Digitale Signatur / 3 Elektronische Signatur

Eigentlich sollte das elektronische Unterzeichnen von Dokumenten schon längst im Alltag angekommen sein, doch zumindest bislang ist davon noch nicht viel zu spüren. Immer wieder gab es in den letzten Jahren Versuche, diese Option auch für die breite Masse der Nutzer attraktiver zu machen.

So wurde schon mit der Einführung der neuen Personalausweise im Jahr 2010 eine eID-Funktion in die Ausweise integriert, mit der diese auch zum Erstellen qualifizierter elektronischer Signaturen eingesetzt werden können. Auch in Geld- bzw. Kundenkarten von Kreditinstituten wurden teilweise entsprechende Module integriert, über die die Kunden Zertifikate für Signaturen nutzen könnten. Doch insgesamt erwiesen sich die Versuche als wenig erfolgreich. Bis heute hält sich die Akzeptanz für diese Angebote in sehr überschaubaren Grenzen.

Dies dürfte vor allem an dem hohen Aufwand und der Kompliziertheit des Verfahrens liegen, was wiederum auf die hohen Sicherheitsanforderungen nach dem Signaturgesetz zurückzuführen ist. Schon die Prozedur zur Erlangung eines ausreichend sicheren Zertifikats, das den Anforderungen des Gesetzes genügt, ist relativ kompliziert. Voraussetzung für die Nutzung ist eine Sichere Signaturerstellungseinheit (SSEE), wie es im schönsten Bürokratendeutsch heißt. Hierzu zählen Smartcards (Chipkarten) und spezielle USB-Sticks mit eigenem Chip.

Bei diesen Signaturerstellungseinheiten müssen sich die Anwender vor der Nutzung identifizieren, was beispielsweise über eine PIN oder auch über biometrische Verfahren möglich ist. Zur Anbindung an einen Rechner muss bei den Chipkarten daher ein spezielles Lesegerät verwendet werden, das ebenfalls relativ hohen Anforderungen genügen muss und daher auch nicht gerade billig ist. Die SSEEs müssen vor der Zulassung zudem in jedem Fall geprüft und zertifiziert werden, was in Deutschland nur von wenigen Stellen vorgenommen werden kann.

Der Aufwand für die Anbieter aber auch die Nutzer ist damit relativ groß. Allein schon die Notwendigkeit zur Anschaffung eines speziellen Kartenlesegeräts, das dann ausschließlich für die elektronische Signatur benötigt wird, ist umständlich und kostspielig. Hinzu kommt, dass mittlerweile immer öfter Smartphones oder Tablets verwendet werden, an die so eine Hardware gar nicht angeschlossen werden kann.

3.1 Die europäische eIDAS-Verordnung

Genau da setzt die am 1. Juli 2016 in Kraft getretene eIDAS-Verordnung der EU an, die mit vollem Namen EU-Verordnung 910/2014 über elektronische Authentifizierungen heißt. Sie vereinfacht die Durchführung der elektronischen Signatur und macht durch die Fernsignatur z. B. die Nutzung eines Lesegeräts überflüssig. Somit können Signaturen auch mobile Endgeräte wie Smartphones oder Tablets genutzt werden, was dem Nutzungsverhalten von immer mehr Anwendern eher entspricht.

Hinweis

Durch die europäische Verordnung soll auch sichergestellt werden, dass elektronische Signaturen über die Grenzen eines Landes hinweg auch in anderen EU-Staaten anerkannt werden müssen, selbst wenn einige Länder strengere Anforderungen an dieses Verfahren stellen. Ebenso soll es für Unternehmen einfacher werden, an Ausschreibungsverfahren in anderen EU-Staaten teilzunehmen, da sie an Ausschreibungen nun auch papierlos teilnehmen und auch Verträge einfacher abschließen können.

Abb. 4: Unternehmen können einfacher an elektronischen Ausschreibungen teilnehmen. (Grafik: Bundesdruckerei)

Auch die neue eIDAS-Verordnung hält an der Unterscheidung der 3 Signaturtypen (einfach, fortgeschritten, qualifiziert) fest. Nach wie vor wird die qualifizierte elektronische Signatur benötigt, wenn dasselbe Sicherheitsniveau wie bei einer Unterschrift auf einem Dokument erreicht werden muss. Eine qualifizierte Signatur erhält man ausschließlich über ein notifiziertes ID-System. Notifiziert bedeutet hier, dass das System von einer staatlichen Behörde, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurde. In der eIDAS-Verordnung gibt es jedoch keine Vorgaben, wie die ID-Systeme und Verfahren aufgebaut sein müssen.

3.2 Fernsignatur

Für Anwender gibt es mit der Fernsignatur jetzt eine zusätzliche Alternative zum Erstellen einer qualifizierten elektronischen Signatur. Dabei wird die Authentifizierung an die Trustcenter, die in der Verordnung jetzt qualifizierte Vertrauensdiensteanbieter heißen, ausgelagert.

Abb. 5: Die qualifizierten Vertrauensdiensteanbieter sind an diesem Logo zu erkennen.

Um ein Dokument elektronisch zu unterschreiben, meldet sich der Nutzer beim Vertrauensdiensteanbieter an und überträgt das Dokument. Nach einer Authentifizierung des Nutzers bei diesem Anbieter erhält der Nutzer von diesem z. B. per SMS eine TAN, sodass eine 2-Wege-Authentifizierung erfolgen kann. Mit der Eingabe dieser TAN löst der Nutzer anschließend die eigentliche Fernsignatur des Dokuments aus, die vom Dienstanbieter durchgeführt wird. Das so unterschriebene Dokument kann dann zurück zum Nutzer oder auch an den Vertragspartner gesendet werden.

Abb. 6: Die Fernsignatur erleichtert den Einsatz der QES für die A...