JurPC Web-Dok. 139/2001 - DOI 10.7328/jurpcb/2001166118

Stefan Schicker *

Die elektronische Signatur

Eine praktische Einführung

JurPC Web-Dok. 139/2001, Abs. 1 - 87


Autorenprofil
Anmerkung der Redaktion:
Das geänderte Signaturgesetz ist inzwischen in Kraft getreten. Das Gesetz wurde im BGBl Nr. 22 vom 21.05.2001, S. 876 verkündet.
Am 9. März 2001 hat das Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG 2001) den Bundesrat passiert. Die endgültige Fassung liegt damit vor. Der Bundestag hatte das Gesetz bereits am 15. Februar 2001 verabschiedet. Nach der Verkündung im Bundesgesetzblatt wird das Gesetz voraussichtlich noch im Laufe des April 2001 in Kraft treten. (BT-Drucksachen 14/4662 & 14/5324) JurPC Web-Dok.
139/2001, Abs. 1
Die folgende Zusammenstellung gibt einen Überblick über die Funktionsweise, rechtliche Grundlagen und praktische Auswirkung der elektronischen Signatur.Abs. 2
Der schnellen technischen Entwicklung folgend möchte der Gesetzgeber mit dem SigG2001 die Rechtssicherheit des elektronischen Geschäftsverkehrs erhöhen und das Vertrauen der Anwender in die neue Technik stärken, um die Entwicklung im Bereich E-Commerce zu beschleunigen.Abs. 3

I)Funktionsweise und praktische Anwendung

Mit den Zertifikaten, die nach den Regeln des SigG2001 vergeben werden, können elektronische Daten rechtsgültig signiert und verschlüsselt werden.Abs. 4

