Frau mit Kindern und Mann zu Hause am Notebook

Wie Zertifikate die Digitalisierung sicherer machen

Veröffentlicht am 29.04.2020

Je häufiger die Menschen aus dem Homeoffice und von unterwegs auf Daten zugreifen, umso wichtiger werden digitale Zertifikate. Denn sie sind die Basis vertrauensvoller Online-Kommunikation.

Zertifikate: eine echte Wissenslücke

Ob erzwungenermaßen oder aus tiefster Überzeugung: Die Deutschen erledigen mittlerweile eine ganze Menge zu Hause am Rechner. Banking und Shopping finden schon seit geraumer Zeit zunehmend digital statt. Und das Homeoffice hat zuletzt einen Schub erhalten, der das Arbeiten nachhaltig verändern kann. Damit unsere elektronische Kommunikation auch sicher und rechtsverbindlich ist, braucht es digitale Zertifikate – die Basis für Authentifizierungs-, Verschlüsselungs- und Signatur-Verfahren.

Die meisten hierzulande scheinen damit jedoch eher den Nachweis über erfolgreich abgeschlossene Webinare zu verbinden. Jedenfalls legt das eine repräsentative Umfrage der Bundesdruckerei aus dem Jahr 2018 nahe. Danach konnte nur gut jeder vierte deutsche Internetnutzer erklären, wofür der Begriff eigentlich steht.

Personen-Zertifikate: Basis für das digitale Ich

Diese Wissens- und damit Sicherheitslücke klaffte im selben Jahr offenbar auch in der Unternehmenswelt. Laut einer techconsult-Befragung im Auftrag der Bundesdruckerei hatten 40 Prozent der deutschen Unternehmen keine Personen- oder Organisationen-Zertifikate im Einsatz. Mit ihnen können Mitarbeiter in Unternehmen und Behörden in der digitalen Welt ihre Identität sicher nachweisen – nach innen und außen.

Ins Netzwerk, auf den Server oder in die Cloud eines Arbeitgebers etwa gelangt dann eben nur, wer sich mit seinem persönlichen Zertifikat ausweisen kann. Ähnlich vertrauensstiftend wirken Personenzertifikate bei der Kommunikation mit anderen Menschen: Indem sie die Nachrichten verschlüsseln, schützen sie sensible Inhalte vor Hackern. Und weil sie Mails signieren, belegen sie zudem die Identität des Absenders. Folgerichtig sind digitale Zertifikate dann auch die Basis für elektronische Signaturen und Siegel, die Papierberge reduzieren und Dokumente obendrein vor Fälschung schützen.

Maschinenzertifikate: Vertrauen in der Fabrik

In Zeiten von Industrie 4.0 müssen aber längst nicht nur Menschen einander vertrauen. Denn in der Smart Factory arbeiten Maschinen völlig autonom miteinander. Maschine A versendet die Daten, die Maschine B für den nächsten Produktionsschritt benötigt. Damit das alles reibungslos abläuft, brauchen auch die beiden Geräte Identitäten.

Und hier kommen Maschinenzertifikate ins Spiel. Sie sorgen dafür, dass nur die Maschinen auf Daten zugreifen, die dazu berechtigt sind. Allerdings dienen sie nicht nur der Authentisierung eines Geräts, sondern – analog zu den Personenzertifikaten – darüber hinaus der Verschlüsselung der Machine-to-Machine-Kommunikation (M2M).

TLS-Zertifikate: Wie seriös sind Websites?

Digitale Zertifikate bringen in der virtuellen Welt also die richtigen Menschen zusammen und geben darüber hinaus grünes Licht in der vernetzten Fabrik. Und selbstverständlich können sie ebenso Berührungsängste zwischen Menschen und Technik abbauen. Kriminelle haben in Hamburg und Nordrhein-Westfalen Fake-Websites ins Netz gebracht, auf denen Unternehmen vermeintliche Corona-Soforthilfen beantragen konnten. Geld gab es keines, dafür gaben die Unternehmen jedoch hochsensible Daten preis. Wichtig deshalb: im Browser auf sogenannte TLS-Zertifikate (früher auch SSL-Zertifikate) zu achten. Sie garantieren, dass hinter einer Website auch eine vertrauenswürdige Person oder Institution steht.

