Sprache:
Frau mit Kindern und Mann zu Hause am Notebook

Wie Zertifikate die Digitalisierung sicherer machen

Veröffentlicht am 29.04.2020

Je häufiger die Menschen aus dem Homeoffice und von unterwegs auf Daten zugreifen, umso wichtiger werden digitale Zertifikate. Denn sie sind die Basis vertrauensvoller Online-Kommunikation.

Zertifikate: eine echte Wissenslücke

Ob erzwungenermaßen oder aus tiefster Überzeugung: Die Deutschen erledigen mittlerweile eine ganze Menge zu Hause am Rechner. Banking und Shopping finden schon seit geraumer Zeit zunehmend digital statt. Und das Homeoffice hat zuletzt einen Schub erhalten, der das Arbeiten nachhaltig verändern kann. Damit unsere elektronische Kommunikation auch sicher und rechtsverbindlich ist, braucht es digitale Zertifikate – die Basis für Authentifizierungs-, Verschlüsselungs- und Signatur-Verfahren.

Die meisten hierzulande scheinen damit jedoch eher den Nachweis über erfolgreich abgeschlossene Webinare zu verbinden. Jedenfalls legt das eine repräsentative Umfrage der Bundesdruckerei aus dem Jahr 2018 nahe. Danach konnte nur gut jeder vierte deutsche Internetnutzer erklären, wofür der Begriff eigentlich steht.

Personen-Zertifikate: Basis für das digitale Ich

Diese Wissens- und damit Sicherheitslücke klaffte im selben Jahr offenbar auch in der Unternehmenswelt. Laut einer techconsult-Befragung im Auftrag der Bundesdruckerei hatten 40 Prozent der deutschen Unternehmen keine Personen- oder Organisationen-Zertifikate im Einsatz. Mit ihnen können Mitarbeiter in Unternehmen und Behörden in der digitalen Welt ihre Identität sicher nachweisen – nach innen und außen.

Ins Netzwerk, auf den Server oder in die Cloud eines Arbeitgebers etwa gelangt dann eben nur, wer sich mit seinem persönlichen Zertifikat ausweisen kann. Ähnlich vertrauensstiftend wirken Personenzertifikate bei der Kommunikation mit anderen Menschen: Indem sie die Nachrichten verschlüsseln, schützen sie sensible Inhalte vor Hackern. Und weil sie Mails signieren, belegen sie zudem die Identität des Absenders. Folgerichtig sind digitale Zertifikate dann auch die Basis für elektronische Signaturen und Siegel, die Papierberge reduzieren und Dokumente obendrein vor Fälschung schützen.

Maschinenzertifikate: Vertrauen in der Fabrik

In Zeiten von Industrie 4.0 müssen aber längst nicht nur Menschen einander vertrauen. Denn in der Smart Factory arbeiten Maschinen völlig autonom miteinander. Maschine A versendet die Daten, die Maschine B für den nächsten Produktionsschritt benötigt. Damit das alles reibungslos abläuft, brauchen auch die beiden Geräte Identitäten.

Und hier kommen Maschinenzertifikate ins Spiel. Sie sorgen dafür, dass nur die Maschinen auf Daten zugreifen, die dazu berechtigt sind. Allerdings dienen sie nicht nur der Authentisierung eines Geräts, sondern – analog zu den Personenzertifikaten – darüber hinaus der Verschlüsselung der Machine-to-Machine-Kommunikation (M2M).

 

TLS-Zertifikate: Wie seriös sind Websites?

Digitale Zertifikate bringen in der virtuellen Welt also die richtigen Menschen zusammen und geben darüber hinaus grünes Licht in der vernetzten Fabrik. Und selbstverständlich können sie ebenso Berührungsängste zwischen Menschen und Technik abbauen. Kriminelle haben in Hamburg und Nordrhein-Westfalen Fake-Websites ins Netz gebracht, auf denen Unternehmen vermeintliche Corona-Soforthilfen beantragen konnten. Geld gab es keines, dafür gaben die Unternehmen jedoch hochsensible Daten preis. Wichtig deshalb: im Browser auf sogenannte TLS-Zertifikate (früher auch SSL-Zertifikate) zu achten. Sie garantieren, dass hinter einer Website auch eine vertrauenswürdige Person oder Institution steht.

Wer etwa die Online-Präsenz seiner Hausbank aufsucht, sieht im besten Fall – je nach Browser – eine grüne URL oder liest beim Klick auf das kleine Schloss neben der URL einen Text wie „Verbindung sicher – Zertifikat ausgestellt für Bank XY“. Der User kann hier nun ohne Bedenken seine Zugangsdaten eingeben. Dass TLS-Zertifikate wichtige Informationen verschlüsseln, dürfte nicht weiter überraschen, ebenso wenig wie die Tatsache, dass einer Seite, die ihre Vertrauenswürdigkeit belegen kann, eine bessere Suchmaschinenplatzierung winkt.

Dabei kommt es aber zugegebenermaßen ein Stück weit auf die Qualität des TLS-Zertifikats an. Denn da kann es erhebliche Unterschiede geben: Bei domainvalidierten Zertifikaten (Domain Validation, kurz DV) prüft die Zertifizierungsstelle lediglich, ob der Antragsteller Kontrolle über die Domain ausübt. Seine Identität ist dabei unwichtig. Daher sollen die mitunter kostenlosen DV-Zertifikate oft Website-Fälschungen legitimieren. Bei organisationsvalidierten Zertifikaten (Organization Validation, kurz OV) wiederum ist sichergestellt, dass die Organisation hinter dem Website-Inhaber tatsächlich existiert. Sogenannte erweitert validierte Zertifikate (Extended Validation, kurz EV) – sozusagen die höchste Güteklasse – verlangen zusätzlich nach einem individuellen Identitätscheck: Ist der Antragsteller wirklich durch den Website-Inhaber bevollmächtigt? Ist die Organisation bereits bei Spamaktionen auffällig geworden? EV-Zertifikate sorgen für Sicherheit auf höchstem Niveau. So wie sie zum Beispiel im Finanzwesen nötig ist.

Sonderfall QWACs: eine europäische Lösung

Die eIDAS-Verordnung der Europäischen Union hat noch einmal eine besondere, weil EU-weit rechtsverbindliche Form dieser höchsten Güteklasse geschaffen: qualifizierte Website-Zertifikate (QWACs). Deren Prominenz hat vor allem durch die EU-Zahlungsrichtlinie PSD2 zugelegt, laut der Banken Drittanbietern über eine Schnittstelle (API) Zugang zu ihren Kundenkonten gewähren müssen.

Sowohl die Geldinstitute als auch die zugreifenden FinTechs benötigen zwingend QWACs. Ausgeben dürfen diese nur Unternehmen mit einem Platz auf der entsprechenden EU-Vertrauensliste: sogenannte Qualified Trust Service Providers. Zu Deutsch: Vertrauensdiensteanbieter. Der erste deutsche Vertreter, der mit QWACs auf dieser Liste auftauchte, war D-Trust, ein Unternehmen der Bundesdruckerei-Gruppe.

PKI: Heimstätte für digitale Zertifikate

Vertrauensdiensteanbieter können Unternehmen noch etwas abnehmen, das für digitale Zertifikate zwar essenziell, aber mitunter sehr aufwendig ist: den Aufbau sowie den Unterhalt einer Public Key Infrastructure (PKI). Die ist nötig, um Zertifikate zu erstellen, zu verwalten und zu prüfen. Wer Mühe und Kosten sparen möchte, lässt seine PKI also von Qualified Trust Service Providers für sich betreiben.

Artikel
Artikel
Artikel
Artikel