Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

04.05.2001 - 

Zur Neufassung des Signaturgesetzes

"Wir brauchen ein pragmatisches Vorgehen"

Seit 1997 gibt es das deutsche Signaturgesetz, das nur einen Zertifikattypen kennt, dafür aber sehr hohe Sicherheitsanforderungen definiert hat. Die EU-Richtlinie, die bis Juli 2001 in allen Staaten in nationales Recht umzusetzen ist, lässt drei Typen zu. Mit Bernhard Esslinger, für PKI-Systeme zuständiger Direktor der Deutschen Bank, sprach Volker Weber* über die Novellierung des deutschen Signaturgesetzes.

CW: Welche Änderungen ergeben sich durch die EU-Richtlinie und die Novellierung des deutschen Signaturgesetzes für die elektronische Signatur?

ESSLINGER: Die EU-Richtlinie schafft gemeinsame rechtliche Rahmenbedingungen für elektronische Signaturen: Einen freien Marktzugang für Anbieter, eine gerichtliche Anerkennung der elektronischen Signatur, die Gleichsetzung der elektronischen Signatur mit der handschriftlichen Unterschrift im materiellen Recht sowie eine Haftungsregelung des Anbieters. Im Wesentlichen wird zwischen einer einfachen und einer qualifizierten Signatur unterschieden. Beide sind verbindlich, aber nur die qualifizierte Signatur entspricht allen Formvorschriften und ist bei Gericht als Beweismittel zugelassen.

CW: Anbieter von elektronischen Zertifikaten werben gerne damit, dass ihre Produkte der höchsten Stufe des neuen Signaturgesetzes entsprechen. Was bedeutet das?

ESSLINGER: Das deutsche Gesetz sieht drei Typen von Signaturen vor: einfache, qualifizierte und qualifizierte mit freiwilliger Akkreditierung. Der dritte Typ entspricht weitgehend dem bisherigen deutschen Signaturgesetz. Die einfachen und die qualifizierten Signaturen ohne Akkreditierung entsprechen mehr den angloamerikanischen Vorstellungen, die Wirtschaft zu fördern.

CW: Inwiefern ist die Akkreditierung für den Anwender wichtig?

ESSLINGER: Für den Anwender unterscheiden sich qualifizierte Signaturen in keiner Weise von denen mit zusätzlicher Akkreditierung. Ab Stufe 2 wird vom Gesetzgeber eine Haftungsregel eingeführt. Nach dem Gesetz erfüllen Stufe 2 und 3 die Eigenschaften für Verbindlichkeit, Haftung und Prozessverwertbarkeit. Das Gesetz verlangt zudem die Anerkennung von Stufe-2-Zertifikaten in allen EU-Ländern.

CW: Wozu dient dann die Akkreditierung?

ESSLINGER: Die Akkreditierung beschreibt den Status quo des alten Signaturgesetzes. Qualifizierte Zertifikate, also Stufe 2, sind der händischen Unterschrift rechtlich ohnehin schon gleichgestellt. Stufe 3 ist also nur nötig, wenn dies in den nationalen Bestimmungen der Behörden festgelegt ist: Die EU-Richtlinie ermöglicht es den Mitgliedstaaten, im Bereich der Kommunikation mit Behörden besondere Anforderungen an die dabei zu verwendenden Signaturen zu stellen. Eine Entsprechung dazu gibt es in der neuen Fassung des Signaturgesetzes. Wer gemäß diesem Gesetz erhebliche Anlaufinvestitionen für Rechenzentren, Ablauforganisation etc. getätigt hat, wird gerne darauf verweisen, dass er den höchsten Anforderungen des Gesetzes genügt.

Mit der Akkreditierung lässt sich der Anbieter vorab von der Reg TP (Regulierungsbehörde für Telekommunikation und Post) prüfen. Verzichtet er auf diese Akkreditierung, so hat er eine wesentlich geringere Anlaufinvestition, kann also auch zu niedrigeren Preisen anbieten. Zugleich setzt er sich dem Risiko aus, bei einer späteren Prüfung durchzufallen. Das hat zur Folge, dass der Anbieter alle ausgestellten Zertifikate widerrufen und - das ist der Pferdefuß - dem Kunden den daraus entstandenen Schaden ersetzen muss. Diese Konstruktion könnte sich als erheblicher Hemmschuh für die Verbreitung elektronischer Signaturen erweisen. Dass die hohen Anforderungen des alten deutschen Signaturgesetzes ein Hinderungsgrund waren, sieht man daran, dass es in den letzten drei Jahren kaum Anwendungen gab und nur knapp 20000 Zertifikate ausgestellt wurden - die meisten werden im Finanzministerium von Niedersachsen benutzt.

