Die Unterschrift im Internet

Elektronische Signaturen sind im Internet das, was die handschriftliche Unterschrift in der Papierwelt bedeutet - und noch viel mehr. Mit Hilfe einer elektronischen Signatur lässt sich der "Unterzeichner" identifizieren und das unterschriebene Dokument auf seine Echtheit (=Integrität) hin prüfen.

Moderne Verwaltung dank elektronischer Signatur

Dank elektronischer Signaturen konnten in den letzten Jahren bereits eine ganze Reihe von Behördenprozessen entweder vollständig oder teilweise auf elektronische Prozesse umgestellt werden. Governikus, als Teil der Virtuellen Poststelle des Bundes, wird dazu oft als zentrale Sicherheitskomponente eingesetzt. Ein Blick auf unsere Referenzen belegt dies.

Chancen für Unternehmen

Sowohl in der Kommunikation zwischen Unternehmen und Verwaltung als auch der Unternehmen untereinander oder mit Kunden gewinnen elektronische Signaturen zunehmend an Bedeutung. Der ausschließlich elektronisch abgewickelte Emissionshandel in Deutschland hat schon in vielen Unternehmen verschiedener Größenordnungen den Umgang mit Signaturen zur Routine werden lassen.

Und auch im Themenbereich der elektronischen Rechnungstellung (E-Billing) sind elektronische Signaturen von wichtiger Bedeutung.

Elektronische Signaturen erstellen und prüfen

Für diese Funktion stellen wir mit Governikus Signer eine Produktfamilie bereit, die darüber auch die Ver- und Entschlüsselung von Dokumenten umsetzt. Für unterschiedliche Anwendungsszenarien und -häufigkeiten stehen passende Editionen zur Verfügung.

Formen der elektronischen Signatur

Angelehnt an die europäische Richtlinie unterscheidet man in Deutschland zwischen vier Arten der elektronischen Signatur. Die wesentlichen Unterschiede liegen in der Höhe des Beweiswertes. Je nach Anwendungsszenario gelten verchiedenen Anforderungen an das jeweilige Signaturniveau. Auch der Weg, auf dem man zu einer Signatur gelangt und der Umfang der Haftung durch Dritte sind unterschiedlich.

Vier Arten elektronischer Signaturen

1. die einfache Signatur
2. die fortgeschrittene Signatur
3. die qualifizierte Signatur
4. die qualifizierte Signatur mit Anbieterakkreditierung

1. Die einfache elektronische Signatur

Die einfache elektronische Signatur ist keinen besonderen Anforderungen unterworfen und lässt keine Rückschlüsse auf die Identität des Verfassers und auf die Integrität der Nachricht zu. In vielen Fällen der elektronischen Kommunikation mit Behörden und Unternehmen reicht diese Form der Signatur bereits aus.

Beispiele:

• Eingescannte Unterschrift
• Kontaktinformationen am Ende einer E-Mail
• RSA-Signatur ohne Zertifikat

2. Die fortgeschrittene elektronische Signatur

Diese Signatur ermöglicht bereits eine Identifizierung des Signaturschlüssel-Inhabers bzw. einer E-Mail-Adresse sowie Rückschlüsse auf die Integrität der Nachricht.

Die fortgeschrittene elektronischen Signatur wird mit Hilfe kryptographischer Mittel erzeugt. Auch der Einsatz biometrischer Merkmale, wie z.B. einer handschriftlichen Unterschrift oder einem Fingerabdruck, ist möglich. Es liegt eine Bescheinigung der Identität des Signaturschlüssel-Inhabers oder der E-Mail-Adresse vor. Diese Bestätigung kann durch den Inhaber selbst oder durch einen Dritten (z.B. ein Trustcenter) mit einem Zertifikat erfolgen. Veränderungen am signierten Dokument sind erkennbar, da durch jede Manipulation die Signatur ungültig wird.

Beispiele :

• E-Mail-Signatur
• softwarebasierte Signatur mit Zertifikat
• biometrisch basierte Signatur (Fingerabdruck, Unterschrift etc.)

Die bos KG unterstützt mit ihren Produkten rund um die Sicherheitsmiddleware Governikus auch fortgeschrittene elektronische Signaturen.

3. die qualifizierte elektronische Signatur

Hierbei handelt es sich um Signaturen, bei denen durch ein qualifiziertes Zertifikat die eindeutige Zuordnung zum Signaturschlüssel-Inhaber und die Überprüfung der Gültigkeit des Zertifikates möglich sind.

