Einsatzmöglichkeiten der digitalen Signatur in der Automobil- und Zulieferindustrie

Inhaltsverzeichnis

1 Einleitung

2 Rechtliche Grundlagen
2.1 Gesetzliche Grundlage
2.2 Rechtliche Bedeutung
2.2.1 Gesetzliche Formen
2.2.2 Vereinbarte Formen
2.2.3 Beweiswert der digitalen Signatur

3 Funktionsweise und verschiedene Arten von Digitalen Signaturen
3.1 Signaturverfahren
3.2 Public-Key-Infrastruktur
3.3 Elektronische Signaturen ohne Erfüllung der Schriftformerfordernis
3.3.1 Einfache elektronische Signatur
3.3.2 Fortgeschrittene elektronische Signatur
3.4 Elektronische Signaturen mit Erfüllung der Schriftformerfordernis
3.4.1 Qualifizierte elektronische Signatur
3.4.2 Qualifizierte elektronische Singnatur mit Anbieterakkreditierung

4 Anwendungsbereiche
4.1 Kommunikation
4.1.1 Virtuelle Poststelle
4.1.2 e-Billing
4.2 Workflow
4.3 Dokumentenmanagement und Archivierung
4.3.1 Anforderungen an die rechtssichere Langzeitarchivierung
4.3.2 Elektronische Patentakte
4.3.3 Qualitätssicherung

5 Fazit

6 Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Voraussetzungen der Formbestimmungen [Mue2002]

Abbildung 2: Digitale Unterschrift [NetAsInc]

Abbildung 3: Signaturerstellung [Loe2004]

Abbildung 4: Signaturprüfung [Loe2004]

Abbildung 5: Zertifikatshierarchie [RegTP]

Abbildung 6: Optimierungspotenziale durch den Einsatz digitaler Signaturen

Abbildung 7: Virtuelle Poststelle [Pohl2004]

Abbildung 8: Billing Portal [Schn2004]

Abbildung 9: Workflow Management [Sap2004]

Abbildung 10: Einsatz von Signaturen zur papierlosen Prozessabwicklung (vgl. [BalWe2003])

1 Einleitung

Unternehmen bedienen sich bei der Gestaltung ihrer Geschäftsprozesse immer häufiger der Hilfsmittel Internet, Intranet und e-Mail, um durch eine Vereinfachung der Kommunikation Kosten- und Wettbewerbsvorteile zu erlangen. Rechnungen, Geschäftsbriefe und sonstige Korrespondenzen werden heutzutage mit Computern verfasst. Um die Rechtsverbindlichkeit dieser Dokumente herzustellen, werden sie meist ausgedruckt und mit der Hand unterschrieben. Als wesentliche Vereinfachung wäre es daher erstrebenswert, die Funktionalität einer Unterschrift für elektronische Daten zu realisieren.

Rechtsverbindliche Verträge sind nur bei Authentizität^[1] der Vertragspartner, der Integrität^[2] des Inhalts und der Verbindlichkeit^[3] des Handelns möglich. Wie kann man allerdings in der digitalen Welt zweifelsfrei sicherstellen, welche Person hinter einem Geschäftsprozess steckt? In der „papierbasierten“ Welt geschieht dies durch die Unterschrift des Autors. Diese Unterschrift hat den Zweck, den Text zu bestätigen und diesen an die unterschreibende Person zu binden. Anhand der identifizierenden Eigenschaft der Unterschrift ist überprüfbar, ob der Text tatsächlich von einer bestimmten Person stammt.

Der eigenhändigen Unterschrift können generell Identitäts-, Abschluss-, Beweis- und Warnfunktion zugeordnet werden. Wie lässt sich dies jedoch auf digitale Dokumente übertragen? Eine Lösung hierfür bietet die digitale Signatur^[4]. Diese gewährleistet die Authentizität der Kommunikationspartner und die Unversehrtheit der übertragenen Daten. Eine wesentliche Verbesserung für die Geschäftswelt bringt das Vertrauen der Anwender in die Rechtssicherheit, deren juristische Grundlage das Signaturgesetz ist. Die digitale Signatur kann folglich als die „Enabling Technology“ für rechtsverbindliche Geschäfte und Transaktionen über das Internet bezeichnet werden.

