Netzpolitik
Digitale Unterschriften mit Sicherheitslücken
Signierprodukte im Kreuzfeuer der Kritik
An der Universität Bonn
haben Forscher Sicherheitslücken in verschiedenen
Signaturprodukten entdeckt. Die Software soll
eigentlich einen sicheren Umgang mit digitalen
Unterschriften im Internet gewährleisten, was die
deutsche Bundesregierung erst im Mai gesetzlich geregelt hat.
Obwohl inzwischen informiert, glänzte das zuständige
Bundesamt durch Inaktivität, berichtet das
IT-Profimagazin iX
in der am 14. Juni erscheinenden Ausgabe 7/01.
Schlechte Aussichten
Die Geburtsurkunde übers Internet, per Mausklick wählen: All das soll der Einsatz von
digitalen Signaturen vor Manipulation schützen. Doch
vorerst müssen diese Ansinnen als gescheitert gelten.
Bereits im September 2000 konnten Forscher an der Uni
Bonn einen so genannten Trojaner programmieren, der
die Sicherheitsvorkehrungen bei verschiedenen Signierprodukten
außer Kraft setzt. Der Computerschädling liest nicht
nur die PIN-Nummer aus, sondern kann ein signiertes
Dokument nachträglich manipulieren. Auch ein zertifiziertes
Produkt konnte durch den eingeschleusten Schädling
überlistet werden.
Kein einziges sicheres Produkt
Die Wissenschaftler haben ihre Ergebnisse erstmals
im Mai diesen Jahres auf einem Kongress des deutschen Bundesamtes
für Sicherheit in der Informationstechnik (BSI)
vorgestellt. Dort berichteten Adrian Spalka und Hanno
Langweg, wie sie im Rahmen ihrer Forschungsarbeit die
von der Deutschen Post AG und der Deutschen Telekom
AG verwendete Software knacken konnten. In ihrem Test
erwies sich nur ein einziges Produkt als resistent
gegen einen Angriff.
Keine Stellungnahme
Die Deutsche Post AG bat zunächst die Wissenschaftler,
das Problem nicht zu veröffentlichen. Im Januar erfuhr
die deutsche RegTP (Regulierungsbehörde für Post und Telekommunikation)
von dem Vorfall und ergänzte Ende Februar ihre Webseiten
um einen Warnhinweis. Das BSI hingegen hatte im Vorfeld
seines Kongresses die Wissenschaftler aufgefordert,
auf die Nennung der Post im Vortrag zu verzichten. Langweg
und Spalka wollten sich darauf nicht einlassen,
anschließend legte das BSI eine zuvor in Aussicht gestellte
Kooperation auf Eis. Gegenüber iX verweigerte das
Bundesamt jegliche Stellungnahme.