Mit dem Entstehen von Kommunikationen zwischen Computern möchten die Benutzer erreichen, dass ihre Gespräche und Transaktionen sicher sind. Die Kryptographie ist der Schlüssel für diese Sicherheit " ( ) In den USA möchte die Regierung die Anwendung der Kryptographie einschränken, weil sie davor Angst hat, dass Kriminelle und Spione sie benutzen." dies wäre ein Rück-schritt für die Demokratie und ein Sieg für den Big Brother."
Donald Rivest, Professor am Massachusetts Institute of Technology und einer der Erfinder des Verschlüsselungsverfahrens RSA. (In : Pour la Science, französische Ausgabe von Scientific American, Juni 1999)
Kann Luxemburg im Bereich der Entwicklung und Vermarktung von sicheren Online-Lösungen eine Rolle spielen? Liegt hier eine mögliche Nische im großen Bereich der Informationstechnologie, in die Luxemburg sich einnisten könnte?
Sicherheit im Internet
Ursprünglich in den USA für militärische und akademische Kommunikationszwecke entwickelt, ist das Internet heute dabei, sich zu einer rund um die Uhr weltweiten Marketingmaschine zu etablieren. Während sich noch intellektuelle Kreise, insbesondere in Europa, Gedanken über den langfristigen Nutzen des Mega-Netzwerkes machen (wird es mehr der Kultur, der Demokratie oder der Wirtschaft dienen?), ist bereits heute sicher, dass das Internet zum Motor des digitalen Kapitalismus" wird, wie Dan Schiller, ein amerikanischer Kommunikationsspezialist, in seinem kürzlich erschienen Buch Digital Capitalism Networking the Global Market System" (MIT Press, 1999) die globalisierte Weltwirtschaft nennt. Ein großes Problem, das es noch zu lösen gilt, ist die Sicherheit der elektronischen Datenübertragung in offenen Netzen. Aus Luxemburger Sicht betrachtet, betrifft dies in erster Linie den Banken- und Finanzbereich, die medizinischen und juristischen Bereiche sowie allgemein den rechtsverbindlichen elektronischen Geschäftsverkehr.
Ein offenes Netz wie Internet wirft viele verschiedene Sicherheitsfragen auf. In dem Moment, in dem man mit seinem ganz privaten Personal Computer (PC) ans Netz geht, konvertiert man diesen gewissermaßen zu einem öffentlichen Computer. Denn elektronische Informationen im offenen Netz sind angreifbar und können mitgelesen werden. Sogar wenn durch aufwendige Verschlüsselungsverfahren die Transmission von Informationen sicher ist, bleiben die Computer, die ans Netz angeschlossen sind, angreifbar. Man hat also Interesse daran, die persönlichen Informationen - besonders solche, die von anderen missbraucht werden könnten (wie z.B. eine Kreditkartennummer, eine elektronische Signatur, etc.) - nicht auf dem Rechner zu speichern, mit dem man ans Netz geht.
Bei Firmen, die mit firmeninternen Netzen (Intranet) arbeiten und bei denen es nötig ist, dass viele Arbeitnehmer Zugang zum offenen Netz (Internet) haben (z.B. für E-mail), ist dies allerdings schwierig. Auf technischer Ebene bieten sogenannte Firewalls und Lock-Keepers einen gewissen Grundschutz.
Damit die elektronischen Transaktionen über das offene Mega-Netz für den Benutzer in Zukunft sicher ablaufen können bzw. um der Cyber-Kriminalität vorzubeugen, dürfen rechtlich-regulative Aspekte dieser Entwicklung nicht fernbleiben.
Der frühere EU-Kommissar Martin Bangemann wird in einer Pressemitteilung der Europäischen Kommission vom Frühjahr 1998 folgendermaßen zitiert: Der elektronische Handel hat das Potential, ein entscheidender Stimulus für die Weltwirtschaft beim Übergang zum neuen Jahrhundert zu werden. Um dieses Potential in Europa realisieren zu können, ist es absolut erforderlich, dass die Transaktionen sicher sind." Damit ist wahrscheinlich auch gemeint, dass die Europäer in der Regel weniger risikofreudig sind als die Amerikaner, wenn es darum geht, ihre Kreditkartennummer in ein offenes, weltweites virtuelles Netz zu senden. Ein kohärenter Rechtsrahmen ist in Europa dringend nötig, wenn der Electronic Commerce zu dem Wirtschaftsstimulus werden soll, der ihm vielerorts vorausgesagt wird.