Das qualifizierte Zertifikat enthält den öffentlichen Schlüssel des Zertifikatsinhabers (Unterzeichnender) und weitere Angaben, wie Namen und Gültigkeitszeitraum . Das Zertifikat (Nutzerzertifikat) ist durch einen Zertifizierungsdiensteanbieter (Trustcenter) signiert worden. Das Trustcenter selbst besitzt auch ein Zertifikat (Wurzelzertifikat), welches von ihm selbst signiert ist und mit dessen Hilfe wiederum die Integrität des Nutzerzertifikates geprüft werden kann.

Der Erwerb erfolgt über die Beantragung bei einem Trustcenter. Qualifizierte Zertifikate werden ausschließlich an natürliche, nicht an juristische Personen ausgegeben und der Identifizierungsprozesses durch das Trustcenter ist recht umfangreich. So ist in jedem Fall das persönliche Vorstellen beim Trustcenter notwendig- je nach Anbieter ist dazu eine Registrierungsstelle aufzusuchen oder das PostIdent-Verfahren anzuwenden. Es gibt Möglichkeiten, die Anwendungsfälle des Zertifikates bei Antragstellung einzuschränken, z.B. auf einen bestimmten Vorgang (das ist besonders für die Umsetzung von Vollmachten im Dienstgebrauch interessant).

Das Signaturschlüsselpaar wird nach erfolgreicher Antragsstellung mit technischen Komponenten erzeugt, die gewährleisten, dass die Schlüssel nur einmalig vorkommen und nur in der sicheren Signaturerstellungseinheit (momentan ist das die Signaturkarte, bei der keine Möglichkeit des Auslesens des privaten Schlüssels besteht) gespeichert werden. Das Trustcenter sorgt dafür, dass die Gültigkeit des Zertifikates online abrufbar und überprüfbar gehalten wird.

Im Unterschied zur einfachen und fortgeschrittenen Signatur erfolgt die Signaturerzeugung nicht im Rechner sondern auf der Signaturkarte. Die qualifizierte elektronische Signatur hat im Rechtsgeschäft die gleiche rechtsverbindliche Wirkung wie die eigenhändige Unterschrift, außer es wird vom Gesetz anders bestimmt. Wie bei der fortgeschrittenen elektronischen Signatur gilt aber auch hier, dass Manipulationen die Signatur ungültig machen. Die PKI-Infrastruktur wird jedoch immer über die Trustcenter sichergestellt, die die ausgegebenen Zertifikate bestätigen.

Das Produktportfolio der bos KG unterstützt alle auf dem Deutschen Markt gängigen Signaturkarten - mit und ohne Anbieterakkreditierung.

4. Die qualifizierte Signatur mit Anbieterakkreditierung

Die qualifizierte elektronische Signatur mit Anbieterakkreditierung unterscheidet sich technisch von der qualifizierten elektronischen Signatur durch das Wurzelzertifikat. Dieses wird bei der qualifizierten elektronischen Signatur mit Anbieterakkreditierung immer von der Bundesnetzagentur (BNetzA) gestellt, sie bildet somit die oberste Instanz in der Zertifikatskette.

Interessierte Zertifizierungsdiensteanbieter müssen vor Betriebsaufnahme ihre Sicherheit als Trustcenter nachweisen und werden diesbezüglich auch geprüft. Dies wird von der Bundesnetzagentur auch durch ein besonderes Gütezeichen bescheinigt. Im Unterschied dazu müssen Trustcenter, die ausschließlich qualifizierte Zertifikate ausstellen, ihre Sicherheit zwar auch vor Betriebsaufnahme nachweisen können, jedoch werden sie erst nach Betriebsaufnahme geprüft.

Ein weiterer Unterschied zwischen einem qualifizierten Zertifikat und einem qualifizierten Zertifikat mit Anbieterakkreditierung besteht in der Dauer der gesetzlich vorgeschriebenen Überprüfbarkeit der vom Trustcenter ausgestellten Zertifikate. Die Gültigkeit qualifizierter Zertifikate ist nach Ende der Zertifikatslaufzeit weitere fünf Jahre nachprüfbar zu halten. Die Gültigkeit qualifizierter Zertifikate mit Anbieterakkreditierung muss für die Dauer von 30 Jahren nach dem Ende der Zertifikatslaufzeit prüfbar sein. Darüber hinaus übernimmt im Falle des Ausscheidens eines Trustcenters mit Anbieterakkreditierung aus dem Markt die Bundesnetzagentur die Aufgabe der Prüfung der Zertifikatsgültigkeit für die gesetzlich vorgeschriebene Dauer.

