| |
 |
| |
| 
|
Ummeldung Wohnsitz
Haben Sie eine Chipkarte für die digitale Signatur? Wahrscheinlich
nicht, denn obwohl Deutschland bereits 1997 ein entsprechendes
Signaturgesetz verabschiedet hat, ist die digitale Signatur
bis heute in der Praxis eigentlich kaum vorzufinden.
Seit mittlerweile fünf Jahren stehen die gesetzlichen Richtlinien
für die vielfältigen Nutzungsmöglichkeiten der
digitalen Signatur nahezu unverändert fest. |
|
| In der Theorie bildet die digitale
Signatur die Basis für vielfältige Aktivitäten:
zum Beispiel Online-Behördengänge, ein sicheres und
schnelles Einkaufen im Netz, Ab- oder Ummeldung bei Energieversorgern.
Dabei ersetzt die digitale Signatur die klassische Unterschrift.
Leider wird die digitale Variante in der Praxis kaum genutzt:
Tatsächlich spielt die digitale Signatur im Internet so
gut wie keine Rolle. |
|
Authentisch
und echt
Bei der digitalen Signatur im Netz genauso wichtig wie bei der klassischen
Unterschrift unter einem Dokument: Authentizität und Echtheit.
Beide Kriterien gemeinsam stellen etwa bei einem Bestellvorgang sicher,
dass der Auftrag auch wirklich vom genannten Versender stammt und
der Inhalt nicht verändert wurde.
Zudem ist es nicht mehr ganz so einfach, die übermittelten Daten
mitzulesen. Wobei klar sein muss, dass es nicht die Funktion der digitalen
Signatur ist,zu verhindern, dass Dritte den Inhalt einer Nachricht
lesen können.
Die Konsequenz daraus: Die gesamte digitale Signatur muss noch einmal
verschlüsselt werden. Dies ist jedoch nicht unbedingt der Hauptgrund,
warum die digitale Signatur bis dato ein Schatten-dasein fristet.
Denn die Probleme sind eher systembedingt. Nachfolgend wird zunächst
in groben Umrissen einmal die technische Grundlage der digitalen Signatur
dargestellt. |
 |
Die
Technik der digitalen Signatur
Der Einsatz asymmetrischer Verschlüsselungstechniken gewähr-leistet
bei der digitalen Signatur Echtheit und Authentizität. Dabei
kommt ein Schlüssel-Paar zum Einsatz; ein „öffentlicher“
und ein „privater“ Schlüssel. Der öffentliche
Schlüssel ist für jedermann zugänglich und kann etwa
im Internet zum öffentlichen Download bereitgestellt werden.
|
Das Prinzip ist einfach: Will Person X eine Nachricht an Person Y
verschicken, verwendet sie den öffentlichen Schlüssel von
Person Y. Die damit verschlüsselte Nachricht wiederum lässt
sich nur mit dem privaten Schlüssel von Person Y lesbar machen.
Obwohl beide Schlüssel miteinander korrespondieren, läßt
sich aus dem öffentlichen Schlüssel der private nicht ableiten.
Diese Art der Verschlüsselung soll Nachrichten, die zwischen
Person X und Person Y übermittelt werden, geheim halten.
Bei der digitalen Signatur ist die Zielsetzung eine andere, denn es
gilt zu verhindern, dass die Nachricht manipuliert wird. Zudem muss
die Authentizität sichergestellt werden. Hierfür wird zunächst
mit Hilfe des sogenannten Hash-Verfahrens ein Komprimat (Prüfsumme)
aus der zu sendenden Nachricht gebildet. Anschließend wird auf
diese Prüfsumme der private Schlüssel angewendet und an
die Nachricht angehängt.
Der Empfänger kann nun mit dem öffentlichen Schlüssel
die Signatur (d.h. die verschlüsselte Prüfsumme) entschlüsseln,
wobei aus dem unverschlüsselten Text der Nachricht erneut ein
Hash-Komprimat gebildet wird. Stimmen die beiden Prüfsummen überein,
ist sichergestellt, dass sich zwischen dem Erstellen der Prüfsumme
und der Übermittlung der eigentliche Inhalt der Nachricht nicht
verändert hat.
