Digitale Signatur. Grundlage für die elektronische Geschäftsabwicklung. (Projektarbeit von Stephanie Ebbrecht) Dortmund, Oktober 2004

Transkript

1 Digitale Signatur Grundlage für die elektronische Geschäftsabwicklung (Projektarbeit von Stephanie Ebbrecht) Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231) , FAX: (0231)

2 Inhalt Seite Einleitung 4 Was ist die Digitale Signatur? 6 Anwendungsgebiete 12 Funktionsweise und Ablauf 17 Juristische Rahmenbedingungen 26 Zertifizierungsstellen 38 2

3 ... Inhalt Seite Die Regulierungsbehörde 41 Sicherheitsanforderungen technischer Komponenten 44 Internationale Entwicklungen 46 Internationale Anerkennung 49 Praxisbeispiel Niedersachsen 52 Verzeichnis der Internet-Links 53 3

4 Einleitung Im globalen Handel werden die elektronischen Medien für den Datentransfer immer wichtiger. Die Entwicklung der Informations- und Kommunikationstechnik eröffnet neue Möglichkeiten des Informationsaustausches und der wirtschaftlichen Betätigung. Deshalb ist es essentiell zu wissen, ob die Person, mit der man kommuniziert, tatsächlich diejenige ist, für die sie sich ausgibt, und dass die Daten beim Empfänger so ankommen, wie sie abgeschickt wurden: unverfälscht, nicht manipuliert, weder verkürzt noch mit Zusätzen versehen. Somit sollte der Kontakt zwischen Menschen, die sich nicht kennen, in einem rechtssicheren Raum stattfinden und die Verbindlichkeit von Willenserklärungen soll gewährleistet werden. 4

5 Einleitung Seit Menschengedenken besteht der Wunsch, die Abgabe von Willenserklärungen verbindlich zu gestalten. Ziel: nachträglich zu beweisen, dass eine Willenserklärung tatsächlich und endgültig abgegeben wurde. Signatur = Signum (lat.) = Zeichen Die Signatur schließt den Vorgang einer Willenserklärung ab. Deren gängigste Form ist heute die Unterschrift. Früher waren Siegel verbreitet, die sich im Mittelalter zur wichtigsten rechtlichen Form der Beglaubigung von Urkunden entwickelte. Ein Geschäft galt erst durch die Besiegelung als abgeschlossen. 5

6 Was ist die Digitale Signatur? 2 Abs. 1 SigG2001: Eine Digitale Signatur im Sinne des Signaturgesetztes ist ein mit einem Privatschlüssel erzeugtes Signal zu digitalen Daten, dass mit Hilfe eines dazugehörigen öffentlichen Schlüssels, der mit einem Signaturschlüssel-Zertifikat einer Zertifizierungsstelle... versehen ist, den Inhaber des Signaturschlüssels und die Unverfälschbarkeit der Daten erkennen lässt Zweck des Signaturgesetzes: Rahmenbedingungen für Digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von digitaler Daten zuverlässig festgestellt werden können. 6

7 ... Was ist die Digitale Signatur? Digitale Signatur als Synonym für Elektronische Unterschrift. Ziel: die Rechtsverbindlichkeit, die von einer handschriftlichen Unterschrift ausgeht, auch für digitale Dokumente zu gewährleisten. Dies ist besonders wünschenswert, da ein immer größerer Teil des Geschäftsverkehrs über digitale Medien angewickelt wird. Bild: E-Commerce Prognose für Westeuropa Aber: nicht gleichzusetzen mit einer Art digitalisierter handschriftlicher Unterschrift. Quelle: 7

8 ... Was ist die Digitale Signatur? Die Formen Digitale Signatur und elektronische Unterschrift sind allerdings nicht identisch, da elektronische Unterschriften als Bilddatei erzeugt werden Digitale Signaturen durch spezielle, asymmetrische Verschlüsselungstechniken erzeugt werden. 8

9 ... Was ist die Digitale Signatur? Funktionen des Formzwangs zur handschriftlichen Unterschrift, der gesetzlich vorgeschrieben ist und auch individuell vereinbart werden kann: Abschluss- Perpetierungs- Identitäts- Echtheits- Verifikations- Beweis- Warn- Kontrollfunktion Die elektronische Unterschrift muss dieselben Funktionen wie die handschriftliche Unterschrift gewährleisten. 9

10 ... Was ist die Digitale Signatur? Vier Eigenschaften für eine sichere Kommunikation sollen durch den Einsatz digitaler Signaturen erfüllt werde: Authentizität: die Herkunft der Daten muss nachweisbar sein. Integrität: die ausgetauschten Daten haben nur Gültigkeit, wenn der Inhalt sowie die angeführten Adressen unversehrt sind. Vertraulichkeit: die Daten sind vor der Einsicht durch Unbefugte geschützt. Verbindlichkeit: der Absender kann nicht leugnen, die Nachricht selbst versandt zu haben. 10

