Wie geht's weiter mit den digitalen Signaturen?
Auf der Jahrestagung von TeleTrust wurde das deutsche Signaturgesetz im Licht der neuen EU-Eckwerte seziert
Elektronische Signaturen sollen die elektronische Dienstleistungsgesellschaft ermöglichen und dem Verbraucher Vertrauen in den E-Commerce einflößen. Fast zwei Jahre nach der Verabschiedung des deutschen Paragraphenwerks rund um die digitalen Unterschriften ist der praktische Anwendungsnutzen sowie der Innovationswille in der Verwaltung noch kaum spürbar.
Mitte April hatten die Telekommunikationsminister des Europäischen Rates sich nach sehr zähen Verhandlungen auf ein gemeinsames Rahmenwerk für elektronische Signaturen geeinigt. Zur Debatte stand vor allem, ob und wie die enggefaßten rechtlichen Regelungen des deutschen Signaturgesetzes (SigG) mit dem ersten "Laissez-Faire"-Entwurf auf europäischer Ebene in Einklang zu bringen seien.
Die neuen Eckwerte werden nun eher dem deutschen Anspruch gerecht, digitale Signaturen auch rechtlich aus dem Blickwinkel des Nutzerschutzes zu verankern. So werden die technischen Anforderungen für qualifizierte Zertifikate zur Authentifizierung des Users, für Zertifizierungsstellen und Trustcenter, für Geräte zur Herstellung sicherer elektronischer Signaturen sowie Empfehlungen für die Verifizierung von digitalen Unterschriften im überarbeiteten EU-Entwurf in vier Katalogen ausgearbeitet.
Trotzdem decken sich die neuen Bestimmungen nach wie vor nicht ganz mit dem deutschen "Pioniergesetz". Das EU-Rahmenwerk sieht beispielsweise Haftungsregeln für "Zertifizierungs-Serviceprovider" vor, um die rechtliche Sicherheit der Signaturen sowie der mit ihnen abgeschlossenen Verträge zu garantieren und ihre Anwendung für Verbraucher und Trustcenter von vornherein rechtlich transparent zu machen. Im SigG findet sich dagegen keine eindeutige Gefährdungshaftung.
Eine der Schlüsselpositionen des EU-Vorschlags ist zudem im Gegensatz zum ausgefeilten, aber rechtlich zahnlosen Signaturgesetz das Prinzip, elektronische, den Forderungskatalogen entsprechende und damit als "sicher" geltende Signaturen handschriftlichen Unterschriften gleichzusetzen und damit echte Nutzungsmöglichkeiten voranzutreiben. Außerdem schreibt das europäische Rahmenwerk kein technologisches Verfahren wie etwa die heute gängige Public-Key-Kryptographie vor, während vor allem die das SigG ergänzenden Maßnahmenkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) in ihrer ersten Version klare Verfahrensvorschriften enthielten und dem ganzen Gesetz den Ruf eingebracht hatten, dem Markt eine "Staatstechnologie" vorschreiben zu wollen.
Welche Aussichten das SigG angesichts der EU-Eckwerte noch hat, war einer der Diskussionsschwerpunkte während der Jahrestagung von TeleTrust am vergangenen Donnerstag in Berlin. Der Verein zur Förderung der Vertrauenswürdigkeit von Informations- und Kommunikationstechnik, der inzwischen seit zehn Jahren mit technischen Projekten wie dem Dokumentationsaustauschsystem MailTrust für Sicherheit in offenen Netzen eintritt und mit den unterschiedlichsten Lobby-Maßnahmen bei Politikern, der Wirtschaft sowie der Bevölkerung um Akzeptanz neuer Technologien wie Chipkarten oder biometrischen Identifikationsverfahren wirbt, hat selbst die Bundesregierung bei der Ausarbeitung des Signaturgesetzes entscheidend beraten. Doch aus dem "Meilenstein" ist in mancherlei Hinsicht ein Mühlenstein geworden, der aufgrund hoher Anforderungen und kleiner Spielräume die Entwicklung von Sicherheitsinfrastrukturen im Bereich der Signaturen auch behinderte. Deswegen war bei TeleTrust eine Bestandsaufnahme sowie die Suche zu neuen Ansätze angesagt.
