Aktuell

Digitale Signatur

Stimmen zum Signaturgesetz

Mitte Mai ist das neue Signaturgesetz in Kraft getreten. KES hat Vertreter aus Politik, Wirtschaft und Wissenschaft gefragt, was sie von der Novelle erwarten und wo sie noch Probleme sehen.

Die gesetzeskonforme digitale Signatur ist tot, es lebe die gesetzeskonforme elektronische Signatur. Und die kommt nach dem neuen deutschen Signaturgesetz (SigG) gleich in Familienstärke auf uns zu: Im Sinne des SigG sind elektronische Signaturen zunächst einmal alle "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen". Authentifizierung hat hier eine sehr rudimentäre Bedeutung: Bereits ein Name in ASCII-Zeichen unter einer E-Mail dürfte nach dieser Definition als "gesetzeskonforme" elektronische Signatur durchgehen.

Denn Signatur-Schlüssel und die eindeutige Zuordnung zu einer Person kommen erst bei fortgeschrittenen elektronischen Signaturen ins Spiel, Zertifikate und sichere Signaturerstellungseinheiten erst bei qualifizierten elektronischen Signaturen, die in etwa den strengen Anforderungen der vormaligen gesetzeskonformen Signaturen des SigG von 1997 entsprechen. Eine Lizenzpflicht gibt es nicht mehr, Zertifizierungsstellen können sich aber freiwillig akkreditieren und anschließend mit der damit verbundenen "Sicherheitsüberprüfung" werben.

Das neue Gesetz, das die EU-Signaturrichtlinie in nationales Recht umsetzt, ist am 22. Mai 2001 in Kraft getreten. Die Rechtsfolgen der elektronischen Signaturen regelt es allerdings nicht: Hierfür ist das "Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr" zuständig, das derzeit im Vermittlungsausschuss von Bundestag und Bundesrat abschließend verhandelt wird. Auch eine Neufassung der Signaturverordnung (SigV), die nähere Einzelheiten festlegt, steht noch aus.

[externer Link] Bundeswirtschaftsminister Dr. Werner Müller gab sich zum Gesetzesstart optimistisch: "Ich freue mich, dass das neue Signaturgesetz jetzt in Deutschland als einem der ersten EU-Länder geltendes Recht ist. Ich bin mir ganz sicher, dass die elektronische Unterschrift den IuK-Markt in Zukunft noch stärker beleben wird." Die erforderliche Anpassung der Formvorschriften soll rasch folgen und die SigV ebenfalls noch dieses Jahr über die Bühne gehen: Das Bundeswirtschaftsministerium strebe an, die Verordnung nach ihrer Notifizierung bei der Europäischen Kommission im Herbst zeitnah dem Bundeskabinett zur Verabschiedung vorzulegen.

Auch der Providerverband [externer Link] eco begrüßt die schnelle Umsetzung der EU-Richtlinie, grundsätzlich sei das SigG sehr gelungen. eco-Vorstand Michael Rotert warnt aber davor, die Erwartungen zu hoch anzusetzen, da erst einmal die Technik in den Markt kommen müsse: "Es ist nun dringend notwendig, dass Banken und E-Government Smartcards einführen, um eine breite Anwendung zu fördern. Im Endkundenbereich wird das psychologische Hemmschwellen abbauen. Das ist für das Anschieben des E-Commerce und die Akzeptanz des Mediums Internet generell nicht zu unterschätzen." Im B2B-Bereich erwartet Rotert jedoch kaum Auswirkungen.

[externer Link] BITKOM sieht im neuen SigG "die rechtliche Grundlage für eine rasche und umfassende Verbreitung des elektronischen Handels". Der sichere Einsatz der digitalen Signatur setze jedoch auch sichere Systeme und ein Sicherheitsbewusstsein beim Anwender voraus. Wie einige Medienberichte und die öffentliche Diskussion im Umfeld von Trojanerangriffen auf Signatur-Umgebungen Mitte Juni gezeigt hätten, sei nun eine "praktische Aufklärung über Risiken und Möglichkeiten bei der Nutzung von IT-Infrastruktur dringend erforderlich".

