Zertifikate belegen digitale Identitäten
Sie sind wichtige Bestandteile unseres täglichen Lebens im digitalen Zeitalter – doch kaum jemand kennt sie oder ist sich ihrer Bedeutung bewusst: Die Rede ist von digitalen Zertifikaten.
Was sind digitale Zertifikate?
Zertifikate sind digitale Ausweise für Menschen, Systeme und intelligente Objekte. Mit ihnen lässt sich deren sichere Identität einwandfrei nachweisen.
Digitale Zertifikate ermöglichen Smart Home-Anwendungen, sorgen für ein vertrauenswürdiges Online-Banking und Internet-Shopping und sind ein zentraler Bestandteil von E-Government-Dienstleistungen.
Technisch ist ein digitales Zertifikat ein elektronischer Datensatz, der Identitätsinformationen von Organisationen, Personen oder Objekten enthält – zum Beispiel Name, E-Mail und die Internet-Adresse bei Webseiten. Alle Angaben lassen sich über kryptografische Verfahren sicher gegen Veränderungen schützen.
Weit verbreitet sind so genannte Public Key-Zertifikate, die bei asymmetrischen Verschlüsselungsverfahren mit öffentlichem und privatem Schlüssel zum Einsatz kommen. Sie stellen sicher, dass zum Beispiel eine E-Mail auch tatsächlich vom angegebenen Absender stammt und sind Voraussetzung dafür, digitale Signaturen zu erzeugen und damit eine Nachricht oder ein Dokument zu unterschreiben. Zudem werden digitale Zertifikate für die sichere Übertragung von Zahlungsdaten, persönlichen Informationen, Passwörtern oder andere sensible Daten bei der Online-Kommunikation eingesetzt.
Die asymmetrische Verschlüsselung basiert auf der Verwendung eines zusammengehörenden Schlüsselpaares, wobei einer (Public Key) zur Verschlüsselung und der andere (Private Key) zur Entschlüsselung genutzt wird. Beim sogenannten Public Key-Verfahren ist einer der Schlüssel frei im Internet veröffentlicht und lässt sich von jedem dazu nutzen, zum Beispiel eine Nachricht zu verschlüsseln. Nur der Empfänger, welcher in Besitz des zweiten privaten Schlüssels ist, kann die Nachricht dann entschlüsseln. Um sicher zu gehen, dass die Identität des Absenders auch stimmt und nicht vorgetäuscht ist, verbindet man in einem Public Key-Zertifikat den öffentlichen Schlüssel mit den jeweiligen Identitätsdaten. Das Gegenstück, der private Schlüssel, ist außerhalb des Zertifikats sicher abgelegt, das kann auf dem Computer, auf mobilen Endgeräten, per Hardware auf USB-Token, Smartcards oder anderen Sicherheitsmodulen erfolgen.
Welche Zertifikatstypen gibt es?
Je nach Anwendungsbereich lassen sich vier Zertifikatstypen unterscheiden:
1. Webseitenzertifikate
2. Personenzertifikate
3. Organisationszertifikate
4. Maschinenzertifikate
Der vertrauenswürdige Webauftritt
Wer online geschäftlich agiert oder Einkäufe tätigt, erwartet, dass die Identität der besuchten Internet-Domain stimmt und dass die Kommunikation sicher abläuft. Genau diese Aufgabe übernehmen sogenannte TLS-/SSL-Zertifikate. Sie identifizieren den Geschäftspartner und verschlüsseln gleichzeitig die gesendeten Daten. TLS-/SSL-Zertifikate werden in der Regel von allen aktuellen Browsern und Betriebssystemen unterstützt.
Der Internet-Browser prüft bei der Identifizierung zwei Dinge: Ob das Zertifikat von einem vertrauenswürdigen Dienst ausgestellt wurde und ob es noch gültig ist. Die Adresszeile färbt sich grün, wenn beide Prüfungen erfolgreich waren. Der Internetnutzer kann sich somit sicher sein, dass keine Scheinidentität vorgetäuscht wird und er nicht Gefahr läuft, Opfer eines Phishing-Versuchs zu werden.
