Signaturpraxis

Einführung in die elektronische Signatur

Internet und eCommerce waren die Themen des ausgehenden zwanzigsten Jahrhunderts und diese hohe Relevanz wird auch weiterhin bestehen bleiben. Das Internet gestattet den real-time Zugriff auf Daten, reduziert Aktenberge und ermöglicht den schnellen und einfachen Abschluss von Transaktionen, zum Beispiel die Steuererklärung über das Internet oder das gerichtliche Mahnwesen. Für viele dieser Transaktionen ist zusätzlicher Aufwand z.B. ein unterschriebenes Dokument, das auf dem Postwege verschickt wird, erforderlich. Ein weiteres Hemmnis ist die Unsicherheit der Internetnutzer bezüglich der Vertrauenswürdigkeit des Mediums Internet.
Durch die Elektronische Signatur wird eine Infrastruktur aufgebaut, die Webtrust schafft und dem weiteren Wachstum des eCommerce den Weg ebnet. Die elektronische Signatur ist ein Teilgebiet der Kryptographie. Darunter wird die Wissenschaft von der Anwendung der Mathematik zum Ver- und Entschlüsseln von Daten verstanden.

Ziele:
Eine der wichtigsten Gründe für die Nutzung von Datenverschlüsselung und Elektronischer Signatur ist die Umsetzung von Sicherheitszielen. Diese Ziele sind:

Datenschutz (Vertraulichkeit),
Sicherheit vor Nachrichtenverfälschung (Integrität),
Möglichkeit des Überprüfens des Nachrichtenursprungs (Authentizität) und
Beweis der Herkunft (Verbindlichkeit)

1. Vertraulichkeit
Im Internet herrscht oft Unsicherheit über die Weitergabe von Informationen. Man denke nur an das ungute Gefühl, das bei der Weitergabe von Kreditkarteninformationen auftaucht.
Kein unbefugter Dritter soll in der Lage sein, an den Inhalt einer Nachricht bzw. einer Datei zu gelangen. Das Mittel der Wahl zur Sicherstellung dieser Vertraulichkeit ist die Kryptographie, die Verschlüsselung von Informationen. Durch Verschlüsselung, aber nicht direkt durch die elektronische Signatur, kann diese Vertraulichkeit umgesetzt werden. Aber diese ist ja auch bei eigenhändig unterschriebenen Dokumenten nicht so einfach sicher zu stellen.

2. Integrität
Bei dem Empfang einer eMail, geht man davon aus, dass man sie exakt so erhält, wie sie versendet wurde. Aber wie kann man sich wirklich sicher sein? Für den Geschäftsverkehr über das Internet ist diese Gewissheit aber sehr relevant.
Integrität meint, dass der Inhalt eines Dokumentes nicht unbemerkt verändert werden kann. Dies kann man in der Kryptographie durch sogenannte Hashwerte, d.h. Einweg-Komprimate erreichen. Die elektronische Signatur benutzt verschlüsselte Hashwerte, auch Message Digests genannt, des eigentlichen Dokuments und bestätigt damit dem Empfänger einer signierten Nachricht die Integrität dieser Daten.

3. Authentizität
Authentizität ist der Identifikations- und Herkunftsnachweis . Niemand soll sich als Verfasser einer Nachricht ausgeben können, die er nicht geschrieben hat. Die Konsequenzen wären fatal, wenn sich bei wichtigen Verträgen herausstellen sollte, dass die Unterschriften gefälscht sind. Um die Identität einer Person festzustellen, bedarf es gewisser Informationen:
- Wissen
- Besitz
- Eigenschaften
dieser Person. Wissen kann zum Beispiel eine PIN sein. Ein Beispiel für den Besitz ist eine Karte, während der Fingerabdruck ein Exempel für eine spezifische Eigenschaft ist . Entweder werden alle identitätsbestimmenden Informationen abgefragt, oder nur Teile davon. So ist z.B. durch die Benutzung einer Signaturkarte und durch die Kenntnis der zugehörigen PIN die notwendige Authentizität angezeigt und gesichert.

