Qualifizierte elektronische Signaturen – Eine Abrechnung oder „Spiel mir das Lied vom Tod“
Gastbeitrag von Rolf Schmoldt, Geschäftsführer von Signature Perfect, Frankfurt/a.M., email: info@signature-perfect.com Jahrelang wurde die qualifizierte elektronische Signaturen favorisiert, Alternativen dazu wurden teilweise als nicht rechtssicher von den Marketingstrategen der Anbieter kartenorientierter Verfahren und mit ähnlichen Argumenten von den Ministerien BMI und BWMA einfach abgetan. Selbst falsch informierte Mitarbeiter der RegTP haben sich nicht davor gescheut, rechtlich falsche Aussagen zu machen, obwohl das gar nicht ihre Aufgabe ist und im falsch formulierten deutschen Signaturgesetz wurde durch Begriffsverwendungen wie Signaturschlüssel-Inhaber suggeriert, man bräuchte selbst für fortgeschrittene Signaturen ein bestimmtes technisches Verfahren, obwohl in der EU-Direktive ausdrücklich festgeschrieben ist, andere Verfahren zu fördern und keinesfalls zu diskriminieren.
Mit dem Signaturbündnis gab es erneut einen letzten Versuch, die auf einer bestimmten Technologie beruhenden Kartensysteme mit Hilfe der Banken doch flächendeckend einzuführen. Inzwischen spricht man hinter vorgehaltener Hand nur noch davon, anhand des Bündnisses die Anforderungen weiter zu evaluieren, wie bereits seit 8 Jahren zuvor, im Westen also nichts Neues. Die großen Hoffnungen beruhen jetzt auf der neu initiierten European Bridge CA, die endlich alle Erwartungen erfüllen sollen. Der nächste Irrtum – zumindest für die Kartenhersteller.
Neben den sich verweigernden Kunden haben inzwischen mehrere Organisationen und Verbände das eigentliche Hemmnis bei der Einführung erkannt. Die schonungslose Abrechnung des TeleTrusT e.V. – man spricht von einem grundsätzlichen Misserfolg - in seiner Stellungnahme vom 31. Juli 2003 zur europäischen Überprüfung der Ergebnisse bei der Umsetzung der EU-Direktive von 1999 zur Einführung elektronischer Signaturen ist ein Lichtblick dafür, dass endlich das notwendige Umdenken einsetzt.
Vollkommen richtig hat der TeleTrusT in seiner Stellungnahme mit dem Begriff „vorauseilende Technikregulierung“ angesprochen, dass die bisherigen Verfahren alle lediglich auf einer bestimmten Technologie aufsetzen. Genau hier wurde der entscheidende – von den deutschen Herstellern der Karten- und Kartenlesegrätehersteller natürlich unterstützte – Fehler gemacht: Die Festschreibung der PIN und personenzugeordnete Schlüsselvergabe bzw. Token-Zuordnung. Dabei wurden mit 3-stelligen Millionen – Beträgen der sich engagierenden Unternehmen und ZDAs (Zertifizierungsdienste-Anbieter) in die Sicherheit bei der Verwaltung von personenbezogenen Schlüsselpaaren und den dazu gehörenden Zertifikaten sowie deren Langlebigkeit investiert. Das bis heute bei Kreditkarten und selbst bei Ausweisen wohlbekannte und weiterhin existierende Sicherheitsproblem durch einfache Weitergabe der Karte und PIN hat man bis heute nicht gelöst und dieses per Gesetz einfach auf den Karten-Inhaber abgewälzt. Zur Haftungsabwälzung hat man entgegenkommenderweise für die ZDAs mit dem sogenannten Anscheinsbeweis auch noch eine rechtliche Neuerung eingeführt, indem der Karten-Inhaber seine Unschuld beweisen muss.
Inzwischen stellt sich heraus, dass selbst nach 6 Jahren gesetzlicher Regelungen der Markt die Technologie nicht akzeptiert, weil die notwendigen ergänzenden Maßnahmen zu aufwendig und für die einzelnen Personen und Unternehmen zu teuer sind. Trotz gutem Willen einzelner Unternehmen, Ihre Geschäftsprozesse mit hohen Investitionen umzustellen, scheitern diese auch daran, dass es bisher lediglich ca. 50.000 Personen gibt, die im Besitz einer „sicheren Signaturerstellungseinheit“ (meist Chipkarte) sind und damit qualifizierte Signaturen erstellen können. Viele nur 3 Jahre gültige Zertifikat sind indes einfach nicht erneuert worden.
Auch die scheinbare Alternative, fortgeschrittene Signaturen einzusetzen ist pure Augenwischerei, zumindest dann, wenn die gleiche Technologie wie bei qualifizierten Signaturen verwendet wird. Akzeptanz und Kosten für kartenorientierte qualifizierte und fortgeschrittene Signaturen sind die selben.
TeleTrusT, neben internationalen Engagements auch Mitglied im CCES Competence Center Elektronische Signaturen des VOI – Verband Organisations- und Informationssysteme e.V., in dem ca. 70% aller Anbieter von Dokumenten Management und Workflow Systemen organisiert sind, hat im Dialog mit den DMS Anbietern erkannt, dass der Weg vom Unterschreiben zum Signieren von Willenserklärungen nur über die DRT Anbieter läuft.
