EU-Commerce

Elektronische Unterschriften

Allein das Verschlüsseln der Nachrichten garantiert noch nicht die Integrität der versendeten Daten. Ein Ausfall von Strings aufgrund von Störungen beim Transfer kann den Inhalt der Nachricht verstümmeln oder verfälschen. Abhilfe schaffen hier sogenannte Hash-Wert-Verfahren, die aus der zu versendenden Nachricht einen Hash-Wert generieren und zusammen mit der Nachricht verschikken. Der Empfänger dechriffiert beides, den Hash-Wert und die Nachricht, generiert aus dem Text nach dem gleichen Algorithmus seinen eigenen Hash-Wert und vergleicht ihn mit der gesendeten Zahl. Sind die Werte identisch, ist die Wahrscheinlichkeit sehr hoch, daß der Empfänger die ursprüngliche, unverfälschte Nachricht erhalten hat.

Zudem lassen sich mit Hash-Wert-Verfahren digitale Signaturen erstellen, welche den Ursprung einer Nachricht sichern. Eine Hash-Funktion verwandelt hierbei das Dokument zusammen mit dem Datum und der Uhrzeit in eine kryptografische Prüfsumme, die der Krypto-Algorithmus mit dem geheimen Schlüssel des Absenders codiert. Die digitale Signatur wird zudem durch ein Signaturschlüsselzertifikat einer vertrauenswürdigen Stelle ergänzt, welches aus einer digitalen Unterschrift und Angaben über den Absender besteht. Ein Verfallsdatum begrenzt dabei den Gültigkeitszeitraum des Zertifikats (Bild 1).

Vertrauenswürdige Stellen, welche mit ihrer Unterschrift in elektronischen Zertifikaten für die Zusammengehörigkeit des Absenders und seines öffentlichen Schlüssels bürgen, heißen Trust Center, oder zu deutsch, Zertifizierungsstellen (Bild 2).

Weil die digitale Signatur künftig ebenso wie die handschriftliche rechtskräftig sein soll, haben bereits mehrere Mitgliedsstaaten der EU Gesetze verabschiedet, die ihren Einsatz regeln. Die Rechtsgrundlagen der einzelnen Länder weichen jedoch zum Teil erheblich

voneinander ab. Unterschiedliche Vorschriften gibt es zum Beispiel hinsichtlich der rechtlichen Wirkung elektronischer Unterschriften und was die technische Ausrüstung eines Trust Centers anbelangt. Abweichende Bestimmungen regeln darüber hinaus die Haftung bei Schäden im E-Commerce.

Als Antwort auf die auseinanderdriftenden Gesetzesinitiativen der Mitgliedsländer erarbeitete die Kommission der europäischen Union im Mai 1998 einen "Vorschlag für eine Richtlinie des europäischen Parlaments und des Rates über gemeinsame Rahmenbedingungen für elektronische Signaturen" (siehe Kasten "EU-Richtlinie").

Mit den Richtlinien will die europäische Kommission gemäß den Wünschen verschiedener Mitgliedsstaaten Rahmenbedingungen setzen, die den Binnenmarkt fördern. Sie hat versucht, den Gesetzestext möglichst technikneutral zu formulieren, damit er auch künftigen Authentifizierungsverfahren gerecht wird. Dabei bezieht sich die EU-Vorgabe nur auf Zertifikate des öffentlichen Datenverkehrs und nicht auf Signaturen, die innerhalb eines Firmennetzes bleiben.

Der gesetzliche Rahmen soll sicherstellen, daß elektronische Signaturen und Zertifizierungsstellen grenzüberschreitend anerkannt werden. Das, so heißt es in der Begründung zum Vorschlag der Kommission, sei die Hauptaufgabe einer europäischen Regelung. Sie müsse dazu in erster Linie Anforderungen an Zertifizierungsstellen und Haftungsfragen klären. Die Kommission verweist in ihrem Dokument auf weitere internationale Gremien, die sich mit dem Thema beschäftigen. Die UN-Kommission für internationales Handelsrecht (UNCITRAL), die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) sowie die Welthandelsorganisation (WTO) arbeiten an einheitlichen Signatur-Regeln für den elektronischen Geschäftsverkehr. Die Richtlinie wird frühestens zwei Jahre nach ihrem Inkrafttreten für die Mitglieder bindend. Weil sich die Minister bisher noch nicht einig sind, wird das allerdings nicht vor dem 31. 12. 2000 sein.