Enttäuschung in der Industrie
Als "enttäuschend" bezeichnete Joachim Rieß, Leiter der Arbeitsgemeinschaft "Juristische Aspekte einer verbindlichen Kommunikation" bei TeleTrust, etwa die Tatsache, daß fast zwei Jahre nach der Verabschiedung des SigG mit der TeleSec der Telekom nur ein Anbieter für dem Gesetz Genüge tuende Zertifizierungsdienste auf dem Markt vertreten sei. In der begonnenen Evaluierungsdiskussion - das SigG ist Teil des sich im "Probelauf" befindlichen Informations- und Kommunikationsdienste-Gesetzes (IuKDG) und steht mit ihm in diesem Jahr auf dem Prüfstand - müßte deshalb kritisch überprüft werden, ob die Sicherheitsansprüche "an der einen oder anderen Stelle zu hoch" seien. Der Jurist beim zum DaimlerChrysler gehörenden debis Systemhaus skizzierte so eine Gratwanderung: Gerade in Hinsicht der EU-Regelungen dürfe man der neuen Dynamik nicht im Wege stehen. Gleichzeitig ginge es aber auch nicht darum, das Signaturgesetz "klanglos zurückzuziehen."
Einig sind sich die Kritiker des SigG, daß den hohen und teuren Sicherheitsanforderungen zuwenig praktischer Nutzwert entgegensteht. Die "Achillesferse" des Gesetzes sei, daß letztlich alle anderen Signaturverfahren nebenher weiter zulässig seien und die elektronische Signatur nicht - wie von TeleTrust im Vorfeld der Gesetzesverabschiedung angeregt - der handschriftlichen Unterschrift gleichgesetzt worden sei, erläutert Rieß. Von vielen im In- und Ausland werde nicht verstanden, "daß Deutschland in einem 16 Paragraphen umfassenden Gesetz und in einer 19 Paragraphen umfassenden Verordnung und einem Maßnahmenkatalog sehr dezidierte Anforderungen an gesetzeskonforme Signaturen stellt und diese einem Genehmigungsverfahren unterwirft, ohne ihnen rechtlich Anwendungsfelder zu eröffnen."
Ein wichtiges Zeichen für den Innovationswillen des Staates wäre etwa die Anerkennung der elektronischen Signatur im öffentlichen Verwaltungsbereich gewesen. Bekanntlich könnten so in einer Vielzahl von Verfahren zwischen Bürger und Staat - beim Abgeben der Steuererklärung über die Anmeldung bei der Meldebehörde bis hin zum Widerspruch zu einem Verwaltungsakt - Erleichterungen geschaffen und die Verheißungen einer "elektronische Dienstleistungsgesellschaft" ein Stück weiter verwirklicht werden. Doch nach wie vor verlangt die Verwaltung in diesen Bereichen die "normale" Schriftform. Vorschläge für Reformen gibt es zwar im Justizministerium, verwirklicht wurden sie bisher aber so gut wie nicht.
Die Anerkennung elektronischer Signaturen findet erste Befürworter
Doch langsam entwickeln sich Ansätze zur vollwertigen Anerkennung der digitalen Signatur im Verwaltungsbereich, der allgemein als Zugpferd für die Akzeptanz der signaturgesetzkonformen Verfahren auch in der Wirtschaft angesehen wird. In Bremen soll etwa im Rahmen der von der Bundesregierung geförderten Initiative MEDIA@Komm ein "Erprobungsgesetz" für die Digitale Signatur von der Bürgerschaft noch in diesem Monat verabschiedet werden. In zahlreichen Verwaltungsverfahren, die dem Land und nicht dem Bund - wie etwa beim Meldeamt, bei der Einschreibung von Studenten oder im Bereich der "Info-Vermittler" wie zwischen Architekten und Bauträgern - unterliegen, soll die digitale Unterschrift anerkannt werden. Auch das Bundeswirtschaftsministerium will Druck machen: Die rechtliche Gleichstellung der Unterschriftsformen werde zunehmend für bestimmte Bereiche angestrebt, ließ ein Vertreter des verhinderten parlamentarischen Staatssekretärs, Siegmar Mosdorfs, die TeleTruster wissen. Vorreiter könnten der Sozialversicherungsbereich, der Sektor der öffentlichen Ausschreibungen oder sogar der Steuerbereich sein.
