Risiken bei der elektronischen Signatur

Transkript

1 Risiken bei der elektronischen Signatur Die elektronische Signatur dient dazu, im elektronischen Geschäftsverkehr eine vergleichbare Rechtssicherheit zu erlangen wie im klassischen Geschäftsleben mit Papierdokumenten. Dabei ist die elektronische Signatur das Werkzeug, um nachträgliche Änderungen an Dokumenten zu verhindern und die sichere Zuordnung der Urheberschaft zu ermöglichen. Genau wie bei physischen Dokumenten kann eine Veränderung natürlich nicht verhindert werden, sie wird jedoch sicher erkannt und nachweisbar. Die Signatur dient also kurz gesprochen der Unversehrtheit, der Nicht-Abstreitbarkeit und der Zuordnung der Urheberschaft des Urhebers oder der Vertragsparteien (bei mehreren Unterschriften). Insgesamt soll das Werkzeug der elektronischen Signatur die elektronische bzw. digitale Welt sicherer machen. Wie bei allen Werkzeugen entstehen aber bei der (eventuell unqualifizierten) Nutzung des Werkzeugs selbst Gefahren für den Benutzer und für das Ziel des Werkzeugeinsatzes. Man kann diese Gefahren, je nach Einsatzzweck und Einsatzumgebung sehr gut beherrschen. Es müssen nur die entsprechenden Rahmenbedingungen bekannt sein und beachtet werden. Ein wenig Informations-Technik (IT) Prinzipiell ist die elektronische Signatur ein Verfahren, bei dem eine Datei in einem Datenverarbeitungsprozess zuerst eindeutig charakterisiert wird, indem ein sogenannter Hash- Wert der Datei erzeugt wird. Ein Hash-Wert ist im Prinzip so etwas wie eine Quersumme mit dem Unterschied, dass nach menschlichem Ermessen bei keiner zweiten Datei der gleiche Wert entsteht. Dieser Hash-Wert wird, mit einem Schlüssel verschlüsselt, der nachweislich und nachprüfbar nur dem Signierenden bekannt und von diesem nutzbar ist. Durch Vergleich des signierten Hash-Wertes mit einem aktuellen Hash-Wert des Dokuments kann eine Veränderung des Dokumentes jederzeit festgestellt werden. Ist der aktuell errechnete Hash-Wert mit dem mitgelieferten Hash-Wert identisch, so kann davon ausgegangen werden, dass das Dokument zwischenzeitlich nicht geändert wurde. Signaturen werden mit dem privaten (geheimen) Schlüssel einer sicheren Signaturerstellungseinheit (SSEE) durchgeführt. Für eine qualifizierte elektronische Signatur (QES) sind als SSEEs nur Smartcards von zertifizierten Herstellern zugelassen. Zur Erstellung der Signatur mit den üblichen Rechnern (PCs) ist jeweils auch eine Signaturanwendungskomponente (SAK) erforderlich, die zur Erstellung einer qualifizierten Signatur eine Zulassung durch die Regulierungsbehörde / BSI oder eine Herstellererklärung haben muss. Seite 1

2 Signaturarten Neben technischen Voraussetzungen gibt es auch Vorgaben für das Verfahren. Voraussetzung nach Gesetz ist für eine Signatur das Zusammenspiel aus Besitz (der Smart-Card) und Wissen (der PIN) vorausgesetzt. Der Prozess des Signierens erfolgt durch Präsentation des zu signierenden Inhaltes (mit einem Trusted Viewer ), den Einsatz einer SSEE (Smartcard im Kartenleser) und der Eingabe der PIN, abgeschlossen mit dem willful act der PIN- Bestätigung (Eingabe-Taste), durch die der Wille zur Unterschrift manifestiert wird. Zur Verhinderung ungewollter, durch Software ausgelöster Signaturen enthält die SSEE normalerweise einen Zähler, der verhindert, dass mehr als eine Signatur ohne die erneute Eingabe der PIN (plus willful act ) möglich ist. Massensignaturen Bereit seit einiger Zeit gibt es die Möglichkeit, sich von der Regulierungsbehörde bzw. durch das BSI Verfahren zertifizieren zu lassen, bei denen dieser erhebliche Aufwand nicht getrieben werden muss. So ist es möglich, elektronische Rechnungen massenweise signieren zu lassen, ohne dass dabei die PIN mehr als einmal eingegeben werden muss. Die Voraussetzungen für diese Zertifizierung ist jedoch extrem hoch. Voraussetzung für