Recht der elektronischen Signaturen

Inhalt

1. Einleitung

2. Technische Aspekte
2.1 Kryptographie
2.1.1 Symmetrische Verschlüsselungsverfahren
2.1.2 Asymmetrische Verschlüsselungsverfahren
2.2 Das Prinzip der digitalen Signatur
2.2.1 Erzeugen und Prüfen der digitalen Signatur
2.2.2 Zertifizierung von Schlüsseln

3. Rechtliche Aspekte
3.1 Die deutsche Sicherheitsordnung
3.1.1 Begriffsbestimmung
3.1.2 Zertifizierungsdiensteanbieter
3.1.3 Haftung
3.1.4 Qualifizierte Zertifikate
3.1.5 Langfristige Prüfbarkeit und Sicherung von Signaturen
3.1.6 Regulierungsbehörde
3.1.7 Die Prüf- und Bestätigungsstellen
3.1.8 Technische Sicherheit
3.1.9 Anerkennung ausländischer Signaturen und Produkte
3.2 Das Formanpassungsgesetz
3.2.1 Elektronische Form
3.2.2 Vereinbarte Form
3.2.3 Textform
3.2.4 Beweisrechtliche Behandlung

4. Fazit

5. Literaturverzeichnis

1. Einleitung

Das elektronische Rechts- und Geschäftsverkehr gehört zu den Schlagwörtern unserer Zeit. Die neuen Informations- und Kommunikationstechnologien haben bereits einen festen Platz im täglichen Rechts-, Wirtschafts- und Privatleben.

In nahezu allen Bereichen wird das bisher papiergebundene Schriftdokument zunehmend durch das elektronische Dokument, das schnell, einfach und preiswert über die globalen Kommunikationsnetze elektronisch übermittelt und archiviert werden kann, ersetzt.

Anderseits birgt der elektronische Rechtsverkehr erhebliche Sicherheitsrisiken, da der Empfänger einer elektronischen Nachricht keine Gewissheit über den Urheber und die Echtheit des Dokuments hat. Durch die Anwendung der elektronischen Signaturverfahren soll die Integrität und die Authentizität elektronisch übermittelter Nachrichten sichergestellt werden. Sie sind die Schlüsseltechnologien^[1] des elektronischen Geschäftsverkehrs, die für Rechtssicherheit in modernen Kommunikationsbeziehungen sorgen sollen.

Im ersten Teil der Arbeit werden die technischen Aspekte der elektronischer Signaturen erläutert. Hierbei wird neben dem Prinzip der elektronischen Signaturen auch auf die Grundlagen der Verschlüsselungsverfahren eingegangen. Das zweite Teil der Arbeit beschäftigt sich mit den gesetzlichen Regelungen elektronischer Signaturen. Dabei werden die wichtigsten Neuregelungen des Signaturgesetzes mit der zugehörigen Verordnung, sowie des Formanpassungsgesetzes beschrieben.

2. Technische Aspekte

2.1 Kryptographie

Die Wissenschaft der Kryptographie existiert bereits seit Jahrhunderten. Persönlichkeiten wie Leonardo da Vinci, Karl der Große, Cäsar nutzten dies, um ihre Schriften für Unbefugte unleserlich zu machen. Der Begriff selbst stammt aus dem (alt-) Griechischen und setzt sich aus zwei Worten Kryptos (griechisch verstecken) und graphein (griechisch schreiben).

Die heute gängigen Verfahren beruhen auf moderner Kryptographie. Durch kryptographisch-mathematische Prozesse soll die Integrität und Authentizität elektronisch übermittelter Daten sichergestellt und so Einsatz für die handschriftliche Unterschrift im elektronischen Datenverkehr geboten werden.^[2]

Das Ziel von Kryptographie ist es Nachrichten so zu verändern, dass nur Berechtigte, aber keine Dritte, diese lesen können.^[3]

Die in der digitalen Signatur eingesetzten kryptographischen Verfahren werden in zwei Klassen eingeteilt:

- symmetrische Verschlüsselungsverfahren
- asymmetrische Verschlüsselungsverfahren^[4]

Der Unterschied dieser Verfahren liegt in der Anzahl von Schlüsseln. Beim symmetrischen Verfahren besitzen Sender und Empfänger denselben Schlüssel. Im Gegenteil dazu gibt es bei dem asymmetrischen Verfahren zwei Schlüssel, einen privaten und einen öffentlichen Schlüssel.

