Metadata | |
---|---|
Newsletter | 20040512 |
Sprache | deutsch |
Version | 1.0 |
Veröffentlicht von | NEWSLETTER\administrator |
Veröffentlichungsdatum | 25.01.2007 10:32:24 |
· | Einfache elektronische Signaturen (EES) | |
· | Fortgeschrittene elektronische Signaturen (FES) |
· | Qualifizierte elektronische Signaturen (QES) |
· | Wird die Anbieterakkreditierung aufgehoben? Die Deutschland werden praktisch qualifizierte elektronische Signaturen nur von Anbietern mit Akkreditierung angeboten. Dies ist durch die oben beschriebene „historische“ Entwicklung bedingt. Die Akkreditierung bringt eine hohe Sicherheit mit sich. Das Verfahren, eine Chipkarte zu erlangen, ist sehr aufwendig, hat jedoch den Vorteil, der Inhaber der Signatur im Vorwege bekannt und seine Identität überprüft ist. Besonders ausländische Anbieter von qualifizierten Signaturen sehen sich durch die Marktsituation und die Verankerung der qualifizierten Signatur mit Anbieterakkreditierung in zahlreichen Gesetzen und Verordnungen diskriminiert und behindert. Sie wollen die zusätzliche Hürde der Akkreditierung in Deutschland gern beseitigt sehen und berufen sich auf die Europäische Richtlinie. | |
· | Qualifizierte versus fortgeschrittene Signaturen Eine ähnliche Diskussion spielt sich derzeit zwischen den Anbietern fortgeschrittener Signaturen mit biometrischen Verfahren und den Anbietern qualifizierter, Chipkarten-basierter Verfahren ab. Die Argumentation der Anbieter fortgeschrittener Signaturen beruft sich nicht nur auf die Europäische Richtlinie sondern auch auf die §§126,127 BGB. Für zahlreiche Anwendungsfelder des Geschäftsverkehrs wird keine qualifizierte elektronische Signatur verlangt. Es gibt Anwendungen, bei denen biometrische Signaturen sogar Vorteile gegenüber der qualifizierten besitzen. Ein Beispiel sind Verträge im Finanzdienstleistungsbereich. Mit Verfahren, die auf einem Unterschriftenpad mit biometrischer Erfassung des Schriftzuges des Zeichnenden basieren, erhält der Kunde ein Papierdokument mit seiner Unterschrift während der Finanzdienstleister ein elektronisches Original erhält, dass ohne Medienbruch sofort elektronisch weiterbearbeitet werden kann. Der Kunde muss nicht im Vorwege mit viel Aufwand und hohen Kosten eine Chipkarte beschafft haben. Die Differenzierung der Einsatzgebiete lässt im Prinzip ausreichend Platz für beide Verfahren, qualifizierte und fortgeschrittene Signaturen. | |
· | Elektronisch signieren beim Scannen Versicherungen, Kassen und Rententräger, die der Sozialgesetzgebung in Deutschland unterliegen, haben in großem Stil begonnen, die elektronische Signatur beim Scannen zu verwenden. Hintergrund ist, dass durch das Sozialgesetzbuch und besonders die Verordnung §36 SRVwV gefordert wird, dass nach dem Scannen das erfasste Schriftgut nur vernichtet werden kann, wenn die gescannten Dokumente geprüft und elektronisch signiert wurden. Aus wirtschaftlichen Gründen macht die Überführung von Dokumenten in elektronische Bearbeitungsprozesse nur Sinn, wenn man sich anschließend die aufwendige und teuere Aufbewahrung in Papier sparen kann. Der vorgeschriebene Einsatz der qualifizierten elektronischen Signatur hat hier jedoch nicht den Charakter einer Willenserklärung der Erfassungskraft, da diese das Dokument ja nicht erstellt hat, sondern stellt eher eine Beglaubigung oder Bestätigung dar, dass das Dokument fehlerfrei, verlustfrei, lesbar, unverändert und vollständig in das elektronische System überführt wurde. Hierfür werden auf den Signaturkarten entsprechende Attribute kodiert. Angesichts der großen Mengen von Dokumenten ist es jedoch unwirtschaftlich, jedes Dokument einzeln zu sichten und zu signieren. Daher wurde hierfür das sogenannte Verfahren der „Massensignatur“ entwickelt. Hierbei wird ein Stapel von Dokumenten erfasst, eine genau definierte Stichprobe geprüft, und das der gesamte Stapel signiert. Bei dem Signierungsvorgang erhält dann jedes Dokument im Stapel eine eigene Signatur. Dieses Verfahren wurde zunächst von Betriebskrankenkassen eingeführt. Das derzeit umfangreichste Projekt ist jedoch die Erfassung von 160 Millionen zu scannenden Dokumenten bei der LVA Rheinprovinz in Düsseldorf. | |
