Der komplette Artikel: Kryptographie - der Kampf um die Schlüsselgewalt

Sicherheit in den Computernetzen ist ohne Datenverschlüsselung nicht zu haben. Nur wer soll dann die Milliarden von Schlüsseln verwalten?

Wer einen Liebesbrief über das Internet schickt, mag sich noch damit abfinden, daß ihn unterwegs viele Neugierige lesen könnten. Heikler wird es, wenn der elektronische Brief eine Bestellung mitsamt der Kreditkartennummer enthält. Wer weiß, ob sie auf dem Weg über die Netzrechner nicht irgendwo einem kleinen Abfangprogramm begegnet, das auf das Stichwort "Kreditkartennummer" lauert? Die Post reist im Internet von jeher völlig offen, und wenn die kommerzielle Erschließung der Netzwelt nicht recht vorankommen will, so liegt es vor allem daran.

Zum Glück sind längst Computerprogramme verfügbar, mit denen sich beliebige Nachrichten wirksam verschlüsseln lassen. Das populärste von ihnen ist unter dem Kürzel PGP (Pretty Good Privacy) bekannt, es liegt im Internet kostenlos bereit, und es ist viel sicherer als ein Briefumschlag. Es ist nur beileibe nicht so einfach zu handhaben.

Wer heute seine elektronische Post vor Unbefugten schützen will, bedarf einiger Leidensfähigkeit. Er muß vom Empfänger dessen Schlüssel anfordern, dann am Rechner das Programm starten und mit dem Schlüssel die Nachricht chiffrieren. Handelt es sich um eine Bestellung, wird auch noch eine digitale Unterschrift nötig sein. Dann ist zu klären, ob sich die Software mit derjenigen des Empfängers versteht. Allein von PGP gibt es bereits an die zwölf verschiedene Versionen.

Das sind eine Menge Sorgen, zumal sie bei jeder kleinen E-Mail anfallen. Am lästigsten ist wohl, daß man immer erst den Schlüssel des Empfängers anfordern muß. Schon bei durchschnittlich geselligen Privatleuten kommt da schnell ein digitaler Schlüsselbund grotesken Ausmaßes zusammen; von Unternehmen und Behörden zu schweigen.

Fachleute schlagen deshalb vor, die leidige Arbeit geeigneten Dritten aufzubürden, die sich darauf verstehen. Firmen oder gemeinnützige Organisationen könnten sogenannte Trustcenter errichten, die nichts anderes tun, als die Schlüssel ihrer Klientel möglichst verläßlich zu verwalten. Eine einfache Bestellung könnte dann beispielsweise ohne weiteres Zutun des Kunden abgewickelt werden: Der Netzrechner des Versandhauses handelte mit seinem Gegenüber vom Trustcenter alles online und vollautomatisch aus. Dritte erhielten keinen Zugriff auf die Daten. Der Kunde müßte sich nur vorher bei seinem Trustcenter ausgewiesen und seinen Schlüssel hinterlegt haben.

Solche Verfahren sind womöglich nicht mehr allzu fern: In Hamburg nimmt in diesen Tagen bereits das erste Trustcenter den Probebetrieb auf. Das Konzept hat federführend der Verschlüsselungsspezialist Michael Hortmann von der Uni Bremen ausgearbeitet. Für die nötige Technik sorgt der Internet-Anbieter MAZ , eine Tochterfirma von Thyssen . Das Interesse an dem Experiment ist groß. Der Hamburger Senat ist mit mehreren Landesbehörden daran beteiligt, auch Krankenkassen, Banken und selbst Softwarefirmen wie Netscape haben sich angeschlossen.