Am 7. Mai 2001 verkündete Swisskey, zu jener Zeit die einzige öffentliche Schweizer Zertifizierstelle, per sofort keine digitalen Zertifikate mehr auszustellen und alle bestehenden Zertifikate Ende Juni 2001 zu sperren.
Für praktisch alle kam der Entscheid überraschend, obwohl sich die Verantwortlichen von Swisskey bekannterweise seit längerer Zeit mit einer strategischen Neuausrichtung auseinandersetzten. Auch
Trivadis, welche als Technologielieferantin von Swisskey die zur Zertifikatsausgabe nötige Software entwickelt hatte, wurde vom Ausmass dieses Schrittes überrascht, vermutete man doch lediglich die Einstellung der Zertifikate für Privatpersonen und eine vermehrte Konzentration auf die lukrativeren Firmenkunden.
Zukunft von PKI-Infrastrukturen
Die Einstellung von Swisskey wurde ökonomisch begründet. Das Betrachten einer Infrastruktur als autonomes Profitcenter ist nämlich problematisch. Ein finanziell messbarer Nutzen einer Infrastruktur entsteht erst durch Anwendungen. Um einen Vergleich zu ziehen: Die hohen Kosten der Strasseninfrastruktur werden mit dem Nutzen gerechtfertigt, der durch die verschiedenen Anwendungen (Gütertransporte, persönliche Mobilität usw.) entsteht.
Die Schweizer Grossbanken möchten ihre E-Banking-Lösungen auf Zertifikatstechnologie umstellen und benötigen dazu eine Public Key Infrastruktur (PKI). UBS und Credit Suisse haben beide entsprechende Projekte mit Swisskey-Zertifikaten auf Smartcards durchgeführt. Das UBS Pilotprojekt war mehr als ein Jahr in Betrieb. Das Projekt der Credit Suisse wurde im März 2001 kurz vor der Einführung gestoppt. Die Banken stehen als Träger der Telekurs aber gleichzeitig hinter dem Einstellungsentscheid von Swisskey. Sollten sie bald zertifikatsbasiertes E-Banking anbieten wollen, wird ihnen voraussichtlich nichts anderes übrig bleiben, als eigene Zertifikate auszustellen. Sollten alle Banken zukünftig eigene Public Key Infrastrukturen aufbauen, darf davon ausgegangen werden, dass die Weiterführung von Swisskey insgesamt kostengünstiger gewesen wäre.
Das Ende von Swisskey löste eine grosse Verunsicherung aus. Der IT-Strategie von Unternehmen, welche auf Swisskey gesetzt haben, wurde die Basis entzogen. Offensichtliche Alternativen gab es keine. Unternehmen haben Pilotprojekte auslaufen lassen (z.B. Yellownet: Zertifikatsauthentisierung der Post) oder begonnene PKI-Projekte auf Eis gelegt. Firmen, welche von
Trivadis bei der Konzeption und Umsetzung von PKI-Projekten beraten und unterstützt werden, durchlaufen jetzt eine neue Analysephase. Sie suchen Alternativen zu Swisskey.
Eigene oder öffentliche Zertifizierstelle?
Zur Auswahl stehen öffentliche Zertifizierstellen, Outsourcing oder interne Zertifizierstellen basierend auf entsprechenden Software-Produkten. Öffentliche Zertifizierstellen sind typischerweise bemüht, in den gängigen Browsern und Mailclients voreingestellt zu sein, wodurch das Zustandekommen von sicheren Web-Verbindungen (SSL) und die Verifikation von digital signierten Mails automatisch funktioniert. Somit muss der Enduser nicht um zusätzliche Interaktion gebeten werden.
Öffentliche Zertifizierstellen sind dort empfehlenswert, wo die Partner nicht im Vorfeld bekannt sind und Standardsoftware einsetzen, typischerweise im Business-to-Consumer-Bereich. Ob ausländische Zertifizierstellen (z.B. Verisign, TC Trustcenter, D-Trust, A-Sign) akzeptiert werden können, muss jedes Unternehmen für seine Anwendungen selbst entscheiden.
