Sicherheitsmechanismen als Marketinginstrument
Analyse möglicher Anwendungsbereiche der digitalen Signatur bei der Deutschen Bank 24
©2000
Diplomarbeit
96 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
In den nächsten Jahren wird dem E-Commerce ein starkes Wachstum vorhergesagt. Es werden virtuelle Bankhäuser, Marktplätze, Rathäuser und andere Dienstleistungsplattformen entstehen, auf denen Kunden und Bürger gemeinsam mit Dienstleistungsanbietern Geschäfte über das Internet abwickeln werden.
Somit stellt der elektronische Geschäftsverkehr für Handel, Gewerbe und öffentliche Institutionen eine neue Form der Abwicklung von Geschäftsprozessen dar. Die nachfolgende Abbildung stellt die Ergebnisse einer Umfrage zur Nutzung von Internetdienstleistungen dar. Hierbei wird deutlich, dass das Internet für eine Vielzahl von Anwendungsbereichen genutzt wird. Durch diese Entwicklung gewinnt die interaktive Kommunikation und die virtuelle Geschäftsabwicklung zwischen verschiedenen Parteien stark an Bedeutung.
Um diese Möglichkeit sinnvoll zu nutzen, bedarf es einer sicheren Anwendungsumgebung, um rechtswirksame Verträge im Internet abschließen zu können. Damit ein Vertrag rechtsgültig und beweiskräftig wird, muss dieser von den beteiligten Parteien handschriftlich unterzeichnet werden. Soll ein Vertrag nun über das Internet zustande kommen, muss er elektronisch unterschrieben werden. Hierzu existieren verschiedene Methoden, um Dokumente digital zu signieren. Diese reichen von einfachen Verfahren, z.B. eine optisch eingescannte Signatur, bis hin zu sehr fortschrittlichen Verfahren, z.B. die digitale Signatur basierend auf kryptographischen Verschlüsselungsverfahren.
Im Vordergrund dieser Arbeit steht das Sicherheitskonzept der digitalen Signatur. Diese arbeitet nach dem Public-Key-Prinzip. Hierbei existiert für jeden Benutzer ein mathematisch einmaliges, miteinander verwandtes Schlüsselpaar. Der sogenannte Private-Key muss vom Besitzer absolut geheimgehalten werden, um die Systemsicherheit zu gewährleisten. Der zweite Schlüssel, der sogenannte Public-Key, wird in einer öffentlichen Liste frei zugänglich gemacht. Wenn nun eine Person A mit seinem Private-Key ein Dokument digital signiert und einer anderen Person B dieses signierte Dokument zuschickt, dann kann B mit Hilfe des Public-Key von A die Identität des Senders und die Integrität der übertragenen Daten überprüfen. Auf diese Weise werden sowohl Vertragsabschlüsse, als auch Finanztransaktionen über das Internet möglich. Zur Veranschaulichung wird der Einsatz der digitalen Signatur am Beispiel der Deutschen dabei die grundlegenden Voraussetzungen, um die Anwendungsmöglichkeiten […]
In den nächsten Jahren wird dem E-Commerce ein starkes Wachstum vorhergesagt. Es werden virtuelle Bankhäuser, Marktplätze, Rathäuser und andere Dienstleistungsplattformen entstehen, auf denen Kunden und Bürger gemeinsam mit Dienstleistungsanbietern Geschäfte über das Internet abwickeln werden.
Somit stellt der elektronische Geschäftsverkehr für Handel, Gewerbe und öffentliche Institutionen eine neue Form der Abwicklung von Geschäftsprozessen dar. Die nachfolgende Abbildung stellt die Ergebnisse einer Umfrage zur Nutzung von Internetdienstleistungen dar. Hierbei wird deutlich, dass das Internet für eine Vielzahl von Anwendungsbereichen genutzt wird. Durch diese Entwicklung gewinnt die interaktive Kommunikation und die virtuelle Geschäftsabwicklung zwischen verschiedenen Parteien stark an Bedeutung.
Um diese Möglichkeit sinnvoll zu nutzen, bedarf es einer sicheren Anwendungsumgebung, um rechtswirksame Verträge im Internet abschließen zu können. Damit ein Vertrag rechtsgültig und beweiskräftig wird, muss dieser von den beteiligten Parteien handschriftlich unterzeichnet werden. Soll ein Vertrag nun über das Internet zustande kommen, muss er elektronisch unterschrieben werden. Hierzu existieren verschiedene Methoden, um Dokumente digital zu signieren. Diese reichen von einfachen Verfahren, z.B. eine optisch eingescannte Signatur, bis hin zu sehr fortschrittlichen Verfahren, z.B. die digitale Signatur basierend auf kryptographischen Verschlüsselungsverfahren.
Im Vordergrund dieser Arbeit steht das Sicherheitskonzept der digitalen Signatur. Diese arbeitet nach dem Public-Key-Prinzip. Hierbei existiert für jeden Benutzer ein mathematisch einmaliges, miteinander verwandtes Schlüsselpaar. Der sogenannte Private-Key muss vom Besitzer absolut geheimgehalten werden, um die Systemsicherheit zu gewährleisten. Der zweite Schlüssel, der sogenannte Public-Key, wird in einer öffentlichen Liste frei zugänglich gemacht. Wenn nun eine Person A mit seinem Private-Key ein Dokument digital signiert und einer anderen Person B dieses signierte Dokument zuschickt, dann kann B mit Hilfe des Public-Key von A die Identität des Senders und die Integrität der übertragenen Daten überprüfen. Auf diese Weise werden sowohl Vertragsabschlüsse, als auch Finanztransaktionen über das Internet möglich. Zur Veranschaulichung wird der Einsatz der digitalen Signatur am Beispiel der Deutschen dabei die grundlegenden Voraussetzungen, um die Anwendungsmöglichkeiten […]
Leseprobe
Inhaltsverzeichnis
ID 6690
Grafe, Dirk: Sicherheitsmechanismen als Marketinginstrument - Analyse möglicher
Anwendungsbereiche der digitalen Signatur bei der Deutschen Bank 24
Hamburg: Diplomica GmbH, 2003
Zugl.: Münster, Universität, Diplomarbeit, 2000
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die
Autoren oder Übersetzer übernehmen keine juristische Verantwortung oder irgendeine
Haftung für evtl. verbliebene fehlerhafte Angaben und deren Folgen.
