Zusammenfassung

Die Informationstechnologie weist neben zahlreichen betriebswirtschaftlichen Anwendungsmöglichkeiten, ebenfalls verschiedene Risiken auf. Diese zeigen sich insbesondere in der Flüchtig- und Manipulierbarkeit elektronischer Daten. Nach verschiedenen Einschätzungen stellt derzeit z. B. das in einem gerichtlichen Verfahren kaum nachweisbare Zustandekommen elektronisch geschlossener Verträge, eine erhebliche Behinderung des elektronischen Handels dar. Durch verschiedene Rechtsanpassungen auf europäischer und nationaler Ebene wurde ein elektronischer Signaturtyp geschaffen, der in Analogie zur eigenhändigen Unterschrift, die Integrität und Authentizität von elektronischen Daten ermöglichen soll. Die Regelungen des Signaturgesetzes beschränken sich hierbei im wesentlichen auf infrastrukturelle und informationstechnische Spezifikationen. Durch Formanpassungen in verschiedenen Bereichen des Privat- und öffentlichen Rechts wurde die qualifizierte elektronische Signatur teilweise zu einem vollwertigen rechtlichen Substitut der eigenhändigen Unterschrift. Die Regelung zur dauerhaften Überprüfbarkeit sowie die Beweiswirkung ist jedoch nicht durchgängig stringent geregelt. Als Basiskonzept dient die Public-Key-Kryptographie unter Einbeziehung einer vertrauenswürdigen Instanz. Hierdurch ist die qualifizierte elektronische Signatur im Vergleich zur Unterschrift deutlich fälschungssicherer. Die Sicherheit der verwendeten Verfahren und Algorithmen ist unter Verwendung entsprechender Parameter sehr hoch. Im Vergleich zu den ausgeprägten Anforderungen an Infrastrukturanbieter existieren im Bereich der Anwender dagegn kaum Sicherheitsbestimmungen, wodurch sich gerade private Nutzer einem gewissen Bedrohungspotential durch sogenannte Trojaner ausgesetzt sehen müssen.

Als Ursache für die fehlende Durchsetzung der qualifizierten elektronischen Signatur sind schließlich nicht allein die sich gegenseitig bedingenden Faktoren wie konkurrierende Signaturverfahren, hohe Kosten der qualifizierten Signatur und mangelnde Kommunikationspartner zu identifizieren. Vielmehr zeichnen sich in einigen Szenarien jenseits der Prozessoptimierung und der reinen Kostenerwägung keine ausreichenden Nutzenpotentiale für ihre Akteure ab: Zur eindeutigen Identifikation des Gegenübers sind de facto immer noch zusätzliche Mechanismen erforderlich; die elektronische Mobilität von Kunden kann nach Marketinggesichtspunkten des einzelnen Unternehmens als durchaus kontraproduktiv gesehen werden; gesetzlich manifestierte Interaktionsregeln des elektronischen Geschäftsverkehrs und implizite Sicherungsmechanismen bieten u. U. eine deutlich höhere Praktikabilität.

2

0  I n h a l t s v e r z e i c h n i  

0  Inhaltsverzeichnis.  3

1  Vorbemerkungen  5

2  Rechtliche Aspekte der Signatur.  10

2.1  Rechtliche Grundlagen  10

2.1.1  Richtlinie der Europäischen Union.  10

2.1.2  Deutscher Gesetzgeber.  11

2.2  Anforderungen an eine qualifizierte elektronische Signatur  15

2.2.1  Definition und Abgrenzung  15

2.2.2  Produkte für qualifizierte elektronische Signaturen  16

2.2.2.1  Sichere Signaturerstellungseinheiten.  17

2.2.2.2  Signaturanwendungskomponenten  18

2.2.2.3  Technische Komponenten für Zertifizierungsdienste.  20

2.2.3  Qualifizierte Zertifikate und Wurzelzertifikate  20

2.2.4  Dynamische Aspekte des Sicherheitsgehalts von qualifizierten  

  elektronischen Signaturen.  24

2.3  Die qualifizierte elektronische Signatur als „Substitut“  28

2.3.1  Privatrechtsbereich.  28

2.3.2  Öffentlich-rechtlicher Bereich  30

2.4  Besonderheiten im Zusammenhang mit akkreditierten  

  Zertifizierungsdiensteanbietern  32

3  Die informationstechnische Realisierung  35

3.1  Das kryptographische Konzept.  35

3.2  Das Funktionsprinzip des Signierens und Verifizierens.  38

3.2.1  Das Signieren  38

3.2.2  Das Verifizieren  39

3.3  Geeignete Kryptoalgorithmen und Sicherheitsparameter.  41

3.3.1  Hashfunktionen  41

3.3.2  Signaturalgorithmen.  42

3.3.2.1  Das RSA-Verfahren.  42

3.3.2.2  DSA und DSA-Varianten (E)CC  44

3.3.3  Gefahrenpunkte und Schwachstellen der Kryptosysteme.  45

3.4  Produkte und ihre Anwendung  47

3.4.1  Die Signatur-Produkte des Anwenders.  47

3.4.1.1  Sichere Signaturerstellungseinheiten.  48

3.4.1.2  Signaturanwendungskomponenten  49

3.4.2  Die Gefahrenpotentiale sogenannter Trojaner für die Signaturerstellung  52

3.5  Die Public-Key-Infrastruktur.  55

3.5.1  Interoperabilität.  55

3.5.2  Zertifizierungs-Infrastruktur  57

3.5.3  Gültigkeitsmodell.  59

3

4  Ökonomische Gegenwart und Perspektiven  62

4.1  Die Ökonomische Vertragstheorie  64

4.1.1  Implizite Verträge  65

4.1.2  Relationale Verträge  65

4.2  Die Stellung von Verbraucher und Bürger  67

4.2.1  Kauf-, Dienstleistungs-, Reise- und Mietverträge  67

4.2.1.1  Fernabsatzverträge, Internetauktionen.  67

4.2.1.2  Reise- und Mietverträge  73

4.2.2  Finanz- und Versicherungsgeschäfte  75

4.2.2.1  Finanzgeschäfte und -transaktionen.  75

4.2.2.2  Versicherungsgeschäfte  78

4.2.3  „Behördengänge“  79

4.3  Unternehmerische Potentiale der qualifizierten elektronischen Signatur.  82

4.3.1  Grundsätzliche ökonomische Potentiale  82

4.3.2  Besondere Aspekte im E-Commerce  82

4.4  E-Government.  84

5  Fazit  86

6  Anhang.  88

7  Verzeichnisse  95

7.1  Literaturverzeichnis  95

7.2  Internetquellen  99

7.3  Verwendete Software.  100

7.4  Abbildungs- und Tabellenverzeichnis  101

4

1 Vo r b e m e r k u n g e n

Die Kommunikation der vergangenen Jahre zeichnet sich durch eine deutliche Verlagerung weg von den traditionellen Medien (z. B. Brief, Telefon) aus. Den Inhalten der in elektronischer Form übermittelten Daten und Informationen kommt dabei eine immer stärkere ökonomische Bedeutung zu. Mit dem Netz der ‚Society for Worldwide Interbank Financial Telecommunication’ (S.W.I.F.T.) werden z. B. täglich Transaktionen im Wert von schätzungsweise über 6 ¹ Billionen US-Dollar durchgeführt. Dies stellt gut ein Fünftel des weltweiten (jährlichen) ² Bruttosozialproduktes dar. Mit der elektronischen Kommunikation hat sich im Bereich der