diese Art der Signatur sind in der Masse thematisch gleichartige Dokumente und ein durch hohe technische und infrastrukturelle, bauliche Hürden gesicherten Verfahren, das für jede Einrichtung einzeln zertifiziert werden muss. Gegebenenfalls kommen hier auch spezielle SSEEs (wie sogenannte Hardware Security Modules HSM ) zum Einsatz. Ansonsten sind SSEEs (Smartcards) ohne Signaturzähler oder mit Signaturzähler größer als 1 einzusetzen. Diese Art der Signaturerstellung ist beispielsweise in Deutschland unter gewissen Randbedingungen möglich, in Österreich aber nicht. Weitere Signaturmethoden In der Planungsphase der egk wurde ein Problem identifiziert, das mit den Beschränkungen der Signatur auf Einzelsignaturen zusammen hängt. Speziell im Gesundheitswesen gibt es einige Prozesse, die eine nicht unerhebliche Anzahl von Signaturen in relativ kurzer Zeit erfordern. Die Eingabe der PIN für jede erforderliche Signatur würde die Prozesse verlangsamen und vollkommen unattraktiv machen (Arztbriefe im Krankenhaus, abendliches Paraffieren von Rezepten in der Apotheke). Die beiden beschriebenen Sonderformen der Signatur setzen voraus, dass der Signaturzähler auf der SSEE auf einen Wert größer als 1 (eins) gesetzt wird. Üblich sind Werte zwischen 5 und 50. Beide Signaturmethoden gehen vom Einsatz in einer besonders gesicherten Umgebung aus, deren Sicherheitsniveau deutlich über dem einer Büroumgebung liegt. Stapelsignatur 1 Die Stapelsignatur ist definiert als Vorgang, bei dem zuerst eine Reihe von Dokumenten 1 Definiert in: BSI Technische Richtlinie, Komfortsignatur mit dem Heilberufsausweis, BSI TR-03115, Version 2.0, Seite 2

3 erzeugt wird, diese dem Signierenden präsentiert werden und dieser nach der Anzeige durch Eingabe der PIN die Signatur der Dokumente freigibt. Es werden entweder so viele Dokumente signiert, wie es der Signaturzähler zulässt. Falls die Zahl der zu signierenden Dokumente kleiner ist als die im Signaturzähler vorgesehene Zahl, so werden diese ausgeführt und die SAK setzt nach der letzten Signatur den PIN-Auth-Statuszurück, so dass für folgende Signaturen die PIN neu eingegeben werden muss Die Komfortsignatur 2 Im Unterschied zur Stapelsignatur wird bei der Komfortsignatur vom Nutzer zuerst mit der PIN-Eingabe der PIN-Auth-Status gesetzt. Danach werden in Folge Dokumente zur Signatur präsentiert und durch einen willful act die Signatur durch die SAK durchgeführt. Dabei können die Dokumente bereits vorher erzeugt worden sein oder erst im Prozess entstehen. Dieser Vorgang kann fortgesetzt werden, solange der Signaturzählerwert der SSEE nicht erreicht ist. Die SAK setzt gegebenenfalls, sofern nach dem Ende des Signaturprozesses der PIN-Auth-Status noch gesetzt ist diesen zurück. Das Rücksetzen kann und sollte auch nach Ablauf einer gewissen Inaktivitätszeit durch die SAK erfolgen. Für alle Signaturarten außer der Einzelsignatur sind spezielle Voraussetzungen erforderlich. So müssen die SSEEs Mehrfachsignaturen zulassen. Des weiteren muss eine geeignete SAK für Mehrfachsignaturen verfügbar sein. Sind diese Voraussetzungen nicht gegeben, so müsste auf technische Maßnahmen zurück gegriffen werden, die die einschlägigen Gesetze und sonstigen Regeln nicht vorsehen bzw. untersagen. Trotzdem ist einer derartigen, nicht nach den Regeln erzeugten Signatur nicht anzusehen, dass sie nicht auf die vorgeschriebene Weise zustande gekommen ist. Da es dem Besitzer der SSEE, also der Smartcard, obliegt, für die Sicherung von Besitz und Wissen zu sorgen und seine SSEE auch nur in einer sicheren und geeigneten Umgebung einzusetzen, genießt der Empfänger eines elektronisch signierten Dokuments, das mit einer gültigen qualifizierten Signaturkarte unterzeichnet wurde, Vertrauensschutz. Er kann sich zu Recht immer auf die Gültigkeit der Unterschrift berufen und sich darauf verlassen. Die