Aufgabenstellung:
- Besitzen Sie ein Zertifikat der FernUniversität für Ihre E-Mail-Adresse? Falls nein: Besorgen Sie sich eins beim ZMI! Und lernen Sie, wie man es benutzt! Falls ja: Schon mal reingeschaut? Wie lang ist es gültig? Was steht dort über Sie?
- Letztlich geht es bei Zertifikaten um Vertrauen! Recherchieren und diskutieren Sie über Vertrauensmodelle, speziell web of trust als Alternative zu Zertifikaten!
- Diskutieren Sie: Wie gewinnt man Vertrauen ohne persönliche Bekanntschaft? Kann es das überhaupt geben? Oder ist neues Vertrauen stets mit Risiko behaftet?
Besitzen Sie ein
Zertifikat der FernUniversität für Ihre E-Mail-Adresse? Falls nein:
Besorgen Sie sich eins beim ZMI! Und lernen Sie, wie man es benutzt!
Falls ja: Schon mal reingeschaut? Wie lang ist es gültig? Was steht dort
über Sie?
Um die erste Aufgabe zu erfüllen, musste ich zunächst
einmal meine FernUni Mailadresse einrichten. Eigentlich hatte ich es bisher
nicht als notwendig erachtet, mir eine solche anzulegen, doch nun siegte die
Neugierde. Die ersten Schritte empfand ich ziemlich verwirrend, doch ich
wuselte mich durch viele gut gemeinte Anleitungen, die mich schlussendlich ans
Ziel brachten. Nun bin ich stolze Besitzerin eines FernUni-Mail-Accounts.
Ein neues Zertifikat habe ich direkt über den Zertifikatsserver
der FernUni erhalten (https://ca.fernuni-hagen.de/).
Mit einem Klick auf „Zertifikatsserver“
erfolgt eine Weiterleitung zum Login-Bereich. Hier sind nun die Matrikelnummer
(beginnend mit q) sowie das jeweilige Kennwort einzutragen. Hat man nun die
jeweiligen Schritte abgeschlossen und das Zertifikat im Browser installiert,
erfährt man die spezifische Seriennummer als auch den Gültigkeitsbereich. Mein
Zertifikat ist also nun von heute an bis zum 19.05.2020 gültig.
Klickt man jetzt im Webbrowser auf das Zertifikat (bei
Firefox über Extras -> Einstellungen
-> Erweitert -> Zertifikate anzeigen -> Ihre Zertifikate), so
erscheint ein weiteres Fenster ‚Zertifikat-Ansicht‘.
Hier ist zunächst aufgeführt, für welche Anwendungen das Zertifikat verifiziert
wurde. Darunter finden sich Angaben zum Inhaber des Zertifikats wie Name,
Organisation, Seriennummer usw. Im Weiteren werden die Zertifizierungsstelle, Validität
und Fingerabdrücke aufgeführt. Unter dem Reiter Details kann man die Zertifikatshierarchie sowie das
Zertifikats-Layout einsehen.
Hinweis: Hilfe zur Installation oder zu Problemen mit dem
FernUni-Zertifikat unter folgendem Link: http://wiki.fernuni-hagen.de/helpdesk/index.php/Kategorie:Zertifikate
Was bringt mir ein
solches Zertifikat?
Ein Zertifikat ist in etwa mit einem Personalausweis
vergleichbar. Es dient der Authentifizierung des Benutzers, um eine höhere
Sicherheit zu gewährleisten, da eine Eingabe des Benutzernamens und des Passworts
umgangen wird.
Das Zertifikat der FernUni erlaubt es uns Studierenden,
unsere Prüfungsleistungen online abzurufen (hierzu ist es sogar zwingend
erforderlich). Zudem können Anmeldungen zu Prüfungen und Praktika über dieses
Zertifikat sicher vorgenommen werden. Da die FernUni Hagen ihren Studierenden des
Weiteren lizenzpflichtige Software zum Download offeriert, ist ein entsprechendes
Zertifikat zur Inanspruchnahme solcher Leistungen auch hierzu unumgänglich. Nachstehend Software zu demgemäßen Sonderkonditionen:
„SPSS wird für
Studierende der Fakultäten Kultur-, Sozial- und Geisteswissenschaften sowie
Wirtschaftswissenschaften angeboten.
Mit Hilfe Ihres
FernUni-Accounts können Sie sich kostenlos das Programm Sophos AntiVirus und
VPN-Clients für verschiedene Betriebssysteme herunter laden.
