| 08. Juli 2004
Posted in
Themen -
eSignatur
Der folgende Text soll in Kurzform einen Überblick über die Anforderungen an die qualifizierte elektronische Signatur geben und bestehende Möglichkeiten über deren Einsatz und die Bedingungen geben. Anhand kurzer Beispiele sollen die einzelnen Anforderungen und Möglichkeiten dargestellt werden. Es wird kein Anspruch auf Vollständigkeit erhoben, insbesondere kann an dieser Stelle nicht auf alle vorhandenen Anbieter eingegangen werden.
I. Allgemeines
Das Signaturgesetz (SigG) vom 16. Mai 2001 geht auf die Richtlinie 1999/93/EG (Signaturrichtlinie) zurück, deren Ziel die Verbreitung der Anwendung, insbesondere durch rechtliche Anerkennung der elektronischen Signatur ist.Der deutsche Gesetzgeber hat im Rahmen der Umsetzung der Signaturrichtlinie die in dieser vorgenommene Stufung der elektronischen Signatur im Wortlaut übernommen und mit der unmittelbaren Aufnahme der "qualifizierten elektronischen Signatur" in die Begriffsbestimmungen erweitert, so dass hier zwischen drei Arten der elektronischen Signatur zu unterscheiden ist.
II. Die Arten der elektronischen Signatur
1. Elektronische Signaturen (§ 2 Nr. 1 SigG)
Hierbei handelt es sich um solche Daten, die durch Verknüpfung mit dem eigentlichen Dokument geeignet sind, den Urheber der Daten zu identifizieren. Hierzu können zum Beispiel kennwortverifizierte Dokumente gehören, ebenso einfache Emailschlüssel u.ä.
2. Fortgeschrittene elektronische Signatur (§ 2 Nr. 2 SigG)
Verfahren, bei denen es sich um eine fortgeschrittene elektronische Signatur handelt, ermöglichen die ausschließliche Zuordnung zum Inhaber des Signaturschlüssels und dessen Identifikation. Die Erzeugung des Schlüssels erfolgt derart, das er nur durch den Schlüsselinhaber tatsächlich durchgeführt werden kann. Sofern eine nachträgliche Datenveränderung erfolgt, wird dies erkennbar.In der Praxis kann es sich hier beispielsweise um eine PIN - Code - externer Datenträger (z.B. Diskette) kombinierten Schlüsselerstellungsprozess handeln, wie er unter Anderem von Direktbanken verwendet wird, ebenso um Verschlüsselungssysteme wie "Pretty Good Privacy" (PGP) oder S/MIME, die unter anderem auch vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) zur Signatur von Emails verwendet werden .Eine Signatur von Emails mit einem Verschlüsselungssystem wie PGP erscheint gerade vor dem Hintergrund der Weiterverbreitung von Emailwürmern via Email und den damit verbundenen Schäden ratsam um sicherzustellen, das keine Missbrauch der Emailadresse vorliegt.
3. Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
Dennoch ist unter 2. genanntes nicht hinreichend für eine qualifizierte elektronische Signatur. Diese verlangt zusätzlich ein gültiges Zertifikat, welches die Identität des Erzeugers sicherstellen soll. Zudem muss die Signatur mit einer so genannten "sicheren Signaturerstellungseinheit" erstellt werden. Demnach müssen durch diese unverfälschbare Signaturen erstellt werden und eine Nutzung des Schlüssels durch unberechtigte Personen ausgeschlossen sein. Nach der Definition des Gesetzgebers soll diese aus mehreren hierfür notwendigen Komponenten bestehen (§ 17 I, II SigG) eine Identifikation soll durch Besitz und Wissen (§ 15 I S.1 1. Alt SigV) oder durch Besitz und biometrische Daten (§ 15 I S.1 2. Alt. SigV) geschehen.
