Eine rechtsverbindliche persönliche Unterschrift im Internet: So mancher Online-Händler träumt davon, angesichts von immer noch etlichen Blindlieferungen und geplatzten Verkaufsverträgen. Die digitale Signatur soll hier nun Abhilfe schaffen.
Dabei dient die digitale Signatur nicht nur der Beweiserleichterung, sondern auch dem sicheren Austausch elektronischer Willenserklärungen. Die Sicherheit im Rechtsverkehr soll gewährleistet werden.
Dabei werden digitale Signaturen im Signaturgesetz wie folgt definiert: Eine digitale Signatur im Sinne dieses Gesetzes ist ein mit einem privaten Signaturschlüssel erzeugtes Siegel zu digitalen Daten, das mit Hilfe eines zugehörigen öffentlichen Signaturschlüssels, der mit einem Signaturschlüssel-Zertifikat einer Zertifizierungsstelle versehen ist, den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt. Vor allem vier Eigenschaften für eine sichere Kommunikation sollen durch den Einsatz von digitalen Signaturen erfüllt werden:
• Authentizität (die Herkunft der Daten muss Nachweisbar sein)
• Integrität (die ausgetauschten Daten haben nur Gültigkeit, wenn der Inhalt sowie die angeführten Adressen unversehrt sind)
• Vertraulichkeit (die Daten sind vor der Einsicht durch Unbefugte geschützt)
• Verbindlichkeit (der Absender kann nicht leugnen, die Nachricht selbst versendet zu haben)
Ziel der digitalen Signatur ist somit, elektronische Daten vor Manipulationen zu schützen oder Veränderungen zumindest erkennbar zu machen. Die noch unzureichende Vertrauensbasis der Teilnehmer im Electronic Commerce soll durch den Einsatz digitaler Signaturen entscheidend verbessert und Hemmnisse dadurch gleichzeitig abgebaut werden.
Funktionsweise und Ablauf der digitalen Signatur
Die digitale Signatur funktioniert auf Grundlage eines sogenannten Public-Key-Verfahren mit einem privaten und einem korrespondierenden öffentlichen Schlüssel, die koordiniert und verwaltet werden müssen. Diese Administration übernehmen sogenannte Zertifizierungsstellen, die auch Trust Center genannt werden. Sie übernehmen im Wesentlichen drei Aufgaben:
• Identifizierung einer Person nach Vorlage eines Ausweises und Bestätigung der eindeutigen Zuordnung eines öffentlichen Schlüssels zu der Person durch ein Zertifikat.
• Erzeugung des privaten Schlüssels und Speicherung auf einer Chipkarte sowie anschließende Aushändigung der Chipkarte.
• Bereitstellung eines öffentlich zugänglichen Verzeichnisdienstes, über dendie Empfänger digital unterschriebener Dokumente die Zertifikate nachprüfen können.
Damit der Anwender elektronische Dokumente unterschreiben kann, braucht er neben der Chipkarte und einem dazugehörigen PIN noch eine geeignete Software sowie einen Chipkartenleser. Der Ablauf der digitalen Signatur erfolgt dann in der Art und Weise, dass diese ebenso wie die eigenhändige Unterschrift die Identifikations-, Abschluss- und Warnfunktion sowie die Beweisfunktion erfüllen kann.
Die Erzeugung der Digitalen Signatur erfolgt in folgenden Schritten:
• Die erstellte Datei erscheint nach dem Prinzip What you see is what you sign durch einen sogenannten Viewer auf dem Monitor = Erfüllung der Abschlussfunktion
• Die Chipkarte wird in das Lesegerät eingeführt und durch Eingabe der PIN aktiviert = Erfüllung der Identifikationsfunktion
• Nach Erscheinen eines Warnhinweises wird die Erzeugung der digitalen Signatur bestätigt = Erfüllung der Warnfunktion
• Bevor die gesamte signierte Datei z.B. per E-Mail zum Empfänger geschickt wird, kann diese noch mit einem sogenannten Zeitstempel versehen werden = Erfüllung der Beweisfunktion
• Für die Vertraulichkeit während des Datentransfers wird die Datei verschlüsselt übertragen.
