Inhaltsverzeichnis

1.  Einleitung.  3

2.  Rückblick  4

3.  Technologische Verfahren.  5

3.1.  Kryptographie.  5

3.2.  Public Key Verfahren  7

3.3.  Signieren und Authentifizieren  8

4.  Voraussetzungen und Schutzfunktionen.  9

5.  Einsatzmöglichkeiten  10

6.  Komplettlösungen und deren Umsetzung  11

6.1.  T-TeleSec Signet  12

6.2.  T-TeleSec Global eSign.  13

6.3.  T-TeleSec Public Key Service  13

6.4.  Signtrust Card  14

6.5.  Signtrust Net  14

6.6.  Signtrust Pen  15

7.  Ausblick  17

8.  Glossar  18

9.  Abbildungsverzeichnis  20

10.  Literaturverzeichnis / Internetverzeichnis  21

2

1. Einleitung

Eine elektronische Signatur ist ein Ersatz für die eigenhändige Unterschrift bei Online-Geschäften und Online-Behördengängen. Ein Dokument wird mit einem unsichtbaren elektronischen Siegel versehen. Schon die kleinste Veränderung im Dokument führt zu einem Bruch des Siegels. Deshalb können sich ¹ Absender und Empfänger sicher sein, dass das Dokument nachträglich nicht verändert werden kann. Eine Möglichkeit zur Realisierung der Digitalen Signatur ist die Verwendung einer Signaturkarte. Auf dieser Signaturkarte ist ein Schlüssel hinterlegt, der im weitesten Sinne mit der persönlichen Unterschrift gleichzusetzen ist.

Die Bedeutung von digitalen Signaturen und ihrer Anwendung in den verschiedensten Bereichen der Gesellschaft, Industrie und Politik nimmt stetig zu. In vielen Fällen wird in Zukunft d ie digitale Unterschrift einer Eigenhändigen gleichgestellt sein.

Momentan entwickelt sich der elektronische Geschäftsverkehr in Deutschland diesbezüglich nur zögerlich, nicht zuletzt, weil die Inanspruchnahme von Zertifizierungsdienstleistungen zunächst mit einem gewissen Kostenaufwand verbunden ist. Diesem Kostenaufwand steht aber ein weit höherer Nutzen gegenüber. Das gilt für jeden, der elektronische Signaturen nutzen und sich damit zukünftig viele Wege und Kosten ersparen möchte. Dazu kommen die Vorteile für die gesamte Volkswirtschaft, wenn elektronische Signaturen in der Breite genutzt werden und so zu einer spürbaren Verwaltungsvereinfachung in allen Bereichen führen.

Das Thema „Digitale Signatur“ ist so umfangreich, dass diese Seminararbeit nicht auf alle Bereiche tiefgründiger eingehen kann. Sie befasst sich deswegen vor allem mit grundlegenden Fragen, stellt Voraussetzungen und technologische Verfahren dar und es werden auch einige Beispiele von Komplettlösungen, zum digitalen Signieren, zweier großer Anbieter aufgezeigt. Diese Arbeit schließt mit einem Ausblick, u.a. über die Zukunftsaussichten der digitalen Signatur.

¹ vgl. http://www.oenb.at/de/ing/digitale_signatur_vorteile_und_risiken_tcm14-19768.pdf

² http://www.bsi.bund.de/literat/faltbl/F10ElektronischeSignatur.htm

3

2. Rückblick

Nach mehrjährigen Diskussionen, Studien und Feldversuchen ist 1997 in Deutschland das europaweit erste Signaturgesetz in Kraft getreten.