Die europäische Ausrichtung von elektronischen Signaturen steht für [externer Link] TeleTrusT im Mittelpunkt: Nur dadurch entstehe ein wirklich relevanter Markt. TeleTrusT-Geschäftsführer Prof. Helmut Reimer: "Leider ist der Spielraum für die juristische Interpretation der Rechtsfolgen elektronischer Signaturen in Deutschland durch das SigG-2001 gewachsen. In diesem Zusammenhang entsteht derzeit eine 'Qualitätsdiskussion' um die qualifizierte elektronische Signatur als europäische Standardqualität und die 'höherwertige' deutsche Signatur mit Anbieterakkreditierung. Der Markt wird durch diese komplizierte Diskussion verunsichert und die europäische Orientierung geschwächt." Es bestehe aber auch Hoffnung, dass die notwendige Regulierung der Rahmenbedingungen mehr Flexibilität für marktgerechte Lösungen herausfordert.

Akkreditierung

Die [externer Link] DATEV erwartet vom neuen SigG, dass es sich in seinen anspruchsvollen Anforderungen an Zertifizierungsstellen durchsetzt. "Auch wenn die vorherige Zulassung einer Zertifizierungsstelle durch die Regulierungsbehörde für Telekommunikation und Post (www.regtp.de) weggefallen ist, hoffen wir, dass sich qualifizierte Zertifikate mit der zusätzlichen Möglichkeit einer freiwilligen Akkreditierung der Zertifizierungsstelle durchsetzen werden", so DATEV-Pressesprecher Thomas Milatz. Gerade die Schadensersatzregelung für qualifizierte Signaturen werde ein wesentliches Kriterium für die Vertrauensbildung und schnelle Verbreitung elektronischer Signaturen sein: "Wer zwar sagt, seine Produkte und Dienste seien sicher, sich aber über eine Qualifizierung nicht zu einer Haftung bekennt, kann nicht mit dem gleichen Vertrauen rechnen, wie jemand, der die höchsten Ansprüche an seine Sicherheit stellt und diese auch nach außen dokumentieren kann."

Überdies begrüßt die DATEV, dass nun die Bedürfnisse von Berufskammern berücksichtigt sind: Als zuständige berufsregisterführende Stellen sind sie künftig in den Zertifizierungsprozess eingebunden, wenn für Attributzertifikate eine Bestätigung über die Berufszugehörigkeit erwünscht ist.

Zukunftssicher

Auch die [externer Link] Gesellschaft für Informatik (GI) setzt auf die akkreditierten Zertifizierungsstellen: "Bei der qualifizierten Signatur ohne amtliches Gütesiegel kann sich der Nutzer hinsichtlich der Sicherheit der Verfahren nur auf die Behauptungen der Diensteanbieter und Produkthersteller verlassen. Welchen Wert die bloßen Behauptungen mancher Unternehmen für die Qualität ihrer Leistungen oder Produkte haben, hat die BSE-Krise gezeigt. Bei Prüfungen von Fleisch- und Wurstwaren mit dem Aufkleber 'garantiert ohne Rindfleisch' kamen unabhängige Labors zu ganz anderen Ergebnissen!" Zudem müssten nach derzeitigem Stand nichtakkreditierte qualifizierte Signaturen nur für die Dauer ihrer Gültigkeit und weitere zwei Jahre überprüfbar sein: "Geht der Anbieter in Konkurs oder stellt er seinen Betrieb ein, sind die qualifizierten Signaturen schon früher nicht mehr prüfbar. Ein Dokument, das mit solchen Signaturen unterschrieben wurde, verliert dann seine Beweiskraft", so die GI in einer Pressemeldung. Nur akkreditierte Zertifikate seien nach den neuen Regelungen für mindestens 35 Jahre nachprüfbar.

Marcus Belke, Geschäftsführer der [externer Link] Deutschen Post SignTrust, sieht die Einführung des Gütezeichens für akkreditierte Zertifizierungsdiensteanbieter als wichtigste Neuerung an, da es "für die Nutzer transparent macht, wann sie echte Sicherheit einkaufen." Überdies brauche man nun dringend die Verabschiedung des Schriftformänderungsgesetzes und die neuen Verwaltungsverfahrensvorschriften.

Lukas Gundermann kommentiert für das [externer Link] Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein: "Aus der Sicht das Datenschutzes ist die Neufassung des Signaturgesetzes insgesamt gelungen. Es stellt einen geschickten Ansatz dar, das hohe Sicherheitsniveau des alten Gesetzes durch das neue Instrument des akkreditierten Zertifizierungsdiensteanbieters weiterleben zu lassen. Unter dem Aspekt der Datenvermeidung ist es zu begrüßen, dass die Möglichkeit zur Ausstellung von pseudonymen Zertifikaten beibehalten wurde. Nach neuem Recht wurde die Aufdeckung der wahren Identität des Pseudonyminhabers vereinfacht; sie ist jetzt auch im Rahmen eines gerichtlichen Verfahrens möglich. Dies wird hoffentlich eine größere Zahl von Anbietern dazu bringen, auch im Rahmen von vertraglichen Transaktionen Signaturen zu akzeptieren, die unter Pseudonym abgegeben wurden."

