![[Illustration]](05-4-027-1.jpg)
Intuitiv verständliche Arbeitsschritte und die automatische Kontrolle sicherheitsrelevanter Elemente machen die digitale Signatur alltagstauglich.
Papierbasierte Prozesse sind in Zeiten der Computerisierung doppelt lästig. Daten, die in elektronischer Form bereits vorliegen, müssen stets aufs Neue in Formulare eingegeben werden. Umgekehrt müssen diese Formularinhalte wieder mühsam und fehleranfällig von Hand in DV-Systeme eingegeben werden. Oftmals der einzige Grund: Ein Vorgang bedarf der Rechtsgültigkeit, wofür in der Regel ein Dokument mit rechtlich anerkannter Unterschrift benötigt wird. Kreditanträge oder Verwaltungsvorgänge bei Behörden sind typische Beispiele hierfür.
Doch auch innerhalb von Unternehmen gibt es zahllose Vorgänge, bei denen Personen durch ihre Unterschrift für die Richtigkeit und Authentizität von Informationen bürgen. Und sitzt der Ansprechpartner nicht direkt am Schreibtisch gegenüber, müssen die Dokumente erst ausgedruckt, dann per Post versandt, vom Empfänger unterschrieben, erneut eingetütet, zurückgeschickt und schließlich vom Aussteller bearbeitet und abgeheftet werden. Wie eine Studie von Gartner 2005 festgestellt hat, entfallen 30 bis 40 Prozent der Arbeitszeit in einem Unternehmen auf die manuelle Dokumentenverwaltung. Dabei lassen Signaturzertifikate solche Prozesse erheblich verkürzen und effizienter gestalten, wenn eine rechtsgültige digitale Signatur eingesetzt wird und dadurch Medienbrüche in den typischen Workflows verhindert werden können.
Die Zielsetzung ist eindeutig: Papierbasierte Prozesse sollen ohne Einbußen bei Sicherheit und Rechtsgültigkeit durch effiziente, automatisierte und vor allem sichere digitale Workflows ersetzt werden. Das bedeutet konkret, dass die digitale Unterschrift die handschriftliche ersetzen soll, und somit die Identität des Unterzeichners verlässlicher und nicht-abstreitbar nachgewiesen werden soll. Zusätzlich muss für den Unterzeichner klar ersichtlich sein, was er unterschreibt. Und der Empfänger muss im Gegenzug sicher sein, dass das Dokument nach dem Unterschreiben nicht mehr verändert wurde.
Hersteller und Gesetzgeber haben sich mit diesen Voraussetzungen ausführlich auseinandergesetzt und den Weg für eine einsatzfähige Plattform geebnet. In Deutschland wurde der digitalen Signatur mit dem Signaturgesetz (SigG) von 1997, seine Neufassung von 2000, seinen Aktualisierungen sowie der nachgeordneten Signaturverordnung (SigV) der Weg geebnet. Hinter den beiden juristischen Begriffen verbergen sich die Voraussetzungen für die rechtsgültige digitale Signatur. Ein gültiges Zertifikat ist erste Bedingung, hinzu kommt die Forderung nach einer sicheren Signaturerstellungseinheit – also einem Chipkarten-Lesegerät inklusive geeigneter Verschlüsselungssoftware. Trustcenter fungieren dabei als Zertifizikatausgabe- und verwaltungsstellen, bei denen die Authentizität nachgefragt werden kann.
Intuitiv verständliche Arbeitsschritte und die automatische Kontrolle sicherheitsrelevanter Elemente machen die digitale Signatur alltagstauglich.
Technische Komponenten und die benötigte Infrastruktur für eine rechtsgültige digitale Signatur existieren bereits: Es gibt geprüfte und anerkannte Signaturkarten und die dazugehörigen Kartenlesegeräte. Auch Trustcenter, die Signaturzertifikate vertrauenswürdig verwalten, sind etabliert. Und es gibt Anwendungen, mit denen eine digitale Unterschrift erzeugt werden kann. Warum also hat sich die qualifizierte digitale Unterschrift noch nicht flächendeckend durchgesetzt, wo sie doch jeder will und die Vorteile ihrer Nutzung offensichtlich sind?
Der Hauptgrund: Es existiert bisher keine universell einsetzbare Software für die elektronische Signatur, die gesetzlich anerkannt und für unterschiedliche Anwendungsbeispiele geeignet ist – vom Kreditantrag über Kaufverträge bis hin zu Behördenvorgängen. Im Gegenteil, meist gibt es lediglich Insellösungen. Das gilt gleichermaßen für die sichere Kommunikation über das Internet für Standardvorgänge ohne unmittelbaren Signaturbedarf wie auch für konkrete Signaturlösungen. Doch welcher Anwender möchte ständig neue Anwendungen installieren und ihre Bedienung erlernen? Und viele Speziallösungen sind weder bedienerfreundlich noch flexibel genug, um als Universallösungen zu dienen. Diese Hürden beim Einsatz der elektronischen Unterschrift führen schließlich dazu, dass im Privatbereich nur sehr wenige Menschen über die notwendige Infrastruktur (Smartcard und -leser) verfügen.
