermaßen im Marketing wie auch der Unternehmensphilosophie beteiligter Unternehmen.

Matthias Bernauer, 20. Januar 2005