11 ... Was ist die Digitale Signatur? Gründe für eine Digitale Signatur Die technische Entwicklung im Geschäfts- und im Rechtsverkehr fordert das Arbeiten mit elektronischen Dokumenten Wirtschaftliche Vorteile durch geringeren Arbeitsaufwand Digitale Signaturen als Basis für rechtsverbindliche Verträge im Internet Ersatz der Unterschriften im Geschäfts- und Behördenverkehr Beseitigung bestehender Hürden im elektronischen Handel, z.b. Rechtssicherheit bei Bankgeschäften Digitale Signaturen sind Voraussetzung für die Bildung von Elektronischen Marktplätzen Elektronischem Zahlungsverkehr Elektronischen Verwaltungskontakten 11

12 Anwendungsgebiete Zwischen Teilnehmern am Rechts- und Geschäftsverkehr Im B2B Business to Business Bereich: Aufnahme von Bestellungen im Internet Preisangebote bei Verhandlungen online abgeben Verträge unterzeichnen dank der Digitalen Signatur sind sie rechtsgültig. Vorteile: Schnelle und kostengünstige Abwicklung von Geschäften im Internet : kurze Bestell- und Einkaufszeiten geringe Lagerhaltung verkürzte Produktionszeiten und damit höhere Flexibilität. 12

13 ... Anwendungsgebiete... Zwischen Teilnehmern am Rechts- und Geschäftsverkehr Im B2C Business to Consumer Bereich: Durch E-Commerce ist dem Verbraucher rund um die Uhr ein Vergleich von Angeboten möglich, eine Abfrage von Lagerbestand und Lieferzeit und Einsehen von weltweiten Angeboten. Problem: das Fehlen eines beweisbaren Vertragsabschlusses im elektronischen Geschäftsverkehr. Durch die Digitale Signatur können nun beweisbare Verträge geschlossen werden. Vorteil: wahrscheinlich höhere Akzeptanz des E-Commerce. 13

14 ... Anwendungsgebiete Weitere denkbare Anwendungen Im Kontakt zu Behörden Papierlose Lohnsteuererklärungen Elektronische Stempel und Siegel Elektronische Beantragung von Personalausweisen Datendokumentation Besonders bei zu archivierenden Daten für die eine gesetzliche Sicherungspflicht besteht, wie z.b. Buchführungsdaten, um diese vor Manipulation zu schützen. Anbringung eines Zeitstempels, um die Gültigkeit der digital signierten Daten nach mehreren Jahren zu gewährleisten. Urhebernachweis Digitale Signatur von Digitalen Bildern sofort nach der Aufnahme um digitale Bilder zu erzeugen, die nachträglich nicht mehr manipulierbar sind und damit eine wesentlich höhere Beweiskraft haben. Elektronische Dokumentation von geistigem Eigentum verbunden mit einer Digitalen Signatur und einem Zeitstempel bewirkt einen Nachweis der Urheberschaft. 14

15 ... Anwendungsgebiete Weitere denkbare Anwendungen Schutz von Software Signierung der Software mit der Digitalen Signatur des Herstellers um eventuelle nachträgliche Veränderungen durch Viren o.ä. erkennbar zu machen; somit existiert eine unbestreitbare Nachweismöglichkeit für die unveränderte Originalsoftware. Speziell bei Software, die aus dem Internet heruntergeladen wird, ist die Manipulationsgefahr besonders groß. Im Zahlungsverkehr Elektronische Geldscheine, Schecks und Wechsel Digitales Geld auf einer Chipkarte als elektronische Geldbörse Einsatz solcher Systeme bei Finanztransaktionen per Handy 15

16 ... Anwendungsgebiete Weitere denkbare Anwendungen In der Medizin: Verschlüsselte Speicherung der Patientendaten auf der Krankenkassendaten, um so jedem Arzt umgehend alle relevanten Daten verfügbar zu machen Vermeidung überflüssiger Mehrfachuntersuchungen und gemeinsame Diagnose Digitale Archivierung der Aktenberge und Bestätigung der Echtheit dieser durch die Digitale Signatur Ausstattung von Ausweispapieren wie Führerschein, Personalausweis etc. mit einem Signaturchip, um so die Echtheit der Papiere feststellen zu können. Regelung der Zugangsberechtigung zu Gebäuden und Räumen, aber auch Computer und Daten durch eine Signaturkarte. 16