Ebenfalls mit Hilfe
Ihres FernUni-Accounts bzw. eines gültigen Zertifikats vermitteln wir Ihnen den
Zugang zu
Apple-Produkten zu
Sonderkonditionen
Microsoft-Produkten“
Zusätzlich bietet
es die Möglichkeit bestimmte Daten (z.B. PDF-Dokumente, E-Mails) zu verschlüsseln
bzw. zu signieren. Auch in Moodle können sich Studierende mithilfe des Zertifikats schnell und sicher einloggen.
„Sicheres E-Mail“
Innerhalb des FernUni Mailstores ist es möglich, in den Einstellungen über den Menüpunkt „Sicheres E-Mail“ einen Schlüssel/ ein
Zertifikat zu hinterlegen, wodurch das Mailing noch sicherer gestaltet wird (Signatur).
Eine Anleitung zum Einrichten ist unter folgendem Link abrufbar: https://mailstore.fernuni-hagen.de/Guide/WebSMIME.html
Vorwegnehmen möchte ich, dass man unter oben
beschriebenem Pfad zum Reiter Ihre
Zertifikate im Webbrowser des Firefox sein erworbenes Zertifikat auf dem
Laptop/PC etc. unter Eingabe eines eigens ausgewählten Kennworts sichern kann.
Dies ist zur Installation des sicheren Mailings im Mailstore erforderlich.
Hat alles funktioniert, erscheint das Zertifikat unter
dem Reiter Sicheres E-Mail im
Mailstore unter S/MIME Zertifikat.
Möchte ich nun eine E-Mail versenden, kann ich diese bspw.
mit einer entsprechenden Signatur versehen.
Dieses Vertrauensnetz ist prinzipiell enorm
ausdehnbar, wodurch das indirekte Vertrauen, je länger die Verkettung ist,
zunimmt.
Letztlich geht es
bei Zertifikaten um Vertrauen! Recherchieren und diskutieren Sie über
Vertrauensmodelle, speziell web of trust als Alternative zu
Zertifikaten!
Das WOT oder web of
trust bezeichnet ein Netz des Vertrauens, welches aus mehreren Usern besteht,
die jeweils verschiedene digitale Schlüssel besitzen. Die Verifizierung ergibt
sich dabei aus einem Netz von gegenseitigen Bestätigungen (Bsp. Ich vertraue
Bernd und Bernd vertraut mir (direktes Vertrauen). Bernd kennt Janette. Janette
vertraut Bernd und Bernd vertraut Janette (direktes Vertrauen). Über die
Verkettung von Bernd zu Janette, habe ich somit ein indirektes Vertrauen zu
Janette, s.g. "Owner-Trust".).
Problematisch dabei
ist, dass man bei diesem Modell darauf vertrauen muss, dass der
Schlüsselbesitzer auch wirklich die Person ist, für die man ihn hält. Hinzu ist
ein Vertrauen über die sorgfältigen Schlüsselsignaturen, also Verifizierungen, der
Vertrauensperson erforderlich. Vertraut diese auf einen fragwürdigen Schlüssel,
bzw. ist Janette nicht vertrauenswürdig, kann dies nicht nur für Bernd, sondern
auch für mich Konsequenzen nach sich ziehen.
Das WOT stellt so
ein Gegenmodell zum hierarchisch gegliederten PKI
(Public-Key-Infrastructure)-System dar. Beim PKI-System übernimmt eine übergeordnete
Instanz die Vergabe und Prüfung von digitalen Zertifikaten, was folgendermaßen
die Existenz einer Wurzelzertifizierungsstelle (Root-CA) voraussetzt, der alle Teilnehmer
vertrauen. Viele Unternehmen unterhalten jedoch eigene PKI-Systeme, um eine
gewisse Kontroll- bzw. Überwachungsfunktion auszuüben. Bei PKI-Systemen sind
zudem spezielle Anforderungen zur Ausstellung eines Zertifikats zu erfüllen, die
in der PKI-Dokumentation festgehalten sind.
WOT-Systeme
basieren hingegen auf OpenPGP, sodass ein Zertifikat bzw. Schlüssel
grundsätzlich von jedem Benutzer geschaffen werden kann. Vertraut ein Nutzer
also einem bestimmten Schlüssel, erzeugt dieser ein Zertifikat, er signiert den
Schlüssel. Je häufiger ein spezifischer Schlüssel nun Zertifikate von
unterschiedlichen Usern erhält, desto vertrauenswürdiger erscheint jener.
