Elektronische Signatur

Die elektronische Signatur, die in Deutschland frühzeitig durch ein Gesetz eingeführt wurde, gewinnt insbesondere im Zusammenhang mit dem elektronischen Handel als eine der wichtigsten Anwendungen im Internet an Bedeutung.

Der Nachweis der Authentizität von Nachrichten, die Identifizierung des Absenders, die sichere Übermittlung, Verfälschungssicherheit und Speicherung stellen besondere Anforderungen an Technik und Verfahren.

Definition aus Wikipedia:

Unter einer elektronischen Signatur versteht man mit elektronischen Informationen verknüpfte Daten, mit denen man den Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten elektronischen Informationen prüfen kann. In der Regel handelt es sich bei den elektronischen Informationen um elektronische Dokumente. Die elektronische Signatur erfüllt somit technisch gesehen den gleichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten. Sie ist eine Umsetzung des elektronischen Identitätsnachweises (eID).
Für bestimmte Bereiche stellen die nationalen Gesetzgeber zusätzliche Anforderungen an elektronische Signaturen. In manchen Ländern, wie Finnland, Estland oder Österreich ist die elektronische Signatur dann der handschriftlichen Unterschrift rechtlich völlig gleichgestellt, auch die mobile Signatur (Mobile-ID) mit dem Mobiltelefon.

Begriffe und Abgrenzungen

Abgesehen von der Absicherung finanzieller Transaktionen gehört auch die digitale Signatur zu den wesentlichen Voraussetzungen für den nachvollziehbaren und sicheren Abschluß von Geschäften bei Electronic Commerce und im Internet. Das in Deutschland im August 1997 in Kraft getretene Signaturgesetz (SigG) wird daher als Durchbruch für E-Commerce-Anwendungen gesehen. Das Gesetz soll die Rahmenbedingungen für digitale Signaturen schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen signierter Daten zuverlässig festgestellt werden können. Das Gesetz bezieht auch digitale Signaturen von Mitgliedstaaten der Europäischen Union ein. Mit anderen Staaten sind überstaatliche oder zwischenstaatliche Vereinbarungen über die Anerkennung zu treffen.
Da im Zusammenhang mit der digitalen Signatur oft weitere Begriffe wie elektronische oder gescannte Unterschriften auftauchen, folgen zunächst wesentliche Begriffsklärungen.

Gescannte Unterschrift

Eine gescannte Unterschrift ist eine mittels Scanner digitalisierte manuelle Unterschrift. Gescannte Unterschriften werden häufig bei Massenaussendungen benutzt, um den Empfängern einen ”persönlichen” Eindruck zu vermitteln. Eine gescannte Unterschrift besitzt keine rechtliche Relevanz.

Elektronische Unterschrift

Unter einer elektronischen Unterschrift wird oft eine über die Benutzerverwaltung kontrollierte Genehmigung in unternehmensinternen Systemen (z.B. Workflow-Systeme) verstanden. Hier dient die elektronische Unterschrift zur Steuerung interner Abläufe in der Sachbearbeitung, der Mitzeichnung oder der Freigabe. Im Außenverhältnis haben solche elektronischen Unterschriften keine rechtliche Bedeutung. Im Innenverhältnis ist eine Protokollierung der Abläufe und Nutzung erforderlich.

Digitale Signatur

Die digitale Signatur ist ein Sicherheitsstandard für den Austausch elektronischer Dokumente und sichert die Authentizität des Absenders und die Integrität des Inhalts eines elektronischen Dokumentes. Die digitale Signatur soll die gleiche rechtliche Relevanz wie die Unterschrift auf einem Papierdokument erhalten. In Deutschland wurden durch das Signaturgesetz Rahmenbedingungen für digitale Signaturen geschaffen. Die Anwendung anderer Verfahren für digitale Signaturen bleibt gemäß SigG jedoch freigestellt.

