Berlin - Das Kabinett beschloss am 24.10.2001 die Signaturverordnung ( http://www.iid.de/iukdg/aktuelles/verordnung_es.pdf ). Die Verordnung tritt mit der Veröffentlichung im Bundesgesetzblatt in Kraft. Die zivilrechtlichen Voraussetzungen für die elektronische Signatur waren schon im Sommer in Kraft getreten. Die jetzt beschlossene Signaturverordnung legt Sicherheitsbestimmungen für die elektronische Unterschrift wie etwa den Fälschungsschutz fest. | | |
|
| PROJECT CONSULT Kommentar:
|
Die Signaturverordnung schreibt den Sicherheitsstandard für so genannte Trustcenter fest und hat damit keine direkten Auswirkungen auf den Endbenutzer einer digitalen Signatur. Deutlich wird allerdings, dass der Gesetzgeber weiterhin an der ursprünglichen Definition „Akkreditierter Diensteanbieter für Signaturen nach Public-/Private-Key-Verfahren“ festhält, wie es ursprünglich im SigG von 1997 vorgesehen war. Im Zuge der Vereinheitlichung der europäischen Gesetzgebung wurde die Akkreditierung zu einer freiwilligen Akkreditierung gewandelt. Auch sind in diesem Zuge prinzipiell unterschiedliche Verfahren wie z. B. biometrische zugelassen worden. In der Signaturverordnung werden alternative Verfahren nur noch am Rande behandelt. Die hohen Sicherheitsanforderungen werden aber auch an diese gestellt. Da zu bezweifeln ist, dass diese Anforderungen aber dort auch erfüllt werden können, bleibt dem Endbenutzer eigentlich nur noch die Wahl zwischen einem akkreditierten Signaturanbieter oder einem registrierten Anbieter. Dabei müssen registrierte und akkreditierte Anbieter fast dieselben Anforderungen erfüllen können. Lediglich bei der Wahl der eingesetzten Softwarekomponenten haben nicht akkreditierte Anbieter einen etwas größeren Freiheitsgrad. In Deutschland dürfen nur Anbieter auftreten, die die Erfüllung der beschriebenen Anforderungen nachweisen können. Durch diese Bestimmung kann erwartet werden, dass einige ausländische Anbieter von vorneherein ausgeschlossen werden. Dieses wird bestimmt die deutschen Anbieter freuen, die hohe Investitionen getätigt haben und nun in einem gesicherten Markt agieren können. Weitere Unterscheidungsmerkmale zwischen akkreditierten und registrieren Anbietern liegen in der Aufbewahrungsfrist sämtlicher zur Ausstellung eines Zertifikats vorgelegten Unterlagen wie auch des Zertifikats selbst. Akkreditierte Anbieter müssen die Informationen mindestens 30 Jahre, registrierte lediglich fünf Jahre nach Unwirksamwerden des Zertifikats vorhalten. Interessant ist, dass ziemlich am Ende der Signaturverordnung auch gleich eine neue Qualität der Signatur definiert wird. Kommuniziert die zulassende Behörde mit einer anderen ausländischen, so müssen Anerkennungen mit einer qualifizierten elektronischen Signatur mit Anbieterakkreditierung erfolgen. Daher ist zu erwarten, dass die Bundesregierung weitere Aussagen treffen wird, die diese Form der Signatur in den Gesetzen festschreibt. Von einer freiwilligen Akkreditierung kann dann wohl nicht mehr gesprochen werden.
Ein weiterer Aspekt, der bisher überhaupt nicht diskutiert wurde, ist die Tatsache, dass qualifizierte Signaturen, deren Sicherheitswert im Laufe des Aufbewahrungszeitraums geringer wird, zu erneuern sind. Die Signaturverordnung wird in diesem Punkt konkreter. Dort steht:
„In diesem Falle sind Daten vor dem Zeitpunkt des Ablaufes der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen.“
In der Begründung zur Verordnung ist dann weiter zu lesen:
„Dabei genügt für eine beliebige Anzahl signierter Daten eine (übergreifende) neue digitale Signatur, die von einer beliebigen Person (z.B. Archivar) angebracht werden kann.“
Die Schwierigkeiten, die sich aus dieser Vorgehensweise ergeben, liegen dabei auf der Hand. Zum einen sind elektronisch signierte und archivierte Daten vollkommen neu zu organisieren, damit Informationen, mit inzwischen unsicher gewordenen Signaturen vollständig und auf einmal neu verarbeitet werden können. Zum anderen ist fraglich, wie diese neusignierten Massendaten vorgehalten und repräsentiert werden sollen. Zu guter letzt stellt sich die Frage, wie sichergestellt werden soll, dass der Archivar nicht selbst vor Neusignierung die Daten auf Basis der alten unsicheren Signatur ändern kann. Bislang reichte es zumindest im Sinne der GoBS aus, Daten und Dokumente unveränderlich zu archivieren und somit ein 1:1 Abbild des Originals vorzuhalten. Dieses Vorgehensweise hat sich seit Jahren bewährt und wird mit der Signaturverordnung nun in Frage gestellt. Andere als oben beschriebene Vorgehensweisen, sind im Streitfall durch einen Sachverständigen zu beurteilen, womit keineswegs die erhoffte Rechtssicherheit hergestellt wird. Daher sind zumindest in diesem Punkt Nacharbeiten durch den Gesetzgeber zu fordern. (FvB)
Metadata
