Die elektronische Welt bietet unendliche Möglichkeiten. Aber ihnen stehen Gefahren gegenüber, die insbesondere CIO in Unternehmen zum Thema machen müssen. Das Stichwort: ICT-Security. Sie hat für jeden CIO Priorität.
Drei wichtige Anforderungen
Die ICT-Anbieter haben die gesamte Prozesskette im Blick, End to end. Von der Planung von Sicherheitslösungen über die Implementation bis zum Betrieb und zur Beratung reicht das Angebot.
Ein Beispiel für Sicherheit sind elektronische Signaturen. Damit Dokumente in elektronischer Form sicher sind, müssen drei Anforderungen erfüllt sein. Erstens muss die Integrität eines Dokuments garantiert sein, das heisst: Nicht autorisierte Veränderungen müssen erkennbar sein. Zweitens müssen die Verbindlichkeit und die Nachvollziehbarkeit sichergestellt sein, damit die Echtheit des Dokuments nicht abgestritten werden kann. Drittens muss die Vertraulichkeit gewährleistet sein; das Dokument wird vor unbeabsichtigter und missbräuchlicher Veröffentlichung geschützt.
Höchste Sicherheitsstufe
Dazu kommt eine Zeitstempelfunktion, die exakt festhält, wann ein Dokument digital signiert wurde. So ist insgesamt eindeutig nachvollziehbar, ob es im Moment der Erstellung vertrauenswürdig war. Qualifizierte digitale Signaturen, die auf Zertifikaten anerkannter Anbieter basieren, ermöglichen eine eindeutige Identifikation der Geschäftspartner und sind damit ein wichtiges Element in der Sicherheitskette elektronischer Transaktionen. Ein Zertifikat auszustellen, ist die eine Sache. Damit es vertrauenswürdig ist, müssen auch die Prozesse der Ausstellung vertrauenswürdig sein und die Zertifikate von einer vertrauenswürdigen Infrastruktur verwaltet werden. Sogenannte qualifizierte Zertifikate, die der höchsten Sicherheitsstufe entsprechen und auch von der Eidgenössischen Steuerverwaltung anerkannt werden, dürfen nur von zertifizierten Certificate Service Providern ausgestellt werden. In der Schweiz hat KPMG das Mandat als Anerkennungsstelle übernommen. Swisscom wurde im Dezember 2005 als erster Anbieter zertifiziert.
Für die Verwaltung der Zertifikate über ihren gesamten Lebenszyklus ist eine Public Key Infrastructure (PKI) erforderlich. Diese ermöglicht die Ausstellung der Zertifikate, deren Erneuerung, die Überprüfung der Gültigkeit durch den Empfänger sowie die Aufhebung eines Zertifikats. Unternehmen, die Zertifikate einsetzen wollen, müssen diese PKI nicht selber aufbauen und unterhalten – sie kann gemietet werden.
Verbindliche Rechtsgeschäfte
Die qualifizierte elektronische Signatur entspricht gemäss Artikel 14 II des Schweizerischen Obligationenrechts der eigenhändigen Unterschrift (siehe Kasten). Somit kann in Unternehmen medienbruchfrei gearbeitet werden. Was bisher mit Papier erledigt und dann abgelegt wurde, kann nunmehr auch elektronisch erstellt und abgelegt werden.
Der elektronische Absender wird zum eindeutig identifizierbaren Vertragspartner, Rechtsgeschäfte lassen sich verbindlich auch elektronisch abwickeln.
Zu beachten ist: Die Signatur einer Nachricht und ihre Verschlüsselung sind zwei unterschiedliche Sachen. Beim Signieren erhält das elektronische Dokument «lediglich» die rechtsgültige Unterschrift, das persönliche Siegel des Absenders. Vor unbefugter Einsicht wird das Dokument erst geschützt, wenn es verschlüsselt oder über sichere Verbindungen (wie zum Beispiel ein Virtual Private Network, VPN) übertragen wird.