Im deutschen Signaturgesetz wird unterschieden zwischen (einfachen) elektronischen Signaturen, fortgeschrittenen Signaturen und qualifizierten Signaturen.
(Einfache) Elektronische Signatur Jegliche Daten (oder Grafiken), die mit anderen Daten (bzw. Dokumenten) logisch verknüpft sind und den Aussteller erkennen lassen (Authentifizierung) gelten als elektronische Signatur. Somit kann auch die eingescannte Unterschrift bereits als eSignatur betrachtet werden. In der Praxis werden heute jedoch bereits auf dieser Stufe relativ sichere Verfahren angeboten, die mehr aus formalen Gründen als „einfache“ Signatur zu bezeichnen sind.
Fortgeschrittene Signatur Die fortgeschrittene elektronische Signatur (FES) enthält sämtliche erforderlichen Merkmale (siehe obiges Bild). Es wird eine Checksumme (Hash) über den kompletten Inhalt des Objektes gebildet, verschlüsselt und wie ein Siegel an das Objekt angehängt. Ausserdem ist bereits die Zuordnung zum Schlüsselinhaber gefordert. Die FES erfüllt damit die funktionalen Anforderungen aus Anwendersicht und wird vermutlich international die größte Bedeutung erlangen.
Qualifizierte Signatur Die qualifizierte elektronische Signatur (QES) dient primär zur Abbildung der bereits im Signaturgesetz von 1997 definierten erhöhten Anforderungen. Sie berücksichtigt einerseits die fortschreitende technologische Entwicklung, in dem sie den Schlüsselzertifikaten nur eine begrenzte Gültigkeit einräumt und stellt andererseits besondere Anforderungen an die organisatorisch-technischen Gegebenheiten des Zertifikatherausgeber (Trust Center=Certification Authorities). Die QES ist juristisch der handschriftlichen Unterschrift mit wenigen, definierten Ausnahmen gleichgestellt. Überall dort, wo im Gesetz nichts anderes bestimmt ist, reicht es online einen Vertrag zu unterschreiben, eMails mit einer Signatur zu versehen oder die Steuererklärung über das Internet abzugeben. Speziell in Deutschland wird noch danach differenziert, ob das herausgebende Trust Center eine Akkreditierung vorweisen kann. D.h., ob die Einhaltung der organisatorisch-technischen Anforderungen durch eine unabhängige Organisation überprüft wurde.
In Deutschland wird lediglich die qualifizierte Signatur als juristisch vollkommen gleichwertig zum Beweiswert traditioneller Unterschriften betrachtet. D.h. in den Fällen, in denen keine Formfreiheit besteht (dies ist nur ein sehr geringer Anteil) muss die qualifizierte Signatur eingesetzt werden. Einfache oder fortgeschrittene Signaturformen können in allen anderen Fällen (z.B. Bestellungen, BGB-Verträge) eingesetzt werden. Sie unterliegen der freien richterlichen Beweiswürdigung und haben damit den gleichen Wert wie Nachweise auf Basis von Fax-Dokumenten und Reproduktionen von gescannten Originalen. Europaweit existieren fortgeschrittene elektronische Signaturen. Für den Geschäftsverkehr mit außereuropäischen Ländern gibt es keine verbindlichen Vereinbarungen.
Qualifizierte E-Signatur & Akkreditierung
Biometrie
Ein bisher nicht zufriedenstellend gelöstes Problem ist der Verlust/Diebstahl der elektronischen Signatur, die i.a. auf einer Chipkarte gespeichert wird, welche wiederum über eine PIN geschützt ist. Verliert die PIN ihre Vertraulichkeit, kann ein Dritter mit diesem Wissen versuchen, in den Besitz der Karte zu kommen, um die elektronische Signatur zu missbrauchen. Der Gesetzgeber denkt daher zukünftig ausdrücklich an den Einsatz von biometrischen Verfahren, die als zusätzliche Hürde neben der PIN potenziellem Missbrauch vorbeugen können.