Diplomica GmbH
http://www.diplom.de, Hamburg 2003
Printed in Germany
II
Inhaltsverzeichnis
ABBILDUNGSVERZEICHNIS
III
ABKÜRZUNGSVERZEICHNIS
IV
ANHANGVERZEICHNIS
VI
1. Einleitung
1
2. Grundlagen und Herausforderungen der digitalen Signatur
5
2.1. Struktur der digitalen Signatur
5
2.1.1. Kryptographische Ziele als Basis der digitalen
Signatur
5
2.1.2. Kryptographische Verschlüsselungsverfahren
6
2.1.2.1. Klassische Verfahren
6
2.1.2.2. Moderne Verfahren
8
2.1.2.2.1. Verschlüsselung
8
2.1.2.2.2. Hashverfahren
12
2.1.2.2.3. Digitale Signatur
13
2.1.2.3. Weitere Sicherheitskonzepte
15
2.1.3. Technische Komponenten
19
2.1.3.1. Technologie der Chipkarte
19
2.1.3.2. Sicherheitsstruktur der Kartenlesegeräte
22
2.1.4. Strukturelle Herausforderungen
23
2.2. Konzept der digitalen Signatur
24
2.2.1. Ablauforganisation
24
2.2.2. Funktionsweise und Anwendungsumfeld
28
2.2.3. Konzeptionelle Herausforderungen
29
2.3. Rechtliche Aspekte im elektronischen Geschäftsverkehr
31
2.3.1. Vertragsabschluss im Internet
31
2.3.2. Rechtliches Umfeld der digitalen Signatur
32
2.3.3. Rechtliche Herausforderungen
34
2.4. Zwischenfazit
35
III
3. Analyse der Anwendungsbereiche der digitalen Signatur
37
3.1. Anwendungsbereiche der DB 24
38
3.1.1. Einlagengeschäft
38
3.1.2. Kreditgeschäft
40
3.1.3. Persönliches Konto und Zahlungsverkehr
41
3.2. Potentielle bankexterne Anwendungsfelder
42
3.2.1. Öffentlich-staatlicher Sektor
43
3.2.2. Privatwirtschaftlicher Sektor
45
3.3. Aktuelle Pilotprojekte
42
3.3.1. MEDIA@Komm - Virtuelles Rathaus
46
3.3.2. Weitere Projekte
49
4. Digitale Signatur als Marketinginstrument in der
Kreditwirtschaft
51
4.1. Besonderheiten beim Absatz von Bankleistungen
51
4.2. Strukturwandel in der Kunde/Bank-Beziehung
52
4.3. Absatzpolitische Betrachtung der digitalen Signatur
54
4.3.1. Grundlagen des Marketing-Mix
54
4.3.2. Auswirkungen der digitalen Signatur auf den
Marketing-Mix
56
4.4. Absatzpolitische Ziele und Handlungsempfehlungen
für die DB 24
59
4.4.1. Absatzpolitische Ziele der digitalen Signatur
60
4.4.2. Handlungsempfehlungen zur Umsetzung der
digitalen Signatur
63
5. Abschlussbetrachtung und Ausblick
66
ANHANG
LITERATURVERZEICHNIS
70
IV
ABBILDUNGSVERZEICHNIS
Abb. 1:
Umfrage nach Internet-Dienstleistungen.
Abb. 2:
Sicherheitsanforderungen für Transaktionen im Internet.
Abb. 3:
Merkmale der symmetrischen und asymmetrischen Ver-
schlüsselungsverfahren.
Abb. 4:
Generierung und Überprüfung einer digitalen Signatur.
Abb. 5:
Stufen und Funktionalitäten von SET.
Abb. 6:
Darstellung der Ablauffolge vom Auftrag bis zur Erstel-
lung der digitalen Signaturkarte.
Abb. 7:
Zusammenfassung der Herausforderungen der digitalen
Signatur.
Abb. 8:
Internetauftritt der DB 24.
Abb. 9:
Produktangebot der DB 24 für das Sparen und Anlegen.
Abb. 10:
Produktangebot der DB 24 für das Kreditgeschäft.
Abb. 11:
Übersicht Online-Dienstleistungen von bos.
V
ABKÜRZUNGSVERZEICHNIS
a.a.O.
am angegebenen Ort
a.M.
am Main
Abb.
Abbildung
Abs.
Absatz
AG
Aktiengesellschaft, Arbeitsgemeinschaft
Art.
Artikel
Aufl.
Auflage
Bd.
Band
Bit
Binary Digit (Bezeichnung für eine Informationseinheit)
BMBuF
Bundesministerium für Bildung und Forschung
BMWI
Bundesministerium für Wirtschaft
bos
bremer online service
BSI
Bundesamt für Sicherheit in der Informationstechnik
Bsp.
Beispiel
bspw.
beispielsweise
bzw.
beziehungsweise
ca.
circa
CPU
Central Processing Unit
d.h.
das heisst
DB
Deutsche Bank
DES
Data Encryption Standard
DIHT
Deutscher Industrie- und Handelstag
e.V.
eingetragener Verein
EFF
Electronic Frontier Foundation
erw.
erweiterte
et al.
et alii (und andere)
etc.
et cetera
EU
Europäische Union
f.
folgende
ff.
fortfolgende
HBCI
Home Banking Communication Interface
Hrsg.
