zum vorherigen Artikel

videoident

zum nächsten Artikel

Biometrie

Digitale Signatur

Die digitale (bzw. elektronische) Signatur ist die Übertragung der Unterschrift in elektronische Medien. Mit der Signatur kann der Signierende identifiziert und vor allem authentifiziert werden, das heißt, es kann ermittelt werden, ob der Signierende auch wirklich derjenige ist, der er zu sein vorgibt. Damit ermöglicht die digitale Signatur nicht nur eine sichere Kommunikation im Internet, sondern sie fungiert auch als Siegel zu elektronischen Daten.

Elektronische Signaturen sind immer an eine Person gebunden - den Signierenden. Nach der einschlägigen EU-Richtlinie und dem Signaturgesetz sind elektronische Signaturen "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen."

Mit dem Signieren geht - wie auch bei der handschriftlichen Unterschrift - immer eine Willenserklärung des Signierenden einher. Durch die Signatur können die Echtheit elektronisch übermittelter Daten und die Beweiskraft rechtsverbindlicher Erklärungen sichergestellt werden.

Es gibt zwei Stufen von elektronischen Signaturen:

  1. Fortgeschrittene elektronische Signatur
    Die fortgeschrittene elektronische Signatur ist ausschließlich dem Signierenden zugeordnet. Sie muss eine Identifizierung des Signierenden ermöglichen und darf nur mit Mitteln erzeugt werden, die in der alleinigen Kontrolle des Signierenden liegen. Darüber hinaus muss die Signatur so mit den signierten Daten verknüpft sein, dass eine nachträgliche Manipulation zu erkennen ist.
  2. Qualifizierte elektronische Signatur
    Die qualifizierte Signatur ist im Gegensatz zur fortgeschrittenen elektronischen Signatur der händischen Unterschrift nach dem Signaturgesetz gleichgestellt. Bei ihr handelt es sich um eine fortgeschrittene elektronische Signatur, die zusätzlich auf einem gültigen qualifizierten Zertifikat basiert und durch eine sichere Signaturerstellungseinheit, z.B. eine Chipkarte, erstellt wurde.

Hat der die Signatur ausstellende Anbieter seine Konformität zu den gesetzlichen Anforderungen zusätzlich in einem offiziellen Prüfverfahren nachgewiesen, spricht man von einer "qualifizierten elektronischen Signatur mit Anbieter-Akkreditierung".

Zertifikate
Einer elektronischen Signatur kann ein Zertifikat zugeordnet werden. Dies ist wie eine Art Telefonbucheintrag und enthält neben ausgewählten Daten des Signaturinhabers alle notwendigen Daten für eine Verifikation der Signatur durch einen Dritten. Das Zertifikat - so vorhanden - wird vom Signierenden beim Leisten einer Signatur mit an den Empfänger gesendet.

Ohne Zertifikat muss der Inhaber einer elektronischen Signatur vom Empfänger  registriert werden, damit dieser eine Zuordnung von Person und Signatur herstellen kann. Die Daten im Zertifikat ersetzen die Registrierung bei jedem Anwender, die Korrektheit der Signatur kann vom Empfänger beim Aussteller des Zertifikats geprüft werden.

Von einem qualifizierten Zertifikat spricht man, wenn das Zertifikat an eine natürliche Person gebunden ist und die ausstellende Stelle (Trustcenter) für die richtige Zuordnung bürgt.

Wie funktioniert die elektronische Signatur?
Elektronische Signaturen basieren auf sogenannten Public-Key-Verfahren. Dabei handelt es sich um ein spezielles Verschlüsselungsverfahren. Jeder Signatur sind ein öffentlicher (public key) und ein privater Schlüssel (secret key) zugeordnet. Mit Hilfe des privaten Schlüssels verschlüsselt der Signierende die von ihm zu unterschreibenden Daten. Diese schickt er einem Empfänger zusammen mit den unverschlüsselten Daten. Dieser entschlüsselt mit dem öffentlichen Schlüssel des Signierenden und vergleicht das Ergebnis mit den unverschlüsselten Daten. Stimmen diese überein, ist die Signatur verifiziert. Um nun die eindeutige Zuordnung von Signatur und signierender Person herzustellen, wird die Gültigkeit des Zertifikates beim Herausgeber geprüft. Wurde auf die Verwendung von Zertifikaten verzichtet, muss für die Zuordnung auf vorhandene Registrierungsdaten zurückgegriffen werden.

Wo kann die elektronische Signatur eingesetzt werden?
Bereits heute werden an verschiedenen Stellen elektronische Signaturen eingesetzt, z.B.

  • verwendet das Online-Banking auf Basis des HBCI-Protokolls optional fortgeschrittene Signaturen, um die Aufträge des Kunden abzusichern und die Kundenbestätigung durchzuführen;
  • können Emails zur eindeutigen Bestimmung des Urhebers von diesem elektronisch signiert werden;
  • bietet die Bundesanstalt für Arbeit (BfA) Rentenabfragen durch elektronische Signaturen gesichert im Internet an.

Ziel des Einsatzes von elektronischen Signaturen ist die sichere Automatisierung von Prozessen, bei denen heute noch ein Medienbruch vorliegt. So kann auf das Schreiben von Briefen verzichtet und alle Informationen können elektronisch abgerufen werden. Auch das Ausfüllen und Weiterverarbeiten von Formularen kann mittels der elektronischen Signatur vollständig elektronisch abgewickelt werden, ohne dass eine der beteiligten Parteien Rechtssicherheit eingebüßt.