Die 2001 etablierte European Bridge CA (EBCA) ist ein Vertrauensverbund von PKIs. Zu den Mitgliedern zählen unter anderem die Deutsche Bank, die Deutsche Bundesbank, E.ON, Siemens, Siemens Enterprise Communications, die PKI-1 der Bundesverwaltung (vertreten durch das BSI) und die RTR Österreich. Die EBCA ermöglicht eine sichere und vertrauenswürdige organisationsübergreifende Kommunikation. Sie baut dabei auf drei Säulen: Organisatorisches Vertrauen durch eine gemeinsame Richtlinie, technisches Vertrauen durch eine Vertrauensliste (Certificate Trust List, CTL) und die zentrale Erreichbarkeit von außen durch einen Verzeichnisdienst. Die CTL enthält CA-Zertifikate der Teilnehmer und kann von jedermann einfach importiert oder automatisch verteilt werden.
Die EBCA-CTL ist kein Produkt US-basierter Softwarehersteller, in deren CTLs eine CA nur mit hohen finanziellen Investitionen gelangt, sondern das Ergebnis von Vertrauensabsprachen gemäß der EBCA-Richtlinie. Der Verzeichnisdienst ermöglicht den gesicherten Zugriff auf die Zertifikate der EBCA-Teilnehmer. Dieser Dienst wird mit der „certBox“ eines deutschen Herstellers in einem deutschen Rechenzentrum betrieben. Damit kann jeder Internetbenutzer ad-hoc verschlüsselte eMails an die EBCA-Teilnehmer senden. Bei einer durchgängigen Ende-zu-Ende Verschlüsselung von Endgerät zu Endgerät werden auch Lauschangriffe aus dem internen Netzwerk abgewehrt.
Mit diesen Mechanismen schafft die EBCA – laut TeleTrusT – eine Sicherheitsstufe der Kommunikation, bei der Abhören selbst durch mächtige Angreifer höchst unwahrscheinlich ist. Der Verband fordert die deutsche Wirtschaft auf, sich stärker als bisher in solchen nationalen IT-Sicherheitsstrukturen zu engagieren.
Außerdem weist der TeleTrusT auf das einheitliche Qualitätszeichen „IT Security made in Germany“ hin. Dieses könne für die überwiegend mittelständisch geprägte deutsche IT-Sicherheitswirtschaft nicht nur als Vertriebsunterstützung dienen, sondern Ausweis für Vertrauenswürdigkeit sein. Insbesondere öffentliche Stellen sollten bei IT-Auftragsvergabeverfahren die technische und politische Vertrauenswürdigkeit als Vergabekriterium herausstellen. Das einheitliche Erkennungszeichen „IT Security made in Germany“ beruht auf folgenden Kriterien:
1. Der Unternehmenshauptsitz muss in Deutschland sein.
2. Das Unternehmen muss vertrauenswürdige IT-Sicherheitslösungen anbieten.
3. Die angebotenen Produkte dürfen keine versteckten Zugänge enthalten (keine „Backdoors“).
4. Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in Deutschland stattfinden.
5. Das Unternehmen muss sich verpflichten, den Anforderungen des deutschen Datenschutzrechtes zu genügen.
„IT Security made in Germany“ („ITSMIG“) wurde 2005 auf Initiative des Bundesministeriums des Innern, des Bundesministeriums für Wirtschaft und Technologie sowie Vertretern der deutschen IT-Sicherheitswirtschaft etabliert. ITSMIG vertritt die gemeinsamen wirtschaftlichen, technischen und wissenschaftlichen Interessen der deutschen höherwertigen IT-Sicherheitswirtschaft – insbesondere der Krypto-, PKI-, Biometrie- und Kommunikationssicherheitsindustrie – gegenüber Politik, Wirtschaft, Wissenschaft und Öffentlichkeit auf nationaler und internationaler Ebene. TeleTrusT hat die Initiative übernommen und verfolgt das Ziel, die gemeinsamen wirtschaftlichen, gewerblichen, technischen und wissenschaftlichen Interessen der Zeichennutzer gegenüber Politik, Wirtschaft, Wissenschaft und Öffentlichkeit auf deutscher, europäischer und globaler Ebene zu verdeutlichen.