Die digitale Signatur als A und O für Sicherheit im Internet
Die EU-Kommission und der EU-Ministerrat betrachten digitale Signaturen als wesentliches Element zur Gewährleistung der Sicherheit und des Vertrauens in offene Netze und streben deshalb einen gemeinschaftlichen Rechtsrahmen in diesem Bereich an.
Die Leitidee der vorgesehenen gesetzlichen Regelungen kann folgendermaßen zusammengefasst werden: Der Gesetzgeber möchte den Anwender mit Hilfe von elektronischen Signaturverfahren davor schützen, dass falsche Aussagen über die Identität des Benutzers vermittelt und dass die Authentizität der Information, die über das Netz gesandt wird, verfälscht wird. Dies soll durch eine Kombination von digitaler Signatur, Kryptographie (Verschlüsselung) und Hash-Wert (die nach einem speziellen Verfahren errechnete Quersumme eines Dokuments, die zwecks Prüfung der Integrität der Daten eingesetzt wird) erreicht werden.
Auf diesem Gebiet gelten folgende Erkenntnisse:
Kryptographie sichert Vertraulichkeit, nicht aber Authentizität;
Signaturen sichern Authentizität, aber keine Vertraulichkeit;
Signatur mit Kryptographie zusammen stellen Authentizität und Vertraulichkeit sicher.
Im Informatikbereich gibt es in diesem Zusammenhang bereits heute hoch zuverlässige Verfahren. Eines davon ist die digitale Signatur. Dieses Verfahren beruht auf einem sogenannten Schlüsselpaar: einem privaten, d.h. geheimen, und einem öffentlichen, d.h. allgemein zugänglichen Schlüssel. Das Schlüsselpaar soll durch eine anerkannte, sprich: vertrauenswürdige Zertifizierungsstelle erzeugt und ausgegeben werden. Die von diesen Stellen für die Generierung des Schlüsselpaares eingesetzten technischen Komponenten müssen vor unbefugtem Zugriff geschützt werden. Die Zertifizierungsstellen, auch Trust Centers genannt, sollen in Zukunft sogenannte Schlüsselzertifikate ausstellen, die die Identität des Anwenders unmittelbar mit dem korrespondierenden öffentlichen Schlüssel verknüpfen. Diese Zertifikate sollen in einem allgemein zugänglichen Verzeichnis veröffentlicht werden.
Mit Hilfe eines solchen Zertifikats soll sich im Rahmen der Signaturprüfung zweifelsfrei feststellen lassen, ob der Urheber eines signierten Dokumentes der ist, der er behauptet zu sein. Dies ist beispielsweise bei einem der bekanntesten im Internet etablierten Verfahren, Pretty Good Privacy (PGP), nicht der Fall.
Da Deutschland unter den EU-Mitgliedstaaten auf diesem Gebiet eine Vorreiterrolle übernommen hat (detaillierte Regelung bzg. der digitalen Signatur; Zertifizierungsstelle, die den höchsten Sicherheitsstandards entspricht), orientiert sich dieser Teil des vorliegenden Aufsatzes an den dort gültigen Bestimmungen. Hiernach müssen die zur Erzeugung von Signaturschlüsseln erforderlichen technischen Komponenten so beschaffen sein, dass ein Schlüssel mit an Sicherheit grenzender Wahrscheinlichkeit nur einmal vorkommt und aus dem öffentlichen Schlüssel nicht der private Schlüssel errechnet werden kann".
Der Datenträger mit dem privaten (geheimen) Schlüssel soll in persönlichem Gewahrsam gehalten werden und muss unbedingt vor fremdem Zugriff geschützt werden. Nach den deutschen Bestimmungen muss die Geheimhaltung des privaten Schlüssels gewährleistet sein und er darf nicht dupliziert werden". Wenn man die deutschen Bestimmungen bis zu Ende denkt, kann der Datenträger sich eigentlich nur auf einer Chipkarte befinden. In einer solchen aktiven Chipkarte garantiert ein leistungsfähiger Mikroprozessor die Manipulationssicherheit der zu übertragenden Daten.
Um sich als Eigentümer einer solchen Chipkarte auszuweisen, wird zur Zeit der PIN-Nummer-Mechanismus genutzt. Es ist zu erwarten, dass in Zukunft auch biometrische Verfahren (z.B. Fingerabdruck, Augeniris) für diese Technologie praxistauglich werden.