Nachdem ein entsprechendes Softwareprogramm dem Empfänger den neuen Posteingang bestätigt, klickt dieser nur noch auf einen Button zum Prüfen der Datei. Nach Ausführung der Funktion Signaturprüfung prüft der PC die signierte Datei automatisch anhand der in einem Verzeichnis abgelegten Zertifikate. Der Empfänger erhält anschließend das Prüfergebnis o.k. oder nicht o.k. Im Fall von nicht o.k. ist ein Zertifikat nicht mehr gültig und muss in dem Fall erneuert werden. Ein anderer Grund für ein negatives Prüfergebnis könnte eine erfolgte Manipulation während der Datenübertragung sein – gerade das soll jedoch durch eine ausreichend starke Verschlüsselung der signierten Datei vermieden werden.
Die gesetzliche Regelung
Seit Anfang des Jahres ist die EU-Richtline zur digitalen Signatur in Kraft getreten. Jetzt sollen digitale Signaturen der handschriftlichen Unterzeichnung gleichgestellt werden. Die EU-Richtlinie stellt jedoch nur einen weiteren Schritt in die richtige Richtung dar. Noch müssen einige Hürden genommen werden, damit die digitale Signatur überall Einzug halten kann. Derzeit sehen in Deutschland noch 3808 Rechtsvorschriften die Schriftform vor. Dies soll sich jetzt ändern. Bis Anfang 2001 sollen alle Hindernisse aus den Weg geräumt und die europäische Richtlinie in nationales Recht umgesetzt worden sein. Nicht nur Geschäfte können dann rechtsverbindlich via Internet abgeschlossen werden, sondern auch Steuererklärungen, Bauanträge, Personalausweise und andere amtliche Dokumente digital abgegeben bzw. beantragt werden. Die Ausgabe und Verwaltung von digitalen Signaturen obliegt dabei so genannten Trust Centern.
Trust Center
Bisher sind in Deutschland erst zwei Trust Center gemäß dem Signaturgesetz von der Regulierungsbehörde Telekommunikation und Post (RegTP) offiziell genehmigt worden: das T-Telesec der Deutschen Telekom und das Trust Center der Deutschen Post Signtrust. Die umfangreichen gesetzlichen Anforderungen an ein solches Trust Center mögen ein Grund für die geringe Anzahl an Centern in Deutschland sein. So erfüllt T-Telesec die erforderliche Gebäudesicherheit unter anderem durch folgende Maßnahmen:
• durchbruchshemmende Bauweise
• einzelnes Gebäude
• einbruchshemmende Stahltüren
• durchschusssichere Fenster
• abstrahlsichere Wände
• Alarmanlage
• Brandmeldeanlage
• eigene unterbrechungsfreie Stromversorgung.
Der Zutritt zu dem Gebäude und einzelnen Räumen ist durch umfangreiche Maßnahmen gesichert:
• mehrere Schließkreise
• Regelungen für Besucher, Reinigung, Service etc.
• elektronische Zugangsschutzsicherung
Somit ist es auch nicht weiter verwunderlich, dass erst zwei Trust Center von der RegTP genehmigt worden sind und nur wenige weitere (z.B. TC Trust Center und D-Trust ) eine Genehmigung anstreben. Der Aufbau eines Trust Centers gemäß des deutschen Signaturgesetzes ist mit enorm hohen Kosten verbunden. Diese Aufwendungen werden an den Kunden weitergegeben wodurch pro Ausweis und PC-Lesegerät die Kosten zwischen 100-300 DM liegen. Die meisten Endkunden dürften wohl nicht dazu bereit sein, diesen Preis für digitale Signaturen zu bezahlen. Nicht so strenge Vorschriften sieht die EU-Richtline vor. Bis zum Sommer 2001 können sich die Mitgliedsstaaten noch Zeit für die Umsetzung in nationales Recht nehmen. In der EU-Richtlinie ist eine Prüfung bzw. Zulassung von Trust Centern durch eine Regulierungsbehörde nicht vorgesehen. Darüber hinaus ist die EU-Richtlinie für mögliche technische Zertifizierungsverfahren offen und schließt neben der Chipkarte eine Softwarelösung nicht mehr aus.
