Die juristischen Grundlagen für die digitale Signatur sind gelegt. Doch so recht in Schwung kommt sie nicht. Weder Privatanwender noch Unternehmen setzen in nennenswertem Ausmaß auf die elektronische Unterschrift. Die mangelhafte Infrastruktur sowie fehlende Standards hemmen die Ausbreitung der elektronischen Unterschrift ganz entscheidend.
Firmen schrecken dadurch vor größeren Investitionen zurück. Und im Privatbereich fehlen die Anwendungen. Doch die Optimisten unter den Sicherheitsexperten rechnen damit, dass diese Hindernisse in den nächsten Monaten weit gehend verschwinden.
Sicher ist derzeit allein die rechtliche Basis. Seit Mai letzten Jahres ist das neue Signaturgesetz in Kraft, das eine EU-Richtlinie umsetzt und das alte, sehr restriktive Gesetz aus dem Jahr 1997 ablöste. Mit Inkrafttreten des Gesetzes können Bürger und Unternehmen Dokumente digital unterschreiben.
Typen von Signaturen
Die letzten Hürden auf dem Weg zur endgültigen Gleichstellung von handschriftlicher und elektronischer Unterschrift wurden Mitte 2001 beseitigt. Mit dem am 1. August 2001 in Kraft getretenen Gesetz zur Anpassung der Formvorschriften des Privatrechts wurden Gesetzesartikel und Vorschriften an die Erfordernisse des Signaturgesetzes angeglichen. Elektronische Unterschriften, die bestimmte Voraussetzungen erfüllen, sind damit den handschriftlichen gleichgestellt. Der online geschlossene Vertrag hat damit den gleichen Stellenwert wie der Papiervertrag.
Im Detail sieht der deutsche Gesetzgeber in dem novellierten Signaturgesetz vier verschiedene Typen von Signaturen vor:
(Einfache) elektronische Signatur (§ 2 Nr. 1 SigG), (Stufe 1)
fortgeschrittene elektronische Signatur (§ 2 Nr. 2 SigG), (Stufe 1)
qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG) und (Stufe 2)
qualifizierte elektronische Signatur mit Anbieter-Akkreditierung (§ 15 Abs. 1 Satz 4 SigG) (Stufe 3)
Weiche und qualifizierte Signatur
Einfache und fortgeschrittene elektronische Signaturen bilden die "weichen" Signaturen, die nach EU- und deutschem Recht der handschriftlichen Unterschrift nicht gleichgestellt sind. Solche Signaturen kann man zum Beispiel mit dem Freeware-Programm PGP (Pretty Good Privacy) erzeugen. Sie lassen sich für einfache Transaktionen wie dem Verschicken von Mails, dem CD-Kauf im Internet oder innerhalb eines Unternehmens einsetzen und unterliegen der freien Beweiswürdigung der Richter. Beide Signaturen bieten nur wenig Sicherheit und ermöglichen keine eindeutige Zuordnung einer Willenserklärung zu einer Person.
Der handschriftlichen Unterschrift juristisch gleichgestellt ist erst die qualifizierte elektronische Signatur ab Stufe 2. Nur sie hat vor Gericht Beweiskraft und bildet praktisch den EG-Mindeststandard für Signaturen. Solche Signaturen sind durch Verschlüsselungsverfahren mit dem Dokument, das sie unterzeichnen, verknüpft. Der Empfänger kann hier immer erkennen, ob Dokumente durch Dritte manipuliert worden sind. Wichtig bei dieser Stufe: Qualifizierte Signaturen ab Stufe 2 müssen von einem Zertifizierungsdienst (Trustcenter) anerkannt sein. Die Anforderungen an diese Trustcenter - auch Certification Authorities (CA ) - bilden den wesentlichen Teil des Signaturgesetzes.
Mangelware Trustcenter
CAs liefern mit digitalen Zertifikaten und Schlüsseln die Grundausstattung zur Teilnahme am rechtsverbindlichen und vertraulichen elektronischen Geschäftsverkehr. Sie überprüfen zunächst die Identität des Nutzers und generieren einen elektronischen Ausweis - das Zertifikat.
Dieses beinhaltet den Namen des Ausstellers, Informationen über die Identität des Inhabers, Mail-Adresse sowie die digitale Signatur des Ausstellers. Vor allem aber bestätigt das Zertifikat, dass der öffentliche Schlüssel wirklich der beantragenden Person gehört. Der öffentliche Schlüssel ist ein eindeutiges Merkmal zur Identifizierung.