1)Funktionsweise der elektronischen Signatur

Aufgrund des Namens ist ein Vergleich der elektronischen Signatur mit der handschriftlichen Signatur naheliegend. Abs. 5
a)Vergleich mit Handschrift
Im herkömmlichen Rechtsverkehr besagt das Unterschriftserfordernis, die gesetzliche Schriftform gem. § 126 Abs. 1 BGB, daß die Urkunde vom Aussteller eigenhändig unterschrieben sein muß. Dies erfüllt vier Funktionen: Abschlussfunktion, Identitätsfunktion, Echtheitsfunktion und Warnfunktion. Die eigenhändige Unterschrift gilt als weitgehend fälschungssicher.Abs. 6
Im Bereich der neuen Medien erfüllt die eigenhändige Unterschrift jedoch die Funktionen nicht. So kann zwar eine eigenhändige Unterschrift auf einem Blatt Papier angefertigt und dann als eingescannte Grafik unter eine Willenserklärung gesetzt werden. Danach ist die Unterschrift-Grafik aber von jedem Empfänger beliebig oft vervielfältigbar. Sie bietet daher keinen Schutz vor Mißbrauch.Abs. 7
Die elektronische Signatur ist eher mit einer Art "Siegel" vergleichbar. Bei der elektronischen Signierung wird als "Siegel" ein einmaliger Schlüssel generiert, der dem Dokument angehängt wird.Abs. 8
Damit eine elektronische Signatur über mindestens dieselbe Rechtsverbindlichkeit verfügt wie eine eigenhändige Unterschrift, muß nachzuweisen sein, daß diese echt und der Inhalt der Erklärung unverfälscht ist. Dazu muß sie vor Fälschung sicher sein und signierte Daten dürfen nicht unbemerkt veränderbar sein. Abs. 9
b)Das digitale Schlüsselpaar
Als Grundlage für die elektronische Signatur wird für jede Person ein einmaliges Schlüsselpaar generiert. Die Schlüssel werden als öffentlich und privat bezeichnet. Sie stehen in einer speziellen mathematischen Abhängigkeit zueinander. Zuständig für die Generierung der Schlüsselpaare sind die sogenannten Trust Center (Zertifizierungsstellen). Die Trust Center sind besonders geschützte Räumlichkeiten, die mit speziell zugelassener Hardware die Schlüsselpaare für die Antragsteller generieren. Abs. 10
c)Funktion der einzelnen Schlüssel
Der private Schlüssel wird vom rechtmäßigen Inhaber dazu benützt, die elektronische Signatur zu erzeugen. Der Schlüssel selbst wird dabei nicht sichtbar. Wichtig ist, dass der private Schlüssel zwar im Trust Center erzeugt, dort aber nicht gespeichert wird. Der private Schlüssel befindet sich ausschließlich auf einer Chip-Karte. Abs. 11
Die Chip-Karte gehört zur Kategorie der Smart-Cards und sieht äußerlich ähnlich aus wie etwa eine Telefonkarte oder eine HBCI-Banking-Karte. In der Karte ist jedoch ein kompletter Rechner untergebracht. Der Rechner hat einen Arbeitsspeicher von 16kByte. In dem Speicher des Rechners ist der Schlüssel "eingesperrt". Dabei ist der Schlüssel so geschützt, dass nicht einmal der rechtmäßige Inhaber ihn auslesen kann. Dies ist sinnvoll, da ansonsten der Inhaber seinen privaten Schlüssel z.B. im Internet veröffentlichen kann, um sich so seiner Verantwortung zu entziehen. Abs. 12
Mit dem öffentlichen Schlüssel kann jeder Empfänger die Signatur und das Dokument auf die Echtheit und Unversehrtheit überprüfen. Der öffentliche Schlüssel wird in einem öffentlich zugänglichen Verzeichnis zum jederzeitigen Abruf bereit gehalten.Abs. 13
d)Der Ablauf beim Signieren
Zunächst wird aus dem zu signierenden Dokument eine Art Quersumme gebildet, der sog. Hash-Code. Dies ist besonders bei langen Dokumenten erforderlich. Anhand dieses Komprimats kann eindeutig überprüft werden, ob die Daten unverändert und original sind. Der mathematische Algorithmus zur Erstellung des Hash-Codes führt bei gleichem Inhalt der Datei immer zum gleichen Ergebnis.Abs. 14
Danach erzeugt ein kryptografisches Verfahren die elektronische Signatur aus dem Hash-Code und dem privaten Schlüssel. Diese Signatur wird dann dem Dokument angehängt.Abs. 15
Nachdem die Berechnung der Signatur aus Hash-Code und privatem Schlüssel ausschließlich innerhalb des Chip abläuft, besteht keine Gefahr, dass der private Schlüssel sichtbar wird.Abs. 16
Nach der Signierung besteht die komplette Datei nun aus der ursprünglichen Datei selbst, der angehängten elektronischen Signatur und dem (den) Signaturschlüssel-Zertifikat(en) des Unterschreibenden, also seinen persönlichen Angaben.Abs. 17
e)Überprüfung der Unversehrtheit
Zur Überprüfung der elektronischen Signatur wird das gleiche Verfahren in der umgekehrten Richtung mit dem öffentlichen Schlüssel durchgeführt. Abs. 18
Bei der Überprüfung wird mit dem öffentlichen Schlüssel die elektronische Signatur entschlüsselt, so daß der ursprüngliche Hash-Code wieder vorliegt. Dann wird von der übermittelten Datei wieder der Hash-Code gebildet und mit dem entschlüsselten Hash-Code verglichen. Bei Übereinstimmung ist dies der Beweis dafür, daß die Signatur mit zugehörigen Signaturschlüssel erzeugt und die Daten nicht verändert wurden. Abs. 19

2)Funktionsweise der elektronischen Verschlüsselung

Eine Datei elektronisch zu signieren bedeutet, wie oben dargestellt, dass der Inhalt der Datei für jeden lesbar bleibt. Durch die Signatur kann dann überprüft werden, ob der Inhalt verändert wurde.Abs. 20
Mit dem Schlüsselpaar ist es aber auch möglich, die Datei zu verschlüsseln. Dazu wird der öffentliche Schlüssel des Empfängers benötigt. Analog dem oben beschriebenen Verfahren zum Signieren wird die Datei auf der Basis des öffentlichen Schlüssels des Empfängers verschlüsselt. Die Datei ist dann nicht mehr lesbar. Nur der Inhaber des privaten Schlüssels, welcher mit jenem öffentlichen Schlüssel korrespondiert, auf Basis dessen verschlüsselt wurde, kann die Datei wieder entschlüsseln und damit lesen. Abs. 21