Zunächst hört sich das alles ziemlich komplex an. Der Anwender
bekommt allerdings in der Praxis hiervon kaum etwas mit, da die eingesetzte
Signaturtechnik diese Vorgänge automatisch abwickelt. Das Problem
liegt also nicht unbedingt in der Technik, sondern bei der Identifikation
der Personen. Das beschriebene Verfahren kann nämlich nur die
Manipulation der Daten verfolgen, aber ob ein bestimmter öffentlicher
Schlüssel auch jener Person gehört, die sich dafür
ausgibt, ist damit noch nicht geklärt. |
Die Trust-Center-Problematik
Die digitale Signatur bietet lediglich die Überprüfung der
Echtheit der Nachricht, nicht aber der Authentizität. Deshalb
ist ein sogenanntes „Trust-Center“ oder eine „Trusted
Third Party“ nötig, um die Bestätigung für einen
öffentlichen Schlüssel, ein so genanntes Zertifikat, zu
erstellen.
Damit dieses Zertifikat erstellt werden kann, muss sich der Inhaber
eines öffentlichen Schlüssels gegenüber der Zertifizierungsstelle
entsprechend identifizieren. Das Zertifikat erhält dann neben
dem öffentlichen Schlüssel auch den Namen des Antragstellers
sowie einen Verweis auf die ausstellende Zertifizierungsstelle. Diese
bestätigt damit die Zuordnung eines öffentlichen Schlüssels
zu einer zu identifizierenden Person.
Aufgrund dieser herausragenden Stellung wundert es kaum, dass diese
Zertifizierungsstellen einer staatlichen Genehmigung bedürfen,
die hohe Sicherheitsstandards voraussetzt. Erst zwei Jahre, nachdem
das Gesetz verabschiedet wurde, wurde das erste Trust-Center, das
den gesetzlichen Ansprüchen genügt, eröffnet. Dementsprechend
teuer waren die Trust-Center natürlich auch – Geld, das
letztendlich vom Kunden zu bezahlen gewesen wäre. Doch für
den gab und gibt es kaum Gründe, auf dieses Verfahren umzusteigen.
Neben den hohen Kosten – die digitale Signatur wird beispielsweise
auf einer Chipkarte gespeichert, und entsprechende Kartenleser am
PC sind nicht Standard – gab und gibt es kaum Angebote, die man
damit nutzen kann. Dies liegt natürlich auch an der Rolle der
Banken, die wenig Interesse zeigten, die digitale Signatur wirklich
voranzubringen.
|
Ausblicke
auf eGovernment
Auch in Anbetracht der Bestrebungen der Bundesregierung ist es absehbar,
dass künftig die „virtuelle Behörde“ eine funktionierende
Alternative zum konventionellen Behördengang sein wird. Musste
man bisher unter Umständen Urlaub nehmen, um sich in seiner neuen
Stadt anzumelden, gelingt dies zukünftig mit ein paar Mausklicks
bequem von zu Hause aus.
Während bisher die Nerven durch lange Wartezeiten in den Behörden
strapaziert wurden, wird man die gewonnene Zeit künftig sinnvoller
nutzen können. Bürger und Behörden können durch
die Möglichkeit, Formulare online auszufüllen und zu versenden,
Zeit, Kosten und Nerven sparen.
Deshalb ist es nur noch eine Frage der Zeit, bis „Online-Ummelden“
genauso selbstverständlich geworden ist, wie heute eMails zu
versenden.  |
Europa macht
Druck
Das 1997 verabschiedete Signaturgesetz war ein deutscher Alleingang.
Deshalb musste am 16. Mai 2001 das „Gesetz über Rahmenbedingungen
für elektronische Signaturen und zur Änderung weiterer Vorschriften“
nachgelegt werden, um den EU-Richtlinien zu genügen. Das Gesetz
soll einen europaweiten Einsatz der digitalen Signatur sicherstellen.