Typen von Zertifizierungsdiensten
Nach dem Signaturgesetz gibt es zwei Typen von Zertifizierungsdiensten. Bei einem "angemeldeten Zertifizierungsdienst" reicht eine Erklärung über die Sicherheit aus. Er ist nur bei den zuständigen Behörden gemeldet, aber keinerlei behördlicher Kontrolle unterworfen. Im Falle eines Rechtsstreits muss die Sicherheit vom Zertifikatnehmer - Unternehmen oder Privatanwender - bewiesen werden.
Im Gegensatz dazu überprüfen und bestätigen bei "akkreditierten Zertifizierungsdiensten" unabhängige Dritte die Sicherheit. Zertifikate dieser Stufe dürfen nur Trustcenter vergeben, die von der Regulierungsbehörde für Post und Telekommunikation einen Prüfstempel erhalten haben.
Nur sie dürfen "qualifizierte elektronische Signaturen mit Anbieterakkreditierung" oder vereinfacht: "Signaturen mit gesetzlichem Gütesiegel" ausstellen. Solche Signaturen sind also "besonders sicher". Mit diesem Signatur-Typ ermöglichte es die EU-Richtlinie den Mitgliedstaaten, im Bereich der Kommunikation mit Behörden hohe Anforderungen zu stellen.
Praxis der Zertifizierung
Wie läuft der Zertifizierungsprozess praktisch ab? Das Trustcenter erzeugt das Signaturschlüsselpaar - den privaten und den öffentlichen Schlüssel - und lädt sie auf eine Chipkarte. Die Chipkarte wird anschließend an den Antragsteller übergeben, zusammen mit einer zur Chipkarte gehörenden Geheimnummer (PIN).
Soll ein Dokument digital signiert werden, verknüpft der Absender das zu versendende Dokument mit seinem privaten Schlüssel, indem er die Chipkarte in den Chipkartenleser steckt und in der entsprechenden Software den Befehl "Signieren" anklickt. Das auf diese Weise erzeugte Dokument dient als digitale Signatur und wird an das ursprüngliche Dokument angehängt. Beide Teile werden anschließend zusammen übermittelt.
Der Empfänger des so signierten Dokuments kann den Inhalt sofort im Klartext lesen. Allerdings besteht noch keine Gewähr für den richtigen Absender und den korrekten Inhalt des Dokuments.
Öffentlicher Schlüssel für den Empfänger
Um Inhalt und Absender zu prüfen, muss der Empfänger die digitale Signatur mit dem öffentlichen Schlüssel des Absenders entschlüsseln. Dazu muss er im Besitz dieses öffentlichen Schlüssels sein, der beispielsweise künftig in einem Verzeichnis, ähnlich dem Telefonbuch, abgelegt sein kann.
Derzeit gibt es nur wenige Trustcenter, die ihre Arbeit aufgenommen haben. Eines der Haupthindernisse waren bislang die hohen Investitionskosten von über fünf Millionen Euro für Gebäude und Sicherheitsinfrastruktur. Mit dem neuen Signaturgesetz hat sich die Situation verbessert. Zertifizierungsanbieter müssen nun nicht mehr alle Dienstleistungen selbst erbringen, sondern können Teile von anderen Zertifizierungsstellen beziehen.
Die Übertragbarkeit geht so weit, dass sogar die Ausfertigung der Zertifikate und die Produktion der Chipkarten ausgelagert werden darf. Dadurch lassen sich die nötigen Investitionen für den Aufbau der akkreditierten Zertifizierungsstellen deutlich verringern. Beobachter rechnen damit, dass mittelfristig 20 Trustcenter verfügbar sind.
Zertifikate für Privat- und Geschäftskunden
Aktuell sind allerdings gerade mal ein halbes Dutzend akkreditierte Trustcenter verfügbar, von denen zudem ein Teil nur beschränkte Nutzergruppen wie Notare zertifiziert. Allgemein zugängliche CAs betreiben die Deutsche Post Tochter Signtrust und das TC Trustcenter aus Hamburg. Sie bieten sowohl Privat- als auch Geschäftskunden Zertifikate an.