3)Beste Lösung: Kombination von Signierung und Verschlüsselung

Es ist auch möglich, beide Sicherheitsmechanismen miteinander zu verbinden. Dann kann die Datei auf dem Weg nicht gelesen, sondern nur vom Empfänger geöffnet werden. Darüber hinaus kann der Empfänger die Unverfälschtheit des Inhaltes überprüfen.Abs. 22

4)Zusätzliche Dienstleistung: Zeitstempel

Eine weitere Dienstleistung der Trust-Center ist die Erstellung eines Zeitstempels. Dazu wird nur die Signatur und der Hash-Code an das Trust-Center geschickt. Diese Informationen werden dann "gezeitstempelt" und wieder zurückgeschickt. Diese Funktion ist in etwa mit dem heutigen Post-Eingangs-Stempel vergleichbar.Abs. 23
Der Zeitstempel kann somit den Beweis für die zeitliche Abfolge darstellen.Abs. 24
Beachte:Die elektronische Signatur kann für die drei Verfahren Signatur, Verschlüsselung und Zeitstempelung eingesetzt werden. Dieses Verfahren ist so lang sicher, als der private Schlüssel sich nur auf der Chip-Karte befindet und dort nicht, auch vom rechtmäßigen Karteninhaber nicht, herausgelesen werden kann.Abs. 25

II)Inhalt der Zertifikate

Die Zertifikate sind stets an natürliche Personen gebunden. In Unternehmen müssen somit für alle unterschriftsbefugten Personen Zertifikate beantragt werden.Abs. 26

1)Zertifikate

Ein Zertifikat enthält zum einen Daten, die es dem Empfänger digital signierter Dateien möglich machen, den Absender zu identifizieren. In jedem Fall gehört hierzu der Name und Vorname des Zertifikatsinhabers. Zusätzlich können auch die Wohnortangaben in das Zertifikat aufgenommen werden. Als weitere Daten im Zertifikat finden sich Angaben zu dem Trustcenter, von dem das Zertifikat ausgestellt wurde, die Seriennummer des Zertifikates und das Datum, bis zu dem das Zertifikat gültig ist.Abs. 27

2)Attribute, Attribut-Zertifikate

Attribute sind besondere Eigenschaften, Stellungen oder Beschränkungen des Zertifikatsinhabers. Zusätzlich zu jedem Zertifikat können Attribute gespeichert werden. Die Attribute können Informationen zu folgenden fünf Bereichen enthalten: Abs. 28
  • Berufsrechtliche Zulassung (z.B. Anwalt, hierfür ist eine öffentlich beglaubigte Kopie des Nachweises erforderlich)
  • Beschränkung (beliebige Beschränkungen können eingetragen werden, das Trust-Center nimmt keine Plausibilitätsprüfung vor)
  • Monetäre Beschränkung (Beschränkung der finanziellen Einsatzfähigkeit der elektronischen Signatur)
  • Vertretungsmacht für eine natürliche Person (Vertretene Person wird vom Trust-Center angeschrieben und muß zustimmen)
  • Vertretungsmacht für eine juristische Person (besonders wichtig für Unternehmen)
Abs. 29
Dieselben Eigenschaften können auch in ein gesondertes Attribut-Zertifikat aufgenommen werden. Sinnvoll ist dies vor allem dann, wenn sich die Attribute häufig ändern. Es muß dann nur das Attribut-Zertifikat geändert werden, nicht das Hauptzertifikat. Allerdings fallen für ein eigenes Attribut-Zertifikat weitere Kosten an, während die verbundenen Attribute kostenfrei sind.Abs. 30

3)Pseudonyme

Der Benutzer kann sich entscheiden, daß in das Zertifikat anstelle seines Namen nur ein Pseudonym aufgenommen wird. Es werden dann keine weiteren persönlichen Daten aufgenommen. Pseudonyme sind durch den Eintrag "PN" im Zertifikat gekennzeichnet. Abs. 31
Beachte: In den Zertifikaten sind von der Signatur unabhängigen Benutzerdaten gespeichert. Sie geben dem Empfänger einer elektronisch signierten Nachricht Aufschluß über den Absender und dessen Befugnisse. Abs. 32

