Auch der Nutzer trägt Verantwortung

"Beim e-commerce sollten die Sicherheit und die Rechtsverbindlichkeit der angewandten Verfahren an erster Stelle stehen." Prof. Klaus Rebensburg

Einkaufen übers Internet, Kommunikation über E-Mail - im Informationszeitalter scheinen solche Vorgänge anonym abzulaufen. Ein PC genügt, und schon kann man die eigenen vier Wände per Mausklick verlassen. Doch auch in der virtuellen Welt müssen die Kommunikations- oder Vertragspartner identifizierbar sein.

Wie das sogenannte e-commerce funktioniert und wie sicher es ist, das fragte TU intern den IuK-Beauftragten der TU Berlin, Prof. Klaus Rebensburg.

Herr Rebensburg, e-commerce ist ein Begriff, der in den vergangenen Jahren populär geworden ist. Was verbirgt sich hinter diesem Schlagwort?

Allgemein gesprochen handelt es sich um die Verlagerung von Vorgängen wie Kauf und Verkauf auf Basis rechtsgültiger Verträge, die bisher schriftlich auf Papier oder von Angesicht zu Angesicht getätigt worden sind, ins Internet. Solche Kaufvorgänge laufen, zumindest oberflächlich betrachtet, anonym, die Identität der Beteiligten bleibt scheinbar verborgen. Geschäfte im Internet bedürfen daher besonderer Regeln und Verfahren.

Welche Regeln sind für das e-commerce unabdingbar?

Beim e-commerce sollten die Sicherheit und die Rechtsverbindlichkeit der angewandten Verfahren an erster Stelle stehen. Dazu gehören: die Vertraulichkeit der Kommunikation, die Integrität der Informationen bzw. Daten, die Authentizität von Information und Urheber, die Beweisbarkeit der Herkunft bzw. des Empfangs. Für die Datenübermittlung gibt es heute sichere Verfahren wie etwa SSL (secure socket layer) oder SET (secure electronic transfer), damit nicht, um ein Beispiel zu nennen, bei Zahlvorgängen mit einer Kreditkarte deren Daten abgegriffen und missbraucht werden. Die Authentizität der Benutzer sowie die Nachweisbarkeit und damit die Rechtsverbindlichkeit eines Vorgangs können durch den Einsatz einer digitalen Signatur garantiert werden.

Was ist eine digitale Signatur?

Die digitale Signatur ist die rechtsgültige individuelle Unterschrift eines Computernutzers, die es ihm ermöglicht, persönliche Informationen als Absender zu unterzeichnen.

Sie basiert auf einer Public-Key-Verschlüsselung. Der Urheber des Schriftstückes unterschreibt mit seinem (nur ihm zugänglichen) privaten Schlüssel, in der Regel ein Zahlencode, der Empfänger der Nachricht kann mittels eines öffentlichen Schlüssels die Nachricht auf ihre Echtheit überprüfen. Ein unbemerkter und unberechtigter Zugriff auf die gesendeten Daten ist somit ausgeschlossen.

Wie steht es mit der Umsetzung der von Ihnen aufgeführten Regeln?

Von der technischen Seite her sind im Prinzip alle Voraussetzungen geschaffen, um mit sicheren Übertragungsprotokollen und einer digitalen Unterschrift eine hohe Sicherheit zu gewährleisten. Die Probleme liegen eher auf zwei anderen Ebenen: zum einen auf der rechtlichen Ebene, zum anderen auf einer psychologischen Ebene. Beide hängen zusammen.

Die rechtliche Ebene ist folgende: Die Rechtsverbindlichkeit von Geschäften im Internet, gleich welcher Art, und der Einsatz der digitalen Signatur sind vom Gesetzgeber noch nicht abschließend geregelt. Im herkömmlichen Geschäft hat z. B. die Unterschrift eine zentrale Bedeutung. Diese sogenannten Formvorschriften sind im Bürgerlichen Gesetzbuch geregelt. Es gibt momentan einen Referentenentwurf der Bundesregierung, der darauf zielt, dies so zu erweitern, dass auch elektronische Zeugnisse, also eine digitale Signatur, rechtlich anerkannt werden. Immerhin gibt es schon ein Signaturgesetz, das die Verfahren, wie eine Signatur mit all den dazugehörenden Sicherheitsaspekten zustande kommt, regelt.

Die psychologische Ebene, also die Frage, wie Nutzer mit der Kommunikation im Internet umgehen, hängt damit zusammen. Während sich viele Menschen mit Bezahlvorgängen im Internet, z. B. mittels Kreditkarte, auffallend zurückhalten, ist auf der anderen Seite beim Datenaustausch ohne Bezahlvorgang, z. B. beim E-Mailverkehr, eine überraschende Sorglosigkeit zu beobachten.

Wie ist der Stand in puncto Sicherheit an der TU Berlin?

Zwei Punkte möchte ich in diesem Zusammenhang herausgreifen. Zum einen sollten bei der ganz normalen E-Mail-Kommunikation Sicherheitsmethoden wie PGP (pretty good privacy) prinzipiell eingesetzt werden. Zum zweiten glaube ich, dass etwa für Verwaltungsgeschäfte wie auch Datenaustausch im Lehr- und Forschungsbetrieb, also den internen Informations- und Datenaustausch, von der Universität eine digitale Signatur zur Verfügung gestellt werden sollte. Die Hochschule sollte eine Zertifizierungsagentur einrichten oder nutzen und eine digitale Signatur auf einer Chipkarte, die einen relativ hohen Level von Sicherheit bietet, einführen, was ja geplant ist. Einen entsprechenden Beschluss hat das Präsidium ja inzwischen gefasst.