Dieses neue Signaturgesetz ermöglicht nun neben der fortgeschrittenen
Signatur auch noch eine einfache Signatur. Die einfache Signatur baut
auf den allgemeinen Haftungsregeln auf, bei der fortgeschrittenen
Signatur hingegen haftet der Anbieter für die Richtigkeit und
Vollständigkeit der Angaben im Zertifikat zum Zeitpunkt der Ausstellung.
Kompliziert genug, möchte man meinen, aber der deutsche Gesetzgeber
war darüber hinaus nicht bereit, die bis dato geltende Regelung
komplett zu ersetzten – schließlich war mit viel Zeit und
Geld eine entsprechende Infrastruktur geschaffen worden, die endlich
auch genutzt werden sollte. Deshalb führte er mit der Signaturverordnung,
die am 22. November 2001 in Kraft getreten ist, die sogenannte qualifizierte
Signatur ein.
Die qualifizierte Signatur geht über die Anforderungen der Europa-Richtlinie
deutlich hinaus, sie entspricht inhaltlich der einfachen Signatur.
Die „qualifizierte Signatur“ kann nämlich nur von Trust-Centern
generiert werden, die sich freiwillig bei der Regulierungsbehörde
akkreditieren lassen.
|
Wo bleibt der Verbraucher?
Wem soll all dies nützen? Dem Verbraucher! Doch der hat mittlerweile
bei dem gesetzlichen Chaos so ziemlich den Überblick verloren.
Er fragt sich also berechtigterweise: Warum digital signieren? Zumal
das Ganze spätestens bei der Frage nach den Unterschieden in
der Haftung zwischen den verschiedenen Angeboten auch wirklich sehr
komplex wird.
Führende E-Commerce-Unternehmen machen es vor: Es geht auch ohne
digitale Signatur. Das Fernabsatzgesetz hat viel dazu beigetragen,
Unsicherheiten auf Seiten der Verbraucher abzubauen. Diese Unsicherheiten
wurden durch Berichte, wonach die teuren Trust-Center geknackt werden
können, genährt. Dies hatten zumindest Wissenschaftler der
Universität Bonn herausgefunden. |
Wie geht es weiter
mit der digitalen Signatur?
Bei PC-Nutzern konnte die digitale Signatur bisher nicht überzeugen.
Kaum ein Anwender läßt sich vom potenziellen Nutzen überzeugen.
Nicht einmal beim Home-Banking, wo die digitale Signatur in den neuen
Standard HBCI Eingang gefunden hat. Hier ist die Nutzung der beiden
Geheimnummern PIN und TAN heute noch Standard, und daran wird sich
auch in den nächsten Monaten vermutlich nichts ändern.
Die Banken forcieren diese Technik nicht. Auf Seiten der Kunden ist
die Nachfrage ohnehin eher gering. Das könnte sich jedoch ändern:
Je mobiler der PC wird – man denke hier nur an die Einführung
von UMTS – desto wichtiger könnten die digitalen Signaturen
wieder werden.
Über entsprechende Chipkarten wäre das Handy dann nicht
nur ein Multimedia-Terminal, sondern auch digitale Geldbörse
für Online-Geschäfte. Doch auch dies wird nur dann klappen,
wenn man dabei das Wichtigste nicht aus den Augen verliert: den Anwender.
Konkret bedeutet das: Die digitale Signatur muss nicht nur einfach
zu handhaben, sondern auch preiswert sein. Beispiel Bremen: Hier werden
im Rahmen des Bremer Media@Komm-Projektes „bremer-online-service“
die Signaturkarten stark vergünstigt herausgegeben. Statt der
40 bis 50 EUR, die eine Signaturkarte bei TeleSec pro Jahr kostet,
zahlen Bremerinnen und Bremer bis Oktober 2003 nur eine einmalige
Schutzgebühr von 5 EUR.
|
|
|
|