Unter biometrischen Verfahren versteht man dabei die Erkennung von eindeutig mit der Person verbundenen Merkmalen. Bekanntestes Beispiel ist der Fingerabdruck, aber auch das Scannen der Iris oder die Aufnahme der charakteristischen Druckverläufe beim Schreiben gehören in diese Kategorie.
Öffentliche Verwaltung
Positiv zu erwähnen ist, dass die öffentliche Verwaltung ihre Vorreiterrolle wahrnimmt. So wurden in mehreren Pilotversuchen Erfahrungen mit den primären Anwendungsbereichen Signieren von
- eMails und von - Dokumenten aus Textverarbeitungssystemen
gesammelt. Gerade weil die Erfahrungen ernüchternd bzgl. der Interoperabilität der Produkte waren, waren diese Projekte sehr wichtig. Entsprechende Lösungsansätze werden über das BSI, die RegTP und TeleTrusT gefördert. Mit ISIS-MTT hat die Teletrust ein Protokoll vorgelegt, das die Interoperabilität zwischen den in Deutschland vorhandenen Trust Centern herstellen soll. Erste Implementierungen befinden sich im Test, so dass noch in 2004 mit einer Reduzierung des Interoperabilitätsproblems zu rechnen ist.
Weiterhin wird die Bundesregierung über das Projekt Bund Online 2005 erhebliche Mittel für die breite Einführung der Elektronischen Signatur bereitstellen. Ein aktueller Beschluss der Bundesregierung von Anfang 2002 verpflichtet die Kommunikationspartner der Bundesbehörden dazu bei der eMail-Kommunikation und dem Dokumentenaustausch mit der Verwaltung die eSignatur zu verwenden. Die technische Infrastruktur zur Prüfung der Signaturen werden im Rahmen des Projektes BundOnline2005 gestellt.
Freie Wirtschaft
Für die Organisation eines Unternehmen ergibt sich durch die elektronische Signatur die Möglichkeit ein erhebliches Rationalisierungspotenzial zu erschließen, ohne Einbußen bei der Sicherheit hinnehmen zu müssen. Im Gegenteil lässt sich bei genauerer Betrachtung der Technik und dem Vergleich zu den Fälschungsmöglichkeiten traditioneller Unterschriften aufzeigen, dass sogar eine höhere Sicherheit realisierbar ist.
Bei entsprechender Gestaltung lassen sich die Antrags- und Beschaffungstransaktionen innerhalb des Unternehmens oder mit externen Partnern hochgradig automatisieren ohne das manueller Aufwand innerhalb des einzelnen Vorgangs entsteht. Außer den Freigaben und Genehmigungen, erfordern lediglich periodische Kontrollen der Ergebnisse, z.B. Auftragsentwicklung, Zahlungseingang etc. und die Behandlung von Problemfällen manuelle Tätigkeiten.
Die Erschließung dieser Potenziale hat jedoch - wie immer - ihren Preis. Dabei ist weniger an die notwendigen Hard- und Software-Investitionen gedacht, die sich in Anbetracht der Einsparungsmöglichkeiten problemlos rechtfertigen lassen. Nicht zu unterschätzen ist jedoch der Aufwand für die organisatorische Gestaltung.
Organisatorische Konsequenzen
Wie immer bei der Einführung einer neuen Technologie dürfen jedoch die organisatorischen Konsequenzen nicht außer Acht gelassen werden. Werden Dokumente nur noch in elektronischer Form vorgehalten, muss entsprechende Vorsorge für eine ausreichende organisatorische und technische Sicherheit getroffen werden, denn es entsteht eine neue, nicht zu unterschätzende Abhängigkeit von der Technik. Eine gut durchdachte Konzeption ist daher Voraussetzung für einen erfolgreichen Einsatz der eSignatur. Aus solchen Überlegungen können sich dementsprechend vielfältige Einflüsse auf die Ablauforganisation ergeben.