offenen Netze das Internet als eine wesentliche Infrastrukturkomponente, sowohl auf internationaler wie auch auf nationaler Ebene, herausgebildet. In Deutschland nutzt inzwischen nahezu jeder zweite Erwachsene das Internet und die Zahl wächst trotz abgeschwächter Interneteupho- ³ rie kontinuierlich. Im ersten Quartal 2002 lagen die deutschen Haushalte, die über einen Internetzugang verfügten, mit einem Anteil von 43% über dem EU-Durchschnitt (40%) und auch die deutschen Unternehmen (verarbeitende Gewerbe, Handel und weitere Dienstleis- ⁴ tungsbereiche) wiesen mit 62% ein hohes Niveau auf. „Über die Zukunft dieses Mediums

bestehen (...) weitgehend übereinstimmende Auffassungen. Bereits jetzt haben sich in den Bereichen eBusiness und eGovernment in einem historisch sehr kurzem Zeitraum zahlreiche unterschiedliche Anwendungen entwickelt, die auf der Internettechnologie aufsetzen, z. B. Internet-Banking, eCommerce mit Zahlungstransaktionen, Virtuelle Rathäuser, Online-Wahlen, ⁵ Online-Auktionen, Dateiaustausch per FTP oder eMail.“ In deutschen Unternehmen ist die E-Mail inzwischen zu einem alltäglichen Kommunikationswerkzeug geworden. Umfragen zu Folge liegt das tägliche E-Mail-Aufkommen bei durchschnittlich 26 Mails und über die Hälfte aller Anwender gehen von einer Intensivierung ihrer E-Mail-Nutzung innerhalb des nächsten ⁶ Jahres aus.

Die Informationstechnologie (IT), als Basistechnologie elektronisch digitaler Kommunikation, ermöglicht eine Vielzahl neuer Dienstleistungsangebote und die Chance verschiedenster ⁷ Prozessoptimierungen bzw. -neugestaltungen. Elektronische Kommunikation im weitesten

Sinne ist inzwischen ebenfalls als ein bedeutender Faktor zur Beeinflussung der Transaktions- ¹ vgl. z. B. http://www.swift.com/index.cfm?item_id=3184

² vgl. z. B. http://www.diw.de/deutsch/publikationen/wochenberichte/docs/02-37-1.html

³ vgl. z. B. van Eimeren (2002, S. 346), @facts (2002, S. 5), @facts extra (2002, S. 6),

http://www.ard-werbung.de/_mp/fach/200208_01.phtml,

http://www.emind.emnid.de/downloads/studien/20021171GO2002Germany.pdf

⁴ vgl. z. B. http://www.destatis.de/presse/deutsch/pm2003/p0510024.htm

⁵ BMWT/KPMG (2001, S. 8)

⁶ vgl. SofTrust Consulting (2002)

⁷ vgl. z. B. Stähler (2001)

5

⁸ kosten erkannt worden. Neben den unterschiedlichen Verbesserungen bergen die neuen Technologien mit ihren betriebswirtschaftlichen Anwendungsmöglichkeiten, aber ebenfalls zahlreiche Risiken und Unzulänglichkeiten in sich. Hier ist z. B. an die Unsicherheit bezüglich Urheberschaft und Unverfälschtheit von Daten und Informationen (vgl. Abbildung 1) gerade in offenen Netzen zu denken (Internet) - aber auch

einem weitestgehend nur eingeschränktem Nutzerkreis zugängliche Bereiche können bei hinreichend großer Anwenderzahl betroffen sein (Intranet,

Extranet). Diesen Risiken kommt insbesondere

dann eine starke Bedeutung zu, wenn rechtlich und

ökonomisch relevante Willenserklärungen Gegenstand von Informationen sind bzw. sein sollen. Eine erhebliche Behinderung des elektronischen Handels über das Internet stellt nach verschiedenen Einschätzungen derzeit immer noch das in einem gerichtlichen Verfahren kaum beweisbare Zustandekommen von wirksamen ⁹ Das Kernproblem liegt also nicht in der formalen Frage Verträgen z. B. durch E-Mail dar.

einer Wirksamkeit elektronischer Willenserklärungen, als vielmehr in dem Umstand der ¹⁰ Flüchtig- und Manipulierbarkeit elektronischer Daten. ¹¹ Mit dem Informations- und Kommunikationsdienste-Gesetz (IuKDG) vom 22. Juli 1997 hat

sich der deutsche Gesetzgeber in diesem Zusammenhang wesentlicher Sicherheitsaspekte angenommen. Das Gesetz zur digitalen Signatur von 1997 (Art. 3 IuKDG) traf hieraufhin erstmalig Regelungen für das digitale Signieren (SigG 1997). Durch die Richtlinie ¹² 1999/93/EG (RL1999/93/EG) des Europäischen Parlaments und Rates wurde im Dezember 1999 ein einheitlicher europäischer Rechtsrahmen für elektronische Signaturen geschaffen, der eine Anpassung der deutschen Vorschriften erforderlich machte - mit dem Gesetz über Rah- ¹³ menbedingungen für elektronische Signaturen (SigG 2001) wurde das bis dahin einschlägige SigG 1997 abgelöst.

Die digitale bzw. elektronische Signatur kann allerdings nur dann zu einer nachhaltigen Anwendung kommen, wenn die verschiedenen Rechtsnormen neben der bisherigen Schriftform auch die elektronische Form anerkennen, d. h. die elektronische Abbildung von Dokumenten (z. B. als Träger von Willenserklärungen) muss zusammen mit ihrer elektronischen Übertra- ¹⁴ gung Berücksichtigung und Rechtswirksamkeit erfahren. Durch das Gesetz zur Anpassung

⁸ vgl. z. B. Richter (1999)

⁹ vgl. z. B. Armgardt (2001)

¹⁰ vgl. z. B. Sanner (2001)

¹¹ BGBl. I 1997, S. 1870 ff.

¹² ABl. EG Nr. 13 v. 19.1.2000, S. 14 ff.

¹³ BGBl. I 2001, S. 876 ff.

¹⁴ vgl. z. B. Roßnagel (2002, S. 13)

6

der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsge- ¹⁵ schäftsverkehr (Formanpassungsgesetz) vom 13.7.2001 und dem Dritten Gesetz zur Ände- ¹⁶ vom 21.8.2002 hat der deutsche Gesetz- rungverwaltungsverfahrensrechtlicher Vorschriften ¹⁷ geber auch diesen komplementären Erfordernissen weitestgehend Rechnung getragen. Die ¹⁸ digitale bzw. qualifizierte elektronische Signatur i. S. d. SigG ist - mit gewissen Einschränkungen, somit zum Substitut der eigenhändigen Unterschrift geworden (vgl. hierzu 2.3 unten), da „(...) eine qualifizierte elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, wenn durch Gesetz nicht ein anderes bestimmt ist.“ (§ 6 Abs. 2 SigG).