Digitale Signaturen, die auf einem anerkannten Zertifikat beruhen, sollen in Zukunft handschriftlichen Unterschriften gleichstehen und auch in Gerichtsverfahren als Beweismittel zugelassen werden. Artikel 5 des EU-Richtlinienvorschlags über gemeinsame Rahmenbedingungen für elektronische Signaturen fordert, dass die Mitgliedstaaten dafür sorgen sollen, dass einer elektronischen Signatur die Rechtgültigkeit nicht allein deshalb abgesprochen wird, weil sie in elektronischer Form vorliegt". Mit dem Inkrafttreten des Luxemburger Rahmengesetzentwurfs für elektronischen Geschäftsverkehr, der am 12. März 1999 den Regierungsrat passierte und in dem versucht wird, die Frage der elektronischen Signatur mitzuregeln, wird dies in Luxemburg der Fall sein.
Politisch relevanter High-Tech-Bereich
Auf dem Gebiet der Sicherheit der elektronischen Transaktionen in offenen und geschlossenen Netzen gibt es also noch sehr viel zu regulieren und zu entwickeln. Es gibt bereits heute in einzelnen Sektoren ein großes Interesse für Technologie, die elektronische Transaktionen im Internet sicher gegen Missbrauch macht. Mit zunehmender Bewusstwerdung des Sicherheitsproblems im Internet ist zu erwarten, dass es demnächst eine große Nachfrage nach sicheren Online-Lösungen geben wird. Dies insbesondere in den Branchen, in denen Aspekte wie Vertraulichkeit, Schweigepflicht und Authentizität eine große Rolle spielen: im Bank-, Finanz- und Versicherungswesen, in den medizinischen und juristischen Bereichen, in der Steuerberatung, im Sozialversicherungswesen sowie in der Kommunikation der Bürger und Betriebe mit den öffentlichen Verwaltungen.
Wenn Luxemburg sich die Mittel gäbe, sowohl auf Hochschul- als auch auf privatwirtschaftlicher Ebene diesen Bereich zu fördern, könnte hier ein neues wirtschaftliches Betätigungsfeld für unser Land entstehen.
Politisch betrachtet wäre dies ein wertvoller Beitrag zum Schutz der Privatsphäre, der als ein demokratisches Grundrecht in Artikel 12 der Allgemeinen Erklärung der Menschenrechte festgeschrieben steht und der zur Zeit durch mangelnde Sicherheitsvorkehrungen dem Internet-Benutzer nicht garantiert werden kann. Damit die totalitäre Big-Brother-Vision von George Orwell nicht zur Realität werden kann! Damit die Demokratie nicht definitiv zur Farce wird! Reicht es nicht bereits aus, dass heute hundert Betriebe der (gesamten) Weltwirtschaft ihr Gesetz aufzwingen" (Le Monde, 29. September 1999)?
Zweigleisig fahren : Wissensbasis schaffen und Technologiemarkt anvisieren
Anlässlich einer Sendung im ZDF am 12. September 1999 sagte der sächsische Ministerpräsident Kurt Biedenkopf: Das Geld geht immer zum Wissen, nie umgekehrt." 'Nie' war vielleicht etwas übertrieben, aber man kann sagen, dass in der Regel dort investiert wird, wo sich Know-how befindet, das sich gut vermarkten lässt. Man kann natürlich mit viel Geld einzelne kluge Köpfe punktuell einkaufen", aber, wenn man es nicht fertig bringt, diese Köpfe in eine Wissens- und Forschungsinfrastruktur einzubinden, in der sie ihr Wissen einbringen und weiterentwickeln können, werden sie möglicherweise nur bis zum nächsten besseren Angebot bleiben.
Luxemburg hat dies erkannt, und die neue Regierung möchte nun das Centre universitaire dahingehend reformieren, dass Doktorandenprogramme (3e cycle) in gezielten, wirtschaftsnahen Gebieten angeboten werden. Ein erstes Projekt betrifft - was naheliegt - den Aufbau einer Luxembourg School of Finance. Eine weitere Möglichkeit wäre die Schaffung einer Wissensbasis in dem vom vorliegenden Aufsatz angesprochenen Bereich Sicherheit in offenen und geschlossenen Kommunikationsnetzen". Eleganter ausgedrü-ckt, könnte man sich am Centre Universitaire ein Luxembourg Institute for Advanced Studies in Information Technology vorstellen.
