Die Zertifizierungsstelle SwissSign hat gleich mehrere Besonderheiten: zum einen hat sie ihre Heimat in der Schweiz, die f\u00fcr Datensicherheit par excellence steht. Zum anderen ist die CA SwissSign Ableger der Schweizerischen Post AG und damit Teil des staatlichen Postunternehmens der Schweiz. Wir sprachen mit Markus Venetz, Head of Certificate Services bei der SwissSign AG, \u00fcber die Herausforderungen in der Verschl\u00fcsselung und Vertrauen im World Wide Web.<\/p>\n
„SwissSign loves to keep you safe \u2013 Sicherheit ist SwissSign Sache“, erkl\u00e4rt sich die Schweizer Posttochter in wenigen Worten selbst. Die Schweizerische Post AG hat Tradition: gegr\u00fcndet wurde die Aktiengesellschaft im Januar 1849; sie hat ihren Sitz in Bern. Der Unternehmenszweig SwissSign entwickelte sich im Laufe der Jahrzehnte neben diversen weiteren neuen Dienstleistungen der Schweizerischen Post; einige Beispiele:<\/p>\n
Die SwissSign AG wird im Jahre 2001 mit dem Ziel gegr\u00fcndet, sich als zertifikatsbasierte IT-Sicherheits- sowie Datenschutz-Spezialistin zu etablieren. Vier Jahre sp\u00e4ter wird die Zertifizierungsstelle zu 100 % von der Schweizerischen Post \u00fcbernommen. 2006 bewies sich SwissSign als die Spezialistin, die die Aktiengesellschaft sein m\u00f6chte: die KPMG zertifizierte die CA, sodass nach au\u00dfen hin sichtbar wurde, dass SwissSign qualifizierte Zertifikate nach ZertES<\/a> („Bundesgesetz \u00fcber die elektronische Signatur“) anbietet, weiter wird SwissSign WebTrust- und ISO 27001-zertifiziert.<\/p>\n Im Jahr 2007 produziert das Unternehmen das PostZertifikat f\u00fcr die Schweizerische Post und offeriert erstmals ein Organisationszertifikat, das den Vorgaben der „Verordnung des EFD \u00fcber elektronische Daten und Informationen“ (ElDI-V<\/a>) und der „Gesch\u00e4ftsb\u00fccherverordnung“ (GeB\u00fcV<\/a>) entspricht. In 2008 pr\u00e4sentiert SwissSign ihren ersten hauseigenen Webshop. Au\u00dferdem entwickelt die CA im selben Jahr IncaMail f\u00fcr die Schweizerische Post; ein E-Mail-Dienst, der das sichere Mailen und Nachweisen erreichen m\u00f6chte.<\/p>\n Die ersten SSL Gold EV- und SSL Wildcard-Zertifikate stellt SwissSign 2009 vor, 2010 folgen erste UCC\/SAN sowie Code Signing-Zertifikate. Daneben entwickelt die Zertifizierungsstelle mit SuisseID und SwissSigner Tools f\u00fcr Signaturen. Die hauseigene Entwicklung IncaMail schafft es indes ins Beh\u00f6rdenumfeld: die schweizerische Bundesverwaltung hat IncaMail anerkannt. In 2013 kann sich SwissSign dar\u00fcber freuen, dass die eigenen Zertifikate den von der Eidgen\u00f6ssischen Finanzmarktaufsicht (FINMA) gestellten Anforderungen f\u00fcrs Outsourcen von Bankdiensten entsprechen.<\/p>\n 2014 ersetzt SwissSign die UCC\/SAN-Zertifikate durch Multidomain-SSL-Zertifikate<\/a> Gold sowie Gold EV. Weiter ersetzt der Schweizer das unsicher gewordene SHA-1 durch den seinerzeit aktuellen Standard SHA-2. Aufgrund ge\u00e4nderter Bestimmungen des tonangebenden CA\/Browser-Forums nimmt SwissSign in 2015 Zertifikate mit einer f\u00fcnfj\u00e4hrigen Laufzeit aus dem Programm. Der SwissSign Signing Service geht an den Start und SwissSign macht sich selbst quasi mobil: die neue responsive Website wird lanciert. Au\u00dferdem schafft es SwissSign, mit nur einem Zertifikat Dom\u00e4nen mit und ohne „www“ zu sch\u00fctzen.