Elektronische Signatur

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Der Rechtsbegriff der "elektronischen Signatur" entstammt einer Richtlinie der Europäischen Union von 1999 (Signatur-Richtlinie). Er wurde mit Verabschiedung des Signaturgesetzes 2001 in deutsches Recht übernommen. Im Gegensatz zur "digitalen Signatur" soll die Formulierung "elektronische Signatur" per Gesetz keine Technologie festschreiben. Aktuell in diesem Bereich gültig sind die europäische eIDAS-Verordnung und das deutsche Vertrauensdienstegesetz (VDG).

Definitionen

Die breiteste Definition für eine elektronischen Signatur findet sich in US-Gesetzen (siehe auch Weblinks) z.B. als: "elektronischer Ton, Symbol, oder Prozess angehängt oder logisch verbunden mit einem Datensatz durch eigene Ausführung oder Billigung einer Person, die diesen Datensatz unterzeichnen wollte"[1]. Diese Definition beinhaltet auch einfache Verfahren wie getippte Namen oder das Anklicken in einem Softwaredialog verbunden mit der Eingabe einer Nutzerkennung oder eingescannte Bilder einer Unterschrift (ohne biometrische Merkmale).

Alle diese Formen von Unterschriften dürfen das Etikett "rechtsgültig" für sich reklamieren, allerdings ist ihr Beweiswert zum Beleg einer Willensklärung zuweilen sehr fragwürdig.

Auch nach deutschen Signaturgesetz (SigG) waren elektronische Signaturen in der einfachsten Form "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen"[2].


Entwicklung

Die EU-Kommission hatte Mitte 2012 einen neuen Entwurf[3] einer Verordnung über die elektronische Identifizierung vorgelegt und wollte damit die Signatur-Richtlinie von 1999 neu fassen. Hiermit sollte auch die Nutzung von elektronischen Zeitstempeln und Siegeln zugelassen werden.

Der Bundesrat hatte in seiner Stellungnahme[4] zwar einige Verbesserungen begrüßt (z.B. Einführung einer sogenannte Organisationssignatur, die im unterschwelligen Bereich der qualifizierte elektronische Signaturen bereits schon länger als Gruppenzertifikate im Einsatz sind), möchte aber den hohen Qualitätsstandard für digitale Signaturen (insbesondere QES) in Deutschland nicht abgesenkt wissen und wehrt sich gegen Pflicht zur Anerkennung "notifizierter Identifizierungsmerkmale".

Dagegen hat die Bundesregierung das E-Government-Gesetz nachgebessert, indem dem IT-Planungsrat nun ein gesetzlich verbrieftes Empfehlungsrecht auf sogenannte "sonstige sichere Verfahren" zusteht (neben den bereits per Gesetz sicheren drei Verfahren: Dokumentensignatur per QES), Webformulare mit elektronische Identifizierung über den neuen Personalausweis (nPA) sowie rechtsverbindliche Kommunikation per De-Mail). Mit dieser Öffnung ist gesichert, dass in anderen EU-Ländern verwendete Systeme auch für Deutschland anerkannt werden könnten.


eIDAS

Im April 2012 hat nun das Europaparlament in Abstimmung mit der Europäischen Rat dem Vorschlag für die neue Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS) zugestimmt [5].

In der Europäischen Union soll damit die Verwendung der elektronischen Identifizierung (eID) und darauf basierender Vertrauensdienste, z.B. Verwendung der elektronischen Signatur vereinfacht und harmonisiert werden. Im Unterschied zum deutschen Signaturgesetz bezieht sich dieser Teil der Verordnung aber nicht auf "Zertifizierungsstellen", sondern auf Vertrauensdiensteanbieter, was wesentlich andere Haftungsfolgen nach sich ziehen dürfte. Firmen, Behörden und Bürger sollen damit in die Lage versetzt werden, Dokumente in der gesamten EU elektronisch zu unterzeichnen und zu verifizieren. Die Mitgliedsstaaten werden verpflichtet, eID-Systeme und Vertrauensdienste anderer EU-Länder unter bestimmten Umständen offiziell anzuerkennen.