Seit März 2017 sind in Europa qualifizierte Webseitenzertifikate nach Vorgaben der „EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS)” erhältlich. Technisch bieten diese den starken Schutz und die sichere Verschlüsselung von TLS-/SSL-Zertifikaten. Zusätzlich sehen qualifizierte Webseitenzertifikate regelmäßige Prüfungen und eine strenge Kontrolle der Ausgabestelle durch eine Aufsichtsbehörde vor.
Personenbezogene Anwendungen
Personenzertifikate gelten ausschließlich für natürliche Personen. Wer ein solches Zertifikat erhält, muss sich gegenüber der Zertifizierungsstelle eindeutig identifizieren, beispielsweise durch die Vorlage von Personalausweis oder Reisepass. Das Personenzertifikat kann anstelle des Namens ein Pseudonym ausweisen oder zusätzliche berufsbezogene Angaben enthalten.
Ausgeliefert werden die Personenzertifikate entweder als verschlüsselte elektronische Datei oder auf einem Speichermedium, meistens einer Signaturkarte. Für Unternehmen interessant ist die Integration von Personenzertifikaten auf hochsicheren Smartcards.
Security-Token auf Smartcard-Basis sind als All-in-One-Lösung für alle Unternehmensanwendungen konzipiert. Auf diesen ist der geheime private Schlüssel zusammen mit dem Zertifikat des dazugehörenden öffentlichen Schlüssels abgelegt. Für hohen Datenschutz und sichere Datenspeicherung sorgt die Zwei-Faktor-Authentifizierung, die neben dem Besitz der Karte auch ein Passwort oder ein biometrisches Merkmal erfordert. Selbst wenn die Karte gestohlen oder verloren geht, ist diese ohne das dazu passende zweite Merkmal unbrauchbar. Mit der Smartcard sind Zugangsberechtigungen für einzelne Gebäudeteile festlegbar. Mitarbeiter können sich mit ihr am Rechner anmelden, Dokumente elektronisch signieren oder E-Mails verschlüsseln. Selbst die Bezahlung des Kantinenessens ist bargeldlos möglich.
Im Namen der Organisation kommunizieren
Bei der E-Mail-Kommunikation lassen sich Zertifikate einsetzen, die sich auf eine juristische Person beziehen. Diese sogenannten Gateway-Zertifikate werden in Verbindung mit der server-basierten E-Mail-Verschlüsselung genutzt. Dabei übernehmen Secure-Mail Gateways die Verschlüsselung und Entschlüsselung der Mails inklusive der Authentifizierungsaufgaben.
Zwei Geschäftspartner können auf diese Weise sicher sein, dass ihre Mails unverändert im Original ankommen und gleichzeitig darauf vertrauen, dass die Mail auch tatsächlich vom jeweiligen Unternehmen stammt. Gateway-Zertifikate enthalten den Namen der Organisation und die dazugehörige E-Mail-Adresse des Gateways.
Ein neues Einsatzgebiet von Organisationszertifikaten sind elektronische Siegel. Sie stellen sicher, dass die Daten von einer bestimmten Institution stammen (Herkunftsnachweis) und dass das Dokument vor unberechtigten Veränderungen geschützt ist (Integritätsschutz). Im Gegensatz zu elektronischen Signaturen, die an Einzelpersonen gebunden sind und auf Personenzertifikaten basieren, sind elektronische Siegel auf Organisationen ausgestellt.
Aktuelle Siegel-Lösungen basieren auf einer Siegelkarte, die das Organisationszertifikat und das Schlüsselpaar enthält. Technisch unterscheiden sich elektronische Signatur und elektronisches Siegel nur durch das ausgestellte Zertifikat, einmal auf eine Person, das andere Mal auf eine Organisation. Das hat einen großen praktischen Nutzen: Anwender, die eine Signatur-Lösung im Einsatz haben, können die vorhandene IT-Infrastruktur auch für die Siegelkarte nutzen. Neben einer Einzelarbeitsplatzlösung ist auch eine Multi-Siegelkarte für Serverlösungen oder für die Siegelung einer großen Anzahl von Dokumenten in der Stapelverarbeitung erhältlich.