<\/p>\n Mit unserem Interview zusammen erhalten wir einen kurzen Abriss des Selbstverst\u00e4ndnisses von SwissSign: „Sichere E-Business-Prozesse bauen auf vertrauensw\u00fcrdige Identit\u00e4ten in Form von digitalen Zertifikaten. SwissSign ist ein f\u00fchrender Anbieter von einfachen Services f\u00fcr vertrauensw\u00fcrdige digitale Identit\u00e4ten. SwissSign bietet digitale Zertifikate f\u00fcr Server und Ger\u00e4te \u2013 SSL und Device Zertifikate \u2013, f\u00fcr Personen, Beh\u00f6rden und Unternehmen als Einzelprodukte oder als Managed PKI Zertifikat Services. Weitere SwissSign Angebote sind Zeitstempel- und Signatur-Dienste. SwissSign ist ein Unternehmen der Schweizerischen Post und Mitglied des Labels \u00abswiss made software\u00bb“, erkl\u00e4rt sich die CA.<\/p>\n Die folgenden Punkte der hauseigenen Firmenphilosophie empfindet SwissSign als erw\u00e4hnenswert:<\/p>\n Schon im Gespr\u00e4ch mit Comodo<\/a> wurde sichtbar, dass sich erfolgreiche Zertifizierungsstellen oft auch au\u00dferhalb des eigenen Unternehmens pr\u00e4sentieren m\u00fcssen, um Vertrauen zu ernten \u2013 schlie\u00dflich verkaufen Zertifizierungsstellen Produkte, bei denen es um Vertrauen geht. Um ernst genommen zu werden, m\u00fcssen also Zertifizierungen und Engagement au\u00dferhalb der eigenen Firmenw\u00e4nde feststellbar sein. Das wei\u00df auch SwissSign. Mit der Anerkennung als offizielle CA, die von der KPMG Schweiz nach ausreichender Pr\u00fcfung kam, war SwissSign zum Ausstellen qualifizierter elektronischer sowie fortgeschrittener Zertifikate berechtigt.<\/p>\n Durch diese Anerkennung ist SwissSign beispielsweise berechtigt, SuisseID herauszugeben: das qualifizierte Zertifikat stellt gem\u00e4\u00df Schweizer Obligationsrecht die eigenh\u00e4ndige Unterschrift der qualifizierten elektronischen Signatur gleich. Ebenso dient diese Anerkennung der Herausgabe digitaler Zertifikate an Organisationen und Unternehmen, die mit dem Schweizer Recht zur elektronischen Rechnungsstellung sowie zur Archivierung konform gehen. Neben der „Zertifizierung f\u00fcr qualifizierte Zertifikate SuisseID und Organisationszertifikate“ und der „Zertifizierung f\u00fcr fortgeschrittene Zertifikate Extended Validation (EV) und Enduser“ erhielt SwissSign auch die ISO 27001-Zertifizierung (jeweils PDF).<\/p>\n Seit 2009 ist SwissSign auch Mitglied im CA\/Browser Forum<\/a>, welches das Ziel verfolgt, die Sicherheit im World Wide Web zu erh\u00f6hen. Dabei beteiligt sich SwissSign, neben zahlreichen anderen Mitgliedern, am Entwickeln von Standards f\u00fcrs Ausstellen und Verwalten von SSL-Zertifikaten. Daneben geh\u00f6rt SwissSign zu den Technologiepartnern der TeleTrusT European Bridge CA (EBCA)<\/a>. Die EBCA bildet als Projekt des Bundesverbands IT-Sicherheit e. V. (TeleTrusT) einen Zusammenschluss von einzelnen und gleichberechtigten Public-Key-Infrastrukturen (PKI) zu einem PKI-Vertrauensverbund. Ziel ist es, dass beteiligte Unternehmen, \u00f6ffentliche Verwaltungen sowie Institutionen sicher und authentisch miteinander kommunizieren. Weiter geh\u00f6rt SwissSign zum Label „swiss made software“, das die Schweizer Qualit\u00e4t in der Entwicklung von Software nach au\u00dfen tragen m\u00f6chte.