Die Erwartungen der Branche (für Produkte der Signatur-Infrastruktur i. w. S.) in die Entwicklung des Signaturgeschäftes waren spätestens mit dem novellierten SigG überwiegend positiv und es wurde die qualifizierte elektronische Signatur mit Anbieterakkreditierung als die höchs- ¹⁹ te Qualitätsstufe favorisiert. In ihr sah man die Voraussetzung für die Weiterentwicklung des

elektronischen Rechts- und Geschäftsverkehrs. Die Prognosen des Geschäftsvolumens für den ²⁰ Markt der elektronischen Signaturen fielen regelmäßig sehr hoch aus; dennoch konnten

bislang nur die wenigsten Anbieter daraus ein rentables Geschäft machen und signifikante ²¹ Entwicklungsanstöße sind neben ein paar Pilotprojekten ebenfalls noch nicht zu erkennen. ²² „Besonders das Privatkundengeschäft ist bislang so gut wie gar nicht in Fahrt gekommen.“ Als Grund hierfür wird einerseits häufig die fehlende Akzeptanz der digitalen Unterschrift bei Behörden und Unternehmen ausgemacht. Andererseits lässt aber auch die Notwendigkeit zusätzlicher Hard- und Software, sowie die hiermit einhergehenden Kosten, offenbar das Interesse der Verbraucher gering. Hinzu kommt noch, dass bislang kein ausreichender Schutz ²³ des Anwenders z. B. vor sog. Trojanische Pferd Programmen gewährleistet werden kann. Wirtschaft und Verwaltung begründen ihre Zurückhaltung gegenüber der Signaturnutzung ²⁴ wiederum mit der bislang geringen Zahl der Anwender („Henne-Ei-Problem“). Aus dieser

¹⁵ BGBl. I 2001, S. 1542 ff.

¹⁶ BGBl. I 2002, S. 3322 ff.

¹⁷ vgl. z. B.: auch Schreiben des BMF v. 16.7.2001: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler

Unterlagen (GDPdU), BStGBl. I 2001, S. 415

¹⁸ Ohne weitere Angaben wird im Folgenden mit ‚SigG’ immer das Gesetz über Rahmenbedingungen für elektronische

Signaturen (SigG 2001) bezeichnet.

¹⁹ vgl. KES (2002): http://www.kes.info/_archiv/_onlinearch/02-03-24-digsig.htm (28.01.03)

²⁰ s. Fußnote 22

²¹ vgl. z. B. Gründel/Bayer (2002), Roßnagel (2002),

SecuMedia (2002): http://www.security-forum.de/presse.htm (28.01.03),

http://www.contentmanager.de/magazin/artikel_116_quo_vadis_dokumenten-management.html

²² Paterak (2002): http://www.ftd.de/tm/it/1014399137454.html,

vgl. http://www.computerwoche.de/index.cfm?pageid=254&artid=37258&type=detail,

http://www.golem.de/0206/20325.html

²³ vgl. z. B. http://www.chip.de/news_stories/news_stories_8736718.html (31.01.03),

http://www.ebigo.de/unternehmensbereiche/00056/index.html?url_kat_1=/unternehmensbereiche/00023/index.html

&PHPSESSID=c10f682154d44cad06dcd95cfd19fb0a, Roßnagel (2001, S. 50, 51)

²⁴ vgl. z. B. J. E. (2002), Krempl (2002), s. Fußnote 21,

7

Situation heraus wird inzwischen die Aufforderung an den Staat formuliert, die Etablierung des elektronischen Signierens als hoheitliche Aufgabe zu verstehen und sich dementsprechend ^{25, 26} stärker hierfür einzusetzen.

Es gibt allerdings auch Einschätzungen, wonach bislang genannte Gründe für die Zurückhaltung auf allen Seiten nur endogene Aspekte und Probleme der Einführungsphase darstellen. Die fehlende Durchsetzung der gesetzeskonformen (qualifizierten elektronischen) Signatur wurde somit im Grundsatz bislang nur unzureichend erklärt. Neben dem „Henne-Ei-Problem“ (vgl. oben) könnten vielmehr auch weitergehende Erwägungen, sowohl auf Seiten der Wirtschaft wie auch beim Verbraucher, gegen eine grundsätzliche praktische Bedeutung der Signatur spre- ²⁷ chen.

Was hat man nun „heute“ unter einer gesetzeskonformen digitalen bzw. qualifizierten elektronischen Signatur zu verstehen und wie ist die Gleichstellung zur eigenhändigen Namensunterschrift ausgestaltet - es ist zu hinterfragen, welche Sicherheiten aus rechtlicher und informationstechnischer Perspektive konstituiert, garantiert oder evtl. auch nur suggeriert werden. Die informationstechnische Realisierung von (Rechts-) Sicherheit in diesem Zusammenhang muss - unabhängig von ihrem Ausmaß, immer von seinen Verwendern finanziell getragen werden. Es stellt sich somit in besonderem Maße die Frage nach dem derzeit realisierbaren ökonomischen Nutzenpotential eines Einsatzes rechtserheblicher digitaler Signaturen, d. h. Signaturen i. S. d. SigG, sowie den möglichen Ursachen für ihre bislang ²⁸ mangelnde Verwendung. Neben den Perspektiven für Unternehmen und den Staat wird hierbei speziell die Situation der Verbraucher bzw. Bürger untersucht. Zur Erschließung von Antworten auf diese Fragen sollen im Folgenden die grundlegende rechtliche und informationstechnische Konzeption, sowie das derzeitige Ausmaß der angesprochenen Sicherheit ausführlich dargestellt werden. Dem schließt sich die Diskussion einer ökonomischen Sinnhaftigkeit der dargestellten Möglichkeiten an. In diesem Zusammenhang ist insbesondere die Identifizierung eventueller Divergenzen zwischen rechtlichen und informationstechnischen Möglichkeiten einerseits sowie praktischen Anforderungen potentieller Anwender andererseits notwendig. Hierzu gilt es gleichfalls die Alternativen zur qualifizierten elektronischen Signatur zu bewerten.

Nach einer differenzierten Darstellung der rechtlichen Situation, wird die Signatur dabei i. w. in Gestalt der qualifizierten elektronischen Signatur (§ 2 Nr. 3 SigG) zu Grunde gelegt, da nur sie

http://www.sicherheit-im-internet.de/themes/themes.phtml?tdid=2062 (28.01.03),

http://www.spiegel.de/netzwelt/politik/0,1518,177336,00.html (28.01.03)

²⁵ vgl. GI/ITG bzw. Roßnagel (2003) - sowie Fußnote 21, Fußnote 22, http://www.golem.de/0205/19967.html

²⁶ vgl. hierzu auch „Signaturbündnis“ (Public-Private-Partnership): http://www.bund.de/Anlage100781/pdf_datei.pdf

²⁷ vgl. Bizer (2002a)

²⁸ vgl. z. B. Roßnagel (2003), GI/ITG (2003, S. 3), Meinel/Gollan (http://www.jurpc.de/aufsatz/20020223.htm - Abs.