Digitale Signatur gemäß SigG

Die im Signaturgesetz definierte digitale Signatur wird durch die Kombination eines geheimen oder privaten Schlüssels (Private Key), der nur dem Schlüsselinhaber selbst bekannt ist, und eines öffentlichen Schlüssels (Public Key), der von Zertifizierungsstellen verwaltet wird, generiert und an ein elektronisches Dokument angehängt. Der Absender signiert und verschlüsselt ein elektronisches Dokument mit seinem privaten Schlüssel, der sich auf einer Chipkarte befindet. Der Empfänger besitzt nur den öffentlichen Schlüssel, kann das Dokument öffnen und lesen. Er erhält dabei eine Information über den Absender und die Authentizität des Inhalts des Dokumentes.
Mit dem öffentlichen Schlüssel kann damit die Echtheit einer Unterschrift überprüft werden, und jede Veränderung an dem unterzeichneten Dokument wird sofort erkennbar. Die öffentlichen Schlüssel werden von autorisierten Stellen zertifiziert. Zertifizierungsstellen speichern die erforderlichen Daten für eine Identifizierung der Eigentümer privater Schlüssel. Über die Zertifzierungsstelle ist es daher möglich, den Eigentümer eines privaten Schlüssels zu ermitteln. Als eines der ersten Unternehmen in Deutschland hat DEBIS ein autorisiertes Zertifizierungszentrum für digitale Signaturen eingerichtet. Ein gleiches Vorhaben verfolgt die Telekom TeleSec unter der Bezeichnung Trust Center.
Ungeklärt ist aber bis heute, in wie weit Gewährleistungsansprüche gegenüber privaten Zertifizierungsstellen geltend gemacht werden können, da nach deutscher Rechtsfolge kein Anpruch auf Ersatz von Vermögensschäden besteht.

Digitale Signaturverfahren ohne Zertifizierung

Auch Italien hat einen Ansatz ähnlich dem deutschen Signaturgesetz verwirklicht. Inhalt dieses Gesetzes ist die rechtliche Gleichstellung von digitaler und schriftlicher Form. Dieses Gesetz enthält nur Ermächtigungsparagraphen und Vorschriften, aber keine Beschreibung der Vorgehensweise und damit auch keine Zertifizierung.

Harmonisierung der Ansätze

Im europäischen Umfeld existieren derzeit noch weitere Ansätze von Ländern wie Frankreich, Großbritanien u.a.. Innerhalb der Europäischen Union wird versucht, diese Ansätze zu harmonisieren, wobei der deutsche Ansatz als Grundlage dienen soll. Um weitere internationale Bestrebungen zu vereinheitlichen hat die OECD acht Grundprinzipien zur digitalen Signatur veröffentlicht und die UN ein Modellgesetz entwickelt.

Implementierung digitaler Signaturen

Abgesehen von den gesetzlichen Regelungen gibt es von einigen Softwareherstellern bereits Lösungen für die Umsetzung rechtskräftiger digitaler Signaturen. Hierzu gehört die patentierte Signature Series Software für Client/Server- und Internetbasierte Applikationen von PenOp. Mit der Produktfamilie können handschriftliche Signaturen digitalisiert, mit dem Eigentümer über biometrische Verfahren (z.B. Geschwindigkeitsmessungen bei der Unterzeichnung) verbunden, mit einem Dokument über kryptografische Verfahren verknüpft und zusammen mit weiteren Informationen in Geschäftsprozesse eingebunden und überprüft werden. Auf diese Weise lassen sich Dokumente sämtlicher Formate unter Sicherstellung der Authentizität des Erstellers oder Absenders und der Integrität des Dokumenteninhalts mit einem elektronischen Pen o.ä. oder mit einem Paßwort für die zuvor gescannte Unterschrift signieren. Wer, was, wann und warum signiert hat, wird nachvollziehbar protokolliert. Versicherungen, Finanzdienstleister, Behörden und pharmazeutische Unternehmen in den USA setzen PenOp Produkte bereits ein.
Aufbauend auf die deutsche Gesetzgebung bietet die Firma KryptoKom umfangreiche Software- und Servicepakete an, die auch speziell für FirewallKonzepte entwickelt worden sind.