Die Sinnhaftigkeit des Signaturgesetzes generell wollte im Umfeld von TeleTrust allerdings keiner in Frage stellen. Rieß hat einen "Anwendungsstau" beim E-Commerce im Bereich hochwertiger Dienstleistungen wie im Finanz- oder Telekommunikationsbereich ausgemacht, für dessen Abbau vertrauenswürdige Authentifizierungsprozesse unbedingt erforderlich seien. Seiner Meinung nach scheitert die vollständige Abwicklung dieser Dienstleistungen über das Internet auch daran, daß sich der Verbraucher im Netz nicht sicher identifizieren könne. Um Vertrauen in die neuen, sinnlich nicht erfahrbaren, sondern nur mathematische errechenbaren Authentifizierungsverfahren mit Hilfe von Signaturen auch kulturell zu begründen, sei ein mehrseitiger Prozeß notwendig, der auf unterstützenden Technologien, aber auch auf organisatorischen und rechtlichen Regeln beruhen müsse. Ein Bestandteil der Beschleunigung dieses gesellschaftlichen Prozesses könnten Regelungen wie das SigG sein - wenn sie sich in weltweite Standards und internationale Vereinbarungen eingliedern ließen.
Andere Stimmen warnen zudem davor, das Signaturgesetz frühzeitig abzuschießen. Wenig sinnvoll sei es beispielsweise, schon jetzt voll in die politische Evaluierungsphase für das SigG einzusteigen, sind sich die Technikfolgenabschätzer beim BSI und bei der Europäischen Akademie zur Erforschung von Folgen wissenschaftlich-technischer Entwicklungen aus Bad Neuenahr-Ahrweiler einig. Noch könne man schließlich nichts evaluieren, da noch zu wenige Erfahrungen mit den sich in Aufbau befindlichen Sicherheitsinfrastrukturen vorlägen. Kaum konkrete Ergebnisse hat deswegen auch ein Anfang vergangener Woche unter der Führung des Bundeswirtschaftsministeriums in Bonn abgehaltener Diskussionstag gebracht, der sich ganz der Zukunft des IuKDG verschrieben hatte.
Biometrie statt Kryptographie für die digitale Signatur
Doch in den Reihen von TeleTrust finden sich auch Denker, die nicht auf den Aufbau internationaler Sicherheitsinfrastrukturen warten wollen und alternative, rechtskräftige elektronische Signaturen vorantreiben: René Baltus glaubt nicht, daß mit der Kryptographie allein Signaturen sicher und leicht handhabbar gemacht werden können: "Die 'digitale Signatur' soll für Otto-Normal-Verbraucher konzipiert werden, nicht für ein paar Spezialisten." Der Bonner Erfinder setzt deswegen auf biometrische Erkennungsverfahren, um eine Unterschrift in Bits und Bytes umzuwandeln und den Prozeß doch gleichzeitig so einfach zu machen wie das Unterschreiben eines Blatt Papiers.
Sein Handschriften-Erkennungs-SYstem (HESY erfaßt eine ganz normale, mit einem beliebigen Stift auf normalem Papier geleistete Unterschrift über eine untergeschobene Drucksensorenplatte, auf der die Signatur bleibende Eindrücke hinterläßt. Diese werden zunächst in analoge, elektronische Signale umgewandelt, dann digitalisiert und in einer Software zur Erkennung von Vergleichsstrukturen verarbeitet. Die Kosten für ein System zur Erfassung und Erkennung dieser von Baltus als "echte" digitale Signatur beworbenen und inzwischen mit einem Forschungspreis ausgezeichneten Technik sollen bei rund 200 Mark liegen.