Risiken der elektronischen Signatur Das generelle Risiko einer Signatur, auch der händischen auf Papier, besteht darin, dass sich ein Interessierter eine Verpflichtung oder Dokumentation erschleicht, die dem Unterzeichner ungerechtfertigte Nachteile bringt. Beispiele wären die Unterschrift unter ein allgemein kompromittierendes Dokument oder die Unterschrift unter eine Zahlungsverpflichtung / einen Vertrag, der ohne (adäquate) Gegenleistung zur Zahlung einer Geldsumme verpflichtet. Dieses generelle Risiko stellt sich je nach Signaturtechnik unterschiedlich dar. In dieser Schrift wird dabei nur die Gefährdung und das Risiko einer elektronischen Signatur behandelt. 2 Siehe Fußnote 1 Seite 3

4 Gefährdung Welche Gefährdungen bestehen bei der Durchführung einer elektronischen Signatur. Kurz gefasst könnte 1. ein Dokument unterschrieben werden, in dem nicht genau das steht, was ich erwarte und das ich signieren möchte, es könnte 2. ein ganz anderes Dokument unterschrieben werden, von dem ich gar nichts weiß, es könnte 3. eine technisch fehlerhafte Signatur erzeugt werden, die nicht gültig ist und es könnte 4. die PIN als Schlüssel zu der Signaturfunktion der Karte ausgespäht und für einen späteren oder sofortigen Missbrach gespeichert werden. Alle drei Szenarien lassen sich durch fehlerhafte Werkzeuge und/oder absichtliche Angriffe modellieren. Da nur die Qualifizierte Elektronische Signatur (QES) eines akkreditierten Anbieters nach Signaturgesetz als Ersatz für die Schriftform (eigenhändige Unterschrift) gilt, hat der Gesetzgeber für sie hohe Hürden gegen Missbrauch aufgebaut. Grundsätzlich ist in Deutschland eine QES nur mittels einer sogenannten SSEE (Sichere SignaturErstellungsEinheit) erlaubt. Diese SSEE ist in aller Regel eine Smartcard. Auf ihr ist der persönliche, geheime Signaturschlüssel so gespeichert, dass nach menschlichem Ermessen niemand an diesen Schlüssel herankommt (auch nicht der Hersteller der Karte) und nur der Besitzer in der Lage ist, ihre Signaturfunktion zu nutzen. Ihre Benutzung wird durch Besitz und Wissen ermöglicht, das heißt, zur Signaturerstellung muss die Karte im Besitz und in Nutzung des Inhabers sein und dieser muss in der Lage sein, seine PIN, die Persönliche Identifikations-Nummer, zum Auslösen der Signatur einzugeben. Daraus ergibt sich, dass neben der Nichtherausgabe der Karte der Geheimhaltung der PIN größte Bedeutung zukommt. Dieser Sachverhalt ist die Grundlage aller anderen technischen und organisatorischen Maßnahmen. 1. Im Gegensatz zu Papierdokumenten, für die der Mensch (normalerweise) ein eigenes Sensorium mitbringt (Augen und Hand) sind bei der Wahrnehmung und dem Verständnis elektronischer Dokumente eine Reihe von miteinander verschachtelten technischen Ebenen erforderlich. Das Dokument, das aus einer großen Anzahl von Bits und Bytes auf einem Datenträger besteht muss über Hardware ausgelesen, von Treibern dem Betriebssystem zugänglich gemacht werden und von spezialisierten Programmen graphisch so aufbereitet werden, dass es auf einem Bildschirm dargestellt wird. Dabei können Elemente des Inhalts durch inkonsistente Realisierungen der technischen Kette unterschiedlich dargestellt werden und somit auf unterschiedlichen Systemen oder in unterschiedlichen Situationen divergierende inhaltliche Bedeutung haben 3. Aus diesem Grund ist es erforderlich, sich auf die Methoden, mit der der die Signatursoftware die zu unterzeichnenden Inhalte darstellt, verlassen zu können. Dieser Anforderung ist durch die zwingende Verfügbarkeit eines sogenannten Trusted Viewers für jede zertifizierte SAK Rechnung getragen. Auf diese Weise kann man sich, wenn man es will, das zu unterzeichnende Dokument vor der Signatur anzeigen 3 Die Darstellung beispielsweise von dunkelgrauem Text auf hellgrauem Untergrund auf zwei verschiedenen Systemen kann bei fehlender Kalibrierung der Grauwerte zu grauem Text auf grauem Hintergrund und somit der Unsichtbarkeit wichtiger Textbausteine führen. Seite 4