· | Archivierung elektronisch signierter Dokumente Die Archivierung elektronischer Dokumente stellt heute noch ein Problem dar. Signaturen und Zertifikate können verfallen und die Algorithmen der Signatur vielleicht irgendwann in der Zukunft „geknackt“ werden. Das mit Forschungsmitteln geförderte Projekt ArchiSig, an dem unter anderem die Universitätsklinik Heidelberg und der ECM-Anbieter IXOS beteiligt sind, hat hierfür eine Lösung zur „Übersignierung“ geschaffen. Durch das regelmäßige, weitgehend automatisierte Verfahren wird sichergestellt, dass vor Ablauf eines Zertifikates oder eines Signaturschlüssels eine neue Signatur aufgebracht wird. Durch die Verkettung der Signaturen wird sichergestellt, dass eine ununterbrochene Sequenz gültiger Signaturen den Beweiswert der Dokumente sichert. Dieses Verfahren ist bei der Benutzung von nur einmal beschreibbaren Speichern in elektronischen Archiven nicht ohne Aufwand umzusetzen. Die Eigenschaften eines revisionssicheren Archives dienen einer anderen Meinungsfraktion auch die Grundlage der Argumentation dafür, dass eigentlich ein Übersignieren nicht notwendig ist. Wenn ein revisionssicheres Archivsystem sicherstellen kann, dass seit der Speicherung des elektronisch signierten Dokumentes keine Veränderung möglich war, kann so nachgewiesen werden, dass zum Zeitpunkt der Archivierung eine Signatur gültig war. Dabei erscheint unerheblich, ob das Zertifikat inzwischen verfallen ist oder der ursprüngliche Algorithmus inzwischen abgelöst wurde. Auch bei Papierdokumenten wird z.B. nach dem Ableben eines Geschäftsführers der neue Geschäftsführer nicht alle Dokumente seines Vorgängers neu signieren, nur weil dessen Signatur „verfallen“ ist. Der Nachweis der Gültigkeit zum Zeitpunkt der Entstehung der Signatur muss eigentlich ausreichen. | |
· | Die Signatur im E-Government Die elektronische Signatur ist in zahlreichen E-Government-Verfahren vorgesehen. Besonders bei Verwaltungsverfahren zwischen Verwaltung und Bürger ist der Einsatz jedoch fragwürdig. Im Regelfall leistet der Bürger nur ein-, zweimal im Jahr gegenüber der Verwaltung eine Unterschrift in irgendeinem Antragsverfahren. Kann von ihm verlangt werden, hierfür eine Chipkarte mit qualifizierter elektronischer Signatur auf eigene Kosten zu beschaffen? Die Kosten und die damit verbundene geringe Verbreitung von elektronischen Signaturkarten stellen viele der „Antrag-Online“-Verfahren in Frage. Nur wenn es weitere Einsatzgebiete für elektronische Signaturen gibt, die Signatur kostengünstiger wird und sich die Regierung entschließt, die Signatur zum Beispiel in Verbindung mit dem Personalausweis jedem Bürger zur Verfügung zu stellen, ist eine ausreichende Verbreitung möglich. Darüber hinaus darf nicht vergessen werden, dass auch die verwaltungsinternen Prozesse auf die durchgängige Nutzung elektronischer Dokumente umgestellt werden. Es macht wenig Sinn, einen Antrag elektronisch zu signieren, ihn anschließend auszudrucken und in der Gittermappe auf dem Wägelchen durch die Gänge der Verwaltung zu schieben. | |