”Digitale Identität”

Da die Identität des Absenders eines digital signierten Dokumentes nur indirekt sichergestellt ist – vergleichbar mit dem Mißbrauch von EC-Karten und dem Bestreiten von Kontoabhebungen durch den Karteninhaber – umfaßt die ”digitale Identität” eines Dokumentes Verfahren, bei denen sich ein Karteninhaber selbst gegenüber seiner Karte identifizieren kann, z.B. durch Untersuchung seines Fingerabdrucks oder vergleichbarer Merkmale, die als geheimer Schlüssel ebenfalls auf der Karte gespeichert sind.
Vor dem Breiteneinsatz derartiger Verfahren müßten allerdings noch eine Reihe psychologischer Barrieren hinsichtlich Datenschutz und Wahrung der Privatsphäre abgebaut werden.

Finger-Print

Für die eindeutige Identifizierung einer natürlichen Person über ihren Fingerabdruck sind inzwischen auch Verfahren verfügbar, die den Fingerabdruck mit Druck-, Wärmemessungen u.ä. kombinieren, damit kein Mißbrauch mit ”toten Organen” erfolgen kann.

Iris-Recognition

Auch über die Iriserkennung, bei der die Iris mit Hilfe einer Videokamera abgetastet wird und die digitalisierten Daten zusätzlich auf der Unterschriftenkarte gespeichert werden, kann die eindeutige Identität eines Karteninhabers sichergestellt werden.

Videokonferenzen

Werden rechtliche relevante Dokumente zwischen zwei bekannten Partnern ausgetauscht, sind auch Lösungen denkbar und z.B. bei Gerichtsverfahren in den USA bereits realisiert, bei denen digitale Signaturverfahren in Kombination mit Videokonferenzen zum Einsatz kommen und damit die digitale Identität sicherstellen.

Austausch digital signierter Dokumente

Mit digitalen Signaturverfahren lassen sich Druck-, Fax-, Scan- und Ablagekosten für Papier einsparen und Geschäftsprozesse erheblich beschleunigen. Abhängig vom Verwendungszweck digital signierter elektronischer Dokumente sind für die digitale Signatur verschiedene Anwendungsgebiete denkbar.

Austausch von Geschäftsdokumenten zwischen bekannten Partnern

Für den Austausch strukturierter Daten zwischen definierten Geschäftspartnern gibt es ISO-genormte EDI-Verfahren (Electronic Data Interchange), die in unterschiedlichen branchenspezifischen Implementierungen bei Finanzdienstleistungs-, Handels- und Industrieunternehmen weit verbreitet sind. Basis für den elektronischen Datenaustausch sind EDI-Verträge, in denen Formate, Aufbau, Inhalte und Rechtscharakter der Nachrichten festgelegt sind. Auf diese Weise können bekannte Geschäftspartner Angebote, Bestellungen, Verträge und andere Geschäftsunterlagen mit rechtlich bindender Wirkung austauschen. In der Regel archivieren Absender und Empfänger die Nachrichten revisionssicher, so daß durch den Vergleich der Dateidokumente ein Nachweis der Authentizität und der Übermittlung möglich ist.
In diesem Anwendungsfeld können elektronische Dokumente mit digitaler Signatur den Implementierungsaufwand stark reduzieren.

Electronic Commerce

E-Commerce bezieht offene Benutzergruppen in den elektronischen Handel ein. Der Austausch von Geschäftsdokumenten zwischen nicht bekannten Partnern ist der wesentliche Anwendungsbereich der digitalen Signatur. Zum Zeitpunkt der Übermittlung digital signierter Dokumente besteht noch kein Vertrag zwischen Absender und Empfänger. Der Identifizierung des Absenders und der rechtlichen Relevanz der übermittelten Nachricht kommen daher eine große Bedeutung zu. Die digitale Signatur soll hier den gleichen rechtlichen Charakter gewinnen wie die eigenhändige Unterschrift.