17 Funktionsweise und Ablauf Die Digitale Signatur stellt die Identität des Kommunikationspartners sowie die Integrität der Inhalte sicher. Es ist nicht ihre Aufgabe, dafür zu sorgen, dass Dritte den Inhalt einer Nachricht nicht lesen können. Hier ist eine zusätzliche Verschlüsselung notwendig. Sie funktioniert auf Grundlage eines sogenannten Public-Key-Verfahren ( Asymmetrische Verschlüsselung ) mit einem privaten Schlüssel ( Private Key ) und einem korrespondierenden öffentlichen Schlüssel ( Public Key ) 17

18 ... Funktionsweise und Ablauf Asymmetrische Verschlüsselung ( kryptographisches Verfahren ) mathematisches Verfahren (basierend auf Primfaktorzerlegung) mit zwei Schlüsseln (public und private key) Public und private key werden gemeinsam generiert und sind einzigartig. Ein Schlüssel kann nur das aufschließen, was vorher durch den anderen abgeschlossen wurde. Aus dem Public Key läßt sich der Private Key (praktisch) nicht errechnen. Symmetrische Verschlüsselung Es existiert nur ein einziger Schlüssel; Sender und Empfänger haben einen identischen Schlüssel. 18

19 ... Funktionsweise und Ablauf Asymmetrische Verschlüsselung Private Key Der private Schlüssel unterliegt der absoluten Geheimhaltung und ist niemandem bekannt. Nutzung nur durch Authentisierung (Pin, Biometrie, etc.). Der Empfänger kann damit die mit dem öffentlichen Schlüssel kodierten Nachrichten entschlüsseln. Mit dem Private Key werden Nachrichten unterschrieben und damit fälschungssicher gemacht (per Hash- Algorithmus wird ein digitaler Fingerabdruck erstellt). Speicherung des privaten Schlüssels auf einer besonderen, nicht auslesbaren Chipkarte. Public Key Der öffentliche Schlüssel (public key) wird bekannt gemacht und von anderen dazu benutzt, verschlüsselte Nachrichten an den Empfänger zu schicken. Nur der Empfänger kann die so verschlüsselte Nachricht wieder in Klartext übersetzen. Vergleichbar mit einem Passbild oder Unterschrift der digitalen Welt, denn der Public Key ist jedermann zugänglich, einzigartig und für elektronische Kommunikation geeignet. 19

20 ... Funktionsweise und Ablauf Funktionsweise Quelle: 20

21 ... Funktionsweise und Ablauf Theoretischer Funktionsablauf Der Unterzeichner (Sender)... nimmt sein Dokument und bindet mit Hilfe der Hash-Funktion den Hashwert (Fingerabdruck) des Dokuments. Verschlüsselung des Hashwertes mit dem Asymmetrischen Verschlüsselungsverfahren unter Anwendung des Privaten Schlüssels Anhang der daraus gewonnen Signatur an das Dokument Versendung des nun signierten Dokuments zum Empfänger Der Empfänger... prüft die Echtheit der Signatur, indem er die empfangene Signatur mit dem öffentlichen Schlüssel dechiffriert Dadurch Erhalt des Hashwertes der mitgeschickten Signatur Berechnung des Hashwertes des Dokumentes mit Hilfe der Hashfunktion Stimmen die beiden Hashwerte überein, so wurde das Dokument ordnungsgemäß unterzeichnet. 21

22 ... Funktionsweise und Ablauf Funktionsweise der Hash-Funktion Bei der Digitalen Signatur wird nur der Hashwert verschlüsselt, nicht der gesamte Klartext. Der Hashwert wird aus einer kryptographischen Hashfunktion gebildet, die auf den gesamten Klartext angewendet wird. Die Hashfunktion muss folgenden Anforderungen genügen: Jeder Hashwert sollte etwa gleich oft vorkommen Kleine Änderungen des Klartextes müssen den Hashwert verändern. Es darf nicht möglich sein, in realistischer Zeit einen zweiten sinnvollen Klartext zu finden, der denselben Hashwert hat. Bild: Funktionsweise der Hash-Funktion Quelle: 22

23 ... Funktionsweise und Ablauf Notwendiges Equipment: Entsprechende Chipkarte (Smart Card) mit der dazugehörigen PIN Geeignete Software Chipkartenlesegerät Bild: Signaturkarte und Chipkartenleser 23

24 ... Funktionsweise und Ablauf Erzeugung der Digitalen Signatur Einführen der Chipkarte in das Lesegerät. Aktivierung der Signaturfunktion durch Eingabe der PIN. Nach Erscheinen eines Warnhinweises wird die Erzeugung der Digitalen Signatur bestätigt. Das Signaturschlüssel-Zertifikat bzw. ein Attribut-Zertifikat kann in die signierte Datei eingebunden werden. Bei Bedarf kann die Datei zusätzlich mit einem Zeitstempel versehen werden. Nach Bestätigung wird die gesamte signierte Datei zum Empfänger geschickt. Der Signaturprozess findet auf der Smart Card statt. 24