Das Signaturgesetz stellte den politischen und rechtlichen Rahmen für eine auf hohem Niveau gesicherte Infrastruktur bereit. Sämtliche technische Einzelheiten zur Entwicklung sicherer Produkte sowie notwendige und erforderliche Tätigkeiten der Zertifizierungsstellen oder „Trust Center“ wurden in der Signaturverordnung und in zwei Maßnahmenkatalogen festgehalten. Ferner wurde beschlossen, erforderliche Änderungen im Bürgerlichen Gesetzbuch (BGB), dem Verwaltungsverfahrensgesetz (VerwVerfG) und in der Zivilprozessordnung (ZPO) sowie in einem zweiten Schritt viele andere Änderungen in der jeweiligen Gesetzgebung vorzunehmen, nachdem man Erfahrungen mit dieser neuen Möglichkeit der elektronischen Unterschriften als einem Äquivalent zur handschriftlichen Unterschrift, insbesondere im Bereich von Verträgen und Geschäftsvorgängen mit so genannten „Formvorschriften“ gemacht hatte.

Als „Reaktion“ auf das deutsche Gesetz erarbeitete die EU-Kommission eine Richtlinie zur elektronischen Signatur, die sich mit technischen und rechtlichen Aspekten beschäftigte. Da rechtliche Regelungen in ganz Europa keineswegs homogen sind (das gilt i m globalen Bereich noch stärker), musste für die Direktive eine Sprache gefunden werden, die neutral genug ist, um alle bestehenden Rechtssysteme abdecken zu können.

Der politische Wunsch, „technologie-neutral“ zu sein, führte zu eher schwachen technischen Spezifizierungen in dieser Richtlinie.

Um interoperablen Systemen etwas näher zu kommen (Interoperabilität ist das genaue Gegenteil von Technologie-Neutralität!), wurden der Entwurfsphase der Richtlinie vier Anhänge beigefügt. Mit dem Signaturgesetz vom 22.05.2001 hat Deutschland zugleich die EU-Richtlinie in die nationale Gesetzgebung umgesetzt und das alte Gesetz evaluiert.

Am 11.01.2005 sind eine Reihe von weiteren Änderungen des Signaturgesetzes in Kraft getreten. Diese wurden vom Bundestag einstimmig beschlossen. Sie zielen darauf ab, das Verfahren für die Erteilung qualifizierter Zertifikate zu vereinfachen und die damit verbundenen Kosten zu reduzieren. Das neue Signaturgesetz soll dazu beitragen, dass wirtschaftlich tragfähige Geschäftsmodelle mit ³ elektronischen Signaturen entwickelt werden können. Die Anerkennung der Rechtsverbindlichkeit blieb aber bisher noch aus.

Die digitale Verwaltung wird erst mit der Rechtsverbindlichkeit der digitalen Signatur richtig in Schwung ⁴ kommen.

³ vgl. http://www.bmwa.bund.de/Navigation/arbeit,did=56742.html

⁴ vgl. http://www.politik-digital.de/archiv/egoverment/digsig1.shtml

4

3. Technologische Verfahren

Es gibt verschiedene Möglichkeiten, eine elektronische Signatur einzusetzen. Die bekannteste Variante ist das Signieren von Dokumenten mit einer Signaturkarte. Hierzu wird auch entsprechende Hardware und Software benötigt.

Natürlich existiert eine Vielzahl weiterer Verfahren und Einsatzmöglichkeiten - ab Kapitel 5 wird einiges davon ausführlicher besprochen.

Alle Verfahren haben aber eine Gemeinsamkeit: Sensible Daten sollen signiert werden, um eindeutig den Absender zu identifizieren.

Wichtig ist aber auch, dass sensible Daten gegenüber Dritten unzugänglich gemacht werden sollen. Hierzu verwendet man die Kryptographie.

3.1. Kryptographie

Kryptographie (aus dem griechischen kryptós, "verborgen", und gráphein, "schreiben") ist die Wissenschaft der Verschlüsselung von Informationen ("Geheimschriften") und damit ein Teilgebiet der Kryptologie. Die Kryptographie befasst sich vor allem damit, den Inhalt von Nachrichten für Dritte unzugänglich zu machen.

Der früheste Einsatz von Kryptographie erfolgte bereits beim Einsetzen von unüblichen Hieroglyphen ⁶ bei den Ägyptern um 1900 v. Chr..

