Die Bedeutung der digitalen Signatur im In- und Ausland

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Die Unterschrift als Beweis der Willenserklärung

2 Allgemeine Grundlagen elektronischer Signaturverfahren
2.1 Funktionsweise des asymmetrischen Signaturprozesses
2.2 Terminologie der digitalen und der elektronischen Signatur
2.3 Sicherheitsrelevante Aspekte der digitalen Signatur
2.4 Fazit

3 Rechtliche Rahmenbedingungen der elektronischen Unterschrift
3.1 Das Signaturgesetz und die Signaturverordnung von 1997
3.2 Die Europäische Signaturrichtlinie von 1999
3.3 Die Novellierung des Signaturgesetzes von 2001
3.4 Überblick über die Anpassung in den einzelnen Rechtsgebieten
3.5 Fazit

4 Praktische Anwendung der digitalen Signatur
4.1 Die digitale Signatur zur Prozessoptimierung
4.2 E-Government – Die digitale Signatur im öffentlichen Bereich
4.3 E-Billing – Die Elektronische Rechnungsstellung
4.4 E-Banking – Die digitale Signatur im Bankenbereich
4.5 Die eCard-Strategie der Bundesregierung

5 Gegenwart und Zukunft der digitalen Signatur

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Das Signatursystem

Abbildung 2: Einfluss von Signaturen im Unternehmen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Die Unterschrift als Beweis der Willenserklärung

Seit Jahrhunderten ist die eigenhändige Unterschrift von zentraler Bedeutung. Verträge, Bestellungen, Rechnungen, amtliche Dokumente, aber auch Geldgeschäfte werden damit beglaubigt und erlangen somit Rechtsverbindlichkeit. Denn mit einer Unterschrift setzen Vertragspartner ein vor Gericht anerkanntes Zeichen, dass sie an den unterzeichneten Inhalt eines Dokuments gebunden sein wollen.

Im digitalen Zeitalter kommt der Unterschrift jedoch eine neue Bedeutung zu, da immer mehr Geschäfte und Transaktionen online abgewickelt werden. Handelte es sich bei dem Internet zunächst um ein verteidigungspolitisches Instrument, ist es heute aus vielen Bereichen des Alltags nicht mehr wegzudenken. Mit der Entdeckung des sich daraus ergebenden wirtschaftlichen Potentials eröffnen sich nicht nur Möglichkeiten des schnellen Informations- und Datentransfers, sondern auch neue kommerzielle Betätigungsfelder. Warenbestellungen, Zahlungsanweisungen an Banken, Anträge oder Einsprüche bei Behörden, die Übermittlung sensibler Daten im medizinischen Bereich sowie eine Vielzahl weiterer Kommunikationsbeziehungen die in der Vergangenheit über Papier abgewickelt wurden, können heute und in Zukunft größtenteils auf elektronischem Wege erfolgen (vgl. BSI 2006a; Kunstein 2004, S.6). Das Papier als klassischer Informationsträger soll in vielen Bereichen abgelöst werden, da seine Verarbeitung und Archivierung zeit- und kostenaufwendiger ist, als die Nutzung elektronischer Daten (vgl. Lenz & Schmidt 2001, S.9).

Da das Internet nach Rudinger (2002, S.54) jedoch ein offenes System ist, welches sich zur Kommunikation unsicherer Kanäle bedient, die weder vor Übertragungsfehlern noch vor Angriffen durch Dritte geschützt sind, gehen mit der Entwicklung dieses Mediums bestimmte Gefahren einher: diese ergeben sich zum einen aus dem Fehlen der persönlichen Unmittelbarkeit zwischen den kommunizierenden Personen, auf Grund dessen es für die beteiligten Personen nicht feststellbar ist, ob der Absender der vorgestellten Person wirklich entspricht. Zum anderen lassen sich über das Internet gesendete Daten und elektronisch erstellt Dokumente verändern, ohne dass der Inhalt oder überhaupt die Tatsache der Veränderung sich später feststellen lassen. Dabei werden an die übertragenen Informationen zwei wichtige Anforderungen gestellt:

1. Der Empfänger einer elektronisch übermittelten Nachricht muss zweifelsfrei
feststellen können, wer der Absender ist (Authentizität und Nichtabstreitbarkeit).
2. Es muss weiterhin ausgeschlossen werden, dass die Daten entweder durch die
Beteiligten selbst oder durch unbefugte Dritte unbemerkt manipuliert oder verfälscht werden können (Integrität) (vgl. BSI 2006b).

Hier eröffnet sich das Einsatzgebiet elektronischer Signaturen: Mit Hilfe von kryptographischen Verfahren soll die Integrität und die Authentizität elektronisch übermittelter Nachrichten sichergestellt werden. „Sie sind die Schlüsseltechnologien des elektronischen Geschäftsverkehrs, die für die Rechtsicherheit in modernen Kommunikationsbeziehungen sorgen sollen“ (vgl. Rapp 2002, S.2).