Gleich zu Beginn soll hier betont werden, dass digitale Signaturen keine Vertraulichkeit gewährleisten. Dies ist ein weit verbreiteter Irrtum. Wird der digital signierte Text elektronisch ausgetauscht, so ist er für jedermann lesbar. Nur durch den Einsatz zusätzlicher Verschlüsselungsmechanismen kann die Vertraulichkeit erreicht werden.

Ziel dieser Arbeit ist es, die digitale Signatur und ihre Einsatzmöglichkeiten in der Automobil- und Zulieferindustrie näher zu beleuchten. Dazu soll zuerst auf die rechtlichen Grundlagen eingegangen werden. Danach erfolgt eine vertiefte Betrachtung der Funktionsweise und der verschiedenen Arten von digitalen Signaturen. Abschließend werden die verschiedenen Anwendungsmöglichkeiten der digitalen Signatur aufgezeigt.

2 Rechtliche Grundlagen

Der elektronische Versand von Daten betrifft viel mehr Kommunikationsteilnehmer als nur den Sender und den Empfänger. Der Sender verschickt die Daten. Diese gelangen über seinen Provider über evtl. weitere Provider zum Empfänger. Weiterhin sind noch verschiedene Telekommunikationsunternehmen als Leitungsanbieter für die Kommunikation daran beteiligt.

Es stellen sich nun folgende rechtliche Fragen:

- Wer haftet für Kommunikationsfehler?
- Wo und wann findet ein evtl. Vertragsschluss statt?
- Wie kann bewiesen werden, welche Daten von wem, wann gesendet und empfangen wurden?

2.1 Gesetzliche Grundlage

Gesetzliche Grundlagen für digitale Signaturen sind das Signaturgesetz (SigG) und die Signaturverordnung (SigV). Das erste Signaturgesetz trat am 01. August 1997 als Art.3 des Informations- und Kommunikationsdienstegesetzes (IuKDG) in Kraft. Deutschland war damals der erste Staat, der ein solches Gesetz auf nationaler Ebene verabschiedet hat. Es gab davor nur wenige Vorläufer in einzelnen amerikanischen Bundesstaaten (z.B. Utah).

Am 19. Januar 2000 trat die Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für digitale Signaturen in der EU in Kraft [EuRi2000]. Diese wurde nötig, da in den einzelnen EU-Staaten unterschiedliche rechtliche Regelungen zur Anerkennung elektronischer Signaturen existierten, wodurch der elektronische Geschäftsverkehr stark verkompliziert wurde. Diese EU-Richtlinie hatte eine Novellierung des deutschen Signaturgesetzes zur Folge. Das heutige Signaturgesetz trat am 22. Mai 2001 als Umsetzung der EU-Signaturrichtlinie in Kraft. In Anlehnung an diese werden im SigG folgende Formen der digitalen Signatur unterschieden: einfache Signaturen (§2 I SigG), fortgeschrittene Signaturen (§2 II SigG), qualifizierte Signaturen (§2 III SigG) und qualifizierte Signaturen mit Anbieter- Akkreditierung (§15 SigG).

Die Anerkennung von digitalen Signaturen im Rechtsverkehr wurde durch das Formvorschriftenanpassungsgesetz (FormVAnpG) vom 13. Juli 2001 festgesetzt.

2.2 Rechtliche Bedeutung

Um die rechtliche Bedeutung von digitalen Signaturen zu untersuchen, muss zuerst geklärt werden, welche Formen für die Abgabe von Willenserklärungen existieren. Generell ist der Rechtsgeschäftsverkehr formfrei. Allerdings schreibt das Bürgerliche Gesetzbuch [BGB2002] an manchen Stellen eine bestimmte Form vor. Außerdem muss beachtet werden, dass die Geschäftspartner frei sind eine Form zu vereinbaren, wenn gesetzlich keine bestimmte Form vorgeschrieben ist.

