Aufstze

Vertrauen(skapseln) beim Online-Einkauf

Christel Kumbruck, Markus Sacher, Frederic Stumpf

Das von der DFG gefrderte Projekt TrustCaps erforscht, welche Voraussetzungen aus psychologischer, rechtlicher und technischer Sicht vorhanden sein mssen, damit Menschen in virtuellen Welten vertrauensvoll handeln knnen. Der Beitrag stellt das TrustCaps Projekt vor und zeigt die Interaktion der einzelnen wissenschaftlichen Disziplinen auf.*

Einleitung
Untersuchungen von Eurobarometer [1] und Trusted Shops [2] verweisen auf den Umstand, dass viele Menschen sich von der Nutzung des Internet fr online-Einkufe abhalten lassen, da es ihnen an Vertrauen fehlt, nmlich, so Castelfranchi & Tan [3] Vertrauen in die Mitmenschen, also in die Verkufer, Vertrauen in das technische System, das zwischen Kufer und Verkufer vermittelt, Vertrauen in das rechtliche System, das in der materiellen Welt ein wichtiger Faktor zur Risikominimierung darstellt. Eine besondere Schwierigkeit liegt darin, dass die fr Vertrauen notwenige Prfung von Mitmenschen, Techniksystemen und Umgebung mittels aller Wahrnehmungsorgane und mittels direkter Kommunikation nicht mehr mglich ist [4]. Wenn aber kein Vertrauen aufgebaut werden kann, fehlt die fr Menschen wichtigste Voraussetzung, um handlungsfhig zu sein. Das von der DFG gefrderte Projekt TrustCaps erforscht, welche Voraussetzungen aus psychologischer, rechtlicher und technischer Sicht vorhanden sein mssen, damit Menschen in virtuellen Welten vertrauensvoll handeln knnen. Das Projekt verfolgt mit dem Konzept der Vertrauenskapseln (TrustCapsules) einen neuen, umfassenden und technische, rechtliche und arbeitspsychologische Aspekte zusammenfhrenden Ansatz, um das Internet zu einem globalen Marktplatz fr Geschfte zu machen, auf dem sich Nachfrager und Anbieter von Produkten und Leistungen vertrauensvoll begegnen und miteinander kooperieren knnen.

Markus Sacher Mitglied der Projektgruppe verfassungsvertrgliche Technikgestaltung (provet) an der Universitt Kassel E-Mail: m.sacher@uni-kassel.de Frederic Stumpf Wissenschaftlicher Mitarbeiter am Fachgebiet Sicherheit in der Informationstechnik der TU Darmstadt E-Mail: stumpf@sec.informatik.tu-darmstadt.de PD. Dr. Christel Kumbruck Wissenschaftliche Mitarbeiterin in der Fachgruppe Arbeitswissenschaft der Universitt Kassel E-Mail: kumbruck@ifa.uni-kassel.de
* Der Aufsatz ist ein Beitrag zum Forschungsprojekt TrustCaps, das die DFG unter der Frdernummer EC 163/4-1 / RO 680/5-1 frdert.

1 Was ist Vertrauen?

Der Soziologe Luhmann [5] betrachtet Vertrauen pragmatisch als einen Mechanismus zur Reduktion von Komplexitt und dadurch zur Erlangung von Handlungssi-