2.1.1 Symmetrische Verschlüsselungsverfahren

In symmetrischen Verfahren verschlüsselt der Sender die Nachricht mit demselben Schlüssel, den der Empfänger zur späteren Entschlüsselung der Nachricht benutzt.

Abb. 1: Schema zur symmetrischen Verschlüsselung^[5]

Abbildung in dieser Leseprobe nicht enthalten

Einige Probleme des symmetrischen Verfahrens machen den Einsatz als Signaturverfahren nicht empfehlenswert. Das größte Problem stellt der Nachweis der Authentizität und Identität dar, da die beiden Kommunikationspartner den gleichen geheimen Schlüssel verwenden und so nicht nachgewiesen werden kann, wer von den beiden die Nachricht erzeugte. Somit ist das Verfahren für die rechtsverbindliche Kommunikation nicht geeignet.

2.1.2 Asymmetrische Verschlüsselungsverfahren

Das asymmetrische Verfahren setzt unterschiedliche komplementäre Schlüssel zur Signaturbildung und Signaturprüfung ein.^[6] Der geheime Schlüssel (privat key) ermöglicht die Verschlüsselung und wird zur Erstellung der digitalen Signatur verwendet. In der Regel befindet sich der geheime Schlüssel auf einer nicht lesbaren Chipkarte und kann nur in Verbindung mit PIN^[7] eingesetzt werden. Er ist absolut geheim zu halten. Der öffentliche Schlüssel dient der Prüfung der digitalen Signatur. Er kann veröffentlicht werden und wird auch public key genannt.^[8]

Abb. 2: Schema zur asymmetrischen Verschlüsselung^[9]

Abbildung in dieser Leseprobe nicht enthalten

Auf Grundlage asymmetrischer Verfahren wurde 1977 das RSA^[10] Verfahren entwickelt. Die Sicherheit des Verfahrens basiert auf der Tatsache, dass es sehr zeitaufwendig ist, große Zahlen in Primfaktoren zu zerlegen. Die Rechenzeit, die für die Zerlegung in Primfaktoren benötigt wird, wächst je nach Algorithmus exponentiell oder proportional mit der Bitlänge der Zahl an.^[11]

2.2 Das Prinzip der digitalen Signatur

2.2.1 Erzeugen und Prüfen der digitalen Signatur

Bei der Erzeugung einer digitalen Signatur bildet der Sender aus seinem signierendem Dokument den Hashwert ( auch Fingerabdruck genannt). Der Hashwert ist 128 oder 160 Bit, also 16 oder 20 Zeichen, lang. Das Verfahren erzeugt dabei eine absolut eindeutige Abbildung des Textes. Keine zwei Texte haben den gleichen Hashwert. Diese Eigenschaft wird Kollisionsfreiheit genannt. Sie gewährleistet, dass die Zuordnung von Originaltext und Fingerabdruck absolut eindeutig ist. Zudem läßt sich von dem Fingerabdruck nicht mehr auf den Text schließen. Ein Erzeugen des Originaltextes aus dem Fingerabdruck ist unmöglich.^[12]

Im zweiten Schritt wird der erzeugte Fingerabdruck verschlüsselt. Dies ist notwendig, damit das Dokument nicht verändert und anschließend mit einem neuen Fingerabdruck versehen werden kann. Die Verschlüsselung wird mit dem privaten Schlüssel des Senders vorgenommen. Die daraus gewonnene Signatur wird an das Dokument angehängt und an den Empfänger übermittelt.