2.2.1 Gesetzliche Formen

Das Bürgerliche Gesetzbuch (BGB) kennt folgende Formen: Textform, Schriftform, notarielle Beurkundung, öffentliche Beglaubigung und die elektronische Form. Ist eine dieser Formen durch das BGB vorgeschrieben, so führt die Nichteinhaltung der Formvorschrift zur Nichtigkeit der gesamten Erklärung (§125 BGB).

Die Textform ist in §126b BGB geregelt. Textform bedeutet, dass eine Erklärung schriftlich auf Papier oder einem dauerhaften Datenträger abgegeben wurde und der Verfasser genannt ist. Desweiteren muss der Abschluss der Erklärung durch Nachbildung der Namensunterschrift erkennbar gemacht werden. Somit genügt es, ein elektronisches Dokument mit einer einfachen Signatur^[5] zu versehen, um die Anforderungen der Textform zu erfüllen.

Für bestimmte Verträge sieht das BGB die Schriftform vor. Nach §126 I BGB wird zur Wahrung der Schriftform die eigenhändige Unterschrift des Ausstellers auf dem Schriftstück benötigt. Handelt es sich um einen Vertrag, so müssen alle Beteiligten auf der gleichen Urkunde unterschreiben.

Im Rahmen des FormVAnpG [FoGe2001] wurde die elektronische Form der Schriftform grundsätzlich gleichgestellt. Die elektronische Form (§126a BGB) wird dadurch gewahrt, dass der Verfasser eines elektronischen Dokumentes diesem seinen Namen hinzufügt und das Dokument mit einer qualifizierten elektronischen Signatur^[6] versieht. Als Folge daraus muss also beim Vertragsschluss das gleiche elektronische Dokument von allen Vertragspartnern signiert werden. Einige Rechtsgeschäfte (wie z.B. die Kündigung eines Arbeitsvertrages) sind in §126 III BGB von der elektronischen Form allerdings explizit ausgeschlossen.

2.2.2 Vereinbarte Formen

Wenn gesetzlich keine bestimmte Form vorgeschrieben ist, steht es den Geschäftspartnern frei, eine beliebige Form zu vereinbaren^[7]. Dies dient in der Regel dazu, die Beweisbarkeit im Disputfall zu erhöhen. Wird bei der gewillkürten Form (§127 BGB) die Schrift- oder elektronische Form festgelegt, so sieht das BGB Erleichterungen der Formvorschrift vor. Die gewillkürte Schriftform erlaubt die Faxübertragung und den Vertragsabschluss per Briefwechsel^[8]. Wird die elektronische Form vereinbart, so genügt es einfache oder fortgeschrittene Signaturen zu verwenden und Verträge können durch den Austausch signierter Angebots- und Annahmeerklärungen^[9] geschlossen werden. Das Gesetz steht allerdings jedem Vertragspartner die Möglichkeit zu, von dem anderen die Einhaltung der Vorschriften der gesetzlichen Form zu verlangen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Voraussetzungen der Formbestimmungen [Mue2002]

2.2.3 Beweiswert der digitalen Signatur

In §292a der Zivilprozessordnung (ZPO) ist der so genannte „Anscheinsbeweis” geregelt. Dieser besagt, dass Dokumente, die mit einer elektronischen Signatur entsprechend des Signaturgesetzes versehen sind, einen höheren Beweiswert erfahren. Dieser Beweis lässt sich nur erschüttern, wenn stichhaltig bewiesen werden kann, dass die Erklärung nicht mit dem Willen des Signaturschlüsselinhabers abgegeben worden ist.

