Rubrik: Markt/Hintergrund

TeleTrust Deutschland e.V.: Sicheres E-Business und Interoperabilität

Die European Bridge-CA als pragmatische Lösung

(28.09.02) – Im zunehmenden Wettbewerb um Kunden und Märkte wird es immer wichtiger für Unternehmen, ihre Produkte und Dienstleistungen schneller, kostengünstiger und qualitativ hochwertiger bereitzustellen. Geschäftsprozesse werden in Folge organisationsübergreifend automatisiert und der Point-of-Sale auf allgegenwärtige elektronische Medien übertragen. Die erfolgreiche Verbreitung von E-Business schreitet zwar stetig voran, die expansive Entwicklung aber unterliegt zwei Hemmnissen: Mangelnde Sicherheit (Integrität, Verschlüsselung der Daten) und unzureichende Authentizität (Identifikation, Unabstreitbarkeit des handelnden Partners).

Anzeige

Beide Hürden können mittels moderner kryptographischer Verfahren und einer Public Key Infrastructure (PKI) überwunden werden, und immer häufiger werden erfolgreiche, real genutzte Implementierungen von PKIs bei renommierten Unternehmen publik – auch wenn die Hype-Phase, wo PKI unbesehen in den Himmel gelobt wurde, vorbei ist.

In diesen PKIs erhalten die Nutzer ein zertifiziertes Schlüsselpaar, das ihnen als elektronischer Ausweis dient. Dieser kann nun zur Identifikation, Verschlüsselung und digitalen Unterschrift verwendet werden. Unglücklicherweise aber ist heute vielfach die Nutzung dieser elektronischen Ausweise auf eine spezielle E-Business Applikation mit spezifischen Gebrauch und einem abgestimmten Vertrauensmodell begrenzt. Ein Nutzer dagegen hat das Ziel, mit einem einzigen elektronischen Ausweis Zugang zu einer Vielzahl von Produkten und Dienstleistungen des E-Business zu erhalten.

Dies ist auch das Ziel der europäischen Bridge-CA-Initiative. Durch gemeinsam verabschiedete technische und organisatorische Standards soll die weltweite Interoperabilität unterschiedlicher PKIs gewährleistet werden. Die Bridge-CA verbindet die existierenden "PKI-Inseln" und nimmt die Rolle eines neutralen Mittlers ein, der einerseits die unterschiedlichen Interessen aller Teilnehmer integriert und andererseits den Austausch von Erfahrung sicherstellt, so dass alle von den individuell gewonnen Erkenntnissen und Einsichten profitieren können. Die Bridge-CA ist eine herstellerunabhängige, von Nutzern angetriebene, Non-Profit-Initiative zur Überbrückung der Vertrauenslücke zwischen PKI-Inseln. Mit ihrer Hilfe ist schon jetzt der formfreie elektronische Rechtsverkehr zwischen Wirtschaft und Verwaltung möglich.

Zur Zeit beteiligen sich an dieser Initiative schon über 20 große Organisationen unterschiedlicher Industriezweige. Einige dieser namhaften Unternehmen sind beispielsweise:

Deutsche Bank AG, Deutsche Telekom AG, Giesecke & Devrient GmbH, DaimlerChrysler AG, BMW AG und Siemens AG.

Ebenfalls Mitglied sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Informatikzentrum der Sparkassenorganisation – womit eine echte Public-Private-Partnership entstanden ist.

Aufgrund der weiten Verbreitung der Kommunikation via E-Mail hat die Bridge-CA Initiative ihre kurzfristigen Bemühungen darauf fokussiert, alle Prozesse und Maßnahmen zu erläutern und zu bestärken, wie diese Kommunikationsform mit einfach handhabbaren PKI-Lösungen sicher und bezahlbar gestaltet werden kann.

