Verschlüsselung

Zertifizierungsstellen im Interview: SwissSign

10. Mai 2016
  • Verschlüsselung

© Robert Kneschke - Fotolia.com

Die Zertifizierungsstelle SwissSign hat gleich mehrere Besonderheiten: zum einen hat sie ihre Heimat in der Schweiz, die für Datensicherheit par excellence steht. Zum anderen ist die CA SwissSign Ableger der Schweizerischen Post AG und damit Teil des staatlichen Postunternehmens der Schweiz. Wir sprachen mit Markus Venetz, Head of Certificate Services bei der SwissSign AG, über die Herausforderungen in der Verschlüsselung und Vertrauen im World Wide Web.

SwissSign AG – einige Basisdaten

„SwissSign loves to keep you safe – Sicherheit ist SwissSign Sache“, erklärt sich die Schweizer Posttochter in wenigen Worten selbst. Die Schweizerische Post AG hat Tradition: gegründet wurde die Aktiengesellschaft im Januar 1849; sie hat ihren Sitz in Bern. Der Unternehmenszweig SwissSign entwickelte sich im Laufe der Jahrzehnte neben diversen weiteren neuen Dienstleistungen der Schweizerischen Post; einige Beispiele:

  • Swiss Post Box als Lösung fürs digitale Empfangen von Briefsendungen
  • IncaMail für sichere E-Mails
  • SuisseID für behördlich anerkannte elektronische Identitäten und digitale Signaturen

Meilensteine der SwissSign AG

Die SwissSign AG wird im Jahre 2001 mit dem Ziel gegründet, sich als zertifikatsbasierte IT-Sicherheits- sowie Datenschutz-Spezialistin zu etablieren. Vier Jahre später wird die Zertifizierungsstelle zu 100 % von der Schweizerischen Post übernommen. 2006 bewies sich SwissSign als die Spezialistin, die die Aktiengesellschaft sein möchte: die KPMG zertifizierte die CA, sodass nach außen hin sichtbar wurde, dass SwissSign qualifizierte Zertifikate nach ZertES („Bundesgesetz über die elektronische Signatur“) anbietet, weiter wird SwissSign WebTrust- und ISO 27001-zertifiziert.

Im Jahr 2007 produziert das Unternehmen das PostZertifikat für die Schweizerische Post und offeriert erstmals ein Organisationszertifikat, das den Vorgaben der „Verordnung des EFD über elektronische Daten und Informationen“ (ElDI-V) und der „Geschäftsbücherverordnung“ (GeBüV) entspricht. In 2008 präsentiert SwissSign ihren ersten hauseigenen Webshop. Außerdem entwickelt die CA im selben Jahr IncaMail für die Schweizerische Post; ein E-Mail-Dienst, der das sichere Mailen und Nachweisen erreichen möchte.

Die ersten SSL Gold EV- und SSL Wildcard-Zertifikate stellt SwissSign 2009 vor, 2010 folgen erste UCC/SAN sowie Code Signing-Zertifikate. Daneben entwickelt die Zertifizierungsstelle mit SuisseID und SwissSigner Tools für Signaturen. Die hauseigene Entwicklung IncaMail schafft es indes ins Behördenumfeld: die schweizerische Bundesverwaltung hat IncaMail anerkannt. In 2013 kann sich SwissSign darüber freuen, dass die eigenen Zertifikate den von der Eidgenössischen Finanzmarktaufsicht (FINMA) gestellten Anforderungen fürs Outsourcen von Bankdiensten entsprechen.

2014 ersetzt SwissSign die UCC/SAN-Zertifikate durch Multidomain-SSL-Zertifikate Gold sowie Gold EV. Weiter ersetzt der Schweizer das unsicher gewordene SHA-1 durch den seinerzeit aktuellen Standard SHA-2. Aufgrund geänderter Bestimmungen des tonangebenden CA/Browser-Forums nimmt SwissSign in 2015 Zertifikate mit einer fünfjährigen Laufzeit aus dem Programm. Der SwissSign Signing Service geht an den Start und SwissSign macht sich selbst quasi mobil: die neue responsive Website wird lanciert. Außerdem schafft es SwissSign, mit nur einem Zertifikat Domänen mit und ohne „www“ zu schützen.