Herausgeber
i.d.R.
in der Regel
IDEA
International Data Encryption Algorythm
incl.
inclusive
Jg.
Jahrgang
VI
Kap.
Kapitel
NJW
Neue Juristische Wochenschrift
Nr.
Nummer
PC
Personal Computer
PGP
Pretty Good Privacy
PIN
Personal Identification Number
POS
Point Of Sale
RegTP
Regulierungsbehörde für Telekommunikation und Post
RSA
Rivest, Shamir, Adleman
S.
Seite
SB
Selbstbedienung
SET
Secure Electronic Transaction
SigG
Signaturgesetz
SigV
Signaturverordnung
sog.
sogenannte (-n, -r, -s)
SSL
Secure Socket Layer
TC
Trust Center
TDM
Tausend Deutsche Mark
u.a.
und andere, unter anderem
u.U.
unter Umständen
überarb.
Überarbeitete
USA
United States of America
VerbrkrG
Verbraucherkreditgesetz
vgl.
vergleiche
vs.
versus
WE
Willenserklärung
WWW
World Wide Web
z.B.
zum Beispiel
z.T.
zum Teil
z.Zt.
zur Zeit
ZfBf
Zeitschrift für betriebliche Forschung
ZKA
Zentraler Kredit-Ausschuss
VII
ANHANGVERZEICHNIS
Anhang A:
Interviews
Interview Carsten Mürl, Global Technology and Service, Deutsche Bank
AG
A1
Interview Karlheinz Graeber, Produktgruppenmanagement/Einlagen,
Deutsche Bank 24
A2
Interview Andreas Kiefer, Informationstechnologie/Projektmanagement,
Deutsche Bank 24
A3
Interview Stephan Manz, Informationstechnologie / Technologieentwick-
lung, Deutsche Bank 24
A4
Anhang B:
Unternehmensinformationen der PRESSESTELLE der
Deutschen Bank 24, Frankfurt a.M., [Stand: 12.10.00].
Anhang C:
Agenda und Referentenliste vom 1. MEDIA@Komm-
Kongress, 04.-05.09.00, Bremen.
Anhang D:
Bremisches Gesetz zur Erprobung der digitalen Signatur
in der Verwaltung [Stand: 01.06.99].
1
1.
Einleitung
In den nächsten Jahren wird dem E-Commerce ein starkes Wachstum
vorhergesagt. Es werden virtuelle Bankhäuser, Marktplätze, Rathäuser
und andere Dienstleistungsplattformen entstehen, auf denen Kunden und
Bürger gemeinsam mit Dienstleistungsanbietern Geschäfte über das In-
ternet abwickeln werden.
1
Somit stellt der elektronische Geschäftsver-
kehr für Handel, Gewerbe und öffentliche Institutionen eine neue Form
der Abwicklung von Geschäftsprozessen dar.
2
Die nachfolgende Abbildung stellt die Ergebnisse einer Umfrage zur
Nutzung von Internetdienstleistungen dar. Hierbei wird deutlich, dass das
Internet für eine Vielzahl von Anwendungsbereichen genutzt wird.
Abb. 1: Umfrage nach Internet-Dienstleistungen.
Quelle:
In Anlehnung an: BAT Freizeit Forschungsinstitut, Befragung
von 3.000 Personen ab 14 Jahren, April 1998 [Mehrfachnen-
nungen möglich].
Durch diese Entwicklung gewinnt die interaktive Kommunikation und
die virtuelle Geschäftsabwicklung zwischen verschiedenen Parteien stark
an Bedeutung. Um diese Möglichkeit sinnvoll zu nutzen, bedarf es einer
sicheren Anwendungsumgebung, um rechtswirksame Verträge im Inter-
net abschliessen zu können.
3
1
Vgl. Active Media Research, Steigerung der weltweiten E-Commerce-Umsätze,
in: Die Welt, Ausgabe vom 05.07.00, Web Welt S. WW1.
2
Vgl. WIEGAND, W.A., Der Chip ersetzt bald den Federhalter, in: Welt am Sonn-
tag Nr.35 vom 27. August 2000, S. 61.
3
Vgl. SCHULZ, W., Die Cyber-Identität beflügelt das Internet, in: Die Welt, Aus-
gabe vom 12.07.00, S. WW2.
2
Damit ein Vertrag rechtsgültig und beweiskräftig wird, muss dieser von
den beteiligten Parteien handschriftlich unterzeichnet werden. Soll ein
Vertrag nun über das Internet zustande kommen, muss er elektronisch
unterschrieben werden.
4
Hierzu existieren verschiedene Methoden, um
Dokumente digital zu signieren. Diese reichen von einfachen Verfahren,
z.B. eine optisch eingescannte Signatur, bis hin zu sehr fortschrittlichen
Verfahren, z.B. die digitale Signatur basierend auf kryptographischen
Verschlüsselungsverfahren.
5
Im Vordergrund dieser Arbeit steht das Sicherheitskonzept der digitalen
Signatur.
6
Diese arbeitet nach dem Public-Key-Prinzip. Hierbei existiert
für jeden Benutzer ein mathematisch einmaliges, miteinander verwandtes
Schlüsselpaar. Der sogenannte Private-Key muss vom Besitzer absolut
geheimgehalten werden, um die Systemsicherheit zu gewährleisten. Der
zweite Schlüssel, der sogenannte Public-Key, wird in einer öffentlichen
Liste frei zugänglich gemacht. Wenn nun eine Person A mit seinem Pri-
vate-Key ein Dokument digital signiert und einer anderen Person B die-
ses signierte Dokument zuschickt, dann kann B mit Hilfe des Public-Key
von A die Identität des Senders und die Integrität der übertragenen Daten
überprüfen. Auf diese Weise werden sowohl Vertragsabschlüsse, als
auch Finanztransaktionen über das Internet möglich. Zur Veranschauli-
chung wird der Einsatz der digitalen Signatur am Beispiel der Deutschen
Bank 24 beschrieben. Die Sicherheit und Rechtsverbindlichkeit bilden
4
Vgl. hierzu und im folgenden: BITZER, F., BRISCH, K.M., Digitale Signatur-
Grundlagen, Funktion und Einsatz, Springer Verlag, Heidelberg 1999, S. 86f.