7)

8

gesetzlich als Substitut zur eigenhändigen Unterschrift dienen kann. Ein umfassendes Verständnis für elektronische Signaturen ist ohne die Unterscheidung der Verschlüsselung und des Signierens elektronischer Daten nicht möglich. Mit dem Signieren elektronischer Daten geht nicht zwangsläufig auch eine Verschlüsselung einher. Das Sicherheitsziel der Verschlüsselung ist ein Verbergen semantischer Inhalte gegenüber Dritten bzw. auch ein vollständiges „Verstecken“ ganzer Dateien. Die Verschlüsselungsverfahren beinhalten grundsätzlich keine primären Ansätze um den Urheber von Daten zu identifizieren oder die Unverfälschtheit der Daten zu prüfen. Für die Verschlüsselung stehen somit Geheimhaltung bzw. Datenschutz im Vordergrund.

Diese Aspekte sind jedoch nicht Gegenstand des SigG und liegen auch i. A. nicht dem Signie- ²⁹ ren von Daten zu Grunde. Auf die kryptographischen Grundlagen und Verfahren wird des- ³⁰ halb nur aus Sicht des Signierens Bezug genommen.

²⁹ vgl. z. B. Gollan (2002, S. 14)

³⁰ Diese Verfahren und Algorithmen sind allerdings vielfach in ihrer grundlegenden Konzeption mit der allgemeinen

Datenverschlüsselung vergleichbar bis identisch.

9

2 R e c h t l i c h e A s p e k t e d e r S i g n a t u r

2.1 Rechtliche Grundlagen

2.1.1 Richtlinie der Europäischen Union

Der Rechtsverkehr von Wirtschaftssubjekten über politische Grenzen hinweg ist kein neues Phänomen der Informationsgesellschaft. Verschiedenste Rechtsvorschriften tragen diesem Umstand bereits seit langem Rechnung. Nationale Vorschriften regeln z. B., welche Rechtsordnungen bei Sachverhalten mit Verbindung ³¹ zu ausländischen Staaten Anwendung finden (Internationales Privatrecht). Supranationales Recht bildet die einheitliche Rechtsgrundlage für einen übergeordne- ³² ten Rechtsraum bzw. dient der Harmonisierung verschiedener nationaler Vor- ³³ schriften .

Dennoch hat die fortgeschrittene Mobilität in der Gestalt elektronischer Kommunikationsmöglichkeiten, den Rechtsverkehr inzwischen wesentlich beeinflusst. Eine Rechtssicherheit im elektronischen Rechtsverkehr, die bei der Überschreitung von Landesgrenzen ungewiss wird, nicht durchsetzbar wäre oder gar endet, erscheint angesichts des globalen Charakters heutiger Kommunikations- und ³⁴ Wirtschaftsbeziehungen nicht mehr zeitgemäß.

Mit der Richtlinie 1999/93/EG, vom 13. Dezember 1999, verlieh die Europäische Union (EU) der empfundenen Notwendigkeit von Signaturen für die elektronische Kommunikation und den elektronischen Geschäftsverkehr Ausdruck. Der Beeinträchtigung des europäischen Binnenmarktes in Folge einer Divergenz nationaler Vorschriften zur rechtlichen Anerkennung von Signaturen soll hierdurch entgegen ³⁵ gewirkt werden.

„Es geht im Kern bei der gesamten Richtlinie vor allem um eines: die Sicherstellung einer EU-einheitlichen Infrastruktur für die elektronischen Signaturen, an ³⁶ die konkrete Rechtswirkungen geknüpft sind.“ Hierfür sind Regelungen zu

grundsätzlichen technischen und administrativen Aspekten, zu Voraussetzungen für die Rechtswirksamkeit sowie Fragen der Haftung von Zertifizierungs- ³⁷ diensteanbietern getroffen worden. Aus der Eigenart einer EU-Richtlinie geht

³¹ vgl. Art. 3 ff. 2. Einführungsgesetz zum Bürgerlichen Gesetzbuch (EGBGB)

³² vgl. z. B. Verordnung (EWG) 1612/68 über die Freizügigkeit der Arbeitnehmer innerhalb der Gemeinschaft

³³ vgl. z. B. Richtlinie zur Aufhebung der Reise- und Aufenthaltsbeschränkung (68/360/EWG)

³⁴ vgl. z. B. Rapp (2002, S. 36 ff), Bertsch (2001, S. 54 ff), Sanner (2001, S. 180 ff)

³⁵ vgl. Erwägungsgrund Nr. 4 u. Art. 1 RL1999/93/EG

³⁶ Bröhl (2002, S. 33)

³⁷ vgl. Art. 249 Vertrag zur Gründung der Europäischen Gemeinschaft (EGV)

10

hervor, dass es sich um Zielvorgaben bzw. Rahmenbedingungen (Mindestanforderungen) handelt, die einer nationalen Umsetzung und Ausformulierung bedürfen. Die erforderlichen Rechts- und Verwaltungsvorschriften hierzu waren durch die Mitgliedsstaaten der EU bis zum 19. Juli 2001 zu erlassen (Art. 13 RL1999/93/EG).

Trotz der Harmonisierungs-Bestrebungen durch die RL1999/93/EG kann die grenzüberschreitende rechtliche Akzeptanz qualifizierter Signaturen de facto deutlich erschwert sein. Hierzu tragen einerseits unterschiedliche nationale Detailanforderungen bei, andererseits bestehen auch noch zahlreiche Einschränkungen bei der Harmonisierung (wie z. B. mögliche Zusatzanforderungen im öffentlichen Be- ³⁸ reich).

2.1.2 Deutscher Gesetzgeber

Infolge des Anpassungsbedarfs durch die Richtlinie 1999/93/EG kam es, zusammen mit den Ergebnissen der Evaluierung von SigG 1997 und Signaturverordnung (SigV) 1997, zu einer grundlegenden Umstrukturierung des deutschen Sig- ³⁹ naturrechts. Als Ergebnis dieser Gesetzesnovellierung traten am 22. Mai 2001 ^{40 41} das SigG 2001 und am 22. November 2001 die SigV 2001 in Kraft.

In der Richtlinie 1999/93/EG werden explizit zwei Typen von Signaturen genannt: Die (einfache) „elektronische Signatur“ (Art. 2 Nr. 1) und die „fortgeschrittene elektronische Signatur“ (Art. 2 Nr. 2). Ein dritter Typus ergibt sich implizit aus Art. 5 Abs. 1: „(...) fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen und die von einer sicheren Signaturerstellungseinheit erstellt werden (...)“. Nur für diesen impliziten Signaturtyp sieht die Richtlinie eine unmittelbare Gleichstellung zur handschriftlichen Namensunterschrift vor (Art. 5 Abs. 1 Buchst. a) und schreibt ebenfalls die Zulassung als gerichtliches Beweismittel vor (Art. 5 Abs. 1 Buchst. b). Der deutsche Gesetzgeber hat prinzipiell auch nur diesen dritten Typus mit Rechtswirkung ausgestattet, den er als ⁴² qualifizierte elektronische Signatur bezeichnet (§ 2 Nr. 3 SigG). Aus rechtshistorischen Gründen wurde in Deutschland bei der Umsetzung der Richtlinie eine Trennung zwischen infrastrukturellen bzw. informationstechni-

³⁸ vgl.

³⁹ vgl. Rapp (2002, S. 52), Bröhl (2001, S. 22 ff)

⁴⁰ Im Ggs. zum SigG 1997 wird im SigG 2001 nur noch von elektronischen Signaturen gesprochen. Dies stellt eine

Erweiterung des bislang geltenden Rechts dar, da der Begriff der „elektronischen Signatur“ die digitale Signatur

beinhaltet (die digitale Signatur - altes Recht - kann mit der qualifizierten elektronischen Signatur - neues Recht - werden); s. weiterführend Bröhl (2001, S. 48), Jungermann (2003, S. 69)

⁴¹ BGBl. I 2001, S. 3074 ff.

