Was im konventionellen, "papiergestützen" Büroalltag selbstverständlich ist, gilt in der elektronischen Kommunikation noch lange nicht. Dass eine Email ungefähr so geheim wie eine Postkarte ist, weiß zwar im Grunde jeder, doch etwa die strikte Verschlüsselung der Email ist trotzdem weiterhin eher die Ausnahme. Nur allzu schnell werfen die gestressten Benutzer angesichts der komplizierten Einzellösungen zur Kodierung elektronischer Dokumente oder Transaktionen das Handtuch. Wissenschaftler des GMD Forschungszentrums Informationstechnik in Darmstadt wollen das jetzt ändern. Sie entwickelten ein Verfahren, mit dem alle elektronischen Daten fast wie von selbst geschützt werden - und zwar genau so, wie es ihre Sensibilität erfordert. "Unser Ausgangspunkt ist ein Modell, bei dem ein Dokument von Person A zu Person B geschickt wird. Dabei soll bei der Kommunikation zwischen beiden auch immer eine Authentifizierung beider Personen stattfinden sowie die Integrität der Nachricht geprüft werden. Bislang müssen beide Personen noch selbst dafür Sorge tragen, dass diese Bedingungen erfüllt werden", erklärt Rainer Prinoth das Geflecht aus Kommunikation, Sicherheitspolitik und Sicherheits-Werkzeugen.
Doch das soll sich jetzt ändern: Die Wissenschaftler der GMD entwarfen dazu einen elektronischen Sicherheitsbeauftragten, der sich um die mühsamen Details sicheren Informationstransfers kümmern soll. Person A schreibt und verschickt wie bisher ihr Dokument, Person B empfängt und liest es. Der für beide unsichtbar im Hintergrund agierende Agent sorgt dabei für die Erfüllung der nötigen Sicherheitspolitik. So prüft das Programm anhand einer Datenbank, ob Person A bestimmte Nachrichten, etwa eine Warenbestellung, überhaupt versenden darf. Ist dies gegeben, authentifiziert das System sie als Autorin und verschlüsselt den Text. Person B wird wiederum von seinem Agenten als der korrekte Empfänger authentifiziert. Die Nachricht wird entschlüsselt und der Empfang quittiert, während der Empfänger die Nachricht einfach liest.
Der besondere Clou an Darmstädter Verfahren ist sein modularer Aufbau: Anwendungen, Sicherheitspolitik und Sicherheitstools sind völlig unabhängig voneinander. Die elektronischen Sicherheitsbeauftragten sind dabei für das Zusammenspiel zuständig. Für den Anwender hat dieses Verfahren klare Vorteile: Er bearbeitet Dokumente, benutzt Software oder schreibt Emails - und muss dabei nicht auch noch zum Spezialisten für Datensicherheit werden. "Es ist für den Laien schlecht abschätzbar, welche Sicherheitsmaßnahmen auch wie wirken, welche Schlüssellängen etwa heute noch hinreichend sicher sind oder auf welche Verfahren man zurückgreifen sollte", so Rainer Prinoth. Ein weiterer Vorteil: Durch die Modularität bleibt das ganze System offen und flexibel – Spezialzusätze für beispielsweise Email-Programme müssen so nicht eigens programmiert oder gekauft werden.
Für Prinoth ist neben der tatsächlichen Datensicherheit vor allem auch das Vertrauen in eine sichere Kommunikation besonders wichtig. Sicherheitsmonopole, vielleicht sogar in den Händen großer Softwarehersteller, dürften ebenso wenig dabei helfen, wie die eher zufälligen Sicherungen, die heute im Internet Gang und Gäbe sind und quasi blindes Vertrauen in einen unbekannten Geschäftspartner erfordern: "Unserer Ansicht nach bietet erst die Trennung der Sicherheitspolitik von der Ebene der Anwendungen die Basis dafür, dass die Benutzer überhaupt Vertrauen in zukunftsorientierte Software, etwa für E-commerce oder Mobile-commerce, aufbauen und die neuen Angebote auch nutzen."
Doch das soll sich jetzt ändern: Die Wissenschaftler der GMD entwarfen dazu einen elektronischen Sicherheitsbeauftragten, der sich um die mühsamen Details sicheren Informationstransfers kümmern soll. Person A schreibt und verschickt wie bisher ihr Dokument, Person B empfängt und liest es. Der für beide unsichtbar im Hintergrund agierende Agent sorgt dabei für die Erfüllung der nötigen Sicherheitspolitik. So prüft das Programm anhand einer Datenbank, ob Person A bestimmte Nachrichten, etwa eine Warenbestellung, überhaupt versenden darf. Ist dies gegeben, authentifiziert das System sie als Autorin und verschlüsselt den Text. Person B wird wiederum von seinem Agenten als der korrekte Empfänger authentifiziert. Die Nachricht wird entschlüsselt und der Empfang quittiert, während der Empfänger die Nachricht einfach liest.
Der besondere Clou an Darmstädter Verfahren ist sein modularer Aufbau: Anwendungen, Sicherheitspolitik und Sicherheitstools sind völlig unabhängig voneinander. Die elektronischen Sicherheitsbeauftragten sind dabei für das Zusammenspiel zuständig. Für den Anwender hat dieses Verfahren klare Vorteile: Er bearbeitet Dokumente, benutzt Software oder schreibt Emails - und muss dabei nicht auch noch zum Spezialisten für Datensicherheit werden. "Es ist für den Laien schlecht abschätzbar, welche Sicherheitsmaßnahmen auch wie wirken, welche Schlüssellängen etwa heute noch hinreichend sicher sind oder auf welche Verfahren man zurückgreifen sollte", so Rainer Prinoth. Ein weiterer Vorteil: Durch die Modularität bleibt das ganze System offen und flexibel – Spezialzusätze für beispielsweise Email-Programme müssen so nicht eigens programmiert oder gekauft werden.
Für Prinoth ist neben der tatsächlichen Datensicherheit vor allem auch das Vertrauen in eine sichere Kommunikation besonders wichtig. Sicherheitsmonopole, vielleicht sogar in den Händen großer Softwarehersteller, dürften ebenso wenig dabei helfen, wie die eher zufälligen Sicherungen, die heute im Internet Gang und Gäbe sind und quasi blindes Vertrauen in einen unbekannten Geschäftspartner erfordern: "Unserer Ansicht nach bietet erst die Trennung der Sicherheitspolitik von der Ebene der Anwendungen die Basis dafür, dass die Benutzer überhaupt Vertrauen in zukunftsorientierte Software, etwa für E-commerce oder Mobile-commerce, aufbauen und die neuen Angebote auch nutzen."