Upload
dangduong
View
218
Download
1
Embed Size (px)
Citation preview
Walter Fumy/Gisela Meister/ Manfred Reitenspief)/Wolfgang Schafer (Hrsg.)
Sicherheitsschnittstellen - Konzepte, Anwendungen und Einsatzbeispiele
Walter Fumy IGisela Meister IManfred ReitenspieB/Wolfgang Schafer (Hrsg.)
Sicherheitsschnittstellen - Konzepte, Anwendungen und Einsatzbeispiele Proceedings des Workshops Security Application Programming Interfaces '94 am 17.-18. November 1994 in Munchen
~ SPRINGER FACHMEDIEN WIESBADEN GMBH
ClP-Titelaulnahme der Deutschen Bibliothek
Sicherheitsschnittstellen : Konzepte, Anwendungen und Einsatzbeispiele ; proceedings des Workshops Security Application Programming Interfaces '94 am 17 - 18. November 1994 in Munchen / Walter Fumy, .. (Hrsg.). - W iesbaden: DUV, Dt. Univ.-Verl., 1994
(DUV : Inlormatik) ISBN 978-3-8244-2059-9 ISBN 978-3-663-06728-3 (eBook)
DOI 10.1007/978-3-663-06728-3 NE: Fumy, Walter [Hrsg.]; Workshop Security Application
Programming Interfaces < 1994, Munchen>
© Springer Fachmedien Wiesbaden 1994 UrsprOngtich erschienen bei Deutscher Universităts-Verlag 1994
Dos Werk einschlief3lich oller seiner Teile ist urheberrechtlich geschutzt. Jede Verwertung ouf3erhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzuI.ăssig unc.J stralbor. Dos gilt insbesoneJere fur Vervielfăltigungen, Ubersetzungn, Mikroverfilmungen und eJie Einspeicherung und Verarbeitun~ in elektronischen Systemen.
Gedruckt auf chlorarm ~ebleichtem unc.J s,"'urefreiem Popier
Inhalt
Vorwort 7
Begriillung: H. Peuckert, D. Weber 11
Schnittstellendesign
Sicherheitsschnittstellen und formale Software-Entwicklung 21 K-W SchrOder. F. Koob. M Ullmann
Evaluationen von Security APIs 31 R. Baumgart. F. Beuting
Designmethoden fur kryptographische Schnittstellen und deren Subsysteme 37 0. Pfaff
Konzept und Realisierung einer allgemeinen Key Management Schnittstelle 51 M Munzert
Sicherheitsschnittstellen in verteilten Systemen
Security API in Client-Server-Systemen mit rollenbasierter Zugriffskontrolle 63 P. Alles. Th. Hueske. L. Marinos
CryptoManager - Eine intuitive Programmierschnittstelle fur 79 kryptpographische Systeme Th. Baldin, G. Bleumer. R Kanne
X/Open and Security 95 H. -J. Seidel
GSS-API Implementierung fur X.509 Strong Authentication 101 KLukas
Security-API in SecuDE 109 H. Giehl
5
6
Security-API eines Sicherheits-Moduls fur den Einsatz in heterogenen Rechnerumgebungen N Pohlmann
Smart Card APIs im Einsatz am Beispiel der ST ARMOD API P. Federspiel
Sicherheitsschnittstellen im Banken- und Telekombereich
125
141
Kryptographisches Application Programming Interface 157 U Korte
TeleTrusT Security API - Aufgabe der TeleTrusT-Arbeitsgruppe 167 , Anwendungen' K. Maier
Eine Sicherheitsplattform fur zukiinftige Telekommunikationsanwendungen 179 und -dienste M Gehrke
Secure Common ISDN Application Programming Interface (S-CAPI) 195 D. Fox, Ch. Ruland
Vorwort
Security Application Programming Interfaces '94
Motivation und Ziele
Die Entwicklung von Sicherheitstechniken in informationstechnischen Systemen (IT-Systemen) machte in den letzten Jahren groBe Fortschritte. So stehen inzwischen Sicherheitsfunktionen in Betriebssystemen standardmiiBig zur Verfiigung. Funktionen in Datenbanksystemen oder in verteilten Systemen haben ebenfalls Einsatzreife. Auch in informationstechnischen Anwendungen, z. B. im elektronischen Zahlungsverkehr werden Sicherheitsfunktionen genutzt. SchlieBlich kann im Bereich der eingesetzten lcryptographischen Mechanismen von einer Konsolidierung gesprochen werden.