25 ... Funktionsweise und Ablauf Bild: Signier-Software in Outlook 25

26 Juristische Rahmenbedingungen Erste Fassung des Signaturgesetzes vom 1. August 1997 Weltweit erstes Gesetz seiner Art für den gesamten Rechtsraum eines Staates. Zweck laut 1 SigG1997 Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können Nur diejenigen Verfahren gelten als sicher, die den Anforderungen des Signaturgesetzes gerecht werden. Dazugehörige Verordnung: Signaturverordnung SigV1997 trat am 1. November 1997 in Kraft. 26

27 ... Juristische Rahmenbedingungen Richtlinie 1999/93/E des europäischen Parlamentes und Rates ( EGSRL) über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen.... um eine kontroverse Regulierung in den einzelnen Mitgliedstaaten der EU zu vermeiden, da folgende parallele Entwicklungen in anderen europäischen Ländern: Italien im Jahr 1997 In Österreich im Jahr 1999 Sowie in Spanien seit 1997 durch eine Entscheidung des höchsten Gerichtshofes. Ziel: Regelungen über Vertraulichkeit und Sicherheit elektronischer Kommunikation zu entwickeln und somit einen einheitlichen Rechtsrahmen für elektronische Signaturen zu schaffen. Die Richtlinie trat am 19. Januar 2000 in Kraft und musste bis zum 19. Juli 2001 von den Mitgliedsländern umgesetzt werden. 27

28 ... Juristische Rahmenbedingungen Richtlinie 1999/93/E des europäischen Parlamentes und Rates (Forts.) Weitere Ziele Verhinderung divergierender Regeln über rechtliche Anerkennung und Akkreditierung von Zertifizierungsanbietern, um ernsthafte Hindernisse für die elektronische Kommunikation und den elektronischen Geschäftsverkehr zu vermeiden Förderung einer Interoperabilität von Produkten für die elektronische Signatur, damit der freie Warenverkehr gewährleistet wird. Der Regelungsinhalt umfasst: Juristische und technische Anforderungen an Zertifizierungsstellen Rechtliche Anerkennung der Digitalen Signatur Drittstaatenregelung 28

29 ... Juristische Rahmenbedingungen Neues Signaturgesetz Gesetz über Rahmenbedingungen für elektronische Signaturen vom 22. Mai 2001 Umsetzung der Richtlinie des Europäischen Rates Kompletter Ersatz der Fassung von 1997 Inhalt Schaffung von Rahmenbedingungen, bei deren Einhaltung eine qualifizierte elektronische Signatur als mindestens gleichwertig sicher zu einer eigenhändigen Unterschrift angesehen werden kann. 29

30 ... Juristische Rahmenbedingungen Neues Signaturgesetz Gesetz über Rahmenbedingungen für elektronische Signaturen vom 22. Mai 2001 (Forts.) Die Rechtliche Umsetzung in die speziellen Rechtsvorschriften ( BGB, ZPO usw. ) erfolgt durch das Mitte Juli 2001 in Kraft getretene Formanpassungsgesetz ( GAFPRO01 ). Dieses enthält Festlegungen darüber, wann qualifizierte elektronische Signaturen nach dem Signaturgesetz der handschriftlichen Signatur gleichgestellt sin. Damit ermöglicht das Gesetz für Wirtschaft und Verwaltung praktisch einen medienbruchfreien vollständigen Umstieg vom Papierdokument auf das elektronische Dokument. Selbst beweiserhebliche Vorgänge können künftig vollständig elektronisch abgewickelt werden. 30

31 ... Juristische Rahmenbedingungen Die Fassung von 2001 ist richtungsweisend Neuerungen im Vergleich zur Fassung von 1997, die noch deutlichen Experimentiercharakter und wesentliche Lücken hatte: Möglichst konforme Umsetzung der Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen. Genehmigungsfreiheit von Zertifizierungsanbietern Haftungsfragen sowie die dazu notwendige Deckungsvorsorge Verlagerung von Aufgaben an Dritte, die Anerkennung von Prüfstellen und die Aufnahmen von berufsbezogenen Angaben im Zertifikat ist nunmehr gesetzlich geregelt. 31

32 ... Juristische Rahmenbedingungen Änderungen im BGB Das Signaturgesetz selbst enthält keine Formvorschriften, deshalb wurde diese Regelung in Anlehnung an die bestehende Formvorschrift des 126 BGB (Schriftform) getroffen. Da die Digitale Signatur vor Gericht an der eigenhändige Unterschrift gemessen wird, müssen ganz bestimmte Funktionen (laut 126 BGB) erfüllt sein: Abschlussfunktion gültige Willenserklärung Identitätsfunktion zweifelsfreie Identitätsermittlung Echtheitsfunktion Sicherstellung der Unverfälschtheit eines Dokumentes Warnfunktion Schutz des Unterzeichners vor Übereilung Beweisfunktion Beweisführung im Streitfall 32