5 lassen und weiß damit, was man unterschreibt. 2. Auch wenn man sich das gewünschte Dokument in einem zuverlässigen Trusted Viewer ansehen kann, könnte es mit geeigneten technischen Mitteln möglich sein, der Signaturkomponente im letzten Moment vor der Unterzeichnung ein vollkommen anderes Dokument zur Unterschrift unter zu schieben. In diesem Fall würde statt eines Arztbriefs gegebenenfalls ein Kaufvertrag unterzeichnet. Auch dieses Szenario muss verhindert werden, indem nach dem Anziehen des Dokumentes durch die SAK dieses nicht mehr ausgetauscht oder modifiziert werden kann. 3. Die eingesetzte Software muss gewährleisten, dass die Signatur des ausgewählten Dokuments technisch und organisatorisch korrekt ist. Fehler können etwa durch falsch implementierte, durch ungeeignete und nicht mehr zulässige Algorithmen entstehen. Es könnten abgelaufene SSEEs verwendet werden und die Karte könnte wegen eines Sicherheitsvorfalls revoked (gesperrt) sein. Bei der Signatur muss die Software alle diese Fehlerursachen vermeiden, da ansonsten für den Unterzeichnenden bzw. dessen Vertragspartner eine rechtliche Unsicherheit entsteht. 4. Das System muss verhindern, dass die PIN missbraucht werden kann. In den zertifizierten Softwareprodukten wird dies erreicht, indem die PIN ausschließlich über Kartenlesegeräte mit PIN-Pad eingegeben wird. Da diese Geräte vom eventuell verseuchten Computer getrennt sind und ihre Software (die Firmware) wegen ihrer geringen Komplexität vergleichsweise fehlerfrei implementiert und getestet werden kann, schreibt der Gesetzgeber den Gebrauch dieser Art von Kartenterminals vor (Klasse 1 bis Klasse 3). Risiken Die Beschreibung der Gefahren sagt noch nichts aus über die konkrete Eintrittswahrscheinlichkeit dieser Gefahren und über die potentiell eintretenden Schäden. Das Risiko als Maß für den konkreten Umgang mit gefährdeten Systemen ist von zahlreichen Parametern abhängig. Dazu gehört natürlich die eingesetzte Technik, allerdings auch die Umgebung, in der die Technik eingesetzt wird und die Ziele, die mit dem Gesamtverfahren erreicht werden sollen. Mit den für zertifizierte SAKs und deren Komponenten vorgeschriebenen Rahmenbedingungen kann ein großer Teil der Risiken abgewendet werden, die für die elektronische Signatur existieren. In der Praxis ist hier vor allem die der Zertifizierung entsprechende Soft- und Hardwarearchitektur kaum nachzustellen, so dass eine den Vorgaben genügende Signaturumgebung nicht erreicht werden kann. Die daraus entstehenden Risiken sind jedoch meist minimal. Wesentlich gravierender sind die Einschränkungen in der Benutzbarkeit. Mit normalen SSEEs und den handelsüblichen SAKs sind Stapel- und Komfortsignatur nicht realisierbar. Die Alternative sind nicht zertifizierte SAKs mit speziellen Softwarekomponenten und SSEEs, die für die qualifizierte Signatur geeignet sind. Das Ergebnis des Signaturvorgangs mit einer derartigen, technisch geeigneten Konfiguration ist im Ergebnis nicht von dem einer zertifizierten Umgebung zu unterscheiden und deshalb für den Empfänger vollständig Seite 5

6 geeignet. Was ist also für eine Komfortsignatur mit nicht-zugelassenen Komponenten erforderlich? Hier sind zwei Varianten zu diskutieren: 1. Komfortsignatur mit einer SSEE, die stapelsignaturfähig ist (Signaturzähler > 1) und 2. einer SSEE, die nicht stapelsignaturfähig ist (Signaturzähler=1). Beide unterscheiden sich an einer entscheidenden Stelle, der PIN-Eingabe, erheblich. Da die SSEE im zweiten Fall nicht in einen freigeschalteten Zustand versetzt werden kann ( PIN- Auth-Status gesetzt) ist es erforderlich, die PIN bei jedem Signaturvorgang wieder zu übergeben. Damit dies aber nicht zu einer normalen