Internet & Recht Home

Die elektronische Signatur

Einführung  -  Recht EU  -  Recht Ö  -  Funktion  -  Arten  -  Zertifizierungsstellen  -  Links  -  Literatur

letzte Änderung 6.10.2008

Einführung

Ein Problem des kommerziellen und nicht kommerziellen Verkehrs im Internet war bisher die mangelnde Idendifizierbarkeit des Gegenübers. Eine Voraussetzung dafür, dass E-Mail die Papierpost in allen Bereichen ablösen kann, ist die Schaffung von Vertrauen - auch in rechtlicher Hinsicht. Damit Verträge über das Internet geschlossen, Amtswege absolviert und womöglich sogar Stimmen bei Wahlen abgegeben werden können, bedarf es einer hohen Sicherheit, dass der Absender wirklich der Absender ist und die Daten auf dem Weg nicht verändert worden sind. Darüber hinaus ist es notwendig, dass die rechtlichen Voraussetzungen gegeben sind, dass die elektronische Erklärung auch rechtliche Wirkung entfaltet und im Falle des Falles bei Gericht anerkannt wird. Schließlich muss auch sichergestellt sein, dass der grenzüberschreitende Verkehr nicht durch Systemunterschiede behindert wird.

 

Rechtslage auf europäischer Ebene

In der EU wurde aus diesen Gründen bereits seit Jahren an den Rahmenbedingungen für digitale Signaturen gearbeitet. Am 13.5.1998 kam es zu einem Vorschlag der Kommission für eine Richtlinie über gemeinsame Rahmenbedingungen für elektronische Signaturen (Entwurf Signatur-RL; KOM [1998] 297 endg.; ABl C 325, S 5 ff; geänderter Entwurf KOM [1999] 195 endg.) Am 13. 12. 1999 wurde die Richtlinie 99/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen  verabschiedet und am 19.1.2000 im Amtsbaltt der europäischen Gemeinschaften (ABl L 13/12) veröffentlicht. Die Richtlinie geht von einem technologieneutralen Ansatz aus und spricht daher nicht von "digitalen Signaturen", sondern von "elektronischen Signaturen". Als elektronische Signatur wird jedes Verfahren der elektronischen Authentifizierung angesehen.

Nach Artikel 5 der Richtlinie dürfen elektronische Signaturen im geschäftlichen Verkehr nicht diskriminiert werden und müssen von Gerichten und Behörden anerkannt werden. Der eigenhändigen Unterschrift gleichgestellt werden elektronische Signaturen aber nur dann, wenn sie bestimmten Sicherheitsstandards entsprechen, die in den Anhängen der Richtlinie näher definiert werden (besondere Anforderungen an die Zertifizierungsdienstanbieter und die Signaturen). Weiters ist in der Signaturrichtlinie eine Aufsichtspflicht des Staates über die Zertifizierungsdienstanbieter normiert und deren Mindesthaftung geregelt. Die auf der Richtline beruhenden qualifizierten Zertifkate müssen innerhalb der Eu ohne weitere Voraussetzung anerkannt werden.
Die Richtlinie war bis 18.7.2001 umzusetzen.

 

Rechtslage in Österreich

Österreich hat bereits am 14.7.1999 das Signaturgesetz, BGBl I Nr. 190/1999, beschlossen, das am 1.1.2000 in Kraft getreten ist. Am 2.2.2000 wurde die Signaturverordnung kundgemacht (BGBl II Nr. 30/2000), mit der insbesondere die technischen Sicherheitsanforderungen für sichere elektronische Signaturen sowie die technischen, organisatorischen und personellen Anforderungen and die Zertifizierungsanbieter, die qualifizierte Zertifikate ausstellen, konkretisiert wurden. Aufsichtsstelle ist die Telekom-Control-Kommission, eine Kollegialbehörde mit richterlichem Einschlag.
Mit der Novelle vom 22.11.2000 ( Regierungsvorlage 315 d.B.) erfolgten noch verschiedene Anpassungen. Darin geht es u.a. um die Finanzierung der Aufsichtsstelle Telekom Control Kommission und GmbH (nunmehr RTR-GmbH), die Gleichstellung von Bestätigungsstellen aus dem EU und EWR-Bereich, die Anerkennung elektronischer Streitschlichtungsverfahren und verschiedene kleinere Anpassungen.