Diese kosten je nach Anbieter zwischen 25 und 150 Euro im Jahr. Dafür erhält man neben einer Chipkarte mit der Signatur meist auch gleich den passenden Kartenleser mit PC-Anschluss und Programme zur Integration der Chipkarte in die vorhandene Software-Umgebung.
Die anderen bisher akkreditierten Zertifizierungsstellen richten sich vornehmlich an geschlossene Benutzergruppen oder ausschließlich an Geschäftskunden. So sind die Zertifikate der Datev eG nur für Steuerberater verfügbar, während die Telekom-Zertifizierungsstelle TeleSec auf Geschäftskunden zielt. Eine Liste aller aktuell akkreditierten Zertifizierungsdienste hat die Regulierungsbehörde für Post und Telekommunikation zusammengestellt.
Signtrust
Von den bisher akkreditierten Zertifizierungsstellen macht Signtrust mit einem Startpaket derzeit das günstigste Angebot. Für 61,36 Euro erhalten Interessenten neben dem elektronischen Signatur-Zertifikat auf einer Chipkarte auch einen Kartenleser mit PC-Anschluss. Im Preis eingeschlossen ist bereits die erste Jahresgebühr, jedes weitere Jahr sind 25,56 Euro fällig.
Um an das Zertifikat zu gelangen, meldet man sich online bei Signtrust an und druckt dann den Antrag aus. Anschließend legt der Antragsteller diesen zusammen mit einer Ausweiskopie und dem Original des Ausweises einer beliebigen Postfiliale vor, wo eine Überprüfung der Identität durchgeführt wird. Aus Sicherheitsgründen erhält der Signtrust-Kunde zwei Lieferungen- die Chipkarte mit der elektronischen Signatur, den Chipkartenleser, das Software-Paket Signtrust Mail sowie eine PIN-Nummer.
Praktisch läuft der Signierprozess wie folgt ab: Der Anwender schreibt seine E-Mail mit Hilfe seines E-Mail-Programms - derzeit werden nur Microsoft Outlook oder Lotus Notes bedient. Signtrust Mail stellt dann in dem Mail-Programm die zusätzlichen Funktionen "Nachricht signieren" und "Nachricht verschlüsseln" zur Verfügung.
Signtrust in der Praxis
Nachdem der Anwender seine Signtrust Signaturkarte in den Chipkartenleser eingeführt hat, wählt er durch Anklicken die Funktion "Nachricht signieren" aus. Daraufhin wird ihm seine E-Mail durch Signtrust Mail in einem eigenen Fenster erneut präsentiert.
Durch diese zusätzliche Darstellung wird sichergestellt, dass er wirklich nur das unterschreibt, was er auch auf dem Bildschirm gesehen und akzeptiert hat. Wenn er mit seiner E-Mail in der angezeigten Form einverstanden ist, aktiviert er die Signaturfunktion seiner Signaturkarte durch Eingabe seiner PIN.
Seine Mail wird dann von Signtrust Mail digital signiert und abgesendet. Auf Empfängerseite erkennt die Signtrust-Mail-Software automatisch eintreffende Mails, die signiert oder verschlüsselt sind, überprüft die Signatur und entschlüsselt das Dokument.
Weitere Trustcenter im Überblick
Die DATEV hat mit "e:secure" ein vergleichbares Komplettpaket aus Chipkarte mit Signatur und PIN, Signatur-Software und Kartenleser im Programm. Das e:secure-Paket gibt es ausschließlich für DATEV-Mitglieder und deren Mandanten, zum Beispiel Steuerberater und die von ihnen vertretenen Firmen. e:secure ist vornehmlich auf den Einzelarbeitsplatz ausgerichtet.
Die Telekom-Tochter Telesec bietet mit ServerPass ein Zertifikat, das ein E-Commerce-Anbieter auf seinem Webserver einbindet. Die Bereitstellung kostet 81,20 Euro, die Gebühr für ein Jahr 174 Euro. Telesec ist vor allem auf Teams spezialisiert.
TC Trustcenter bietet Signaturen für Privatanwender (TC Private) und für Firmen (TC Certificate) sowie Serverzertifikate an. TC-Private-Zertifikate kosten 31 Euro, Firmenzertifikate 62 Euro pro Jahr. Für ein Serverzertifikat (inklusive SSL-Verschlüsselung) legt man 260 Euro für den ersten Server an, für weitere Server je 130 Euro pro Jahr. Außerdem bietet TC Trustcenter eine Reihe von maßgeschneiderten Paketen für Firmen an, die eine Reihe von Arbeitsplätzen mit digitalen Signaturen ausstatten wollen.