Es wird speziell International auf absehbare Zeit mehrere unterschiedliche Verfahren für die elektronische Signatur geben, bei denen gegenüber dem Verzicht auf eine Unterschrift Aufwand/Komforteinbußen und Sicherheit/Anerkennung durch eine elektronische Signatur in einem proportionalen Verhältnis stehen. Für die interessierten Unternehmen bedeutet dies, dass man sich intensive Gedanken machen muss über:
- die zu unterstützenden Vorgänge Art und Anzahl externer Austauschpartner
- die Anforderungen an die Nachweispflicht, Authentifizierung, Personenorientierung
- die benötigten Sicherheitsstufen (z.B. abhängig von internen vs. externen Vorgängen, involvierte Kosten etc.)
- die Akzeptanz durch die Unternehmensführung
- die benötigten Arten elektronischer Signatur ("einfache" vs. "fortgeschrittene" vs. "qualifizierte" elektronische Signatur)
- die benötigten Verschlüsselungsverfahren (z.B. mit/ohne Public Key, Schlüssellänge)
- die benötigten Identifikationsverfahren (z.B. SmartCard&PIN, diverse biometrische Verfahren)
- das benötigte Authentifizierungsverfahren (z.B. mit/ohne Trust-Center, eigenes oder unabhängiges Trust Center)
- die Gestaltung der technischen Umsetzung
Dabei kann es durchaus sinnvoll sein, die unterschiedlichen Vorgänge in verschiedene Sicherheitsstufen zu kategorisieren und mit unterschiedlichen Ausprägungen der elektronischen Signatur zu unterstützen. Die Bewilligung eines Urlaubsantrages benötigt nicht dieselbe Sicherheit wie der Kauf eines Hochleistungscomputers und muss daher auch nicht gleichermaßen abgesichert werden.
Die technische Umsetzung richtet sich nach den Anforderungen, die sich in der Analysephase ergeben haben. Dabei ist vor allem die Frage nach einem geschlossenen oder einem offenen Benutzerkreis von entscheidender Bedeutung, da die Kompatibilität heutiger Systeme noch unzureichend ist.
Da eine elektronische Signatur nicht isoliert eingesetzt werden sollte, ist davon im Extremfall das gesamte Unternehmen betroffen. Im Zusammenhang mit den erforderlichen Analysen, den notwendigen Entscheidungen und der Unterstützung durch das Top-Management sowie durch die nicht-triviale technische Umsetzung, ist von Realisierungszeiträumen nicht unter einem Jahr auszugehen.
Fazit
Zusammenfassend bleibt festzuhalten, dass mit der elektronischen Signatur, ohne Rücksichten auf herkömmlichen Unterschriften und ohne Medienbruch, Prozesse komplett elektronisch unterstützt werden können. Auch bei dieser Technologie ist die effektive und effiziente Lösung jedoch nicht einfach durch die Installation der Software, sondern nur über ein stimmiges Gesamtkonzept zu erhalten. eBusiness ohne elektronische Signatur ist auf Dauer nicht vorstellbar. Der Übergang von der derzeitigen Experimentierphase des eBusiness in den „Mission-critical“-Bereich“ wird nicht zuletzt an der Etablierung der elektronischen Signatur gemessen werden können.
Bei Fragen zu diesem Thema wenden Sie sich bitte an: Oliver Berndt - B&L Management Consulting GmbH
CosmoShop gewinnt mit baby-markt.de den Shop Usability Award 2009! Mit dem beliebig skalierbaren COSMOSHOP bietet die Zaunz Publishing
GmbH kostengünstige Einstiegslösungen bis zu individuellen
High-End Lösungen. Jetzt die neue Version 10.0 für 30 Tage TESTEN!
luna-park GmbH ist die Online-Marketing Agentur für Suchmaschinenoptimierung
und Web
Controlling seit 1998. Zusätzlich bieten die Experten aus
Köln Suchmaschinen-Marketing und Online-Vermarktung aus einer
Hand an.
Teil 2 Varianten, Anwender und Konsequenzen