Die Verordnung wird im September 2014 wirksam und muss im ersten Teil bis Juni 2016 umgesetzt werden. In Deutschland ist die Verordnung ab 1. Juli 2016 anzuwenden[6]. Das Bundeswirtschaftsministerium hat die Bundesnetzagentur als Aufsichtsstelle für digitale Vertrauensdienste eingesetzt. Die Regulierungsbehörde überwacht damit den Einsatz von elektronischen Signaturen und digitalem Geschäftsverkehr in Deutschland.

Euro-Logo Bildquelle:BSI

Der zweite Teil der eIDAS-Verordnung wird am 18. September 2018 in Kraft treten, dann müssen auch die Arbeiten zu den eID-Verfahren abgeschlossen sein und die grenzüberschreitende elektronische Identifizierung der EU-Bürger funktionieren. Dazu wurde ein Prozess zur Notifizierung entwickelt, um nationale Identifizierungssysteme anderen EU-Mitgliedsstaaten bekannt zu machen und so eine verbindliche Anerkennung im Verwaltungsbereich zu erreichen (s.u.). Unternehmen können den elektronischen Identitätsnachweis anerkennen. Außerdem müssen dann Anbieter und Behörden ihre Webangebote hinsichtlich des Sicherheitsniveaus überprüfen und mit dem eIDAS-Prüfsiegel zertifizieren lassen, wenn sie grenzüberschreitende elektronische Vertrauensdienste anbieten. Hier ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig, das auch das entsprechende Europa-Logo für die sichere Webseiten-Authentifizierung vergibt[7]. Dabei muss dann die sichere Webseiten-Authentifizierung nach gängigen Standards (technische Richtlinien TR-03107 und TR-03145 des BSI) erfolgen, eng angelehnt an die Prüfung bei der Vergabe eines Extended Validation Zertifikats.

Um die Unterschiede zwischen eIDAS-Verordnung der EU und deutschem Signaturgesetz zu bereinigen, plante das Wirtschaftsministerium ein Vertrauensdienstegesetz (VDG), welches das deutsche Signaturgesetz ablösen soll. Ein Referentenentwurf wurde bereits in den parlamentarischen Prozess eingebracht. Am 22.06.2017 wurde dann das Gesetz vom Bundestag beschlossen, welches nun endgültig das deutsche Signaturgesetz und die entsprechende Signaturverordnung ablöst.

In einem White Paper "Sichere (elektronische) Dokumente – Alles, was Sie zur neuen eIDAS-Verordnung wissen müssen" hat das vom DIHK koordinierte Forum elektronische Vertrauensdienste die zentralen Informationen zusammengestellt[8]. Sie stehen kostenlos zum Download bereit.

Elektronische Identifizierung

Bei der Elektronische Identifizierung (eID) unterscheidet die eIDAS-Verordnung zwischen Identifizierungsmittel und Identifizierungssystem. Sowohl Identifizierungsmittel und Identifizierungssystem müssen zur EU-weiten Anerkennung entsprechend "notifiziert" werden.

Aus deutscher Sicht geht es hier darum, ob der deutsche Personalausweis (nPA) mit seiner eID-Funktionen zur EU-weiten elektronischen Identifizierung als Identifizierungsmittel anerkannt wird. Das BMI beabsichtigt, das Verfahren der Notifizierung für die eID-Funktion des neuen Personalausweises (nPA) und des elektronischen Aufenthaltstitels (AT) auf dem höchsten Vertrauensniveau („hoch“) einzuleiten. Als technische Grundlage soll die bestehende nationale deutsche eID-Infrastruktur für den nPA/AT genutzt werden. Damit werden Verwaltungsdienstleistungen, die bereits jetzt eine Identifizierung mit der eID-Funktion des neuen Personalausweises einsetzen, europäisch eIDAS-fähig gemacht. Ansonsten müssen die Fachverfahren so konzipiert werden, dass sie den von der eIDAS-Verordnung vorgegebenen Mindestdatensatz berücksichtigen und im Rahmen der grenzüberschreitenden Identifizierung erheben können. Dabei kann der notifizierende Mitgliedsstaat zwischen zwei Integrationsszenarien wählen; der Proxy-basierte zentralen Integration zwischen dem eIDAS-Konnektor des empfangenden Mitgliedsstaat und dem nationalen eID-System des sendenden Staats sowie einer Middleware-basierte Integration. Hierbei stellt der sendende Mitgliedsstaat den anderen Mitgliedsstaaten eine Middleware zu Verfügung, welche vom empfangenden Mitgliedsstaat dann zu betreiben wäre. Deutschland hat sich bei der deutsche eID-Infrastruktur für den nPA/AT für den letzteren Weg entschieden, welche im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt wurde ("German eIDAS-Middleware")[9].