5
Vgl. SCHULZ, W., Die Cyber-Identität beflügelt das Internet, in: Die Welt, Aus-
gabe vom 12.07.00, WebWelt S. WW2.
6
Im folgenden werden die Begriffe digitale Signatur, elektronische Signatur und
elektronische Unterschrift synonym verwendet. Auch die Bezeichnungen Ve r-
schlüsselung, Chiffrierung und Kodierung, bzw. Entschlüsselung, Dechiffrierung
und Dekodierung werden sinngleich verwendet. Vgl. hierzu und im folgenden:
LÖHMANN, E., Anwendungen der digitalen Signatur in der Kunde-Bank-
Kommunikation und im Interbankenzahlungsverkehr, in: GLADE, A., REIMER,
H., STRUIF, B. (Hrsg.), Digitale Signatur & Sicherheitssensitive Anwendungen,
Vieweg Verlag, Wiesbaden 1995, S. 105ff.
3
dabei die grundlegenden Voraussetzungen, um die Anwendungsmöglich-
keiten der digitalen Signatur in der Finanzwirtschaft zu gewährleisten.
7
Die Deutsche Bank 24 [DB 24] ist deutschlandweit mit über 1.500 Ge-
schäftstellen, sowie mit Filialnetzen in Italien, Spanien und Belgien die
grösste Bank Europas.
8
1999 wurde das Filialgeschäft der Deutsche Bank
AG ausgegliedert und mit der Bank 24 zur DB 24 zusammengeführt. Es
arbeiten ca. 19.300 Mitarbeiter bei der DB 24 (inkl. Tochtergesellschaf-
ten) und sie betreuen z.Zt. einen Privatkundenbestand von ca. 7,2 Mio.
Kunden. Davon sind ca. 870.000 Kunden für das Online Banking regist-
riert. Diese Zahl soll bis Ende 2002 auf knapp 2 Mio. registrierte Inter-
net-Bankkunden anwachsen.
Das Ziel dieser Arbeit ist es, die Grundlagen, Herausforderungen und
Anwendungsbereiche der digitalen Signatur darzustellen, um darauf auf-
bauend ihre Werthaltigkeit als Marketinginstrument in der Bankwirt-
schaft, insbesondere bei der DB 24, zu analysieren.
Dazu ist es erforderlich, die technischen Grundlagen kryptographischer
Verschlüsselungsverfahren zu erläutern, wobei das Konzept der digitalen
Signatur im Mittelpunkt der Betrachtung steht. Ihre Ablauforganisation
und technische Komponenten werden ebenso betrachtet, wie das vorhan-
dene und geplante rechtliche Umfeld. Bei der Analyse dieser Grundlagen
werden strukturelle, konzeptionelle und rechtliche Herausforderungen
der digitalen Signatur herausgearbeitet und als Abschluss des zweiten
Kapitels zusammenfassend dargestellt.
Das dritte Kapitel befasst sich zunächst mit den potentiellen Anwen-
dungsbereichen aus dem Geschäftsfeld ,,Geld & Service" der DB 24.
Daran anschliessend werden potentielle, bankexterne Einsatzgebiete der
digitalen Signatur aus dem öffentlich-staatlichen und privatwirtschaftli-
7
Vgl. von BOEHM-BEZING, C., Der direkte Draht zum Unternehmer, in: Han-
delsblatt, Ausgabe vom 23.05.00, S. B4.
8
Vgl. PRESSESTELLE Deutsche Bank 24, Frankfurt a.M., [Stand: 12.10.00]. Vgl.
hierzu auch Anhang B.
4
chen Sektor dargestellt, um das Kapitel mit der Vorstellung aktueller
Pilotprojekte zu beenden.
Gegenstand des vierten Kapitels ist die Analyse der digitalen Signatur als
Marketinginstrument in der Kreditwirtschaft. Aufbauend auf den Beson-
derheiten von Bankdienstleistungen, wird der Strukturwandel in der
Kunde/Bank-Beziehung dargestellt. Daran anschliessend werden die
Auswirkungen der digitalen Signatur auf den Marketing-Mix und die
absatzpolitischen Instrumente von Bankinstituten geschildert. Es erfolgt
dabei auch eine Darstellung der resultierenden absatzpolitischen Ziele.
Abschliessend werden kurzfristige und langfristige Handlungsempfeh-
lungen zur Erreichung und Umsetzung dieser Ziele abgeleitet. Die vor-
liegende Arbeit endet mit einer Schlussbetrachtung und einem Ausblick.
5
2.
Grundlagen und Herausforderungen der digi-
talen Signatur
2.1
Struktur der digitalen Signatur
2.1.1
Kryptographische Ziele als Basis der digitalen Signatur
Allen Sicherheitsmechanismen gemeinsam sind verschiedene Zielsetzun-
gen, um die Sicherheit im elektronischen Daten- und Geschäftsverkehr
zu gewährleisten.
9
Hierbei verfolgen die unterschiedlichen Verschlüsse-
lungsverfahren in theoretischer und praktischer Hinsicht folgende kryp-
tographische Grundziele:
Anforderung
Bedeutung
Vertraulichkeit
Schutz des Dateninhalts vor unbefugten Dritten.
Integrität
Unbefugte Manipulationen von Nachrichten bzw. Da-
teien (z. B. Einfügen, Weglassen, Ersetzung) sollen
entdeckt werden können.
