Ein Überblick über Sicherheit und Internet

Eine Rezension zu:

Detlef Kröger/Gregor Nöcker/Michael Nöcker (Hrsg.)

Sicherheit und Internet. Zertifizierungen im e-commerce.
Rechtliche und technische Sicherheit im elektronischen Handel

Reihe: Recht in der Praxis

Erstauflage

C.F. Müller, Heidelberg 2002, 934 S., 74,- €

ISBN 3-8114-4001-2

http://www.cfmueller-verlag.de

Sicherheit im Internet ist technisch wie rechtlich eines der maßgeblichen Probleme des e-commerce, dessen Erfolg oder Nichterfolg weitgehend von der Gewährleistung angemessener Sicherheitsstandards für den Kunden abhängig ist. Wenn ein Kunde sich nicht sicher sein kann, daß seine Daten nur bei dem betreffenden Unternehmen verarbeitet werden, dessen Warenkorb er zum Einkauf nutzen möchte, oder aber für Dritte einsehbar sind, wird er dies im Zweifel unterlassen. Jedenfalls ist dies mit Sicherheit ein Hinderungsgrund für die immer noch zurückhaltende Durchsetzung der B2C-Modelle. Mangelnde Sicherheitsstandards werden so zum unmittelbaren Absatzproblem. Darüber hinaus stellt sich die Frage, was mit diesen Daten, selbst wenn sie sicher sind, später geschieht. Auch insoweit sind Unternehmen die B2C betreiben, von einem gewissen Vertrauensvorschuß abhängig, der schnell aufgebraucht ist, wenn öffentlich registriert wird, das Daten zu anderen Zwecken entfremdet werden, etwa durch Weitergabe an kommerzielle Spam-Betreiber, die noch nicht gemerkt haben, daß Massen - Spam ökonomisch unergiebig ist, weil es letztlich am Kundeninteresse fehlt. Hier helfen Zertifikate (Gütesiegel) unter Umständen beim Aufbau des fehlenden Vertrauens, da sie eine gewisse Prüfung der Dienstleistungen des Unternehmens und seiner Technik voraussetzen, deren Objektivität Grundlage der “vertrauensbildenden Maßnahme” ist. Ob sie ausreichen aus e-commerce einen “Seller” zu mache, wird sich erst in einigen Jahren zeigen. Die derzeitigen Investitionen in diesen Zukunftsmarkt sind jedenfalls der Höhe nach enorm, binden aber möglicherweise Investivkapital, das in anderen Bereichen fehlt.

Der neue Band bietet für alle Interessierten - nicht nur für Juristen, sondern insbesondere auch für die Unternehmen selbst - einen praxisnahen Überblick über den Bereich der Sicherheitsgewinnung durch Zertifikate. Eine kurze Einleitung führt in die Thematik der Zertifikate im Internet ein und geht insbesondere auch auf die Probleme ein, die sich aus der Internationalität der Vertragsschlüsse ergeben kann. Die Vorteile einer zertifizierten Internetseite liegen auf der Hand: der Kunde kann von einem geprüften Angebot ausgehen und der Händler kann dies für seine Marketingstrategie aktiv nutzen. Dies schließt Probleme bei der Zahlungsabwicklung nicht aus, da meist nur die Zahlungsmodalitäten geprüft werden können, nicht aber deren praktische Abwicklung. Es ist nur zu verständlich, daß sich der Anbieter gegen zahlungsunwillige Kunden soweit wie möglich sichern will und daher Kauf auf Rechnung weithin unüblich ist. Dies alles setzt aber wiederum ein erhebliches Vertrauen in die Stellen voraus, die derartige Gütesiegel in einem glücklicherweise (noch?) nicht staatlich durchdrungenen Bereich vergeben.

