20000620 \  Normen & Standards \  Digitale Signatur – Anpassung des SigG an die europäische Richtlinie
Digitale Signatur – Anpassung des SigG an die europäische Richtlinie
Am 19. Januar dieses Jahres hat das Europäische Parlament (www.europa.eu.int) eine Richtlinie zur Vereinheitlichung der digitalen Signatur im Europäischen Wirtschaftsraum verabschiedet. Damit sind alle EU-Staaten verpflichtet worden, ihre nationalen rechtlichen Bestimmungen innerhalb von 18 Monaten dieser Richtlinie anzupassen. Auch die deutsche Gesetzgebung ist davon betroffen. Insbesondere die strengen Zulassungsvorschriften für die so genannten Trust Center oder Zertifizierungsstellen müssen auf Grund dieser Richtlinie deutlich erleichtert werden, aber auch einige weitere Änderungen sind im deutschen Gesetz vorzunehmen, die zum Teil tiefgreifende Einschnitte bedeuten. Die vorzusehenden Änderungen werden vom Bundesministerium für Wirtschaft in Technologie (www.bmwi.de) betreut und sind auch dort über das Internet einzusehen. (FvB)
  
PROJECT CONSULT Kommentar:
Für die derzeit zugelassenen Zertifizierungsstellen sind die bevorstehenden Änderungen ein harter Brocken. Haben doch z. B. die Telekom oder die Post größte Anstrengungen unternommen, um von der Regulierungsbehörde für Post und Telekommunikation (www.regtp.de) als Zertifizierungsstelle anerkannt zu werden. Neben dem finanziellen Aufwand, der die Anerkennung für diese Unternehmen bedeutet hat, gehen mit den vorzusehenden gesetzlichen Änderungen auch die derzeitigen Alleinstellungsmerkmale verloren. Durch die so genannte freiwillige Akkreditierung wird sich zukünftig jedes Unternehmen als Zertifizierungsstelle präsentieren können, das die Mindestvoraussetzungen erfüllt. Wenn während des Betriebs entsprechende Vorschriften nicht eingehalten werden, so bekommt die Regulierungsbehörde erst dann das Recht, den Betrieb zu begutachten und gegebenenfalls einzustellen. Auf Seiten der eigentlichen Signatur muß die Bundesregierung zukünftig auf die hohen Anforderungen des bisher beschriebenen Public-Key / Private-Key Verfahrens zum Teil verzichten. Zwar ist dieses Verfahren entsprechend der europäischen Richtlinie konform, doch müssen zukünftig drei unterschiedliche Qualitäten der digitalen Signatur unterschieden werden. Die höchste Stufe, die mit dem deutschen Verfahren gleichzusetzen ist und als qualifizierte Signatur bezeichnet wird, beinhaltet das Zusammenspiel zwischen privatem Schlüssel, öffentlichem Schlüssel und einer Zertifizierungsstelle. Daneben sind aber auch die erweiterte Signatur, die keine Zertifizierungsstelle bedingt und daher mit z. B. PGP vergleichbar ist, und die einfache Signatur, die sich ausschließlich auf biometrische Verfahren, wie die handschriftliche Unterschrift auf einem elektronischen Pad, stützt. Durch die Definition dieser drei Signaturqualitäten ergeben sich für die deutsche Gesetzgebung umfangreiche Maßnahmen, die über die reine Anpassung des SigG hinausgehen. Dadurch werden nämlich Änderungen im HGB und BGB erzwungen, da festgelegt werden muß, für welchen Fall, welche Art der Signatur anzuwenden ist. Eine entsprechende europäische Richtlinie wird für Ende des Jahres erwartet. Diese Anpassungen lassen aber einen angenehmen Nebeneffekt vermuten. Durch verbindliche Vorgaben zur Verwendung der digitalen Signatur wird die Bundesregierung gleichzeitig gezwungen, endlich die elektronische Form neben der herkömmlichen Papierform für Dokumente offiziell zuzulassen. Damit erlangen elektronische Dokumente unter Umständen bei Rechtsstreitigkeiten Beweischarakter und bedürfen nicht unbedingt der zusätzlichen Befragung eines Sachverständigen. Eine Erweiterung der bisherigen Bestimmungen stellt die Aufnahme von Haftungsregelungen und der Deckungsvorsorge, um in Fällen von schuldhaft verursachten Schäden haften zu können. Dieser Teil war im ursprünglichen SigG überhaupt nicht berücksichtigt worden. Interessanterweise ist die Zertifizierungsstelle zukünftig selbst dafür verantwortlich Schäden, die durch Dritte verursacht worden sind, diesen auch nachzuweisen. Insgesamt wird die Bundesregierung gezwungen, den modellhaften Charakter des SigG aufzugeben und endlich für rechtlich abgesicherte und verbindliche Regelungen zu sorgen, damit der flächendeckende Einsatz der digitalen Signatur verwirklicht werden kann. Da zur Umsetzung der nötigen Maßnahmen ein striktes Zeitfenster vorgegeben ist, kann mit den ersten offiziellen Resultaten noch dieses Jahr gerechnet werden. Dieser Zeitdruck ist aber auch der Grund, warum in Medien keine Diskussion um dieses Thema geführt wird. Was zur Zeit wirklich zählt, sind Resultate. Eben dies haben auch die Softwarehersteller erkannt. Nach der amerikanischen Exportfreigabe für kryptografische Güter haben diese nun die Möglichkeit, weltweit einheitliche Releases zu vertreiben. So verkündet z. B. Lotus (www.lotus.de) gerade mit der Version 5.04 von Lotus/Domino einheitlich eine 128Bit-Verschlüsselung anzubieten. Die Macht der großen Softwarehersteller zwingt zum einen die Regierungen einheitliche Verfahren anzuerkennen, zum anderen wird deutlich, daß man sich zur Zeit nur auf das Verfahren stützen sollte, das nach der europäischen Richtlinie durch die qualifizierte Signatur beschrieben wird. Solange nicht gesetzlich geregelt ist, für welche Handlungen welche Signaturformen zu verwenden sind, sollten sich die Nutzer ausschließlich auf die höchste Form verlassen, damit eine größt mögliche Rechtssicherheit gewährleistet ist. (FvB)
Weitere Kapitel
© PROJECT CONSULT Unternehmensberatung GmbH 1999 - 2016 persistente URL: http://newsletter.pc.qumram-demo.ch/Content.aspx?DOC_UNID=9770d985a118462b002571f70038c136