Weitere Anwendungsgebiete für digitale Signaturen

Elektronischer Rechtsverkehr

Die Bundesnotarkammer sieht auch Anwendungsgebiete für die digitale Signatur, bei denen diese bei der Erstellung und Versendung von Urkunden im Rechtsverkehr zum Einsatz kommt.

Absicherung von Urheberrechten und Copyright im Internet

Die Grenzen zwischen der reinen Nutzung von Informationen und dem kostenpflichtigen Bezug von Dienstleistungen, bei denen es auch zu elektronischen vertraglichen Vereinbarungen kommt, verschieben sich zunehmend. Das kann dazu führen, daß die digitale Signatur auch im Umfeld der Verbreitung von Nachrichten und der Nutzung von Informationspools im Internet an Bedeutung gewinnt. Auch zur Absicherung von Urheberrechten und des Copyright im Internet könnte die digitale Signatur künftig beitragen.

Problembereiche

Der Einsatz digitaler Signaturverfahren ist derzeit noch mit einer Reihe von Problemen behaftet.

Mißbrauch

Eine Chipkarte mit digitaler Signatur kann wie eine Scheckkarte entwendet und unautorisiert genutzt werden, der Absender eines digital signierten Dokumentes ist nicht direkt identifizierbar. Lösen ließe sich dieses Problem z.B. durch weitere Sicherheitsverfahren (Sicherstellung der ”digitalen Identität”), bei denen sich ein Karteninhaber selbst gegenüber seiner Karte identifizieren könnte – etwa durch Untersuchung seines Fingerabdrucks, der als geheimer Schlüssel ebenfalls auf der Karte gespeichert ist.

Manipulationen

Wurde ein digital signiertes Dokument unautorisiert verändert, ist nicht erkennbar, welche Manipulation genau vorgenommen wurde – in diesem Fall wird somit die gesamte Nachricht entwertet.

Ablaufsicherheit

Abgesehen von dem Nachweis der Identität des Absenders und der Authentizität des Inhalts eines digital signierten Dokumentes kommt oft auch den Zeitpunkten von Erstellung, Speicherung, Versendung und Empfang eine besondere Bedeutung zu. Ein Absender kann ein Dokument guten Glaubens auf den Weg durchs Internet gebracht haben, jedoch ist nicht sichergestellt, daß der gewünschte Empfänger das Dokument erhalten, gelesen und auch entsprechend des Inhalts gehandelt hat. Bei terminbezogenen Verträgen oder Aufträgen kann dies sehr problematisch werden, da ein ”Poststempel” oder interner Eingangsstempel des Empfängers fehlt – es sei denn, Sende- und Empfangsdaten werden zusammen mit dem Dokument gespeichert.

”Mehrstufige” Signaturen

Regelungsbedarf besteht auch bei dem Einsatz der digitalen Signatur in Unternehmen mit hierarchischem Aufbau und unterschiedlichen Zeichnungsrechten, z.B. bei der digitalen Abzeichnung eines Großauftrages, den heute verschiedene Unterschriftsberechtigte in bestimmter Reihenfolge auf Papier unterzeichnen müssen.

Zusammengesetzte Dokumente

Bei der technischen Umsetzung der digitalen Signatur wird von einer Einzeldatei ausgegangen. Ungeklärt ist die Unterzeichnung zusammengesetzter Dokumente (Container oder Compound Documents) oder die Unterzeichnung von Containern, wenn einzelne Bestandteile bereits eine eigene Signatur besitzen. Problematisch können auch z.B. Hyperlinks oder aktive OLE-Verbindungen werden, die auf Bestandteile eines Dokumentes verweisen, die nicht selbst durch die Signatur abgesichert sind und unabhängig vom digital signierten Dokument verändert werden können. Ein digital signiertes Dokument muß daher immer eine Einheit bilden, referenzierte Komponenten sind in das Dokument einzubetten.