CW: Wenn sich die Deutschen mit der Novellierung des Signaturgesetzes erneut in die missliche Lage des "Over-Engineerings" gebracht haben, was empfehlen Sie dann als Ausweg?

ESSLINGER: Elektronische Ausweise sollen drei Dinge gewährleisten: Authentizität, Integrität und Vertraulichkeit. Bei der Authen-tizität geht es darum, wer an der Kommunikation unbestreitbar beteiligt ist, die Integrität soll eine unbemerkte Verfälschung verhindern, und die Vertraulichkeit schließlich soll eine Kenntnisnahme durch Unbefugte vermeiden. Diese Ziele erreicht man bereits mit einfachen, also nicht SigG-konformen (SigG = Signaturgesetz) Signaturen, wie es etwa T-Online mit dem Secure-Mail-Zertifikat gerade macht.

Was die meisten nicht wissen, ist, dass das deutsche Signaturgesetz von 1997 als Experimentalgesetz geschaffen wurde - das heißt, man hat von vornherein seine Überprüfung vorgesehen.

Viel bedeutender ist aber, dass es sich sowohl bei den deutschen als auch bei den europäischen Signaturgesetzen um Angebote handelt. Wer andere als SigG-konforme Zertifikate nutzt, handelt deswegen nicht illegal. Entscheidend ist, dass er auf die automatisch damit verbundenen zusätzlichen Rechtsfolgen verzichtet.

Allein in der Bundesrepublik gibt es mehrere 100000 Zertifikate, die alle nicht SigG-konform sind und auf denen die Unternehmen trotzdem ihre Sicherheit - intern und hin zu Partnern - aufbauen. Das liegt daran, dass es den Organisationen zuerst einmal auf die Verwendbarkeit und die wirkliche Sicherheit ankommt. Die Rechtsfolgen sind zweitrangig. Sie werden abgeleitet aus zusätzlichen vertraglichen Regelungen und der Verwendung in den Anwendungsprogrammen.

Die SigG-Diskussion hatte von Beginn an den Fehler, dass Signaturen zum Äquivalent von händischen Unterschriften werden sollten und deshalb meist von juristischer Seite für alle Eventualitäten Vorschriften gemacht wurden.

CW: Worauf sollte die Diskussion Ihrer Ansicht nach abstellen?

ESSLINGER: Real haben Organisationen oder Kommunikationspartner die genannten Anforderungen an Sicherheit, man bezeichnet das auch als den Vierklang Verbindlichkeit, Integrität, Vertraulichkeit und Verfügbarkeit. Wir müssen uns von juristischer Überfrachtung lösen und uns vor Augen halten, dass wir diese Sicherheitsziele heute vielfach durch Benutzernamen und Passwort zu erreichen versuchen. Dagegen sind elektronische Ausweise und Signaturen ein großer Fortschritt. Da sie eine viel bessere Möglichkeit zur Authentifizierung als Passworte bieten und weil Signaturen viel eher die Integrität sicherstellen können als die vom Zielrechner zugeordnete Logdatei, müssen wir einfach anerkennen, dass sie auch ohne die zusätzlich hineindefinierten Rechtsfolgen schon sehr nützlich sind.

Gemäß den amerikanischen Regeln der Food & Drug Administration (FDA) muss jeder DV-technisch gesteuerte Auftrag, der einen pharmazeutischen Produktionsprozess in Gang setzt, signiert werden. Da genügt auch mehrfaches Abfragen von Benutzername und Passwort nicht. Die Verwendung einer Signatur reicht jedoch aus: Entscheidend ist, dass die Registrierung "persönlich" stattfand, das heißt, es muss sicher sein, dass der Richtige den elektronischen Ausweis und die dazugehörige persönliche Identifikationsnummer (PIN) erhielt. Nach dem europäischen Gesetz kann man damit "nur" einfache Signaturen erstellen, nach dem amerikanischen Gesetz ist so die eindeutige, nichtabstreitbare Zuordnung gegeben, die zur Haftung auch in Millionenhöhe führen kann.

Ein weiteres Merkmal, das für den realen Einsatz wichtig ist, ist die Interoperabilität, die für die Akkreditierung leider kein Kriterium darstellt. Deshalb sind die Zertifikate verschiedener SigG-konformer Trust-Center normalerweise nicht interoperabel. So kann auch ein Zertifikat die Akkreditierung passieren, das definitiv falsche Object Identifier (OID) verwendet, also zu den Internet-Standards nicht kompatibel ist.