 

Funktion der Signatur

Die derzeit bedeutendste Anwendungsart der elektronischen Signatur ist die digitale Signatur. Sie beruht, vereinfacht gesagt, auf der Verschlüsselung einer für den Dokumenteninhalt repräsentativen Datenkombination. Dem Anwender werden von der Zertifizierungsstelle zwei Datensätze, genannt Schlüssel, zugeordnet. Dieses Schlüsselpaar besteht aus einem privaten und einem dazupassenden öffentlichen Schlüssel. Man spricht auch von asymmetrischer Verschlüsselung oder Public-Key-Verfahren.
Der private Schlüssel ist geheim und nicht einmal dem Anwender bekannt; er muss von diesem vor Zugriffen Unberechtiger gesichert werden; dies geschieht entweder mit einem Passwort, einem PIN-Code wie bei der Bankomat-Karte oder durch Verwendung von eigens dafür vorgesehenen Smart Cards mit Lesegeräten.
Der öffentliche Schlüssel wird über das Internet frei zugänglich gemacht; er dient der Überprüfung der elektronischen Signatur. Mit Hilfe mathematischer Verfahren wird im digitalen Dokument ein "elektronischer Fingerabdruck" erzeugt, der mit dem auf dem PC oder einer Chipkarte (bei der sicheren elektronischen Signatur) gespeicherten privaten Schlüssel kodiert wird. Vereinfacht ausgedrückt werden die aneinandergereihten Binärzahlen aller Zeichen des Dokumentes einer komplizierten Berechnung mit sehr hohen Primzahlen unterzogen und daraus der sogenannte Hash-Wert ermittelt. Dieser wird mit dem privaten Schlüssel verschlüsselt. Bei der Übermittlung des Dokumentes im Klartext wird die daraus erstellte Signatur mitgeschickt. Auf dem Computer des Empfängers wird mit dem öffentlichen Schlüssel des Absenders, der über das Internet besorgt wird, die Probe durchgeführt. Ist der beim Empfänger auf diese Weise ermittelte Hash-Wert ident mit dem unabhängig davon aus dem Klartext errechneten, ist das Dokument im Originalzustand. Jede kleinste Veränderung, auch das bloße Hinzufügen einer Leerstelle, würde den Hashwert verändern.

 

Arten von Signaturen

Sichere elektronische Signaturen: Signaturen im Sinne des Art. 5 Abs. 1 der SignaturRL, sind der eigenhändigen Unterschrift gleichgestellt und können somit die einfache Schriftform erfüllen (Ausnahme: Bürgschaften von Nichtkaufleuten, öffentliche (notarielle oder gerichtliche) Urkunden, Schrifterfordernisse im Erb- und Familienrecht). Für den Inhalt der mit einer elektronischen Signatur gesicherten Erklärung besteht eine qualifizierte Echtheitsvermutung. Technisch verlangen sie ein qualifiziertes Zertifikat (Schlüssellänge von 1023 Bit und besondere Ausstellungsprozedur sowie besondere Anforderungen an den Zertifizierungsanbieter.

Einfache elektronische Signaturen: Einfaches Zertifikat mit geringeren Anforderungen an den Zertifizierungsanbieter. „Einfache" Signaturen können im elektronischen Geschäftsverkehr verwendet werden, und sie können auch als Beweismittel im gerichtlichen oder behördlichen Verfahren dienen. § 3 Abs1 SigG läßt Signaturverfahren mit unterschiedlichen Sicherheitsstufen zu.

 

Digitale Signatur - Verschlüsselung

Während bei der digitalen Signatur der Text im Klartext verbleibt, sodass ihn jeder, der auf der Übermittlungsstrecke, etwa bei einem Provider, oder am Empfänger-Computer an die Daten kommt, lesen kann, wird bei der Verschlüsselung mit ähnlichen Methoden der Text selbst verschlüsselt. Dadurch entsteht ein "Zeichensalat", der beim Empfänger durch Entschlüsselung wieder in lesbaren Text umgewandelt wird. Ein bekanntes Verschlüsselungsprogramm ist etwa PGP (Pretty Good Privacy). Verschiedene Zertifizierungsanbieter bieten neben der Signatur zugleich auch eine Verschlüsselung an.

 

Zertifizierungsstellen

In Österreich sind derzeit (3/2003) fünf aktive Zertifizierungsdienstanbieter im Aufsichtsbereich der Rundfunk und Telekom Regulierungs-GmbH gemeldet (die Aufstellung der jeweils aktiven Dienste finden Sie bei der RTR)

Zertifikate, die von einem in der Europäischen Gemeinschaft niedergelassenen Zertifizierungsdiensteanbieter ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, sind inländischen Zertifikaten gleichgestellt.

 

Links

A-Sit Bestätigungsstelle nach § 19 SigG mit vielen Informationen zur el. Signatur
SigG Signaturgesetz BGBl I Nr. 190/1999 mit eingearbeiteter Nov.
SigVO Signaturverordnung BGBl II Nr. 30/2000
EU-RL
FAQ Fragen und Antworten zur elektronischen Signatur bei A-SIT
WKO Ausführliche Information der Wirtschaftskammer  
IT-Solution Signaturanwendungen, E-Government, Glossar zur Digitalen Signatur

 

Literatur

zum Seitenanfang