Authentizität als
Identitätsnachweis
A soll B seine Identität zweifelsfrei beweisen können.
Authentizität als
Herkunftsnachweis
A soll B den Ursprung und die Echtheit einer Datei
beweisen können.
Nichtabstreitbarkeit
der Herkunft
Es soll A unmöglich sein, das Absenden einer be-
stimmten Nachricht an B nachträglich zu bestreiten.
Nichtabstreitbarkeit
des Erhalts
Es soll B unmöglich sein, den Erhalt einer von A ge-
sendeten Nachricht nachträglich zu bestreiten.
Anonymität
Optional müssen die Kommunikationsparteien anonym
bleiben können, um die Weitergabe von sensiblen In-
formationen an Dritte zu verhindern.
Abb. 2: Sicherheitsanforderungen für Transaktionen im Internet.
Quelle: in Anlehnung an ALPAR, P., Kommerzielle Nutzung des Internet,
2.Aufl., Springer Ve rlag, Heidelberg 1998, S. 187.
Zwischen diesen Zielen existieren interdependente Zusammenhänge,
wobei die Gewährleistung von Vertraulichkeit bzw. von Authentizität
unabhängige Grundziele eines kryptographischen Systems darstellen.
9
Vgl. hierzu und im folgenden: HERDA, S. , Zurechenbarkeit Verbindlichkeit
Nichtabstreitbarkeit, Juristische und formale Aspekte, in: GLADE, A., REIMER,
H., STRUIF, B. (Hrsg.), Digitale Signatur & Sicherheitssensitive Anwendungen,
a.a.O., S. 105ff.
6
2.1.2
Kryptographische Verschlüsselungsverfahren
2.1.2.1 Klassische Verfahren
Historisch betrachtet sind bereits sehr frühzeitig Verfahren zur Kodie-
rung von Mitteilungen und Informationen entstanden.
10
Angefangen
wurde mit einfachen Methoden, z.B. der Spiegelschrift oder der Geheim-
schrift, sowie eigens für diesen Zweck erfundenen Schriftzeichen,
Schreib- und Leseprozeduren. Generelles Problem dieser einfachen Ver-
fahren ist die Wertlosigkeit der Verschlüsselung für Sender und Empfän-
ger, sobald eine unbefugte Partei ein derartiges Verfahren erkennt und
aufdeckt. Gegenstand dieser symmetrischen Verschlüsselungsverfahren
ist die gleichzeitige Verwendung von Schlüsselparametern durch den
Sender und den Empfänger. Der Sender benutzt einen speziellen Schlüs-
sel zur Verschlüsselung einer Klartextnachricht und der Empfänger be-
nutzt den identischen Schlüssel zur Entschlüsselung.
11
Während dieses
Vorgangs ist der Text für unbefugt Mitlesende bei Unkenntnis der
Schlüssel unverständlich. Aufgrund dieser Symmetrie ist es erforderlich,
dass der Schlüssel auf sichere und geheime Art zwischen den befugten
Parteien vereinbart wird. Das angesprochene Problem der Geheimschrift
wird hier durch den einfachen und problemlosen Austausch des Schlüs-
sels gelöst, der beliebig variierbar ist und dem Partner sicher kommuni-
ziert werden muss. Im folgenden werden einige historischer Verschlüsse-
lungsverfahren vorgestellt und bewertet.
12
Bei der Caesar-Chiffrierung wurden geheime militärische Aktivitäten
durch einfache Addition bzw. Verschiebung des lateinischen Alphabets
nach rechts um z.B. drei Buchstaben verschlüsselt (A=D, B=E, C=F,
etc.). Der hier verwendete Schlüsselparameter ist die Ziffer 3, welche
10
Vgl. hierzu und im folgenden: GISBERT, W.S. , Kryptographie Verfahren, Zie-
le, Einsatzmöglichkeiten, O'Reilly Verlag, Freiburg 2000, S. 34ff.
11
Ein Schlüssel ist ein Parameterwert, der innerhalb eines kryptographischen Ve r-
fahrens festlegt, in welcher Reihenfolge welche Operationen zur Chiffrierung einer
Klartextnachricht durchgeführt werden müssen.
12
Vgl. hierzu und im folgenden: GISBERT, W.S. , Kryptographie, a.a.O., S. 35ff.
7
jederzeit und beliebig oft ausgetauscht werden kann, ohne das eigentliche
Verfahren zu ändern. Das Problem aus heutiger Sicht ist die geringe
Schlüsselzahl, die eine sehr niedrige Sicherheitsstufe darstellt.
13
Die Vigenère-Verschlüsselung löst die Probleme der Caesar-Addition,
indem kein konstanter Schlüssel angewandt wird. Vielmehr wird eine
Zahlenfolge benutzt, z.B. 7, 18, 15, 2. Der erste Buchstabe der Klar-
textnachricht wird nun um 7 Buchstaben verschoben, der zweite um 18
usw.. Nach dem Ende dieser Zahlensequenz wird die Zahlenreihe solange
wieder verwendet, bis die gesamte Nachricht chiffriert ist. Ersetzt man
zur Erhöhung der Sicherheit die o.g. Zahlensequenz durch die entspre-
chenden Buchstaben des Alphabets, so erhält man ein Codewort, das dem
Empfänger als geheimes Schlüsselwort übermittelt werden kann. Es folgt
ein praktisches Beispiel für eine Vigenère-Verschlüsselung:
§ Klartext:
D I P L O M A R B E I T
§ Addition:
7 18 15 2 7 18 15 2 7 18 15 2
§ Schlüsselwort:
G
R O B G R O B G R O
B
§ Geheimtext:
J
A E N W E P T I W X W
Aus heutiger Sicht ergibt sich auch hier ein Sicherheitsproblem, da durch
maschinelle, statistische Hilfe dieses Verfahren innerhalb kürzester Zeit
zu entschlüsseln ist.