Es war deshalb an der Zeit, ein Diskussionsforum zu schaff en, um Programmierschnittstellen (Application Programming Interfaces, APIs), mit denen IT-Sicherheitsmechanismen zur Verfiigung gestellt werden, zu sichten und aufihre Einsetzbarkeit und Interoperabilitat zu untersuchen.
Der im November 1994 erstmalig durchgefiihrte Workshop "Security Application Programming Interfaces" (Security APIs) ist ein solches Forum zum Erfahrungsaustausch von Experten auf dem Gebiet von Sicherheitsprogrammierschnittstellen. Er dient u. a. dazu, eine Brucke zwischen Forschung, Entwicklung und Anwendung von Sicherheitsschnittstellen zu schlagen.
Programm
1m Rahmen des zweitiigigen Workshops werden in Form von Vortragen, Statusberichten und Diskussionen wesentliche Aspekte von Security APIs untersucht.
Schnittstellenkonzepte und Schnittstellendesign
K-W. SchrOder, M. Ullmann und F. Koob erlautem, wie Programmierschnittstellen fur sicherheitskritische Anwendungen mit dem Verification Support Environment (VSE) entwickelt werden konnen. Da die Bereitstellung von evaluierten sicheren Systemen eine immer wichtigere Rolle einninnnt, stellen R. Baumgart und F. Beuting Gedanken zur Evaluation von Sicherheitsschnittstellen VOT. Entwurfsmethoden fur lcryptographische Schnittstellen und ihre Subsysteme werden von O. Pfaffuntersucht. Insbesondere beschreibt er ein Konzept zur Realisierung des Schliisselmanagements und der Zugriffskontrolle auf die Schliissel. SchlieBlich geht M. Munzert aufDesignkriterien fur das Schliisselmanagement in verteilten Systemen ein.
7
Sicherheitsschnittstellen in verteilten Systemen
Ein Sicherheitsmodell fUr eine Client-Server-Umgebung, das kryptographisch geschlitzte Identifikations- Authentikations- und Rollen-Information eines Benutzers als Basiselemente zur Erfiillung der Sicherheitsanforderungen verwendet, stellen P. Alles und T. Hueske vor. Der Cryptomanager, vorgestellt von T. Baldin, G. Bleumer und R. Kanne, ist eine Softwarebibliothek fUr kryptographische Verfahren, die die Entwurfsziele individuell skalierbare Sicherheit, intuitive Verwendbarkeit, Effizienz, Wartbarkeit, Erweiterbarkeit und reiches Angebot kryptographischer Mechanismen verfolgt. Zu den verstiirkten Anstrengungen bei X/Open zur Standardisierung von Sicherheitsstandards gibt H.-J. Seidel einen Uberblick. K. Lukas erliiutert Sicherheitserweiterungen fUr den X.500 Directory Service, womit das Strong Authentication Protocol gemiifi dem CCITT X.509 Authenication Framework implementiert wird. Als Anwendungsschnittstelle zwischen dem Directory Service und den Sicherheitserweiterungen wurde das in Standardisierung befindliche Generic Security Service Application Programming Interface (GSS-API) gewiihlt. Die Abstraktionsschichten der im Sicherheitstoolkit SecuDE implementierten Sicherheitsschnittstellen werden von H. Giehl erliiutert. N. Pohhnann stellt anhand des Sicherheitssystems Transaction Security System (TSS) exemplarisch dar, wie ein Security-API eines Sicherheitsmoduls fUr den Einsatz in heterogenen Rechnerumgebungen konzipiert werden kann. AbschlieBend beschreibt P. Federspiel das STARMOD Security API, welches die Verbindung zwischen der Chipkartenwelt und der Anwendungsprogrammierung darstellt.
