Initiative gemeinsames Wahlprogramm/Anträge für die Umfrage 2013/Wahlprogramm BPT - 206

Die Piratenpartei setzt sich dafür ein, ein staatlich finanziertes Trustcenter einzurichten, das jedem Bürger unabhängig vom Einkommen die Möglichkeit gibt, Dokumente und E-Mails für eine abhörsichere Korrespondenz zu verschlüsseln und rechtskräftig digital zu signieren.

Die dafür notwendigen Zertifikate sollen deshalb für Privatpersonen (nicht juristische Personen) kostenlos zu erwerben und zu verwenden sein und dazu dienen, jedermann abhörsichere Kommunikation und rechtssichere Geschäfte bzw. Vertragsabschlüsse über das Internet zu ermöglichen.

Die Erstellung der Zertifikate hat so zu erfolgen, dass der Staat technisch nicht in der Lage ist, mit diesen Zertifikaten verschlüsselte Inhalte zu entschlüsseln (d.h. er darf keine Kenntnis der geheimen Schlüssel besitzen).

Obwohl es die passende Technik schon länger gibt, ist es faktisch auch heute nicht möglich, im Internet rechtssicher zu unterschreiben, Verträge zu schließen oder signierte E-Mails zu verschicken. De facto muss dass immer noch per Fax (was sehr unsicher ist) und Brief geschehen. Die elektronische Unterschrift mit Hilfe von Signaturen und Zertifikaten fristet ein Mauerblümchen-Dasein. Die Ursachen sind einfach: Für Privatleute ist es kompliziert und vor allem teuer, die dafür notwendigen Zertifikate zu bekommen. Man kann nicht mal eben wo hingehen und das in fünf Minuten erledigen. Deshalb macht es kaum jemand. Die Folge ist, dass es für Unternehmen und staatliche Stellen unattraktiv ist, die Technik dafür aufzubauen. Es gibt daher nur wenige Möglichkeiten, sich per Signatur zu identifizieren. Und Möglichkeiten für verschlüsselte E-Mail Kommunikation sind noch sehr viel seltener, da dafür Sender UND Empfänger ein Zertifikat haben müssen. Das macht es für normale Bürger uninteressant, sich ein teures Zertifikat zu leisten. Je verbreiteter aber der Einsatz von Zertifikaten wäre, desto größer wäre der Nutzen. Ein echtes Henne-Ei-Problem. Drei Hürden müssen übersprungen werden, um eine breite Akzeptanz zu erreichen:

1. Die Identifikation der Person (dass sie beweist, dass sie die Person ist, die sie vorgibt zu sein) muss vereinfacht werden.
2. Die Kosten für ein Zertifikat müssen runter auf 0 Euro (für ein persönliches Zertifikat).
3. Die Handhabung mit dem Zertifikat muss einfach sein.

Die Zutaten für eine Lösung gibt es schon: Melde-Amt und z.B. ePerso! Wer sich beim Melde-Amt einen neuen Personalausweis mit Signatur-Funktion bestellt/holt, muss sich ausweisen. Die Identifikation der Person für ein Zertifikat kann das Melde-Amt also gleich miterledigen. Der zusätzliche Aufwand dafür ist gleich Null. Für die Zertifikatserstellung sollte der Staat ein entsprechendes Trustcenter aufbauen. Ein über diese Infrastruktur erstelltes Zertifikat könnte dann auf dem Personalausweis gespeichert werden. Die Ausstellung des Zertifikats und die Speicherung auf dem ePerso muss für den Bürger kostenlos sein. (Wichtig zu wissen ist, dass ein vollständiges Zertifikat einen privaten Schlüssel enthält, der jedoch vom Zertifikatinhaber selbst und nicht vom Trustcenter erstellt wird. Das Trustcenter, ob nun staatlich oder nicht, kennt diesen also NICHT und hat deshalb aus technischen Gründen KEINE Möglichkeit verschlüsselte Daten zu entschlüsseln bzw. sogar digitale Signaturen zu fälschen.) Das Trustcenter bekommt lediglich den öffentlichen Schlüssel zu Gesicht und unterschreibt diesen selbst digital um zu bestätigen, dass dieser tatsächlich zur Person gehört. Damit kann jeder, der den neuen Perso hat, Online (mit RFID-Leser am PC) und vor Ort bei Unternehmen mit dem Perso unterschreiben und rechtssicher Verträge schließen und beenden. Das ist von der Handhabung her super einfach und sicher (genug). Wenn man den ePerso nicht dafür verwenden möchte, dann kann man das Zertifikat natürlich auch in ein E-Mail Programm importieren und so verwenden, wie man dies bisher auch schon mit kommerziellen Zertifikaten machen kann. Ein staatliches Trustcenter wird außerdem ein hohes Vertrauen genießen, weil es mindestens wie ein kommerzielles Trustcenter die vorgeschriebenen Sicherheitskriterien erfüllen und nachweisen können muss. Entsprechend werden die Root-Zertifikate des Trustcenters dann leichter Eingang bei gängigen Browsern finden (im Gegensatz zu cacert.org, dessen Root-Zertifikate auch nach vielen Jahren noch bei allen wichtigen Browsern fehlen). Um bestehende Trustcenter wirtschaftlich nicht in Konkurrenz zu einem staatlichen Trustcenter zu bringen, sollte das staatliche Trustcenter ausschließlich Zertifikate für Privatpersonen ausstellen. Die wirtschaftlichen Auswirkungen auf bestehende Trustcenter sollten damit minimal sein, da es ja auch bisher kaum Privatleute gibt, die sich kostenpflichtige Zertifikate und die damit verbundenen laufenden Kosten leisten wollen oder können. Wenn der Staat die Aufgabe des Trustcenters an ein großes bestehendes Trustcenter delegiert (und dafür zahlt), ist die Umsetzung sogar relativ schnell und einfach möglich.