III)Rechtliche Grundlagen

Bereits am 01.11.1997 ist in Deutschland das erste Signaturgesetz (SigG1997) in Kraft getreten. Im Bereich der EU sicherte sich Deutschland damit eine Vorreiterstellung. Grundlage hierfür war Artikel 3 des am 01. 08.1997 in Kraft gesetzten "Informations- und Kommunikationsdienste Gesetz" (IuKDG). Weiterhin wurde die dazugehörige Verordnung zum Gesetz der digitalen Signatur (SigV1997) am 01.11.1997 in Kraft gesetzt.Abs. 33
Durch das Signaturgesetz und die Signaturverordnung werden die rechtlichen Rahmenbedingungen zur Erstellung von Signaturen und zur Zertifizierung von Trust Centern abschließend geregelt. Die Normen beziehen sich ausschließlich auf die notwendige Sicherheitsinfrastruktur für die "qualifizierte elektronische Signatur". Diese ist die einzige, mit der rechtsverbindliche Erklärungen abgegeben werden können. Die übrigen Signaturen sind gesetzlich nicht geregelt.Abs. 34
Um eine kontroverse Regulierung in den einzelnen Mitgliedsstaaten zu vermeiden, hat die EU am 13.12.1999 die EU-Signaturrichtlinie verabschiedet. Diese Richtlinie muß bis zum 19.06.2001 umgesetzt sein. Abs. 35
Nachdem die EU-Signaturrichtlinie in entscheidenden Punkten Regelungen fordert, die vom SigG1997 abweichen, wurde das SigG1997 nun durch das SigG2001 ersetzt.Abs. 36

1)Verschiedene Arten von elektronischen Signaturen

Das SigG2001 unterscheidet in § 2 zwischen "elektronischen Signaturen", "fortgeschrittenen elektronischen Signaturen" und "qualifizierten elektronischen Signaturen".Abs. 37
Die wichtigste Art sind die "qualifizierten elektronischen Signaturen". Nur mit ihnen ist künftig die Abgabe rechtsverbindlicher Erklärungen in elektronischer Form möglich. (siehe unten: 2) e) Rechtsgültigkeit). "Qualifizierte elektronische Signaturen" können nur von akkreditierten Trust-Centern vergeben werden.Abs. 38

2)Wichtige Regelungen des SigG2001

a)Begriff "elektronische Signatur"
Der Begriff "digitale Signatur" wurde richtlinienkonform durch "elektronische Signatur" ersetzt. Dies ermöglicht einen weiteren Anwendungsbereich und ist offen für zukünftige technische Entwicklungen. (§ 2 Nr. 1 SigG2001) Abs. 39
b)Trust-Center (Zertifizierungsstellen)
In den Trust-Centern werden die Zertifikate und das Schlüsselpaar auf Antrag errechnet und auf Chipkarten gespeichert. Trust-Center sind nach der Regulierungsbehörde für Telekommunikation und Post das zweite Glied in der "Kette des Vertrauens".Abs. 40
Es besteht keine allgemeine Genehmigungspflicht (Akkreditierung) für Trust-Center. Das bedeutet, daß jeder ein eigenes Trust-Center einrichten und betreiben kann, ohne eine besondere Erlaubnis dafür zu benötigen. Nur akkreditierten Trust-Centern ist es aber erlaubt "qualifizierte elektronische Signaturen" zu vergeben. (§ 15 SigG2001) Abs. 41
c)Unterrichtung der Schlüsselinhaber über Sicherheitsmaßnahmen
Die Praxis hat gezeigt, daß das Sicherheitsbewusstsein schnell der Bequemlichkeit weicht. So hört man immer wieder von Fällen, in denen z.B. die PIN (Personal Identification Number) auf einer ec-Karte vermerkt war und somit der Mißbrauch erleichtert wurde. Bei der elektronischen Signatur können noch weitaus schlimmere Schäden angerichtet werden, wenn Karte und PIN in falsche Hände gelangen. Eine wichtige Aufgabe der Trust-Center ist es daher, die Benutzer im Hinblick auf die Sicherheit zu sensibilisieren und über den richtigen Umgang zu informieren. (§ 6 SigG2001) Abs. 42
d)Diskriminierungsverbot
Im europäischen Binnenmarkt sind alle "qualifizierten elektronischen Signaturen" gleichgestellt, egal aus welchem Mitgliedsstaat sie stammen. (§23 SigG2001) Abs. 43
e)Rechtsgültigkeit
Das SigG2001 regelt lediglich die Sicherheitsinfrastruktur. Die erforderliche Anpassung im Privatrecht wird durch das Gesetz zur Anpassung der Formvorschriften (Formanpassungsgesetz) erzielt, welches voraussichtlich Mitte dieses Jahres verabschiedet wird. Es wird dann in einem zusätzlich eingeführten § 126a BGB die elektronische Form der Schriftform gleichgestellt, wenn "qualifizierte elektronische Signaturen" verwendet wurden.Abs. 44
f)Haftung
Der Zertifizierungsdiensteanbieter haftet einem Dritten auf Schadensersatz, wenn er die rechtlichen Voraussetzungen des SigG2001, der SigV verletzt oder seine Produkte oder Sicherheitseinrichtungen versagen. Ausgeschlossen ist die Haftung bei Kenntnis des Dritten von der Fehlerhaftigkeit der Angaben. (§ 11 SigG2001) Abs. 45
Um die Schadensersatzansprüche abzusichern, ist eine Deckungsvorsorge von mindestens 500.000,00 DM pro Schadensfall zu gewährleisten. (§ 12 SigG2001) Abs. 46
g)Datenschutz
Die Trust-Center dürfen die Daten nur in begrenztem Umfang erheben. Bei Benutzern, die nur ein Pseudonym eingetragen haben, dürfen die Daten nur zur Verfolgung von Straftaten und Ordnungswidrigkeiten herausgegeben werden. (§ 14 SigG2001) Abs. 47

