Die PKI kommt gleich im Doppelpack
Artikel erschienen in Swiss IT Magazine 2005/14
In den letzten Wochen und Monaten haben sich zumindest die Rahmenbedingungen für das
E-Government in der Schweiz verbessert. Die Post und auch Swisscom wollen nach dem Inkrafttreten des Bundesgesetzes über die elektronische Signatur eine gesetzeskonforme, sogenannt qualifizierte PKI (Public Key Infrastructure, siehe Kasten S. 37) aufbauen. Damit wird eines der grössten Hindernisse auf dem Weg zu einer medienbruchfreien elektronischen Kommunikation, Interaktion und Transaktion mit und zwischen Ämtern aus dem Weg geräumt – und es besteht berechtigte Hoffnung, dass die wirtschaftlich problematische Stagnation im
E-Government überwunden werden kann. Dies zumal der Bundesrat im Juni bei einem zweiten wichtigen Instrument für eine durchgängig digitalisierte Verwaltung – beim eindeutigen, sektorübergreifenden Personenidentifikator – seine bisher ablehnende Haltung aufgegeben hat (siehe Kasten). Eine im Rahmen der Revision des AHV-Gesetzes neu zu schaffende Sozialversicherungsnummer soll diese Funktion übernehmen. Ein Projekt des Staatssekretariats für Wirtschaft (Seco) arbeitet zudem an der eindeutigen Identifikation von Unternehmen.
Sowohl Swisscom wie auch Post wollen ihre PKI-Angebote für Unternehmen und Verwaltungen noch in diesem Jahr lancieren. Derzeit stecken beide noch im Zertifizierungsverfahren, das für die rechtlich gültige elektronische Signatur notwendig ist. Wieso nun auf einmal gleich zwei Anbieter eine schweizweite PKI aufbauen, nachdem dieser zentrale Bereich zuvor jahrelang gelähmt war, ist auf den ersten Blick schwer verständlich. Denn das grosse Geld lässt sich mit einer qualifizierten PKI in absehbarer Zeit kaum verdienen. Dies bestätigen sowohl Post wie Swisscom. Laut Herbert C. Lüthold, Chef der Abteilung Security Solutions von Swisscom Solutions, ist die anerkannte PKI für sein Unternehmen Teil eines PKI-Gesamtangebots, das zum Beispiel auch sogenannt fortgeschrittene Zertifikate für den sicheren E-Mail-Verkehr, die Kommunikation zwischen Servern oder etwa Authentifizierungsmechanismen für Voice over IP (VoIP) umfassen wird. Geld soll vor allem mit Dienstleistungen rund um die Infrastrukturen verdient werden.
Auch der Post geht es bei ihrem PKI-Vorstoss nicht in erster Linie um zusätzliche Einnahmen, sondern darum, den absehbaren Rückgang im Kerngeschäft Briefpost aufzufangen. Absolut seien die Einkünfte aus dem Briefgeschäft heute immer noch leicht steigend, aber im Vergleich zum gesamten Kommunikationskuchen seien sie schon jetzt massiv gesunken, so Peter Delfosse, als Chef des Informatik-Dienstleisters DCL Data Care für das E-Business der Post zuständig. Die durchschnittliche Substitutionsrate der herkömmlichen Papierbriefe durch E-Mail beträgt demnach rund zwei Prozent pro Jahr. Aus diesem Grund bringt die Post ihr PKI-Angebot auch unter dem Stichwort eingeschriebener elektronischer Brief auf den Markt. Wie Swisscom macht der gelbe Riese schon von Anfang an eine Mischrechnung: Die Zertifikate werden im Bündel mit bestimmten Mengen an E-Mail-Transaktionen zu einem Pauschalpreis abgegeben werden.
Spezifische Applikationen wie der eingeschriebene elektronische Brief, die den Anwendern einen klar ersichtlichen Nutzen bringen, sind für Delfosse der Schlüssel zum wirtschaftlichen Erfolg. Mögliche Anwendungen hat er beispielsweise beim Zahlungsverkehr oder im Krankenversicherungsbereich ausgemacht. Ausser mit Applikationen will man aber auch bei der Post mit PKI-Gesamtlösungen für Unternehmenskunden Geld verdienen. Bis in drei Jahren soll das PKI-Geschäft gemäss Businessplan rentabel sein soll.
Die Applikationen sieht auch Markus Fischer, Spezialist für digitales Identitätsmanagement an der Hochschule für Wirtschaft und Verwaltung der Fachhochschule Bern, als zentralen Erfolgsfaktor. Es gelte jetzt so schnell wie möglich Anwendungen bereitzustellen, die den Anbietern, Intermediären und Nutzern eindeutige Vorteile brächten. Auch Fischer sieht diesbezüglich vor allem im Gesundheitswesen ein grosses Potential. So müssten beispielsweise bei HealthInfoNet, der gesicherten Extranetplattform im Schweizer Gesundheitswesen, nur noch die Patienten angebunden werden, um durchgängige digitale Prozesse zu ermöglichen. Weiteres Potential liesse sich laut Fischer kurzfristig im Verkehr mit Behörden (Stichwort Meldewesen) und mit Versorgungsbetrieben wie den Elektrizitäts-, Wasser- oder Gaswerken sowie im Bildungsbereich (www.switch.ch/aai) erschliessen.