· | Elektronische Signaturen im Umfeld der GDPdU Auch in der derzeit viel diskutierten Richtlinie GDPdU zur Aufbewahrung, Prüfung und Auswertung steuerrelevanter Daten kommt die elektronische Signatur vor. Sie erlaubt die Abgabe von Umsatzsteuervoranmeldungen in elektronischer Form, wenn die übergegebnen Daten qualifiziert elektronisch signiert sind. Während in den GDPdU noch die qualifizierte Signatur mit Anbieterakkreditierung impliziert ist, ist in den rechtlichen Vorschriften für die Prüfer der Finanzämter bereits eine Entschärfung festzustellen, die die elektronische Signatur auch ohne Anbieterakkreditierung einsetzbar macht. Jedoch hilft dies keineswegs. Das Verfahren der elektronischen Umsatzsteuervoranmeldung mit elektronischer Signatur kommt praktisch nirgendwo zum Einsatz. Kosten, Aufwand aber auch die Situation, dass niemand mit seiner persönlichen Signatur für Daten des Unternehmens, einer juristischen Person, geradestehen will, spielen hier ein Rolle. Die möglichen Vereinfachungspotentiale werden nicht genutzt. | |
· | Auch die Einsatzbedingungen müssen sicher sein In der Diskussion um die Vorteile der qualifizierten elektronischen Signatur wird immer auf die besondere Sicherheit des Verfahrens und der Trustcenter verwiesen. Vielleicht unterschätzt wird dabei aber, das auch der Einsatz an den Arbeitsplätzen sicher sein muss. Das größte Risiko für einen missbräuchlichen Einsatz ist aber der Anwender selbst. Wer seine Karte herumliegen lässt und sich seine Passworte und Pins auf gelbe Haftzettel am Monitor schreibt, stellt das größte Risiko für den Missbrauch seiner Signatur dar. Das BSI und andere Stellen haben Checklisten und Anforderungskataloge herausgegeben, nach denen man sich bei der Einrichtung einer PKI (PKI Private Key Infrastruktur) richten sollte. Lücken in der Sicherheit werden und müssen von Unternehmen geschlossen werden. Bleibt das Problem des Privatmanns, der meistens nicht in der Lage ist oder sich nicht der Gefahr bewusst ist, die seinem PC mit Internet-Anschluss drohen kann. | |
· | Muss das Signaturgesetz geändert werden? Inzwischen ist offenbar geworden, dass sich das aktuelle Signaturgesetz in Deutschland vom Sprachgebrauch zu sehr an der ursprünglichen Version und nicht ausreichend nah an der europäischen Signaturrichtlinie orientiert. Seitens des Bundeswirtschaftsministerium wurde eingestanden, dass hier entsprechender Änderungs- oder Nachholbedarf durch aus gesehen wird. Hierbei werden nicht nur die Fragen der Akkreditierung neu diskutiert werden, sondern auch Möglichkeiten, nicht-personengebundene, qualifizierte Signaturen zuzulassen. Eine erster Entwurf für ein Änderungsgesetz lässt jedoch wenig Hoffnung für die Anbieter fortgeschrittener Signaturen aufscheinen. | |
· | Werden die bestehenden Signaturstandards mittelfristig überrollt? Die technischen Standards für Signaturen sind in Europa noch nicht vereinheitlicht. Die beiden in Deutschland vorkommenden Standards wurden erst jüngst als ISIS-MTT zusammengeführt. Angesichts mancher technischer und organisatorischer Aufwände und der derzeitigen geringen Verbreitung elektronischer Signaturen droht aber noch eine andere Gefahr. Wenn sich ein Standardsoftwareanbieter entschließt im Betriebssystem oder in weit verbreiteten Anwendungen eine proprietäre, elektronische Signatur nach eigenem Gusto einzubauen, können die derzeitigen Bemühungen zur Einführung sicherer Signaturen schnell unterlaufen werden. Die Schaffung einheitlicher, möglichst weltweiter technischer Standards und die Bereitstellung einer einheitlichen API (Anwendungsprogrammierungsschnittstelle) zur einfachen Einbindung von elektronischen Signaturen sind eine der Grundvoraussetzungen, um der Signatur schnell zu einer weiten Verbreitung zu verhelfen. |