Wer etwa die Online-Präsenz seiner Hausbank aufsucht, sieht im besten Fall – je nach Browser – eine grüne URL oder liest beim Klick auf das kleine Schloss neben der URL einen Text wie „Verbindung sicher – Zertifikat ausgestellt für Bank XY“. Der User kann hier nun ohne Bedenken seine Zugangsdaten eingeben. Dass TLS-Zertifikate wichtige Informationen verschlüsseln, dürfte nicht weiter überraschen, ebenso wenig wie die Tatsache, dass einer Seite, die ihre Vertrauenswürdigkeit belegen kann, eine bessere Suchmaschinenplatzierung winkt.

Dabei kommt es aber zugegebenermaßen ein Stück weit auf die Qualität des TLS-Zertifikats an. Denn da kann es erhebliche Unterschiede geben: Bei domainvalidierten Zertifikaten (Domain Validation, kurz DV) prüft die Zertifizierungsstelle lediglich, ob der Antragsteller Kontrolle über die Domain ausübt. Seine Identität ist dabei unwichtig. Daher sollen die mitunter kostenlosen DV-Zertifikate oft Website-Fälschungen legitimieren. Bei organisationsvalidierten Zertifikaten (Organization Validation, kurz OV) wiederum ist sichergestellt, dass die Organisation hinter dem Website-Inhaber tatsächlich existiert. Sogenannte erweitert validierte Zertifikate (Extended Validation, kurz EV) – sozusagen die höchste Güteklasse – verlangen zusätzlich nach einem individuellen Identitätscheck: Ist der Antragsteller wirklich durch den Website-Inhaber bevollmächtigt? Ist die Organisation bereits bei Spamaktionen auffällig geworden? EV-Zertifikate sorgen für Sicherheit auf höchstem Niveau. So wie sie zum Beispiel im Finanzwesen nötig ist.

Sonderfall QWACs: eine europäische Lösung

Die eIDAS-Verordnung der Europäischen Union hat noch einmal eine besondere, weil EU-weit rechtsverbindliche Form dieser höchsten Güteklasse geschaffen: qualifizierte Website-Zertifikate (QWACs). Deren Prominenz hat vor allem durch die EU-Zahlungsrichtlinie PSD2 zugelegt, laut der Banken Drittanbietern über eine Schnittstelle (API) Zugang zu ihren Kundenkonten gewähren müssen.

Sowohl die Geldinstitute als auch die zugreifenden FinTechs benötigen zwingend QWACs. Ausgeben dürfen diese nur Unternehmen mit einem Platz auf der entsprechenden EU-Vertrauensliste: sogenannte Qualified Trust Service Providers. Zu Deutsch: Vertrauensdiensteanbieter. Der erste deutsche Vertreter, der mit QWACs auf dieser Liste auftauchte, war D-Trust, ein Unternehmen der Bundesdruckerei-Gruppe.

PKI: Heimstätte für digitale Zertifikate

Vertrauensdiensteanbieter können Unternehmen noch etwas abnehmen, das für digitale Zertifikate zwar essenziell, aber mitunter sehr aufwendig ist: den Aufbau sowie den Unterhalt einer Public Key Infrastructure (PKI). Die ist nötig, um Zertifikate zu erstellen, zu verwalten und zu prüfen. Wer Mühe und Kosten sparen möchte, lässt seine PKI also von Qualified Trust Service Providers für sich betreiben.

Artikel

Was sind FAIR Digital Object?

Das Konzept ist jung, vereint jedoch schon große Hoffnungen auf sich: FAIR Digital Objects gelten als Treiber für einen effizienten Datenaustausch.

Artikel

Zehn Jahre eANV – 100 Millionen digitale Unterschriften

Lesen Sie, wie die digitale Unterschrift das elektronische Abfallnachweisverfahren verändert hat und warum das eANV als Blaupause für andere dienen kann.