Zertifizierung der Unterschriftsschlüssel

Wollen Berufsstände wie Notare oder Ärzte, die besonderen Geheimhaltungspflichten unterliegen, elektronische Dokumente sicher austauschen, müssen diese selber Inhaber eines Signaturschlüssels sein. Würden die öffentlichen Schlüssel von gewerblichen Zertifizierungsstellen verwaltet, könnten die entsprechenden Berufskammern z.B. bei Schlüsselmißbrauch nur unter großen Schwierigkeiten einschreiten. Es gibt daher verschiedene Bestrebungen für berufsspezifische Einrichtungen, die ihre Berufsangehörigen mit entsprechenden Schlüsseln ausstatten und damit die Identität dieser Berufsstände nachweisen können.

Funktionen und Berechtigungen

In Zukunft wird sich die Frage stellen, ob die digitale Signatur eine weitere Karte sein wird, oder ob sich Funktionen, wie Geldkarte oder Berechtigungsschlüssel, mit samt der digitalen Signatur auf einer gemeinsamen Karte wiederfinden werden. In diesem Fall muß geklärt werden, was passiert, wenn eine solche Multifunktionskarte verloren geht, so daß bei Verlust der Karte nicht gleichzeitig auch die Identität des Besitzers, wenn auch nur kurzfristig, verloren geht.

Rechtsstreitigkeiten

Die rechtliche Qualität digital signierter Dokumente – insbesondere nach dem Bürgerlichen Gesetzbuch (BGB) und der Zivilprozeßordnung (ZPO) – ist immer noch ein ungelöstes Problem. Urkunden im Sinne der ZPO sind verkörperte Gedankenerklärungen in Schriftform, die den Aussteller (bisher durch handschriftliche Unterschrift) erkennen lassen. Da die digitale Signatur nicht mit einem Dokument druckbar ist und noch keine Prozesse auf Basis digital signierter Dateidokumente geführt wurden, ist auch nicht absehbar, wie die Akzeptanz der Richter ist, wenn ihnen ein digital signiertes Dokument vom Notebook oder online präsentiert wird. Im Zweifelsfall wird es auf den Vergleich des abgesendeten und des empfangenen Dokumentes hinauslaufen. Entsprechenden Protokollverfahren zum Nachweis von Sende- und Empfangsvorgängen kommt daher eine große Bedeutung zu.

Revisionssichere Archivierung

Bei Anwendungen wie Electronic Commerce geht es um den sicheren Dokumentenaustausch von einem DV-System zum anderen. Daß digital signierte Dokumente, die zumindest einen urkundenähnlichen Charakter besitzen, auch gespeichert und möglichst sicher archiviert werden müssen – es entsteht ja kein Papier mehr – war für die Verfasser des Signaturgesetzes von nachgeordneter Bedeutung.
Werden elektronisch erzeugte Handelsbriefe digital signiert und gespeichert, gelten für die elektronischen Dokumente die gleichen Aufbewahrungsfristen nach dem Handelsgesetzbuch (HGB) wie für herkömmliche Papierdokumente. Digital signierte Geschäftsdokumente müssen also auch nach 7, 10 oder mehr Jahren gefunden und zur Anzeige gebracht werden können. Wurde für das Dokument ein Format verwendet, das in der Anzeige nicht mehr unterstützt wird, kann dies zu großen Problemen führen.
Standardisierte, offene Schnittstellen und Formate sind für eine Integration beliebiger Applikationen zur Erstellung, Bearbeitung, Ablage oder Archivierung digital signierter Dokumente unerläßlich.