cherheit. Vertrauen grndet sich im Wesentlichen auf Erwartungen, dass sich der eine Partner so verhlt wie es der andere Partner erwartet. dass das einbettende gesellschaftliche System korrektes Verhalten gewhrleistet und Fehlverhalten ggf. sanktioniert, oder aber den Schaden begrenzt, wenn ein Partner sich nicht so verhlt wie es der andere Partner berechtigterweise erwarten durfte. Diese Erwartungen basieren auf Erfahrungen eigenen oder mitgeteilten fremden. Der Soziologe Giddens [6] zeigt die unterschiedlichen vertrauensgenerierenden Orientierungen von Menschen in unterschiedlichen Situationen auf: Vertrauen entsteht, wenn konomische und politische Ressourcen, z.B. eine materielle Absicherung, vorhanden sind. Die (sowohl bewusste als auch unbewusste) Interpretation einer Situation, eines Systems oder eines Menschen mittels kognitiver, affektiver und kommunikativer Mittel dient auch der Einschtzung der Vertrauenswrdigkeit. Schlielich wird das gltige Normensystem mit seinen sozialen und rechtlichen Sanktionsmitteln als eine Grundlage von Vertrauen genommen. Alles Vertrauen basiert letztendlich auf personalem Vertrauen. Ein Vertrauen, das auf dem Rechtssystem basiert, ist ein vermitteltes Vertrauen insofern, als die Beteiligten darauf vertrauen mssen, dass sich der Kooperationspartner an die gltigen Normen hlt und sich von den Sanktionsmglichkeiten davon abhalten lsst, die versprochenen Erwartungen zu enttuschen. Aber es gibt auch ein Vertrauen in ein technisches System, sog. Systemvertrauen, das aber auf Dauer fr sein Funktionieren immer wieder der Rckbettung und das heit der Bezugnahme auf Vertrauen in Personen bedarf, wie der Soziologe Giddens [6] aufgezeigt hat. Wenn man sich im elektronisch untersttzten Geschftsprozess auf koordinierende Strukturen und Ablufe verlassen kann, keine Fragen auftauchen und auch keine Strungen dabei auftreten, reicht das Systemvertrauen aus.

362

DuD Datenschutz und Datensicherheit 31 (2007) 5

Christel Kumbruck, Markus Sacher, Frederic Stumpf

Fragen knnen beispielsweise bei Interneteinkufen aufgrund kryptischen Systemverhaltens auftreten; Strungen sind beispielsweise bei Interneteinkufen zugesandte Waren, die Mngel haben und die deshalb umgetauscht werden sollen. Mgliche Probleme knnen aber auch antizipiert werden und wirken dann ebenfalls als Irritation, beispielsweise wenn sich der Kufer im Vorfeld schon die Frage stellt, was wohl passieren wrde, wenn er die Ware zurckgeben wollte. Im Falle von solchen Irritationen oder antizipierten Irritationen kommt das Bedrfnis nach persnlicher Rcksprache auf oder auch nur nach der prinzipiellen Mglichkeit, im Falle eines Falles den Verkufer oder seinen Reprsentanten anrufen zu knnen. Dann also bedarf es des personalen Vertrauens, um diese Irritation zu berwinden. Nun erfolgen die Prfungen auf Vertrauenswrdigkeit keineswegs immer bewusst und explizit. Vielmehr sind schtzenswerte Prozesse in der physisch-sozialen Lebenswelt an bestimmte Kontexte (z.B. Ladenlokal mit Verkufer und Interieur) gebunden. Die Menschen haben sich aufgrund von Erfahrungen daran gewhnt, dass, wenn in bestimmten Kontexten bestimmte Zeichen (der Metzger in der weien Schrze, der Verkufer von Herrenoberbekleidung im Anzug mit Namensschildchen Herr Mller) vorhanden sind, sie auch berechtigte Erwartungen in die Vertrauenswrdigkeit der Situation haben knnen. Daraus resultiert Handlungssicherheit im Sinne intuitiv angemessenen Verhaltens. Dabei sind die vertrauenseinflenden Kontexte meist auch rumlich von anderen Kontexten geschieden, so dass sie eine gewisse Abkapselung darstellen. Innerhalb dieser abgekapselten Situationen kann Vertrauen leichter ausgebildet werden als in vllig offenen, nicht durch Kontextfaktoren geprgten Situationen, die es aber in der realen Welt auch nicht gibt. Somit dienen die Abkapselungen der Ausbildung von Vertrauen. In der Internet-Welt fehlen diese vertrauenseinflenden Umgebungen, die gegenber der offenen Restwelt eine Separierung, eine Abkapselung, darstellen. Das Projekt TrustCaps entwickelt Abkapselungen von Geschftsprozessen, sog. Vertrauenskapseln. Diese stellen virtuelle Sicherheitshllen um die an einem (Geschfts-)Prozess beteiligten Subjekte und Objekte dar, innerhalb derer sich die Prozessbeteiligten der Identitt der Geschftspartner, der Ausge-

wogenheit der einzuhaltenden Spielregeln und der Verlsslichkeit der verwendeten Ausfhrungsumgebungen relativ sicher sein knnen.

