20030903 \  In der Diskussion \  Übersignieren notwendig?
Übersignieren notwendig?
Die elektronische Signatur ist in Deutschland mit einem Verhau von Sonderregeln nahezu undurchsetzbar gemacht worden. Auch der TeleTrusT hat in seiner Stellungnahme an die EU die Umsetzung der elektronischen Signatur in Deutschland als Fehlschlag bezeichnet (siehe auch den Beitrag in diesem Newsletter). Zwar wird an einigen Stellen bereits zurückgerudert und Abkehr von der qualifizierten elektronischen Signatur mit Anbieterakkreditierung genommen (so z.B. im 5. Gesetz zur Änderung des Steuerbeamtenausbildungsgesetzes), aber es gibt noch viele Bereiche, wo in Deutschland offenbar Sonderwege beschritten wurden, die zu aufwendigen technischen Verfahren geführt haben. Eines dieser Themen ist die Frage, ob übersigniert werden muss, wenn die Zertifikate ungültig geworden sind. Seinen Ursprung findet dieser Ansatz in der Signaturverordnung. Inzwischen beschäftigen sich aber auch andere Initiativen mit dem Thema Übersignieren, so beim elektronischen Archivieren. Hierzu gehört z.B. das Projekt ArchiSig, das mit Bundesmitteln gefördert wird. Hier geht es unter anderem auch um das Übersignieren elektronisch signierter Dokumente. Die Signaturverordnung betrachtete ursprünglich den Fall, dass in Trustcentern Signaturen ungültig werden und stammt noch aus den Zeiten, als man in Deutschland die elektronische Signatur mit Anbieterakkreditierung favorisierte.
Unseres Erachtens ist das Übersignieren von Dokumenten nicht notwendig. Die revisionssichere Archivierung ist eigentlich ausreichend, um den Nachweis zu führen, dass bei der Speicherung Signatur und Zertifikat gültig waren und dass keine nachträgliche Änderung am Dokument möglich war. Dies würde auch die Marktposition der revisionssicheren Archivierung stärken (neue wichtige Anwendungsgebiete für die Archivierung beim E-Business). Im folgenden nun die Argumentation für den Ansatz, der das Übersignieren nicht mehr notwendig macht:
(1) Qualität einer Signatur
Ursprünglicher Zweck der elektronischen Signatur ist die Erreichung einer rechtlichen Gleichstellung von Nachrichten im elektronischen Geschäftsverkehr mit Papierdokumenten mit bisher manuell getätigter Unterschrift. Eine manuelle Unterschrift wird nicht erneuert, d.h. nach dem Tod seines Vorgängers geht der neue Geschäftsführer auch nicht bei, und unterschreibt alle Verträge in Papier noch einmal neu. Maßgeblich ist hier nach der Rechtsprechung, dass die Unterschrift zum Zeitpunkt als sie geleistet wurde, rechtskräftig war. Wir sind der Überzeugung, dass dieses Verfahren auch auf die elektronische Signatur anzuwenden ist. Wenn Sie zum Zeitpunkt der Leistung gültig war und auch das entsprechende Zertifikat vorhanden ist, wird der gleiche Rechtscharakter erreicht. Ein Dokument mit elektronischer Signatur bleibt ja auch weiterhin in Bezug auf die Integrität überprüfbar. Bei Übersignieren wird nun keineswegs die Signatur des ursprünglichen Signierers benutzt sondern die eines Dritten. Damit hat diese Signatur beim Übersignieren eine andere Rechtsqualität. Sie ist keine Willenserklärung mehr, sondern bescheinigt allenfalls, dass zum Zeitpunkt "x" jemand, der mit dem Inhalt und der ursprünglichen Rechtsqualität der Nachricht nichts zu tun, eine zusätzliche Signatur aufgebracht hat.
(2) Ungültigwerden des Algorithmus und Risiko einer nachträglichen Veränderung, bzw. Ungültigwerden der ursprünglichen Signatur
Argument für das Übersignieren nach SigV war ja immer, das irgendwann der verwendete Algorithmus geknackt wird und damit eine Veränderung oder Verfälschung möglich wird, bzw. dass das Signaturverfahren generell geändert wird, also quasi eine neue, sichere Version der Signatur gültig wird. Letzteres hat jedoch keinerlei Auswirkungen auf bereits vorliegende Dokumente, wenn diese weiterhin prüfbar sind, und sichergestellt ist, dass die Dokumente unveränderbar gespeichert wurden.
(3) Archivierung
Durch die elektronische Archivierung, insbesondere die sogenannte "revisionssichere" Archivierung, kann der Beweis erbracht werden, dass eine nachträgliche Veränderung von Dokument und/oder Signatur ausgeschlossen wurde. Dies kann man zusätzlich absichern, in dem man wie in guten Archivsystemen üblich, eine Protokollierung, eine Art "Posteingangsbuch", mitlaufen lässt, in dem IDs, eindeutiger Index, Eingangsdatum, Speicherdatum, etc. und, wo vorhanden, die elektronische Signatur vermerkt ist. Wenn dieses auch elektronisch revisionssicher archiviert wird, hat man zusätzlich zum archivierten Dokument ohne großen technischen Aufwand auch die Beweiskette geschlossen. Durch Vorlage des Dokumentes und des Protokolls (das natürlich auch als "Dokument" über die Indexdatenbank wiederfindbar sein muss) kann der Nachweis erbracht werden, dass das Dokument nicht verfälscht wurde. Man kann nun noch einen draufsatteln, und z.B. das Protokoll, sprich Posteingangsbuch, regelmäßig beim Abschluss (z.B. tageweise) elektronisch signieren. Dies kann man auch vollständig automatisch z.B. mit einem Zeitstempel tun. Damit hätte man auch einen Nachteil der personengebundenen Signatur ausgeglichen, nämlich dass man darüber auch weiß, wann das Dokument empfangen und gespeichert wurde. Unseres Erachtens ein nicht zu unterschätzender Zusatznutzen, der die Rechtsqualität des archivierten Dokumentes sogar noch verbessert.
(4) Übersignieren
Wenn man denn nun übersignieren möchte, dann braucht man bei der oben vorgeschlagenen Lösung (3) eigentlich nur noch das Posteingangsjournal regelmäßig übersignieren. Mittels der Gegenprüfung der Einträge des Posteingangsjournals lässt sich jederzeit gegen die archivierten Dokumente der Nachweis erbringen, dass diese integer geblieben sind. Damit erledigt sich auch das Problem, dass man beim Übersignieren der Dokumente selbst ja unterschiedlichste Formen und Gültigkeitszeiträume von Signaturen und Zertifikaten hat, ansonsten kann man ja schlecht im Batch gesamte Kollektionen en bloc übersignieren.
Aus den genannten Gründen halten wir daher das Übersignieren grundsätzlich für überdimensioniert, da man bei entsprechender Auslegung und Einsatz von vernünftigen Archivsystemen ein qualitativ gleichwertigen Zustand erreichen kann. (Kff)
Weitere Kapitel
© PROJECT CONSULT Unternehmensberatung GmbH 1999 - 2016 persistente URL: http://newsletter.pc.qumram-demo.ch/Content.aspx?DOC_UNID=2aa1e84319ac4791002572cf002a7482