 | Archivierte alte Webseite - Datenschutzerklärung, Adressen und Links zu externen Seiten sind vielfach ungültig - Bitte besuchen Sie www.PROJECT-CONSULT.com
Archived old Web Site - Privacy declaration, addresses and links to external web sites may be invalid - Please visit www.PROJECT-CONSULT.com | | | Die (un)einheitliche digitale Signatur kommt |  | | | | | Die Europäische Union hat die Richtlinie über ,,gemeinschaftliche Rahmenbedingungen für elektronische Signaturen" am 19. Januar im Amtsblatt der Europäischen Union veröffentlicht. Damit bleibt den Mitgliedsstaaten 18 Monate Zeit, die Bestimmungen in nationales Recht umzuwandeln. In dieser Richtlinie wird zwischen der einfachen, der fortgeschrittenen und der qualifizierten digitalen Signatur unterschieden. Die qualifizierte Signatur soll dabei der handschriftlichen Unterschrift rechtlich gleichgestellt werden, wohingegen für die Verwendung der einfachen und der fortgeschrittenen Signatur als Beweismittel noch argumentative Lücken gelassen werden. Zum einen bietet diese Richtlinie einen hervorragenden Rechtsrahmen, um das Vertrauen der Nutzer in die Sicherheit des Internets zu stärken, zum anderen ergeben sich aber neue Unsicherheiten. Die zukünftigen nationalen Gesetze werden drei unterschiedliche Formen der digitalen Signatur unterscheiden müssen. Die einfache elektronische Signatur dient lediglich der Authentifizierung eines Nutzers, sagt somit nichts über den Inhalt einer Erklärung aus. Dieser Authentifizierungsmechanismus ist am ehesten mit biometrischen Verfahren vergleichbar. Hier wird z. B. durch das Abscannen des Augenhintergrunds die Authentizität einer Person bestätigt. Die zweite Version der elektronischen Signatur, die fortgeschrittene Signatur, beinhaltet zwar die beiden wesentlichen Aspekte Authentizität und Integrität, stellt aber keine besonderen Ansprüche an die technische Infrastruktur. Hier werden Freiheitsgrade gewährt, die es jedem Anbieter ermöglicht seine eigene Lösungsvorstellung und Interpretation einer fortgeschrittenen Signatur zu verwirklichen. Die dritte, die qualifizierte Signatur, entspricht im wesentlichen dem, wie es bereits seit 1997 im deutschen Signatur Gesetz (SigG) beschrieben ist. Allerdings wird es künftig statt dem erzwungenem Genehmigungsverfahren der Trustcenter ein freiwilliges Akkreditierungsverfahren geben, womit die Zertifizierungsstellen zwar weiterhin der Kontrolle der Regulierungsbehörde unterliegen, die Anforderungen an den Betrieb eines Trustcenters aber auf das Niveau von Rechten und Pflichten gesenkt werden.
Eines wird schnell deutlich: Die einzige wirklich rechtsverbindliche digitale Signatur wird die qualifizierte Signatur darstellen, wie sie auch schon im SigG festgelegt worden ist. Da aber mit dieser Form der digitalen Signatur extrem hohe Kosten für den Betrieb eines Trustcenters und daraus resultierend für jeden einzelnen Kunden erzeugt werden - jeder Teilnehmer benötigt eine Smartcard, ein Lesegerät (dessen Sicherheitsanforderungen nicht festgelegt worden sind) und ein generiertes Schlüsselpaar - sind die beiden abgeschwächten Lösungen der einfachen und fortgeschrittenen Signatur nur als Interimslösungen zu verstehen. Problematisch wird der dreigeteilte Ansatz aber schon allein deswegen, weil in der Richtlinie nicht festgeschrieben wird, für welche rechtsverbindliche Handlung welche Form der Signatur eingesetzt werden muß. Bei dem großflächigen Einsatz einer der ,,schwachen" Lösungen ist dringend eine Dokumentation des eingesetzten Verfahrens zu empfehlen, damit für eine eventuelle gerichtliche Auseinandersetzung der Argumentationsraum eingeschränkt werden kann. Mit einer solchen Verfahrensdokumentation kann sichergestellt werden, daß das entsprechende Verfahren als Beweis zugelassen wird. Doch auch der Verwendung der qualifizierten Signatur steht noch einiges entgegen. Zwar hat die US-Regierung auf der einen Seite ihre Exportbeschränkungen für kryptographische Software aufgehoben, womit nun weltweit ein einheitlicher Sicherheitsstandard erreicht werden kann. Andererseits werden in der europäischen Richtlinie ausdrücklich die nationalen Formvorschriften ausgeklammert. Werden also einzelne Länder nicht von sich aus für bestimmte Bereiche die elektronische der papiergebundenen Schriftform gleichsetzen, so läuft auch die europäische Richtlinie schnell Gefahr, nur in Modellgesetze umgesetzt zu werden, wie es das SigG darstellt. Dies trat zwar bereits 1997 in kraft, da es aber reinen Modellcharakter besitzt, konnten bis heute kaum praktische Erfahrungen daraus gewonnen werden. Um endlich erste Erfahrungen machen zu können, sollen bis zum nächsten Jahr alle 12.000 Bediensteten des Landes Niedersachsen über Chipkarten für die elektronische Signatur verfügen. Dieses soll zusammen mit dem Trustcenter der Telekom passieren. Da dieser Trustcenter bereits von der Regulierungsbehörde genehmigt worden ist, wird dieser Personenkreis die Möglichkeit bekommen, mit einer qualifizierten Signatur entsprechend der europäischen Richtlinie zu unterschreiben. Zum einen kann dadurch erwartet werden, daß andere Institutionen diesem Beispiel folgen werden und sich die digitale Signatur somit in der Fläche ausbreitet. Zum anderen hat der Staat erkannt wie die digitale Signatur zunächst eingeführt werden kann, ohne die Papierform in der freien Wirtschaft abschaffen zu müssen bzw. ohne wesentliche Gesetzesänderungen auszukommen.
| | Gesetzestext
| |
| |  |
|
|