Zum Selbstverständnis der SwissSign AG

Mit unserem Interview zusammen erhalten wir einen kurzen Abriss des Selbstverständnisses von SwissSign: „Sichere E-Business-Prozesse bauen auf vertrauenswürdige Identitäten in Form von digitalen Zertifikaten. SwissSign ist ein führender Anbieter von einfachen Services für vertrauenswürdige digitale Identitäten. SwissSign bietet digitale Zertifikate für Server und Geräte – SSL und Device Zertifikate –, für Personen, Behörden und Unternehmen als Einzelprodukte oder als Managed PKI Zertifikat Services. Weitere SwissSign Angebote sind Zeitstempel- und Signatur-Dienste. SwissSign ist ein Unternehmen der Schweizerischen Post und Mitglied des Labels «swiss made software»“, erklärt sich die CA.

Die folgenden Punkte der hauseigenen Firmenphilosophie empfindet SwissSign als erwähnenswert:

  • „Swiss-made“: sämtliche SwissSign-Produkte werden in der Schweiz entwickelt. Das hat zur Folge, dass „Generalschlüssel“ für SwissSign-Zertifikate bei zwei Banken in der Schweiz hinterlegt werden. Weitere Folgen dieser Tatsache erklärt Markus Venetz unten im Interview.
  • Vertrauen: als Tochter der Schweizerischen Post gehört es zum Selbstverständnis, „absolute Diskretion, Zuverlässigkeit, Sicherheit und Stabilität“ bei sämtlichen Produkten zu wahren.
  • Prominenz: SwissSign stellt Zertifikate in mehr als 50 Ländern aus. Die Zertifikate finden bei allen relevanten Betriebssystemen, Browsern sowie mobilen Endgeräten automatisch Anerkennung und integrieren Lösungen von SwissSign-Partnern.
  • Einsatz: „Zuverlässigkeit bis ins letzte Detail“ gehört zur Firmenphilosophie, was zur Folge hat, dass der Support mehrsprachig unterstützt.
  • Responsive: SwissSign betont das Zuschneiden der Managed PKI Zertifikat Services auf die Kundenbedürfnisse: SwissSign-Kunden soll es „einfach, schnell und rund um die Uhr“ gelingen, Zertifikate über das Web-Interface oder Partnerlösungen zu erhalten.

Mitgliedschaften und Zertifizierungen der SwissSign AG

Schon im Gespräch mit Comodo wurde sichtbar, dass sich erfolgreiche Zertifizierungsstellen oft auch außerhalb des eigenen Unternehmens präsentieren müssen, um Vertrauen zu ernten – schließlich verkaufen Zertifizierungsstellen Produkte, bei denen es um Vertrauen geht. Um ernst genommen zu werden, müssen also Zertifizierungen und Engagement außerhalb der eigenen Firmenwände feststellbar sein. Das weiß auch SwissSign. Mit der Anerkennung als offizielle CA, die von der KPMG Schweiz nach ausreichender Prüfung kam, war SwissSign zum Ausstellen qualifizierter elektronischer sowie fortgeschrittener Zertifikate berechtigt.

Durch diese Anerkennung ist SwissSign beispielsweise berechtigt, SuisseID herauszugeben: das qualifizierte Zertifikat stellt gemäß Schweizer Obligationsrecht die eigenhändige Unterschrift der qualifizierten elektronischen Signatur gleich. Ebenso dient diese Anerkennung der Herausgabe digitaler Zertifikate an Organisationen und Unternehmen, die mit dem Schweizer Recht zur elektronischen Rechnungsstellung sowie zur Archivierung konform gehen. Neben der „Zertifizierung für qualifizierte Zertifikate SuisseID und Organisationszertifikate“ und der „Zertifizierung für fortgeschrittene Zertifikate Extended Validation (EV) und Enduser“ erhielt SwissSign auch die ISO 27001-Zertifizierung (jeweils PDF).

