Das Thema eGovernment kann nicht ohne einen Blick auf die Entwicklung und die Möglichkeiten der digitalen
Signatur auskommen.
Nachdem eine erste Gesetzesverabschiedung zur Digitalen Signatur 1997 die Deutschen
zunächst auf die verwaltungstechnische Überholspur katapultierte, blieb die Anerkennung der Rechtsverbindlichkeit
bisher noch aus.
Dirk Arendt, Jurist bei Gewiplan Projektmanagement GmbH, meint, die digitale Verwaltung wird
erst mit der Rechtsverbindlichkeit der digitalen Signatur richtig in Schwung kommen. Für politik-digital fasst der
Experte für digitale Signaturen Idee, Rechtsgrundlage und Anwendungsmöglichkeiten der sicheren eKommunikation
zusammen.
Die Idee: ein "elektronisches Siegel"
Die Angst vor den Sicherheitsrisiken der fortschreitenden Kommunikation über das Internet als ein für alle
Teilnehmer offenes Computernetz greift um sich. E-mail für dich, e-mail für mich, Virus für uns alle. Das Netz birgt
einige Sicherheitsrisiken in sich, die insbesondere durch Angriffe "virenverseuchter" e-Mails ("I-love-you") und
deren Folgen in letzter Zeit wieder von einer breiteren Öffentlichkeit diskutiert wurden.
Aber nicht nur Angriffe über das Netz auf den persönlichen PC, sondern auch die Möglichkeit eine e-Mail
einzusehen oder deren Inhalt auf dem Weg zum Empfänger durch unbefugte Dritte zu verändern, verdeutlichen die
Notwendigkeit der sicheren Übermittlung von elektronischen Daten im Internet. Mit e-commerce hat sich im
Internet ein eigenständiges Handels- und Dienstleistungssystem aufgebaut, das allmählich alle Wirtschaftszweige
erfaßt hat. Da auch der Ruf nach vereinfachter Abwicklung behördlicher Dienstleistungen, kurz eGovernment immer
lauter wird, stellt sich immer dringender die Frage nach der dafür erforderlichen Sicherheit.
Wichtigster Diskussionpunkt bei der Entwicklung von eGovernment ist die Möglichkeit der rechtsverbindlichen
Kommunikation in der virtuellen Welt. An genau dieser Stelle setzt die Digitale Signatur ein: Dahinter steht die
Idee, ein "Siegel", wie man es aus dem handschriftlichen Rechtsverkehr kennt, auch für elektronische Daten zu
schaffen. Dieses "Siegel" soll für den Empfänger elektronischer Daten die Identität des Absenders
(die Authentizität) und die Unverfälschtheit der Daten (die Integrität) sicherstellen. Die Digitalen Signaturen schaffen
somit ein wesentliches Instrument zum sicheren Dokumentenaustausch beispielsweise mit Behörden und zur
Absicherung von Verträgen im Bereich des eCommerce.
Die deutschen "Multimedia-Pioniere": Das Signaturgesetz von 1997
Als ein Bestandteil der 1997 verabschiedeten sogenannten Multimediagesetze
(im genauen Wortlaut:Informations- und Kommunikations-Dienste-Gesetz [IuKDG])
ist das Signaturgesetz (SigG) in Art. 3 geregelt.
Die Verabschiedung des Signaturgesetzes hat weltweit für viel Aufsehen gesorgt; nahm der deutsche Gesetzgeber
doch mit der Konzeption eines entsprechenden Gesetzes für die Rahmenbedingungen des Einsatzes digitaler
Signaturen eine Vorreiterrolle als "Multimedia-Pionier" ein. Zum Vergleich: In den USA ist beispielsweise ein
entsprechendes Gesetz erst im Juli 2000 verabschiedet worden.
Leider sträubte sich der deutsche Gesetzgeber, die rechtliche Qualität und auch Beweisfunktion im
Signaturgesetz zu regeln. Er hat in Verbindung mit der Signaturverordnung (SigVO)
nur den administrativen Rahmen für die Sicherheit von digitalen Signaturen geschaffen. Daher ist die Digitale
Signatur in der 1997 festgelegten Fassung noch nicht bei solchen Rechtsvorgängen einsetzbar, die der eigenhändigen
Unterschrift bedürfen. Die Technik war schneller als die Gesetzgebung.