33 ... Juristische Rahmenbedingungen Änderungen im BGB (Forts.) Ergänzung des 126 BGB um einen Abs.3, in dem die elektronische Form als Alternative für die bisherige Schriftform anerkannt wird. Dies gilt aber nicht ausnahmslos. Beispielsweise bleibt für BGB ( Kündigung, Beendigung oder Befristung eines Arbeitsverhältnisses... Oder für die Bürgschaft ( 766 BGB )... weiterhin die klassische Schriftformerfordernis bestehen. Wie eine elektronische Form zustande kommt, regelt ein neuer 126a BGB. Danach muss der Aussteller einer Erklärung Seinen Namen hinzufügen und Das elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen. Bei einem Vertragsabschluss gilt diese Erfordernis auf beiden Seiten. 33

34 ... Juristische Rahmenbedingungen Neues Signaturgesetz Gesetz über Rahmenbedingungen für elektronische Signaturen vom 22. Mai 2001 (Forts.) Unterscheidung aufsteigend nach Sicherheitsanforderungen zwischen Einfacher elektronischer Signatur Fortgeschrittener elektronischer Signatur Qualifizierter elektronischer Signatur Qualifizierter elektronischer Signatur mit Anbieter Akkreditierung Die einfache sowie die fortgeschrittene elektronische Signatur haben eine geringere Sicherheitsstufe und sind völlig unreguliert. Nur die qualifizierte Signatur wird gemäß Gesetz als Ersatz der eigenhändigen Unterschrift und als Beweismittel vor Gericht zugelassen. Aufgrund der Vorgaben der EGSRL wurde das SigG2001 auf alle elektronischen Signaturen ausgedehnt. Im Kern werden jedoch nur die materiellen Anforderungen an die qualifizierte Elektronische Signatur geregelt. 34

35 ... Juristische Rahmenbedingungen Die einfach elektronische Signatur... ist nach 2 Nr.1 SigG 2001 ( Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen ) mit keineren weiteren Sicherheitsanforderungen verbunden Bereits eingescannte Unterschriften gelten nach dieser Definition als elektronische Signatur, auch wenn damit keinerlei Sicherheitswert verbunden ist, da sie beliebig von einem zum anderen Dokument kopiert werden können. Die fortgeschrittene elektronische Signatur... hat bereits höhere Anforderungen zu erfüllen als die einfache elektronische Signatur. 2 Nr.2 SigG2001. Es werden keine Anforderungen an die Sicherheit organisatorischer Prozesse der Schlüsselverwaltung und der technischen Komponenten geknüpft. 35

36 ... Juristische Rahmenbedingungen Die qualifizierte elektronische Signatur verbindet die Vorgaben der fortgeschrittenen elektronischen Signatur mit der Forderung eines qualifizierten Zertifikates und nach einer sicheren Signaturerstellung. 2 Nr.3 SigG verlangt, dass die qualifizierte elektronische Signatur auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikates beruhen Ansonsten bestünde die Möglichkeit, dass es sich um ein bereits abgelaufenes oder gesperrtes Zertifikat handelt. Der Antragsteller kann nach 5 Abs.2 SigG2001 verlangen, dass sein Zertifikat Angaben über Vertretungsmacht, berufsbezogene oder sonstige Angaben enthält. Die qualifizierte Elektronische Signatur stellt die mittlere Sicherheitsstufe, die im SigG2001 vorgesehen ist, dar. 36

37 ... Juristische Rahmenbedingungen Die qualifizierte elektronische Signatur mit Anbieter-Akkreditierung stellt die höchste Sicherheitsstufe des SigG2001 dar.... entspricht im wesentlichen dem alten Begriff der Digitalen Signatur nach 2 Abs.1 SigG1997. Das Akkreditierungsverfahren setzt nach 15 Abs.2 SigG2001 Nachweis Prüfung und Bestätigung der Voraussetzungen des Sicherheitskonzeptes voraus Dieses Akkreditierungsverfahren kennzeichnet den wesentlichen Unterschied zu den qualifizierten Signaturen: Die qualifizierten Signaturen verfügen im Ergebnis nur über eine behauptete technische und organisatorische Sicherheit. Anbieter von akkreditierten Signaturen können über ein verliehenes Gütezeichen den umfassend geprüften Sicherheitszustand nachweisen. 37

