Informatikern der Universität Bonn ist es gelungen, Software zum Erstellen digitaler Signaturen zu knacken. Das Programm galt als eines der sichersten.

Mit Hilfe eines so genannten Trojanischen Pferdes, einer Art Computervirus, konnten die Wissenschaftler nicht nur die PIN eines Signierproduktes herausfinden, sondern auch das signierte Dokument manipulieren. Gezeigt wurde die Angriffsmöglichkeit bereits im September 2000 am Beispiel von eTrust, einem Produkt der Deutschen Post. Die Bonner Informatiker, Prof. Dr. Armin B. Cremers, Dr. Adrian Spalka und Hanno Langweg, wiesen jedoch darauf hin, dass die Sicherheitslücke auch bei ähnlichen Produkten bestehe.

Die Post reagierte zunächst nicht auf die Entdeckung. Später nannte sie das Betriebssystem Windows als Unsicherheitsfaktor. Die Regulierungsbehörde für Post und Telekommunikation (RegTP) schob den schwarzen Peter den Nutzern zu. Sie weist seit Februar auf ihrer Website darauf hin, "dass Anwenderkomponenten, welche z.B. zur Erzeugung bzw. Verifikation digitaler Signaturen eingesetzt werden, nur auf vertrauenswürdigen IT-Systemen betrieben werden sollten". Private User jedoch sind bekanntlich nicht immer mit "vetrauenswürdigen IT-Systemen" ausgestattet.

Inzwischen haben die Bonner Informatiker einen Lösungsansatz für das Problem entwickelt. Ihr Troyan Resistant Secure Signing-Verfahren bietet laut Bundesamt für Sicherheit in der Informationstechnik (BSI) "einen erfolgversprechenden Ansatz zur weitergehenden Absicherung der technischen Infrastrukturen zur Erstellung digitaler Signaturen". Umgesetzt wurde der Ansatz bisher nicht.