Signaturverfahren

2 Prinzipien elektronischer Signaturverfahren

Begleitend zu einer schematischen Darstellung der Signierung elektronischer Dokumente mit unterschiedlich sicheren, elektronischen Signaturen erfolgt in diesem Kapitel eine Einführung in die Begrifflichkeiten, Zielsetzungen und Funktionen sowie die rechtlichen Grundlagen elektronischer Signaturverfahren.

2.1 Elektronische Signatur und rechtliche Regelungen

Die wichtigsten gesetzlichen Grundlagen in Deutschland zur Definition der elektronischen Signatur sowie deren organisatorischen und technischen Rahmenbedingungen sind das Signaturgesetz (SigG) [BUND07a] und die Signaturverordnung (SigV) [BUND07b]. Die Rechtsfolgen der Verwendung der elektronischen Signatur sind davon getrennt im Bürgerlichen Gesetzbuch (BGB), der Zivilprozessordung (ZPO), dem Verwaltungs- und Verfahrensrecht sowie 30 weiteren Gesetzen und Verordnungen geregelt, die Anwendung und Stellung der elektronischen Signatur im Rechtsverkehr bestimmen [WEND03, S. 151; KOMN07, S. 103].

Die Darstellung zeigt gemäß SigG § 2 Art.1 die einfachste Form der elektronischen Signatur. Diese ist mit dem elektronischen Dokument verknüpft und ermöglicht eine Zuordnung zu einem Absender [GRUN07, S. 7].

Abbildung 1: Elektronische Signatur am Beispiel einer Email [GRUN07, S. 7]

Elektronische Dokumente sind nicht nur Textinformationen, sondern können sowohl Bild- und Audioinformationen als auch sonstige mediale Inhalte in einer oder mehreren zusammenhängenden Dateien umfassen. Ferner muss eine Ausgabe dieser in einer für den Menschen wahrnehmbaren und interpretierbaren Form durch ein Programm möglich sein [FISC06, S. 57].

Der Terminus „Elektronische Signatur“ selbst ist ein Rechtsbegriff. Mit der Zielsetzung der Anwendung der definierenden Gesetze auch auf zukünftige technische Verfahren ist die Art der Realisierung bewusst offen gehalten (Technologieneutralität). Abzugrenzen ist davon der Begriff „Digitale Signatur“, das nach dem heutigen Stand der Technik aktuelle Verfahren, welches bei der Erstellung der elektronischen

Seite 2 Hauptseminar Wirtschaftsinformatik

Signaturen mittels asymmetrischer Kryptoalgorithmen derzeit zur Anwendung kommt [KOMN07, S. 32 u. 103; LENZ04, S. 16; BUND06, S. 9]. Das einfache Hinzufügen des Namens oder eines Bildes der eingescannten Unterschrift ermöglicht weder sichere Identifikation des Absenders noch ist die Manipulationsfreiheit des Dokumentes bei Erhalt nachweisbar. Die Sicherheit und die rechtlichen Auswirkungen dieser Form der elektronischen Signatur sind daher nur sehr gering. Der Versand eines solchen elektronischen Dokuments ohne weitere Schutzmaßnahmen gleicht dem Versand einer mit Bleistift geschriebenen und unterschriebenen Postkarte, ein für vertrauenswürdigen Datenaustausch ungeeignetes Sicherheitsniveau. Elektronische Dokumente mit der zu Abgrenzungszwecken oft „einfache elektronische Signatur“ genannten Signierung erfüllen lediglich die Textform gemäß BGB § 126b und können nur bei formfreien Rechtsgeschäften Anwendung finden. Als Beweismittel ist sie lediglich im Sinne von Objekten des Augenscheins zugelassen, es gilt das Gericht von der Integrität des Dokumentes und der Zuordnung zum Unterzeichner zu überzeugen [FISC06, S. 83f.; GRUN07, S. 6f.]. Auch für die folgende, nächsthöhere Stufe der elektronischen Signatur gelten die gleichen Rechtsfolgen [KOMN07, S. 109].

2.2 Fortgeschrittene elektronische Signatur und Ziele der

Signaturanwendung

Diese Signatur erfordert aufgrund der konstituierenden Eigenschaften gemäß SigG § 2 Art. 2 einen komplexeren Signaturvorgang als die einfache elektronische Signatur. Signaturen dieser Stufe müssen zusätzlich folgende Bedingungen erfüllen: x Sie müssen ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sein, x und die Identifizierung des Signaturschlüssel-Inhabers ermöglichen. x Ferner dürfen sie nur mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann.

x Mit den Daten, auf die sie sich beziehen, müssen sie so verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Wie in 2.1 beschrieben, kommt zur Erfüllung der letzten Forderung derzeit nur die digitale Signatur in Frage [BUND06, S. 9].

Die Darstellung auf der folgenden Seite illustriert die Prozessschritte des Signaturverfahrens bei Verwendung der fortgeschrittenen elektronischen Signatur.

Hauptseminar Wirtschaftsinformatik Seite 3

Signaturverfahren

Abbildung 2: Verwendung der fortgeschrittenen elektronischen Signatur durch den Signaturinhaber, in Anlehnung an [GRUN07, S. 34]

Der Empfänger bildet aus dem elektronischen Dokument auf gleiche Weise wie der Sender einen Hashwert. Die mit dem öffentlichen Schlüssel (Signaturprüfschlüssel) des Senders dekryptierte Signatur ergibt ebenfalls einen Hashwert. Besteht Kongruenz, ist das Dokument bitgleich dem Zustand zum Zeitpunkt der Signierung und es wurde der dem öffentlichen Schlüssel zugehörige private Schlüssel (Signaturschlüssel) verwendet [GRUN07, S. 34f.].

Die Zielsetzung des Schutzes vor Veränderungen und Manipulationen von Daten (Integrität), der sichere Identifikation des Kommunikationspartners (Authentizität) und der Nachweisbarkeit von Aktionen (Nichtabstreitbarkeit, Verbindlichkeit, z. B. einer Willenserklärung) kann somit auch bereits durch die fortgeschrittene elektronische Signatur erreicht werden [LENZ04, S.91; BUND06, S.1]. Da bei dieser jedoch weder Schlüsselvergabe, Prüfung der Identität des Schlüsselempfängers noch technische Attribute wie Verfahren und Schlüssellängen reguliert sind, ist vor allem die Authentizität eine Frage der Qualität der technischen und or-ganisatorischen Umsetzung. Ausreichende Verlässlichkeit besteht nur unter bestimmten Voraussetzungen, wie Zertifikatsverwendung, geschlossenen Benutzergruppen oder singulären Sender-Empfänger-Beziehungen. Für eine firmeninterne Nutzung oder eine Anwendung im elektronischen Briefverkehr kann dieses Sicherheitsniveau dann ausreichend sein [LENZ04, S. 91f.].

Eine Vertiefung der technischen Grundlagen, insbesondere der verwendeten Algorithmen, Verschlüsselungsverfahren, Public Key Cryptography Standards, Hashverfahren und deren Kollisionsresistenz findet im Rahmen dieser Arbeit nicht statt.

Seite 4 Hauptseminar Wirtschaftsinformatik