Diese beiden Institute könnten helfen, den Bankenstandort Luxemburg auch in Zukunft zu sichern. Bankgeheimnis und hohe Online-Sicherheitstechnologie können als komplementäre Seiten einer Medaille verstanden werden. Wobei es natürlich klar ist, dass sichere Online-Technologie nicht nur für die Banken relevant ist.
Das Kernstück eines solchen Institute for Advanced Studies könnte ein Professoren-Kollegium sein, das sich aus international anerkannten Spezialisten zusammensetzt, die an bekannten Fakultäten im Ausland lehren. Die Vergabe der Doktortitel könnte eventuell gemeinsam vom Centre universitaire und der Universität des jeweiligen Doktorvaters, der Mitglied des Professoren-Kollegiums sein sollte, vorgenommen werden.
Da der Gesamtbereich Informationstechnologie sehr umfassend ist, sollte bei einem solchen Luxemburger Vorhaben die Betonung auf advanced liegen und vordergründig z.B. die Sicherheitsaspekte in der Informations- und Kommunikationstechnologie anvisiert werden. Hier wären u.a. zu nennen: Verschlüsselungstechnik (Kryptographie); sichere (Geld) Transaktionen im Internet, d.h. im offenen Netz, sowie generell sicherer elektronischer Geschäftsverkehr. An-dere Bereiche könnten sein: Telemedizin, Televerwaltung, elektronisches Publizieren und virtuelle Universität.
Alle hier angesprochenen Bereiche sind, wirtschaftlich gesehen, sehr stark im Kommen. Wer hier Know-how und zuverlässige, d.h. manipulationssichere Technik anbieten kann, wird auf den angesprochenen Märkten vorne mitspielen können, in Europa und darüber hinaus.
Es geht also bei den hier entwickelten Ideen darum, in Luxemburg eine sicherheitstechnologische Kompetenz für den Online-Bereich aufzubauen, die europaweit ihresgleichen suchen wird. Die bisherigen Lösungsansätze, beispielsweise in Bezug auf elektronische Signaturen, siedeln sich auf der unteren Sicherheitsskala an und sind für die sicherheitsorientierten Branchen unzureichend. Da wir in Luxemburg das nötige Know-how nicht in großen Mengen vorfinden, käme man an einem Teil-Erwerb von Know-how außerhalb Luxemburgs nicht vorbei. Einerseits könnten international anerkannte Wissenschaftler vom Centre universitaire rekrutiert werden und andererseits könnte Diplom-Ingenieuren in Informatik, Elektronik oder Physik die Möglichkeit geboten werden, sich für drei Jahre in Luxemburger High-Tech-Firmen, die sich in dem angesprochenen Technologiebereich spezialisieren würden, zu verpflichten und gleichzeitig am Centre universitaire zu promovieren. Ziel müsste es sein, solche hochspezialisierten Fachleute nach der Promotion mit attraktiven Forschungs- und Entwicklungsmöglichkeiten an den Standort Luxemburg zu binden. Über diesen Weg müsste es möglich sein, dass sich Luxemburg mittelfristig in der Sicherheits-Nische" des großen IT-Feldes fest installieren und behaupten kann.
Wie immer, ist eine solche Entwick-lung nur möglich, wenn alle betroffenen Sektoren zusammenarbeiten und sie nicht durch kleinkarierte Konkurrenzängste behindert wird.
Schlussfolgerung
Ob man dies positiv oder negativ beurteilen möchte, eins scheint sich zur Zeit weltwirtschaftlich abzuzeichnen: heute und morgen werden die Märkte alles bestimmen. Nur wer am Markt etwas zu bieten hat, kann dort mitmischen. Ein kleines Land wie Luxemburg hat keine andere Wahl, als sich in bestimmten Bereichen eine solide Wissens- und Kompetenzbasis anzueignen. Dies ist die Voraussetzung dafür, dass auch in Zukunft in Luxemburg investiert wird und dadurch neue Arbeitsplätze geschaffen werden.
Die Zukunft hat längst begonnen und der längst florierende und zukunftsträchtigste Geschäftsbereich ist zweifelsohne die Informationstechnologie. Die Nische, in die sich Luxemburg hier noch einnisten kann, ist die Sicherheitstechnologie. Nur haben auch viele andere dies erkannt. Eine effiziente und unkomplizierte Kompetenzbündelung sowie kurzfristiges wirtschafts- und hochschulpolitisches Handeln sind angesagt.
Der Autor ist Koordinator eines High Security Online-Projektes