Vor diesem Hintergrund ist es Ziel der vorliegenden Arbeit, die Bedeutung der elektronischen Unterschrift im Zeitalter digitaler Medien zu analysieren. Dazu soll zunächst die Funktionsweise digitaler Signaturen erklärt werden, um dann der Frage nachzugehen, inwieweit digitale Signaturen den eigenhändigen Unterschriften rechtlich gleichgestellt sind. Denn nur wenn rechtliche Rahmenbedingungen gegeben sind, kann die digitale Unterschrift in einer Vielzahl von Anwendungsbereichen umgesetzt werden. Einige beispielhafte praktische Anwendungen sollen am Ende der Arbeit aufzeigen, welche Bedeutung elektronische Signaturen sowohl im privaten als auch im öffentlichen und wirtschaftlichen Bereich einnehmen.

2 Allgemeine Grundlagen elektronischer Signaturverfahren

Bevor die rechtlichen Rahmenbedingungen elektronischer Signaturen dargestellt werden, soll zunächst die grundlegende Funktionsweise der digitalen Signatur dargelegt werden, um diese dann in einem nächsten Abschnitt in den Kreis der elektronischen Signaturen einordnen zu können. Am Ende des Kapitels soll die Sicherheit von Signaturverfahren evaluiert werden.

2.1 Funktionsweise des asymmetrischen Signaturprozesses

Eine elektronische Unterschrift ist keine persönliche Unterschrift, die nach oder während des eigenhändigen Unterschreibens digitalisiert wird (vgl. Lenz & Schmidt 2001, S.12), sondern eine (hexadezimal) Zahl mit konstanter Länge, die durch ein Verschlüsselungs-verfahren generiert wird und am Ende einer elektronischen Nachricht steht. Zum Erstellen dieser konstanten Zahl existieren verschiedene symmetrische und asymmetrische Verfahren, wobei in dieser Arbeit nur auf das asymmetrische Verfahren eingegangen werden soll. Das Aussehen einer digitalen Signatur – zum Beispiel „ArI/Aw678hG/asjda+98h6cy4 – erinnert an zufällig zusammengewürfelte Buchstaben und Zahlenkombinationen und ist auf Grund ihrer Textabhängigkeit für jedes Dokument unterschiedlich (vgl. Rapp 2002, S.9).

Fortgeschrittene und qualifizierte elektronischen Unterschriften (siehe Kapitel 3), der auch die digitale Signatur zuzuordnen ist, basieren heute auf Verfahren der asymmetrischen Kryptographie (vgl. Bertsch 2002, S.9). Wie in Abbildung 1 zu sehen ist, besitzt dabei jeder Teilnehmer in dieser Art der Kommunikation ein Schlüsselpaar, bestehend aus einem geheimen privaten Schlüssel (private key) und einem öffentlichen Schlüssel (public key).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Das Signatursystem (vgl. BSI 2006a)

Der private Schlüssel wird vom Signaturersteller geheim gehalten, sodass kein Unbefugter mit diesem Schlüssel Signaturen erstellen kann. Der öffentliche Schlüssel wird hingegen allen Kommunikationspartnern zur Verfügung gestellt und dient der Überprüfung der Signatur (vgl. Bertsch 2002, S. 9; Grimm 2003, S.91). Das kryptographische Verfahren stellt sicher, dass eine Signatur, die sich mit dem öffentlich zugänglichen Schlüssel prüfen lässt, nur mit dem dazugehörigen privaten Schlüssel erstellt worden sein kann und deshalb dem Inhaber dieser Schlüssel zugerechnet werden muss (vgl. BSI 2006b; Grimm 2003, S.91).

Um ein Dokument (den so genannten Klartext) elektronisch zu unterschreiben, wird zunächst ein Kontrollabzug des Dokuments erstellt, der so genannte Hash. Dieser Hashwert wird dann mit dem privaten Schlüssel (der z.B. auf einer SmartCard oder einem USB-Stick gespeichert ist) verschlüsselt. Der so verschlüsselte Text dient als Signatur und wird gemeinsam mit dem unverschlüsselten Klartext versendet (vgl. Grimm 2003, S. 91). Der Empfänger der signierten Nachricht kann sich den öffentlichen Schlüssel entweder direkt beim Absender oder in öffentlichen Trustcentern^[1] besorgen um damit den Hashwert zu entschlüsseln. Stimmen beide Kontrollabzüge überein, steht fest, dass der gesendete und der empfangene Text gleich sind und dass es weder Manipulation, noch Übertragungsfehler gegeben hat. Es steht aber auch fest, dass nur der Absender, der im Besitz des geheimen Schlüssels ist, die Nachricht signiert haben kann, weil sonst der öffentliche Schlüssel nicht passen würde (vgl. TeleTrusT 1999).