3)Beweiswert und Zurechnung

Das Gericht braucht zur Auswertung im Prozeß einen PC mit Signatur-Komponente, das signierte Dokument, das Zertifikat für den Signatur-Schlüssel der Person, von der die Signatur stammen soll.Abs. 48
Probleme können sich bei Zertifikaten von nicht akkreditierten Trust-Centern ergeben. Eventuell muß dann ein Gutachter oder Sachverständiger zur Richtigkeit der Transaktionen befragt werden. In einem solchen Fall erfolgt die Zurechnung ähnlich wie bei der Handschrift im Rahmen eines Anscheinsbeweises, der durch Darlegung eines anderen Sachverhaltes erschüttert werden kann. Für nachgewiesenen Missbrauch haftet man nur bei Verschulden. Abs. 49
Wünschenswert wäre hier eine Regelung gewesen, welche wenigstens einer "qualifizierten elektronischen Signatur" die rechtliche Wirksamkeit und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht alleine deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt. (vgl. Artikel 5 Abs. 2 EU-SigRiLi). Eine solche Regelung hätte die Rechtsklarheit gefördert.Abs. 50
Beachte:Da die Änderungen sehr ausgeprägt waren, wurde beschlossen, das alte SigG1997 gänzlich zu ersetzen. An seine Stelle tritt nun das SigG2001, welches die erforderlichen Anpassungen an die EU-SigRiLi weitestgehend umsetzt.Abs. 51

IV)Sicherheit

1)Mathematische Sicherheit

Das System der elektronischen Signatur basiert auf einem komplizierten mathematischen Verfahren, welches auf Primzahlen beruht. Die Sicherheit resultiert vor allem daraus, daß die Berechnung des einen Schlüssels aus dem anderen sehr aufwendig ist. Selbst ein Verbund aus vielen Rechnern mit der heute verfügbaren Rechenleistung würde mehrere Jahrzehnte arbeiten, um einen einzigen Schlüssel zu errechnen. Abs. 52
Es besteht aber immer die Gefahr, daß ein genialer Mathematiker eine einfachere, schnellere Möglichkeit entwickelt, um die Berechnung zu verkürzen. Dann müssten neue Schlüssel eingesetzt werden.Abs. 53
Aber auch im Laufe einer normalen Entwicklung erhöht sich die Rechnerleistung kontinuierlich. Daher haben elektronische Signaturen ein "Verfallsdatum". Regelmäßig haben die Karten eine Gültigkeit von 3 Jahren.Abs. 54
Darüber hinaus wird die Lebenszeit von Schlüsseln jährlich neu geprüft. Zur Zeit wird ein Schlüssel mit 1024 bit verwendet. (Dies entspricht einer Zahl mit 300 Stellen)Abs. 55