Die Produkte unter der Dachmarke Governikus unterstützen alle auf dem Deutschen Markt gängigen Signaturkarten - mit und ohne Anbieterakkreditierung.

Deutschland

Deutschland hat in Bezug auf das Thema elektronische Signaturen Pionierarbeit geleistet. Als erstes Land der Welt hat es die Notwendigkeit für eine rechtliche Regelung zur elektronischen Unterschrift erkannt und das am 1. August 1997 in Kraft getretene Gesetz zur digitalen Signatur verabschiedet. Dieses Gesetz wurde am 22. Mai 2001 durch das "Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften" (SigG) ersetzt. Es bildet in Deutschland die gesetzliche Grundlage für elektronische Signaturen, wobei es die technischen und organisatorischen Rahmenbedingungen (z.B. Haftungsfragen) für elektronische Signaturen festlegt. Für die konkrete Umsetzung des Signaturgesetzes werden Ausführungsbestimmungen in der entsprechenden Signaturverordnung (SigV) definiert.

Anwendung im Privatrecht

Mit dem Inkrafttreten des "Gesetzes zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr" am 1. August 2001 wurde die Grundlage für die Anwendung der elektronischen Signatur im privatrechtlichen Bereich geschaffen. Es wird geregelt, in welchen Fällen die elektronische Signatur die eigenhändige Unterschrift ersetzen kann. In starkem Maße betrifft die Anpassung der Formvorschriften auch die Zivilprozessordnung (ZPO). Beispielsweise können jetzt Schriftsätze, Gutachten oder Erklärungen Dritter bei Gericht als elektronisches Dokument, versehen mit einer nach dem Signaturgesetz qualifizierten elektronischen Signatur, eingereicht werden.

Anwendung in der öffentlichen Verwaltung

2003 erfolgte die Regelung des Einsatzes der elektronischen Signatur in der öffentlichen Verwaltung. Das "Dritte Gesetz zur Änderung verwaltungsverfahrensrechtlicher Vorschriften" bildet hierfür die notwendigen Grundlage, um Verwaltungsverfahren umfassend elektronisch abbilden zu können.

Europäische Union

Auf europäischer Ebene bildet die EU-Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vom 13.12.1999 die Basis für den Einsatz elektronischer Signaturen.

Funktionsweise elektronischer Signaturen

Technisch beruhen elektronische Signaturverfahren auf der Verwendung zweier unterschiedlicher Schlüssel, die man als Schlüsselpaar bezeichnet.

1. Der öffentliche Signaturschlüssel (Public Key) wird für alle Kommunikationspartner zugänglich gemacht. Er ist mit einem Zertifikat verknüpft, das bestimmte Angaben zum Inhaber enthält.
2. Der private Signaturschlüssel (Private Key) dient der "Unterschrift" und muss geheim gehalten werden.

Bei der Erstellung des Schlüsselpaares wird mit Hilfe einer mathematischen Funktion, der so genannten Hash-Funktion, sichergestellt, dass der private Schlüssel auch dann nicht ausgelesen werden kann, wenn der öffentliche Schlüssel bekannt ist. Wird mit dem privaten Schlüssel ein Dokument elektronisch signiert, wird von diesem Dokument mittels der Hash-Funktion eine Prüfsumme fester Länge erstellt. Man spricht hier von dem "Hash-Wert" des Dokuments. Dieser wird zur Kontrolle der Unversehrtheit des Dokuments herangezogen.  
Solange nach Anbringen der Signatur keine Veränderung des Dokumentes stattgefunden hat, führt die Hash-Wert-Berechnung immer zu demselben Ergebnis. Der Hash-Wert wird zusammen mit dem privaten Schlüssel verschlüsselt und zusammen mit dem Zertifikat des Unterschreibenden sowie dem Ursprungsdokument verbunden. Sie bilden gemeinsam das elektronisch unterschriebene Dokument.

Prüfung von Signaturen

Zur Prüfung der Unterschrift des Dokumentes benötigt man den im Zertifikat mitgelieferten Public Key. Durch ihn wird die verschlüsselte Prüfsumme entschlüsselt. Aus dem elektronischen Ursprungsdokument wird unabhängig davon noch einmal ein Hash-Wert ermittelt. Nun vergleicht eine geeignete Software die beiden Hash-Werte. Stimmen sie nicht überein, dann ist das vorliegende Dokument (z.B. während des Transports) definitiv verändert worden und stimmt nicht mehr mit dem Ursprungsdokument überein.

Zur Erstellung und Prüfung von Signaturen offerieren wir die Produktfamilie Governikus Signer