Am Anfang
Kennen Sie Stephen Hawkings populärwissenschaftliches Buch „Eine kurze Geschichte der Zeit“? Den Meisten, die es gelesen haben, erging es wohl so: Die ersten 20 Seiten versteht man „richtig“. Danach wird es recht abstrakt und – aus eigener Erfahrung ehrlich zugegeben – irgendwann steigt man aus.
So ähnlich geht es möglicherweise auch manchen Business Anwenderinnen und Anwendern beim IT-Thema Kryptographie – also bei Zertifikaten und Signaturen. Was bleibt sind Fragen wie „Was ist das überhaupt?“, „Wozu brauchen wir das?“ und „Was bringt das einem Unternehmen?“
Ein paar grundlegende Erklärungen helfen:
Zertifikat & Unternehmenssiegel & Vertrauensdienstanbieter
Die meisten von uns besitzen einen Pass, der sie identifiziert. Die Identifikation einer natürlichen Person im Bereich der Kryptographie ist das Zertifikat. Für Ihr Unternehmen gilt das gleiche, Ihr Unternehmen ist im Firmenbuch eingetragen („identifiziert“) – hier sprich man von einem „Unternehmenssiegel“ (dabei handelt es sich ebenfalls um ein Zertifikat).
Ein praktisches Beispiel: Sie geraten in eine Polizeikontrolle: Damit Ihnen die Polizei auch Ihre Identität glaubt, verfügt ihr Ausweis (Pass) über bestimmte technische Merkmale – ebenso wie ein Zertifikat. Damit die Polizei nun unabhängig von der Aussage „Ich bin’s, der Knell!“ die Angaben bei einem unabhängigen Dritten überprüfen kann, gibt es bestimmte staatliche Stellen wie das Pass- oder Meldeamt. Die Rolle dieses Rückversicherers übernehmen beim Thema Zertifikate die „Vertrauensdienstanbieter“ – Unternehmen wie Globaltrust beispielsweise.
Wenn ich Ihnen jetzt meinen elektronischen Ausweis (mein Zertifikat) schicke und behaupte, „ich bin der Knell“, dann können Sie – ebenfalls elektronisch – bei Globaltrust nachfragen, ob „derjenige, der sich als Knell ausgibt auch der Knell ist“. Da ich mich zuvor dort persönlich identifizieren musste, müssen Sie also nicht mir vertrauen, sondern können sich auf einen neutralen, unabhängigen Dritten verlassen.
Der Business Nutzen: Beim elektronischnm Datenaustausch können Sie sich rückversichern, dass Sie auch tatsächlich mit dem gewünschten Partner „sprechen“ (und nicht ein man-in-the-middle die Daten zu seinen Gunsten verändert hat). Das gilt ebenso für die Kommunikation von Servern untereinander, die sich auch gegenseitig mittels Zertifikat ausweisen und dieses wechselseitig überprüfen, ehe Daten ausgetauscht werden.
Unterschreiben
Sie alle unterschreiben händisch Verträge – manchmal sehr wichtige, manchmal weniger wichtige. Mitunter unterliegen diese Verträge Formvorschriften oder gesetzlichen Rahmenbedingungen.
In diesem Zusammenhang ist es möglich, handschriftliche Unterzeichnungen durch digitalisierte abzulösen: Diesen Vorgang des Unterschreibens nennt man „Signatur“. Man zückt sein Zertifikat und „unterschreibt“ – dazu später mehr.
Abhängig von den „Vorschriften“, die etwa ein Signaturgesetz, ein Gesundheitstelematikgesetz oder eine Apothekenbetreiberverordnung vorschreibt, wählt man die richtige „Form“ – beispielsweise mit einem Stift auf einem elektronischen Pad oder mit einer Karte (z.B. der Bürgerkarte).
Die vorhin angesprochenen Gesetze drücken sich oft hinsichtlich der technischen Verfahren „offen“ (=unpräzise) aus und sprechen etwa nur von einem „sicheren Verfahren“ oder verwenden Fachbegriffe wie „qualifizierte Unterschrift“.
Damit sind wir nach der Technologie bei weiteren wesentlichen Faktoren von Kryptographie-Projekten – den wirtschaftlichen, organisatorischen und rechtlichen Aspekten.