2)Ununterbrochene "Kette des Vertrauens"

Die "Kette des Vertrauens" muß vom Anfang bis zum Ende geschlossen sein, um eine tatsächliche Sicherheit zu gewährleisten. Nur wenn die Signaturen von Trust-Centern vergeben werden, welche ihre Kompetenzen hierfür von dem ersten Kettenglied ableiten, ist eine tatsächliche Sicherheit gewährleistet.Abs. 56
Das erste Glied der Kette stellt die Regulierungsbehörde für Telekommunikation und Post (RegTP) dar. Sie besitzt als staatliche Einrichtung uneingeschränktes Vertrauen.Abs. 57
Trust-Center können die Akkreditierung bei der RegTP beantragen und gelten dann als akkreditierte Trust-Center, die "qualifizierte elektronische Signaturen" vergeben können. (§15 Abs. 1 SigG2001) Zur Zeit gibt es drei akkreditierte Trust-Center: Abs. 58
Abs. 59

3)Zusammenarbeit mit Unternehmen

Die Trust-Center können wiederum auf verschiedene Arten mit "Unter-Trust-Centern" zusammenarbeiten. Somit kann eine effektive Zusammenarbeit mit Unternehmen gestaltet und die nötige Flexibilität erreicht werden. Abs. 60
Möglichkeiten der Zusammenarbeit: Abs. 61
  • keine Bindung
    Ggf. wird lediglich ein Rahmenvertrag zur Kostenreduzierung geschlossen. Alle Mitarbeiter werden selbst zum Trust-Center geschickt.
  • Kooperationsvertrag mit Trust-Center
    Im Unternehmen wird eine Stelle eingerichtet, die selbst als Annahmenstelle für das Trust-Center fungieren kann. Die Räumlichkeiten dieser Stelle müssen den gesetzlichen Anforderungen entsprechen.
  • eigene Zertifizierungsstelle
    Für größere Unternehmen kann es sinnvoll sein, ein eigenes Trust-Center einzurichten und dessen Akkreditierung bei der RegTP zu beantragen. Eine Zusammenarbeit mit einem separaten Trust-Center ist dann nicht mehr erforderlich.
Abs. 62

4)Identifikation des Signierenden, Bindung an die Chip-Karte

Wenn man eine unterzeichnete Datei erhält, muß man in der Lage sein, zu erkennen, ob diese tatsächlich zum Aussteller gehört und ob die Datei original ist. Abs. 63
Aktuell wird zur Bindung der Chip-Karte an den Inhaber eine PIN verwendet. Um ungewollte Signaturen bei Vergessen der Karte zu vermeiden, muß die Chip-Karte normalerweise vor jeder Transaktion durch Identifikation, also Eingabe der PIN, freigeschaltet werden.Abs. 64
Weiterhin besteht in Zukunft zusätzlich die Möglichkeit, weitere biometrische Merkmale auf der Karte zu speichern. So kann z.B. ein Fingerabdruck als Referenz auf der Karte gespeichert werden. Bei Verwendung der Karte wird der private Schlüssel erst dann herausgegeben, wenn der Fingerabdruck durch einen auf der Karte integrierten Sensor oder Lesegerät mit den Referenzdaten positiv verglichen wurde. Eine andere Möglichkeit ist eine eigenhändige Unterschrift, die über ein spezielles Schreibpad eingelesen und deren Dynamik, Form und das Druckverhalten mit den auf der Karte gespeicherten Referenzdaten verglichen wird.Abs. 65
Beachte:Die Sicherheitsvorschriften für die Signatur-Infrastruktur sind sehr ausgeprägt. Dies soll das Vertrauen der Anwender in die Sicherheit des Verfahren stärken Abs. 66

V)Anwendung in der Praxis

Dieses komplizierte Verfahren soll und darf in der Praxis lediglich zwei zusätzliche Mausklicks am Computer erfordern.Abs. 67