Das eigentliche Problem ist die Umstellung. Die heute eingesetzte Software muss erst PKI-fit gemacht werden, damit die Infrastrukturen genutzt werden können. Soft-
warehersteller, die unter Wettbewerbsdruck stehen, tätigen solche Anpassungsinvestitionen aber nicht einfach ins Blaue hinaus. Für Fischer ist hier der Bundesrat gefordert. Er müsste klare strategische Ziele und Zeitrahmen vorgeben, in welchen Bereichen er konkret die Digitalisierung der Verwaltung als erstes vorantreiben will. Nur so könne die Umstellung in Gang kommen. So lange aber nicht klar sei, an welchen Ecken und Enden man beginnen wolle, würden die wenigsten Softwarehersteller etwas unternehmen. Bisher hat sich in dieser Beziehung vor allem der St. Galler ERP-Hersteller Abacus hervorgetan. Die Abacus-Software ist seit diesem Frühjahr PKI-fähig. Die Post hat darum die St. Galler auch zu einem Launch-Partner für ihr Angebot gemacht.
Damit die Umstellung trotz Föderalismus und Wettbewerb in Gang kommt, schlägt Fischer die Bildung eines hochkarätigen Gremiums vor. Dieses soll für den Bundesrat die strategischen Vorgaben im Sinne eines Masterplans erarbeiten, Prioritäten setzen und die Umsetzung überwachen. Für Fischer muss jetzt zudem auch die teilweise berechtigte Kritik am Bundesgesetz über die elektronische Signatur (Zert ES) in den Hintergrund treten, damit der Umstellungsprozess nicht zusätzlich behindert wird. Er ist der Meinung, dass man die derzeit noch nicht genügend geregelten Bereiche, wie die Gültigkeit von Serverzertifikaten, besser später auf Grund von realen Erfahrungen juristisch erfasst.
Potentielle Anwender werden sich vor allem für die Unterschiede zwischen den kommenden Angeboten von Post und Swisscom interessieren. Diese dürften, so wie sich das heute abschätzen lässt, vor allem in den Preismodellen und in der Abdeckung sichtbar werden. Während Swisscom PKI in Form der Swisscom Digital Certificate Services und somit als Gesamtlösungen verkaufen wird, setzt die Post schwergewichtig auf die dazugehörigen Anwendungen wie den eingeschriebenen E-Brief. Zudem kann die Post ihr Angebot dank ihrer rund 2500 Poststellen flächendeckend anbieten.
Aber auch unter der Motorhaube zeigen sich Unterschiede. Die Post führt die Schweizer Herkunft ihrer Verschlüsselungstechnologie als Vorteil an: Man hat sich das PKI-Know-how durch den Kauf des spezialisierten heimischen Anbieters SwissSign einverleibt. Bei amerikanischen Technologieanbietern wisse man nie sicher, ob nicht auf einmal die US-Regierung gewisse Beschränkungen erlasse oder Kontrollmöglichkeiten verlange, so die Post. Demgegenüber erklärt Swisscom, deren Lösung auf international standardisierten und zertifizierten Technologien beruht, dass die anerkannte PKI in Trust Centers in Zürich und Bern neu aufgebaut wird. Man habe nicht einfach den seit über drei Jahren unter dem Namen Cyberkey (Managed IPsec VPN mit PKI) angebotenen PKI-Service für die Vernetzung von Unternehmen oder Standorten erweitert, sondern eine auf die Erfordernisse einer anerkannten PKI zugeschnittene Lösung von Grund auf neu entwickelt, so Lüthold.
Obwohl aus heutiger Sicht selbst für zwei Anbieter nicht das grosse Geschäft lockt, dürften die Schweizer auf Dauer nicht alleine bleiben. Weil sich das Schweizer Zertifikationsgesetz stark an das europäische Recht anlehnt, ist es sehr wahrscheinlich, dass sich schon bald auch europäische Anbieter in der Schweiz zertifizieren lassen. Zumal PKI-Dienste in absehbarer Zukunft zu einem umfassenden Sicherheitsangebot ganz einfach dazugehören werden.
Was die künftige Konkurrenzsituation der zwei PTT-Nachkommen betrifft, sehen beide Seiten das Glas halbvoll. Der vehemente Vorstoss der Post mit dem Kauf von SwissSign sei ein Zeichen, dass man bei Swisscom auf dem richtigen Weg sei. Er zeige, dass PKI zu einem zentralen Thema werde, so Lüthold. Konkurrenz sei gesund – und sie verhelfe letztlich zur eigentlichen Marktdurchdringung. Und auch auf Seiten der Post sieht man die Konkurrenzsituation durchaus positiv. Man werde auf beiden Seiten daran arbeiten, dass die Systeme zusammenarbeiten, ist sich Delfosse sicher. Dies sei entscheidend, damit die Applikationen nicht unnötig ausgehungert würden.