38 Zertifizierungsstellen Die Ausgabe und Verwaltung der Digitalen Signaturen obliegt den sogenannten Zertifizierungsstellen auch Trust Center genannt Sie übernehmen im wesentlichen die folgenden Aufgaben: Erfüllung technischer und administrativer Sicherheitsanforderungen Bereitstellung der technischen Infrastruktur Generierung von Signaturschlüsseln Zertifizierung der Signaturschlüssel Personalisierung der Chipkarte Ausgabe der Chipkarten mit verschlüsselten Codes Überprüfungen und Bestätigungen von Urheberschaften Beispiel für Trust Center Deutsche Telekom AG: TC Trust Center Trust Center der Deutschen Post: Signtrust 38

39 ... Zertifizierungsstellen Behördlich angezeigte Zertifizierungsdienstanbieter Generell ist der Betrieb eines Zertifizierungsdienstes im Rahmen des Gesetzes genehmigungsfrei. Wer den Betrieb eins Zertifizierungsdienstes aufnimmt, hat dies der zuständigen Behörde, also der Regulierungsbehörde für Telekommunikation und Post RegTP, die seit dem 01. Januar 1998 zum Geschäftsbereich des Bundesministeriums für Wirtschaft angehört, spätestens mit der Betriebsaufnahme anzuzeigen. Folgende Voraussetzungen müssen erfüllt werden Vorlage eines Sicherheitskonzeptes, wie die gesetzlichen Voraussetzungen erfüllt werden, und ob sie praktisch umgesetzt sind. Nachweis der für den Betrieb erforderlichen Zuverlässigkeit, Fachkunde, sowie eine Deckungsvorsorge Nur wer diese Voraussetzungen erfüllt, darf einen Zertifizierungsdienste betreiben. 39

40 ... Zertifizierungsstellen Behördlich akkreditierte Zertifizierungsdienstanbieter... Können sich auf Antrag von der RegTP akkreditieren lassen. Diese Akkreditierung ist zu erteilen, wenn der Zertifizierungsdienstleister nachweist, dass die Anforderungen nach dem SigG2001 und der SigV2001 erfüllt sind. Der akkreditierte Zertifizierungsdienstleister hat Für seine Zertifizierungstätigkeit nur geprüfte und bestätigte Produkte für qualifizierte elektronische Signaturen einzusetzen Qualifizierte Zertifikate nur für Personen auszustellen, die nachweislich geprüfte und bestätigte sichere Signatureinstellungseinheiten besitzen Die Signaturschlüsselinhaber über geprüfte und bestätigte Sognaturanwendungskomponenten zu unterrichten. Nach Erfüllung aller Anforderungen erhalten akkreditierte Zertifizierungsdienstanbieter von der RegTP ein Gütezeichen. 40

41 Die Regulierungsbehörde Aus 3 Abs.1 SigG2001 i.v.m. 66 des Telekommunikationsgesetztes geht hervor, dass die Regulierungsbehörde für Telekommunikation und Post die zuständige Behörde nach dem SigG2001 und der Rechtsverordnung nach 24 SigG2001 ist. Die RegTP hat folgende Aufgaben zu erfüllen: Akkreditierung: Sie akkreditiert nach entsprechender Prüfung den Betrieb der Zertifizierungsdienstanbieter Wurzelinstanz: Sie bildet die Wurzelinstanz für die qualifizierten Zertifikate mit Anbieter- Akkreditierung. Sie stellt als oberste Zertifizierungsinstanz das Zertifikat für ihre eigenen öffentlichen Schlüssel selbst aus: das Wurzelzertifikat. Sie stellt die Zertifikate für die öffentlichen Schlüssel der Zertifizierungsdienstanbieter aus: Zertifizierungsdienstanbieter-Zertifikate. Die jeweiligen Zertifizierungsdienstanbieter stellen die Zertifikate für die öffentlichen Schlüssel ihrer Kunden aus: Teilnehmerzertifikat. 41

42 ... Die Regulierungsbehörde Bild: Zertifizierungshierarchie Quelle: 42

43 ... Die Regulierungsbehörde Die RegTP hat folgende Aufgaben zu erfüllen: (Forts.) Überwachung: Die RegTP hat die Zertifizierungsdienstsanbieter bei der Betriebsaufnahme und während des Betriebes auf die erforderliche Fachkunde, Zuverlässigkeit und Deckungsvorsorge nach 12 SigG2001 zu prüfen Sie erhält aus 19 SigG2001 Befugnisse für eine Tätigkeit als Aufsichtsbehörde. Somit hat sie die Möglichkeit, den Betrieb eines Zertifizierungsdienstanbieters zu untersagen sowie qualifizierte Zertifikate zu sperren, wenn die Tatsachen dies rechtfertigen. Sie ist gleichzeitig auch Verwaltungsbehörde von Bußgeldern. Weitere Aufgaben: Überwachung der Einstellung eines Betriebes Zuständigkeit für die Anerkennung von Prüf- und Bestätigungsstellen. Verschiedene Aufgaben werden von den Prüf- und Bestätigungsstellen ausgeführt. 43