Andreas Roth von der [externer Link] Telekom (Telesec) erwartet einen Aufschwung: "Die abwartende Haltung der Industrie und der öffentlichen Hand dürfte eine Ende haben. Das SigG wird seine Anwendung hauptsächlich in der öffentlichen Verwaltung, an der Schnittstelle Bürger/Verwaltung und bei Berufsgruppen finden, die Standesrecht unterliegen (Rechtsanwälte, Notare, Steuerberater, Wirtschaftsprüfer, Ärzte, Apotheker etc.) Ein Großteil der Geschäftsprozesse der Wirtschaft wird aber wie bisher auf privatrechtlichen Grundlagen abgewickelt werden." Praktisches Problem: Die Interoperabilität der SigG-konformen Trustcenter lasse noch zu wünschen übrig. Die AG Trust Center (www.t7-isis.de) und TeleTrusT arbeiten aber zurzeit an einer gemeinsamen Spezifikation "ISIS-MTT" zur Interoperabilität der Lösungen, die Ende des 3. Quartals 2001 fertig werden soll.

Skalierbar

Auch Dr. Malte Borcherding, Technical Research Manager bei [externer Link] Brokat, erwartet in der nahen Zukunft die Anwendung des SigG vorrangig im öffentlichen Sektor und nicht im B2C-E-Commerce. Im Übrigen lobt auch er das Werk: "Wir sehen das neue Signaturgesetz als einen wichtigen Schritt vorwärts. Die Anforderungen sind praxisnah und umsetzbar formuliert. Die Unternehmen können die verschiedenen Sicherheitsstufen als Messlatte nutzen und ihre Abläufe entsprechend überprüfen."

Etwas kritischer Rudi Klos, Consultant bei der [externer Link] TeleCash: "Die Regeln des SigG fokussieren in erster Linie auf technisch und organisatorisch sehr anspruchsvolle Technologien und Regeln, die dann entsprechende Preise für die Komponenten und Anwendungen treiben. Wir denken, die große Herausforderung wird sein: Lösungen, Anwendungen und Finanzierungsmodelle zu finden, die die breite Bevölkerung ansprechen. Eine Schlüsselrolle werden hier sicherlich die Banken spielen. Wenn es gelingt zum Beispiel Homebanking und Bezahlen im Internet über die gleiche Technik abzuwickeln, die auch für die digitale Signatur verwendet wird, dann hat eine schnelle Verbreitung gute Chancen."

Biometrie-Einsatz

Jörg-M. Lenz, Marketing Manager bei [externer Link] SoftPro, bezweifelt, dass die Signatur wirklich ein vollständiger Ersatz der handschriftlichen Unterschrift sein kann: "Für einen verlässlichen E-Commerce ist die sichere Authentifizierung der Nutzer mindestens genauso entscheidend wie die Integrität der übertragenen Daten. Die Achillesferse der elektronischen Signatur in ihrer derzeit praktizierten Form hat drei Buchstaben: PIN." Hier sieht SoftPro als Instrument für die Nutzer-Authentifizierung die Biometrie als Schlüsseltechnologie und setzt auf eine explizite Aufnahme als Alternative zur Geheimzahl (PIN) in der SigV.

[externer Link] TC Trustcenter sieht in der geplanten rechtlichen Gleichstellung der qualifizierten elektronischen Signatur mit der handschriftlichen Unterschrift indes die Basis für paneuropäische Online-Geschäfte. Und mit der Initiative "Bund online 2005" leiste die Regierung wichtige Lobby-Arbeit. Dennoch werde die Umsetzung des SigG ein gewaltiger Kraftakt, und auf dem Weg zur Akzeptanz sei noch viel Aufklärungsarbeit erforderlich.

Download-URLs

SigG
[externer Link] Signaturgesetz
SigV
[externer Link] Signaturverordnung (Arbeitspapier)
[externer Link] Erläuterungen zum SigV-Arbeitspapier
Formvorschriften
[externer Link] Formvorschriftenänderungsgesetz (Entwurf)

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2001, Seite 6

Zurück zum Inhalt       Valid HTML 4.0! Valid CSS!