Soweit elektronische Verwaltungsverfahren Identifizierungsmittel anderer Mitgliedstaaten mit substanziellem bzw. hohem Vertrauensniveau anerkennen müssen, ist es in Deutschland beabsichtigt, die technischen Anpassungen weitgehend bei den deutschen eID-Servicebetreibern unter Nutzung der o.a. nationalen deutschen eID-Infrastruktur durchzuführen.

Um die grenzüberschreitenden Identifizierung sicherzustellen, soll im Rahmen des vom Connect Europe Facility (CEF) der EU geförderten Projektes TREATS (TRans-European AuThentication Services) unter Konsortialführung der Governikus KG (daneben auch die Hochschule Harz, HSH Kommunalsoftware, SIXFORM, AKDB, Bundesdruckerei, OpenLimit und MTG) auf Basis konkreter Anwendungsfälle die Interoperabilität zu anderen europäischen eID-Infrastrukturen bis 30.11.2017 herbeigeführt werden. Mittels der deutschen Middleware ("German eIDAS-Middleware") auf interoperablen eIDAS-Knoten ist es bereits gelungen, die nationalen eID-Systeme der Niederlanden, Österreich und Deutschland produktiv zu vernetzen. Als ein erster Schritt kann deshalb ab Ende Januar 2017 die eID-Funktion des neuen Personalausweises zur grenzüberschreitenden Identifizierung bei der niederländischen nationalen eID-Infrastruktur genutzt werden.

Vertrauensdienste

Folgende Vertrauensdienste sind vorgesehen:

  • Vertrauensdienste für (qualifizierte) elektronische Signaturen und elektronische Siegel
  • Vertrauensdienste für (qualifizierte) elektronische Zeitstempel
  • Vertrauensdienste für (qualifizierte) Zertifikate für die Website-Authentifizierung
  • (Qualifizierte) elektronische Einschreib- und Zustelldienste
  • (Qualifizierte) elektronische Bewahrungs- und Validierungsdienste für elektronische Signaturen

Beispiel QES

Die Bundesregierung sieht hier noch Umsetzungsprobleme im Rahmen der elektronischen Signaturen; so werden im europäischen Ausland zum Teil geringere Anforderungen gestellt. Es soll dabei nur eine fortgeschrittene Signatur statt qualifizierten elektronischen Signatur (QES) gefordert werden (beispielsweise die österreichische Handy-Signatur, bei der der private Signaturschlüssel zentral bei einem Vertrauensdienstleister in einem Hardware Security Modules (HSM) gespeichert wird und nicht beim Signatureigentümer verbleibt, wie es das deutsche Signaturgesetz fordert). Auch ist insgesamt die Frage noch offen, was aus der QES wird, wenn europaweit nur noch fortgeschrittene Signaturen gelten. Die kommende eIDAS berücksichtigt diese deutsche Besonderheit zwar noch, grundsätzlich darf aber einer elektronischen Signatur nicht die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren abgesprochen werden, wenn sie nicht die QES-Anforderungen erfüllt. Erste deutsche Trust Center mit QES-Angeboten stellen bereits ihren Dienst ein[10], da auch die Zukunft von allgemeinen Zertifikaten mit fortschreitender Durchsetzung der DNSSEC/DANE-Technologie offen erscheint.

