Kommt die Ausweispflicht fürs Internet?

Im Rahmen der Anti-Terror-Bekämpfung wird wieder einmal die Einführung eines Passes fürs Netz auf Basis digitaler Zertifikate gefordert

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Anonymität im Netz ist den Strafverfolgern seit Jahren ein Dorn im Auge. Die Verpflichtung zur Nutzung einer personenbezogenen digitalen Signatur als einer Art Identitätsausweis für den Cyberspace könnte das fehlende Puzzlestück im Kontrollszenario sein. Doch Datenschützer warnen vor Risiken und Nebenfolgen, die auch den Ermittlern nicht nur gelegen kommen könnten.

Der Kampf gegen den Terrorismus erstreckt sich immer weiter auch aufs Internet. Nachdem der US-Senat Ende vergangener Woche ein umfangreiches Gesetzeswerk verabschiedet hat, dass dem FBI beispielsweise die Möglichkeit gibt, ohne richterliche Anordnung Emails abzufangen (Link) und das Bundeskabinett hier zu Lande still und leise die Telekommunikations-Überwachungsverordnung (TKÜV) auf den Weg gebracht hat (Bundesregierung segnet Lauschverordnung ab), bringt Christoph Meinel, Leiter des Instituts für Telematik Trier nun auch einen Passzwang fürs Netz ins Spiel. Eine mit einer digitalen Signatur bestückte Ausweiskarte soll dem Professor zufolge verhindern, dass unter falschem Namen Informationen im Internet verbreitet werden.

Der Wissenschaftler stellt sich als Lösung eine "allgemein gültige Chipkarte" vor, "die jeder an seinem Computer mit einem Lesegerät benutzen und damit die Daten signieren kann". Die Bürger hätten dann eine Art Personalausweis für Netz, der mit Hilfe eines Zertifikats die Identifizierung der Anwender sicher stellen soll. Der Chef der bayerischen Staatskanzlei, Erwin Huber, hatte jüngst ebenfalls dafür plädiert, einen Signatur-Chip gleich in den von Bundesinnenminister Otto Schily geplanten neuen Personalausweis zu integrieren.

Signaturen für alle = Verschlüsselung für alles

Die Forderung nach den digitalen Signaturen für alle würde zunächst bedeuten, dass alle Nutzer in Zukunft problemlos ihre Kommunikation verschlüsseln können. Auch im E-Commerce könnten sich Vertragspartner mit Hilfe der elektronischen "Unterschrift" besser gegenseitig "ausweisen". Vor allem für Online-Händler wäre damit mehr Sicherheit gegeben, dass bestellte Waren vom Kunden bezahlt werden.

Im Kampf gegen den Terrorismus könnte sich die flächendeckende Einführung von Verschlüsselungs- und Signierfunktionen allerdings als zweischneidiges Schwert entpuppen: Der angestrebten Verhinderung einer anonymen Netznutzung steht eine zu erwartende Zunahme von verschlüsseltem Datensalat gegenüber, die den Ermittlern das Mitlesen von Emails drastisch erschweren würde.

Im umstrittenen Anti-Terror-Paket Schilys ist daher von einer Einführung einer Ausweispflicht fürs Internet keine Spur zu finden. In einem Interview mit c't hatte sich der Bundesinnenminister im vergangenen Jahr zwar für die "Verbreitung" von Techniken wie der digitalen Signatur ausgesprochen, um "eine verlässliche Identifizierung" von Kommunikationspartnern im Cyberspace zu ermöglichen. Nach dem 11. September ist der Personalausweis fürs Netz allerdings von der Agenda des Innenministeriums herunter gerutscht. Lieber will Schily zunächst für eine bessere Identifikation im physischen Raum sorgen, weshalb er auf die Aufnahme "biometrischer Merkmale" in den Pass drängt.