Einzelsignatur-PIN-Eingabe-Orgie ausartet, muss die PIN in der Software zwischengespeichert werden. Dieses Vorgehen ist kritisch! Falls dieses Verfahren aber organisatorisch (vom Inhaber der Signaturkarte) verantwortet werden kann, ergeben sich als Beschreibung der beiden Komfortsignatur- Szenarien folgende Fälle: 1. Die Signatursoftware (gegebenenfalls D2D) wird nach der dem Prozess angepassten Präsentation der Inhalte vom Primärsystem für die Signatur bzw. die Signatur und den Versand von Dokumenten beauftragt. D2D setzt auf der Signaturkarte (SSEE) den PIN-Auth-Status durch Abfragen der PIN (wahlweise über Computertastatur oder PIN-Pad). In der Folge kann das Primärsystem maximal eine dem Signaturzähler der SSEE entsprechende Zahl von Dokumenten (nach geeigneter Darstellung) von der Signatursoftware unterzeichnen lassen. Nach Erreichen des Zählerlimits ist die PIN erneut einzugeben. Sollte der Signaturzähler noch nicht erreicht sein und nach einer einstellbaren Zeitdauer kein erneuter Signaturvorgang erfolgt sein, so wird der PIN- Auth-Status von der Software wieder zurückgesetzt. Vor einer erneuten Signatur muss dann die PIN wieder eingegeben werden. 2. Das zweite Verfahren unterscheidet sich vom ersten, dass bei diesem wegen der eingeschränkten Funktion der SSEE (Signaturzähler = 1) kein PIN-Auth-Status für mehr als eine Operation gesetzt werden kann. Deshalb muss in diesem Fall die PIN in der Software gepuffert werden.das erhöht die Gefährdung, da die PIN in diesem Fall von Schadsoftware abgefangen bzw. ausgelesen werden könnte. In der Software müsste weiterhin ein Signaturzähler simuliert werden, alle anderen Abläufe sind mit der vorher beschriebenen Version vom Ablauf her identisch. Im Einzelnen Wie bereits erwähnt gibt es bei der elektronischen Signatur eine Reihe von Gefährdungen, die bis zu einer erheblichen Bandbreite differenziert werden können. In dieser Schrift sollten jedoch nur die Gefährdungen behandelt werden, für die ein relativ hohes Risiko existiert. Es lassen sich dabei grob drei Gruppen von Risiken feststellen, die teilweise auch generische Risiken der elektronischen Signatur und für das spezielle, hier beschriebene Szenario nicht signifikant sind. Benutzerfehler Der Benutzer (in diesem Zusammenhang immer der berechtigte Nutzer der SSEE) nimmt den Seite 6

7 präsentierten Inhalt des Dokumentes nicht bewusst wahr und löst einen Signatur- oder kombinierten Signatur-/Versandvorgang an, der für das präsentierte Dokument nicht vorgesehen war (vulgo: er passt nicht auf und unterschreibt das falsche Dokument). Wird dieser Fehler nicht bemerkt, so können sich aus dem rechtsverbindlich signierten Dokument Verwicklungen ergeben, für die der Unterzeichner gerade stehen muss. Softwarefehler der Signatursoftware und des Primärsystems Ein vergleichbarer Effekt kann auch durch fehlerhafte Software entstehen. Dabei könnte dem Unterzeichnenden im Ablauf ein Dokument präsentiert, jedoch ein anderes im Hintergrund signiert werden. Die Folgen wären die gleichen wie die im obigen Fall beschriebenen, da sich der Inhaber der SSEE die Signatur zuschreiben lassen muss. Ein zweiter Problemfall könnte durch eine fehlerhafte und damit ungültige Signatur entstehen. In diesem Fall könnte dadurch, dass ein Rechtsgeschäft nicht innerhalb einer Frist rechtsgültig wird, dem Unterzeichner oder einem Vertragspartner ein Schaden entstehen, der dann dem Unterzeichner zuzuordnen wäre. Angriffe auf das System Bei Angriffen auf das System des Signierenden kann es verschiedene Ziele geben. Einerseits könnte das Ziel die Erlangung einer Unterschrift unter ein oder mehrere Dokumente sein, die dem Angreifer mittel- oder unmittelbare Vorteile bringen, oder es könnte das Ziel sein, eine Unterschrift zu erlangen, die den Signierenden in irgend einer Weise kompromittiert. Ein weiteres Angriffsziel könnte die