Entscheidend für die weitere Entwicklung werden aber die Anwender sein. Wie diese sich verhalten werden, ist schwer einzuschätzen. Sowohl Post als auch Swisscom vermelden ein grosses Informationsinteresse. Bloss, wenn man genauer nachfrage, was die Unternehmen wirklich wollten, stelle man häufig fest, dass es gar nicht eine PKI an sich sei, sondern beispielsweise bloss eine Verschlüsselungsinfrastruktur zur sicheren Kommunikation mit Dritten.
Neben der fehlenden öffentlichen PKI behinderte – neben dem unveränderbaren Föderalismus – bislang ein zweites Manko die Schweizer E-Government-Fortschritte: Die uneinheitliche Identifikation von natürlichen Personen. Der Bundesrat ist nun aber an seiner Sitzung vom 10. Juni auf seinen Entscheid vom Oktober 2004 zurückgekommen. Damals hatte er eine eindeutige, sektorübergreifende Personenidentifikationsnummer (PIN) aus Datenschutzgründen noch abgelehnt. Jetzt soll eine neue Sozialversicherungsnummer zur PIN für alle Einwohner der Schweiz werden. Diese Nummer wird im Rahmen der Revision des AHV-Gesetzes geschaffen werden und die heutige AHV-Nummer ablösen. Im Gegensatz zu dieser wird die Sozialversicherungsnummer nicht sprechend sein. Das heisst, es wird nicht möglich sein, aus der Zahl Rückschlüsse auf die jeweilige Person zu ziehen.
Interessanterweise ist der Juni-Entscheid des Bundesrates erst
im Nachhinein aufgrund einer
Meldung auf der Internetsite des Bundesamtes für Statistik bekannt geworden. Der Bundesrat hat seinen Gesinnungswandel selber nicht kommuniziert. Mit ihrem Entscheid macht sich die Regierung nämlich nicht nur Freunde. Während das E-Government von PIN profitieren dürfte, hält der eidgenössische Datenschutzbeauftragte Hanspeter Thür das Vorgehen des Bundesrates für inakzeptabel. Seiner Ansicht nach leistet eine sektorübergreifende Nummer zahlreichen Missbrauchsmöglichkeiten Vorschub.
Offensichtlich bewertet die Regierung aber heute wirtschaftliche Argumente verhältnismässig höher als noch vor wenigen Monaten. Dazu dürfte sicher auch das peinliche Abrutschen der Schweiz in allen internationalen E-Government-Ranglisten auf das Niveau von Entwicklungsländern beigetragen haben. Vom eindeutigen Identifikator verspricht man sich einfachere ämterübergreifende, medienbruchfreie elektronische Prozesse und damit neuen Schwung für die stagnierende Digitalisierung der öffentlichen Verwaltungen unseres Landes.
Die PKI-Technik (Public Key Infrastructure) ermöglicht die eindeutige Authentifizierung eines Absenders sowie die Sicherstellung der Integrität des erhaltenen Inhalts. Dafür werden vertrauenswürdige Stellen, die sogenannte Certification Authority (CA) und die Registration Authority (RA) zwischengeschaltet, die für die Richtigkeit der verwendeten Zertifikate und Schlüssel bürgen.
Bei PKI handelt es sich um eine asymmetrische Kryptographietechnik, weil zwei verschiedene Schlüssel (Key) – ein privater und ein öffentlicher (Public) – verwendet werden, die gleichzeitig durch die CA mit dem gleichen Algorithmus erzeugt werden. Während der private Schlüssel immer beim Besitzer des Zertifikats und für alle anderen geheim bleibt, steht der öffentliche Schlüssel in einem Directory allen Interessenten offen. Ein Sender verschlüsselt seine Nachricht mit dem öffentlichen Schlüssel des Empfängers. Nur dieser kann die Nachricht mit seinem privaten Schlüssel lesbar machen. Zur sicheren Identifizierung des Senders dient das Zertifikat, dessen Richtigkeit durch eine digitale Signatur (in der Praxis ein privater Schlüssel des Senders) belegt wird. Zusätzlich zur CA benötigt eine PKI auch eine RA. Diese stellt sicher, dass die Angaben zu den Personen, die eine digitale Identität beantragen, auch der Wahrheit entsprechen. Im Gegensatz zu PKIs, die innerhalb von Unternehmen oder bilateral zwischen Geschäftspartnern – also sozusagen im privaten Rahmen – zum Einsatz kommen, bietet eine qualifizierte PKI gemäss ZertES (Bundesgesetz zur elektronischen Signatur) eine der handschriftlichen Unterschrift gleichgestellte elektronische Signatur. Dafür müssen sich CA und RA von einer durch den Staat autorisierten Anerkennungsstelle zertifizieren lassen.