<\/p>\n SwissSign steht f\u00fcr Schweizer Qualit\u00e4t, f\u00fcr Sicherheit und f\u00fcr Vertrauen. Als Mitglied wichtiger Zusammenschl\u00fcsse beteiligt sich die Zertifizierungsstelle aus der Schweiz rege an der Weiterentwicklung der Sicherheit im Internet. Wir hatten das gro\u00dfe Vergn\u00fcgen, mit Markus Venetz, dem Head of Certificate Services bei SwissSign, \u00fcber Verschl\u00fcsselung und Vertrauen zu sprechen \u2013 herzlichen Dank f\u00fcr Ihre ausf\u00fchrlichen Antworten und die Zeit, die Sie sich f\u00fcr unsere Leserinnen und Leser genommen haben, Herr Venetz!<\/p>\n PSW GROUP: Was ist im Jahr 2016 die gr\u00f6\u00dfte Herausforderung in der Verschl\u00fcsselung?<\/strong><\/p>\n Markus Venetz (MV): Dieses Jahr steht im europ\u00e4ischen Raum die Umsetzung der eIDAS Gesetzgebung als europ\u00e4ischer Standard an. SwissSign stellt sich dieser Herausforderung und wird in K\u00fcrze Signaturen und Verschl\u00fcsselungen gem\u00e4\u00df eIDAS anbieten.<\/p>\n Generell gilt im Jahr 2016 wie in den Jahren zuvor, dass ein Augenmerk auf die Verschl\u00fcsselungsalgorithmik und -technologie geworfen werden muss. Stand in 2015 der Wechsel von SHA1 zu SHA2 an, wird SwissSign in den n\u00e4chsten Jahren beobachten, wann der beste Zeitpunkt f\u00fcr die Einf\u00fchrung von SHA3 erfolgen wird.<\/p>\n F\u00fcr den umfassenden Verschl\u00fcsselungsbereich des \u201eInternet der Dinge, IoT\u201c sind insbesondere die \u201eElliptischen Kurven\u201c in den Krypto-Operationen wichtig. Hier sind durch den IETF im Januar erstmalig Standards f\u00fcr das Internet festgelegt worden. Aufbauend auf diesen Standards wird nun auch der RFC Standard f\u00fcr TLS bald erweitert und auf allen Plattformen eine einheitliche Nutzung derselben Kurven erm\u00f6glichen.<\/p>\n SwissSign hat seine Roadmap entsprechend f\u00fcr Zertifikate basierend auf diesen Elliptischen Kurven erweitert, um den wachsenden IoT Markt bedienen zu k\u00f6nnen. Eine besondere Herausforderung ist, dass viele IoT Ger\u00e4te fest verdrahtete private Schl\u00fcssel haben und sehr h\u00e4ufig alle die gleichen privaten Schl\u00fcssel f\u00fchren. Auch seitens der Industrie ist deshalb diesbez\u00fcglich noch einiges an Anstrengung notwendig, damit Verschl\u00fcsselung sinnvoll umgesetzt werden kann.<\/p>\n PSW GROUP: Wie stehen Sie zu der Initiative Let’s Encrypt?