Problem Interoperabilität
Das derzeit größte praktische Problem der digitalen Signatur ist die mangelnde Interoperabilität. Damit ist gemeint, dass im Geschäftsverkehr mit den Kunden eines anderen Trustcenters die SmartCards und die Anwendungs-Software nicht beliebig einsetzbar sind.
Im Klartext: Wer Kunde bei Trustcenter x ist, kann mit Kunden von Trustcenter y nicht verschlüsselt kommunizieren. Gründe für die mangelnde Standardisierung sind die unterschiedlichen Implementierungen internationaler PKI-Standards wie PKCS#1 und X.509.
Bislang existierten in Deutschland zwei zueinander inkompatible Spezifikationen für das Management elektronischer Zertifikate: die "Industrial Signature Interoperability Specification" (ISIS) vom Verein AG Trustcenter e.V. und "MailTrust" von Teletrust e.V. Um die Akzeptanz der digitalen Signatur zu erhöhen, hat das Bundesministerium für Wirtschaft und Technologie (BMWi) den Firmenverbund Teletrust beauftragt, ISIS und MailTrust zusammenzuführen und einen einheitlichen Standard zu erarbeiten. Die Spezifikation des neuen gemeinsamen Standards ISIS-MTT Version 1.0 steht seit Oktober 2001 im Web zur freien Verfügung.
Ziel: E-Government
Die Erarbeitung der "vereinheitlichten ISIS-MTT-Spezifikationen für Interoperabilität und Testsysteme" ist der erste Schritt eines mehrstufigen Projekts, in dem bisherige Erfahrungen mit internationalen Standards gekoppelt werden sollen. Die Arbeitsgruppe ruft auf ihrer Website ausdrücklich zu Kommentaren auf. Anregungen und Vorschläge werden geprüft, die Kommentare veröffentlicht. Noch für das Jahr 2002 sind die Entwicklung und Bereitstellung von Testtools, die Vorbereitung eines Testbeds und Pilotanwendungen des Testbeds geplant, die alle definierten Schnittstellen der ISIS-MTT-Spec enthalten. Hersteller können dann ihre Produkte überprüfen und von einer unabhängigen Prüfstelle abnehmen lassen.
Die Bundesregierung möchte die ISIS-MTT-konformen Signaturen möglichst bald einsetzen. Anwendungsfelder sind die vom BMWi geförderten Pilotprojekte MEDIA@Komm, Elektronische Wahlen I-Vote sowie die Initiative BundOnline 2005. Unter dem Motto BundOnline 2005 will die Bundesregierung alle Internet-fähigen Dienstleistungen des Bundes anbieten. Staatssekretär Dr. Alfred Tacke vom BMWI prophezeit: "Ich erwarte, dass jetzt rasch interoperable elektronische Signaturprodukte für jedermann angeboten werden und dadurch die Akzeptanz von E-Government- und E-Business-Lösungen deutlich erhöht wird. Dies ist ein wesentlicher Schritt für den breiten Durchbruch beim rechtsverbindlichen elektronischen Geschäftsverkehr."
Praxisbeispiele
Für Privatanwender sind digitale Zertifikate derzeit nicht sehr interessant, weil den jährlichen Kosten von mindestens 25 Euro kaum Nutzungsmöglichkeiten gegenüberstehen. Außer einigen Pilotprojekten zum Thema Behördengang per Internet und der Möglichkeit, E-Mails in Outlook zu verschlüsseln, existieren aktuell keine praktischen Anwendungsmöglichkeiten. Aber ihre Entwicklung ist nur eine Frage der Zeit.
Die meisten Pilotprojekte beschränken den Einsatz der elektronischen Signatur auf sehr einfache Dinge. Beim Städteverbund Nürnberg etwa wird die digitale Signatur im Rahmen einer multifunktionalen Chipkarte für den Online-Antrag von Anwohnerparkausweisen eingesetzt. Der Verbund hat für die Umsetzung mit Curiavant ein eigenes Unternehmen gegründet. Mit dem elektronischen Verwaltungssystem wird den Bürgern der aufwendige Behördengang erspart.