Sicherheitsschnittstellen im Banken- und Telekombereich
U. Korte beschreibt die Konzeption eines herstellerunabhiingigen, anwendungsund systemplattformneutralen Krypto-API. Dabei werden die Architektur, die Schnittstellen und die bereitgestellten Dienste des Krypto-API erliiutert und die Einbindung in die Anwendungsarchitektur der Sparkassen dargestellt. K. Maier berichtet liber das TeleTrusT Application Programming Interface ais Aufgabe der TeleTrusT Arbeitsgruppe "Anwendungen". M. Gehrke stellt eine Sicherheitsplattform fUr zukiinftige Te1ekommunikationsanwendungen und -dienste vor. Dazu identifiziert er Anforderungen an eine Sicherheitsplattform unter Berucksichtigung der Entwicklungen in der Telekommunikation und Informationstechnologie, beschreibt neue Konzepte und Bausteine zur Umsetzung dieser Anforderungen und diskutiert deren Integration in Anwendungen und Dienste in Form einer generischen SicherheitspIattform. Das Projekt Secure Common ISDN Application Programming Interface (S-CAPI), vorgestellt von D. Fox und Ch. Ruland, verfoIgt das Ziel, rechnerbasierte ISDN-Kommunikationslosungen transparent mit kryptographisch starken Schutzmechanismen auszustatten. Zu diesem Zweck wurden Sicherheitsmechanismen zur Modifikationserkennung, Authentisierung und Vertraulichkeit fUr eine gesicherte ISDN-Kommunikation spezifiziert.
8
Danksagungen
Viele Hiinde haben zum Gelingen dieses Workshops beigetragen. So ist zunachst den Mitgliedem des Programmkomitees R Grimm, F.-P. Heider, A. Pfitzmann und K Rihaczek fur ihre fachkundige Unterstiitzung des Organisationskomitees bei der Auswahl der eingegangenen Beitrage zu danken. Die Fachgruppe 2.5.3 VerliiBliche Infonnationssysteme (VIS) der Gesellschaft fur Infonnatik und die TeleTrusT Deutschland e.V. stellten den organisatorischen Rahmen des Workshops bereit. Die vertrauensvolle Zusammenarbeit mit dem Vieweg-Verlag solI ebenfalls hervorgehoben werden, ohne die die vorliegende Publikation nicht harte erstellt werden konnen. SchlieBlich mochten sich die Mitglieder des Organisationskomitees bei ihren jeweiligen Arbeitgebem und Vorgesetzten bedanken, die ihnen die Moglichkeit zur Vorbereitung und Durchfiihrung des Workshops gaben.
Miinchen, September 1994 Walter Fumy Gisela Meister Manfred ReitenspieB Wolfgang Schafer
9
Dr. Heribert Peuckert SiemensAG
Begrii8ung
Schwerpunkte der Informationssicherheit im Hause Siemens
Information, in ihrer vielfaltigen Auspragung, wird zu einer immer wichtigeren
Saule unserer Geschaftstatigkeit. Die richtige Information zur rechten Zeit am
rechten Ort ist oft ausschlaggebend fur den Erfolg unseres U nternehmens. Der Einsatz moderner Informationstechnik im Buro und in der Fertigung sichert uns
einerseits die notwendige Produktivitat, macht uns andererseits aber auch
zunehmend abhangig von der Verfugbarkeit der Systeme sowie der Korrektheit
und U nversehrtheit der dort gespeicherten Informationen.
In Zahlen heiBtdas: 55% der 220.000 Buroarbeitsplatze im Unternehmen sind mit
Bildschirmen ausgestattet, wobei der Trend zu intelligenten, vernetzten Arbeits
platzsystemen unvermindert anhalt. Die Wachstumsrate fur PCs und Work
stations liegt seit J ahren immer uber 20 %, wahrend die Zahl der nicht intelli
genten Terminals sinkt. Aus diesen Zahlen ist erkennbar, daB die Durchdringung
unserer Arbeitsplatze mit Informationstechnik rasch voranschreitet und immer
mehr Geschaftsvorgange mit lnformationssystemen bearbeitet werden.