Dagegen ist das von Signature Perfect an das BMWA gerichtete Angebot, im Rahmen eines Signaturbündnisses II mit dem VOI in einen Dialog mit den DMS Anbietern zu treten und über alternative Möglichkeiten zu diskutieren, unter Hinweis auf den „umfassenden Ansatz des existierenden Signaturbündnisses“ vom BMWA abgelehnt worden. Gleichzeitig wird jedoch im selben Ablehnungsschreiben darauf verwiesen, dass ohne Gefährdung der Zielsetzung einer Interoperabilität die Erweiterung des bestehenden Signaturbündnisses nicht möglich sei.
Genau hier wird deutlich, dass die Regierungsbehörden auf das massivste gegen die von der EU-Direktive vorgeschriebenen Nicht-Diskriminierung verstoßen. Einerseits will man sich nicht an der Diskussion über alternative Technologien beteiligen und andererseits versperrt man solchen Anbietern den Zugang zum Dialog. Dabei liegt nach eigenen Aussagen des BMWA der Bedarf an regulierten und damit an qualifizierten Signaturen wegen Schriftformerfordernis gerade mal bei 10% und aus Sicht der TeleTrusT lediglich bei 6%. Wahrscheinlich ist es noch weniger.
Was also machen, weiterhin 95% aller Geschäftsvorfälle mit Papier abwickeln?. Hier zeichnet der TeleTrusT den einzig gangbaren Weg auf, der auch ursprünglich durch die EU-Direktive vorgegeben wurde und von den nationalen Interessengruppen mit Unterstützung der Ministerien BMI, BMWA und teilweise des BMF leider zum Schaden der ehemals führenden Bundesrepublik ins Gegenteil verkehrt wurde. Die gesetzlichen Rahmenbedingen müssen derart angepasst werden, dass innovative Verfahren, die es gibt, eine Chance haben, ihre Investitionen auch wieder zu erwirtschaften. Eine Revision der EU-Direktive ist daher notwendig, um den nationalen Sonderwegen, insbesondere denen des BMWA und des BMI in Einigkeit mit den kartenorientierten Banken Einhalt zu gebieten. Das deutsche Signaturgesetz muss sowieso geändert werden, da es insbesondere in Hinsicht auf dessen Diskriminierung alternativer Lösungen vor dem europäischen Gerichtshof nicht standhalten wird.
Wie immer, sind die Beteiligten, auch teilweise die Gremien, zur Standardisierung einer Technologie, die es im Markt noch gar nicht gibt und die es nicht geben wird, erst einmal sich selbst verpflichtet. Der Kunde und Bürger bleibt damit wieder einmal auf der Strecke, denn die Steuergelder sind für die Evaluierung einer nicht umsetzbaren Technologie bereits an die kartenorientierten Vertreter bereits ausgeschüttet..
Gleichwohl wächst der Druck aus dem Ausland, in dem die alternativen Lösungen auf dem Vormarsch sind, und in wachsenden Kreisen der deutschen Wirtschaft werden über die Vorgehensweise der Ministerien und Schädigung der deutschen Volkwirtschaft nur die Köpfe geschüttelt. Alternative technologische Lösungen, auch solche mit Einbezug eigenhändiger Unterschriften, erfreuen sich wachsender Akzeptanz. Dazu erkennen immer mehr Unternehmen, dass auch nicht-qualifizierte Signaturen unter Verwendung alternativer Technologien als Beweismittel vor Gericht einsetzbar sind.
Die rechtlichen Rahmenbedingungen für nicht-qualifizierte Signaturen existieren und mit sich verbreitender Kenntnis darüber kann man nur hoffen, dass Unternehmen und Verbände wie der TeletrusT bei der Entwicklung des tatsächlichen Marktes für „nicht-regulierte“ Signaturen Ihre Kenntnisse einbringen werden. Allerdings sei erwähnt, dass auch der TeletrusT hier eigene Standardisierungsinteressen (siehe ISIS-MTT) verfolgt. und der derzeit noch freie Markt für die innovativen Unternehmen nicht erneut durch vorauseilende Technikregulierung kaputtgeregelt wird. Wünschenswert wäre zur Weiterentwicklung bestehender alternativer Technologien, dass im öffentlichen Bewusstsein die Erkenntnis wächst, dass solche Technologien sehr wohl als Beweismittel einsetzbar sind. Zudem zeichnen sich bereits heute auch bei den alternativen Signaturtechnologien entsprechende Sicherheitsanforderungen ab. Diese kommen jedoch vom Kunden und können vom Anbieter den Anforderungen entsprechend integriert werden.
Am Ende entscheidet sowieso der Richter, ob er das vorgelegte Beweismittel in seiner Urteilsfindung würdigt oder nicht. Auch der Anscheinsbeweis bei qualifizierten Signaturen kann erschüttert werden. Eines kann die qualifizierte Signatur im Gegensatz zu eigenhändigen Unterschriften aber nicht, nämlich beweisen, dass ich die Signatur wirklich selbst erstellt habe. Sie beinhaltet lediglich die Annahme, da mir die Haftung für die Karte und PIN auferlegt wurde.
Ein Umdenken ist also vor allem dort angebracht, wo Sicherheit nicht nur mit einer einzigen Technologie gleichgesetzt wird. Immer weiter greift die Erkenntnis um sich, dass nicht Regularien, sondern Innovation der Motor für die Wirtschaft und auch Sicherheit ist. Ich hole schon mal die Mundharmonika.
Metadata