<\/strong><\/p>\n MV: Wir begr\u00fc\u00dfen \u201eLet\u2019s Encrypt\u201c sehr. Es sch\u00e4rft bei allen Internetbenutzern das Bewusstsein, dass nur eine https-Verbindung wirklich Sicherheit bringt. Und es erm\u00f6glicht auch vielen Privatpersonen, Blogs oder Informationsseiten, denen bisher der Einsatz eines Zertifikates zu teuer war, ein solches einzusetzen. Die Initiative hat in kurzer Zeit die gesellschaftliche Sensibilit\u00e4t zum Thema Sicherheit gesch\u00e4rft, dieser Umstand ist unseres Erachtens sehr positiv zu werten. Zudem sind die neuen Mechanismen des Zertifikatsbezugs auf Knopfdruck, d. h. diesen benutzerfreundlich zu gestalten und anzubieten, ein Modell, welches wegf\u00fchrend f\u00fcr alle Applikationen sein sollte.<\/p>\n PSW GROUP: Vielfach ist in Internetforen, in Blogs oder anderen Medien zu lesen, SSL-Zertifikate sollten kostenfrei ausgestellt werden; Validierungsstufen seien lediglich der Versuch von Zertifizierungsstellen, Geld zu kassieren. Wie begegnen Sie diesem Vorwurf?<\/strong><\/p>\n MV: Die Wertigkeit der Validierung wird prim\u00e4r durch das Bed\u00fcrfnis des Kunden definiert, welches Risiko zu nehmen er bereit ist. Je h\u00f6her die Validierungsstufe, desto personalintensiver und wertiger die Identifikation und Sicherheit. Entscheidend gilt es zu pr\u00e4zisieren, dass es hierbei nicht um die Frage von Verschl\u00fcsselung und Transportsicherheit geht, sondern dass ein unabh\u00e4ngiger, vertrauensw\u00fcrdiger Dritter auf Basis geeigneter Pr\u00fcfung die digitale Identit\u00e4t ausstellt. Die Aufgabe der Zertifikatsdienstanbieter besteht genau darin, als dieser unabh\u00e4ngige Dritte die Identit\u00e4t zu best\u00e4tigen.<\/p>\n Wenn bei der Webseite nur die Verschl\u00fcsselung und der sichere Transportkanal relevant sind, dann k\u00f6nnen dom\u00e4nenvalidierte Zertifikate die geeignete Wahl sein. Ist jedoch die Garantie entscheidend, dass der Nutzer sicher sein kann, dass er sich tats\u00e4chlich auf der richtigen Webseite einer bestimmten Firma oder Organisation befindet, dann ist ein organisationsvalidiertes oder EV Zertifikat unabdingbar.<\/p>\n Kostenfrei bedeutet auch nicht unbedingt ohne Kostenfolgen. So steht z. B. hinter Let\u2019s Encrypt eine Stiftung, die aufgrund vielseitiger Interessen Geld spendet, um den kostenintensiven Betrieb einer CA zu gew\u00e4hrleisten. Fallen die Geldgeber weg, so k\u00f6nnen auch keine Zertifikate mehr bezogen werden.<\/p>\n Wer selber einmal im Unternehmen eine PKI aufgezogen hat kennt die Aufw\u00e4nde, die alleine bei einer \u201eprivate PKI\u201c erforderlich sind. Neben Hardware, Backup, Hosting, Schl\u00fcsselverwaltung und -erneuerung etc. m\u00fcssen die Systeme laufend gewartet und gesch\u00fctzt werden. Eine \u00f6ffentliche CA stellt sich zudem aufgrund Haftungs- und Compliance-Anforderungen einer noch gr\u00f6\u00dferen Verantwortung. So werden die internen Prozesse und Systeme laufend durch Audits gepr\u00fcft und zertifiziert sowie an die aktuellen Standards der Browser- und Betriebssystemhersteller angepasst. Als aktives Mitglied im CA Browserforum und auch Mitglied in der Europ\u00e4ischen Bridge CA ist SwissSign diesbez\u00fcglich sehr engagiert, die internationalen Pr\u00fcfstandards auch im Interesse der europ\u00e4ischen Kunden und CAs zu gestalten. Der Preis hat also einen konkreten Gegenwert und wir sind