Beispielsweise bestellt der Kunde (K) eine Kamera bei einem Versandhaus (V) mittels einer qualifiziert signierten E-Mail. V liefert diese. K behauptet jedoch keine Bestellung getätigt zu haben und verweigert die Zahlung der Kamera. V verklagt den K auf Kaufpreiszahlung. Nach §292a ZPO besitzt die qualifiziert signierte Bestellung die Eigenschaft des Anscheinsbeweises. V muss lediglich nachweisen, dass es sich tatsächlich um eine qualifizierte Signatur nach §2 III SigG handelt. K kann diesen Beweis nur erschüttern, indem er nachweist, dass die Bestellung ohne seinen Willen getätigt wurde (z.B. wurde seine PIN ausspioniert und seine digitale Signatur missbräuchlich verwendet). Gelingt ihm dies nicht, so gilt der Vertrag als rechtskräftig geschlossen und K muss den Kaufpreis an V bezahlen.

Einfache und fortgeschrittene digitale Signaturen besitzen auf Grund ihrer leichten Fälschbarkeit die rechtliche Eigenschaft des Anscheinsbeweises nicht. Somit lässt sich zusammenfassend sagen, dass sich einfache und fortgeschrittene Signaturen nicht eignen, um rechtsverbindliche Dokumente zu signieren, wohingegen qualifizierte digitale Signaturen und akkreditierte digitale Signaturen bedenkenlos genutzt werden können, da diese den Anscheinsbeweis erfüllen.

3 Funktionsweise und verschiedene Arten von Digitalen Signaturen

Nach Klärung der rechtlichen Details zum Einsatz digitaler Signaturen sollen als nächstes das prinzipielle Signaturverfahren und die verschiedenen, in 2.1 genannten Arten von Signaturen näher betrachtet werden. Dazu wird zuerst die Funktionsweise von asymmetrischen kryptografischen Verfahren erklärt, da außer den einfachen Signaturen alle anderen Arten darauf basieren. Dabei wird auch auf Public-Key-Infrastrukturen (PKI) eingegangen. Danach werden die einzelnen Signaturtypen als Fortsetzung des letzten Kapitels in elektronische Signaturen, welche die Schriftformerfordernis erfüllen und solche, die sie nicht erfüllen, unterteilt und ihre speziellen Eigenschaften dargestellt.

3.1 Signaturverfahren

Im Gegensatz zur symmetrischen Verschlüsselung, bei welcher beide Kommunikationspartner denselben geheimen Schlüssel benutzen, wird bei asymmetrischen Verfahren bei der Signaturbildung ein anderer Schlüssel eingesetzt als bei der Signaturprüfung. Hierzu wird benutzerbezogen ein Schlüsselpaar erzeugt, d.h. es existieren pro Benutzer zwei verschiedene, aber zueinander passende Schlüssel. Der Signaturschlüssel (bzw. privater Schlüssel, Private Key) wird zur Erzeugung der Signatur verwendet und muss absolut geheim gehalten werden. Der Verifikationsschlüssel (bzw. öffentlicher Schlüssel, Public Key) wird öffentlich bekannt gegeben und dient zur Verifizierung der Signatur. Somit kann mit dem privaten Schlüssel eine digitale Signatur erzeugt und mit dem zugehörigen öffentlichen Schlüssel verifiziert werden. Will man zusätzlich die Authentizität der öffentlichen Schlüssel sicherstellen, bedarf es einer persönlichen Übergabe dieser bzw. einer Sicherungsinfrastruktur mit einem so genannten "vertrauenswürdigen Dritten", der die Zuordnung einer Person zu einem öffentlichen Schlüssel bestätigt. Um der Gefahr vorzubeugen, dass jemand einen öffentlichen Schlüssel unter falschem Namen veröffentlicht, ist es notwendig, dass sich alle Teilnehmer gegenüber diesem von allen als vertrauenswürdig anerkannten Dritten identifizieren. Diese Methode ermöglicht, dass sich zwei oder mehrere Personen auf einen Kryptografieschlüssel einigen können, ohne sich jemals begegnet zu sein.