Artikel

Zero Trust einfach erklärt: Sicherheit durch begrenzten Zugang

Beim Zero-Trust-Ansatz wird die Netzwerksicherheit in Unternehmen und Organisationen durch restriktive Vergabe von Zugriffsrechten erhöht.

Krankenkassen

Für digitale Services in der Gesundheitsbranche bietet D-Trust sichere und datenschutzkonforme Lösungen an.

Ärztin telefoniert und schaut auf ein Tablet

News

13 / 09 / 2021

Aktuelles: eHBA und SMC-B: Ausgabe der neuesten Kartengenerationen G 2.1

Seit August werden bei D-Trust ausschließlich elektronische Heilberufsausweise (eHBA) und elektronische Praxis- und Institutionsausweise (SMC-B) der neuesten Kartengeneration G 2.1 produziert. Somit profitieren Leistungserbringer im Gesundheitswesen, die den eHBA oder die SMC-B bei D-Trust bestellen, von den Vorteilen der neuen Kartengeneration.

Bürgerämter

Die Lösungen der Unternehmen der Bundesdruckerei-Gruppe für die Digitalisierung von Bürgerämtern orientieren sich am Maximum bei Sicherheit, Benutzerfreundlichkeit und Effizienz.

Elektronischer Praxisausweis / Institutionsausweis (SMC-B und SMC-B ORG)

Die SMC-B, auch bekannt als Praxis- oder Institutionsausweis, ist der Schlüssel für die Telematikinfrastruktur. Mit ihr weisen sich Institutionen im Gesundheitswesen als medizinische Einrichtung aus.

Hier geht es zur Seite fünf digitalpolitische Thesen für 2023

Artikel

Fünf Thesen zu digitalpolitischen Herausforderungen im Jahr 2023

Digitalpolitik 2023: fünf Thesen zu den zentralen digitalpolitischen Aufgaben, die es auf deutscher und europäischer Ebene im Jahr 2023 zu bewältigen gilt.

Presse

07 / 11 / 2023

Volldigitale Prozesse in Behörden scheitern häufig an händischer Unterschrift

Umfrage unter Mitarbeitenden in Kommunen und Ländern zum Einsatz digitaler Technologien im öffentlichen Dienst.

sign-me: Die elektronische Signatur für digitale Dokumente

Mit der Fernsignatur sign-me können Sie papierbasierte Unterschriftsprozesse durchgängig elektronisch und rechtskräftig abwickeln.

Sichere E-Mail-Verschlüsselung für Behörden und Kommunen – Eine Fallstudie mit der Stadt Königsbrunn

Die fortschreitende Digitalisierung von Verwaltungsleistungen verlangen nach hohen IT-Sicherheitsstandards.

Artikel

TI 2.0: ein Blick in die Zukunft

Schneller, flexibler und mobil nutzbar: Die Telematikinfrastruktur 2.0 ist der nächste große Meilenstein für das digitale Gesundheitswesen. Ein Praxisbeispiel zeigt, wie dank digitaler Identitäten Ärzte und Versicherte von neuen Behandlungsmöglichkeiten profitieren.

Artikel

Die E-Akte kommt! So läuft rechtssicheres Scannen

Die E-Akte kommt. Mit seiner TR RESISCAN beschreibt das BSI einen Prozess für rechtssicheres ersetzendes Scannen von Papierdokumenten.

Case Study: Effizient in die Zukunft: digitale Unterschrift für Verträge

Elektronische Unterschriften für Verträge und interne Dokumente minimieren den Verwaltungsaufwand enorm. Diehl Metering erreicht über die digitale Vertragsunterzeichnung mehr Effizienz im Unterschriftenmanagement und trägt zur Nachhaltigkeit bei.

Frau mit Kindern am Tablet Tisch zu Hause

Artikel

Telemedizin: vielfältige Einsatzmöglichkeiten nutzen

Wie Telemedizin eine Bereicherung für Patient und Arzt sein kann. Der Gesetzgeber hat den Weg für ihren Einsatz unlängst freigemacht.