In der gängigen Praxis bedeutet dies, dass im Gegensatz zum unter 2. beschrieben, beispielsweise eine externe Komponenten, wie ein Kartenlesegerät mit einer dazugehörigen Karte erforderlich sind, die unter Eingabe eines PIN - Codes eine elektronische Signatur erzeugen. Alternativ könnte auch eine Identifikation per Fingerabdruck erfolgen. Ferner muss der Anwender ein entsprechendes Zertifikat bei einem der Zertifizierungsdiensteanbieter beantragen und sich hierbei zu identifizieren (§§ 2 Nr. 3 lit. a), 5 I SigG).
III. Verfahren zur Sicherstellung der Anforderungen
Generell muss Produkten, die zur Erstellung einer qualifizierten elektronischen Signatur geeignet sein sollen durch eine der unabhängigen Prüfstellen , nachdem bereits eigene, vom Hersteller durchgeführte Sicherheitstests durchgeführt worden sind (§ 15 VII 1. Hs. SigG), deren Erfüllung der Anforderungen bestätigt werden (§ 15 VII 2. Hs. SigG).Unabhängige Prüfstellen sind solche Unternehmen, die auf Grund ihrer Fachkunde, Unabhängigkeit und Zuverlässigkeit geeignet sind (§§ 18 I SigG, 16 I SigV), die zu prüfenden Produkte auf ihre Geeignetheit hin zu überprüfen.
Erst nach dieser Überprüfung erhalten die Produkte das gesetzliche Gütezeichen.
IV. Einsatzbereich
Weiterer zu beachtender Aspekt beim Einsatz der Signatur ist der Einsatzbereich unter dessen Bedingungen eine Sicherheit gewährleistet wird. Hierbei wird zwischen einem ungeschütztem, einem geschützten und einem isolierten Einsatzbereich unterschieden.
1. Ungeschützter Einsatzbereich
Der Einsatzbereich verfügt über eine ungesicherte Verbindung zum Internet, Zugriff auf das System ist jedermann möglich, ebenso der Datenaustausch über Datenträger (z.B. Diskette).
2. Geschützter Einsatzbereich
Hierbei besteht eine Verbindung zum Internet, die über eine Firewall geschützt ist, ebenso ist dieser Bereich durch geeignete Maßnahmen (z.B. Zugriffsrechte) gegen unbefugte Zugriffe über das interne Netzwerk (Intranet/ LAN) gesichert. Auch der Zugriff auf dem Arbeitsbereich ist geschützt (z.B. Kennwort und Userrechte).
3. Isolierter Einsatzbereich
Hierbei besteht keinerlei externe Verbindung des Systems, weder über Internet, Intranet oder LAN. Der Zugriff auf das System selbst sowie mit Hilfe von Datenträgern ist besonders gesichert, z.B. durch Verifikation mittels Code-Karte, wobei die Identifikation mittels Kennwort bereits hinreichend erscheint.
4. Qualifikation des Personals
Unbeschadet von den technischen Anforderungen ist in jedem Fall der Einsatz von qualifiziertem und vertrauenswürdigem Personal.
V. Praxisbeispiel
Vielfach wird in der Praxis bereits die qualifizierte elektronische Signatur gefordert, so beispielsweise auch bei der elektronischen Übermittlung von Rechnungen . Zwar wird auch hier nach wie vor die Papierform als Hauptträger von Rechnungsdokumenten angesehen, doch wird, die elektronische Übermittlung vorbehaltlich der Zustimmung des Empfängers, anerkannt. Die Genehmigung des Verfahrens per Email ist möglich.
Aus Sicht des Bundesministeriums der Finanzen (BMF) ist jedoch eine Unversehrtheit und Echtheit des Dokumentes nur dann gegeben, wenn dieses z.B. mit einer qualifizierten elektronischen Signatur versehen worden ist.
Weitere Quellen
Angebotsseite der Deutschen Post
FAQ-Dokument der Deutschen Post
Kommentare
Mit freundlichen Grüßen Rebeka