Wie aber muss eine Lösung aussehen, damit diese tatsächlich von jedermann eingesetzt werden kann? Am besten so, wie wir es vom traditionellen Prozess her kennen: Ein elektronisches Formular sollte also möglichst genau so aussehen wie die altbekannte Papierversion. Außerdem sollte die geleistete Unterschrift in diesem Dokument erkennbar sein – man will ja sehen, was man unterschrieben hat und auch später noch auf Anhieb erkennen, dass es sich um beispielsweise den besagten unterschriebenen Kreditantrag handelt. Das Signieren von digitalen Dokumenten sollte außerdem mit einer einzigen Software möglich sein, die für alle Transaktionen einsetzbar ist. Egal ob mit einem Finanzdienstleister, einem Händler oder einer Behörde kommuniziert wird. Und sie muss leicht einsetzbar und für jedermann zugänglich sein. Dann wäre die digitale Signatur aus den gängigen Geschäftsprozessen sicher bald nicht mehr wegzudenken.
![[Illustration]](05-4-027-2.jpg)
In einem PDF-Dokument ist eine digitale Unterschrift einfach zu erkennen.
Um dieses Ziel zu erreichen, sollen künftig der Adobe Reader und Adobe Acrobat im Zusammenspiel mit bereits zertifizierter Signaturtechnik von OPENLiMiT SignCubes eine Signaturlösung ergeben, die universell einsetzbar und durch das BSI gemäß Common Criteria zertifiziert ist sowie nach deutschem Signaturgesetz bestätigt sein wird. Mit mehr als 500 Millionen verteilten Exemplaren und mit seiner Plattformunabhängigkeit ist der kostenfreie Adobe Reader praktisch auf jedem Computer verfügbar. Die Anwender sind mit dem Gebrauch der Software durch den tagtäglichen Einsatz bereits vertraut. Und da die digitalen Dokumente auf der Grundlage von PDF-Dokumenten genauso aussehen wie ihre papierenen Vorgänger, sorgt auch dies für Vertrautheit im Umgang.
Die international gültige Zertifizierung wird deshalb nach deutschen Richtlinien durchgeführt, weil hier das Sicherheitsniveau anerkannt ist und damit die Übertragbarkeit in andere Märkte ermöglicht. Damit wird erstmals eine rechtsverbindliche digitale Unterschrift durch eine Massenanwendung – den Adobe Reader – möglich sein, und das voraussichtlich bereits in der zweiten Jahreshälfte 2005.
Dies muss eine massentaugliche Software leisten, um zur weiten Verbreitung der rechtsgültigen digitalen Signatur beizutragen: Sie muss automatisch die Integrität des Dokuments und die Authentizität der Unterschrift gemäß der aktuellen gesetzlichen Vorschriften überprüfen können – und zwar auch ohne Smartcard. Das Signaturgesetz in seiner aktuellen Fassung sieht für Vorgänge mit Schriftformerfordernis die qualifizierte Signatur vor, die höchste Stufe in einer dreistufigen Systematik. Die Stufe 1, die einfache digitale Signatur, hat lediglich informativen Charakter. Stufe 2, die fortgeschrittene Signatur, kann durch Eigenzertifikate Auskunft über Unterzeichner und die Integrität des Dokuments geben. Das mag für geschlossene Nutzergruppen genügen, in denen Vertrauenswürdigkeit durch andere Maßnahmen sichergestellt wird, beispielsweise durch Zugangskontrollen in einem Firmennetzwerk. Rechtsgültig ist bei Vorgängen mit Schriftformerfordernis indes nur die Stufe 3, die qualifizierte Signatur, bei der die Ausgabe eines qualifizierten Personenzertifikats durch ein Trustcenter vorgesehen ist.
Was aber ist mit den benötigten Signaturkarten und Kartenlesern? Signaturkarten werden wir bald alle haben: Laut der im März 2005 angekündigten eCard-Strategie der Bundesregierung werden die in 2006 kommende Gesundheitskarte und der digitale Personalausweis, aber auch die nächste Generation der Bankkarten für die digitale Signatur einsetzbar sein, für jedermann zugänglich. Und die Kartenleser? Sie werden zum Standard-Bestandteil von Computern – und denkt man an das enorme Einsparungspotenzial digitaler Dokumenten-Workflows, wäre es für die Nutznießer davon, zum Beispiel Kreditinstitute oder Versicherungen, ein Leichtes, die Anschaffung der benötigten Hardware zu subventionieren.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#4, Seite 27
| 