Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.16. Außendarstellung der CA 71<br />
hinsichtlich des Einsatzes von Verschlüsselungstechnik noch kaum erschlossen ist. Daher muß es<br />
auch die Aufgabe <strong>einer</strong> Zertifizierungsstelle sein, das Bewußtsein der Anwender für Sicherheitsrisiken<br />
bei der elektronischen Kommunikation oder der Internet-Nutzung zu wecken <strong>und</strong> zu schärfen.<br />
Dies kann auf eher humorvolle Weise geschehen, durch Texte wie den von ANDREAS PFITZMANN<br />
zum „Schlüsselhinterlegungs- <strong>und</strong> Aufbewahrungsgesetz“ 15 , aber auch durch die Vorbildwirkung<br />
der Zertifizierungsstelle <strong>und</strong> anderer Einrichtungen oder Personen.<br />
Aus diesem Gr<strong>und</strong> sollte die Zertifizierungsstelle <strong>und</strong>, wenn irgend möglich, das ganze Rechenzentrum<br />
die Sicherheitsverfahren, deren Einsatz sie propagieren, auch selber sichtbar anwenden. (Das<br />
ist auch eine Sache der Glaubwürdigkeit.) Ein erster Schritt in dieser Richtung könnte beispielsweise<br />
darin bestehen, die wichtigsten WWW-Server des Rechenzentrums bzw. der UNI HTTPS-fähig<br />
zu machen, so daß auch verschlüsselte Verbindungen zu ihnen möglich sind. (Eine Anleitung, wie<br />
dies mit dem weit verbreiteten HTTP-Server apache durchgeführt werden kann, ist in <strong>Teil</strong> III dieses<br />
Handbuches wiedergegeben.) Auf diese Neuerung müßte natürlich auch angemessen hingewiesen<br />
werden (durch News-Postings in geeignete UNI-interne Newsgruppen, durch Artikel in der UNI-<br />
Hauszeitung oder durch Hinweise auf den Einstiegsseiten der Server), damit möglichst viele Nutzer<br />
davon erfahren.<br />
Eine weitere Möglichkeit bestünde darin, daß die RZ-Mitarbeiter sich PGP-Schlüssel erzeugen<br />
<strong>und</strong> in ihren Mail-Signatures darauf hinweisen, daß jetzt auch eine verschlüsselte E-Mail-<br />
Kommunikation mit ihnen möglich ist oder daß sie ihre News-Postings mit PGP digital signieren.<br />
(Bei Klartext-Signaturen, wie sie PGP unterstützt, bleibt der eigentliche Text weiterhin lesbar, auch<br />
für alle Anwender, die PGP nicht nutzen, insofern wäre dies problemlos möglich <strong>und</strong> würde niemanden<br />
daran hindern, die Postings lesen zu können.)<br />
Positiv zu vermerken ist, daß die Sensibilität für das Thema Verschlüsselung bzw. Vertraulichkeit<br />
bei elektronischer Kommunikation wächst, wie das folgende Zitat aus dem ötv-magazin belegt:<br />
„Ein Einfallstor für Datenspione aller Art ist die E-Mail. Einmal versendet, kann sie von Sy-<br />
stemverwaltern, Mitarbeitern des Providers oder den Datenfahndern der internationalen Ge-<br />
heimdienste jederzeit mitgelesen werden. Im neuen Datenschutzgesetz sind das Archivieren<br />
der E-Mail-Kommunikation durch die Provider <strong>und</strong> ein Zugriff der Geheimdienste vorgese-<br />
hen. Schützen läßt sich die E-Mail-Kommunikation nur durch konsequente Verschlüsselung.<br />
Von den vielen Verschlüsselungstechniken hat sich bis vor kurzem »Pretty Good Privacy«<br />
(http://www.pgp.com) als besonders wirksam erwiesen.<br />
(Aus »journalist Medienpraxis« 8/1998)“ [ötv99]<br />
<strong>und</strong> auch die „Verbraucherschützer raten zur Verschlüsselung“, wie der Berliner TAGESSPIEGEL<br />
zu berichten weiß [Tsp99b].<br />
Um in der Anlaufphase gezielt Nutzer anzusprechen, die bereits PGP zur Verschlüsselung einsetzen<br />
<strong>und</strong> die daher vermutlich am leichtesten für die Nutzung der Dienste <strong>einer</strong> Zertifizierungsstelle<br />
gewonnen werden können, wäre eine gezielte Mail mit dem Hinweis auf das neue Angebot an alle<br />
PGP-Nutzer der UNI denkbar. Dazu könnten von den PGP-Keyservern alle Schlüssel abgefragt<br />
werden, die die Zeichenkette ‘UNI’ oder ‘UNI.de’ in <strong>einer</strong> ihrer Benutzerkennungen enthalten.<br />
Die entsprechenden Adressen könnte man anmailen <strong>und</strong> die betreffenden Personen so auf das neue<br />
15 http://www.zerberus.de/texte/ccc/ccc95/div/pfitz/satire.htm