Kaum ein kryptografisches Lehrbuch kann auf Alice und Bob verzichten, ohne die niemand in die Kryptografie eingeführt werden kann. Somit sollen sie auch an nachfolgendem Beispiel zur Einführung der asymmetrischen Verschlüsselung in Verbindung mit digitalen Signaturen teilnehmen. Wollen beispielsweise Bob und Alice digitale Signaturen anwenden, so benötigt jeder von ihnen ein individuelles Schlüsselpaar. Die Schlüsselerzeugung erfolgt in einer sicheren Umgebung beim Anwender, also bei Alice und Bob, oder bei einem vertrauenswürdigen Dritten. Dabei ist es am sichersten, das Schlüsselpaar auf einer individuellen Chipkarte zu generieren und den privaten Schlüssel niemals aus dieser zu exportieren. Die jeweiligen öffentlichen Schlüssel werden dann zwischen Bob und Alice ausgetauscht.

Betrachten wir nun folgenden, vereinfachten Ablauf des Signierens:

1. Alice chiffriert ihr Dokument mit ihrem privaten Schlüssel, wodurch sie das Dokument unterzeichnet.
2. Alice sendet das unterzeichnete Dokument an Bob.
3. Bob dechiffriert das Dokument mit Alice öffentlichem Schlüssel, wodurch er die Echtheit der Unterschrift überprüft. Wenn Bob diesen Schritt nicht durchführen kann, weiß er, dass die Unterschrift nicht von Alice stammt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Digitale Unterschrift [NetAsInc]

Da es nicht möglich sein soll, digitale Signaturen zu fälschen bzw. von einem Dokument auf ein anderes zu übertragen, muss eine digitale Signatur sowohl von dem zu signierenden Dokument als auch vom Signierer abhängen. Die Abhängigkeit der Signatur vom signierenden Dokument ist trivial, da genau dieses chiffriert wird, und so in den Signaturprozess mit einfließt. Die zweite Bedingung wird erfüllt, indem als individuelles Merkmal von Alice deren geheimer Schlüssel bei der Erstellung der Signatur mit einbezogen wird. Dies ermöglicht die eindeutige Identifizierung des Signierenden (in diesem Fall von Alice).

Bei langen Dokumenten ist in der Praxis die Unterzeichnung durch Chiffrierung mit dem privaten Schlüssel nicht effizient. Aus Gründen der Zeitersparnis werden digitale Signaturen deshalb mit Hash-Funktionen implementiert. Statt das Dokument zu signieren, unterschreibt Alice dessen Hashwert. In diesem Fall müssen sowohl die
Hash-Funktion (z.B. SHA-1^[10] ), als auch der Algorithmus zur elektronischen Unterschrift (z.B. RSA^[11] ) im Voraus vereinbart werden.

[...]

^[1] Authentizität bezeichnet die Echtheitseigenschaft. Für eine Nachricht bedeutet dies die Integrität der Nachrichtenquelle. So ist z.B. ein Dokument authentisch, wenn sein erklärter Autor auch der tatsächliche Autor ist. Allgemein bedeutet Authentizität, dass der Kommunikationspartner wirklich derjenige ist, für den er sich ausgibt. (vgl. [BalWe2003])

^[2] Eine unautorisierte Modifikation der Daten soll erkennbar sein.

^[3] Die Ausführung einer Aktion kann nicht abgestritten werden.

^[4] Die Begriffe „digitale Signatur“ und „elektronische Signatur“, wie die Bezeichnung in den Gesetzestexten lautet, werden in dieser Studienarbeit synonym verwendet.

^[5] Zur Erklärung des Begriffes „einfache elektronische Signatur“ s. Abschnitt 3.2.1.

^[6] Zur Erklärung des Begriffes “qualifizierte elektronische Signatur“ s. Abschnitt 3.3.1.

^[7] Man spricht daher auch von der gewillkürten Form.

^[8] D.h. die Unterschriften der beiden Vertragspartner befinden sich auf zwei verschiedenen Dokumenten.

^[9] Es handelt sich also um zwei verschiedene Dokumente, die jeweils nur eine Signatur tragen.

^[10] Weiterführende Informationen zum SHA-Standard findet der geneigte Leser unter [Ansi95].

^[11] RSA – von den Mathematikern Rivest, Shamir und Adleman entwickeltes und nach ihnen benanntes asymmetrisches Verschlüsselungsverfahren [RSA1978]