Statt sich persönlich zum zuständigen Beamten zu begeben, Bargeld einzuzahlen und den Ausweis abzuholen, kann der Geschäftsprozess vom heimischen PC aus per Chipkarte erledigt werden. Die digitale Signatur bürgt dabei für die richtige Identifikation der Person. Da die Karte auch eine integrierte Bezahlfunktion enthält, kann der Antragsteller auch gleich am PC bezahlen. Der Parkausweis kommt dann per Post.
Als nächste Anwendung ist eine Einwohnermeldeauskunft geplant. Dabei sollen berechtigte Personen wie Anwälte via Internet Auskünfte einholen können. Auch eine Auskunfts- und Buchungsmöglichkeit bei Volkshochschulen und anderen Bildungsträgern soll bald starten. Interessierte können sich dann über das Internet nicht nur über einzelne Kurse informieren, sondern auch unabhängig von Öffnungszeiten anmelden und die Kurse bezahlen.
Schröders Chefsache
Auch anderswo wird an kleinen Anwendungen für die digitale Signatur gearbeitet: In Bremen sind 15 Geschäftsvorfälle aus Verwaltung und Wirtschaft mit einer elektronischen Signatur nutzbar. Bis Ende 2002 soll diese Zahl auf 70 anwachsen. Dazu werden in den kommenden Monaten 10.000 Bürger mit Chipkarten ausgerüstet. Die Universität Bremen baut derzeit die technische Infrastruktur für den Einsatz der elektronischen Signatur für ihre Studenten auf. Als mögliche Anwendungen werden die An- und Abmeldung zu Prüfungen, die Nutzung von Bibliotheksdiensten oder die Kommunikation mit dem BAföG-Amt genannt.
Bundeskanzler Schröder hat im Mai letzten Jahres das Thema Digitale Signatur und E-Government zur Chefsache erklärt und die oben erwähnte Initiative BundOnline 2005 ins Leben gerufen. Damit verpflichtet sich die Bundesregierung, alle Internet-fähigen Dienstleistungen des Bundes - etwa 1200 an der Zahl - bis zum Jahr 2005 online zu stellen. Seine Vorstellungen entwickelte der Bundeskanzler vor mehr als 200 Behördenleitern auf einer Tagung zur Initiative in Berlin - und machte eine gewagte Prophezeiung: "In ein paar Jahren wird kaum noch jemand Verständnis dafür haben, wenn man Personalausweis oder Führerschein nicht per Internet beantragen kann".
Fazit
Während die Sache mit der digitalen Signatur juristisch im Lot ist, hat die praktische Umsetzung noch mit Kinderkrankheiten zu kämpfen. Für Privatnutzer gibt es derzeit kaum sinnvolle Anwendungen, Geschäftskunden scheuen die erforderlichen Investitionen und bemängeln die noch schwach ausgebaute Infrastruktur. Mangelhaft sind vor allem die noch spärlich gesäten Trustcenter, die zudem noch wenig Erfahrung mit millionenfacher Nutzung haben. Wird hier ein Fehler begangen, etwa indem ein Betrüger die Signatur für eine gefälschte Identität erhält oder Hacker Zugriff auf die Computersysteme in der Zertifizierungsstelle bekommen, lassen sich die Folgen ausmalen. Sicherheitsexperten bemängeln, dass neben den akkreditierten Zertifizierungsstellen, welche behördlich kontrolliert werden, auch solche ohne Überprüfung zugelassen sind. Die Bundesnotarkammer in Köln empfiehlt deshalb, nur akkreditierte Zertifizierungsdienste zu nutzen.
Größtes Manko für die Ausbreitung der digitalen Signatur waren bislang fehlende Standards, was dazu führte, dass im Geschäftsverkehr mit den Kunden eines anderen Trustcenters die SmartCards und die Anwendungs-Software nicht beliebig einsetzbar sind. Nun hat die Bundesregierung darauf gepocht, die beiden rivalisierenden Spezifikationen für das Management elektronischer Zertifikate zu vereinheitlichen und hofft, dass interoperable Signaturprodukte endlich den Durchbruch für die digitale Unterschrift bringen. Bis zum Jahr 2005 sollen dann alle Internet-fähigen Dienstleistungen des Bundes per elektronischer Signatur und Web verfügbar sein. (ala)