In meiner zweiten Praxisphase im dualen Studium der IT-Sicherheit bei der ORDIX AG in Wiesbaden habe ich mich mit dem oben genannten Thema sehr intensiv auseinandergesetzt. Ende Juli 2018 erhielt ich meine Aufgabe einmal zu analysieren, welche Möglichkeiten es gibt, um digital zu unterschreiben. Bis dahin hatte ich die digitalen Unterschriften in meinem Studium nur theoretisch kennengelernt und war daher gespannt darauf, was mich konkret erwarten würde. Den Verlauf des Projekts und meine Tätigkeiten werde ich in diesem Blogbeitrag näher beschreiben und einen Eindruck geben, wie eine Praxisphase aussehen kann.
Phase eins des Projekts war die Analyse. Mit einem Kollegen zusammen musste geklärt werden, wie elektronische Unterschriften überhaupt aussehen, was das genau ist und ob diese rechtlich gültig sind. Eingescannte Unterschriften und "qualifizierten elektronischen Signaturen" (QES), die vor Gericht mit der handschriftlichen Unterschrift gleichwertig sind, sind nur zwei der zahlreichen Varianten digitaler Signaturen. Aufwand und Kosten variieren bei den verschiedenen Lösungen natürlich stark, durften aber nicht vernachlässigt werden.
Phase zwei war die Evaluation, in der verschiedene Lösungen genauer untersucht wurden. Beispielsweise können Smartcards und USB-Token verwendet werden. Leider kam es häufig zu Problemen, da die Einrichtung der Hardware nicht so leicht war, wie anfangs gedacht. Trotz der Probleme kristallisierte sich der YubiKey als eine Lösung für das Projekt heraus. Der YubiKey ist eine Art USB-Stick, der vom PC als Smartcard erkannt wird. Er ist damit nahezu perfekt für die Erstellung von digitalen Unterschriften geeignet.
In der dritten Phase untersuchte ich die Möglichkeiten des YubiKeys genauer und entdeckte viele Funktionen, die das Gerät mitbringt. Beispielsweise kann der YubiKey mit seinem U2F-Interface als Second-Factor bei prominenten Diensten wie Google, Github oder Microsoft eingesetzt werden, um den Nutzeraccount noch weiter abzusichern.
Vierte Phase im Projekt war die Fokussierung auf das digitale Unterschreiben mit dem YubiKey: Im Zuge eines Pilottests, bei dem ein internes Dokument zum ersten Mal von Kollegen digital unterschrieben wurde, wurde die Praxistauglichkeit des Produkts auf den Prüfstand gestellt.
Ob der YubiKey tatsächlich produktiv eingesetzt wird, muss noch entschieden werden. Allerdings stehen die Chancen dafür sehr gut und das würde bedeuten, dass meine Arbeit von Juli 2018 bis März 2019 nicht umsonst war und die Ergebnisse nun tatsächlich etwas im Unternehmen bewirken. Zusätzlich habe ich während meiner Praxisphase im Rahmen zweier Begleitseminare der Hochschule wissenschaftliche Hausarbeiten erstellt, die die Thematik einmal aus einem anderen Blickwinkel beleuchten.