PKI gleich in doppelter Ausführung

Die Rahmenbedingungen für E-Government haben sich verbessert. Die Post und Swisscom wollen nach dem Inkrafttreten des Bundesgesetzes über die elektronische Signatur eine gesetzeskonforme, sogenannt qualifizierte PKI (Public Key Infrastructure, siehe Kasten) aufbauen. Damit wird eines der grössten Hindernisse auf dem Weg zu einer medienbruchfreien elektronischen Kommunikation, Interaktion und Transaktion mit und zwischen Ämtern aus dem Weg geräumt.
Sowohl Swisscom wie auch Post wollen ihre Angebote für Unternehmen und Verwaltungen noch dieses Jahr lancieren. Derzeit stecken beide noch im Zertifizierungsverfahren, das für die rechtlich gültige elektronische Signatur notwendig ist. Wieso nun auf einmal gleich zwei Anbieter eine schweizweite PKI aufbauen, nachdem dieser zentrale Bereich zuvor jahrelang gelähmt war, ist auf den ersten Blick schwer verständlich. Denn das grosse Geld lässt sich mit einer qualifizierten PKI in absehbarer Zeit kaum verdienen. Dies bestätigen sowohl Post wie Swisscom.

Applikationen als Schlüssel

Laut Herbert C. Lüthold, Chef der Abteilung Security Solutions von Swisscom Solutions, ist die anerkannte PKI für sein Unternehmen Teil eines PKI-Gesamtangebots, das zum Beispiel auch sogenannt fortgeschrittene Zertifikate für den sicheren E-Mail-Verkehr, die Kommunikation zwischen Servern oder etwa Authentifizierungsmechanismen für VoIP umfassen wird. Geld soll vor allem mit Dienstleistungen rund um die Infrastrukturen verdient werden.
Auch der Post geht es nicht in erster Linie um zusätzliche Einnahmen, sondern darum, den absehbaren Rückgang im Kerngeschäft Briefpost aufzufangen. Aus diesem Grund bringt die Post ihr PKI-Angebot auch unter dem Stichwort eingeschriebener elektronischer Brief auf den Markt.
Spezifische Applikationen wie der eingeschriebene elektronische Brief, die den Anwendern einen klar ersichtlichen Nutzen bringen, sind für den wirtschaftlichen Erfolg der PKI ausschlaggebend. Mögliche Anwendungen bestehen im Krankenversicherungsbereich oder im Verkehr mit Behörden und mit Versorgungsbetrieben.

Bald mehr Konkurrenz

Das eigentliche Problem ist aber die Umstellung. Die heute eingesetzte Software muss erst PKI-fit gemacht werden, damit die Infrastrukturen genutzt werden können. Software-Hersteller, die unter Wettbewerbsdruck stehen, tätigen solche Anpassungsinvestitionen aber nicht einfach ins Blaue hinaus. Bisher hat sich in dieser Beziehung vor allem der St. Galler ERP-Hersteller Abacus hervorgetan. Die Abacus-Software ist seit diesem Frühjahr PKI-fähig. Die Post hat darum die
St. Galler auch zu einem Launch-Partner für ihr Angebot gemacht.
Potentielle Anwender werden sich vor allem für die Unterschiede zwischen den kommenden Angeboten von Post und Swisscom interessieren. Diese dürften vor allem in den Preismodellen und in der Abdeckung sichtbar werden. Während Swisscom PKI in Form der Swisscom Digital Certificate Services und somit als Gesamtlösungen verkaufen wird, setzt die Post schwergewichtig auf die dazugehörigen Anwendungen wie den eingeschriebenen E-Brief. Zudem kann die Post ihr Angebot dank ihrer rund 2500 Poststellen flächendeckend anbieten.
Obwohl aus heutiger Sicht selbst für zwei Anbieter nicht das grosse Geschäft lockt, dürften die Schweizer auf Dauer nicht alleine bleiben. Weil sich das Schweizer Zertifikationsgesetz stark an das europäische Recht anlehnt, ist es sehr wahrscheinlich, dass sich schon bald auch europäische Anbieter in der Schweiz zertifizieren lassen. Zumal PKI-Dienste in absehbarer Zukunft zu einem umfassenden Sicherheitsangebot ganz einfach dazugehören werden. (IW)