Seit 2009 ist SwissSign auch Mitglied im CA/Browser Forum, welches das Ziel verfolgt, die Sicherheit im World Wide Web zu erhöhen. Dabei beteiligt sich SwissSign, neben zahlreichen anderen Mitgliedern, am Entwickeln von Standards fürs Ausstellen und Verwalten von SSL-Zertifikaten. Daneben gehört SwissSign zu den Technologiepartnern der TeleTrusT European Bridge CA (EBCA). Die EBCA bildet als Projekt des Bundesverbands IT-Sicherheit e. V. (TeleTrusT) einen Zusammenschluss von einzelnen und gleichberechtigten Public-Key-Infrastrukturen (PKI) zu einem PKI-Vertrauensverbund. Ziel ist es, dass beteiligte Unternehmen, öffentliche Verwaltungen sowie Institutionen sicher und authentisch miteinander kommunizieren. Weiter gehört SwissSign zum Label „swiss made software“, das die Schweizer Qualität in der Entwicklung von Software nach außen tragen möchte.

Markus Venetz, Head of Certificate Services bei SwissSign, im Interview

SwissSign steht für Schweizer Qualität, für Sicherheit und für Vertrauen. Als Mitglied wichtiger Zusammenschlüsse beteiligt sich die Zertifizierungsstelle aus der Schweiz rege an der Weiterentwicklung der Sicherheit im Internet. Wir hatten das große Vergnügen, mit Markus Venetz, dem Head of Certificate Services bei SwissSign, über Verschlüsselung und Vertrauen zu sprechen – herzlichen Dank für Ihre ausführlichen Antworten und die Zeit, die Sie sich für unsere Leserinnen und Leser genommen haben, Herr Venetz!

PSW GROUP: Was ist im Jahr 2016 die größte Herausforderung in der Verschlüsselung?

Markus Venetz (MV): Dieses Jahr steht im europäischen Raum die Umsetzung der eIDAS Gesetzgebung als europäischer Standard an. SwissSign stellt sich dieser Herausforderung und wird in Kürze Signaturen und Verschlüsselungen gemäß eIDAS anbieten.

Generell gilt im Jahr 2016 wie in den Jahren zuvor, dass ein Augenmerk auf die Verschlüsselungsalgorithmik und -technologie geworfen werden muss. Stand in 2015 der Wechsel von SHA1 zu SHA2 an, wird SwissSign in den nächsten Jahren beobachten, wann der beste Zeitpunkt für die Einführung von SHA3 erfolgen wird.

Für den umfassenden Verschlüsselungsbereich des „Internet der Dinge, IoT“ sind insbesondere die „Elliptischen Kurven“ in den Krypto-Operationen wichtig. Hier sind durch den IETF im Januar erstmalig Standards für das Internet festgelegt worden. Aufbauend auf diesen Standards wird nun auch der RFC Standard für TLS bald erweitert und auf allen Plattformen eine einheitliche Nutzung derselben Kurven ermöglichen.

SwissSign hat seine Roadmap entsprechend für Zertifikate basierend auf diesen Elliptischen Kurven erweitert, um den wachsenden IoT Markt bedienen zu können. Eine besondere Herausforderung ist, dass viele IoT Geräte fest verdrahtete private Schlüssel haben und sehr häufig alle die gleichen privaten Schlüssel führen. Auch seitens der Industrie ist deshalb diesbezüglich noch einiges an Anstrengung notwendig, damit Verschlüsselung sinnvoll umgesetzt werden kann.

PSW GROUP: Wie stehen Sie zu der Initiative Let’s Encrypt?

MV: Wir begrüßen „Let’s Encrypt“ sehr. Es schärft bei allen Internetbenutzern das Bewusstsein, dass nur eine https-Verbindung wirklich Sicherheit bringt. Und es ermöglicht auch vielen Privatpersonen, Blogs oder Informationsseiten, denen bisher der Einsatz eines Zertifikates zu teuer war, ein solches einzusetzen. Die Initiative hat in kurzer Zeit die gesellschaftliche Sensibilität zum Thema Sicherheit geschärft, dieser Umstand ist unseres Erachtens sehr positiv zu werten. Zudem sind die neuen Mechanismen des Zertifikatsbezugs auf Knopfdruck, d. h. diesen benutzerfreundlich zu gestalten und anzubieten, ein Modell, welches wegführend für alle Applikationen sein sollte.