2 Vertrauens bausteine
Innerhalb dieser einzelnen virtuellen Sicherheitshllen befinden sich rechtliche, psychologische und technische Vertrauensbausteine. Rechtliche Vertrauensbausteine sind rechtlich relevante Hinweise auf Verkaufsprozesse sowie Rechtsansprche der Nutzer untersttzende Prozeduren, die somit der Risikominimierung dienen. Technische Vertrauensbausteine verhindern Missbrauch durch Abschottung des Prozesses und zielen auf Sicherheit. Psychologische Vertrauensbausteine geben Informationen, die die Vertrauenserwartungen der Nutzer auf der kognitiven Ebene stabilisieren; sie bermitteln aus der materiellen Welt transferierte Zeichen, die auf der affektiven Ebene vertrauenseinflend sind. Die Bausteine aus den einzelnen Disziplinen sollen nicht isoliert betrachtet werden, sondern mit den Bausteinen aus den jeweils anderen Disziplinen in ein angemessenes Verhltnis gesetzt werden, was vor allem voraussetzt, dass sich, wenn sich untereinander Zielkonflikte ergeben, diese ausgehandelt werden. Auf diese Weise werden technische, rechtliche und psychologische Anforderungen in Einklang gebracht.

2.1 Psychologische Vertrauensbausteine

Psychologische Vertrauensbausteine bedienen diverse psychologische Voraussetzungen, damit Menschen Vertrauen entwickeln. Es wird versucht, die vielen Facetten, die personales Vertrauen hat, zu bercksichtigen. Unser Vorgehen wird am Beispiel des Bausteins Wiedererkennbarkeit deutlich: Wir haben das technikbedingte Problem identifiziert, dass die Personen/Objekte in der Internet-Welt virtuell sind, d.h. im Gegensatz zur Face-to-Face-Begegnung nicht sichtbar und anfassbar sind. Aus der psychologischen Vertrauensforschung ist die Anforderung abzuleiten, dass Menschen Kontinuitt im Personenbezug bentigen, d.h. andere wieder-

erkennen knnen mssen. Der Baustein Wiedererkennbarkeit setzt auf der elementarsten Weise, wie Menschen Vertrauen ausbilden, auf, nmlich der Kontinuitt der personellen Bezge. Ohne kontinuierliche Bezge zu Personen sind Menschen nicht in der Lage, berhaupt und in irgendjemand oder -etwas Vertrauen zu setzen. Eine technische Umsetzung muss demzufolge stabile optische Merkmale des Kooperationspartners bermitteln. Hierfr hat TrustCaps eine Lsung entwickelt, nmlich die Sichtbarmachung von Portraitfotos in Verbindung mit einem unverflschbaren Bezug zum Kooperationspartner. Dieser Bezug wird sicherheitstechnisch mittels Zertifikaten und digitaler Signaturen gewhrleistet. Eine hnliche Ableitungsprozedur widerfhrt dem Baustein der langfristigen Erfahrungsbasis. Die virtuelle Welt und die in ihr dargebotenen Informationen sind flchtiger Natur, d.h. sie taugen nicht zur Vermittlung von langfristigen kontinuierlichen Beziehungen. Aus der psychologischen Vertrauensforschung wissen wir, dass, je lnger ein Mensch gute Erfahrungen mit einem anderen Menschen oder einem System gemacht hat, desto eher ist er auch bereit zu vertrauen. Dies setzt voraus, dass er die gemeinsamen guten Erfahrungen immer wieder wahrnehmen kann. Die Technik kann zur Untersttzung dieser Anforderung die gemeinsame Historie aufzeigen, so dass die Nutzer ihre positiven und negativen Erfahrungen vor Augen haben. Aufgrund des rumlich verteilten Handelns ber das Internet nehmen die Kooperationspartner die einzelnen Schritte des Handelns des anderen nicht wahr, sondern nur die Ergebnisse derselben. Nun setzt der Aufbau von Vertrauen voraus, dass der Prozess bestimmten Spielregeln folgt. Eine der wichtigsten Regeln und somit ein psychologischer Baustein ist die Reziprozitt, d.h. die Wahrnehmung, dass man sich Schrittchen fr Schrittchen vertraut und jeweils gleichviel gibt. Dadurch wird die Crux des Vertrauens, dass man in einseitige Vorleistung gehen muss, abgemildert. Eng damit verbunden ist die Responsivitt, d.h. wenn ich etwas tue, lsst die Antwort nicht auf sich warten. Eine technische Umsetzung wrde in einer kleinschrittig konzipierten wechselseitigen Abfolge bestehen, verbunden mit der Sichtbarmachung der jeweiligen Aktionen, die dann als Feedback wirken.