bestrebt, die hohe Qualit\u00e4t durch die Leistungserbringung im eigenen Hause sicherzustellen und nicht bei Dritten einzukaufen. Die Schlie\u00dfung mehrerer CAs in Deutschland hat gezeigt, dass gutes Wirtschaften hier angebracht ist, vor allem im Interesse der Kunden, die Zertifikate f\u00fcr ihr Gesch\u00e4ft beziehen und sich darauf verlassen wollen. Denn \u201estirbt\u201c eine Root CA, so muss das Unternehmen alle Zertifikate ersetzen, ein kostspieliger Schaden, den z. B. einige Firmen in Deutschland in den letzten Jahren leider erfahren mussten.<\/p>\n PSW GROUP: Wieso lassen sich Ihrer Meinung nach verh\u00e4ltnism\u00e4\u00dfig wenige Menschen und Unternehmen auf Verschl\u00fcsselung ein? Was muss sich \u00e4ndern, damit Verschl\u00fcsselung endlich massentauglich wird?<\/strong><\/p>\n MV: Verschl\u00fcsselung ist vergleichbar mit dem Einbruchsschutz im eigenen Heim. Das Haus wird h\u00e4ufig leider erst dann gesichert, nachdem ein Einbruch stattgefunden hat. Hinzu kommt, dass bei der digitalen Verschl\u00fcsselung die Anwendung zur Einbruchssicherung immer noch in vielen Bereichen zu komplex ist. Wir haben festgestellt, dass Firmen die Wichtigkeit der Verschl\u00fcsselung erst erkannt haben, nachdem sie ein ungutes Gef\u00fchl hatten, weil sie z. B. eine m\u00f6gliche Kopie ihres Produktes auf einer Messe gesehen hatten. Des Weiteren zeigt sich, dass bei Firmen mit hoher Sensitivit\u00e4t f\u00fcr Verschl\u00fcsselung die digitale Transformation einen hohen Stellenwert hat und oft auch zur \u201eChefsache\u201c erkl\u00e4rt wird.<\/p>\n Der Schl\u00fcssel zum Erfolg liegt dabei in einer effektiven Sicherheitspolitik. Das Portfolio der notwendigen Sicherheitsma\u00dfnahmen kostet Geld, deshalb ist es entscheidend, dass der konkrete Nutzen und Mehrwert aufgezeigt werden kann. Gesetzliche Vorgaben wie in Deutschland, wo die Gesch\u00e4ftsf\u00fchrung f\u00fcr den Datenschutz pers\u00f6nlich haftbar gemacht werden kann, untermauern nat\u00fcrlich die Notwendigkeit eines institutionalisierten Sicherheitskonzepts, bei welchem die Verschl\u00fcsselung eine signifikante Komponente darstellt.<\/p>\n Oben erw\u00e4hnte Initiativen zeigen \u00fcberdies, dass Verschl\u00fcsselung, die dann noch einfach implementiert werden kann und praktisch wartungsfrei ist, breite Unterst\u00fctzung findet. Kern einer CA T\u00e4tigkeit sollte es daher sein, seinen Kunden nicht einfach Zertifikate anzubieten, sondern den Nutzen dank effektiver L\u00f6sungen aufzuzeigen. SwissSign kooperiert intensiv mit Partnern zusammen, die zum Beispiel Auto-Enrollment-L\u00f6sungen oder Mailgateways anbieten und ist in deren L\u00f6sungen integriert. Mit Hilfe solcher Systeme kann die Komplexit\u00e4t der Zertifikatsverwaltung und -verteilung reduziert und kosteng\u00fcnstig automatisiert werden.<\/p>\n PSW GROUP: Ist Verschl\u00fcsselung Ihrer Meinung nach Aufgabe der Politik, der Wirtschaft oder des Verbrauchers?