Freigaben und „echte“ Unterschriften können auf verschiedene Art und Weise erfolgen, jede Technik entfaltet eine andere „Beweiskraft“ und „Sicherheit“.
- Gekrakel – also „irgendwas“ auf einem Tablet oder mobilen Gerät
- Mit Benutzername und Passwort
- Mit einem Klick auf „OK“
- Auf einem „wirklichen biometrischen Pad (etwas eines Herstellers wie Stepover)
- Mit einer Karte oder in Österreich mittels Handy Signatur
- Mit einem Softwarezertifikat
- U.s.w.
Signaturvarianten
Grundlegend unterscheidet man zwischen einer einfachen Signatur, einer fortgeschrittenen und einer qualifizierten Signatur. Die Regelungen dazu gelten vielfach EU-weit, mitunter gibt es nationale „Mascherl“.
Einzig die qualifizierte Signatur ist der handschriftlichen Unterschrift auf Papier gleichgestellt. Alles andere ist entweder vor Gericht nur „beweisbar“ – also man hat gute Beweise oder „irgendetwas“. Das Irgendetwas wird ein IT-Sachverständiger vor Gericht evtl. „zerlegen“. Zudem gibt es auch heute nach wie vor Bereiche, wo eine Digitalisierung nicht zugelassen ist (alles in Richtung Beglaubigung/streng Notarielles).
Die Fragen, die Sie sich stellen sollten, sind folgende: „Was benötige ich für meinen Prozess?“, „Wo machen die UserInnen noch mit?“ und „Was habe ich wirklich für ein wirtschaftliches Risiko?“. Diese Überlegungen bestimmen den Aufwand und die technische Umsetzungsart, sowie den organisatorischen Rahmen sowie eventuelle Konsultationen von Wirtschaftsprüfern oder Anwälten.
Hier darf man dann einfach nicht übertreiben. Oft wird (unter dem Titel Risiko oder „Angst“) ein zu hohes Niveau gefordert und das Resultat für die Anwenderinnen und Anwender sind unbrauchbare und umständlichere Prozesse als zuvor.
Unsere Zielsetzung ist es ja, einen Prozess zu VEREINFACHEN, zu BESCHLEUNIGEN (zu Automatisieren oder zu mobilisieren) und zu DIGITALISIEREN. Das Motto lautete „weg mit den Zetteln“.
Wo stehen Sie im Buch? Sind Sie schon nach den erwähnten 20 Seiten angelangt?
Der Vorgang des Unterschreibens - die Signierung
Den Signaturvorgang kann man stark vereinfacht als den Vorgang des Unterschreibens erklären. Hier gibt es eine Vielzahl von Verfahren, Standards und Möglichkeiten. Eine sehr gebräuchliche ist die PDF-Signatur. Das kennen Sie wahrscheinlich vom Acrobat Reader, das ist dieses Programm, das immer meckert, dass er die Unterschreibende oder den Unterschreibenden nicht kennt ...
Anhand dieses Beispiels kann man den Signaturvorgang gut beschreiben. Wir bilden über den PDF-Inhalt eine schöne mathematische Summe (unseren Hash-Wert). Dann „verbinden“ wir unseren Hash-Wert mit dem unseres Zertifikates (als z.B. dem „Knell“-Zertifikat) und stopfen diese Infos in das PDF hinein. Die beteiligten Algorithmen und Details erspare ich Ihnen – die sind metaphorisch gesprochen etwa ab Seite 100 im Buch.
Zurück zur Business-Sicht: Was können Sie jetzt mit diesem PDF-Dokument machen?
- Sie sehen eindeutig WANN es unterfertigt wurde – (für die Weiterdenker, natürlich lässt sich das mit einem Zeitstempelanbieter verknüpfen, dann ist auch die Zeit amtlich).
- Sie sehen WER das unterschrieben hat – ja, der Knell – wenn Sie es nicht glauben -> Rückfrage an Globaltrust.
- Sie sehen, dass, seit der Knell es unterschrieben hat, NIEMAND die Daten manipuliert hat.