Der Band stellt drei Zertifizierungsverfahren für Gütesiegel vor. Zunächst wird WebTRust vorgestellt, ein Modell, das Wirtschaftsprüfern erlaubt nach eingehender, standardisierter Prüfung dieses Siegel zu vergeben. Diese Wirtschaftsprüfer bedürfen indessen einer Lizenz des “Instituts für Wirtschaftsprüfer e.V.” (IDW). Das Modell selbst stammt - wie letztlich alle Urformen solcher Gütesiegel - aus den USA, wo derartige Siegel auf vielen E-Commerce-Sites anzutreffen sind und inzwischen weit verbreitet sind. Die einzelnen Kriterien werden nachvollziehbar herausgearbeitet und zeigen, daß die Kontrolle sehr eingehend ist, da das gesamte Angebot einer umfassenden Prüfung unterzogen wird, die auch das Unternehmen selbst einbezieht. Ebenfalls aus den USA stammt das danach vorgestellte und weit verbreitete Verfahren der “Trusted Shops”, das direkt auf E-Commerce- B2C-Angebote zugeschnitten ist, also auf den Online-Handel gegenüber Verbrauchern. Der sehr interessante Beitrag beleuchtet unter anderem auch die wichtige Problematik, das der Gütesiegel-Anbieter im Rahmen des Geltungsbereichs des deutschen Rechts wegen § 8 I TDG sich angesichts der weitreichenden “Geld-zurück-Garantie” bei Nichtgefallen der Ware der Verantwortung der Gütesiegelvergabe gegenüber dem Kunden ggf. stellen muß und selbst in die Haftung genommen werden kann. Dies zeigt die enorme Verantwortung der Gütesiegel-Vergabe dieses Anbieters, der auch ein interessantes Streitschlichtungsmodell implementiert hat. Als dritter Anbieter wird der “Tüv-Online-Scheck” dargestellt, der von der Verbraucher - Zentrale NRW e.V. vergeben wird und sehr hohe Anforderungen stellt. So etwa, daß ein Kauf auf Rechung nach Erhalt der Ware möglich sein muß. Wer dieses Gütezeichen führt, setzt sich bereits insoweit hohen wirtschaftlichen Risiken aus. Die Kriterien werden sehr übersichtlich und nachvollziehbar dargestellt. Am Schluß des Bandes finden sich drei interessante Erfahrungsberichte zu den genannten Gütesiegeln.