44 Sicherheitsanforderungen technischer Komponenten Um die notwendige Sicherheit der qualifizierten elektronischen Signatur vor Manipulation oder Fälschungen gewährleisten zu können, beinhalten das SigG2001 und die SigV 2001 eine Reihe von technischen Forderungen. Die technische Sicherheit beruht vor allem auf den folgenden Faktoren: Sichere kryptographische Verfahren, Einmalige Signaturschlüsselpaare, Zuverlässige Bindung der geheimen, privaten Signaturschlüssel an die rechtmäßigen Nutzer, Ausschluss nicht gewollter Digitaler Signaturen, zuverlässige Nachprüfung der Gültigkeit der Zertifikate Die Eignung der kryptographischen Verfahren für qualifizierte elektronische Signaturen ist durch einen Kreis führender Kryptologen aus Wissenschaft, Wirtschaft und Behörden jährlich sowie nach Bedarf neu zu bestimmen. 44

45 ... Sicherheitsanforderungen technischer Komponenten Der Zertifizierungsanbieter hat nach 5 Abs.4 SigG2001 Vorkehrungen zu treffen, die eine unbemerkte Veränderung von Daten von qualifizierten Zertifikaten verhindern Er muss den Signaturschlüssel geheim halten und darf ihn nicht außerhalb der Signaturstelle speichern Nach 5 Abs.5 SigG2001 müssen die eingesetzten Produkte die Anforderungen des 17 SigG2001erfüllen. Dort werden allgemeine Forderungen an die technischen Komponenten gestellt: So müssen bspw. bei der Erzeugung und Speicherung von qualifizierten elektronischen Signatur sichere Signaturerstellungseinheiten eingesetzt werden Die Einmaligkeit und Geheimhaltung der Signaturschlüssel muss gewährleistet werden Die zu signierenden Daten müssen vor dem Signieren eindeutig angezeigt werden. Aus 17 Abs.4 geht hervor, dass die Erfüllung der Anforderungen der Absätze 1 bis 3 durch die Prüf- und Bestätigungsstellen bestätigt werden muss. 15 SigG2001 i.v.m. Anlage 1 regelt die Produktanforderungen detaillierter, da zusätzliche Forderungen an Signaturerstellungseinheiten und Signaturanwendungskomponenten gestellt werden. 45

46 Internationale Entwicklungen In den USA In den USA galt bis 1999 ein grundsätzliches Exportverbot für Softwareprodukte, die eine Verschlüsselungstechnik von 64 Bit oder höher verwenden. Sie kontrollierten den Export für starke Verschlüsselungstechniken (ab 56 Bit), da sie diese als Waffe ansehen. Die Vereinigten Staaten wollten den weltweiten Markt für Kryptosysteme blockieren, damit bestimmte politische Interessen wahrgenommen werden können. Gericht hebt US-Exportverbot für Verschlüsselungstechnologie auf Ein US-amerikanisches Bundesberufungsgericht hat festgestellt, dass die Exportbeschränkungen der US-Regierung einen Verstoß gegen die im ersten Zusatz zur amerikanischen Verfassung festgeschriebenen Meinungsfreiheit darstellen. Meldung der Associated Press vom 07. Mai

47 ... Internationale Entwicklungen In den USA ( Forts.) Digitale Unterschrift in den USA seit dem gültig. Damit ist der wesentliche Teil des Electronic Signatures in Global an National Commerce Act in Kraft getreten. Ziel: Über eine digitale Signatur die Rechtswirksamkeit schriftlicher Vertragsabschlüsse über elektronische Medien sicherzustellen. Das Gesetz setzt digitale Verträge mit schriftlichen gleich. Das US-Parlament will mit dem Gesetz einen neuen E-Commerce-Boom auslösen. Definition nach dem US-Gesetz: Unter einer elektronischen Signatur versteht das Gesetz ein elektronisches Geräusch, Zeichen oder Verfahren, das mit einem Vertrag oder einer sonstigen Aufzeichnung verbunden oder logisch verknüpft ist. 47