1)Technikvoraussetzungen

Zum Erzeugen einer Signatur ist ein Computer mit Signaturkomponente erforderlich. Die Signaturkomponente besteht derzeit aus einem Chipkartenleser, welcher dem Sicherheitsstandard B1 entsprechen muß. Zur Berechnung der elektronischen Signatur muß dann kurzzeitig die Chipkarte eingelegt werden.Abs. 68
Zur Überprüfung ist ein Computer mit Signatursoftware erforderlich. Abs. 69
Bei der Auswahl der Komponenten ist der Benutzer frei. Allerdings ist der Benutzer selbst für seine Komponenten verantwortlich. Eine Liste der sicheren Komponenten wird im Bundesanzeiger veröffentlicht. All diese Komponenten müssen der Sicherheitsstufe "hoch" entsprechen ("Damit die Mindeststärke eines kritischen Mechanismus als hoch eingestuft werden kann, muß erkennbar sein, daß er nur von Angreifern überwunden werden kann, die über sehr gute Fachkenntnisse, Gelegenheiten und Betriebsmittel verfügen, wobei ein solche Angriff als normalerweise nicht durchführbar beurteilt wird.").Abs. 70
Sowohl für die Signatur als auch für die Überprüfung wird ein Online-Zugang zu den Datenbanken der Trust-Center benötigt. Bei dem Online-Zugriff wird die Aktualität der Zertifikate überprüft.Abs. 71
An die zu verschlüsselnde Datei werden keine besonderen Anforderungen gestellt. Jede digitale Datei kann signiert und verschlüsselt werden.Abs. 72

2)Durchführung in der Praxis

Die Signatursoftware bindet sich in aktuelle Programme ein. So wird von den meisten Signatursoftware-Programmen das Mailprogramm "Microsoft Outlook" unterstützt. Um eine signierte und verschlüsselte Mail zu verfassen, verfährt man zunächst wie bisher. Vor dem Absenden aktiviert man dann wahlweise die Schaltflächen zum Signieren und Verschlüsseln. Nach dem Klick auf den "Absende"-Button fordert der Computer auf, die Chip-Karte einzugeben und sich durch seine PIN zu identifizieren. Danach wird der eMail-Text, sowie eventuelle Anhänge, vom Rechner bearbeitet und die Signatur erstellt.Abs. 73
Im Bereich der Software besteht jedoch noch großer Handlungsbedarf. So ist es nicht ausreichend, nur ein spezielles Mailprogramm zu unterstützen. Viele Anwender nutzen andere Mailprogramme und können und wollen nicht wegen der elektronischen Signatur ihr System ändern. Aber auch die Installation der aktuellen Software ist fehleranfällig und erfordert computertechnisches Fachwissen. Darüber hinaus arbeiten die Software-Produkte der verschiedenen Anbieter nicht zusammen und unterstützen zu wenig andere Programme. Wenn nun signierte Nachrichten verschickt werden sollen, müssen diese je nach Empfänger unterschiedlich präpariert werden. Dies stellt einen organisatorischen Mehraufwand dar, der durchaus eine rasche Verbreitung verhindern kann. Abs. 74

3)Interoperabilität

Zur Zeit bieten die drei akkreditierten Trust-Center jeweils eine eigene, proprietäre Software-Lösung an. Eine gesicherte Kommunikation ist damit nur möglich, wenn beide Partner das Zertifikat vom gleichen Trust-Center bekommen haben.Abs. 75
Es wurde eine Arbeitsgruppe gebildet, die an einem Zusammenarbeiten der verschiedenen Programme arbeitet. Bislang ist dies aber noch nicht möglich.Abs. 76

4)Kosten

Die Kosten für ein Zertifikat liegen zur Zeit bei DM 50,00 -100,00 pro Jahr. Hinzu kommen die Kosten für das Kartenlesegerät und die Anmeldegebühr. Teilweise wird ein komplettes Startpaket mit Kartenleser, Karte und einer Jahresgebühr zu einem attraktiveren Preis (etwa DM 120,00) angeboten.Abs. 77
Beachte:Noch stellt die Signatur-Software ein großes Manko dar. Zum einen werden zu wenige Systeme unterstützt, zum anderen ist auch bei einem unterstützen System die Installation sehr fehleranfällig und kompliziert. Aber auch der Preis ist jedenfalls so hoch, daß sich private Nutzer die Anschaffung überlegen werden. Abs. 78

