Informatikern der Universität Bonn ist es gelungen, Software zum Erstellen digitaler Signaturen zu knacken. Das Programm galt als eines der sichersten. Mit Hilfe eines so genannten Trojanischen Pferdes, einer Art Computervirus, konnten die Wissenschaftler das Signierprodukt manipulieren. Wie sicher ist die Software wirklich? Im n-tv.de-Gespräch dazu Bernhard Hecker, Product Manager für den Security Bereich bei Retarus Network Services, einem Unternehmen, das sich auf Lösungen im Messaging Umfeld spezialisiert hat.

n-tv.de: Was sind Trojanische Pferde?

Bernhard Hecker: Trojanische Pferde sind ein altbekanntes Problem. Die bekanntesten sind wohl SUB7 oder BackOrifice. Mit diesen Programmen lassen sich Computer fernsteuern und zwar so, dass es der Anwender des infizierten Computers nicht merkt. Trojanische Pferde werden entweder per in E-Mail-Nachrichten oder in Programmen, die man aus dem Internet laden kann, versteckt. Sie verhalten sich ähnlich wie herkömmliche Computerviren, indem sie sich unbemerkt für das Opfer installieren, allerdings verbreiten sie sich klassischerweise nicht selbständig weiter.

n-tv.de: Wie kann man sich davor schützen?

Bernhard Hecker: Gegen Trojanische Pferde kann man sich recht effektiv mit einem Antivirenprogramm und einer Firewall schützen. Die heute üblichen Antivirenprogramme erkennen die meisten Trojaner sehr effektiv und können sie von infizierten Computern löschen. Eine Firewall ist ein effektiver Schutz, da sie nur auf speziellen Ports Zugriff auf einen Computer gestattet und alle unnötigen Ports grundsätzlich sperrt. Trojanische Pferde nutzen fast immer einen dieser "unnötigen" Ports, um den Zugriff auf einen Computer zu ermöglichen.

n-tv.de: Was haben die Bonner Informatiker herausgefunden?

Bernhard Hecker: Der Angriff der Bonner Informatiker bestand offensichtlich daraus, den PIN CODE der digitalen Signatur auszuspähen, was mit einem Trojaner nicht schwierig ist, da über Trojaner alle Tastatureingaben protokolliert und an den Angreifer übertragen werden können. Dieser PIN Code muss eingegeben werden, um die Schlüssel frei zu schalten, mit denen ein Dokument elektronisch signiert wird.

n-tv.de: Die Bundesregierung hat die "Digitale Signatur" ja im März gesetzlich verankert, u.a. um den E-Commerce zu fördern. Sollte man nun lieber die Hände von Signatur-Produkten lassen?

Bernhard Hecker: Die Hände sollte man nicht unbedingt von Signatur-Produkten lassen. Die Frage ist zunächst: Wer signiert wann und was? Wie viele rechtlich verbindliche elektronische Signaturen werden denn heute mit Systemen erstellt, die dem Signaturgesetz entsprechen? Ich kenne niemanden persönlich, der eine elektronische Signatur gemäß den Gesetzen überhaupt erstellen kann. Insofern ist das ganze natürlich mit Vorsicht zu genießen, aber die Entwicklung der entsprechenden software, die nötig ist, um sicher zu unterschreiben, ist noch lange nicht abgeschlossen. Es wird sicherlich noch einige zeit vergehen, bis die Systeme wirklich sicher sind.

n-tv.de: Kann es Ihrer Meinung nach überhaupt "sichere Systeme" geben?

Bernhard Hecker: Ja, es kann sichere Systeme geben. Es gibt allerdings auch hier unterschiedliche Ansätze. Sicher bedeutet ja nicht so sicher, dass es unter keinen Umständen und nie, auch nicht in einer Million Jahre, zu öffnen ist. Sicher heißt, es ist in vernünftiger Zeit nicht zu öffnen, und es erfordert einen erheblichen Aufwand, an Informationen zu gelangen, die den Angriff auf die gesicherten Informationen unwirtschaftlich werden lassen. Wofür sollte ich einen Rechner kaufen, der eine Million DM kostet um Daten zu entschlüsseln, die ich für fünfhunderttausend DM verkaufen kann?

Wir haben gelernt, in allen Bereichen mit einem gewissen Restrisiko zu leben - im Straßenverkehr, bei Türen und Fenstern unserer Wohnungen, oder wenn wir Bargeld in Geldbeutel und Hosentaschen stecken... Die Sicherheit muss sich immer den Erfordernissen anpassen, so auch in den Zeiten von internationalen Netzen und Computern. In diesem Bereich können wir allerdings die Gefahren nicht so gut einschätzen. Wir haben keine exakten Statistiken und zu wenig Erfahrungen. Das wichtigste hier ist, dass wie ein Bewusstsein für die Gefahren schaffen (ich muss wissen, dass es Taschendiebe gibt und was sie tun), um eine vernünftige Sicherheit in der Umgebung zu schaffen. Ich persönlich setze auf meinem Notebook eine Personal Firewall und ein Antivirenprogramm ein und verschlüssle einen Teil der Daten auf der Festplatte. Das reicht für meine Anforderungen - für einen Geheimdienstrechner wäre das wohl nicht ausreichend.

Vielen Dank für das Gespräch.

(Die Fragen stellte Tatjana Brode.)