Nach der Mobilitat der Computer in Gestalt von Laptops und Notebook-Rechnern
kommtjetzt die Mobilitat der Kommunikationsdienste. Mit den Mobiltelefonen
wurde der Anfang gemacht. Es wird nicht mehr lange dauern, bis die N otebook
Rechner uber eingebaute Sender die Mobilfunknetze erreichen und so drahtlos
mit einer Vielzahl von anderen Rechnern kommunizieren konnen.
Offene Systeme und Netze (offen im Gegensatz zu proprietaren Systemen einzel
ner Hersteller) fordern die Tendenz zur Vernetzung der Arbeitsplatzrechner.
Auch Externe - Partner, Kunden, Lieferanten - bekommen zur Beschleunigung
und Vereinfachung des lnformationsflusses AnschluB an unsere Rechnernetze.
Die technischen Entwicklungen auf dem Gebiet der Datenverarbeitung und die
Tatsache, daB es immer Menschen sind, die mit dieser Technik umgehen mussen,
stellen groBe Herausforderungen an die Informationssicherheit. Zu ihren Zielen
gehort es, Informationen vertraulich zu erhalten und deren Integri tat, das heiBt deren Richtigkeit und Vollstandigkeit, zu sichern. Ein wei teres Ziel der Informa
tionssicherheit ist die Gewahrleistung der Verfugbarkeit von Informationen und
Informationssystemen, urn letzlich Schaden zu verhindern, bzw. die Schadens-
11
hahe zu begrenzen. 1m folgenden einige Worte zur Bedeutung dieser drei Ziele fur
unser Haus:
• Vertraulichkeit von Informationen hei13t, sie vor dem ZugriffUnberechtigter
zu schutzen. Wirtschaftsspionage hat auch in Europa in den letzten Jahren
weiter zugenommen. Hierin sind sich aJle Experten einig. Das Haus Siemens
ist aufgrund seiner fiihrenden SteJlung auf dem Gebiet der Forsehung und
Entwicklung und seiner bedeutenden Marktposition ein potentielJes Angriffs
objekt. Verlust von Firmen-Know How an unsere Konkurrenz kann unseren
technologischen Vorsprung oder unsere Marktchancen gefahrclen.
• Die Integritat von Informationen wird durch viele Risiken bedroht.
Computerviren sind nur ein Beispiel fUr Bedrohungen cler Richtigkeit und
Vollstandigkeit unserer Informationen. Inzwischen sind auch Faile bekannt,
bei denen durch Manipulation an Daten und Programmen gezielt Schaden
verursacht worden ist. Verfalschte Daten, gekoppelt mit der weitverbreiteten
N eigung, Informationen aus dem Rechner "blind" zu vertrauen, fuhren leicht
zu falschen Entscheidungen, insbesondere unter Zeitdruck. Die Konsequenzen
fUr den Geschaftserfolg kannen gravierend sein.
• Eine hohe VerfUgbarkei t der Informationen und der Informa tionssysteme ist
eine wesentliche Voraussetzung guter Produktivitat. Jeder Veri ust von
Informationen,jeder Stillstand betriebsnotwendiger Informationssysteme
verringert zwangslaufig den Output der betroffenen Stellen. 1m Rahmen der
Untersuchung von Ablaufen und Geschaftsprozessen in Procluktivitatspro
grammen oder Revisionen mussen deshalb aueh die Aspekte der Verfugbarkei t
und Zuverlassigkeit von Informationsstramen und Informationssystemen
beriicksichtigt werden.
Der immer harter werdende Wettbewerb zwingt uns, die Sicherung des geistigen
Eigentums des Unternehmens zu intensivieren, urn unsere Marktposition nicht
zu gefahrden. Informationssicherheit ist eine Voraussetzung zur Erreichung
unserer strategischen U nternehmensziele. Ma13nahmen zur Gewahrleistung der
Informationssicherheit sind dabei bisher insbesondere darauf gerichtet, Schaden
fur das Haus Siemens zu vermeiden. Sie sind cleshalb als eine Investition zur
Zukunftssicherung zu betrachten.
Eine ausschlie13lich nach innen gerichtete Sieht der Informationssicherhei t wird
allerdings den Anforderungen des Marktes heute nicht mehr gerecht. Informa
tionssicherheit wird von unseren Kunden sowohl als integrierter Bestandteil
unserer Produkte als auch als Teil unserer Geschaftsprozesse verlilngt.