Das Praxisbeispiel Niedersachsen
Niedersachsen ist weltweit das erste Land, das die digitale Signatur flächendeckend einsetzt. Seit Anfang des Jahres besitzt das niedersächsische Finanzministerium ein regulär arbeitendes elektronisches Unterschriftensystem nach dem deutschen Signaturgesetz. Aus 6400 Landesbediensteten, die seit Anfang des Jahres mit einer digitalen Signatur ausgestattet sind, sollen bis 2001 rund 12000 Bedienstete an 700 Standorten werden, die ihre Zahlungsanweisungen digital unterschreiben. Dazu wird jeder PC-Arbeitsplatz mit einer so genannten Sicherheitsumgebung ausgestattet. Man will damit der Vision vom papierlosen Büro einen Schritt näher kommen. Aber noch ganz andere Vorteile verspricht man sich in Niedersachsen von der Einführung der digitalen Signatur: Zahlungsvorgänge sollen schneller und sicherer werden. Zahlungsvorgänge, die heute noch bis zu zehn Tage dauern können, werden durch das neue System auf ein bis zwei Tage verkürzt. Die Fälschungssicherheit der digitalen Unterschriften liegt laut Finanzminister Heinrich Aller um ein vielfaches über die der herkömmlicher handschriftlicher Unterschriften mit den entsprechenden Stempeln. Für die drei Jahre gültige Zertifizierung der digitalen Signaturen zahlt das Land Niedersachsen 1,2 Millionen DM. Geld, das man durch die effizienteren Transaktionen um ein vielfaches wieder einsparen möchte.
Digitale Signaturen im B2B-Bereich
Besonders für den Business-to-Business Bereich ist eine rechtliche Absicherung zu empfehlen. Hier geht es in der Regel um handfeste wirtschaftliche Beziehungen und gleichzeitig somit auch um größere Summen. Setzen Unternehmen digitale Signaturen ein, dann sollten sie darauf achten, dass all jene Anwendungen signaturgesetzkonform sind, bei denen ein Bedarf an geprüfter Sicherheit, Rechtsverbindlichkeit und Vertraulichkeit besteht.
Nicht zertifizierte Trust Center
Vor allem aus Kostengründen scheuen noch viele Unternehmen die Implementierung von signaturgesetz-konformen Zertifikaten. Daher bietet z.B. die Firma SAP seit kurzem ein Trust Center für mySAP.com an. Dort können Kunden über das Trust Center digitale Zertifikate verwenden, die den Anwendern einen sicheren Zugriff auf Anwendungen und Dienste aus mySAP.com und dem Internet gewähren sollen. Der wechselseitige Identitäts- und Berechtigungsnachweis wird durch browserunabhängige digitale Zertifikate geliefert. So stellt sich die Funktionsweise auch im Vergleich zur Implementierung von Lösungen der offiziellen Trust Center als geradezu einfach dar: Die zuständigen Systemadministratoren lassen lediglich ihren jeweiligen Workplace im Trust Center registrieren und können anschließend ausgewählten Benutzergruppen die Berechtigung zur Verwendung von Zertifikaten erteilen. Mit der erfolgreichen Anmeldung am Workplace sind die Identitäten des Benutzers und des Unternehmens bestätigt; der Workplace erstellt nun automatisch die Neuanlage und Beglaubigung eines digitalen Ausweises für den identifizierten Benutzer an. Diese Lösung will vor allem eins sein: praktikabel und schnell. Zwar entspricht der Ansatz von SAP nicht dem Signaturgesetz mit seinen strengen Vorschriften, doch stellt er gerade für kleine und mittlere Unternehmen einen lobenswerten Kompromiß zwischen Sicherheit, Praktikabilität und Kostenaufwand dar.