DuD Datenschutz und Datensicherheit 31 (2007) 5

363

Vertrauen(skapseln) beim Online-Einkauf

Auf dem Internet-Markt treten sich die Geschftspartner sozial anonym gegenber, d.h. keiner kennt den anderen; jeder kann sich hinter einem falschen Namen verstecken. Zur eigenen berprfung der Kompetenzen des Kooperationspartners (z.B. versteht er als vorgeblicher Autohndler etwas von Autos?) und seiner Gutwilligkeit bedarf es der Mglichkeit zur persnlichen Kommunikation. Dies fhrt zum nchsten Baustein der Ansprechbarkeit; insbesondere wenn Fragen auftreten, sollte die Mglichkeit fr eine persnliche Kommunikation vorhanden sein. Technisch knnte diese Mglichkeit durch eine Telefon-Hotline realisiert werden. Die elektronische Welt ist informationen-, d.h. faktenorientiert. Sie bedient damit nicht die affektiven Bedrfnisse, die beim Vertrauensaufbau wichtig sind. Ein Kaufprozess mndet ja in einen Abschluss einen Vertrag, ein verbindliches Versprechen. Neben der rechtlichen Bedeutung hat der Vertrag auch eine affektiv-soziale Funktion. Er stellt ein Ritual fr Verbindlichkeit, eine Bekrftigung fester sozialer Regeln, dar; d.h. der Vertragsabschluss sollte auf der technischen Ebene nicht nur faktisch erfolgen und mitgeteilt werden, sondern auch durch Symbolik verstrkt und sichtbar gemacht werden, beispielsweise durch eine Visualisierung eines Hndedrucks. Technische Prozesse werden vielfach so konzipiert, dass sie starren Vorgaben folgen. Gerade beim Aufbau von Vertrauen bedrfen Menschen aber der Mglichkeit, ihren eigenen Vorstellungen, wie schnell der Prozess ablaufen soll, zu folgen. Sie mssen selbst darber bestimmen knnen, welche Informationen sie als relevant abfragen und welche sie als irrelevant links liegen lassen, etc. Es handelt sich hierbei um den Baustein der Kontrollierbarkeit. Dieser setzt Spielrume im Agieren wie auch im Reagieren auf Computeranforderungen voraus. Die technische Realisierung wrde somit darin bestehen, Freiheitsgrade im Ablauf und in der Abstimmung zwischen den Nutzern sowie im Informationszugriff einzubauen.