Besonders für Juristen interessant, sind die drei Arbeiten zur Rechtsicherheit, die sich leider weitgehend nur mit der deutschen Rechtslage befassen. Es hätte sich angeboten ausgehend von der Signaturrichtlinie die europäischen Regeln einem Übersichtsvergleich zu unterziehen, zumindest für den deutschsprachigen Bereich. Insoweit wäre das Handbuch in den nächsten Auflagen sicher ausbaufähig. Der Beitrag über die elektronischen Signaturen stellt aber das - aufgrund der genannten Richtlinie inzwischen reformierte - deutsche Signaturgesetz recht umfassend dar und geht insbesondere auch auf verbliebene Problembereiche bei den vier verschiedenen Signaturtypen ein, etwa bei den Formfragen. Etwas kurz geraten ist hier die beweisrechtliche Darlegung, an der in der Praxis Gewinn und Verlust des Prozesses hängt, insbesondere wenn ein Zugang bestritten wird. Gut geschildert wird indessen das etwas einfacher gewordene Zertifizierungsverfahren. Bisher wird davon noch in einem recht geringen Umfang Gebrauch gemacht. Sehr lesenswert ist der Beitrag über “Rechtssicherheit contra Datenschutz”, der indessen soziologisch betrachtet von fragwürdigen Voraussetzungen ausgeht. Keineswegs bietet der E-Commerce gegenüber den in Bezug genommenen langen Schlangen an den Kassen nur Vorteile, weil man im Netz in Ruhe auswählen kann. Nutzt man Techniken des Zeitmanagements muß man sich auch fragen, wie viel Zeit dafür verwendet werden muß, die Angebote überhaupt nur zu sichten. Angesichts vieler umständlich strukturierter Angebote mit kompliziert zu handhabenden “Warenkörben” wird man dann oftmals den Eindruck gewinnen, das der Einkauf offline unter Zeitersparnisgründen (noch?) die schnellere Variante darstellt, von Bestell- und Durchführungsproblemen ganz abgesehen, die sich aber bei jeder Form des Fernabsatzes stellen. Nichtsdestoweniger bietet der Beitrag aber eine schonungslos offene Analyse der Nutzung des Webs in Bezug auf die Erstellung von Nutzerprofilen, die sich aus dem Surfen ergeben können. Soweit Cookies richtigerweise als Gefahrenquelle in Bezug genommen werden, sei darauf verwiesen, das diese “geschwätzigen Progrämmchen” auch leicht wieder gelöscht werden können, wenn man denn ggf. die Firewall sie überhaupt zuläßt. Jedenfalls aber wird die deutsche Situation des Datenschutzrechts auch für Laien nachvollziehbar dargelegt. Insbesondere wird hier auch auf die Erhöhung des rechtlichen Sicherheitsstandards durch einen Datenschutzaudit eingegangen, der die Erstellung eines Zertifikats über eine anwenderfreundliche Gestaltung der datenschutzrechtlichen Standards erlaubt. Unter verbraucherschutzrechtlichen Aspekten sehr lesenwert ist der folgende Beitrag über “Gütesiegel und Verbraucherschutz”. Er geht von realistischen Annahme aus, daß sich Online-Shopping beim Verbraucher noch nicht durchgesetzt hat, weil es insbesondere am Vertrauen fehlt und referiert die bestehenden Risiken ebenso wie die deutschen Ansätze zur Verminderung der rechtlichen Risiken des Kaufes im Fernabsatzbereich. Besonders interessant ist hier der Katalog, worauf man beim Online-Kauf achten sollte. Aus diesem Katalog wird ein interessantes Anforderungsprofil an die Erstellung von Gütesiegeln entwickelt. Daß in diesem Bereich der organisierte Verbraucherschutz eine neue Aufgabe gefunden hat, liegt auf der Hand. Ein weiterer Beitrag geht auf die steuerrechtliche Seite der Gütesiegelerstellung- und Verwendung ein.

Von nicht zu unterschätzender Relevanz ist der Abschnitt über die technische Sicherheit, da letztlich die rechtlichen Bewertungsfragen von technischen Vorgaben abhängen. Ein erster Beitrag geht auf die mathematischen Grundlagen der Sicherheit im Internet ein, der insbesondere leicht verständlich in die Grundlagen der Kryptografie einführt, also der nicht erst in den Tagen des Internets entwickelten Verschlüsselungstechniken. Der folgende Beitrag widmet sich dem interessanten Thema der Sicherheit bei Browsern und geht insbesondere auf die Verschlüsselung mit SSL ein. Beispielsweise wird hier näher auf Sicherheitslücken beim E-Mail-Abruf eingegangen, die durch SSL-Verschlüsselung vermieden werden können, da in diesem Falle das Passwort nicht mehr im Klartext mitgeteilt wird. Der interessante Text wird durch einige sehr nützliche Links ergänzt, denen nachzugehen sicher kein Fehler ist. Ein weiterer interessanter Beitrag widmet sich den technischen Fragen der Zertifizierung anhand mehrerer gut ausgewählter Szenarien. Der letzte Beitrag dieser Art setzt sich sehr verständlich mit der Verschlüsselung durch PGP auseinander. Die vier letztgenannten Arbeiten sind insbesondere auch für Juristen interessant, die technisch nicht über ein Expertenwissen verfügen, aber einen Überblick über die technischen Fragen benötigen.

Das Buch hat das Zeug zum maßgeblichen Handbuch zu Sicherheitsfragen im Internet und ist bereits in der Erstauflage sehr gelungen, zumal es eine rasche Orientierung in einer noch recht neuen Materie erlaubt.