<\/strong><\/p>\n MV: Dies ist meines Erachtens eher eine Frage des \u201esowohl als auch\u201c als des \u201eentweder oder\u201c. Die Politik hat die Aufgabe, ihre B\u00fcrger vor Betrug und Missbrauch zu sch\u00fctzen. Das betrifft den pers\u00f6nlichen Datenschutz, den Verbraucherschutz (\u201esicheres Einkaufen\u201c) aber auch die Aufkl\u00e4rung \u00fcber neue Gefahren im Netz. Hierbei hinkt die Politik aber naturgem\u00e4\u00df der Technik hinterher und hat Schwierigkeiten, moderne Technikvorf\u00e4lle in alte Gesetze hineinzupressen, die hierf\u00fcr nicht geschaffen waren. Sehr prominent wurde das im angels\u00e4chsischen Recht gezeigt, als das FBI f\u00fcr die Entschl\u00fcsselung des iPhones in einer Strafsache das \u201eAll Writs Act\u201c aus dem Jahre 1789 heranzog.<\/p>\n Aber auch bei uns m\u00fcssen technische F\u00e4lle juristisch einordbar werden. Ein typisches Beispiel ist ein Betreiber eines Internetcaf\u00e9s, der zur Finanzierung seines Betriebes bei unverschl\u00fcsselten Webseiten die eingeblendete Werbung gegen eigene oder an ihn bezahlte austauscht. Wie ist das zu bewerten? Wie sieht die Haftung aus, wenn diese Werbung Malware enth\u00e4lt? Ist hier sogar der Betreiber einer Webseite Schuld, weil er – \u00e4hnlich wie bei der St\u00f6rerhaftung im WLAN – diese nicht verschl\u00fcsselt hat?<\/p>\n Die Wirtschaft wird bei der Verschl\u00fcsselung immer das Eigeninteresse vor Augen haben: den Schutz ihrer Daten, ihres Know-hows, der Innovation und des Gesch\u00e4ftsmodells an sich. Zugleich stehen die Wirtschaftlichkeit und damit die Kosten im Fokus. Dies ergibt Chancen und es entwickeln sich daraus immer bessere Verschl\u00fcsselungspraktiken oder effizientere Roll-Out Systeme. Damit verringern sich die Aufw\u00e4nde f\u00fcr Setup und Betrieb drastisch und alle profitieren. Die Wirtschaft giert aber auch nach Daten, da diese einen Wert haben und daraus ein \u00e4u\u00dferst profitables Gesch\u00e4ftsmodell entstanden ist (Stichwort Big Data). Es ist wiederum Aufgabe der Politik, diesen Datenhunger zu z\u00fcgeln, Monopole zu vermeiden und den gesetzlichen Rahmen zu definieren, um die B\u00fcrger zu sch\u00fctzen.<\/p>\n \u00c4hnlich wie beim Eigenheim liegt es aber auch am Verbraucher selbst, sich z. B. \u00fcber Praktiken des Internetbetrugs zu informieren, dessen Gefahren zu erkennen und zum eigenen Schutz entsprechende Tools, z. B. f\u00fcr die Verschl\u00fcsselung, zu nutzen. Und auch als Verbraucher muss man sich immer wieder die Frage stellen, wie viele Daten man von sich unverschl\u00fcsselt preisgeben will. Da ist Selbstverantwortung gefragt.<\/p>\n PSW GROUP: Was zeichnet das Angebot Ihrer Zertifizierungsstelle aus? Was unterscheidet Ihr Unternehmen von Mitbewerbern?<\/strong><\/p>\n MV: SwissSign Zertifikate sind bereits in \u00fcber 50 L\u00e4ndern ausgestellt und werden von allen bedeutenden Betriebssystemen, Browsern und Mobilger\u00e4ten automatisch erkannt. Aus Kundensicht stehen neben Funktionalit\u00e4t und Preis folgende Fragen im Vordergrund: Welcher Zertifizierungsstelle kann ich mein Vertrauen \u00fcber Daten und Kommunikation geben? Wenn ich meine Verschl\u00fcsselung im Unternehmen auf diese Zertifizierungsstelle