Bereits heute erlaubt der Bridge-CA-Verbund über 300.000 Personen, mit ihrem elektronischen Ausweis signierte und verschlüsselte E-Mails untereinander auszutauschen. Vorausgegangen waren umfangreiche Untersuchungen, wie in ganz verschiedenen Organisationen die realen Prozesse gestaltet sind und wie die Interoperabilität in einer extrem heterogenen Systemlandschaft gewährleistet werden kann. Diese Tests haben stark vom Sphinx-Projekt des BSI profitiert, und sie werden in Zukunft zusammen mit den ISIS-MTT-Interoperabilitätstests durchgeführt werden.

 Die bisher produktiv unternehmens- oder behördenintern betriebenen PKIs haben sowohl die technisch und organisatorisch notwendige Sicherheit (weil die Organisationen ein Eigeninteresse haben, dass nur autorisierte Mitarbeiter auf die Firmen-IT-Zugriff haben) als auch die notwendige Flexibilität (Personalisierung / Rechteverwaltung) für die Abwicklung des internen IT-Security-Managements. Vertrauen ist Grundlage des Verhältnisses zwischen Unternehmen und Mitarbeitern.

Die Bridge-CA ist im Januar 2001 produktiv geworden, und schon auf der CeBIT 2001 wurde Hr. Minister Schily ihr Schirmherr. Betreiber der Bridge-CA ist TeleTrusT Deutschland e.V.. TeleTrusT beschäftigt sich seit Jahren kompetent und neutral mit der Förderung der Anwendung der digitalen Signatur. Auf der von TeleTrusT mitveranstalteten größten europäischen Sicherheitskonferenz ISSE im September 2001 in London wurde der Bridge-CA aufgrund ihres pragmatischen Ansatzes eine rege Nachfrage zuteil.

Aufgrund der weiten Verbreitung der Kommunikation via E-Mail hat die Bridge-CA-Initiative ihre kurzfristigen Bemühungen darauf fokussiert, alle Prozesse und Maßnahmen zu erläutern und zu bestärken, wie diese Kommunikationsform mit einfach handhabbaren PKI-Lösungen sicher und bezahlbar gestaltet werden kann.

Bereits heute erlaubt der Bridge-CA-Verbund über 300.000 Personen, mit Ihrem elektronischen Ausweis signierte und verschlüsselte E-Mails untereinander auszutauschen. Vorausgegangen waren umfangreiche Untersuchungen, wie in ganz verschiedenen Organisationen die realen Prozesse gestaltet sind und wie die Interoperabilität in einer extrem heterogenen Systemlandschaft gewährleistet werden kann. Diese Tests haben stark vom Sphinx-Projekt des BSI profitiert, und sie werden in Zukunft zusammen mit den ISIS-MTT-Interoptests durchgeführt werden.

Die produktiven, PKI-basierten E-Business-Anwendungen reichen von der Ausstellung digital signierter Bankgarantien über die Verschlüsselung sensitiver Ausschreibungsdaten bis hin zum Austausch digital signierter Beschaffungsaufträge. Stets ist der unmittelbare Nutzen der Kombination aus Firmen-PKI und der Bridge-CA offensichtlich.

Die weitere Ausbreitung der Bridge-CA-Initiative läuft auf Hochtouren. Weitere Teilnehmer aus dem privaten und öffentlichen Sektor sind explizit erwünscht. Mit Cable&Wireless hat die erste britische Firma gerade den Interoperabilitätstest erfolgreich bestanden. Grundsätzlich sind alle hardware- und softwarebasierten Zertifikate sowie alle Grade der Verbindlichkeit von Zertifikaten bis hin zu rechtsverbindlichem PKIs willkommen und zulässig, sofern sie die von der B-CA geforderten pragmatischen Mindestanforderungen erfüllen. (Bernhard Esslinger, David Barcklow/ma)

TeleTrusT Deutschland e.V.

Tel. (0361) 26289267, Fax (0361) 3453957

E-Mail peter.steiert@teletrust.de

Web: www.teletrust.de
Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken