Bedeutung der Elektronischen Signatur

Autor: Oliver Berndt  veröffentlicht am 02 September 2004  

B & L Management Consulting GmbHDie zunehmende Elektronisierung unseres Alltags ist häufig noch mit dem althergebrachten Medium "Papier" verbunden. Wesentlicher Grund für diesen Anachronismus ist die Rechtsverbindlichkeit, die mit einer Unterschrift auf einem Papier verbunden ist. Dies gilt gerade und vor allem im Geschäftsverkehr und dort speziell zwischen Unternehmen.

Nach der bis 2001 geltenden Rechtslage konnte sich ein Unternehmen im Streitfall nur dann beruhigt auf die Beweiskraft seiner Dokumente verlassen, wenn diese in Papier, und mit einer traditionellen Unterschrift versehen, vorlagen. Zwar ist seit langem bekannt, dass Unterschriften ohne großen Aufwand gefälscht werden können, aber die uneingeschränkte juristische Anerkennung war allen anderen Formen verwehrt.

Dies führt bereits seit Jahren zu Szenarien, in denen für den Geschäftsverkehr relevante Dokumente zwar mit EDV erstellt werden, dann aber ausgedruckt, unterschrieben und auf dem normalen Postweg versandt werden. Dabei ist es prinzipiell unerheblich, ob es um einen großen oder kleinen Auftrag geht, und ob es sich bei dem Dokument um einen Brief, einen Antrag/Auftrag, einen Vertrag, eine Auftragsbestätigung, einen Lieferschein oder eine Rechnung/Mahnung handelt. Bei dem Empfänger durchläuft dieser Brief wiederum einen mehr oder weniger aufwändigen Posteingangsprozess.

Natürlich ist die Ineffizienz dieses Verfahrens seit langem erkannt und über verschiedene Ansätze (z.B. Signaturgesetz von 1997, EDI-Verfahren) ist eine Lösung versucht worden. Juristische Regelungen müssen jedoch weitgehend unabhängig von technologischen Trends Bestand und Gültigkeit haben. Dies gilt insbesondere für eine so schnelllebige Technik wie die Informationstechnologie. Damit wird die Materie jedoch sehr komplex.

Zwar war es nicht verboten auf die Unterschrift im Geschäftsverkehr zu verzichten, aber der Verzichtende ging damit ein Risiko der Nichtanerkennung für den Streitfall ein. Dieses Risiko ist generell nicht unbekannt. Große Versandhäuser kennen das Problem des Beweisrechts spätestens seit der Einführung telefonischer Bestellungen vor ca. 10 Jahren und sind damit dennoch nicht schlecht gefahren. Jedoch gibt es bis heute sehr viele Unternehmen, die nicht bereit sind solche Risiken einzugehen.

Kaufen im Internet

Speziell bei Käufen im Internet besteht ein dringender Bedarf für eine solche Regelung. Einerseits kennen sich Käufer und Verkäufer nicht, andererseits ist eine Initiierung eines Kaufs im Internet, der dann über einen intensiven Papieraustausch abgewickelt wird, weder sinnvoll noch von den Abnehmern akzeptiert. Internet-Händlern bleibt daher nur die Lösung einer Inkaufnahme des erhöhten Risikos oder den Kunden von einer Registrierung zu überzeugen und dann evtl. einem (Online-)Scoring zu unterwerfen.

Im Internet-Handel gilt dies nicht nur für die rechtliche Gültigkeit und Nachvollziehbarkeit der Transaktion, sondern auch für - die aus Händlersicht noch wichtigere - Sicherheit des Zahlungseingangs. Teilweise haben sich Verfahren etabliert, bei denen der Kunde die erste Lieferung nur auf Nachnahme erhält. Wird diese Lieferung korrekt bezahlt, so ist beim nächsten Mal die Bestellung gegen Rechnung möglich. Dass dieses Verfahren nicht optimal ist, zeigt die bereits seit Jahren geführte Diskussion um unterschiedliche Internet-Zahlungsverfahren, ohne dass sich ein Verfahren hätte durchsetzen können. Andererseits weiß jeder Internet-Händler über die mangelnde Zahlungsmoral, Scheinbestellungen etc. zu berichten.

Mit der zunehmenden Verbreitung von eCommerce ist dieser Zustand nicht mehr haltbar, weil im Geschäftsverkehr via Internet die "Notlösung" über das Papier nicht funktioniert. Da eine elektronische Signatur nicht papiergebunden erfolgt, sondern durch softwaregesteuerte Verfahren, die auf Verschlüsselung, Geheimcodes und/oder biometrischen Merkmalen basieren, umgesetzt wird, ist die papierfreie Geschäftsabwicklung realisierbar.

Zielsetzung der eSignatur

Mit dem neuem Signaturgesetz liegt bereits seit 2001 ein Ansatz vor, der der europäischen Geschäftswelt die fehlende Rechtssicherheit bringt. Was kann und will dieses Gesetz nun leisten?

Primär sind zwei Funktionen zu erfüllen:

1. Nachträgliche Änderungen an Inhalten einer Vereinbarung sollen vermieden oder zumindest unmittelbar erkannt werden.

2. Die Verantwortung für die Vereinbarung soll eindeutig zugeordnet werden können.

Damit ein solches, grundsätzlich neues Verfahren erfolgreich eingeführt werden kann, müssen einige Voraussetzungen erfüllt werden:

Sicher
Sowohl die Verfügbarkeit (Ausfallsicherheit) als auch die Sicherheit gegen Angriff und Missbrauch sind Erfolgsfaktoren, für die Marktakzeptanz der eSignatur.

Einfach
Die Benutzung muss in der Einfachheit dem Vergleich mit der traditionellen Unterschrift standhalten. D.h. die eSignatur muss einem einfachen und einheitlichen Prozedere folgen. Unterschiedliche organisatorische und technische Verfahren aufgrund von Abhängigkeiten bei den Speicher- und Kommunikationsmedien, den beteiligten Partnern oder der installierten Produkte sind zu vermeiden.

Kostengünstig
Speziell im Massenmarkt besteht eine hohe Kostensensibilität. Ein neues Verfahren muss aus Nutzersicht handfeste Vorteile bringen, damit Kosten akzeptiert werden. Da eine traditionelle Unterschrift im Konsumbereich (B2C) kaum Kosten verursacht, muss auch die eSignatur weitestgehend auf vorhandener Infrastruktur aufsetzen. Im B2B-Bereich gilt prinzipiell der gleiche Grundsatz, nur sind hier durch bestehende Prozesskosten und bessere Infrastruktur die Randbedingungen deutlich günstiger.

Rechtssicher
In den meisten Fällen besteht Formfreiheit für Vereinbarungen. Dennoch hat es sich eingebürgert, Vereinbarungen schriftlich festzuhalten und zu unterschreiben, um im Streitfall einen Nachweis vor Gericht vorlegen zu können. Entscheidend ist somit die Rechtswirksamkeit des Handelns.

Die derzeitigen Diskussionen drehen sich meist weniger um Zielsetzung und Sinnhaftigkeit der eSignatur, sondern vor allem darum, ob und wie gut die genannten Voraussetzungen erfüllt werden. Auf Basis der derzeitigen technischen Lösungsansätze und der rechtlichen Situation kann sowohl für die Sicherheit und als auch für die juristische Akzeptanz von einem hohen Abdeckungsgrad der Anforderungen ausgegangen werden. Kosten-/Nutzenbetrachtungen im B2B-Bereich ergeben bei einer adäquaten Lösungskonzeption akzeptable Amortisationszeiten und mittel- bis langfristig erhebliche Einsparungen.

Hindernisse sind derzeit noch im Bereich der „Einfachheit“, die aber im B2B-Bereich in den meisten Fällen pragmatisch gelöst werden können, weil sich die Partner häufig kennen, mehrfach Geschäfte miteinander absolvieren und sich somit auf bestimmte organisatorisch-technische Konzepte einigen können.

Elektronische Signatur in Europa

Bereits 1997 hat die Bundesregierung das Signaturgesetz verabschiedet. Damit wurde europaweit erstmalig eine gesetzliche Regelung für elektronische Unterschriften geschaffen. In der IT-Industrie keimte mit der Verabschiedung des Gesetzes 1997 die Hoffnung, dass das papierlose Büro doch noch Wirklichkeit und die IT-Sicherheit in Unternehmen durch das Setzen verbindlicher Standards beflügelt werde. Zudem wurde ein großer Markt für Trust Center vorhergesagt. Die großen Erwartungen, die an dieses Gesetz geknüpft waren, konnte es jedoch nicht erfüllen.

Der nationale Alleingang Deutschlands von 1997, der sich nicht zuletzt auch im europäischen Ausland den Vorwurf der Überregulierung gefallen lassen musste, brachte jedoch einen wichtigen Diskussionsprozess in Gang, der zur Verabschiedung der "EU-Richtlinie zur elektronischen Signatur" geführt hat. Dabei wurde nicht nur der Begriff "digital" durch "elektronisch" ersetzt, sondern es sind eine Reihe weiterer relevanter Veränderungen im Vergleich zum ersten Signaturgesetz festgehalten. Das Fehlen jeglicher rechtlicher Konsequenzen war eine wesentliche Ursache für den Misserfolg des Gesetzes von 1997, die mit der EU-Richtlinie und der resultierenden Novellierung des deutschen Signaturgesetzes in 2001 wegfiel.

Mit dem Ziel der europaweiten Vereinheitlichung der Regelungen zu elektronischen Signaturen und deren allgemeiner Gleichstellung mit der handschriftlichen Unterschrift trifft die Richtlinie im Wesentlichen folgende Aussagen:

- Deregulierung, d.h. eine größere Offenheit bzgl. der technischen und organisatorischen Standards.

- Rechtsverbindlichkeit auch im Bereich gesetzlicher Schriftformerfordernisse.

- Volle beweisrechtliche Anerkennung.

Die Implementierung der Richtlinie in das nationale Recht der Mitgliedstaaten musste bis zum 19.07.2001 erfolgen. Prinzipiell ist somit der Einsatz innerhalb Europas und damit auch grenzüberschreitend möglich.

Rahmenbedingungen durch die EU-Richtlinie
Rahmenbedingungen durch die EU-Richtlinie

Die elektronische Signatur soll ein äquivalentes Substitut der handschriftlichen Unterschrift werden, d.h. überall dort, wo der Gesetzgeber die Schriftform zwingend vorschreibt, kann eine bestimmte Form der elektronischen Signatur eingesetzt werden. Erst recht ist die eSignatur überall einsetzbar, wo keine Formerfordernis besteht.

Mit all diesen Gesetzesänderungen steht papierlosen Vereinbarungen, (Kauf-) Verträgen, Bestellungen, Aufträgen etc. europaweit keine Rechtsunsicherheit mehr im Wege. Auf die nachträglichen oder zusätzlichen Papierversendungen und Papierablagen bei elektronischen Geschäften kann damit generell verzichtet werden. Auch die internen Abläufe von der Urlaubsanforderung bis zur Reisekostenabrechnung sind nicht mehr auf die handschriftliche Unterschrift angewiesen. Damit lassen sich nun endlich erhebliche Effizienzpotenziale in vielen Prozessen für das Unternehmen erschließen.

Varianten der eSignatur

Im deutschen Signaturgesetz wird unterschieden zwischen (einfachen) elektronischen Signaturen, fortgeschrittenen Signaturen und qualifizierten Signaturen.

Varianten der elektronischen Signatur
Varianten der elektronischen Signatur

(Einfache) Elektronische Signatur
Jegliche Daten (oder Grafiken), die mit anderen Daten (bzw. Dokumenten) logisch verknüpft sind und den Aussteller erkennen lassen (Authentifizierung) gelten als elektronische Signatur. Somit kann auch die eingescannte Unterschrift bereits als eSignatur betrachtet werden. In der Praxis werden heute jedoch bereits auf dieser Stufe relativ sichere Verfahren angeboten, die mehr aus formalen Gründen als „einfache“ Signatur zu bezeichnen sind.

Fortgeschrittene Signatur
Die fortgeschrittene elektronische Signatur (FES) enthält sämtliche erforderlichen Merkmale (siehe obiges Bild). Es wird eine Checksumme (Hash) über den kompletten Inhalt des Objektes gebildet, verschlüsselt und wie ein Siegel an das Objekt angehängt. Ausserdem ist bereits die Zuordnung zum Schlüsselinhaber gefordert. Die FES erfüllt damit die funktionalen Anforderungen aus Anwendersicht und wird vermutlich international die größte Bedeutung erlangen.

Qualifizierte Signatur
Die qualifizierte elektronische Signatur (QES) dient primär zur Abbildung der bereits im Signaturgesetz von 1997 definierten erhöhten Anforderungen. Sie berücksichtigt einerseits die fortschreitende technologische Entwicklung, in dem sie den Schlüsselzertifikaten nur eine begrenzte Gültigkeit einräumt und stellt andererseits besondere Anforderungen an die organisatorisch-technischen Gegebenheiten des Zertifikatherausgeber (Trust Center=Certification Authorities). Die QES ist juristisch der handschriftlichen Unterschrift mit wenigen, definierten Ausnahmen gleichgestellt. Überall dort, wo im Gesetz nichts anderes bestimmt ist, reicht es online einen Vertrag zu unterschreiben, eMails mit einer Signatur zu versehen oder die Steuererklärung über das Internet abzugeben. Speziell in Deutschland wird noch danach differenziert, ob das herausgebende Trust Center eine Akkreditierung vorweisen kann. D.h., ob die Einhaltung der organisatorisch-technischen Anforderungen durch eine unabhängige Organisation überprüft wurde.