umstelle, habe ich da die Sicherheit, nicht in wenigen Jahren wieder wechseln zu m\u00fcssen? Verschl\u00fcsselung ist ein komplexes Thema, bekomme ich bei Bedarf kompetent und schnell Hilfe und Support? Darauf hat SwissSign gute Antworten:<\/p>\n Zun\u00e4chst steht das Angebot von SwissSign f\u00fcr \u201emade in Switzerland\u201c. Da mag man auf den ersten Blick die Stirn runzeln, denn ein standardisiertes Zertifikat ist kein Schweizer Taschenmesser. Jedoch ist es als Zertifikatsdienstanbieter essentiell, die Identit\u00e4ten zuverl\u00e4ssig festzustellen und Verschl\u00fcsselungen zu erm\u00f6glichen. Jeder Staat und jede Organisation h\u00e4tte die M\u00f6glichkeit, \u00fcber z. B. \u201eMan-in-the-Middle\u201c mit Hilfe einer Zertifizierungsstelle den Datenverkehr auszuschn\u00fcffeln. Der \u201eGeneralschl\u00fcssel\u201c hierzu ist die Kontrolle und der Zugriff auf die Zertifizierungsstelle. Hier spielt die jahrhundertealte, gefestigte Rechtssituation, die traditionelle Neutralit\u00e4t und die gelebte Volksdemokratie in der Schweiz eine besondere Rolle: einen richterlich nicht legitimierten Zugriff kann es hier nicht geben. Wir erleben gerade in jungen Demokratien, wie z. B. Polen, wie schnell dort Gesetze kippen k\u00f6nnen – mit der neuen Internet\u00fcberwachung abseits von richterlicher Kontrolle f\u00fcr Polizei und Geheimdienst. Zudem sind wir eine der wenigen CAs, die alle Vertr\u00e4ge mit demselben Recht abschlie\u00dft, mit welchem auch die Zertifizierungspraxis der CP\/CPS erfolgt, n\u00e4mlich nach Schweizer Recht.<\/p>\n Als Tochter der Schweizerischen Post bieten wir auch finanzielle Sicherheit und Zuverl\u00e4ssigkeit, die einer der gr\u00f6\u00dften Arbeitgeber der Schweiz bieten kann. Wir legen h\u00f6chsten Wert auf die sorgf\u00e4ltige \u00dcberpr\u00fcfung von Identit\u00e4ten, entwickeln unsere Software zu 100% in der Schweiz und sch\u00fctzen unserer Zug\u00e4nge durch die Hinterlegung unserer Rootzertifikate bei Schweizer Banken. Wir sind wohl auch die einzige Zertifizierungsstelle weltweit, die im eigenen Konzern noch eine Bank, die Postfinance mit ihren \u00fcber 115 Milliarden CHF Kundenverm\u00f6gen, durch SwissSign Zertifikate sch\u00fctzt. Somit kennen wir die hohen Anforderungen aber auch das Schadenspotential, welches durch ein kompromittiertes Rootzertifikat entstehen k\u00f6nnte \u2013 so w\u00e4re der Betrieb einer Bank f\u00fcr Tage gel\u00e4hmt oder unm\u00f6glich, da bei jedem Geldautomaten im Falle einer Kompromittierung das Zertifikat ausgetauscht werden m\u00fcsste.<\/p>\n Zuverl\u00e4ssige Stromlieferung und ausgezeichnetes Hosting, welches auch von der Schweizerischen Grundversorgung f\u00fcr einen 24\/7 Betrieb genutzt wird, garantieren zudem h\u00f6chste Verf\u00fcgbarkeit und Stabilit\u00e4t. \u201eLast but not least\u201c gilt es zu erw\u00e4hnen, dass viele, die einmal Telefonsupport aus fernen L\u00e4ndern erhalten haben, einen lokalen Support zu sch\u00e4tzen wissen. Wir stellen dies mit eigenem, kompetenten Telefon- und Mail-Support in Deutsch, Franz\u00f6sisch und Englisch und Vor-Ort-Service dank weit verbreitetem Partnernetz sicher.