Das One-Time-Pad sieht zur Maximierung und Herstellung der absoluten
Sicherheit eine nur einmalige Benutzung eines jeden Schlüssels vor, d.h.
die Vigenère-Verschlüsselung wird dann absolut sicher, wenn wirklich
jeder Schlüssel nur einmal verwendet wird. Nur so kann eine Entschlüs-
selung durch eine statistische Analyse der Häufigkeitsverteilung der ver-
wendeten Buchstaben verhindert werden. Dieses erwiesenermassen si-
chere Verfahren erfordert bei der Chiffrierung von grösseren Nachrichten
und Dokumenten allerdings eine grosse Schlüsselanzahl, um die volle
Sicherheit zu gewährleisten. Das Problem besteht im hohen Arbeitsauf-
13
Die Schlüsselzahl beschränkt sich im 20 Buchstaben umfassenden lateinischen
Alphabet somit auf 19.
8
wand, der erst mit Hilfe moderner Rechentechnik und der Anwendung
von komplexen, mathematischen Algorithmen realisierbar wird.
2.1.2.2 Moderne Verfahren
Die grundlegende kryptographische Methode zur Wahrung von Vertrau-
lichkeit bei modernen Verfahren ist die symmetrische und asymmetrische
Verschlüsselung. Die Methoden zur Gewährleistung von Integrität, Au-
thentizität und Nichtabstreitbarkeit sind das Hashverfahren und die digi-
tale Signatur. Die einzelnen kryptographischen Konzepte werden im fol-
genden vorgestellt.
2.1.2.2.1 Verschlüsselung
Die Verschlüsselung transformiert einen Klartext in Abhängigkeit von
einer Zusatzinformation, dem Schlüssel, in einen zugehörigen Geheim-
text.
14
Dieses Chiffrat ist für Unbefugte bei Unkenntnis des Schlüssel,
nicht entzifferbar. Die Zurückgewinnung des Klartextes aus dem Ge-
heimtext wird Entschlüsselung genannt.
15
Um praktisch einsetzbar zu
sein, müssen Verschlüsselungsalgorithmen folgende Mindestanforderun-
gen erfüllen. Sie sollten entzifferungsresistent sein, d. h. ohne Kenntnis
des Schlüssels darf das Chiffrat nicht entschlüsselt werden können. Aus-
serdem muss hierfür die Menge der möglichen Schlüssel ausreichend
gross sein, da sonst ein einfaches Ausprobieren aller Schlüssel möglich
wäre. Zusätzlich müssen sie einfach einzusetzen und die Ver- und Ent-
schlüsselung soll nicht zeitaufwendig sein. Wichtig bei der Bewertung
von Verschlüsselungsalgorithmen ist, dass es zum Nutzungszeitpunkt
praktisch nicht möglich sein darf, den Geheimtext ohne Kenntnis des
Schlüssels mit der dann verfügbaren Technik innerhalb eines akzeptablen
14
Vgl. hierzu und im folgenden: BERNERT, J. Sicher im Netz, Sicherheit im Inter-
net, Maro Verlag, Augsburg 1999, S. 157ff.
15
Klartexte, Geheimtexte und Schlüssel repräsentieren eine Folge von Bits.
9
Zeitrahmens zu entschlüsseln.
16
Hierbei wird zwischen symmetrischen
und asymmetrischen Verschlüsselungsverfahren unterschieden.
Symmetrische Verschlüsselungsverfahren benutzen denselben Schlüs-
sel sowohl für die Ver-, als auch für die Entschlüsselung.
17
Symmetrische
Verfahren werden deshalb gelegentlich auch als ,,Ein-Schlüssel"-
Verfahren bezeichnet. Bekannte symmetrische Verschlüsselungsver-
fahren sind z. B. DES, 3DES, oder IDEA, auf die nun eingegangen wird.
Der am weitesten verbreitete Algorithmus ist der DES-Mechanismus
(Data Encryption Standard).
18
Entwickelt in den 70er Jahren hat er sich
als Standard etabliert, der z.B. bei der Abwicklung von EC-Karten-
Transaktionen verwendet wird. Bei seiner Entwicklung wurde eine Ver-
schlüsselung von 56 Bit als sicher angesehen. Schon 1977 haben Diffie
und Hellmann eine Maschine entwickelt, die durch Eingabe eines Bruch-
teils des Klartextes und dem dazugehörigen Chiffrat innerhalb eines Ta-
ges den Schlüssel finden konnte.
19
Aufgrund der zu kurzen Schlüssellän-
ge und der somit geringen Sicherheitsstufe entwickelte IBM Anfang der
80er Jahre eine Triple-Verschlüsselung von DES (3DES), die mit drei
unterschiedlichen und voneinander unabhängigen Schlüsseln arbeitet.
16
Die verwendeten Verfahren müssen nach dem SigG alle sechs Jahre überprüft
werden. Die von der RegTP für den aktuellen Zeitraum vom 14.02.98 bis 14.02.04
als geeignet beurteilten Kryptoalgorithmen sind nachzuschlagen in: Massnahmen-
katalog zum Signaturgesetz, Kap. 5f.: Massnahmenkatalog nach §§12ff., Bundes-
anzeigerverlag, Köln 1999.
17
Vgl. CREUTZIG, C., BUHL, A., ZIMMERMANN, P., PGP Pretty Good Priva-
cy, Der Briefumschlag für Ihre elektronische Post, 4.Aufl., Art d'Ameiblement
Verlag, Bielefeld 1999, S. 9.
18
Vgl. GISBERT, W.S. , Kryptographie, a.a.O., S. 46ff.
19
Vgl. hierzu und im folgenden: BERNERT, J. Sicher im Netz, a.a.O., S. 163ff.