PSW GROUP: Vielfach ist in Internetforen, in Blogs oder anderen Medien zu lesen, SSL-Zertifikate sollten kostenfrei ausgestellt werden; Validierungsstufen seien lediglich der Versuch von Zertifizierungsstellen, Geld zu kassieren. Wie begegnen Sie diesem Vorwurf?

MV: Die Wertigkeit der Validierung wird primär durch das Bedürfnis des Kunden definiert, welches Risiko zu nehmen er bereit ist. Je höher die Validierungsstufe, desto personalintensiver und wertiger die Identifikation und Sicherheit. Entscheidend gilt es zu präzisieren, dass es hierbei nicht um die Frage von Verschlüsselung und Transportsicherheit geht, sondern dass ein unabhängiger, vertrauenswürdiger Dritter auf Basis geeigneter Prüfung die digitale Identität ausstellt. Die Aufgabe der Zertifikatsdienstanbieter besteht genau darin, als dieser unabhängige Dritte die Identität zu bestätigen.

Wenn bei der Webseite nur die Verschlüsselung und der sichere Transportkanal relevant sind, dann können domänenvalidierte Zertifikate die geeignete Wahl sein. Ist jedoch die Garantie entscheidend, dass der Nutzer sicher sein kann, dass er sich tatsächlich auf der richtigen Webseite einer bestimmten Firma oder Organisation befindet, dann ist ein organisationsvalidiertes oder EV Zertifikat unabdingbar.

Kostenfrei bedeutet auch nicht unbedingt ohne Kostenfolgen. So steht z. B. hinter Let’s Encrypt eine Stiftung, die aufgrund vielseitiger Interessen Geld spendet, um den kostenintensiven Betrieb einer CA zu gewährleisten. Fallen die Geldgeber weg, so können auch keine Zertifikate mehr bezogen werden.

Wer selber einmal im Unternehmen eine PKI aufgezogen hat kennt die Aufwände, die alleine bei einer „private PKI“ erforderlich sind. Neben Hardware, Backup, Hosting, Schlüsselverwaltung und -erneuerung etc. müssen die Systeme laufend gewartet und geschützt werden. Eine öffentliche CA stellt sich zudem aufgrund Haftungs- und Compliance-Anforderungen einer noch größeren Verantwortung. So werden die internen Prozesse und Systeme laufend durch Audits geprüft und zertifiziert sowie an die aktuellen Standards der Browser- und Betriebssystemhersteller angepasst. Als aktives Mitglied im CA Browserforum und auch Mitglied in der Europäischen Bridge CA ist SwissSign diesbezüglich sehr engagiert, die internationalen Prüfstandards auch im Interesse der europäischen Kunden und CAs zu gestalten. Der Preis hat also einen konkreten Gegenwert und wir sind bestrebt, die hohe Qualität durch die Leistungserbringung im eigenen Hause sicherzustellen und nicht bei Dritten einzukaufen. Die Schließung mehrerer CAs in Deutschland hat gezeigt, dass gutes Wirtschaften hier angebracht ist, vor allem im Interesse der Kunden, die Zertifikate für ihr Geschäft beziehen und sich darauf verlassen wollen. Denn „stirbt“ eine Root CA, so muss das Unternehmen alle Zertifikate ersetzen, ein kostspieliger Schaden, den z. B. einige Firmen in Deutschland in den letzten Jahren leider erfahren mussten.

PSW GROUP: Wieso lassen sich Ihrer Meinung nach verhältnismäßig wenige Menschen und Unternehmen auf Verschlüsselung ein? Was muss sich ändern, damit Verschlüsselung endlich massentauglich wird?