Erlangung der PIN sein, damit der Angreifer später, wenn er auf andere Art eventuell in den Besitz der SSEE kommt, diese in der gleichen Art zum eigenen Nutzen und im Allgemeinen zum Schaden des rechtmäßigen Besitzers zu verwenden. Auch könnte die PIN bei gesteckter Karte im Rahmen eines Remote-Zugriffs missbräuchlich genutzt werden, um zu eigenen Zwecken Dokumente signieren zu lassen. Risikoabschätzung Gegen alle drei Szenarien lassen sich Maßnahmen ergreifen. Das erste Szenario ist kein Spezifikum des beschriebenen speziellen Verfahrens sondern kann in jedem Fall elektronischer Signaturen vorkommen. Allerdings könnte der Seriencharakter von Stapel und Komfortsignatur die Unachtsamkeit des Nutzers verstärken. Hier muss also auf besondere Sorgfalt geachtet werden. Das zweite Szenario kann bei elektronischer Signatur ebenfalls in unterschiedlichen Konfigurationen vorkommen, da Software einer gewissen Komplexität nie garantiert fehlerfrei zu erstellen ist. Um derartige Fehler auszuschließen unterliegen die zertifizierten SAKs und deren Entstehungsprozess einer besonderen Qualitätskontrolle, die das Auftreten von Softwarefehlern minimieren soll. Dieses Ziel wird sicher auch erreicht, jedoch kann auch hier in der Praxis wegen der zahlreichen weiteren Softwarekomponenten des Gesamtsystems, die keiner entsprechenden Qualitätskontrolle unterliegen, keine sichere Fehlerfreiheit erreicht werden. Hier stellt sich die Frage, welches Vertrauen der Nutzer in die Komponenten seiner Primärsoftware setzt, die für die medizinische Dokumentation und die regelmäßige Seite 7

8 Abrechnung ebenfalls ein hohes Qualitätsniveau erreichen müssen. Durch entsprechende nachgeschaltete Prüfmechanismen lässt sich hier ebenfalls ein hohes Maß an Sicherheit erreichen. Auch die nachträgliche technische Prüfung der Korrektheit der Signatur kann integriert werden. Das dritte Szenario ist das bei weitem kritischste. Es hebt auf die Sicherheit des Gesamtsystems ab und ist durch isolierte Qualitätsmaßnahmen einzelner Komponenten nur schwer positiv zu beeinflussen. Gegen die beschriebenen Angriffe ist ein System, das nicht vernetzt ist, weitgehend (nicht vollständig) immun. Da heute aber fast alle Rechner an irgend einer Netzinfrastruktur angeschlossen sind ist die Qualität der Installation des lokalen Rechners, der Pflegezustand der Sicherheitspatches, die Anmelde-Policy sowie der Sicherheitszustand des lokalen Gesamt-Netzes von entscheidender Bedeutung. Falls das Gesamtsystem in sehr gutem Zustand ist, so kann bei entsprechend sorgfältiger Nutzung eine Komfortsignatur verantwortbar sein. Generell sollte die PIN-Eingabe über die Rechnertastatur nach Möglichkeit vermieden werden, da hier einer der beiden wesentlichen Sicherheitsaspekte (Besitz und Wissen), das Wissen um die PIN, relativ leicht gebrochen werden kann. Entscheidend ist weiterhin die gute Information der Nutzer der Signaturlösung, so dass sie sich ein Bild von der Technik und deren Vorteilen machen können. Die Risiken und die Strategien zur Minimierung derselben müssen ihnen bekannt sein, so dass sie eigenständig die Entscheidung für die Komfortsignatur treffen können oder aber bei der Einzelsignatur mit der regelmäßigen Eingabe der PIN. Beide Verfahren sind technisch machbar. Viele der besonders intensiv diskutierten potentiellen Schadensfälle könnte durch das Eintragen einer sogenannten usage restriction der Signatur mit dem HBA (Heilberufsausweis, elektronischer Arztausweis) begegnet werden, so dass der HBA zumindest für Vermögensdelikte weitgehend uninteressant wird. Abschluss Am Ende ist es die Entscheidung des Inhabers der Signaturkarte, wie er die Vorteile der Komfortsignatur gegen die vorhandenen Risiken gewichtet. Da ihm die Signatur im Zweifel zugeschrieben wird kann auch nur er entscheiden, welche der Signaturmodelle er benutzen will. Seite 8