12
Der Informationssicherheit (IS) wird daher im Hause Siemens ein hoher Stellen
wert eingeraumt. Ab 1990 erfolgte die Ausarbeitung von IS-Grundsatzen, die
Herausgabe eines verbindlichen IS-Regelwerkes und der Aufbau der IS
Infrastruktur mit Beauftragten und Verbindungsleuten im Inland und im
Ausland. Das IS-Regelwerk wird laufend erganzt und ist in einer Auflage von von
mehreren Tausend Stuck im Hause eingesetzt. Mehrere Hunderttausend
Exemplare von Broschuren und Merkblattern sind an die Mitarbeiter verteilt
worden.
Die Umsetzung der in diesem Regelwerk geforderten MaBnahmen erfordert auch den Einsatz von Sicherheitsprodukten. Eine ganze Reihe solcher Produkte entwickeln, fertigen und vertreiben wir selbst. Beispiele fUr derartige
Produktgruppen sind:
• Bauelemente (Kryptochips, Kryptochipkarten)
• Endgerate (Kryptotelefon, Kryptofax, Kryptobox fUr Datennetze)
• Kommunikationsnetze ( Mobilnetze, Intelligente Netze, Securitymanagementl
• Datenverarbeitung (sichere Betriebssysteme, Zugangskontrollsysteme,
Sicherheitsdienste, multifunktionale Chipkarten)
• Automatisierungssysteme (Personenidentifikation, Abstrahlsicherheit,
Sichere LANs) • Anlagentechnik (Gebaudesicherheit, Zutrittskontrolle)
Einige dieser Produkte sind speziell zur Gewahrleistung einer hohen Informa
tionssicherheit entwickelt worden wie z.B. die Kryptoendgerate und Kryptochips.
Uberwiegend handelt es sich in dieser Aufstellung aber urn bestehende Produkte,
die urn Sicherheitsfunktionen erweitert wurden. GenerelilaBt sich feststellen, daB es nur in Ausnahmefallen das "Produkt Sicherheit" gibt. Der breite und
wesentlich wichtigere Markt ist derjenige der sicheren Produkte.
Sicherheit entwickelt sich zu einer Basisfunktion der modernen Informations
technik. Sicherheitsfunktionen mussen im Kern einer Systemarchitektur
verankert sein, preiswert realisierbar und einfach zu bedienen sein. In kunftigen
Produkten der Informationstechnik mussen Sicherheitsfunktionen konzeptionell
bereits von Anfang an einbezogen werden. Das bedeutet aber auch, daB
Sicherheitskonzepte bereits in die Standards fur Neuentwicklungen einflieBen
mussen, damit kunftig weltweit eine gesicherte Kommunikation uber offene
N etze zwischen verlaBlichen Systemen unterschiedlicher Hersteller stattfinden kann. Fruhzeitige Forschungsarbeiten auf diesem Gebiet sind notig, damit
13
Sicherhei t mi ttelfristig zu einem in tegralen Bestandteil kunftiger N etze und
Systeme werden kann.
Unsere Unternehmensbereiche sind fUr die Entwicklung ihrer Produkte verantwortlich, also auch fUr die Integration von SicherheitsmaBnahmen in ihre
Systeme und Netze. In der Zentralabteilung Forschung und Entwicklung ZFE
kl1mmern wir uns urn die Zukunftskonzepte zur Informationssicherheit und deren
Integration in die Produkte von morgen. In einigen unserer Projekte entwickeln
wir auch direkt im Auf trag der Bereiche maBgeschneiderte Sicherheitslosungen,
die nicht extern zu beziehen sind. Unser breites Sicherheits-Know-how und die
uns zur Verfugung stehendenTools ermoglichen die schnelle Entwicklung von strategischen Schlusselkomponenten fur Produkte dieser Bereiche.
Wir haben uns durch unsere kompetenten Mitarbeiter und deren hervorragende
Projektergebnisse eine anerkannte Forschungskompetenz im Hause erworben.
Wir belegen eine fUhrende Position bei deutschen und europaischen Forschungs
projekten und arbeiten aktiv mit bei der weltweiten Standardisierung zur IT
Sicherhei t.
