 | Archivierte alte Webseite - Datenschutzerklärung, Adressen und Links zu externen Seiten sind vielfach ungültig - Bitte besuchen Sie www.PROJECT-CONSULT.com
Archived old Web Site - Privacy declaration, addresses and links to external web sites may be invalid - Please visit www.PROJECT-CONSULT.com | | | Qualifizierte digitale Signatur |  | | | | | Interview von Ina Konrad, IT-DIRECTOR, mit Dr. Ulrich Kampffmeyer, Geschäftsführer der PROJECT CONSULT Unternehmensberatung GmbH, April 2009
| | |
| | | | | (IK: Ina Konrad; Kff: Dr. Ulrich Kampffmeyer)
| | |
| | | | | | |
| |
| | | | | IK:
| | In welchen Bereichen bzw. für welche Dokumente kommt die qualifizierte elektronische Signatur dabei am häufigsten zum Einsatz?
| | | | | Kff:
| | Dies ist von der Art der Anwendung abhängig. Das häufigste Anwendungsgebiet dürften heute elektronische Rechnungen sein, auch wenn die elektronisch signierten Rechnungen am Gesamtaufkommen von Rechnungen noch nicht einmal 5% ausmachen. Zahlreiche signierte Dokumente gibt es bei Rentenversicherungen und öffentlich-rechtlichen Kassen, da hier eine Vernichtung der Papieroriginale nur möglich ist, wenn die gescannten Dokumente - mit einem Massensignaturverfahren - signiert worden sind. In der geschäftlichen Korrespondenz ist die qualifizierte Signatur noch recht selten. Da das Justizkommunikationsgesetz (JKomG) auch den Einsatz der qualifizierten elektronischen Signatur fordert, ist hier zukünftig auch mit mehr signierten Dokumenten zu rechnen. Gegenläufige Tendenzen sind aber Entscheidungen in der öffentlichen Verwaltung, selbst nur fortgeschrittene Signaturen einzusetzen, oder aber im Umfeld der elektronischen Signatur die Bestrebungen der Europäischen Kommission die Verfahren zu vereinfachen. Einen richtigen Durchbruch bei der Nutzung und Verbreitung hat die qualifizierte elektronische Signatur bisher nicht erreichen können.
| | | | | IK:
| | Mit welchen Kosten ist die Einführung und der Betrieb einer qualifizierten elektronischen Signatur verbunden?
| | | | | Kff:
| | Die Kosten hängen stark vom Einsatzgebiet ab. Muss jeder Arbeitsplatz in einer großen Organisation mit Signaturkarte und Lesegerät ausgestattet werden, wird dies sehr teuer. Wenn es nur um elektronische Rechnungen geht, reichen einer oder wenige Arbeitsplätze oder man nimmt gleich das Angebot eines Signatur-Dienstleisters in Anspruch, so dass man selbst nicht investieren muss. Eine einzelne Karte mit Lesegerät und Einbindung kostet immer noch um die 100 € und die Beschaffung ist ein aufwändiger, bürokratischer Prozess.
| | | | | IK:
| | Was sind derzeit noch die größten Sicherheitslücken bei der Anwendung von qualifizierten elektronischen Signaturen?
| | | | | Kff:
| | Die Signaturen selbst sind sicher. Sicherheitslücken gibt es eher bei der Nutzung, wenn z.B. der Vorgesetzte im Rahmen eines "vereinfachten Verfahrens" seiner Sekretärin seine karte nebst PIN-Code anvertraut. Natürlich muss die Einsatzumgebung der Signaturkarte am Arbeitsplatzrechner auch technisch sicher sein. Man sollte hier nur die von der ausgebenden Stelle mitgelieferte Hard- und Software einsetzen.
| | | | | IK:
| | Wie kann die Interoperabilität einer digitalen Signaturlösung mit z.B. ERP-, Archiv, DMS- oder CRM-Systemen weiter verbessert werden?
| | | | | Kff:
| | Für Signaturen gibt es noch wenig einheitliche technische Standards, besonders wenn man im europäischen Rahmen denkt. Die meisten Anbieter von ECM-, ERP- oder CRM-Softwareprodukten liefern die Einbindung der elektronischen Signatur nicht automatisch mit. Es ist immer noch eine Zusatzfunktionalität, die nur auf Kundenwunsch integriert wird. Dies behindert natürlich auch die Verbreitung. Beim Einsatz der Signatur muss man aber auch unterscheiden, wird die Signatur selbst zum Unterschreiben eingesetzt oder muss ich nur in der Lage sein, bei einer eingehenden Nachricht oder bei einem Dokument eine Signatur zu prüfen. In Bezug auf die Archivierung können Signaturen helfen, einen höheren Grad an Sicherheit bzw. Nachprüfbarkeit der Unverändertheit von Dokumenten zu erreichen. Hier sind allerdings elektronische Signaturen in Gestalt von Zeitstempeln, die vom System automatisch gesetzt werden, wichtiger. Sie liefern zugleich auch noch eine definierte Zeitangabe, die bei qualifizierten, personengebundenen Signaturen nicht vorhanden ist. In Archiven werden solche Zeitstempel für die Signierung von Journalen und Dokumenten eingesetzt. Qualifizierte elektronische Signaturen können dagegen in elektronischen Archiven zum Problem werden, da die Zertifikate nach einiger Zeit ablaufen und die selbst Signatur ein unter Umständen nicht mehr fehlerfrei interpretierbares Anhängsel zum Dokument darstellt. Wandelt man elektronisch signierte Objekte zu dem in Langzeitarchivformate wird dabei die Signatur zerstört. Man befindet sich also im Archivbereich in einem Spagat zwischen Authentizität und Anzeigefähigkeit wieder.
| | | | | IK:
| | Inwieweit sind alle rechtlichen Lücken im Signaturgesetz (SigG) bzw. in der Signaturverordnung (SigV) geschlossen? Wo sollte Ihrer Ansicht nach lieber noch nachgebessert werden?
| | | | | Kff:
| | Es geht nicht um vermeintliche Lücken. In Deutschland haben wir mit die höchsten Anforderungen in Europa. Es geht eher darum, ob auch andere Signaturtypen rechtskräftig eingesetzt werden können oder ob es immer die qualifizierte Signatur mit Anbieterakkreditierung sein muss. Dies spielt z.B. eine Rolle bei Dokumenten, die mit Signaturstift oder auf einem Signaturpad unterzeichnet werden. Dies betrifft auch eine Reihe von anderen biometrischen Verfahren. In Punkto Nachbesserung sollte mehr Klarheit für die Nicht-Notwendigkeit des Nachsignierens geschaffen werden und klar angegeben werden, für welche Art von Dokumenten qualifizierte Signaturen unbedingt erforderlich sind. Zum Beispiel dient die elektronische Signatur beim Scannen nach SGB/SRVwV bei Rentenversicherungen usw. nicht als Willensbekundung sondern nur als Nachweis, dass alles lesbar und vollständig eingescannt wurde. Dies ist nicht der originäre Zweck der qualifzierten elektronischen Signatur und ließe sich mit deutlich geringerem Aufwand auch anders lösen. In Deutschland haben wir meines Erachtens die Anforderungen überfrachtet und es täte der generellen Verbreitung von elektronischen Signaturen gut, wenn man einiges an Ballast abwerfen würde. Wie gesagt, auf europäischer Ebene denkt man eher über Vereinfachungen nach.
| | | |
| | | | | © CopyRight bei PROJECT CONSULT 2009
| | |
|  |
|
|