MV: Verschlüsselung ist vergleichbar mit dem Einbruchsschutz im eigenen Heim. Das Haus wird häufig leider erst dann gesichert, nachdem ein Einbruch stattgefunden hat. Hinzu kommt, dass bei der digitalen Verschlüsselung die Anwendung zur Einbruchssicherung immer noch in vielen Bereichen zu komplex ist. Wir haben festgestellt, dass Firmen die Wichtigkeit der Verschlüsselung erst erkannt haben, nachdem sie ein ungutes Gefühl hatten, weil sie z. B. eine mögliche Kopie ihres Produktes auf einer Messe gesehen hatten. Des Weiteren zeigt sich, dass bei Firmen mit hoher Sensitivität für Verschlüsselung die digitale Transformation einen hohen Stellenwert hat und oft auch zur „Chefsache“ erklärt wird.

Der Schlüssel zum Erfolg liegt dabei in einer effektiven Sicherheitspolitik. Das Portfolio der notwendigen Sicherheitsmaßnahmen kostet Geld, deshalb ist es entscheidend, dass der konkrete Nutzen und Mehrwert aufgezeigt werden kann. Gesetzliche Vorgaben wie in Deutschland, wo die Geschäftsführung für den Datenschutz persönlich haftbar gemacht werden kann, untermauern natürlich die Notwendigkeit eines institutionalisierten Sicherheitskonzepts, bei welchem die Verschlüsselung eine signifikante Komponente darstellt.

Oben erwähnte Initiativen zeigen überdies, dass Verschlüsselung, die dann noch einfach implementiert werden kann und praktisch wartungsfrei ist, breite Unterstützung findet. Kern einer CA Tätigkeit sollte es daher sein, seinen Kunden nicht einfach Zertifikate anzubieten, sondern den Nutzen dank effektiver Lösungen aufzuzeigen. SwissSign kooperiert intensiv mit Partnern zusammen, die zum Beispiel Auto-Enrollment-Lösungen oder Mailgateways anbieten und ist in deren Lösungen integriert. Mit Hilfe solcher Systeme kann die Komplexität der Zertifikatsverwaltung und -verteilung reduziert und kostengünstig automatisiert werden.

PSW GROUP: Ist Verschlüsselung Ihrer Meinung nach Aufgabe der Politik, der Wirtschaft oder des Verbrauchers?

MV: Dies ist meines Erachtens eher eine Frage des „sowohl als auch“ als des „entweder oder“. Die Politik hat die Aufgabe, ihre Bürger vor Betrug und Missbrauch zu schützen. Das betrifft den persönlichen Datenschutz, den Verbraucherschutz („sicheres Einkaufen“) aber auch die Aufklärung über neue Gefahren im Netz. Hierbei hinkt die Politik aber naturgemäß der Technik hinterher und hat Schwierigkeiten, moderne Technikvorfälle in alte Gesetze hineinzupressen, die hierfür nicht geschaffen waren. Sehr prominent wurde das im angelsächsischen Recht gezeigt, als das FBI für die Entschlüsselung des iPhones in einer Strafsache das „All Writs Act“ aus dem Jahre 1789 heranzog.

Aber auch bei uns müssen technische Fälle juristisch einordbar werden. Ein typisches Beispiel ist ein Betreiber eines Internetcafés, der zur Finanzierung seines Betriebes bei unverschlüsselten Webseiten die eingeblendete Werbung gegen eigene oder an ihn bezahlte austauscht. Wie ist das zu bewerten? Wie sieht die Haftung aus, wenn diese Werbung Malware enthält? Ist hier sogar der Betreiber einer Webseite Schuld, weil er – ähnlich wie bei der Störerhaftung im WLAN – diese nicht verschlüsselt hat?