Die Schwerpunkte unserer FuE-Arbeiten liegen einerseits in der vorausschau
enden Entwicklung von Basistechniken wie z.B. Algorithmen, Methoden und
Kryptokomponenten und andererseits in der Integration der Konzepte und
Losungen in kunftige Netze, Systeme und Anwendungen. Unsere Projekte
betreffen:
• Kryptographische Verfahren • Entwicklungsmethodik fUr sichere IT-Systeme
• N etzsicherhei t fur die Mobil- und Brei tbandkommunika tion
• Sichere Telekooperation • Risk Management und Sicherheitsmanagement
• Sicherheitsberatung
In diesen Projekten haben wir uns sehr hautnah mit den Sicherheitsschnittstellen
zu beschaftigen. Das ist erforderlich, damit unsere Sicherheitskonzepte und
Sicherheitsmodule in die Produkte des Hauses integrierbar sind und fUr die im
Vordergrund stehenden offenen Netze und Systeme passen. Die drei Beitrage von
Siemens ZFE auf diesem Workshop zeigen die Wichtigkeit von Security APIs fUr
unsere Arbeiten und berichten detaillierter uber die gewonnenen Erfahrungen.
14
Dr.-Ing. Dieter Weber DATEVeG Vorsitzender des Vereins TeleTrusT Deutschland e.v.
Die Bedeutung von Sicherheitsschnittstellen fUr die Praxis
Der Verein TeleTrusT Deutschland e.V. hat die Forderung vertrauenswiirdiger Informations
technik zum Ziel. Zu diesem Zweck haben sich Technologieanbieter, Softwarehiiuser, An
wendergruppen sowie staatliche und wissenschaftliche Institutionen zusammengeschlossen.
Die Mitglieder von TeleTrusT sehen in der weiteren Verbreitung von Informationstechnik und
in der ErschlieBung neuer Anwendungsfelder fUr den deutschen Wirtschaftsraum eine groBe
Chance, im internationalen Wettbewerb Vorteile zu erzielen. Zum einen konnen mit dem Ein
satz von Informationstechnik weitere Rationalisierungspotentiale zur Optimierung von Ko
stenstrukturen genutzt werden. In zunehmendem MaBe steht aber ein weiterer Aspekt im Vor
dergrund. Die Fiihigkeit, flexibel und schnell auf die Erfordernisse des Marktes reagieren zu
konnen, ist inzwischen weltweit zum bestimmenden Wettbewerbsfaktor geworden. Mit der
Reorganisation ihrer Geschiiftsprozesse erhOhen einige Unternehmen bereits erfolgreich ihre
Flexibilitiit. Die groBten Optimierungspotentiale liegen jedoch dort, wo ProzeBketten iiber
Unternehmensgrenzen hinweg unter Einbeziehung von Lieferanten und Kunden betrachtet
werden.
Die Konzentration auf das eigene Kerngeschiift und die daraus resultierende Verlagerung von
Teilaufgaben auf Zulieferer und Subunternehmer sowie die enge Einbeziehung des Kunden in
die eigenen Unternehmensprozesse erfordern aber zwangsliiufig neue und effiziente Formen
der Kommunikation zur Abwicklung der gemeinsamen Geschiiftsbeziehungen. Deshalb werden
auf elektronischem Weg neben reinen Produktionsdaten zunehmend Informationen mit recht
lich verbindlichem Charakter ausgetauscht. Die Bestellung bzw. der Abrufvon Waren, die
Ubermittlung von Rechnungen oder der elektronische Zahlungsverkehr sind giingige Beispiele.
Auf dem Weg von der klassischen Datenferniibertragung zur modernen Telekooperation wer
den allerdings auch die gegenwiirtig noch vorhandenen Risiken und Grenzen deutlich sichtbar.