Wir brauchen ein pragmatisches Vorgehen. Sie können nicht erst eine komplette Stufe-3-Infrastruktur mit Smartcard-Readern herstellen und alle Prozesse darauf abstimmen. Wenn eine Organisation 80 Prozent ihres Geschäfts mit fünf Prozent ihrer Kunden macht, dann lohnt es sich, erst einmal dort die Prozesse durch Zertifikate zu vereinfachen, statt gleich die restlichen 95 Prozent entsprechend auszustatten. Für all diese Prozesse reicht Stufe 2 und reichen uns schon heute die nach neuem deutschen Signaturgesetz als "einfache" oder die nach der EU-Novelle als "fortgeschrittene" bezeichneten Zertifikate - wie die DB-Software- und DB-Identrus-Zertifikate.

CW: Was macht ein Unternehmen, das bereits eine PKI aufgebaut hat? Was schlagen Sie hier als pragmatisches Vorgehen vor?

ESSLINGER: Die Deutsche Telekom hat zusammen mit der Deutschen Bank im letzten Herbst eine Initiative gestartet, der sich mittlerweile viele andere Unternehmen sowie das BSI und die PKI der öffentlichen Verwaltung angeschlossen haben. Es geht darum, die PKI-Inseln unter ein gemeinsames Dach zu stellen, das einen sicheren Informationsaustausch gewährleistet. Jedes Unternehmen behält dabei die Hoheit über seine eigene PKI. Über die gemeinsame Bridge-CA (siehe Kasten "Bridge-CA - ein pragmatischer Ansatz" auf Seite 30) werden die CA-Zertifikate der Teilnehmer ausgetauscht. Die Bridge-CA zertifiziert dabei nicht die CAs, sondern organisiert nur den Austausch. Über diesen Weg wollen wir zu pragmatischen und bezahlbaren Lösungen kommen.

* Volker Weber (vowe@vowe.de) ist freier Journalist in Darmstadt.

Bridge-CA - ein pragmatischer AnsatzViele Unternehmen haben bereits eine eigene Public Key Infrastructure (PKI) eingeführt und suchen nun nach einem Weg, eine sichere Kommunikation zwischen diesen Inseln zu gewährleisten.

Die Deutsche Telekom und die Deutsche Bank haben im Oktober 2000 eine Initiative zur Sicherung der elektronischen Kommunikation in und zwischen Organisationen gestartet. Am 16. Januar 2001 ging die Bridge-CA (http://www.bridge-ca.org) live, die als Dach für vorhandene PKIs genutzt werden kann. Teletrust e.V. erbringt den Bridge-CA-Service.

Diese Art, die vorhandenen Firmen-CAs zu verbinden, ist sofort verwendbar, unkompliziert, pragmatisch und auch ökonomisch akzeptabel. Als Non-Profit-Initiative steht die Bridge-CA allen Organisationen offen. Hauptanliegen dabei sind Interoperabilität und Investitionsschutz bei einem definierten Mindestsicherheitsniveau, das ausbaubar ist.

Ein mit S/Mime gesicherter E-Mail-Austausch ist die erste Anwendung der Bridge-CA. CA-Zertifikate der PKIs aller teilnehmenden Organisationen können sicher verteilt und innerhalb des Secure-E-Mail-Austauschs benutzt werden. Firmen, die schon eine PKI und ein S/Mime-fähiges Mailing-System haben, können ohne Zusatzkosten auch nach außen sicher kommunizieren.

Teilnehmer an der Bridge-CA-Initiative sind neben Deutscher Bank und Deutscher Telekom unter anderem:

- Siemens,

- Giesecke & Devrient / Secartis,

- BMW,

- das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Vertreter der öffentlichen Verwaltung,

- TC Trustcenter, Telesec und D-Trust,

- die Sparkassenorganisation (SIZ) sowie

- Daimler-Chrysler.

Die technischen Komponenten der Bridge-CA profitierten vom Sphinx-Projekt des BSI. An Sphinx beteiligen sich der Deutsche Bundestag, zahlreiche Bundesministerien und -behörden, Einrichtungen der Bundesländer und verschiedene Unternehmen aus der Privatwirtschaft. Ziele des Pilotprojekts sind:

- Die produktübergreifende Interoperabilität der Lösungen verschiedener Anbieter zu erproben,

- die Akzeptanz der Produkte bei den Anwendern zu erfahren und

- die Aufwände für eine Einführung von in Sphinx getesteten Produkten in der öffentlichen Verwaltung zu ermitteln.

EU-Richtlinie für drei Signaturtypen Verbindlichkeit Formvorschrift Beweismittel

Stufe1: Einfache elektronische Signatur + - -

Stufe 2: Qualifizierte elektronische Signatur + + +

Stufe 3: Qualifizierte elektronische Signatur mit Akkreditierung + + +