Jetzt denken Sie mal an Ihre Bestellungen, Rechnungen, Lieferscheine oder welche Dokumente auch immer Sie an Ihre Kunden und Lieferanten schicken: Die genannten Punkte bieten einen tatsächlichen Mehrwert: Niemand fälscht Ihre IBAN-Nummern oder kopiert einfach Ihre Daten. Ihr Empfänger ist sich sicher, die Rechnung ist vom Knell? Das ist alles automatisierbar – SAP-Nachrichtenfindung (S/4HANA etwas „anders“), SMTP Versand aus dem SAP-System, Ablage im SAP-Archiv. etc. Umgekehrt funktioniert es genauso: Sie bekommen Dokumente, die Prüfungen werden automatisch gemacht – und Sie gewinnen Sicherheit!
Es soll vorkommen, dass üble Charaktere Papierkörbe durchsuchen, um an die Corporate Identity einer Rechnung zu kommen – oder gar den IBAN tauschen. Ein kleines oder großes Hoppla, je nachdem, ob Sie einen „schlechten“ Stammdatenprozess haben oder nicht und ihre Buchhaltung sich motivieren lässt, die IBAN für die Überweisung tatsächlich zu ändern-
Verschlüsselung
Gehen wir noch einen Schritt weiter: Sie haben tatsächlich geheime Zettel (wie etwa in Österreich trotz Transparenzgesetz den Gehaltszettel), die Sie zentral per pdf verschicken lassen wollen. Früher gab es da jede Menge Datenschutzvorfälle und Spionage – ob der Zettel direkt am Arbeitsplatz. Diese waren damals aber nicht verpflichtend zu melden.
Natürlich wollen wir die Gehaltszettel nur für den Sender (=Personalabteilung) und Empfänger (=MitarbeiterIn) lesbar machen. Ja, deshalb VERSCHLUESSELN wir die Daten. Das geht wieder mit meinem Zertifikat – ich habe einen öffentlichen Schlüssel (den kann jeder haben) und einen privaten Schlüssel (meiner, nur meiner). Wenn Sie mir jetzt etwas senden wollen, das nur für mich bestimmt ist, gebe ich ihnen meinen öffentlichen Schlüssel und sie verschlüsseln die Daten für mich damit. Einzig ich alleine kann mit meinem privaten Schlüssel diese Daten entschlüsseln – so soll es sein!
Abschließend noch paar Anwendungsfälle fürs Technikerherz: Etwa die Übertragung sensibler Datenfiles aus dem S$/HANA System heraus: Wir verschlüsseln die Daten direkt im ABAP mit den öffentlichen Schlüsseln der Empfänger und schreiben unmittelbar den verschlüsselten Bestand auf das File-System. Der Sender holt das per ftp (ja, das gibt es noch) ab und entschlüsselt bei sich. HCM Gehaltszettel: Wir hinterlegen die Infos in den Infotypen, verschlüsseln beim Batchlauf und nur der richtige Empfänger kann den Zettel sehen.
Zu bedenken bleibt aber stets: Verlieren Sie ihren private Key schaut es schlecht aus. Dann geht nichts mehr.
Wo können Sie diese Verfahren wie die Identifikation oder das Prinzip der Unveränderbarkeit jetzt einsetzen und/oder kombinieren? Ein Auszug: eine mobile Unterschriften- und Freigabemappe – wie schön. Abhängig vom Erfordernis des Dokumentes signiere, verschlüssle und/oder unterschreibe ich. Am besten in einer SAP Fiori Oberfläche und das auch noch mobil => Szenario myInbox in SAP im Fiori Launchpad.
Im Vertrieb lassen sich gut Angebote unterfertigen, Rabattfreigaben abzeichnen – im Einkauf können Sie Eingangsrechnungen unterfertigen, im Bereich HR gar Dienstverträge. In der Logistik Frachtbriefe oder CMRs, in der IT alle Arten von Zutritten, Ausgaben von Laptops, usw.. Oft gilt es, ein Vier-Augen-Prinzip – etwa bei Bestellungen abzubilden. Das geht übrigens auch – zweimaliges Unterschreiben auf einem Dokument!
Abschließend noch eine kleine Anregung: Überlegen Sie, wo Sie heute überall händisch unterschreiben. Genau da liegt das Potential um zu DIGITALISIEREN.