2.2 Rechtliche Vertrauensbausteine

Das Rechtssystem dient als Rahmen, innerhalb dessen mgliche Handlungsalternativen der Beteiligten zu liegen haben. Damit reduziert es Komplexitt und schafft gleichzeitig Mindestanforderungen. Rechtliche

Vertrauensbausteine definieren somit die formalen Spielregeln, innerhalb derer zwischen den Bedrfnissen der Individuen vermittelt wird. Zunchst sei hier der Baustein der Transparenz genannt. Hierunter verstehen wir die Offenlegung des Geschfts. Das bedeutet, es muss fr den Kunden sowohl ersichtlich sein, was Gegenstand eines Kaufvertrages sein soll und wie seine weiteren Bedingungen sind, aber auch wie dieser zustande kommt und wie der Vertrag abgewickelt werden soll. Zu den Bedingungen gehren insbesondere die Allgemeinen Geschftsbedingungen. Zwar wird der Verbraucher durch die Regelungen der 307 bis 309 BGB vor verschiedenen Klauseln geschtzt, gleichwohl fhlen sich viele Verbraucher von Allgemeinen Geschftsbedingungen verunsichert und scheuen deshalb einen OnlineGeschftsabschluss. Dies liegt zum Teil an den unbekannten Begriffen und komplizierten Formulierungen, zum Teil aber auch daran, dass sich der Kufer unter verschiedenen Klauseln etwas anderes vorstellt. Nun knnte man zwar die Auffassung vertreten, der Kufer sei durch die gesetzlichen Klauselverbote ausreichend geschtzt, dem ist jedoch nicht so, da eine rechtswidrige Klausel von einem Verkufer durchaus dazu missbraucht werden kann, gegenber einem rechtsunkundigen Laien einen nicht bestehenden Anspruch durchzusetzen. Hier knnte eine Hilfe in einer technischen Untersttzung des Kufers gesehen werden, die ihn auf unzulssige Klauseln hinweist. Als Ansatzpunkt fr eine solche technische Lsung wollen wir das fr den Datenschutz entwickelte Verfahren von P3P untersuchen. Auch ansonsten gibt es zur Frderung der Transparenz bereits rechtliche Rahmenbedingungen, die durch die Regelungen des Fernabsatzrechts der 312 b bis 312 e BGB, der BGB-Info Verordnung sowie der Preisangabenverordnung normiert sind. Ein weiterer wichtiger Baustein aus juristischer Sicht stellt die Identifikation der am Vertrag Beteiligten dar. Hierbei wird insbesondere das Problem betrachtet, dass weder der Verkufer Kenntnisse vom tatschlichen Kufer und umgekehrt der Kufer keine gesicherten Kenntnisse von der Identitt des Verkufers hat. Somit sind beide Partner auf die Ehrlichkeit des jeweils anderen angewiesen, was leicht missbraucht werden kann und damit den Geschftsprozess unsicher macht. Hier soll die Verwen-

dung qualifizierter elektronischer Signaturen helfen [7]. Der dritte Baustein stellt die Entscheidungsmglichkeit des Nutzers dar. Dies bedeutet, dass der Nutzer Wahlmglichkeiten haben muss und der Ablauf nicht vollstndig vom Verkufer vorgegeben werden darf. Dabei verstehen wir Wahlmglichkeiten aber auch als Einflussmglichkeiten, wie sie zum Beispiel im Bereich des Datenschutzrechts durch die Einwilligung, Sperrung, Lschung oder Berichtigung und Auskunft gegeben sind [8]. Ganz entscheidend fr die Vertrauenswrdigkeit sind aber auch die Rckabwicklung eines Geschfts und die Gewhrleistung bei mangelhaften Produkten, da dies beides das Risiko des Kunden minimiert. Als eines der grten Hemmnisse fr den Einkauf im Internet wird von vielen Menschen die Furcht vor dem Missbrauch ihrer Daten genannt [9]. Dieser Vertrauensbaustein Datenschutz setzt zum einen daran an, so wenige Daten wie mglich zu generieren. Zum anderen ist auch eine Vernetzung mit den Bausteinen Transparenz und Mitwirkungsrechten besonders gut zu sehen, weil fr eine Erhhung des Datenschutzes Transparenz als sehr wichtig anzusehen ist und auch die Beteiligung des Nutzers eine entscheidende Bedeutung hat. Der letzte hier kurz anzusprechende Punkt stellt die Durchsetzbarkeit eines eventuellen Anspruchs dar. So ist es gerade im Bereich des E-Commerce blich, dass Kufer und Verkufer einer Ware sehr weit auseinander ihren Sitz bzw. Wohnort haben. Dies fhrt dazu, dass sich gerade bei niedrigeren Streitwerten ein Prozess wirtschaftlich nicht lohnt, wenn hierzu an einem fernen Gericht geklagt werden muss.