10
Bei IDEA (International Data Encryption Algorythm) handelt es sich um
einen Algorithmus, der 64 Bit lange Daten-,,Blöcke" mit einem 128 Bit
Schlüssel chiffriert.
20
Die EFF
21
hat in einer 1998 veröffentlichen Mach-
barkeitsstudie demonstriert, wie aufwendig ein Angriff auf eine IDEA-
Verschlüsselung ist. Bei einer speziell optimierten Hardware dauert es ca.
7 Stunden, um eine DES-Verschlüsselung mit 56 Bit Schlüssellänge auf-
zulösen. Bei identischer Hardware-Ausrüstung für IDEA würde ein er-
folgreicher Angriff rein rechnerisch 7 Stunden * 2
128 Bit 56 Bit
=
33.056.565.380.087.516.495.872 Stunden dauern. Das entspricht in etwa
4*10
18
Jahren.
22
Die Nachteile bei der Verwendung des IDEA-
Algorithmus sind die anfallende Lizenzgebühr im kommerziellen Bereich
und die notwendigen Rechnerkapazitäten.
Generell ist beim Einsatz symmetrischer Verfahren zu beachten, dass ein
Schlüsselaustausch zwischen den Kommunikationspartnern vorausge-
gangen sein muss.
23
Voraussetzung ist ein sicherer Kanal, z.B. Kurier
oder persönliche Übergabe, und eine beidseitige Geheimhaltung des
Schlüssels. Für einen sicheren Schlüsselaustausch gibt es verschiedene
Verfahren. In geschlossenen Systemen ist der Schlüsselaustausch im all-
gemeinen unproblematisch zu realisieren, da hier meist ,,sichere Kanäle"
vorhanden sind. In offenen Systemen mit einer Vielzahl von Kommuni-
kationspartnern gestaltet sich dies schwieriger. Generell besteht das Prob-
lem, dass bei einer Vielzahl möglicher Kommunikationspartner entspre-
chend viele Schlüssel vor der eigentlichen Kommunikation ausgetauscht
werden, und dabei die potentiellen Kommunikationspartner vorab be-
kannt sein müssen.
20
Vgl. CREUTZIG, C., BUHL, A., ZIMMERMANN, P., PGP Pretty Good Pri-
vacy, a.a.O., S. 275f.
21
Electronic Frontier Foundation (EFF), im WWW unter: http://www.eff.org/.
[Stand: 02.10.00].
22
Zum Vergleich: Das Alter des Weltalls wird aktuell auf etwa 1,5*10
9
Jahre ge-
schätzt, also etwa ein Milliardstel der Zeit, die notwendig wäre, um unter optima-
len Bedingungen eine IDEA -Verschlüsselung mit 128 Bit aufzulösen.
23
Vgl. hierzu und im folgenden: BITZER, F., BRISCH, K.M., Digitale Signatur,
a.a.O., S. 86f.
11
Im Gegensatz dazu benutzen asymmetrische Chiffrierverfahren zwei
verschiedene, aber mathematisch verwandte Schlüssel.
24
Es existiert ein
öffentliche Schlüssel (Public Key) für die Verschlüsselung, und ein pri-
vater Schlüssel (Private Key) für die Entschlüsselung. Das Schlüsselpaar
muss dabei folgende Eigenschaft aufweisen: Für alle, die den Public Key
einer Person kennen, muss es praktisch unmöglich sein, den zugehörigen
Private Key zu bestimmen oder eine mit dem Public Key verschlüsselte
Nachricht zu entschlüsseln. Asymmetrische Verschlüsselung hat also die
,,Einbahn"-Eigenschaft, dass eine Nachricht nicht wiederhergestellt wer-
den kann, wenn der geheime Schlüssel vergessen oder gelöscht wurde.
Die Bezeichnung Public Key-Verschlüsselung rührt daher, dass der Pub-
lic Key öffentlich bekannt gemacht werden kann, ohne die Sicherheit des
Verfahrens zu gefährden.
25
Der Private Key hingegen muss unter allen
Umständen geheimgehalten werden. Ein bekanntes asymmetrisches Ver-
schlüsselungsverfahren ist das RSA-Verfahren.
Das RSA-Verfahren, das 1978 von Ron Rivest, Adi Shamir und Leonard
Adleman entwickelt und benannt worden ist, macht sich die Problematik
zu Nutzen, dass es bis heute nicht gelungen ist, eine Methode zu entwi-
ckeln, um eine sehr grosse Zahl in ihre Primfaktoren zu zerlegen.
26
Um
diese Sicherheitsstufe zu gewährleisten, werden beim Verschlüsselungs-
vorgang zwei relativ grosse Primzahlen miteinander multipliziert, aus
deren Ergebnis es nahezu unmöglich ist, wieder zu den ursprünglich
verwendeten Primzahlen zu gelangen. Die beim RSA-Algorithmus vor-
gesehene Schlüssellänge beträgt z.Zt. 1024 Bit, was etwa einer 300-
stelligen Zahl entspricht. Nachteilig wirkt sich bei diesem System einer-
seits der grosse Zeitaufwand aufgrund komplexer Berechnungsschritte
24
Vgl. hierzu und im folgenden: BITZER, F., BRISCH, K.M., Digitale Signatur,
a.a.O., S. 88f.
25
Vgl. CREUTZIG, C., BUHL, A., ZIMMERMANN, P., PGP Pretty Good Pri-
vacy, a.a.O., S. 26.
26
Vgl. hierzu und im folgenden: Bundesamt für Sicherheit in der Informationstech-
nik (Hrsg.), Sicherheitsaspekte bei Electronic Commerce, Schriftenreihe zur IT-
Sicherheit, Bd. 10, Bonn 1999, S. 29.
