Einführung

Die Welt schreitet in der Digitalisierung weiter voran und durch das damit verbundene größere Aufkommen an digitalen Dokumenten wird es immer wichtiger, Bedingungen zu schaffen, mit denen die digitale Arbeit der mit Papier in keiner Weise nachsteht. Vielleicht können die Chancen der Digitalisierung sogar genutzt werden, um analoge Systeme nicht nur gleichwertig zu ersetzen, sondern sogar zu verbessern. Z.B. im Bereich der Unterschriften:

Auf Papier wird am Ende eines Dokuments eine handschriftliche Unterschrift gesetzt, um dieses abzuzeichnen. Es sollte also ein mindestens gleichwertiges Mittel im digitalen (Rechts-)Verkehr geschaffen werden.

Was macht die handschriftliche Unterschrift aus?

Um klären zu können, wie die handschriftliche Unterschrift digital abgelöst werden kann, müssen zunächst die Eigenschaften, die sie zu einer so wichtigen Institution machen, analysiert werden:

Exkurs IT-Sicherheit

Um die Relevanz der handschriftlichen Unterschrift zu erklären, kann man sich Hauptschutzziele der IT vor Augen führen und vergleichen, welche Anforderungen davon durch die Unterschrift per Hand erfüllt werden. Ziele der IT-Sicherheit sind:[1]

  1. Überprüfbarkeit des Absenders (Authentizität)
  2. Schutz vor unberechtigter Manipulation (Integrität)
  3. Schutz vor unberechtigtem Zugriff (Vertraulichkeit)
  4. Schutz vor Verlust (Verfügbarkeit)

Schutzzielvergleich

Authentizität: Eine Unterschrift kann man gut dem Ersteller zuordnen, weil sie den Namen des Unterschreibenden enthält und jeder Mensch in Kombination mit seiner Handschrift eine individuelle und einmalige Unterschrift hat. Infolgedessen sind Unterschriften quasi fälschungssicher, weil die meisten Fälschungen einem Schriftgutachten nicht standhalten.

Integrität: Einem Papierdokument sieht man nachträgliche Veränderungen i.d.R. an, sodass es sehr schwierig zu Fälschen ist.

Vertraulichkeit/Verfügbarkeit: Wird das unterschriebene Papierdokument physisch sicher verwahrt, kann kein Unbefugter darauf zugreifen und es kann jederzeit wiedergeholt und betrachtet werden. Diese Schutzziele werden nicht inhärent von der Unterschrift mitgebracht, vielmehr sind es Eigenschaften, die dem Medium Papier anhaften.

Eine handschriftliche Unterschrift erfüllt demnach von sich aus bereits die für sie wichtigen IT-Sicherheitsmerkmale. Darüber hinaus bringt sie noch eine zusätzliche Eigenschaft mit, die in der Praxis enorme Bedeutung hat: Unterschriften sind universell verständlich.

Das digitale Pendant: elektronische Signaturen

Die EU-Verordnung 910/2014, oder auch eIDAS-Verordnung,[2] hat versucht, Systeme zu schaffen, die in der digitalen Welt der handschriftlichen Unterschrift entsprechen. Durch sie wurden drei Signaturarten eingeführt: Die einfache, die fortgeschrittene und die qualifizierte elektronische Signatur.

Einfache elektronische Signatur

Die einfachste Form der elektronischen Signatur sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet (Art. 3 Nr. 10 eIDAS-VO). Das klingt komplizierter als es ist, denn das ist z.B. bereits der beigefügte Name am Ende einer E-Mail. Die einfache elektronische Signatur ist als Beweismittel zwar zugelassen, jedoch ist ihr Beweiswert relativ gering, da der Unterzeichner nicht zweifelsfrei nachgewiesen und die Manipulation der Nachricht nicht ausgeschlossen werden kann.

Fortgeschrittene elektronische Signatur

Die fortgeschrittene elektronische Signatur baut auf die Definition der einfachen Signatur auf und muss gem. Art. 26 eIDAS-VO zusätzliche Anforderungen erfüllen:

  • Sie muss eindeutig dem Unterzeichner zugeordnet sein
  • Sie muss die Identifizierung des Unterzeichners ermöglichen
  • Sie muss unter Verwendung elektronischer Signaturerstellungsdaten erstellt werden, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann und
  • Sie muss auf eine Weise mit den unterzeichneten Daten verbunden sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Man kann erkennen, dass die Anforderungen dazu dienen, zwei Sicherheitsaspekte (Authentizität und Integrität) zu berücksichtigen. Soweit zur Theorie, aber wie sieht nun eine fortgeschrittene Signatur in der Praxis aus? Sie wird mit elektronischen Signaturerstellungsdaten erstellt. Meist sind das private Schlüssel einer asymmetrischen Verschlüsselung. Hat der Unterzeichner die alleinige Kontrolle über seine Signaturerstellungsdaten und verschlüsselt er damit die Nachricht, hat er diese in einer Weise mit seinen Signaturerstellungsdaten verknüpft, die ihn erstens als Absender verknüpft und zweitens vor Datenmanipulation absichert. Das einzige Problem dieser Signatur ist noch, dass es keine garantierte Identifikation des Unterzeichners ermöglicht und das soll die qualifizierte Signatur beheben.

(Eine genauere Erklärung des Systems der asymmetrischen Verschlüsselung gibt es in dem Blogbeitrag: Verschlüsselung – Fluch oder Segen?)

Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur funktioniert wie die fortgeschrittene, muss jedoch zusätzlich auf einem gültigen qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit erstellt sein. Das qualifizierte Zertifikat kann man von Zertifikatsanbietern erlangen. Diese bestätigen einmalig die Identität des Unterzeichners und weisen ihm seine individuellen Signaturerstellungsdaten zu. Erfüllt der Anbieter hierbei einige Sicherheitsanforderungen, wird er von der Bundesnetzagentur als akkreditierter Zertifikatsanbieter bestätigt. Dies ist die beweiskräftigste Form der elektronischen Signatur und einer handschriftlichen Unterschrift gleichgestellt (Art. 25 Abs. 2 eIDAS-VO). Sie hat innerhalb der EU überall gleiche Wirksamkeit.

Fazit

Mit der qualifizierten elektronischen Signatur gibt es europaweit eine einheitliche Regelung für den Ersatz der handschriftlichen Unterschrift. Sie vereint Authentizität und Integrität und bringt mit ihrem Verschlüsselungsaspekt die Voraussetzungen mit sich, Vertraulichkeit zu schaffen. Zusätzlich lassen sich elektronische Daten zukunftssicherer und verfügbarer aufbewahren als Papierdokumente. Letztendlich sind qualifizierte elektronische Signaturen noch nicht die praktischste Lösung, aber der richtige Schritt in eine sichere, digitale und global vernetzte Zukunft.

[1] https://www.de-solution.de/datenschutz-vortrag.pdf

[2] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32014R0910