Die Basis für das Internet der Dinge
Industrie 4.0, Smart Home oder Smart Traffic funktionieren nur dann, wenn jede Maschine, jedes Stück Hardware, jedes Gerät eine eigene, unverwechselbare Identität hat. Diese dient dazu, sich – ähnlich wie ein menschlicher Anwender – bei Zugriffen auf Systeme und Anlagen zu authentifizieren.
Der Identitätsnachweis erfolgt dabei in Form von Maschinen-/Gerätezertifikaten, die von einer Zertifizierungsstelle ausgegeben werden. Die Träger von Zertifikaten können fest in die Maschine integrierte Chips („Trusted-Platform-Module – TPM”) oder Smartcards sein.
Sie lassen sich für vier verschiedene Aufgaben einsetzen:
-
• Zum Nachweis der Sicheren Identität einer Maschine.
• Für das elektronische Signieren von Steuerbefehlen und Log-Daten, um die Maschine vor Manipulationen zu schützen und deren Herkunft zweifelsfrei nachzuweisen.
• Zur sicheren Verschlüsselung der Machine-to-Machine-Kommunikation (M2M).
• Für ein digitales Rechtemanagement, dass sicher stellt, dass die Daten vollständig an den gewünschten Empfänger übermittelt werden.
Wo sind Digitale Zertifikate erhältlich?
Ausgestellt werden Zertifikate von Zertifizierungsstellen, die als dritte, unabhängige Instanz fungieren. Zertifizierungsstellen mit dem höchsten Sicherheitsniveau werden in der Europäischen Union (EU) als qualifizierte Vertrauensdiensteanbieter (qVDA) bezeichnet. Die qVDA müssen verschärfte Anforderungen an Sicherheit und Haftung erfüllen. Dazu gehören beispielsweise die Gewährleistung von Datenschutz und Sicherheit, die Implementierung vertrauenswürdiger IT-Infrastrukturen sowie die Beweislastumkehr im Schadensfall.
Um ein Zertifikat zu erhalten, müssen die Personen, Organisationen oder Objekte ihre Identität – zum Beispiel mittels Personalausweis oder Handelsregister-Auszug – gegenüber der Zertifizierungsstelle nachweisen. Verläuft die Identitätsprüfung erfolgreich, erstellt die Zertifizierungsstelle anschließend das Schlüsselpaar und erzeugt ein Zertifikat, das alle notwendigen Identitätsinformationen, den öffentlichen Schlüssel, die Gültigkeitsdauer und den Namen der ausstellenden Institution inklusive deren digitaler Signatur zur Beglaubigung enthält.
Digitale Zertifikate müssen mit den dazugehörigen Schlüsseln erstellt, verwaltet und geprüft werden. Dafür benötigen Organisation eine Public-Key-Infrastruktur (PKI). Aufbau und Betrieb eines derartigen eigenen IT-Systems sind komplex und aufwändig. Zudem sind selbst erstellte Zertifikate außerhalb der Organisation nicht anerkannt – also für die vernetzte Industrie und andere Anwendungen kaum verwendbar.
Es empfiehlt sich deshalb, auf einen qualifizierten Vertrauensdiensteanbieter (VDA) zurückzugreifen, der diese Aufgabe übernimmt. Dabei können insbesondere klein- und mittelständische Unternehmen von einfach zu handhabenden Cloud-Angeboten profitieren.
Die als „Public-Key-Infrastructure-as-a-Service” bezeichneten Lösungen bieten ein effizientes Zertifkatsmanagement aus der Cloud und richten sich speziell an KMUs. Über Standardschnittstellen lassen sich bestehende Infrastrukturen und Systeme an die Public-Key-Infrastruktur des Diensteanbieters anbinden. Auf diese Weise wird es möglich, Zertifikate für elektronische Identitäten quasi auf Knopfdruck zu erstellen und manuell oder automatisiert zu beziehen. Über einen integrierten Prüfdienst können Anwendungen und Geschäftspartner jederzeit die Gültigkeit und Echtheit der Zertifikate bestimmen.
Ansprechpartner
Haben Sie Fragen zu unserem Verband oder einer Mitgliedschaft? Oder möchten Sie einen Experten des Verbands als Redner für Ihren Event gewinnen?
Dann sprechen Sie gerne unseren Geschäftsführer Christian Wilke an:
E-Mail:
info(at)vsdi.de
Telefon:
+49 (0) 30-2515 077