Unterstützung digitaler Signaturverfahren durch elektronische Archivierung

Um die genannten Risiken beim Einsatz digitaler Signaturverfahren zu reduzieren, müssen die Behandlung und der gesamte Lebenszyklus rechtlich relevanter Dokumente nachvollziehbar protokolliert werden. Eine Reihe von Funktionen zur Absicherung digitaler Signaturverfahren besitzen elektronische Dokumenten-Management- und Archivsysteme:
Elektronische Archivsysteme speichern unterschiedlichste Datentypen, so daß es kein technisches Problem darstellt, auch digital signierte Dokumente zu archivieren.
In elektronischen Dokumenten-Management- und Archivsystemen wird jedes Dokument durch einen eindeutigen Identifier identifiziert und kann datenbankgestützt wiedergefunden werden. Archivsysteme sind außerdem auf die sichere, langfristige Speicherung von Dokumenten ausgelegt.
In einem Dokumenten-Management-System (DMS) oder Archivsystem kann auch der Bezug zwischen Dokumenten dargestellt werden. Ein Auftrag mit digitaler Signatur und die ebenfalls digital signierte Auftragsbestätigung liegen dann nicht mehr als einzelne Dateien in Verzeichnissen, sondern können im Rahmen einer visualisierten Kundenakte zusammenhängend gefunden und angezeigt werden.
Viele Systeme erlauben heute die Speicherung von Dokumenten zusammen mit ihren beschreibenden Merkmalen als geschlossenes, selbstbeschreibendes Objekt. Hierzu gehören neben Absender, Erstell- und Speicherdatum, inhaltlich beschreibenden Merkmalen und anderen Attributen auch Informationen, wie das Dokument wieder zur Anzeige gebracht werden kann. Durch ein Versionsmanagement und Viewer für unterschiedliche Dateiformate sind Archivsysteme in der Lage, die meisten Formate auch langfristig wieder zu visualisieren.
Archivsysteme besitzen Protokollfunktionen, durch die nachgewiesen werden kann, wann und von wem welche Dokumente in das System eingebracht wurden. Sie können damit auch als Nachweis für den Empfang, die Speicherung und die Anzeige digital signierter Dokumente genutzt werden. Es empfiehlt sich für den Absender eines digital signierten Dokumentes, dieses sofort nach der Erstellung und möglichst gleichzeitig mit dem Versand revisionssicher zu archivieren. Der Empfänger sollte das Dokument seinerseits gleich nach dem Empfang und möglichst parallel zur Anzeige archivieren. Durch die Speicherung der Dokumente und die Protokollierung der zugehörigen Daten kann dann nachgewiesen werden, wann das Dokument versandt und bearbeitet wurde.
Für Archivsysteme, die Handelsbriefe entsprechend den Vorgaben der GoBS archivieren, sind Verfahrensdokumentationen vorgeschrieben. Mit Hilfe dieser Verfahrensdokumentation ist auch nachweisbar, wie digital signierte Dokumente erstellt, empfangen und gespeichert wurden, so daß eine rechtliche Absicherung digital signierter Dokumente zumindest im Rahmen des HGB bereits gegeben ist. Wird ein Dokument z.B. für eine Beweisaufnahme später erneut aufgerufen, kann über das Archivsystem der Nachweis erbracht werden, wann es eingegangen ist, wer es empfangen hat und daß es unverändert gespeichert wurde. Darüber hinaus ist es denkbar, vereidigte Gutachter, die Spezialisten im DMS-Umfeld sind, zu bestellen, um vor Ort Prüfungen durchzuführen. Hierfür könnten z.B. die Zertifizierungsstellen für digitale Signaturen zusätzlich beauftragt werden.
Die digitale Signatur wird insbesondere im Zusammenhang mit E-Commerce-Anwendungen an Bedeutung gewinnen. Das Signaturgesetz gibt deutschen Anbietern und Anwendern einen geeigneten Rahmen vor, sich auf rechtlich einigermaßen abgesicherten Terrain mit dem Thema Electronic Commerce auseinanderzusetzen. Ziel muß es jedoch sein, den Einsatz digitaler Signaturen möglichst schnell aus dem Probierstadium herauszubringen, damit der Anschluß an den sich immer stärker entwickelnden internationalen elektronischen Handel nicht verloren geht.
Abzuwarten bleibt, welche Qualität die digitale Signatur im Rechtsstreit erlangen wird. ( Felix von Bredow, 2002)

Die elektronische Signatur hat ursprünglich den Zweck, den sicheren Austausch von Nachrichten zwischen unbekannten Parteien durch einen nachprüfbaren Authentizitäts- und Integritätsnachweis zu ermöglichen.

Dr. Ulrich Kampffmeyer,
Update-Seminar Dokumenten-Technologien, 2004

Ressourcen