48 ... Internationale Entwicklungen In den USA ( Forts.) Digitale Unterschrift in den USA seit dem gültig. Das Gesetz enthält verschiedene Einschränkungen Bei einer Verwendung in Verbraucherverträgen ist die Zustimmung des Anwenders zur Anwendung der gesetzlichen Vorschriften vorgesehen. Der Verbraucher muss durch den Anbieter hingewiesen werden auf den Umfang der Zustimmung und seine Rechte, insbesondere das Widerrufsrecht das Recht, auf Wunsch einen Anspruch auf Erhalt einer ausgedruckten Version zu haben die Anforderungen, die die Hard- und Software des Verbraucher erfüllen muss Nicht anwendbar ist das Gesetz bei bestimmten erb- und familienrechtlichen Rechtsgeschäften. Weitere Einschränkungen gelten bei Kredit- und Mietverträgen über Wohnraum. 48

49 Internationale Anerkennung Anerkennung ausländischer elektronischer Signaturen Der Rechtsverkehr macht nicht an den Landesgrenzen halt, er findet zum großen Teil global statt. Hierfür ist es erforderlich, eine internationale Anerkennung von elektronischen Signaturen und Produkten für elektronische Signaturen zu erreichen. Die Anerkennung von deutscher Seite regelt 23 SigG2001: Die Anerkennung elektronischer Signaturen sowie die Anerkennung von Produkten für elektronische Signaturen Anerkennung elektronischer Signaturen: Elektronische Signaturen eines ausländischen Zertifikates werden gemäß 23 Abs.1 SigG2001 qualifizierten elektronischen Signaturen gleichgestellt, wenn sie die Forderungen des Art.5 Abs. 1 EGSRL ( Richtlinie 1999/93/E des Europäischen Parlamentes und des Rates über Gemeinschaftliche Rahmenbedingungen elektronisches Signaturen ) 49

50 ... Internationale Anerkennung Anerkennung ausländischer elektronischer Signaturen (Forts.) Anerkennung elektronischer Signaturen: Dies gilt für Zertifikate aus den EG-Mitgliedstaaten und auch für Drittstaaten sofern eine der unten genannten Voraussetzungen erfüllt ist: Der Anbieter hat sich einem freiwilligen Akkreditierungssystem eines Mitgliedstaats der EU oder eines anderen Vertragsstaats des Abkommens über den europäischen Wirtschaftsraum unterworfen. Oder ein in der EG niedergelassener Zertifizierungsdiensteanbieter der die Anforderungen der RL erfüllt, steht für das Zertifikat seines internationalen Partners in gleichem Umfang ein wie für seine eignen Zertifikate. Das Zertifikat oder der Zertifizierungsdiensteanbieter ist im Recht einer bilateralen oder multilateralen Vereinbarung zwischen der EG und Drittländern oder internationalen Organisation anerkannt. Ausländische Signaturen werden gemäß 23 Abs.2 SigG2001 akkreditierten Signaturen gleichgestellt, falls sie gleichwertige Sicherheit nachweisen können. 50

51 ... Internationale Anerkennung Anerkennung ausländischer elektronischer Signaturen (Forts.) Anerkennung von Produkten für elektronische Signaturen gemäß 23 Abs.3 SigG2001 werden Produkte für elektronische Signaturen, bei denen die Erfüllung der Anforderungen nach EGSRL in einem Mitgliedsland festgestellt wurde, denen nach dem SigG2001 gleichgestellt. Nur im Rahmen der freiwilligen Akkreditierung können besonders geprüfte Produkte gemäß 15 Abs.7 SigG2001 vorgeschrieben werden. Damit ein ausländisches Produkt gleichgestellt wird, muss es nachweislich die gleiche Sicherheit bieten können, d.h., es muss in gleicher oder gleichwertiger Weise geprüft und bestätigt sein. 51

52 Praxisbeispiel Niedersachsen Im Jahr 2000 war Niedersachsen weltweit das erste Land, das die Digitale Signatur flächendeckend einsetzte. Seit Anfang des Jahres 2000 besitzt das niedersächsische Finanzministerium ein regulär arbeitendes elektronisches Unterschriftensystem nach dem deutschen Signaturgesetz SiGG1997. Aus 6400 Landesbediensteten, die seit Anfang des Jahres mir ihrer digitalen Signatur ausgestattet sind, sollten bis 2001 rund Bedienstete an 700 Standorten werden, die ihre Zahlungsanweisungen digital unterschreiben. Dazu wurde jeder PC-Arbeitsplatz mit einer sog. Sicherheitsumgebung ausgestattet. Vorteile Schnellere und sichere Zahlungsvorgänge Verkürzung dieser von 10 auf 1 bis 2 Tage Mehr Fälschungssicherheit als bei handschriftlicher Unterschrift mit den entsprechenden Stempeln. Für die 3 Jahre gültige Zertifizierung der Digitalen Signatur zahlt das Land Niedersachsen 1,2 Mio. DM. Dieses möchte man durch die effizienten Transaktionen um ein vielfaches wieder einsparen können. 52

53 Internet-Links