Die Wirtschaft wird bei der Verschlüsselung immer das Eigeninteresse vor Augen haben: den Schutz ihrer Daten, ihres Know-hows, der Innovation und des Geschäftsmodells an sich. Zugleich stehen die Wirtschaftlichkeit und damit die Kosten im Fokus. Dies ergibt Chancen und es entwickeln sich daraus immer bessere Verschlüsselungspraktiken oder effizientere Roll-Out Systeme. Damit verringern sich die Aufwände für Setup und Betrieb drastisch und alle profitieren. Die Wirtschaft giert aber auch nach Daten, da diese einen Wert haben und daraus ein äußerst profitables Geschäftsmodell entstanden ist (Stichwort Big Data). Es ist wiederum Aufgabe der Politik, diesen Datenhunger zu zügeln, Monopole zu vermeiden und den gesetzlichen Rahmen zu definieren, um die Bürger zu schützen.

Ähnlich wie beim Eigenheim liegt es aber auch am Verbraucher selbst, sich z. B. über Praktiken des Internetbetrugs zu informieren, dessen Gefahren zu erkennen und zum eigenen Schutz entsprechende Tools, z. B. für die Verschlüsselung, zu nutzen. Und auch als Verbraucher muss man sich immer wieder die Frage stellen, wie viele Daten man von sich unverschlüsselt preisgeben will. Da ist Selbstverantwortung gefragt.

PSW GROUP: Was zeichnet das Angebot Ihrer Zertifizierungsstelle aus? Was unterscheidet Ihr Unternehmen von Mitbewerbern?

MV: SwissSign Zertifikate sind bereits in über 50 Ländern ausgestellt und werden von allen bedeutenden Betriebssystemen, Browsern und Mobilgeräten automatisch erkannt. Aus Kundensicht stehen neben Funktionalität und Preis folgende Fragen im Vordergrund: Welcher Zertifizierungsstelle kann ich mein Vertrauen über Daten und Kommunikation geben? Wenn ich meine Verschlüsselung im Unternehmen auf diese Zertifizierungsstelle umstelle, habe ich da die Sicherheit, nicht in wenigen Jahren wieder wechseln zu müssen? Verschlüsselung ist ein komplexes Thema, bekomme ich bei Bedarf kompetent und schnell Hilfe und Support? Darauf hat SwissSign gute Antworten:

Zunächst steht das Angebot von SwissSign für „made in Switzerland“. Da mag man auf den ersten Blick die Stirn runzeln, denn ein standardisiertes Zertifikat ist kein Schweizer Taschenmesser. Jedoch ist es als Zertifikatsdienstanbieter essentiell, die Identitäten zuverlässig festzustellen und Verschlüsselungen zu ermöglichen. Jeder Staat und jede Organisation hätte die Möglichkeit, über z. B. „Man-in-the-Middle“ mit Hilfe einer Zertifizierungsstelle den Datenverkehr auszuschnüffeln. Der „Generalschlüssel“ hierzu ist die Kontrolle und der Zugriff auf die Zertifizierungsstelle. Hier spielt die jahrhundertealte, gefestigte Rechtssituation, die traditionelle Neutralität und die gelebte Volksdemokratie in der Schweiz eine besondere Rolle: einen richterlich nicht legitimierten Zugriff kann es hier nicht geben. Wir erleben gerade in jungen Demokratien, wie z. B. Polen, wie schnell dort Gesetze kippen können – mit der neuen Internetüberwachung abseits von richterlicher Kontrolle für Polizei und Geheimdienst. Zudem sind wir eine der wenigen CAs, die alle Verträge mit demselben Recht abschließt, mit welchem auch die Zertifizierungspraxis der CP/CPS erfolgt, nämlich nach Schweizer Recht.

Als Tochter der Schweizerischen Post bieten wir auch finanzielle Sicherheit und Zuverlässigkeit, die einer der größten Arbeitgeber der Schweiz bieten kann. Wir legen höchsten Wert auf die sorgfältige Überprüfung von Identitäten, entwickeln unsere Software zu 100% in der Schweiz und schützen unserer Zugänge durch die Hinterlegung unserer Rootzertifikate bei Schweizer Banken. Wir sind wohl auch die einzige Zertifizierungsstelle weltweit, die im eigenen Konzern noch eine Bank, die Postfinance mit ihren über 115 Milliarden CHF Kundenvermögen, durch SwissSign Zertifikate schützt. Somit kennen wir die hohen Anforderungen aber auch das Schadenspotential, welches durch ein kompromittiertes Rootzertifikat entstehen könnte – so wäre der Betrieb einer Bank für Tage gelähmt oder unmöglich, da bei jedem Geldautomaten im Falle einer Kompromittierung das Zertifikat ausgetauscht werden müsste.

