Alois Potton hat das Wort [Nr. : 38, 03/2001 ]


 

Zertifikate

 

"Vor den Erfolg haben die Götter den Schweiß gesetzt", so oder so ähnlich sagt das Sprichwort. Und das stimmt in der Tat, denn der Umgang mit neuen Kommunikationsmedien wird immer komplexer und schweißtreibender.

Eine relativ neue und immer weiter um sich greifende Schikane ist die Einführung von Zertifikaten. Solche Quälereien wurden eingeführt, um den Benutzer dazu zu verdonnern, sich gegenüber "dem System" auszuweisen. Zum Beispiel dann, wenn man zu einer geschlossenen Benutzergruppe gehört und wenn die dort zirkulierenden Dokumente aus einem unerfindlichen Grund vertraulich bleiben sollen. Es gibt ja Firmen, bei denen schon das ansonsten leere Blatt standardmäßig mit dem gefährlich aussehenden Wort "confidential" oder sogar mit "strictly confidential" verziert wird. Wenn man sich dann nachher die textuell oder bildlich gefüllten Seiten ansieht, fällt es meist ungeheuer schwer, sich vorzustellen, was an diesen Informationen eigentlich vertraulich sein soll und wer durch diese Offenbarungen einen geschäftlichen oder geldwerten Vorteil ziehen könnte. Ich bin davon überzeugt, dass die wirklich wichtigen Dokumente solcher Firmen dadurch gekennzeichnet sind, dass sie im Unterschied zum Confidential-Müll ohne entsprechende Kennzeichnung bleiben.

Also offenbar um der Kommunikation einen Anstrich von Wichtigkeit oder Seriosität zu geben, muss der Zugang zu ihr deutlich erschwert werden. Man hat sich gefälligst zuerst um ein Zertifikat zu bemühen - denn bereits der Erhalt eines solchen Zertifikats schmeichelt seinem Empfänger bzgl. seiner eigenen scheinbaren Bedeutung. Oh könnte er doch nur mit dem Zertifikat etwas Nützliches anfangen: Es sieht aus wie ÓT@Âyç??ªóÉ (das ist ein beliebiger Ausschnitt aus einem solchen mir kürzlich zugegangenen Machwerk); es wird mir zugestellt über das angeblich nicht ganz abhörsichere Internet (!!!); es ist begleitet von einer länglichen "Anleitung zur Importierung"; und last but not least, es ist völlig nutzlos, weil mir seine Installation auf keine Art und Weise gelingt. Der zum Scheitern verurteilte Installations- oder Importversuch beginnt schon damit, dass ich nicht weiß, wo das Zertifikat anfängt bzw. wo es endet, d.h. ob irgendwelche Steuerzeichen vor oder nach der kryptischen Zeichenfolge noch mitzählen oder nicht. Ich komme erst gar nicht bis zu den Instruktionen, wo ich mich durch mysteriöse zusätzlich mitgeteilte Passworte quälen soll (gleich mehrere Passworte sind angedroht, manche davon frei definierbar bzw. sogar nur "unter Umständen" notwendig, na immerhin), die Sache geht schon viel früher schief. Das liegt vermutlich an meiner Dummheit, vielleicht aber auch daran, dass die Anleitung zur Installation in etwa so leicht lesbar ist wie ein Buch von James Joyce, allerdings ist sie ganz erheblich geheimnisvoller und fachidiotischer.

 

Überhaupt diese Passworte: Wer soll sie sich alle merken? Jeder besitzt eine beachtliche Zahl davon (Kreditkarte, Handy, Rechner, Miles-and-More-Kontostand, Login für Internetzeitungen, ...). Alle sollen voneinander verschieden sein; sie sollen kompliziert aufgebaut und keineswegs zu kurz sein, damit sie nur ja kein Außenstehender durch gezieltes Hacken erraten kann; und sie sollen permanent gewechselt werden. Würde ich diesen Ratschlag befolgen, wäre ich beinahe ununterbrochen am Wechseln und am Auswendiglernen neuer Passworte. Dazu ist eine nicht unbeträchtliche mentale Leistung unabdingbar, unter anderem ein solides Zahlen- und/oder Zeichengedächtnis. Ein solches ist aber sehr selten, sogar und insbesondere bei Mathematikern. Die letztgenannte Spezies behilft sich gern mit den immer gleichen mathematischen Konstanten, im Glauben, das sei sicherer als das eigene Geburtsdatum. Als bei einer Tagung in Asien die Kombination aus einem monsunartigen Regen und einem schrecklichen Gewitter seltsamerweise die Ziffern "1" der Hotelsafes inoperabel machte, fanden ein französischer Teilnehmer und ich heraus, dass wir beide denselben sechsziffrigen Öffnungscode verwendet hatten, nämlich 314159 - also die ersten sechs Ziffern von Pi. Ich verwende diesen Code jetzt nicht mehr, aber das neu entstandene Problem ist, dass ich meine neuen Codes inzwischen häufiger vergesse und den professionellen Safeöffner herbeitelefonieren muss (was mir ausgesprochen unangenehm ist).

Am eigenen Rechner kann ich mich immerhin damit behelfen, dass ich meine gesammelte Passwortliste unter einer einzigen Datei abspeichere. Wer diese Datei findet, hat natürlich Zugang zu allen meinen Geheimnissen - wenn es denn solche gibt. Aber wenn hinter einem einzigen Passwort gleich mehrere andere versteckt sind: Wozu brauche ich dann eigentlich diese "mehreren anderen"?

Das Leben wird durch die zunehmende Zahl von Zugangshemmnissen (die als wohlwollende Sicherheitsmaßnahmen verkauft werden) nicht leichter. Aber der Informationstechniker muss ja auch etwas zu tun haben, damit es ihm nicht langweilig wird. Ich habe die oben genannte Zertifizierungsaufforderung, die den Anlass zur vorliegenden Kolumne bildete, nach einer Reihe von Knurren verursachenden Selbstversuchen an einen Mitarbeiter weitergegeben. Zu meiner geradezu diebischen Freude musste dieser aber kleinlaut mitteilen, dass er mit den Installationshinweisen nicht zurecht komme - und das, obwohl er einschlägig auf dem Gebiet "Sicherheit" tätig ist. Das war eine ebenso wohltuende wie tröstliche Erfahrung, sie hat meinen Unmut gegenüber den Zertifikateuren deutlich vermindert und fast ganz beseitigt.

Und in der Tat muss man ja zugeben, dass die Zertifikate in einer Hinsicht ihren Zweck in geradezu vorbildlicher Weise erfüllen: Sie sind derart aufwendig, dass man auf ihren Gebrauch lieber gleich verzichtet und sich jeder Kommunikation enthält. Das ist dann in der Tat Datenschutz und -sicherheit in Perfektion. Wahrscheinlich hatten es die Zertifikatserfinder einzig und allein auf diesen Nebeneffekt abgesehen.





In diesem Sinne
Ihr Alois Potton