Die elektronische Signatur ist ein Teilgebiet der modernen Kryptographie. Darunter wird die Wissenschaft von der Anwendung der Mathematik zum Ver- und Entschlüsseln von Daten verstanden. Eine der wichtigsten Gründe für die Nutzung von Datenverschlüsselung und Elektronischer Signatur ist die Umsetzung von Sicherheitszielen. Die Ziele der modernen Kryptographie sind:

• Datenschutz (Vertraulichkeit),

• Sicherheit vor Nachrichtenverfälschung (Integrität),

• Möglichkeit des Überprüfens des Nachrichtenursprungs (Authentizität) und ⁷ • Beweis der Herkunft (Verbindlichkeit)

⁵ vgl. Präsentation von RegTP „Wie signiert der Anwender“ ⁶ vgl. http://de.wikipedia.org/wiki/Kryptographie ⁷ vgl. „Digitale Signaturen“ (Andreas Bertsch)

5

Vertraulichkeit

Im Internet herrscht oft Unsicherheit über die Weitergabe von Informationen. Man denke nur an das ungute Gefühl, das bei der Weitergabe von Kreditkarten-Informationen auftaucht. Kein unbefugter Dritter soll in der Lage sein, an den Inhalt einer Nachricht bzw. einer Datei zu gelangen. Das Mittel der Wahl zur Sicherstellung dieser Vertraulichkeit ist die Kryptographie, die Verschlüsselung von Informationen. Durch Verschlüsselung, aber nicht direkt durch die elektronische Signatur, kann diese Vertraulichkeit umgesetzt werden.

Integrität

Beim Empfang einer E-Mail geht man davon aus, dass man sie exakt so erhält, wie sie versendet wurde. Aber wie kann man sich wirklich sicher sein? Für den Geschäftsverkehr über das Internet ist diese Gewissheit sehr relevant. Integrität bedeutet, dass der Inhalt eines Dokumentes nicht unbemerkt verändert werden kann. Dies kann man in der Kryptographie durch so genannte Hashwerte, d.h. Einweg-Komprimate erreichen. Die elektronische Signatur benutzt verschlüsselte Hashwerte, auch „Message Digests“ genannt, des eigentlichen Dokuments und bestätigt damit dem Empfänger einer signierten Nachricht die Integrität dieser Daten.

Authentizität

Authentizität ist der Identifikations- und Herkunftsnachweis. Niemand soll sich als Verfasser einer Nachricht ausgeben können, die er nicht geschrieben hat. Die Konsequenzen wären fatal, wenn sich bei wichtigen Verträgen herausstellen sollte, dass die Unterschriften gefälscht sind. Um die Identität einer Person festzustellen, bedarf es gewisser Informationen (Wissen dieser Person). Wissen kann zum Beispiel eine PIN sein. Ein Beispiel für den Besitz ist eine Karte, während der Fingerabdruck ein Exempel für eine spezifische Eigenschaft ist. Entweder werden alle Informationen zur Bestimmung der Identität abgefragt, oder nur Teile davon. So ist z.B. durch die Benutzung einer Signaturkarte und durch die Kenntnis der zugehörigen PIN die notwendige Authentizität angezeigt und gesichert.

Verbindlichkeit

Wichtig ist, dass der Urheber eines Dokumentes seine Urheberschaft nicht abstreiten kann. Man denke nur an einen potenziellen Rechtsstreit, bei dem der Gegenüber leugnet, dass er der Verfasser ist. Durch die Änderungen des BGB ist die elektronische Signatur in vielen Fällen der handschriftlichen Unterschrift gleichgestellt. Daher muss es dieselbe Verbindlichkeit geben. Auch bei Dokumenten, wie einem Jahresabschluss oder einer Einkommenssteuererklärung, ist die sichere Verbindlichkeit von Nöten. Durch die Elektronische Signatur erreicht man neben der Integrität und Authentizität auch die gewünschte Verbindlichkeit.

6