<\/p>\n PSW GROUP: In unserem Berufszweig ist Vertrauen unglaublich wichtig. Warum vertrauen Kunden Ihrem Unternehmen?<\/strong><\/p>\n MV: Vertrauen ist das A und O unseres Business. Wie bereits erw\u00e4hnt gr\u00fcndet das Vertrauen unserer langj\u00e4hrigen Kunden einerseits in der Kompetenz und Erfahrung unserer Mitarbeiter und den hohen Qualit\u00e4ts- und Sicherheitsstandards, andererseits tragen die politische und gesellschaftliche Stabilit\u00e4t der Schweiz, ihr Rechtssystem und Datensicherheit wesentliches dazu bei. Dar\u00fcber hinaus ist unsere Pr\u00e4senz vor-Ort und Mehrsprachigkeit vielen Kunden wichtig. Unser Ziel ist es, Versprechen zu halten und die Erwartungen zu \u00fcbertreffen, das schafft Vertrauen. So vertraut auch SwissSign seinen Kunden und die Kunden sp\u00fcren das. Im Gegensatz zu anderen Markteilnehmern begrenzen wir zum Beispiel bei einer Managed PKI technisch die Anzahl der bezogenen Zertifikate nicht, denn ein unkomplizierter, einfacher und schneller Zertifikatsbezug rund um die Uhr ist f\u00fcr unsere Kunden entscheidend. Gegenseitiges Vertrauen ist die Grundlage und es ist uns wichtig, ein verl\u00e4sslicher Partner zu sein, f\u00fcr unsere Lieferanten, Kunden und Partner.<\/p>\n PSW GROUP: Wie sch\u00e4tzen Sie die Probleme ein, die in der Wirtschaft durch unverschl\u00fcsselte Kommunikation entstehen?<\/strong><\/p>\n MV: Das Problem wird sein, dass die Wirtschaft wahrscheinlich gar nicht absch\u00e4tzen kann, welcher Schaden durch unverschl\u00fcsselte Kommunikation entsteht. Im gro\u00dfen Kontext hat der Fall Snowden eindr\u00fccklich gezeigt, welche Dimensionen \u00dcberwachungen angenommen haben. Abschlie\u00dfend sind deren Konsequenzen noch nicht absehbar und werden uns noch eine Zeit lang besch\u00e4ftigen.<\/p>\n So sind auch die wirtschaftlichen Folgen von Kunden, die Opfer von Phishing Mails wurden und sich deswegen auch vom Anbieter abwenden, nur sehr schwer quantifizierbar. Auch Produktpiraterie l\u00e4sst sich nicht eindeutig auf gestohlene Daten einer unverschl\u00fcsselten Kommunikation zur\u00fcckf\u00fchren, aber der Zusammenhang ist sicherlich gegeben. Firmen wie Kaspersky, aber auch die Dokumente von Snowden zeigen eindrucksvoll, welche M\u00f6glichkeiten zur Datenspionage bereits heute existieren und genutzt werden. Das Schadenrisiko als Produkt von Schadenh\u00f6he und Eintrittswahrscheinlichkeit ist in der Kommunikation schwieriger zu ermitteln als in anderen Bereichen. Es ist aber unbestritten gegeben. Dank dem Einsatz von Sicherheitsl\u00f6sungen vertrauensvoller Anbieter kann dieses Risiko gesenkt werden. Hierbei kommt auch den Zertifikatsdienstanbietern eine wichtige Rolle zu: Sie leisten einen aktiven Beitrag zur Bewusstseinsbildung und stellen ma\u00dfgeschneiderte L\u00f6sungen bereit.<\/p>\nZum Selbstverst\u00e4ndnis der SwissSign AG<\/h3>\n
\n
Mitgliedschaften und Zertifizierungen der SwissSign AG<\/h3>\n
Markus Venetz, Head of Certificate Services bei SwissSign, im Interview<\/h3>\n