Vorteile

Die Vorteile für Bürger und Staat sind dabei klar:

• Viele Angelegenheiten können elektronisch schnell und automatisch abgewickelt werden.
• Das spart Personal und Kosten. Wahrscheinlich würde man durch die Einführung eines Trustcenters für Bürger letztendlich sogar viel Geld sparen.
• Der E-Mail-Verkehr könnte so sehr viel sicherer gemacht werden, da man die E-Mails so verschlüsseln kann, dass nur der Empfänger in der Lage ist, den Inhalt der E-Mail zu lesen. Ohne Verschlüsselung sind E-Mails nichts als digitale "Postkarten", die jeder mit etwas technischem Know-how lesen kann. Und da E-Mails durch Datenverarbeitung massenweise verarbeitet werden können ist eine E-Mail sogar noch öffentlicher, als dies bei Postkarten der Fall ist, denn die müssen im Gegensatz zur elektronischen Post von Menschen gelesen werden.
• Es ist praktisch immer möglich nachzuweisen, dass man für einen bestimmten Inhalt verantwortlich ist.
• Das nachträgliche Fälschen von digital signierten Inhalten (z.B. E-Mails) ist nicht möglich.
• Man kann ohne Probleme rechtssicher Verträge in digitaler Form abschließen und auch wieder kündigen (z.B. einen DSL-Vertrag).
• Die Kommunikation mit Behörden ist so auch ohne eine "DE-Mail" auf sichere Weise möglich.
• Die dadurch mögliche Einsparung von Papier trägt erheblich zum Umweltschutz bei.

Umsetzung

Die Piratenpartei erarbeitet in Zusammenarbeit mit anderen Parteien, die sich dafür einsetzen, einen Gesetzesvorschlag, der die Schaffung des Trustcenters beschreibt, und deren Aufgaben definiert. Weiterhin ist gesetzlich zu regeln, dass jeder Bürger einen Rechtsanspruch auf Erteilung eines Zertifikats und Speicherung auf seinem ePerso oder eines anderen Schlüsselcontainers (z.B. einer Smart-Card) bekommt, und dass der Staat für die Erteilung des Zertifikats nur den öffentlichen, NICHT jedoch den privaten Schlüssel benötigt. Ebenfalls gesetzlich zu regeln ist, dass der Staat, statt das Trustcenter selbst aufzubauen, diese Aufgaben auch an ein Unternehmen delegieren kann, das die notwendigen Sicherheitsstandards erfüllt und sie nachweisen kann. Die Piraten sollten nach Aufnahme dieses Antrags in das Parteiprogramm damit öffentlich im Wahlkampf werben, insbesondere mit griffigen Fallbeispielen, die jedem einleuchten und klarmachen, dass es unglaublich ist, dass wir das noch nicht haben und wie nützlich so ein Zertifikat sein kann (nie mehr Formulare ausfüllen, einfach nur den ePerso vor den Leser halten und mit einer geheimen PIN bestätigen: bei Ärzten, Versicherungen, Behörden).

Weitere Informationen

• Eine gute Zusammenfassung, welche Vorteile das digitale Unterschreiben mit dem ePerso hat, und wie es funktioniert ist auch hier zu finden.
• Auf Wikipedia kann man hier genauer nachlesen, wie das auf dem ePerso gespeicherte Unterschriftszertifikat mit einer geheimen PIN abgesichert wird.
• Und hier ist die FAQ eines Trustcenters zu finden. Es beantwortet sicherlich einige Fragen, die man Grundsätzlich so zu diesem Thema hat.