⁴² vgl. Bröhl (2001, S. 33)

11

schen Regelungen und

den rechtlichen Erfordernissen der Formanpassungen (sog. „Trennungsmo- ⁴³ dell“). Mit dieser Tren- wurde das seit 1997 bestehende Rechtsregime Abbildung 2: Skizzierung des sog. „Trennungsmodells“ zur

⁴⁴ fortgeführt.

regelt, zusammen mit seinen nachgeordneten Vorschriften (z. B. SigV mit Anlagen), also i. w. nur die Sicherheitsinfrastruktur bezüglich der Signaturen (vgl. Abbildung 2). Die Zulässigkeit der elektronischen Form und die rechtsverbindliche Wirkung der Signatur ergibt sich nicht unmittelbar aus dem SigG - lediglich in § 6 Abs. 2 SigG findet man einen Hinweis auf die rechtliche Bedeutung: „Der

Zertifizierungsdiensteanbieter hat den Antragsteller darüber zu unterrichten, dass eine qualifizierte elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, wenn durch Gesetz nicht ein anderes be- stimmt ist.“ Die Formulierung der

Stufe/ Anforderungen Stufe/ Anforderungen Stufe/ Anforderungen Stufe/ Anforderungen Rechtswirkung Rechtswirkung Rechtswirkung Rechtswirkung

Bezeichnung (Beispiel) Bezeichnung (Beispiel) Bezeichnung (Beispiel) Bezeichnung (Beispiel)

im öffentlichen elektronischer Signaturen und ihre ^{Spezialgesetz Spezialgesetz} Bereich Bereich Bereich Bereich

irkungen unterschieden rechtlichen W

Abbildung 3: Überblick zu Stufen und

Zusatzoptionen elektronischer

⁴³ Z. B. i. Ggs. zu Österreich; hier wurden die Regelungen der Richtlinie in einem einzigen Gesetz umgesetzt - vgl.

Bröhl (2001, S. 308 ff.).

⁴⁴ vgl. Bröhl (2001, S. 37)

⁴⁵ vgl. hierzu auch https://www.sicherheit-im-internet.de/download/uebersichtVerwVerfGes.pdf (04.01.03)

⁴⁶ vgl. Bröhl (2001, S. 34)

12

in Anlehnung an den Art. 3 Abs. 2 u. 7 RL1999/93/EG, auch noch zwei zusätzliche Optionen. Ausschließlich bei Stufe 3 (vgl. Abbildung 3) - der qualifizierten elektronischen Signatur, wird die Signatur - mit einigen Einschränkungen - als Substitut der eigenhändigen Unterschrift gleichgestellt (vgl. 2.3 unten). An dieser Rechtsqualität ändern auch die beiden vorgesehenen Zusatzoptionen nichts. Insbesondere wäre es falsch hier von weiteren Stufen zu sprechen. Im Fall der Anbieter-Akkreditierung handelt es sich z. B. um eine Art Qualitätsmerkmal („Gütezeichen“ - § 15 Abs. 1 S. 3 SigG), das auf eine vorherige umfassende Überprüfung der gesetzlichen Sicherheitserfordernisse beim Zertifizierungs- ^{47 48} diensteanbieter (ZDA) in spezifizierter Form hinweist. Den gesetzlich formulierten Erfordernissen sind nicht-akkreditierte ZDA gleichermaßen verpflichtet und für sie gelten ebenfalls die Bestimmungen zur Haftung und Deckungsvorsor- ⁴⁹ ge (§§ 11, 12 SigG). Schließlich unterliegen alle ZDA - egal ob sie entweder ih- ⁵⁰ re Betriebsaufnahme lediglich angezeigt (§ 4 Abs. 3 SigG) oder sich einer freiwilligen Akkreditierung unterzogen haben (§ 15 SigG), der Aufsicht der Regulierungsbehörde für Telekommunikation und Post (RegTP) als zuständige Behörde gem. § 3 SigG i. V. m. § 66 Telekommunikationsgesetz (TKG). Unbeschadet der formalen Rechtsqualität qualifizierter elektronischer Signaturen lassen sich zwischen akkreditierten und nicht-akkreditierten ZDA im SigG und in der SigV vier wesentliche inhaltliche Qualitäts-Unterschiede finden. Diese betreffen die über Mindestanforderungen hinausgehenden bzw. spezifizierteren Sicherheitsanforderungen, die „Wurzelzertifizierung“, die Weiterführung der Dokumentation bei Einstellung der Tätigkeit des ZDA und den Zeitraum der Nachprüfbarkeit von qualifizierten Zertifikaten nach deren ordentlichem Ablauf (vgl. 2.4 unten).

Besondere Regelungen des öffentlichen Bereichs, die mit ihren Anforderungen über die der qualifizierten elektronischen Signatur mit Anbieter-Akkreditierung hinausgingen, wurden bislang nicht getroffen. Dies lässt sich damit erklären, dass die Anforderungen gem. SigG bereits ausgesprochen umfangreich sind und durch die Anbieter-Akkreditierung auch eine Langzeitsicherung der Nachprüfbarkeit ge-

⁴⁷ vgl.

⁴⁸ vgl. Gollan (2002, S. 33 ff), Bröhl (2001, S. 33 u. 92)

⁴⁹ Bei den Haftungsbestimmungen geht es um den Schutz des redlichen Vertrauens Dritter in die qualifizierten

Zertifikate und technischen Sicherungseinrichtungen der ZDA. Zusätzlich sieht das SigG eine Mindestdeckungsvor- i. H. v. 250.000 Euro pro Schadensfall vor. Die Ausgestaltung der Regelungen zur Haftung ist als Verschul- mit Beweislastumkehr erfolgt - s. weiterführend Bröhl (2001, S. 39 u. S. 76 ff).

⁵⁰ Der Betrieb eines Zertifizierungsdienstes ist genehmigungsfrei (§ 4 Abs. 1 SigG). Damit die RegTP ihren

Überwachungs- und Aufsichtsfunktionen nachgehen kann, ist die Anzeige der Betriebsaufnahme aber zwingend

vorgeschrieben - s. weiterführend Bröhl (2001, S. 59 ff).

13

schaffen ist (vgl. hierzu 2.2.3 unten). Die Anforderungen des SigG sind teilweise sogar so weitgehend, dass gerade für den öffentlichen Bereich bereits mehrjährige Übergangsregelungen getroffen wurden, die verschiedene Auflagen „entschärfen“ bzw. vereinfachen (z. B. Verwendung modifizierter fortgeschrittener Signaturen ⁵¹ bei der Kommunikation mit der Finanzverwaltung bis 2005). Die rechtliche, infrastrukturelle und informationstechnische Regelungsstruktur qualifizierter elektronischer Signaturen kann grundsätzlich in drei Abschnitte unterschieden werden. Diese sind durch SigG und SigV, durch die ergänzenden Anlagen und schließlich durch die Feststellungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) - die durch die RegTP als „Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung“ ⁵² (BekSigG) veröffentlicht werden - definiert (vgl. Abbildung 4): Pflichtinhalte

und Mindestanforderungen an qualifizierte Zertifikate und sichere Signaturerstellungseinheiten sowie die Eignung der verwendeten Kryptoalgorithmen (s. hierzu 2.2 unten).