In Deutschland wird lediglich die qualifizierte Signatur als juristisch vollkommen gleichwertig zum Beweiswert traditioneller Unterschriften betrachtet. D.h. in den Fällen, in denen keine Formfreiheit besteht (dies ist nur ein sehr geringer Anteil) muss die qualifizierte Signatur eingesetzt werden. Einfache oder fortgeschrittene Signaturformen können in allen anderen Fällen (z.B. Bestellungen, BGB-Verträge) eingesetzt werden. Sie unterliegen der freien richterlichen Beweiswürdigung und haben damit den gleichen Wert wie Nachweise auf Basis von Fax-Dokumenten und Reproduktionen von gescannten Originalen. Europaweit existieren fortgeschrittene elektronische Signaturen. Für den Geschäftsverkehr mit außereuropäischen Ländern gibt es keine verbindlichen Vereinbarungen.

Qualifizierte E-Signatur & Akkreditierung
Qualifizierte E-Signatur & Akkreditierung

Biometrie

Ein bisher nicht zufriedenstellend gelöstes Problem ist der Verlust/Diebstahl der elektronischen Signatur, die i.a. auf einer Chipkarte gespeichert wird, welche wiederum über eine PIN geschützt ist. Verliert die PIN ihre Vertraulichkeit, kann ein Dritter mit diesem Wissen versuchen, in den Besitz der Karte zu kommen, um die elektronische Signatur zu missbrauchen. Der Gesetzgeber denkt daher zukünftig ausdrücklich an den Einsatz von biometrischen Verfahren, die als zusätzliche Hürde neben der PIN potenziellem Missbrauch vorbeugen können.

Unter biometrischen Verfahren versteht man dabei die Erkennung von eindeutig mit der Person verbundenen Merkmalen. Bekanntestes Beispiel ist der Fingerabdruck, aber auch das Scannen der Iris oder die Aufnahme der charakteristischen Druckverläufe beim Schreiben gehören in diese Kategorie.

Öffentliche Verwaltung

Positiv zu erwähnen ist, dass die öffentliche Verwaltung ihre Vorreiterrolle wahrnimmt. So wurden in mehreren Pilotversuchen Erfahrungen mit den primären Anwendungsbereichen Signieren von

- eMails und von
- Dokumenten aus Textverarbeitungssystemen

gesammelt. Gerade weil die Erfahrungen ernüchternd bzgl. der Interoperabilität der Produkte waren, waren diese Projekte sehr wichtig. Entsprechende Lösungsansätze werden über das BSI, die RegTP und TeleTrusT gefördert. Mit ISIS-MTT hat die Teletrust ein Protokoll vorgelegt, das die Interoperabilität zwischen den in Deutschland vorhandenen Trust Centern herstellen soll. Erste Implementierungen befinden sich im Test, so dass noch in 2004 mit einer Reduzierung des Interoperabilitätsproblems zu rechnen ist.

Weiterhin wird die Bundesregierung über das Projekt Bund Online 2005 erhebliche Mittel für die breite Einführung der Elektronischen Signatur bereitstellen. Ein aktueller Beschluss der Bundesregierung von Anfang 2002 verpflichtet die Kommunikationspartner der Bundesbehörden dazu bei der eMail-Kommunikation und dem Dokumentenaustausch mit der Verwaltung die eSignatur zu verwenden. Die technische Infrastruktur zur Prüfung der Signaturen werden im Rahmen des Projektes BundOnline2005 gestellt.

Freie Wirtschaft

Für die Organisation eines Unternehmen ergibt sich durch die elektronische Signatur die Möglichkeit ein erhebliches Rationalisierungspotenzial zu erschließen, ohne Einbußen bei der Sicherheit hinnehmen zu müssen. Im Gegenteil lässt sich bei genauerer Betrachtung der Technik und dem Vergleich zu den Fälschungsmöglichkeiten traditioneller Unterschriften aufzeigen, dass sogar eine höhere Sicherheit realisierbar ist.

Bei entsprechender Gestaltung lassen sich die Antrags- und Beschaffungstransaktionen innerhalb des Unternehmens oder mit externen Partnern hochgradig automatisieren ohne das manueller Aufwand innerhalb des einzelnen Vorgangs entsteht. Außer den Freigaben und Genehmigungen, erfordern lediglich periodische Kontrollen der Ergebnisse, z.B. Auftragsentwicklung, Zahlungseingang etc. und die Behandlung von Problemfällen manuelle Tätigkeiten.