Die eIDAS-Verordnung ermöglicht es nunmehr auch juristischen Personen, sich dauerhaft und fälschungssicher als Absender eines elektronischen Dokumentes auszuweisen. Bislang bestand diese Möglichkeit nur mittels elektronischer Signatur für natürliche Personen. Bei diesen elektronischen Siegel (also Organisationszertifikate für Firmen und Behörden) soll nicht mehr beschränkt werden auf die Chipkarte als Qualifizierungsmittel. Es ist auch zulässig, die elektronischen Daten softwareseitig (beispielsweise in Hardware Security Modules (HSM)) vorzuhalten, was die Anwendung von Siegeln und ihren Prozessen enorm erleichtern würde. Allerdings ist es weiterhin allein mit der QES nach derzeitiger deutschen Rechtslage möglich, eine rechtlich geforderte handschriftliche Unterschrift adäquat elektronisch zu ersetzen. Dieses Formerfordernis erfüllen die elektronischen Siegel nicht.

Eine erste technische Lösung noch auf Chipkartenbasis als Herkunftsnachweis und Integritätsschutz für Organisationen wurde bereits auf der CeBIT 2017 von der Bundesdruckerei vorgestellt[11].

Beispiel De-Mail

Seit 2012 wird De-Mail in Deutschland als zuverlässiger Zustelldienst für die elektronischer Kommunikation zwischen Bürgern, Unternehmen und Behörden angeboten. Ziel von De-Mail ist das verbindliche und vertrauliche Versenden von Dokumenten und Nachrichten über das Internet zu ermöglichen. Durch vorherige Nutzer- Identifikation kann eine Authentifizierung von Nachrichten ermöglicht werden.

Die Bundesregierung sieht hier ebenfalls noch Umsetzungsprobleme; so werden im europäischen Ausland zum Teil geringere Anforderungen an solche elektronische Zustelldienste gestellt als es im deutschen De-Mail-Gesetz bereits verankert ist. Im Übrigen kann die De-Mail nach Meinung des BSI die eIDAS-Anforderungen an die Zustellung elektronischer Einschreiben erfüllen [12].

Die deutsche Post hat mit Dienst ePost eine Konkurrenz zum De-Mail-System aufgebaut. Die Nutzer werden durch Post-Ident-Verfahren verifiziert. Dies führte zu Streitigkeiten bei der Freigabe als De-Mail-Anbieter, woraufhin die Post den Dienst eigenständig weiterentwickelte [13].


Weblinks


Einzelnachweis

  1. Uniform Electronic Transactions Act (UETA); §2 (8)
  2. §2 Nr.1 SigG
  3. Entwurf einer EU-Verordnung über die elektronische Identifizierung
  4. Stellungnahme des Bundesrates zum Entwurf der EU-Verordnung über die elektronische Identifizierung
  5. Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt
  6. SecuPedia Aktuell: eIDAS-Verordnung macht den Weg für Online-Unterschrift frei
  7. "Elektronische Signaturverordnung eIDAS ist gestartet – wie geht es weiter?" in heise.de/Security vom 02.Juli.2016
  8. SecuPedia Aktuell: DIHK veröffentlicht White Paper zur eIDAS-Verordnung
  9. SecuPedia Aktuell: Einfachere Integration der Online-Ausweisfunktion in Anwendungen
  10. "Aus für Signtrust führt zur Neuordnung bei Trustcentern" in heise.de/Security vom 29.August.2014
  11. SecuPedia Aktuell: eIDAS-konforme Siegel-Lösung
  12. BSI-Webseite: Zustellung elektronischer Einschreiben
  13. E-Post vs. De-Mail: Deutsche Post steigt endgültig bei De-Mail aus


Siehe


Siehe auch



Diese Seite wurde zuletzt am 16. August 2017 um 08:24 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Ralf Schulze, Peter Hohl, Markus Albert, Lutz Martiny, Lenz Jörg, Admin und Redaktion.

Anzeigen