Digitale Identität: Kennen Sie schon die drei Formen der elektronischen Signatur?
Im täglichen Leben unterzeichnen wir Papierdokumente häufig noch mit unserer Unterschrift. Damit ist für jeden ersichtlich und nachvollziehbar, dass wir den Inhalt mit unserem persönlichen Einverständnis gekennzeichnet haben. Bei elektronischen Dokumenten übernimmt die elektronische Signatur (auch digitale Signatur) diese Rolle.
Mit dieser elektronischen Signatur lässt sich die Integrität der elektronischen Informationen prüfen, was besonders bei beweisrechtlich relevanten Informationen nützlich ist. In unseren Projekten zum Posteingangscannen nutzen wir z.B. qualifizierte elektronische Signaturen, um eine Unterschrift oder das Siegel eines Notars digital abzubilden. Das ist aber nur eine der verwendbaren Signaturformen in Deutschland.
Mit elektronischen Signaturen lassen sich persönliche "Fingerabdrücke" digital nachbilden
Verschiedene Rechtsvorschriften regeln in Deutschland die Bedeutung von digitalen Signaturen, z.B. das Signaturgesetz (SigG) und die Signaturverordnung (SigV). Danach lassen sich folgende drei Formen von Signaturen unterscheiden:
- einfache elektronische Signatur
- fortgeschrittene elektronische Signatur
- qualifizierte elektronische Signatur
Die Bundesnetzagentur legt die zugelassenen Kryptoalgorithmen für die Signaturen fest. Dazu stellt sie einen Verzeichnisdienst für die qualifizierte elektronische Signatur gemäß dem SigG bereit.
Allgemeine oder einfache elektronische Signatur
Die Mindestanforderungen an eine einfache elektronische Signatur sind mit der Angabe des Absenders oder Urhebers bereits erfüllt. Eine E-Mail, die den Absender angibt, gilt damit bereits als eine allgemeine elektronische Signatur. Die Integrität und Authentizität dieser Signaturen sind damit relativ einfach zu zerstören.
Gerichte sind frei in der Bewertung der Beweiswürdigkeit von einfachen elektronischen Signaturen. Im konkreten Fall entscheidet gegebenenfalls ein Gutachter, ob eine solche Signatur als beweiswürdig eingestuft werden kann.
Fortgeschrittene elektronische Signatur
Mit einer fortgeschrittenen elektronischen Signatur wird es möglich die Authentizität und Integrität der signierten Daten zu überprüfen. Sie wird mit einem geheimen Signaturschlüssel des Signaturerstellers erzeugt, wobei sich der Ersteller über ein Prüfmittel, z.B. einen zugewiesenen Prüfschlüssel, identifizieren lassen muss.
Es müssen also drei Bedingungen für eine fortgeschrittene elektronische Signatur erfüllt sein:
- Integrität: Manipulation der signierten Daten ist erkennbar
- Authentizität: Eine Person ist eindeutig als Ersteller identifizierbar
- Der Ersteller kann nachweisen, dass die Signatur von ihm mit den erforderlichen Sicherheitsmaßnahmen erzeugt wurde
Bei der Beweiswürdigkeit einer fortgeschrittenen elektronischen Signatur verhält es sich wie bei der einfachen elektronischen Signatur. Die beweisführende Partei muss nachweisen, dass die Signatur und ihre Identifizierungsmerkmale echt sind.
Qualifizierte elektronische Signatur
Eine qualifizierte elektronische Signatur muss die höchsten Anforderungen an die Signaturerstellung sowie die verwendeten Signatur- und Prüfschlüssel und die unterliegenden Zertifikate erfüllen. Nur diese Signaturen können die gesetzlich geforderte Schriftform ersetzen. Zum Zeitpunkt der Erzeugung muss ein gültiges qualifiziertes Zertifikat vorhanden sein und die Erstellung mit einer sicheren Signaturerstellungseinheit erfolgen.
Wie bereits erwähnt prüft die Bundesnetzagentur die verwendeten Zertifikate und Kryptoalgorithmen und akkreditiert Betreiber von Rechenzentren, die Zertifizierungsdienste anbieten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bescheinigt zusätzlich, wenn ein Rechenzentrum die höchsten Sicherheitsanforderungen erfüllt.
Werkzeuge zur Erzeugung und Prüfung von qualifizierten elektronischen Signaturen sind z.B. SecSigner von SecCommerce oder Governikus Signer von Governikus KG.
Mit dem neuen deutschen Personalausweis (ePA) ist zudem ein Mittel verfügbar, dass es jedem Ausweisinhaber ermöglicht eine qualifizierte elektronische Signatur zu erstellen.
Digital Preservation
Bei der Langzeitarchivierung (engl.: digital preservation) muss sichergestellt werden, dass die Integrität und Authentizität der Daten über Jahrzehnte gewährleistet wird. Im Zusammenhang mit Signaturen kann es dabei vorkommen, dass die vertrauesgebenden Zertifikate aus Sicherheitsgründen ablaufen, die Zertifikatsdienstleister den Betrieb einstellen oder eine Neusignierung erforderlich ist. Dazu hat das BSI die technische Richtlinie TR-03125 (TR-ESOR) veröffentlicht:
Mit der Technischen Richtlinie BSI-TR 03125 „Beweiswerterhaltung kryptographisch signierter Dokumente “ stellt das BSI einen Leitfaden zur Verfügung, der beschreibt, wie elektronisch signierte Daten und Dokumente über lange Zeiträume – bis zum Ende der Aufbewahrungsfristen – im Sinne eines rechtswirksamen Beweiswerterhalts vertrauenswürdig gespeichert werden können.
Zusammen mit der technischen Richtlinie TR-03138 (RESISCAN) kann mit qualifizierten elektronischen Signaturen der lückenlose Erhalt des Beweiswerts von digitalisierten Papierdokumenten über Jahrzehnte, bis zum Ende der gesetzlichen Aufbewahrungsfrist, sichergestellt werden.