Pseudonyme sind Trustcentern zu kostspielig

Während einer Diskussionsrunde zum Thema "Rechtssicherheit oder Ende der Privatheit im Netz?" der Heinrich-Böll-Stiftung hatten sich Datenschützer sowie Vertreter der Wirtschaft und der Bundesregierung sogar jüngst in Berlin unisono gegen einen Zwang zur Nutzung digitaler Signaturen ausgesprochen. Eine solche Verpflichtung "würde zu immer mehr personenbezogenen Spuren in der elektronischen Welt führen", warnte Marit Köhntopp vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein vor der Entstehung von Nutzerprofilen. Für nicht erstrebenswert hielt es auch Hannes Federrath, Ingenieur im Bereich Informations- und Kodierungstheorie bei Professor Andreas Pfitzmann an der TU-Dresden, jede Bewegung im Netz "aktenkundig" zu machen.

Für den Informatiker ist allerdings klar, dass die digitale Signatur eine "große Rolle" in zukünftigen "Kontrollszenarien" spielen wird. Die Frage der Willenserklärung mit Hilfe der Verschlüsselungstechnik gerate demgegenüber in den Hintergrund. Federrath fordert daher, dass Signaturkarten mit "ständig wechselbaren" Pseudonymen ausgerüstet werden, die einer pauschalen Überwachbarkeit der gesamten Online-Bewegungen entgegen wirken.

Derlei Visionen werden von Zertifizierungsstellen beziehungsweise Trustcentern, die im Rahmen von Public-Key-Infrastrukturen auch Identitätsprüfungen vor dem Ausstellen von Signierkarten vornehmen, allerdings bislang wenig euphorisch aufgenommen. "Das mit den Pseudonymen haben wir nicht so gerne", erklärt Arno Fiedler, Consultant von d-trust, hinter der die Bundesdruckerei steht. Die Kosten für den Einbau und die Pflege mehrerer "Identitäten" seien enorm. Ein Markt sei dafür bislang auch nicht vorhanden, da der Sinn und Zweck der Signatur ja gerade die "Nicht-Abstreitbarkeit" eines Rechtsvorgangs wie etwa eines Einkaufs sei. Bei d-trust selbst haben bislang erst weniger als 15 Kunden Pseudonyme fürs digitale Signieren beantragt.

Beweislast beim Online-Shopping wird umgekehrt

Die rechtlich nicht mehr angreifbare Geltungskraft der im Signaturgesetz geregelten hochwertigen elektronischen "Unterschriften" ist für Andreas Lehner vom Chaos Computer Club (CCC) allerdings just ein Grund, vor dem unbedachten Masseneinsatz der Technik zu warnen. Die Beweislast bei einem Missbrauch der Signatur werde aufgrund der getroffenen Haftungsregelungen auf den Anwender abgewälzt, was bei den "großen Sicherheitslücken" beim Gebrauch der elektronischen Authorisierungsfunktionen fatal sei.

Echte Sicherheitsmängel bei der digitalen Signatur sieht Klaus Keus, Referatsleiter für "Schlüsseltechnologien" beim Bundesamt für Sicherheit in der Informationstechnik, allerdings nicht. Die bislang erfolgten Attacken mit Trojanern hätten immer "Schwächen von Betriebssystemen" ausgenutzt, womit den Schwarzen Peter vor allem Microsoft trifft. Bis wirklich vertrauenswürdige Computersysteme auf den Markt kommen, vergehen aber mindestens noch vier bis fünf Jahre, glaubt Federrath, der an der TU Dresden an einem entsprechenden Forschungsprojekt beteiligt ist. Bis dahin sei es besser, "nicht zu signieren".

Doch so lang kann und will die Wirtschaft natürlich nicht warten. "Ohne die digitale Signatur ist das Arbeiten im Netz heute vollkommen unsicher", gibt der d-trust-Berater Fiedler zu bedenken. Die Technik sei daher schon jetzt ein unverzichtbares Hilfsmittel im Online-Bereich, auch für die auf ihre Privatsphäre bedachten Nutzer. Die Verantwortung für Unsicherheiten in der Infrastruktur will d-trust deshalb aber noch lange nicht übernehmen: Die Firma verpflichtet ihre Kunden vertraglich, "sichere Systeme" anzuwenden.