12
aus, andererseits ist es schwierig, immer wieder verschiedene, sehr gros-
se Primzahlen sicher zu ermitteln.
27
Die folgende Abbildung fasst die sich z.T. ergänzenden Vor- und Nach-
teile der symmetrische und asymmetrische Chiffrierverfahren zusammen:
Merkmale
Verfahren
Vorteile
Nachteile
Symmetrische
Verschlüsselungs-
verfahren
·
Schnelle Berechnung.
·
Hoher Datendurchsatz.
·
Gut anwendbar bei wenig sensi-
tiven Informationen und gerin-
ger Teilnehmerzahl.
·
Kurze Schlüssel genügen den
Sicherheitsanforderungen.
·
Schlüssel müssen bei allen
Parteien geheim bleiben, um
Sicherheit zu gewährleisten.
·
Problem des sicheren Schlüssel-
transport zwischen den Partnern.
·
Authentizitätszweifel bei mehre-
ren Teilnehmern.
Asymmetrische
Verschlüsselungs-
verfahren
·
Jeder Nutzer besitzt seinen
eigenen, geheimen Private Key.
·
Gut geeignet zur Nutzung der
digitalen Signatur.
·
Gute Lösung zur Schlüsselver-
teilung in offenen Netzen mit
vielen Teilnehmern.
·
Öffentliche Schlüssel auf zentra-
len Servern hinterlegt und jedem
frei zugänglich.
·
Langsam und sehr recheninten-
siv bei der Codierung längerer
Dokumente.
·
Lange Schlüsselsequenzen
notwendig, um den Sicherheits-
anforderungen zu entsprechen.
·
Komplexe Schlüsselerzeugung
zur Vermeidung von schwachen
Schlüsselpaaren.
Abb. 3: Merkmale der symmetrischen und asymmetrischen Verschlüsselungsve r-
fahren.
Quelle: Eigene Darstellung.
2.1.2.2.2 Hashverfahren
Beim Hashverfahren wird durch eine spezielle Hashfunktion aus dem
Quelldokument eine eindeutige, komprimierte Textprüfsumme errechnet.
Sie ist eine Datentransformation, um Rechenzeit einzusparen und reprä-
sentiert einen einmaligen Fingerabdruck einer Datei mit einer Schlüssel-
länge von 128-160 Bit. Diese Textprüfsumme wird durch Manipulation
des chiffrierten Dokuments zwangsläufig irreversibel verändert. Um den
Integritätsschutz als Ziel der Hashfunktion zu gewährleisten, muss es
praktisch unmöglich sein, zu einem vorgegebenen Hashwert eine Nach-
richt zu finden, deren Hashwert identisch mit dem vorgegebenen Wert ist
(,,Einweg"-Eigenschaft). Ausserdem muss ausgeschlossen werden kön-
nen, dass zwei Nachrichten zum gleichen Hashwert führen (Kollisions-
27
Vgl. GISBERT, W.S. , Kryptographie, a.a.O., S. 66ff.
13
freiheit). Somit kann mit Hilfe einer beiden Parteien bekannten Hash-
funktion die Integrität einer Nachricht überprüft werden.
28
Ziel des Integritätsschutzes ist es, dass der Empfänger einer Nachricht
feststellen kann, ob er diese Nachricht unverfälscht erhalten hat.
29
Das
Grundprinzip besteht darin, die Nachricht unverschlüsselt und unverän-
dert zu übersenden, gleichzeitig aber bestimmte Kontrollinformationen
mitzuschicken, die die Kontrolle der Unverfälschtheit der eigentlichen
Nachricht ermöglichen. Voraussetzung dafür ist allerdings, dass der
Empfänger die Kontrolldaten unmanipuliert erhält bzw. das Manipulatio-
nen entdeckt werden können. Der Umfang der Kontrollinformationen
muss möglichst gering sein, um die zusätzlich zu übertragenden Informa-
tionen zu minimieren. Jede Manipulation, auch nur eines einzelnen Bits
der Nachricht, muss anhand der Kontrollinformationen feststellbar sein.
2.1.2.2.3 Digitale Signatur
Das kryptographische Konstrukt der digitalen Signatur dient dem Ziel,
für elektronische Dokumente und Nachrichten ein Pendant zur hand-
schriftlichen Unterschrift einsetzen zu können.
30
Dazu werden einige der
schon erläuterten kryptographischen Mechanismen wie Hashfunktionen
und asymmetrische Verfahren zusammengeführt. Die wesentliche Vor-
aussetzung für die digitale Signatur ist ein eindeutig zusammengehören-
des Schlüsselpaar, d.h. jeder Teilnehmer besitzt einen nur ihm bekannten
privaten Schlüssel, mit dem er zu beliebigen Dokumenten eine digitale
Signatur bilden kann. Anhand des dazugehörigen öffentlichen Schlüssels
muss es dann möglich sein, diese digitale Signatur zu verifizieren. Dieser
öffentliche Schlüssel ist zusammen mit den Angaben zum Besitzer des
passenden geheimen Signierschlüssels in einem sogenannten Verifizier-
28
Vgl. GISBERT, W.S. , Kryptographie, a.a.O., S. 85ff.
29
Vgl. hierzu und im folgenden: BITZER, F., BRISCH, K.M., Digitale Signatur,
a.a.O., S. 100ff.
30
Vgl. hierzu und im folgenden: Ebenda., S. 102ff.
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2000
- ISBN (eBook)
- 9783832466909
- ISBN (Paperback)
- 9783838666907
- DOI
- 10.3239/9783832466909
- Dateigröße
- 1.9 MB
- Sprache
- Deutsch
- Institution / Hochschule
- Universität Münster – unbekannt
- Erscheinungsdatum
- 2003 (April)
- Note
- 2,3
- Schlagworte
- unterschrift trust center kundenbindung bankwirtschaft