2.2 Terminologie der digitalen und der elektronischen Signatur

Fälschlicherweise werden digitale Signaturen oft als Synonym für elektronische Signaturen verwendet (vgl. Kunstein 2003, S.46). Faktisch ist die digitale Signatur jedoch nur eine Form der elektronischen Signatur und bisher die „einzige mit marktwirksamen Anwendungen“ (Lenz & Schmidt 2001, S.14). Da der Begriff der digitalen Signatur ein technologisches Konzept beschreibt (siehe Kapitel 2.1), elektronische Unterschriften dagegen alle möglichen Arten der elektronischen Authentifizierung umfassen (auch solche die keine besonderen technischen Verfahren voraussetzen), ist der Begriff der elektronischen Signatur weiter als der der digitalen Signatur. Eine eingescannte Unterschrift kann also eine elektronische Unterschrift sein, genügt jedoch nicht den Anforderungen einer digitalen Signatur, da diese weder mit einem technischen Verfahren generiert, noch kryptographisch mit der Nachricht verbunden ist (vgl. Kunstein 2003, S.47). Da diese Arbeit nicht von allen elektronischen Signaturen ausgeht, sondern nur von kryptographisch mit der Nachricht verbundenen, wird im Folgenden der Begriff digitale Unterschrift oder digitale Signatur verwendet.

2.3 Sicherheitsrelevante Aspekte der digitalen Signatur

Elektronische Signaturen können mit verschiedenen Verfahren auf unterschiedlichen Sicherheitsniveaus realisiert werden (vgl. BSI 2006b). Wie eben beschrieben, zählt auch eine eingescannte Unterschrift zur Gruppe der elektronischen Signaturen. Das Sicherheitsniveau bei dieser Form der Unterschrift ist jedoch sehr gering, da diese Unterschrift beliebig kopiert und von jedem verwendet werde kann, da sie nicht kryptographisch mit dem Dokument verbunden ist.

Im Gegensatz dazu erfüllen qualifizierte elektronische Unterschriften (digitale Signaturen) eine Reihe von besonderen Sicherheitsanforderungen, die eine Fälschung solcher Signaturen mit den heute verfügbaren technischen Mitteln ausschließt. Die zuvor genannten öffentlichen und privaten Schlüssel zur Erstellung und Prüfung einer Signatur bestehen aus so genannten Algorithmen und stehen in einem bestimmten mathematischen Verhältnis zueinander (vgl. TeleTrusT 1999). Die Sicherheit der digitalen Signatur bezieht sich nun darauf, dass trotz der öffentlichen Bekanntgabe der Algorithmen und der öffentlichen Schlüssel die Komponenten der privaten Schlüssel mit realistischem Aufwand nicht berechnet werden können, wenn die Schlüssel lang genug gewählt werden. Das Herausfinden eines geheim gehaltenen privaten Schlüssels ist demnach mit technischen Mitteln und nach heutigem Stand der Technik nicht realisierbar. Mit Blick in die Zukunft muss jedoch gesagt werden, dass es durch die Entwicklung des „DNA-Computers“ oder des „Quantencomputers“ theoretisch möglich sein wird, den privaten Schlüssel zu entschlüsseln (vgl. Grimm 2000).

Neben der Sicherheit die vom mathematischen Wesen der Schlüssel aus gegeben ist, wird die Sicherheit der eingesetzten kryptographischen Verfahren laufend vom Bundesamt für Sicherheit in der Informationstechnologie bewertet (BSI). Danach dürfen nur solche Verfahren eingesetzt werden, die eine Manipulation oder Fälschung von Signaturen nach dem Stand der Technik ausschließen.

Ein weiteres wesentliches Sicherheitskriterium ist der Schutz des privaten Schlüssels. Um zu verhindern, dass dieser Schlüssel in die Hände Dritter gelangt, wird er in einer sicheren Signaturerstellungseinheit (z.B. Chipkarte) gespeichert. Auf dieser Karte erfolgt dann auch die Signaturerzeugung. „Der Chipkartenhersteller muss dabei in einem Prüf- und Bestätigungsverfahren nachweisen, dass ein Auslesen des Schlüssels aus der Chipkarte nicht möglich ist und dass der Signaturalgorithmus auf der Chipkarte sicher implementiert ist“ (vgl. BSI 2006b). Geht die Karte verloren, kann der Signaturanwender sein Zertifikat und die Karte rund um die Uhr sperren lassen. Über den richtigen Umgang mit der Chipkarte werden die Anwender in einer gesetzlich vorgeschriebenen Unterweisung informiert.

[...]

^[1] Privates Unternehmen, welches als Zertifizierungsdienstanbieter öffentliche Schlüssel in einem
telefonbuchartigen Verzeichnis aufnimmt und die Zuordnung dieser Schlüssel zu Personen
übernimmt (vgl. BSI 2006a).