2.3 Technische Vertrauensbausteine

Die bisher erarbeitenden psychologischen und juristischen Vertrauensbausteine sind in erster Linie in der realen Welt verankert. Die Herausforderung fr die Anwendung Online-Kauf besteht darin, bisherige vertrauensbildende Manahmen geeignet in die digitale Welt zu bertragen und umzusetzen oder entsprechende Schnittstellen zwischen realer und digitaler Welt zu schaffen. Hierzu zhlen technische Bausteine wie Authentizitt, Verbindlichkeit, also die Nichtabstreitbarkeit von gettigten Aktionen, und Informationsvertraulichkeit. Darber hinaus schafft die Informations-

364

DuD Datenschutz und Datensicherheit 31 (2007) 5

Christel Kumbruck, Markus Sacher, Frederic Stumpf

technik ureigene Probleme, die im Sinne der Anwendung der Technik mit Anschluss an eine reale Welt (mit realen Menschen und mit realen Produkten) gelst sein mssen, beispielsweise Informationsintegritt, und Zuverlssigkeit. Zur Verdeutlichung dieser Vertrauensbausteine wird der Baustein an dieser Stelle beispielhaft nher erlutert. Der Baustein Vertraulichkeit gewhrleistet, dass keine unautorisierte Informationsgewinnung durch Dritte auftritt. Dies trifft insbesondere auf die Plattform der Kommunikationsteilnehmer zu, da sie ber fundierte Informationen ber die Interessen des Endnutzers und ber personenbezogene Informationen verfgt. Die Einfhrung von Online-Zahlungsmitteln hat dazu gefhrt, dass hochgradig schtzenswerte Daten wie Kreditkartennummern, Passwrter oder PINs bermittelt werden. In den letzten Jahren wurden zwar Protokolle wie SSL und TLS [10] entwickelt,

die zumindest die Kommunikationswege schtzen und somit verhindern, dass bei der bertragung der sensitiven Daten keine unautorisierte Informationsgewinnung auftritt. Diese Protokolle erfllen jedoch nur teilweise die Anforderungen an die Vertraulichkeit von Informationen, da sie lediglich die Kommunikationswege absichern und keine Aussage ber die Vertraulichkeit der Daten an den Kommunikationsendpunkten treffen. Die unerlaubte Extraktion und Wiedereinspielung von sensitiven Informationen, die unter anderem zur Vorspiegelung einer falschen Identitt dienen knnten, muss daher verhindert werden. Zustzlich wird in bisherigen Architekturen in keiner Weise ein Nachweis erbracht, dass die benutzte Technik mit den sensitiven Informationen vertraulich umgeht und eine unautorisierte Informationsgewinnung durch Dritte verhindert, also eine zuverlssige Abkapselung von Prozessen erzielt. Durch die immer grer werdende Kom-

plexitt von IT-Systemen erhht sich zudem die Gefahr von Angriffen auf das System. Die Anzahl von Schadsoftware oder Angriffen, die Sicherheitslcken in Software ausnutzen, steigt rapide. Schadsoftware stellt eine erhebliche Gefahr fr die Interaktionen mit dem Partner dar, da sie den Transaktionsablauf unterlaufen und sensitive Informationen verffentlichen kann, was zu einem erheblichen Vertrauensverlust fhrt. Eine Lsungsmglichkeit knnte hierbei beispielsweise die Nutzung von Verschlsselungsoperationen sein, die die verwendeten sensitiven Informationen zu keinem Zeitpunkt im Klartext offen legen. Zustzlich stellt die Nutzung von sicherer Anwendungssoftware, die den eigentlichen Transaktionsprozess vor parallel laufender Malware abkapselt, eine Mglichkeit dar. Der Nachweis ber die korrekte Konfiguration dieser Anwendungssoftware kann dabei durch die zur Verfgung gestellten Techni-

UIMC: 210 x 135 mm (1/2 quer)

DuD Datenschutz und Datensicherheit 31 (2007) 5

365

Vertrauen(skapseln) beim Online-Einkauf

ken des Trusted Computings [11] erbracht werden.