Zuverlässige Stromlieferung und ausgezeichnetes Hosting, welches auch von der Schweizerischen Grundversorgung für einen 24/7 Betrieb genutzt wird, garantieren zudem höchste Verfügbarkeit und Stabilität. „Last but not least“ gilt es zu erwähnen, dass viele, die einmal Telefonsupport aus fernen Ländern erhalten haben, einen lokalen Support zu schätzen wissen. Wir stellen dies mit eigenem, kompetenten Telefon- und Mail-Support in Deutsch, Französisch und Englisch und Vor-Ort-Service dank weit verbreitetem Partnernetz sicher.

PSW GROUP: In unserem Berufszweig ist Vertrauen unglaublich wichtig. Warum vertrauen Kunden Ihrem Unternehmen?

MV: Vertrauen ist das A und O unseres Business. Wie bereits erwähnt gründet das Vertrauen unserer langjährigen Kunden einerseits in der Kompetenz und Erfahrung unserer Mitarbeiter und den hohen Qualitäts- und Sicherheitsstandards, andererseits tragen die politische und gesellschaftliche Stabilität der Schweiz, ihr Rechtssystem und Datensicherheit wesentliches dazu bei. Darüber hinaus ist unsere Präsenz vor-Ort und Mehrsprachigkeit vielen Kunden wichtig. Unser Ziel ist es, Versprechen zu halten und die Erwartungen zu übertreffen, das schafft Vertrauen. So vertraut auch SwissSign seinen Kunden und die Kunden spüren das. Im Gegensatz zu anderen Markteilnehmern begrenzen wir zum Beispiel bei einer Managed PKI technisch die Anzahl der bezogenen Zertifikate nicht, denn ein unkomplizierter, einfacher und schneller Zertifikatsbezug rund um die Uhr ist für unsere Kunden entscheidend. Gegenseitiges Vertrauen ist die Grundlage und es ist uns wichtig, ein verlässlicher Partner zu sein, für unsere Lieferanten, Kunden und Partner.

PSW GROUP: Wie schätzen Sie die Probleme ein, die in der Wirtschaft durch unverschlüsselte Kommunikation entstehen?

MV: Das Problem wird sein, dass die Wirtschaft wahrscheinlich gar nicht abschätzen kann, welcher Schaden durch unverschlüsselte Kommunikation entsteht. Im großen Kontext hat der Fall Snowden eindrücklich gezeigt, welche Dimensionen Überwachungen angenommen haben. Abschließend sind deren Konsequenzen noch nicht absehbar und werden uns noch eine Zeit lang beschäftigen.

So sind auch die wirtschaftlichen Folgen von Kunden, die Opfer von Phishing Mails wurden und sich deswegen auch vom Anbieter abwenden, nur sehr schwer quantifizierbar. Auch Produktpiraterie lässt sich nicht eindeutig auf gestohlene Daten einer unverschlüsselten Kommunikation zurückführen, aber der Zusammenhang ist sicherlich gegeben. Firmen wie Kaspersky, aber auch die Dokumente von Snowden zeigen eindrucksvoll, welche Möglichkeiten zur Datenspionage bereits heute existieren und genutzt werden. Das Schadenrisiko als Produkt von Schadenhöhe und Eintrittswahrscheinlichkeit ist in der Kommunikation schwieriger zu ermitteln als in anderen Bereichen. Es ist aber unbestritten gegeben. Dank dem Einsatz von Sicherheitslösungen vertrauensvoller Anbieter kann dieses Risiko gesenkt werden. Hierbei kommt auch den Zertifikatsdienstanbietern eine wichtige Rolle zu: Sie leisten einen aktiven Beitrag zur Bewusstseinsbildung und stellen maßgeschneiderte Lösungen bereit.



0 Kommentar(e)

Schreibe einen Kommentar