Ganz frei von
hierarchischen Strukturen ist jedoch auch das WOT nicht. Hier können
Zertifikate ebenso von einer Zertifizierungsstelle generiert werden, welche
wiederum Anforderungen und Regeln vorgibt.
Diskutieren Sie: Wie gewinnt man Vertrauen ohne
persönliche Bekanntschaft? Kann es das überhaupt geben? Oder ist neues
Vertrauen stets mit Risiko behaftet?
Grundsätzlich bedeutet für mich Vertrauen zu jemandem
aufzubauen, demjenigen einen Vorschuss an meiner subjektiven Überzeugung
zukommen zu lassen, dass derjenige aufrichtige Absichten verfolgt und sein
Verhalten für mich daher vorhersehbar oder einsichtig ist. Diese Überzeugung
ist übergreifend, sodass sie zunächst einmal gleichsam für Bekanntschaften in
der digitalen wie realen Welt gültig ist. Gehe ich von Bekanntschaften über
das Internet aus, so muss ich jedoch sagen, dass das Ausmaß an Vertrauensvorschuss
geringer ausfällt. Dies hängt damit zusammen, dass für mich auch nonverbale,
sinnlich erfassbare Kommunikation zu den vertrauensbildenden Faktoren zählt. Diese
Form der Kommunikation fällt in einer digitalen Umgebung weg. Hinzukommend ist Zeit in der digitalen Welt
eher Mangelware. Gerade der Zeitfaktor, also wie lange ich eine Person kenne,
bestimmt u.a. mit, wie groß das Vertrauen ist, welches ich in sie setze. Wird
mir die Gelegenheit gegeben, mich langsam an jemanden zu gewöhnen bzw. diesen
Jemand kennenzulernen, steigt auch mein Vertrauen, insofern sein Verhalten für
mich vorhersehbarer und nachvollziehbarer wird. Doch auch in diesem Fall kann
eine vertrauensvolle Einordnung fehlerhaft sein. Es besteht somit stets ein
gewisses Risiko eines Vertrauensbruchs, welches unabhängig von der Umgebung
ist. Laut Statistik der BITKOM stimmten dennoch 69% der Befragten Umfrageteilnehmer der Behauptung zu, dass
ihnen die Einschätzung, ob Menschen/ Unternehmen etc. vertrauenswürdig sind, im
Internet schwerer fällt als außerhalb dessen (s. Folie 5; http://www.bitkom.org/files/documents/BITKOM_Praesentation_Managing_Trust_Prof_Kempf_05_03_2012.pdf).
Im WOT ist Vertrauen sozusagen interpersonell
übertragbar, sodass ich eine Empfehlung für jemanden abgeben kann oder ich eine
Empfehlung für jemand anderen von einer mir vertrauenswürdigen Person/Instanz
erhalte. Trotzdem so ein indirektes Vertrauen mobilisiert wird, werde ich
kritischer auf die jeweilige Verbindung blicken als auf eine solche, die durch
direktes Vertrauen gestützt wird. Vertrauen im Internet erscheint mir
zeitgebundener, losgelöster. Stimmt man bestimmten AGBs oder
Datenschutzbestimmungen heute zu, erfahren diese innerhalb kürzester Zeit eine
Änderung, denen ich genötigt bin zuzustimmen, wenn ich den angebotenen Dienst
weiterhin nutzen möchte.
Vertrauen kann jedoch auch im Net hergestellt werden.
Dies soll bei Unternehmen z.B. anhand transparenter werdender Serviceleistungen,
verständlicherer AGBs und Erweiterungen im Datenschutz etc. realisiert werden. (http://blog.iao.fraunhofer.de/home/archives/1176.html
& http://www.pressebox.de/pressemitteilung/bitkom-bundesverband-informationswirtschaft-telekommunikation-und-neue-medien-ev/BITKOM-und-Bundesverbraucherministerin-Aigner-wollen-Vertrauen-in-die-digitale-Welt-staerken/boxid/488726).
Private Kontakte, die sich über das Internet bilden,
bleiben jedoch m.E. eher schwierig. WOT-Systeme könnten hier eine erste Wahl
der Mittel zur Einordnung von Personen geben. Doch auch diese Systeme haben
ihre Grenzen.