Digitales Signieren unsicher
Wissenschaftler der Uni Bonn konnten nachweisen, dass Signierprodukte durch Unbefugte manipulierbar sind. Trustcenter und Regulierungsbehörde sehen darin kein Problem.
Schon im September 2000 wurde an der Uni Bonn ein "Trojaner" programmiert, der bei verschiedenen auf dem Markt erhältlichen Signierprodukten nicht nur die PIN ausliest, sondern sogar ein signiertes Dokument nachträglich manipulieren kann. Eines davon war sogar zertifiziert und könnte der Verifizierung der seit dem 22. Mai gesetzlich zugelassenen digitalen Signatur dienen.
Öffentlich wurde dies in einem Vortrag auf dem Kongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Mai dieses Jahres. Dort berichteten Adrian Spalka und Hanno Langweg, wie sie im Rahmen ihrer Forschungsarbeit unter anderem das Produkt eTrust Mail 1.01 für MS Outlook der SignTrust, Trustcenter der Deutschen Post AG, kompromittiert hätten. Sicherheitslücken stellten sie auch bei den nicht zertifizierten Produkten PKSCrypt 1.1 der Deutschen Telekom, Trusted MIME 2.2.5 von Siemens SSE und GDtrust Mail 4.0.2 von Giesecke&Devrient fest. Allein SafeGuard Sign&Crypt 2.1.0 der Utimaco Safeware AG erwies sich als resistent.
Die im November informierte Post AG bat zunächst die Wissenschaftler, das Problem nicht öffentlich zu machen. In einer weiteren Stellungnahme orteten die Postler das Betriebssystem (MS Windows) als Schwachstelle. Im Januar erfuhr die RegTP (Regulierungsbehörde für Post und Telekommunikation) von dem Vorfall und ergänzte Ende Februar ihre Webseiten um einen Warnhinweis. Das BSI hingegen hatte im Vorfeld seines Kongresses die Wissenschaftler sogar aufgefordert, auf die Nennung der Post im Vortrag zu verzichten. Langweg und Spalka wollten sich darauf nicht einlassen; anschließend legte das BSI eine zuvor in Aussicht gestellte Kooperation auf Eis. Gegenüber iX verweigerte das Bundesamt jegliche Stellungnahme.
Eine Wertung des Ganzen lieferte die RegTP im Gespräch mit iX gleich selbst: "Es ist doch jedem bekannt, dass diese Produkte alle nicht sicher sind" so Referatsleiter Jürgen Schwemmer. Ausführlich über den Vorgang berichtet das IT-Profimagazin iX in Ausgabe 7/01, ab 14. Juni am Kiosk. (js)