Die Veränderungen und die Neufassung
Die Neufassung des Signaturgesetzes durch das "Gesetz über Rahmenbedingungen für elektronische Signaturen"
in Folge der Umsetzung der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom
03. Dezember 1999 bringt für den Anwender jedoch einige beträchtliche Veränderungen in der täglichen Praxis mit
sich:
Durch Art. 5 dieser Richtlinie wurden die Voraussetzungen für eine Gleichstellung der elektronischen Signatur mit
der handschriftlichen Unterschrift und der Anerkennung als Beweismittel vor Gericht geschaffen. Das bedeutet in
der Konsequenz nichts anderes als die Einführung einer "elektronischen Unterschrift" im Rechtsverkehr.
Es kommt jetzt auf den deutschen Gesetzgeber an, diese Vorgaben entsprechend umzusetzen. Ein Vorhaben,
das einem Abenteuer zu gleichen scheint. Hierbei müssen annähernd 3.800 Rechtsvorschriften überprüft und
angepaßt werden. Der Gesetzgeber hat aber bereits gehandelt: Bis zum 1. Januar 2001 sollen alle Änderungen
im Vetrags- und Prozessrecht in Kraft treten. Bahnbrechend für den Einsatz der digitalen Signatur ist dieses
Datum nicht. Der relevante Bereich des Verwaltungsrechts wird nämlich immer noch nicht erfasst.
Wie funktioniert die digitale Signatur?
Aber wie funktioniert die Signierung nun? In einem Artikel in einer Berliner Tageszeitung hieß es vor kurzem:
"Klick, Klick, Führerschein". Ganz so einfach ist es natürlich nicht. Vielmehr ist die Erzeugung einer digitalen
Signatur ein hochkomplizierter mathematischer Vorgang, der im Regelfall für den Anwender jedoch nicht "sichtbar"
wird. Die Prozedur des "Signierens" und des "Prüfens" der Unterschrift sieht von Anwenderseite wie folgt aus:
Die Signierende, wir nennen sie Alice, erzeugt ein elektronisches Dokument und möchte dieses unterschrieben an
Bob senden. Alice ruft das Signaturprogramm auf, legt die Signaturkarte ins Kartenlesegerät und gibt sie mit Hilfe
des PINs frei. Nun markiert Alice die zu signierende Datei. Sie hat jetzt die Auswahlmöglichkeit, ob sie die Datei
"nur" signieren, dann ist sie für jedermann lesbar, oder aber auch verschlüsselt versenden möchte. Dann ist das
Dokument nur für den expliziten Empfänger lesbar.
Zum Verschlüsseln wird zusätzlich der öffentliche Schlüssel des Empfängers benötigt. Diesen erhält Alice entweder
als Anhang einer E-Mail oder aber sie kann ihn von dem Trust-Center, von welchem Bobs Signatur stammt, per
Internet beziehen. Die digitale Signatur und die Verschlüsselung sind zwei unterschiedliche und voneinander
losgelöste Vorgänge. Sinnbildlich ist eine signierte E-Mail eine unterschriebene Postkarte, wohingegen die
verschlüsselte E-Mail einem geschlossenen Brief gleicht.
Bob, der ausgewählte Empfänger, erhält das digital signierte Dokument von Alice. Um die Signatur zu prüfen, das
Dokument zu lesen oder möglicherweise vorher zu dechiffrieren, benötigt Bob den öffentlichen Schlüssel von Alice.
Bob startet das Signaturprogramm, legt seine Signaturkarte in das Kartenlesegerät ein und gibt seine PIN ein.
Nun markiert er die entsprechende Datei, deren Signatur geprüft werden soll. Mit Hilfe des öffentlichen Schlüssels
von Alice kann er die Signatur prüfen und mit Hilfe seines privaten Schlüssels, der sich auf der Signaturkarte
befindet, das Dokument dechiffrieren und anschließend lesen. Wenn Bob sichergehen möchte, dass die Signatur
von Alice stammt, kann er die Unterschrift beim jeweiligen TrustCenter, der "Instanz ihres Vertrauens", prüfen lassen .