Abbildung 4: Rechtliche Anforderungsstruktur und Regelungsgrundlagen der

qualifizierten elektronischen Signatur

⁵³ Da es in Deutschland gegenwärtig ausschließlich akkreditierte ZDA gibt, werden in den nachfolgenden Betrachtungen und Überlegungen ebenfalls die angesprochenen Besonderheiten im Zusammenhang mit der freiwilligen Akkreditierung berücksichtigt. Diese sind zwar, wie bereits erwähnt, für die formale Rechtsqualität der qualifizierten elektronischen Signatur irrelevant - für mittelbare Rechtswirkungen sowie die informationstechnische und ökonomische Perspektive ergeben sich dagegen ausgesprochen relevante Aspekte (s. hierzu insbes. 2.4 unten).

⁵¹ vgl. z. B. Steuerdaten-Übermittlungsverordnung (StDÜV) - BGBl. I 2003, S. 139 ff.; sowie Signaturbündnis V1.2

(2003, S. 6)

⁵² RegTP (2003) - vgl. hierzu auf europäischer Ebene ETSI (2003)

⁵³ vgl. http://www.regtp.de/tech_reg_tele/start/in_06-02-04-00-00_m/index.html

14

2.2 Anforderungen an eine qualifizierte elektronische Signatur

2.2.1 Definition und Abgrenzung

Im Hinblick auf die bedeutende Rechtswirkung der qualifizierten elektronischen Signatur (vgl. hierzu 2.1.2 oben u. 2.3 unten) ist auch die gesetzliche Definition mit ihren Anforderungen relativ komplex und umfassend ausgefallen. Zusätzlich sind die Bestimmungen weitestgehend abstrakt formuliert, womit ein hoher Grad ⁵⁵ an Technikoffenheit erzielt werden soll. Da neben der qualifizierten elektronischen Signatur auch andere schwächere Ausformungen vom SigG vorgesehen sind, erschließt sich eine erste Abgrenzung der qualifizierten elektronischen Signatur über ein Stufen- oder auch Schalenmodell des § 2 Nr. 1 bis 3 SigG (vgl. Abbildung 5).

Die qualifizierte Signatur wird hiernach grundsätzlich als ein Anhang aus elektronischen Daten beschrieben, die

anderen elektronischen Daten (sog.

Ursprungsdaten, wie E-Mail, Soft- usw.) beigefügt werden. Der

Zweck dieser zusätzlichen Daten ist eine Bestimmung des Absenders bzw.

Urhebers der Ursprungsdaten (1. Stu- Die „Signatur-Daten“ dürfen hierbei ausschließlich dem signierenden Urheber zuzuordnen sein und müssen

eine eindeutige Identifikation ermög- Dabei ist es erforderlich, dass

der Signierende die Möglichkeit der

alleinigen Kontrolle über seine „Signatur“ hat. Neben dem Aspekt der Authentifizierung (vgl. Abbildung 1, S. 6) hat die Signatur ebenfalls zu gewährleisten, dass eine nachträgliche Manipulation der Ursprungsdaten nicht unerkannt bleibt (2. Stufe). Schließlich liegt eine qualifizierte elektronische Signatur erst dann vor, wenn bei Ihrer Erstellung ein zugehöriges qualifiziertes Zertifikat (s. hierzu 2.2.3 unten) existierte und die Signatur mit einer besonderen hierfür vorgesehenen „Er-

⁵⁴ vgl. , Abbildung 3: Überblick zu Stufen und Zusatzoptionen elektronischer Signaturen nach dem SigG

S. 12

⁵⁵ vgl. z. B. Bröhl (2001, S. 48), Rapp (2002, S. 52)

15

⁵⁶ stellungseinheit“ (s. hierzu 2.2.2.1 unten) erzeugt wurde (3. Stufe). Aus der Legaldefinition des § 2 SigG ergeben sich somit grundsätzlich sieben Anforderungen bzw. Tatbestandsmerkmale einer qualifizierten elektronischen Signatur (ein Merkmal aus Nr. 1, vier aus Nr. 2 und zwei aus Nr. 3 - vgl. Abbildung 5). Diese sieben Tatbestandsmerkmale weisen jedoch gewisse implizite Redundanzen auf, wodurch sich die Kernanforderungen auf vier Merkmale reduzieren lassendenn, beruht die Signatur auf einem bei ihrer Erzeugung gültigen qualifizierten Zertifikat, so ist damit auch die Identifizierung des Schlüssel-Inhabers möglich; durch die Verwendung einer sicheren Signaturerstellungseinheit ist ebenfalls die exklusive Kontrolle über den Signaturschlüssel durch den Signaturschlüssel-Inhaber gegeben; und schließlich ist die Formulierung von § 2 Nr. 1 SigG so allgemein gehalten (Daten-Verknüpfung u. Authentifizierung), dass die Merkmale ⁵⁷ durch die Nummern 2 und 3 eingeschlossen sind.

Nach dieser ersten Annäherung erfolgt die weitere Betrachtung, insbesondere der ⁵⁸ zuletzt genannten spezifischen Anforderungen, eher netzwerkartig: Aus § 2 Nr.

3 SigG ergeben sich abstrakte Anforderungen in Gestalt eines qualifizierten Zertifikates und einer sicheren Signaturerstellungseinheit. Die Konkretisierungen hierzu sowie zu weiteren sich hieraus fortsetzenden Anforderungen erfolgen im SigG und in der SigV. Im Fall von akkreditierten ZDA sind teilweise einschränkendere Anforderungen an Prüftiefen und Schwachstellenbewertungen gem. Anlage 1 zu § 11 Abs. 3, § 15 Abs. 5 SigV zu berücksichtigen.

2.2.2 Produkte für qualifizierte elektronische Signaturen

Für die Nutzung qualifizierter elektronischer Signaturen sind eine Reihe von „Produkten“ vorgesehen, an die durch SigG und SigV verschiedene funktionale und sicherheitstechnische Anforderungen gestellt werden. Als Produkte für qualifizierte Signaturen bestimmt § 2 Nr. 13 SigG sichere Signaturerstellungseinheiten, Signaturanwendungskomponenten und technische Komponenten für Zertifizierungsdienste. Da das Signieren elektronischer Daten und die Verifikation von ⁵⁹ Signaturen dezentrale Vorgänge sind, muss - neben den Trust Centern der ZDA,

auch jeder Signatur-Verwender (Signaturschlüssel-Inhaber, Signatur-Empfänger) sicherheitstechnisch relevante Produkte einsetzen.

⁵⁶ vgl. Bröhl (2001, S. 50 ff), Rapp (2002, S. 53 i. V. m. 37, 38)

⁵⁷ vgl. z. B. Jungermann (2003, S. 70)

⁵⁸ vgl. hierzu auch Abbildung 4: Rechtliche Anforderungsstruktur und Regelungsgrundlagen der qualifizierten

, S. 14 elektronischen Signatur

⁵⁹ Der Begriff „Trust Center“ wird häufig synonym zu ZDA verwendet - hier sind dagegen die hochsicher

ausgestalteten Betriebsräume der ZDA gemeint - vgl. z. B. Gollan (2002, S. 35).