So ist zum Beispiel die eigenhiindig unterschriebene Urkunde aufPapier in der Rechtsprechung
15
eindeutig und sicher verankert, fUr die Willenserkliirung, die nur in elektronischer Form vor
liegt, fehlen jedoch entsprechende juristische Rahmenbedingungen. Im Umgang mit einem
Krankenschein oder einem iirztlichen Rezept sind Arzte, Patienten und Apotheker vertraut, die
Krankenversicherungskarte und vor allem die zukiinftige Patientenchipkarte werfen dagegen
vollko=en neue Verfahrensfragen auf Oder wenn zunehmend KaufVertriige tiber das Fem
sehgeriit oder den PC im Privathaushalt abgeschlossen werden und einer der Vertragspartner
spiiter das Zustandeko=en des Vertrages Ieugnet, dann stellt sich auch hier die gieiche Frage
wie bei allen anderen Anwendungen, bei denen giingige Verfahren durch elektronische Vor
giinge abgelost werden:
Welche technischen, organisatorischen und rechtlichen Rahmenbedingungen miissen geschaf
fen werden, um die elektronischen Verfahren genau so sicher, zuverliissig, rechtlich verbind
lich und damit vertrauenswiirdig werden zu lassen wie die" klassischen" Verfahren. die sie
ersetzen?
Solange solche Rahmenbedingungen fehlen, unvollstiindig oder in der Praxis nicht etabliert
sind, solange werden neue und effiziente elektronische Verfahren den bestehenden nicht
gieichgesetzt werden konnen. Wenn aber neben dem elektronischen Procedere zur rechtlichen
Absicherung auch noch das klassische abgewickeit werden mull, ko=t der eigentlich beab
sichtigte Nutzen nicht voll zum Tragen. Das ist einer der Griinde, weshalb ganze Benutzer
grnppen gegenwiirtig noch zogem, in ihrem beruflichen Umfeid in neue Anwendungen zu in
vestieren.
Es liegt deshalb im gemeinsamen Interesse der Mitglieder des Vereins TeIeTrusT, die juristi
schen, organisatorischen und technischen Rahmenbedingungen zu schaff en, um einerseits die
weitere Verbreitung von Informationstechnik zu fOrdem und um andererseits die damit ver
bundenen Risiken sicher beherrschen zu konnen.
1m Rahmen dieser Zieisetzung beschiiftigt sich TeIeTrusT intensiv mit der digitalen Signatur,
da sie ais Basismechanismus geeignet ist, die geforderten Rahmenbedingungen zu realisieren.
Als technisches Medium zur Implementierung bietet sich die Chipkartentechnologie an. Tech
nische Komponenten, Algorithmen zur digitalen Signatur und prototypische Anwendungen
sind inzwischen relativ gut ausgereift, ihre Verbreitung und Nutzung beschriinkt sich gegen
wiirtig aber weitgehend auf dedizierte Anwendungen in geschlossenen Benutzerkreisen.
16
Die Herausfordenmg besteht nun darin, die digitale Signatur als allgemeingiiltigen Basisme
chanismus in offenen Systemen zu etablieren. Das kaun allerdings nur daun gelingen, weun
Hardwarelieferanten, Systemsoftwareanbieter und Anwendungsentwickler standardisierte
Schnittstellen vorfinden, auf denen sie ihre Produkte aufsetzen konnen. Deshalb spielen die
sogenaunten APIs eine zentrale Rolle fur die weitere Verbreitung von vertrauenswiirdiger In
formationstechnik in offenen Systemen. APIs werden dieser Rolle allerdings nur daun gerecht,
weun sie einen Marktstandard realisieren, d.h. von allen bedeutenden Hardware- und Soft
wareanbietem unterstiitzt werden.
Die gemeinsame Veranstaltung der Gesellschaft fur Informatik und des Vereins TeleTrusT
bietet eine herausragende Chance, einen Beitrag zur Etablienmg solcher Standards zu leisten.
Die hier praktizierte Kooperation von Industrie, Interessenverbanden, Systemhiiusem und wis
senschaftlichen Institutionen schaffi sehr gute Voraussetzungen, rnarktgerechte Standards zu
definieren und damit einen wesentlichen Beitrag zur weiteren Verbreitung von sicherer, ver
bindlicher und vertrauenswiirdiger Informationstechnik zu leisten.
1m Namen des Vorstandes von TeleTrusT Deutschland e.Y. wiinsche ich deshalb der Veran
staltung viel Erfolg.
17