2.4 Kombination der Vertrauensbausteine

Zur Etablierung von Vertrauen versucht dann das TrustCaps Projekt die einzelnen Vertrauensbausteine so zu kombinieren, dass sie eine vertrauensvolle Umgebung, realisiert durch eine Kapsel, um den gesamten Transaktionsprozess legen. Der Transaktionsprozess wird vor ungewollten Einflssen abgeschirmt, indem der vollstndige Transaktionsprozess innerhalb der Kapsel isoliert von der ueren Umgebung abgewickelt wird. Nach der Transaktion werden die innerhalb der Kapsel erfolgten Kommunikationsdaten archiviert, um entsprechenden Regressforderungen begegnen zu knnen.

3 Die technische Umgebung

Zur Realisierung einer Vertrauenskapsel ist es notwendig, dass ein Vertrauensanker gebildet wird, der fr die Sicherung der essentiellen Funktionen der Kapsel verantwortlich ist. Dieser Vertrauensanker ist das Trusted Platform Module (TPM) [12], ein Hardware Chip, der bereits heute in vielen PC-Plattformen enthalten ist. Es sorgt dafr, dass beide Kommunikationspartner sicher sein knnen, dass die Plattform des Kommunikationspartners die spezifizierten Eigenschaften zur Kapselbildung zuverlssig umsetzt. Ausgehend von dem Vertrauensanker wird ein robuster und verschlsselter Kanal [13] zwischen den Kommunikationspartnern etabliert, der jegliche unautorisierte Informationsgewinnung verhindert. Da der Vertrauensanker den Kommunikationsendpunkt darstellt, wird eventuell vorhandene Schadsoftware auf der Plattform erfolgreich getunnelt, was die Verwundbarkeit der Plattform durch Schadsoftware senkt, aber sie nicht immunisiert. Zustzlich werden hier Attestationsmechanismen erforderlich, die die vorhandenen Softwarekomponenten attestieren und somit eine Aussage ber die Vertrauenswrdigkeit der verwendeten Plattform treffen lassen [14]. Um eine Vertrauenskapsel um zwei voneinander unbekannte Akteure bilden zu knnen, wird im TrustCaps Projekt eine

vertrauenswrdige Instanz benutzt, die eine Begegnungsplattform zur Verfgung stellt und gleichzeitig den Transaktionsprozess berwacht. Diese Instanz stellt wichtige Funktionen zur Vertrauensbildung zur Verfgung, ohne jedoch den Prozess direkt zu beeinflussen. Diese vertrauenswrdige Dritte Instanz nimmt dabei vor allem folgende Aufgaben wahr: berwachung des Transaktionsprozesses Untersttzung der (beiden) Akteure bei der Etablierung der Vertrauenskapsel Nachweis ber die Vertrauenswrdigkeit der verwendeten Systeme Archivierung der vollstndigen Transaktion. Dabei berprft die Dritte Instanz zuerst den Vertrauensgrad der verwendeten technischen Komponenten und etabliert einen verschlsselten Kanal zwischen beiden Kommunikationspartnern. Dieser Kommunikationskanal ist jedoch aufgrund der Verschlsselung fr die Dritte Instanz nicht einsehbar. Im Hinblick auf die Identifizierung der beiden Kommunikationspartner, also auf stabile Identitten, werden qualifizierte elektronische Signaturen benutzt. Im Anschluss an die Transaktion werden die ausgetauschten Nachrichten archiviert, was eine detaillierte Nachvollziehbarkeit der Transaktionen, z.B. im Falle eines Rechtsstreits, ermglicht. Fr die Transaktion wird eine vertrauenswrdige Transaktionssoftware benutzt, die durch die Dritte Instanz zur Verfgung gestellt wurde. Diese untersttzt den Nutzer bei dem Transaktionsprozess, indem die einzelnen Operationen, wie das Signieren des Angebots, geeignet visualisiert werden. Zur Erstellung von Signaturen und zum Aufbau von gesicherten Kanlen werden der in der PC-Plattform integrierte TPMChip und/oder eine SmartCard benutzt. Die Kombination von TPM-Chips, SmartCard und zugehrigem qualifiziertem Zertifikat fhrt zu einer Authentifizierung sowohl der Softwarekomponenten als auch des Nutzers. Durch die Bildung stabiler Identitten, die Attestation der verwendeten Software und die Etablierung von sicheren Kanlen wird eine Isolation des Transaktionsprozesses vor ueren Einflssen erreicht, die zu einer Kapselung des Geschftsprozesses fhrt.

