Sicherheit Trojanische Pferde sind schlauer

Die digitale Unterschrift - praktisch, aber unsicher, meint die Stiftung Warentest.

Berlin - Die digitale Unterschrift ist seit kurzem rechtskräftig. Mit der Signatur lassen sich nun etwa Verträge unterzeichnen, so dass der Kontrakt per Internet dem handschriftlich unterschriebenen Papier in vielen Fällen gleichgestellt ist. Vorsicht, warnt nun die Stiftung Warentest: Die elektronische Signatur ist nach Ansicht von Experten zurzeit noch nicht sicher genug.

Dabei ist das Prinzip der elektronischen Unterschrift besonders unter dem Sicherheitsaspekt gut durchdacht: Wer sie nutzen will, der muss sich zunächst an einen Anbieter von digitalen Signaturen wenden und dort seinen Personalausweis oder Reisepass vorlegen. Die Firma teilt ihm zwei Schlüssel zu. Bei diesen Schlüsseln handelt es sich um Zeichenfolgen, die die Ver- und Entschlüsselung von Daten steuern. Den einen Schlüssel verwendet der Absender, um seine Daten zu signieren. Er ist häufig auf einer Chipkarte gespeichert, die der Anbieter der elektronischen Signatur ausgibt. Bei der Benutzung muss zusätzlich noch eine Geheimzahl eingegeben werden. Mit dem zweiten Schlüssel werden die Daten überprüft. Er wird als "öffentlich" bezeichnet und lässt sich im Internet abrufen. Er entschlüsselt die Daten nur dann, wenn sie korrekt signiert und nicht nachträglich manipuliert worden sind.

Bonner Informatiker knackten Signaturen

Aus diesem Grund ist es praktisch ausgeschlossen, die Verschlüsselung zu knacken. Gefahr droht jedoch durch so genannte Trojanische Pferde. Diese kleinen Computer-Programme werden per E-Mail in den PC geschleust und können die gängigen Signier-Programme austricksen.

Den beiden Informatikern Adrian Spalka und Hanno Langweg von der Universität Bonn ist es nach eigenen Angaben bereits mit nur geringem Aufwand gelungen, solche Schadensprogramme zu entwickeln. Die verfügbaren Signaturen sind nur sicher, wenn der Computer nach allen Regeln der Kunst gegen solche Außenangriffe abgeschirmt ist. In Privathaushalten bestehen aber in diesem Bereich viele Lücken. Deshalb richten die Signatur-Programme auf einem Privat-Rechner eher Schaden an, als dass sie nutzen. Hacker können dem ahnungslosen Nutzer Dateien zum Signieren unterschieben, die dann mit dessen elektronischer Unterschrift versehen werden.

Gut geschützte Firmen

Daher lohnt sich die Signatur zurzeit fast ausschließlich für Firmen mit guten Schutzwällen gegen Daten-Manipulationen. Dennoch gibt es auch Angebote für Privatanwender wie etwa das "Signtrust Starterpaket", das inklusive Kartenlesegerät 120 Mark kostet, und der Anbieter Trustcenter, bei dem für die digitale Unterschrift 60 Mark pro Jahr fällig werden. Die Post will darüber hinaus in den nächsten Wochen die nächste Version ihrer Signier-Software herausbringen. Sie soll nach Angaben des Konzerns auch für Privat-PC sicher sein.