Alternative Zertifizierstellen in der Schweiz
Unterdessen sind auf dem Schweizer Markt Swisssign und Swisscert aufgetaucht. Ob sie die von Swisskey hinterlassene Lücke auffüllen können, wird die Zeit zeigen. Da es sich bei beiden um neue Initiativen handelt, fehlt das Vertrauen, sie als Zertifizierstelle in der Standardsoftware voreinzustellen.
Verschiedene öffentliche Zertifizierstellen bieten an, eine Zertifizierstelle für Firmen nach deren Vorgaben zu betreiben (Outsourcing). Der Aufbau einer eigenen Zertifizierstelle, basierend auf einem Software-Produkt (z.B. Baltimore, Entrust,
Microsoft Certificate Services) erlaubt sicherlich die grösste Flexibilität, ist jedoch ein nicht zu unterschätzendes Vorhaben.
Mit einer reinen Installation der Software ist es längst nicht getan. So benötigt die Konzeption und Umsetzung von notwendigen organisatorischen Prozessen etwa zwei Drittel des Aufwandes. Beispiele für solche Prozesse sind die Beantragung und Sperrung eines Zertifikats, die Identitätsüberprüfung eines Antragstellers, das Ausstellen und Verteilen von Security Tokens (Smartcards, USB Tokens) und viele weitere mehr.
Fazit
Mit Swisskey ist ein Lösungsansatz vom Schweizer Markt genommen worden, welcher viele Bedürfnisse abgedeckt hätte. Die Sicherheitsprobleme bleiben und eine allgemein funktionierende Lösung gibt es nicht. Die Unternehmen müssen ihre eigenen Bedürfnisse aufnehmen und eine individuelle Lösung erarbeiten. Häufig hat aber noch nicht einmal eine Sensibilisierung stattgefunden. Somit sind Ausbildung und Schulung in der PKI-Thematik sehr wichtig.
Forderungen nach staatlicher Intervention
Einen Tag nach der Pressemitteilung von Swisskey hat Nationalrat Paul Günter eine dringliche Interpellation an den Bundesrat eingereicht. Am 21. Juni 01 wurde im Nationalrat die E-Zukunft der Schweiz diskutiert. Viele Voten fordern jetzt ein stärkeres Engagement des Bundes in Sachen schweizerischer Zertifizierstelle. Zu Swisskey-Zeiten wurde umgekehrt argumentiert: Der Bund soll die Finger davon lassen, bei einem so schnelllebigen Business soll die Privatwirtschaft Hand anlegen. Es drängt sich nun die Frage auf, ob nicht einfach ein unrentables Geschäft dem Bund überlassen werden soll.
Der Bund als Zertifizierstelle ist andererseits naheliegend, da er die natürliche und oberste Autorität ist, Identitäten festzustellen. In der Vergangenheit hat der Bund für die Allgemeinheit diverse Infrastrukturen (Eisenbahnen, Elektrizität, Fernsehen, etc.) aufgebaut. Die benötigten hohen Investitionen und deren Rentabilität konnten ebenfalls nicht innerhalb eines kurzen betriebswirtschaftlichen Zeitraums garantiert werden.
Der Bund hat ein grosses Interesse an einer schweizerischen PKI. Denn einerseits benötigen die E-Government Projekte (Guichet virtuel, E-Voting) in späteren Projektphasen eine PKI, und andererseits können keine rechtskräftigen digitalen Signaturen erstellt werden, wenn keine Zertifizierstelle die rechtlich notwendigen Voraussetzungen erfüllt.
Der Bund selbst favorisiert privatwirtschaftlich betriebene Zertifizierstellen, wäre jedoch bereit, im Notfall selbst in die Lücke zu springen. Eine Abstützung auf private Zertifizierstellen benötigt konkurrenzierende Anbieter. Nur so kann eine gewisse Kontinuität, auch beim Verschwinden eines Anbieters, gewährleistet werden. Dafür dürfte der Schweizer Markt jedoch zu klein sein. Bis in zwei oder drei Jahren dürfen wir vermutlich mit einer klaren Lage bei den Schweizer Zertifizierstellen rechnen.
Der Autor (Bild)
Rolf Negri, dipl. Informatikingenieur ETH, ist Security Consultant (Fokus auf Public Key Infrastrukturen) und Referent der Security Academy bei
Trivadis AG, Basel.
Rolf.Negri@trivadis.com;
www.trivadis.com