ihre Interaktion untereinander eine Vertrauenskapsel. Diese Vertrauenskapsel ist die wesentliche Komponente zum Aufbau einer vertrauensgenerierenden Umgebung im E-Commerce.

Literatur
[1] Eurobarometer: European Union Public Opinion on Issues Relating to Businessto-Consumer E-Commerce. Brussels, 2005. [2] Trusted Shops: Vertrauen als kritischer Erfolgsfaktor. Mehr Erfolg durch OnlineGtesiegel? Vortrag Carsten Frhlich auf dem Internet World Kongress, 26. Oktober 2005, Hotel Dorint Sofitel Bayerpost, Mnchen. [3] Castelfranchi, C. & Tan, Y.-H. (ed.): Trust and Deception in Virtual Societies. Introduction: Why Trust and Deception are Essential for Virtual Societies. Dordrecht: Kluwer Academic Publishers, 2001. [4] Kumbruck, C.: Digitale Signaturen und Vertrauen, Arbeit, 2, 105-118, 2000. [5] Luhmann, N.: Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexitt, Stuttgart: Enke, 1989. [6] Giddens, A.: Die Konsequenzen der Moderne, Frankfurt/M.: Suhrkamp, 1996. [7] Ronagel, A., in Ronagel, A. (Hrsg.): Recht der Multimedia-Dienste, Einl. SigG, Mnchen: Beck, 1999. [8] Ronagel, A., in Ronagel, A., Banzhaf, J., Grimm, R. (Hrsg.): Datenschutz im Electronic Commerce, Heidelberg: Verlag Recht und Wirtschaft, 2003 Seite 225 ff. [9] http://www.datenschutz-nord.de/presse/ mitteilungen/2005/220805.html [10] Dierks, Tim and Allen, Christopher: The TLS Protocol Version 1.0, Internet Draft, 1999. http://www.ietf.org/rfc/rfc2246.txt. [11] Pearson, Siani (ed.): Trusted Computing Platforms: TCPA Technology in Context, Prentice Hall PTR2003. [12] Trusted Computing Group. Trusted Platform Module (TPM) Specifications. Technical Report. https://www.trustedcomputinggroup.org, 2006. [13] Stumpf, Frederic, Tafreschi, Ralf, Rder, Patrick and Eckert, Claudia: A Robust Integrity Reporting Protocol for Remote Attestation, In: Proceedings of the 2nd Workshop on Advances in Trusted Computing, 2006, Tokyo. [14] Rder, Patrick, Stumpf, Frederic, Grewe, Ralf and Eckert, Claudia: Hades Hardware Assisted Document Security, In: Proceedings of the 2nd Workshop on Advances in Trusted Computing, 2006, Tokyo.

Fazit
Psychologische, rechtliche und technische Vertrauensbausteine bilden durch

366

DuD Datenschutz und Datensicherheit 31 (2007) 5