16

Die gesetzlich bestimmten Aufgaben der Produkte und ihre wesentlichen Mindestanforderungen werden im Folgenden kurz dargestellt.

2.2.2.1 Sichere Signaturerstellungseinheiten

Die Nutzung einer sicheren Signaturerstellungseinheit wird in der Definition des § 2 Nr. 13 SigG ausdrücklich als Voraussetzung für das Vor-

liegen einer qualifizierten Signatur genannt. Die Aufgabe der sicheren Signaturerstellungseinheit ist eine

sichere Speicherung und Anwendung des Signatur- ⁶⁰ schlüssels

6). Hierunter versteht der §

17 Abs. 1 SigG die zuverlässige Erkennung von Fälschungen und Manipulationen an Signatur und signierten Ursprungsdaten. Hinzu kommt der Schutz vor unberechtigter Verwendung des Signaturschlüssels durch eine Kombination aus Besitz und Wissen bzw. Besitz und biometrischer Merkmale (§ 15 Abs. 1 S. 1 SigV).

Die Besitz-Identifikation erfolgt hierbei durch das tatsächliche physische Verfügen über eine Signaturkarte, mit der die sichere Signaturerstellungseinheit derzeit typischerweise realisiert wird. Die Wissens-Identifikation repräsentiert das z. B. von der EC-Karte oder von verschiedenen Internet-Anwendungen bekannte PIN- oder Passwort-Verfahren. Als biometrische Merkmale zur Identifikation können z. B. das Gesicht, die eigenhändige Unterschrift oder die Fingerstruktur ge- ⁶¹ nannt werden.

Wie auch alle anderen Signatur-Produkte unterliegt die sichere Signa- ⁶² turerstellungseinheit besonderen Prüfanforderungen. Die Prüfung hat

nach den Common Criteria for Information Technology Security Evaluation (CC) oder nach den Information Technology Security Evaluation

⁶⁰ Ein Signaturschlüssel repräsentiert „(...) einmalige elektronische Daten wie private kryptographische Schlüssel, die

zur Erstellung einer elektronischen Signatur verwendet werden (...)“, § 2 Nr. 4 SigG - s. hierzu 3.2 u. 3.3.2 unten.

⁶¹ vgl. amtliche Begründung zu § 15 Abs. 1 SigV, z. B. in Bröhl (2001, S. 168)

⁶² gem. § 11 Abs. 3 SigV i. V. m. Abschn. I Nr. 1.1 der Anlage 1 zu § 11 Abs. 3 SigV bzw. § 15 Abs. 5 SigV i. V. m.

Abschn. II der Anlage 1 zu § 15 Abs. 5 SigV

17

Criteria (ITSEC) zu erfol- ⁶³ gen

Die Erfüllung dieser Anforderungen muss durch

eine anerkannte Bestäti- i. S. d. § 18 ⁶⁴

SigG bestätigt werden. Nicht-akkreditierte ZDA können abweichend hiervon grundsätzlich auch Produkte einsetzen, die anerkannten europäischen Normen (gem. ⁶⁵ Richtlinie 1999/93/ EG) entsprechen (§ 15 Abs. 6 SigV).

2.2.2.2 Signaturanwendungskomponenten

Als Signaturanwendungskomponenten beschreibt § 2 Nr. 11 SigG solche Produkte, die alle erforderlichen Daten für die eigentliche Signaturerstellung oder Signaturprüfung bereitstellen sowie qualifizierte Signaturen und Zertifikate überprüfen. Für den Vorgang des Signierens ist es erforderlich, dass dem Anwender dies vorher eindeutig angezeigt wird. Er muss ebenfalls erkennen können, auf welche Ursprungsdaten genau sich die zu erzeugende

Abbildung 8: Definition einer Signaturanwen- welcheDaten sich die

dungskomponente nach SigG

Signatur bezieht (vgl.

Abbildung 8). Zusätzlich sind dem Anwender evtl. Manipulationen der Ursprungsdaten des Signaturschlüssel-Inhabers, die Inhalte des zu

⁶³ vgl. z. B. Gollan (2002, S. 32 ff), Bröhl (2001, S. 180 ff)

⁶⁴ vgl. z. B. Gollan (2002, S. 34)

⁶⁵ vgl. z. B. Bertsch (2002a, S. 70 u. 71)

⁶⁶ vgl. Gollan (2002, S. 56)

⁶⁷ Präsentationsproblem: „Während die Feststellung des Datenbezugs nur voraussetzt, dass die zu signierende Datei

eindeutig in Bezug genommen wird und entsprechend technisch vergleichsweise leicht zu realisieren ist, stellt eine

vollständige Darstellung des Dateninhalts beim Signieren jedenfalls gegenwärtig eine technische Unmöglichkeit

dar.“ - Bovenschulte (2002, S. 78), vgl. auch Gollan (2002, S. 21), Bertsch (2002a, S. 74)

18

Grunde liegenden qualifizierten Zertifikats sowie das Ergebnis der Zertifikatsprüfung beim herausgebenden ZDA anzuzeigen (§ 17 Abs. 2 S. 2 SigG).

Genau wie die sichere Signaturerstellungseinheit (vgl. 2.2.2.1 oben) hat auch die Signaturanwendungskomponente zu gewährleisten, dass eine qualifizierte Signatur nur durch den berechtigt Signierenden erstellt werden kann und die hierzu erforderlichen Identifikationsdaten im übrigen, insbesondere gegenüber unbefugten Dritten, unzugänglich bleiben (§ 15 Abs. 2 Nr. 1 SigV).

Die Nutzung von Signaturanwendungskomponenten ist jedoch im Gegensatz zur sicheren Signaturerstellungseinheit keine Voraussetzung für ⁶⁸ das Vorliegen qualifizierter elektronischer Signaturen. Die Verwendung ist vielmehr in das Ermessen des Signaturschlüssel-Inhabers gestellt (§ 17 Abs. 2 S. 3 SigV). Diese Regelung lässt sich schon damit begründen, dass aus einer vorliegenden qualifizierten Signatur nach dem gegenwärtigen Stand der Technik nicht mehr ersichtlich ist, welche Signaturanwendungskomponente für ihre Erstellung verwendet wur- ⁶⁹ de.

Grundsätzlich gelten auch für die Anwendungskomponenten die bereits oben unter 2.2.2.1 genannten Prüfanforderungen, wobei im Zusammenhang mit nicht-akkreditierten ZDA auch die Verwendung von ungeprüften Anwendungskomponenten zugelassen sind, soweit hierfür eine Her- ⁷⁰ stellererklärung gem. § 17 Abs. 4 SigG vorliegt. Diese Regelungen

können allerdings auf Grund der dargestellten technischen Situation im Ergebnis lediglich die Bedeutung von „freiwilligen“ Gütesiegeln ha- ⁷¹ ben.

Zudem unterstehen die Signatur-Verwender generell keiner Aufsicht (z. B. durch die RegTP) und es existieren weder Bußgeldvorschriften im SigG oder in der SigV, noch gibt es spezielle haftungsrechtliche Regelungen im Zivilrecht, durch die ein Fehlverhalten der Signatur- ⁷² Verwender sanktioniert würde.