Der Empfänger prüft die Echtheit der Signatur indem er die empfangene Signatur mit dem öffentlichen Schlüssel dechiffriert. Daraus erhält er den ursprünglichen Hashwert des Dokuments. Gleichzeitig bildet der Empfänger aus dem Klartext erneut eine Quersumme. Gelingt die Entschlüsselung und stimmen die beiden Hashwerte überein, so ist dies der Beweis dafür, dass die Daten mit dem zum öffentlichen Schlüssel gehörenden privaten Schlüssel erzeugt wurden, und dass das Dokument nach der Signatur nicht mehr verändert wurde.^[13]

Abb. 3: Das Prinzip der digitalen Signatur^[14]

Abbildung in dieser Leseprobe nicht enthalten

2.2.2 Zertifizierung von Schlüsseln

In offenen Netzen, in denen der Empfänger einer signierten Erklärung nicht die Möglichkeit hat, sich persönlich von der Identität des Schlüsselinhabers zu überzeugen, bedarf es einer elektronischen Bescheinigung, in der die Zugehörigkeit eines Schlüsselpaares zu einer bestimmten Person bestätigt wird.^[15]

Diese Bescheinigung wird als Zertifikat bezeichnet und wird von einem unabhängigen Dritten ausgestellt. Diese unabhängige Instanz wird nach dem Signaturgesetz als Zertifizierungsdiensteanbieter^[16] bezeichnet. Dabei handelt es sich um anerkannte Institutionen, Organisationen, Firmen oder Vereine. Sie prüfen die Identität der Teilnehmer, erzeugen die öffentlichen und die privaten Schlüssel, zertifizieren diese Schlüssel, übertragen den privaten Schlüssel auf die Chipkarte, führen einen Verzeichnis und einen Zeitstempeldienst. Nach dem Signaturgesetz sind sie für die Authentifizierung der Teilnehmer und die Integrität der Schlüssel verantwortlich.

Das Zertifikat wird von der Zertifizierungsstelle mit ihrem privaten Schlüssel signiert. Der öffentliche Schlüssel der akkreditierten Zertifizierungsstelle wird durch die Regulierungsbehörde RegTP^[17] zertifiziert. Das sog. „Wurzelzertifikat“ wird ausdrücklich im SigG geregelt.^[18] Bei qualifizierten Zertifikaten erfolgt entweder die Selbstzertifizierung oder Zertifizierung durch andere Zertifizierungsdiensteanbieter.^{[19] [20]}

3. Rechtliche Aspekte

3.1 Deutsche Sicherheitsordnung

Am 22. Mai 2001 trat das Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG) in Kraft. Er löste das seit 1. August 1997 geltende Signaturgesetz (SigG97) ab. Die Gesetzes-Novelle war aus zwei Gründen erforderlich:

- Erstens diente sie der Umsetzung der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (EGSRL).^[21] Erforderlich waren vor allem Änderungen hinsichtlich der Zulassungsfreiheit von Zertifizierungsstellen^[22], der Einführung eines Überwachungssystems^[23], der Einführung einer Haftungsregelung^[24] und der internationalen Anerkennung von Signaturen^[25].

- Zweitens greift die Novelle die Ergebnisse der Evaluierung^[26] des Signaturgesetzes auf. Hierzu gehören Regelungen zur Auslagerung von Funktionen der Zertifizierungsdiensteanbieter auf andere Dienstleister, zur Kontrollmöglichkeit berufsregisterführenden Stellen hinsichtlich Zertifikatsangaben über berufsrechtliche Zulassungen, und zur Anerkennung von Prüf- und Bestätigungsstellen.

Die zugehörige, am 01.11.1997 in Kraft getretene Signaturverordnung (SigV) wurde mit Beschluss des Bundeskabinets vom 24.10.2001 durch eine neue Verordnung zur elektronischen Signatur ersetzt. Sie trat am 22.11.2001 in Kraft und konkretisiert die Vorschriften des SigG.^[27]

[...]