Die Erschließung dieser Potenziale hat jedoch - wie immer - ihren Preis. Dabei ist weniger an die notwendigen Hard- und Software-Investitionen gedacht, die sich in Anbetracht der Einsparungsmöglichkeiten problemlos rechtfertigen lassen. Nicht zu unterschätzen ist jedoch der Aufwand für die organisatorische Gestaltung.

Organisatorische Konsequenzen

Wie immer bei der Einführung einer neuen Technologie dürfen jedoch die organisatorischen Konsequenzen nicht außer Acht gelassen werden. Werden Dokumente nur noch in elektronischer Form vorgehalten, muss entsprechende Vorsorge für eine ausreichende organisatorische und technische Sicherheit getroffen werden, denn es entsteht eine neue, nicht zu unterschätzende Abhängigkeit von der Technik. Eine gut durchdachte Konzeption ist daher Voraussetzung für einen erfolgreichen Einsatz der eSignatur. Aus solchen Überlegungen können sich dementsprechend vielfältige Einflüsse auf die Ablauforganisation ergeben.

Es wird speziell International auf absehbare Zeit mehrere unterschiedliche Verfahren für die elektronische Signatur geben, bei denen gegenüber dem Verzicht auf eine Unterschrift Aufwand/Komforteinbußen und Sicherheit/Anerkennung durch eine elektronische Signatur in einem proportionalen Verhältnis stehen. Für die interessierten Unternehmen bedeutet dies, dass man sich intensive Gedanken machen muss über:

- die zu unterstützenden Vorgänge Art und Anzahl externer Austauschpartner

- die Anforderungen an die Nachweispflicht, Authentifizierung, Personenorientierung

- die benötigten Sicherheitsstufen (z.B. abhängig von internen vs. externen Vorgängen, involvierte Kosten etc.)

- die Akzeptanz durch die Unternehmensführung

- die benötigten Arten elektronischer Signatur ("einfache" vs. "fortgeschrittene" vs. "qualifizierte" elektronische Signatur)

- die benötigten Verschlüsselungsverfahren (z.B. mit/ohne Public Key, Schlüssellänge)

- die benötigten Identifikationsverfahren (z.B. SmartCard&PIN, diverse biometrische Verfahren)

- das benötigte Authentifizierungsverfahren (z.B. mit/ohne Trust-Center, eigenes oder unabhängiges Trust Center)

- die Gestaltung der technischen Umsetzung

Dabei kann es durchaus sinnvoll sein, die unterschiedlichen Vorgänge in verschiedene Sicherheitsstufen zu kategorisieren und mit unterschiedlichen Ausprägungen der elektronischen Signatur zu unterstützen. Die Bewilligung eines Urlaubsantrages benötigt nicht dieselbe Sicherheit wie der Kauf eines Hochleistungscomputers und muss daher auch nicht gleichermaßen abgesichert werden.

Die technische Umsetzung richtet sich nach den Anforderungen, die sich in der Analysephase ergeben haben. Dabei ist vor allem die Frage nach einem geschlossenen oder einem offenen Benutzerkreis von entscheidender Bedeutung, da die Kompatibilität heutiger Systeme noch unzureichend ist.

Da eine elektronische Signatur nicht isoliert eingesetzt werden sollte, ist davon im Extremfall das gesamte Unternehmen betroffen. Im Zusammenhang mit den erforderlichen Analysen, den notwendigen Entscheidungen und der Unterstützung durch das Top-Management sowie durch die nicht-triviale technische Umsetzung, ist von Realisierungszeiträumen nicht unter einem Jahr auszugehen.

Fazit

Zusammenfassend bleibt festzuhalten, dass mit der elektronischen Signatur, ohne Rücksichten auf herkömmlichen Unterschriften und ohne Medienbruch, Prozesse komplett elektronisch unterstützt werden können. Auch bei dieser Technologie ist die effektive und effiziente Lösung jedoch nicht einfach durch die Installation der Software, sondern nur über ein stimmiges Gesamtkonzept zu erhalten. eBusiness ohne elektronische Signatur ist auf Dauer nicht vorstellbar. Der Übergang von der derzeitigen Experimentierphase des eBusiness in den „Mission-critical“-Bereich“ wird nicht zuletzt an der Etablierung der elektronischen Signatur gemessen werden können.

Thema des Eintrags (Marketing, eCommerce)
  • E-Commerce
  • Recht
IT-Thema des Eintrags?
IT-Sicherheit