Neues Gesetz zur Elektronischen Signatur begünstigt Scharlatane und verwässert den Verbraucherschutz Presseerklärung von Prof. Dr. Klaus Brunnstein Universität Hamburg brunnstein@informatik.uni-hamburg.de (Freitag 16. Februar 2001) "Die vom deutschen Bundestag jüngst verabschiedete Gesetzesnovelle zur elektronischen Signatur stellt einen gravierenden Rückschritt gegenüber der 1997 beschlossenen Regelung dar", stellte der Hamburger Informatiker und Fachmann für IT-Sicherheit, Prof. Dr. Klaus Brunnstein in einer Stellungnahme fest. Durch die Aufweichung der seinerzeit beschlossenen strikten Regeln zur Zertifizierung von Stellen, welche elektronische Signaturen vergeben dürfen, werden künftig diejenigen Firmen begünstigt, die entweder die Prüfungen durch die akkreditierten Prüflabors und die zuständige Regulierungsbehörde nicht bestanden oder von vornherein mangels Aussicht auf eine Anerkennung diese gar nicht erst beantragt hätten. Brunnstein, der seit 1988 den (in Deutschland bisher einzigen) 4-semestrigen Kurs über Rechner- und Netzsicherheit an der Universität Hamburg anbietet und ein Labor für die Analyse von bösartiger Software und Hackerangriffen betreibt, bedauert vor allem, dass der Bundestag bislang keinerlei Anforderungen an die Systeme gestellt hat, auf denen Zertifikate erzeugt und verwaltet bzw. elektronische Signaturen erstellt und geprüft werden. "Es muss doch inzwischen jedem Politiker klar sein," sagte Brunnstein, "dass die heutigen PCs von Firmen und Kunden allzu leicht Opfer von Netzangriffen sind. Viren und andere Formen bösartiger Software wie Trojanische Pferde können die Verfahren der elektronischen Unterschrift leicht unterlaufen und auch elektronische Unterschriften fälschen." Auch seien keine Vorkehrungen zum Schutz der Firmenrechner gegen Dienstverweigerungsangriffe gefordert. Damit sei dem kriminellem Missbrauch von elektronischem Banking und elektronischem Handel (e-Banking, e-Commerce) gesetzmässig Tür und Tor geöffnet. Als besonders ärgerlich bezeichnet es der Hamburger Informatiker, dass interessierte Firmen der IT-Industrie, welche wesentlich als Berater beim Zustandekommen dieses Gesetzes beteiligt waren, die Öffentlichkeit über die Risiken hinwegtäuschten. "Behauptungen von Firmenvertretern, die Verfahren der elektronischen Signatur seien sicher, beruhen entweder auf Unkenntnis von Angriffstechniken oder sind bewusste Täuschungsmanöver", bemerkte Brunnstein. Darüber hinaus seien zahlreiche Probleme der elektronischen Signaturen - etwa die sichtbare Signaturprüfung durch Verbraucher oder Verfahren zum Widerruf ungültiger Schlüssel - keineswegs gelöst oder ausgereift. Abschliessend riet Brunnstein den Verbrauchern, von der Nutzung einer elektronischer Signatur vorerst abzusehen. "Dieses Gesetz nutzt nur Geschäftemachern, die Interessen der Verbraucher an einer beherrschbaren Technik werden durch das Gesetz nicht geschützt". Brunnstein hält es für möglich, dass die vermeintliche Liberalisierung in der Informationswirtschaft zu einer Art "BSE-Effekt" führen werde: "Die Politiker, die bereits die Fehlentwicklungen der Agrarindustrie zu verantworten haben, täuschen auch hier die Verbraucher über die von vornherein bekannten Risiken hinweg. Dies ist eine schwere Hypothek für die Informationsgesellschaft", sagte der IT-Sicherheitsexperte abschliessend.