⁶⁸ vgl. hierzu auch Abbildung 4: Rechtliche Anforderungsstruktur und Regelungsgrundlagen der qualifizierten

, S. 14 elektronischen Signatur

⁶⁹ vgl. Begründung d. Regierungsentw. z. § 17 Abs. 2 SigG, z. B. in Bröhl (2001, S. 101); Bovenschulte (2002, S. 77)

⁷⁰ s. hierzu weiterführend z. B. Gollan (2002, S. 33)

⁷¹ vgl. z. B. Bovenschulte (2002, S. 77)

⁷² vgl. z. B. Bovenschulte (2002, S. 76)

19

2.2.2.3 Technische Komponenten für Zertifizierungsdienste

Neben den sicheren Signaturerstellungseinheiten und den Signaturanwendungskomponenten, deren Verwendung durch den Anwender erfolgt, sind im SigG schließlich auch die Produkte für ZDA näher bestimmt. Zu den technischen Komponenten für ZDA zählen Produkte zur Erzeugung und Übertragung von Signaturschlüsseln, zur Nachprüfbar-und Abrufbarhaltung qualifizierter Zertifikate sowie zur Erzeugung

technische Komponenten die Einmaligkeit und Geheimhaltung der Signaturschlüssel gewährleisten können (§ 17 Abs. 3 Nr. 1 SigG). Hierzu gehören ebenfalls Vorkehrungen, die eine Speicherung der Signaturschlüssel außerhalb der sicheren Signaturerstellungseinheit ausschließen. Die Verwaltung der vom ZDA über öffentlich erreichbare Kommunikationsverbindungen nachprüfbar und abrufbar zu haltende qualifizierten Zertifikate ist so zu gestalten, dass die Zertifikate vor unbefugter Veränderung und unbefugtem Abruf geschützt sind (§ 17 Abs. 3 Nr. 2 i. V. m. § 5 Abs. 1 S. 2 SigG). ⁷³ sind Vorkehrungen zum Für die Erzeugung qualifizierter Zeitstempel Schutz vor Fälschungen und Manipulationen der Zeitstempel zu treffen. Auch bei technischen Komponenten ist eine Bestätigung über die Erfüllung der gesetzlichen Anforderungen vorgeschrieben (vgl. 2.2.2.1 u. 2.2.2.2 oben) - diese kann bei nicht-akkreditierten ZDA wiederum durch eine Herstellererklärung ersetzt werden.

2.2.3 Qualifizierte Zertifikate und Wurzelzertifikate

Alle qualifizierten elektronischen Signaturen erfordern zum Zeitpunkt ihrer Erstellung eine elektronische Bescheinigung in Form eines gültigen qualifizierten Zertifikats (vgl. 2.2.1 oben). Durch das qualifizierte Zertifikat soll eine Signatur

⁷³ Qualifizierte Zeitstempel sind elektronische Bescheinigungen darüber, dass einem ZDA bestimmte elektronische

Daten zu einem bestimmten Zeitpunkt vorgelegen haben. Die Bescheinigung erfolgt vom ZDA, wobei an das

„Verfahren“ besondere Anforderungen gestellt werden (§§ 2 Nr. 14, 9, 17 Abs. 3 Nr. 3 SigG) - weiterführend s.

Bröhl (2001, S. 57, 74)

20

über ihren zugehörigen Signaturprüfschlüssel einer natürlichen Person eindeutig zugeordnet werden können. Die (einzige) Mindestanforderung zu den persönlichen Angaben des Signaturschlüssel-Inhabers in einem qualifizierten Zertifikat ist sein Name. Dieser muss eindeutig sein und ist bei Verwechslungsgefahr mit einem Zusatz zu versehen (§ 7 Abs. 1 Nr. 1 SigG i. V. m. § 14 Abs. 1 SigV). Um diese Anforderung zu erfüllen, besteht die Namensangabe in qualifizierten Zertifikaten üblicherweise aus der Kombination von Familienname und Vorname(n). Diese Angaben werden zwar eine eindeutige Bezeichnung bei dem jeweiligen ZDA sein - dass mit diesen Angaben aber tatsächlich in jedem Fall zweifelsfrei auf eine Person geschlossen werden kann, darf bezweifelt werden (denkt man z. ⁷⁴ B. an Namen wie Peter Müller, Hans Schmidt, etc.). Hinzu kommt, dass mit den

Daten des Zertifikates noch nicht über weiterführende Informationen wie z. B. Geburtsdatum oder ladungsfähige Anschrift verfügt wird. Die Möglichkeit der eindeutigen Identifikation eines Signierenden sowie die Erlangung erforderlicher Angaben z. B. für eine zivilrechtliche Anspruchsverfolgung durch einen Signatur-Empfänger, ist somit nicht zwangsläufig gegeben. Ob beispielsweise der Empfänger eines signierten Vertrages einen Anspruch auf Offenlegung der Identität des Signaturschlüssel-Inhabers durch den ZDA herleiten und gerichtlich durchsetzen ⁷⁵ kann (z. B. Bekanntgabe der Wohnanschrift), darf bezweifelt werden. Ein noch

weitergehendes Problem kann sich für einen Signatur-Empfänger dann ergeben, wenn im Zertifikat ein Pseydonym angegeben ist. Der Signaturschlüssel-Inhaber hat nach § 5 Abs. 3 i. V. m. § 7 Abs. 1 Nr. 1 SigG die Möglichkeit, an Stelle seines Namens lediglich ein eindeutiges Pseudonym, das als solches erkennbar sein muss, in das qualifizierte Zertifikat eintragen zu lassen. Zwar sind die ZDA gem.

§ 14 Abs. 2 SigG dazu verpflichtet, z. B. Gerichten die Identität von Signaturschlüssel-Inhabern im Rahmen anhängiger Verfahren zu übermitteln, dies hat allerdings nur „(...) nach Maßgabe der hierfür geltenden Bestimmungen (...)“ zu erfolgen. Der § 14 Abs. 2 SigG enthält somit keinen eigenen Aufdeckungstatbestand aus dem ein unmittelbarer Anspruch auf Auskunft durch den ZDA entstün- ⁷⁶ de. Ein Anspruch auf Herausgabe bzw. Übermittlung von entsprechenden Ur- ⁷⁷ kunden wird sich regelmäßig auch nicht nach ZPO oder BGB herleiten lassen.

Letztlich erscheint auch die grundsätzlich mögliche gerichtliche Vernehmung ei- ⁷⁴ vgl. B. Langkabel (2002, S. 30), Meinel/Gollan (http://www.jurpc.de/aufsatz/20020223.htm - Abs. 10)

⁷⁵ vgl. Bertsch (2001, S. 42)

⁷⁶ Im Gegensatz hierzu haben z. B. Verfassungsschutzbehörden, Bundesnachrichtendienst oder auch Finanzbehörden

durchaus einen Anspruch auf Übermittlung von Identitätsdaten gem. § 14 Abs. 2 SigG, soweit diese zur Verfolgung

von Straftaten oder Ordnungswidrigkeiten benötigt werden.

⁷⁷ Der Signatur-Empfänger ist nicht Vertragspartner des ZDA und besitzt deshalb auch keinen Herausgabeanspruch.

21