4. Verbindlichkeit
Wichtig ist, dass der Urheber eines Dokumentes seine Urheberschaft nicht abstreiten kann. Man denke nur an einen potenziellen Rechtsstreit, bei dem der Gegenüber leugnet, dass er der Verfasser ist . Durch die Änderungen des BGB ist die elektronische Signatur in vielen Fällen der handschriftlichen Unterschrift gleichgestellt. Daher muss es dieselbe Verbindlichkeit geben. Auch bei Dokumenten, wie einem Jahresabschluss oder einer Einkommenssteuererklärung, ist die sichere Verbindlichkeit von Nöten.
Durch die Elektronische Signatur erreicht man neben der Integrität und Authentizität auch die gewünschte Verbindlichkeit.

Was ist eine elektronische Signatur?

Eine elektronische Signatur im Sinne des Signaturgesetzes ist ein Siegel zu elektronischen Daten, das den Absender und die Unverfälschtheit der Daten erkennen lässt. Elektronisch übermittelte Daten können somit auf dem Weg vom Absender zum Empfänger nicht unbemerkt verändert werden. (vgl. § 2 SigG)

Arten der eSig:

Das Signaturgesetz unterscheidet grundsätzlich vier Arten von Elektronischen Signaturen:

Einfache elektronische Signatur
Fortgeschrittene elektronische Signatur
Qualifizierte elektronische Signatur
Qualifizierte elektronische Signatur mit Anbieter-Akkreditierung

Die einfache elektronische Signatur ist nicht zweifelsfrei einer Person zugeordnet. Sie erfüllt keine besonderen Sicherheitsanforderungen und hat daher wenig Beweiswert. Sie kommt nur für formfreie Verträge in Betracht.

Fortgeschrittene elektronische Signaturen genügen bereits erhöhten Anforderungen, lassen insbesondere eine Authentifizierung des Signaturzertifikat-Inhabers und die Überprüfung der Integrität der übermittelten Daten zu ? ersetzten jedoch nicht die Schriftform!

Qualifizierte elektronische Signaturen erfüllen die Voraussetzungen der fortgeschrittenen Signaturen und werden mit einer sicherer Signaturerstellungseinheit erzeugt. Sie werden von Zertifizierungsdiensteanbietern (TrustCenter) ausgestellt, deren Betrieb zwar genehmigungsfrei ist, jedoch gesetzliche Voraussetzungen erfüllen müssen. – RegTP Meldepflicht- erfüllt hohe Sicherheitskriterien- hohe Beweiskraft- Zertifikate müssen über 5 Jahre aufbewahrt werden- können BGB und ZPO die Schriftform ersetzen!

Qualifizierte elektronische Signaturen mit Anbieterakkreditierung erfüllen die Voraussetzungen der qualifizierten Signaturen. Darüber hinaus garantieren die Zertifizierungsdienstleistungsanbieter eine nachgewiesene organisatorische und technische Sicherheit durch ein Gütesiegel.- RegTP Meldepflicht- erfüllt höchste Sicherheitskriterien – höchste Beweiskraft- Zertifikate müssen über 30 Jahre aufbewahrt werden – können BGB und ZPO die Schriftform ersetzen!
Zeitstempel

Eine Zeitsignatur verknüpft ein elektronisches Dokument mit der gesetzlich gültigen Zeit. Eine nachträgliche Fälschung der Zeitsignatur ist nicht möglich. Der Zeitstempel, oder auch die Zeitsignatur, belegt, wann das Dokument vorgelegen hat und dass es seit diesem Zeitpunkt nicht verändert wurde.
Das Zeitstempelzertifikat enthält also den Hash, die Zeit und das Zertifikat des ausstellenden Servers. Jede nachträgliche Veränderung an dem ursprünglichen Dokument würde bei einem Test der Zeit-Signatur durch einen anderen Hashwert auffallen.
Anforderung an Zeitsignaturen:

Bildung von Hashwerten (SHA1)
Signaturformat PKCS#7 und PKIX-timestamp
Möglichkeit der Angabe von Serveradresse und Port
Möglichkeit der timeout-Begrenzung
Einfache Verifikation von Zeitsignaturen
Anfrage der gesetzlichen Zeit

M	D	M	D	F	S	S
« Aug
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

Die elektronische Signatur in der Praxis

Signaturpraxis

Sub Pages

Anmelden

- Werbung -

Recent Posts

Heise Security Feed

Archiv

Anmelden