VI)Internationale Anwendung

Die internationale Anwendung der elektronischen Signatur (also außerhalb der EU) ist nur dann möglich, wenn sowohl Absender als auch Empfänger ein dem SigG2001 entsprechendes Verfahren benützen.Abs. 79
Für die Praxis bedeutet dies, daß der ausländische Vertragspartner auch ein Zertifikat von einem deutschen Trust-Center zur Verfügung hat. Nur dann ist eine gegenseitige rechtsverbindliche Erklärung möglich.Abs. 80
Nach dem derzeitigen Gesetzestext ist eine Einrichtung von deutschen Trust-Centern im Ausland nicht möglich. Deutsche Behörden können dort nicht die notwendigen Überwachungsaufgaben hoheitlich durchführen. Abs. 81

VII)Fazit

Die Einführung einer neuen Technik durchläuft regelmäßig mehrere Stufen. Zunächst muß die Technik überhaupt funktionieren. Danach muß die Technik zuverlässig funktionieren und bedienerfreundlich sein. Als letzte Stufe muß die Technik noch sicher sein, um voll und ganz akzeptiert zu werden.Abs. 82
Mit den Regelungen des neuen Signaturgesetzes rückt die dritte Stufe der Entwicklung ein großes Stück näher.Abs. 83
Wenn die noch ausstehenden Gesetzesentwürfe zur Formanpassung und Änderung des BGB verabschiedet sind, ist insgesamt für die Rahmenregelungen des elektronischen Rechtsverkehrs die wichtigste Arbeit getan. Abs. 84
Auch auf europäischer Ebene wird diese Sicherheit durch die EU-Signaturrichtlinie garantiert.Abs. 85
Die elektronische Signatur steht damit auf einem soliden Fundament und ist neue Technologien gegenüber aufgeschlossen. Aufgrund der vielfältigen Anwendungen wird sie sicherlich schnell ihren festen Platz im E-Commerce einnehmen. Unsichere Geschäfte im Internet gehören damit zumindest theoretisch bald der Vergangenheit an.Abs. 86
Allerdings sind die oben aufgezeigten Hürden für eine Anwendung in der Praxis jedenfalls so hoch, daß die Durchsetzung im Massenmarkt, also bei den täglichen kleinen Transaktionen der privaten Anwender, zweifelhaft ist.
JurPC Web-Dok.
139/2001, Abs. 87

Anhang:

Internet-Adressen der relevanten Gesetze und weiterer Unterlagen:

EU-Signaturrichtlinie:
http://europa.eu.int/eur-lex/de/lif/dat/1999/de_399L0093l

Informations- und Kommunikationsdienste-Gesetz - IuKDG
http://www.iid.de/iukdg/gesetz/iukdgl

Signaturgesetz 2001 (Synoptische Gegenüberstellung der alten und neuen Fassung)
http://www.iid.de/iukdg/gesetz/SigG-endg.pdf

Signaturverordnung 1997
http://www.iid.de/iukdg/gesetz/sigvl

Bundestags-Drucksache 14/4662
http://dip.bundestag.de/btd/14/046/1404662.pdf

Bundestags-Drucksache 14/5324
http://dip.bundestag.de/btd/14/053/1405324.pdf
Anm. der Redaktion:
Bitte beachten Sie auch den Leserbrief von Frau Nicole Reese zu dem vorliegenden Aufsatz, JurPC Web-Dok. 162/2001.
* Stefan Schicker ist Rechtsreferendar in München. Bereits seit 1994 beschäftigt er sich intensiv mit dem Medium Internet. Im Rahmen seines Referendariats von 1999 bis 2001 befasste er sich schwerpunktmäßig mit dem Bereich des Rechts der Informationstechnologien. Er betreut verschiedene juristische Internet-Projekte (u.a. die Linksammlung Rechtsinfos.de, die Publikationsdatenbank Rechtpraktisch.de). E-Mail: stefan@schicker.de, Internet: http://www.schicker.de
[online seit: 11.06.2001]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.

Top 10

kein element gefunden
Anzeige
RfD Aktuell Hansestadt-Bremen
 
kein element gefunden
kein element gefunden
Anzeige
RfD Aktuell Hansestadt-Bremen
 
kein element gefunden
kein element gefunden
Anzeige
RfD Aktuell Hansestadt-Bremen
 
kein element gefunden
kein element gefunden
Anzeige
RfD Aktuell Hansestadt-Bremen
 
kein element gefunden

Klassiker

JurPC App
;