Elektronische Signatur in Deutschland
Digitale Unterschrift - das müssen Sie wissen
Daniel Fröhlich ist als Business Consultant bei BearingPoint im Bereich Public Services tätig. Zu seinen Schwerpunkten gehören neben IT-Strategie und Projektmanagement E-Government-Themen wie die elektronische Signatur.
- Der rechtliche Rahmen
- Welche Signatur für welchen Zweck?
- Entwicklung in Deutschland
Haben Sie jemals Ihre eigene Unterschrift, die sie auf dem digitalen Lesegerät eines Paketzustellers geleistet haben, wiedererkannt? Sie würde einer rechtlichen Überprüfung wahrscheinlich nicht stand halten. Bei vielen Rechtsgeschäften ist es dagegen unerlässlich, den Unterzeichner eines Dokumentes klar identifizieren zu können. Um solche Verfahren zu vereinfachen, wurde die elektronische Signatur - auch digitale Signatur genannt - ins Leben gerufen.
Den rechtlichen Rahmen für diese elektronischen Signaturen bildet die EU-weit gültige Richtlinie eIDAS-VO. In der eIDAS-VO werden die elektronischen Unterschriften wie folgt differenziert:
Einfache elektronische Signatur
Fortgeschrittene elektronische Signatur
Qualifizierte elektronische Signatur (Schriftformersetzend)
Die qualifizierte elektronische Signatur bietet als einzige Signaturform einen langfristigen Nachweis der Authentizität (Zuordnung der Nachricht zu ihrem Verfasser) und Integrität (der Inhalt des signierten Dokuments wurde nicht verändert). Zusätzlich gilt für qualifiziert signierte Dokumente die sogenannte Nichtabstreitbarkeit, das heißt die Vermutung der Originalität des Dokuments beziehungsweise der Willensbekundung kann vor Gericht nur durch begründete Tatsachen erschüttert werden.
Verschlüsselte Signaturen
Sowohl fortgeschrittene als auch qualifizierte Digitale Signaturen verwenden kryptographische Verschlüsselungsverfahren, um Integrität, Authentizität und Nichtabstreitbarkeit zu gewährleisten. Das technische Funktionsprinzip lässt sich vereinfacht auf drei Schritte reduzieren (sh. Abb. 2):
Erzeugen eines eindeutigen Hashwerts (digitaler Fingerabdruck) des zu signierenden Dokuments (Stichwort Hashalgorithmus)
Erzeugen der Signatur durch Verschlüsselung des Hashwerts mit dem (qualifizierten) Signaturzertifikat beziehungsweise dem zugehörigen privaten Signaturschlüssel (Stichwort Signaturalgorithmus)
Einbetten des verschlüsselten Hashwerts und des Signaturzertifikats in das elektronische Dokument
Der Empfänger beziehungsweise die empfangende Software werden durch das Zertifikat in die Lage versetzt, die Signatur wieder zu entschlüsseln. Daran anschließend wird die Integrität des Hashwerts und somit des signierten Dokuments geprüft. Zusätzlich werden Authentizität und Nichtabstreitbarkeit des Unterzeichners durch die Informationen auf dem Zertifikat validiert.
Bei qualifizierten Signaturen darf das der Signatur zugrundeliegende Zertifikat nur durch mit dem EU-Vertrauenssiegel akkreditierte Vertrauensdiensteanbieter ausgegeben werden. Diese qualifizierten Vertrauensdiensteanbieter sowie die Bundesnetzagentur als zuständige Aufsichtsbehörde sorgen für eine dauerhafte Überprüfbarkeit der Zertifikate und damit auch der Signatur. Daher ersetzt in der EU und somit auch in Deutschland nur die qualifizierte elektronische Signatur die Schriftform. Sie ist damit der wahre digitale Ersatz für die Unterschrift auf Papier.
Elektronische Signaturen - Chancen und Herausforderungen
Obwohl sie viele Vorteile für Absender und Empfänger bietet und für einige Vorgänge sogar gesetzlich vorgeschrieben ist, wird die Nutzung qualifizierter elektronischer Signaturen von Privatpersonen, Unternehmen und der öffentlichen Verwaltung weitgehend vermieden. Dies liegt in erster Linie an Kosten und Komplexität. Allein die Einmalinvestition für die Erstellung einer qualifizierten elektronischen Signatur mittels einer elektronischen Signaturkarte (Smartcard) und einem Kartenlesegerät belaufen sich auf mindestens 200 Euro pro Person.
Mit der eIDAS-VO wurde der Weg geebnet für eine Signaturerstellung ohne die zuvor zwingend erforderliche und teure Hardware (Smartcard + Kartenlesegerät). Doch auch diese sogenannten qualifizierten Fernsignaturen über Software-as-a-Service (SaaS)-Lösungen sind mit hohen Kosten belastet. Zur Minimierung der Kosten pro Arbeitsplatz wurden innovative Enterprise-Lösungen wie die qualifizierte Signatur in Vertretungsvollmacht erschaffen.
Doch auch die Nutzung dieser Lösung, die automatisiert Vollmachten und Signaturen erstellt und so die Anschaffung vieler einzelner Signaturkarten verhindert, erfordert hohe Einmalinvestitionen. Hinzu kommt, dass sich trotz der Bemühungen der EU keine einheitlichen Lösungen am Markt etabliert haben.
Digitale Unterschrift - einfache Lösungen sind gefragt
Durch die hohen Hürden für Privatpersonen und Unternehmen konnte sich die qualifizierte elektronische Signatur nicht wie gewünscht am Markt etablieren. Zwar können die meisten Vorgänge mit einer einfachen elektronischen Signatur abgebildet werden, doch bietet diese eine weitaus größere Angriffsfläche für Manipulation. Außerdem ist für einige Vorgänge die Schriftform und damit die qualifizierte elektronische Signatur vorgeschrieben.
Um zu verhindern, dass Unternehmen, Verwaltung und Privatpersonen als Konsequenz der Komplexität und der Kosten dem Wandel von analog zu digital ausweichen und folglich als Vermeidungstaktik weiterhin handschriftlich signieren, sollten neue Lösungen am Markt gefördert und Anwender konsequent geschult werden. Ein Grundverständnis über die (qualifizierte) elektronische Signatur kann dazu ein erster Schritt sein. (bw)