^[1] Allenstein, P.: Signaturgesetz und Signaturverordnung, 1999, S 5.

^[2] Vgl. Rapp, C.: Rechtliche Rahmenbedingungen und Formqualität elektronischer Signaturen, 2002, S 5.

^[3] Lutzenberger, T.: Technische und rechtliche Aspekte der Digitalen Signatur, Diplomarbeit, S 5.

^[4] Vgl. Kühn, U.: Technische Grundlagen digitaler Signaturverfahren, 1999, S 75.

^[5] Lutzenberger, T.: Technische und rechtliche Aspekte der Digitalen Signatur, Diplomarbeit, S 7.

^[6] Vgl. Rapp, C.: Rechtliche Rahmenbedingungen und Formqualität elektronischer Signaturen, 2002, S 8.

^[7] Der PIN "Personal Identifikation Number" sorgt dafür, dass Unbefugte keinen Zugriff auf die Chipkarte bekommen.

^[8] Vgl.Miedbrodt, A.: Signaturregulierung im Rechtsvergleich, 2000, S 25.

^[9] Lutzenberger, T.: Technische und rechtliche Aspekte der Digitalen Signatur, Diplomarbeit, S 12.

^[10] RSA benannt nach seinen Erfindern R. Rivest, A. Schamir und L. Adlemann.

^[11] Lutzenberger, T.: Technische und rechtliche Aspekte der Digitalen Signatur, Diplomarbeit, S 12.

^[12] Vgl. Bitzer, F./Brisch, K.: Digitale Signatur, 1999, S 21.

^[13] Vgl. Bieser, W.: Die gesetzliche digitale Signatur unter rechtlichen und praktischen Aspekten, 2000, S 50.

^[14] Lutzenberger, T.: Technische und rechtliche Aspekte der Digitalen Signatur, Diplomarbeit, S 15.

^[15].Miedbrodt, A.: Signaturregulierung im Rechtsvergleich, 2000, S 29

^[16] Zertifizierungsdienstanbieter werden auch als Zertifizierungsstellen, Trust-Center, Authentication Authority oder Certification Authority (CA) bezeichnet.

^[17] RegTP (Regulierungsbehörde der Telekommunikation und Post) ist eine Bundesbehörde im Geschäftsbereich des Bundesministerium für Wirtschaft. Sie ist nach dem § 3 SigG i. V. m. § 66 Abs. 1 TKG als Wurzelinstanz zuständig [ www.regtp.de]

^[18] § 16 Abs. 1 SigG

^[19] Zertifikate der anderen ZDA werden als "Cross-Zertifikate" bezeichnet; Vgl. Hammer, in DuD, 2001, S 65.

^[20] Verbreitet sind noch andere Methoden zur Identifikation z. B. das Modell des "Web of Trust", das bei dem Verschlüsselungsprogramm "Pretty Good Privacy" (PGP) verwendet wird. Hierbei wird auf die Identität eines Teilnehmers dadurch vertraut, dass andere Teilnehmer seine Identität bestätigen. Das Modell setzt damit aber eine geschlossene Nutzergruppe voraus und ist deshalb nicht für eine breite Nutzung geeignet. Vgl. Rapp, S 10

^[21] Vgl. Bröhl/ Tettenborn: Das neue Recht der elektronischen Signaturen, 2001, S 22.

^[22] Art. 3 I RLeS

^[23] Art. 3 III u. IV RLeS

^[24] Art. 6 RLeS

^[25] Art. 7 RLeS

^[26] Zu den Ergebnissen der Evaluierungsprozesses vgl. den Bericht der Bundesregierung zum Informations- und Kommunikationsdienstegesetz vom 18.06.1999, BT-Drucks. 14/1191

^[27] Vgl. Bertsch, A. u.a.: Rechtliche Rahmenbedingungen des Einsatzes digitaler Signaturen, 2002, S 69.