Wissenswertes zur Digitalen Signatur

Die elektronischen Medien werden für den Datentransfer immer wichtiger. Der Kontakt zwischen Menschen, die sich nicht persönlich kennen, sollte in einem rechtssicheren Raum stattfinden. Deshalb ist es essentiell zu wissen, ob die Person mit der wir kommunizieren, tatsächlich diejenige ist, für die sie sich ausgibt. Relevant ist auch, dass Daten beim Empfänger so ankommen, wie sie abgeschickt wurden, unverfälscht, nicht manipuliert, weder verkürzt noch mit Zusätzen versehen.

Ohne diese beiden Grundvoraussetzungen ist rechtsverbindliches Handeln im Internet nicht möglich. Die digitale Signatur stellt die Identität des Kommunikationspartners genauso wie die Integrität der Inhalte sicher.

Die Technik der digitalen Signatur beruht auf zwei elektronischen Schlüsseln, einem öffentlichen und einem privaten (dem so genannten "asymmetrisches Verfahren"). Inhalte, die mit dem privaten Schlüssel verschlüsselt werden, können nur mit dem öffentlichen Schlüssel entschlüsselt werden. Der private Schlüssel bleibt immer geheim, der öffentliche ist jedermann zugänglich. Der private kann durch den öffentlichen Schlüssel nicht errechnet werden.

Die digitale Signatur kann mit einem Siegel verglichen werden. Für das Erzeugen einer digitalen Signatur kann einer Person ein einmaliger geheimer privater Signaturschlüssel eindeutig zugeordnet werden. Dieser private Schlüssel befindet sich auf einer Chipkarte und kann nur zusammen mit einer PIN-Nummer verwendet werden. Damit kann der Inhaber des Schlüssels immer wieder Dokumente signieren. Mit einem öffentlichen Schlüssel kann die Signatur jederzeit überprüft werden.

Von vorhandenen Daten wird zunächst basierend auf einem mathematischen Verfahren die Quersumme gebildet, der so genannten Hash-Wert. Nun wird nur diese Quersumme mit dem privaten Signaturschlüssel verschlüsselt.

Mit dem öffentlichen Schlüssel kann die Signatur überprüft werden, indem dieser die ursprüngliche Quersumme wieder herstellt. Parallel wird von den signierten Daten erneut eine Quersumme gebildet und diese dann mit der vorliegenden entschlüsselten Quersumme verglichen. Bei der Übereinstimmung ist das der Beweis für die Authentizität der Daten. Das Zertifikat, ein kurzes elektronisches Dokument, das den öffentlichen Schlüssel dem privaten zuordnet, bestätigt die Zuordnung des Signaturschlüssels zu einer natürlichen Person. Das Zertifikat wird bei einer behördlich genehmigten Zertifizierungsstelle beantragt und muss bei jedem elektronischen Datenaustausch vorgewiesen werden. Neben den Pflichtfeldern werden bei der DE-CODA-Chipkarte auch die Registrierungsstelle, die Firma und ihre Ident-Nummer aufgenommen.

3.1 Wie werden digitale Signaturen erzeugt?
Sie haben ein Dokument vorliegen, das Sie digital signieren wollen. Sie führen Ihre SmartCard in Ihr Smart-Card-Lesegerät ein. Bevor Sie das Dokument absenden, aktivieren Sie die Signaturfunktion Ihrer SmartCard und geben Ihre geheime PIN ein, senden das Dokument wie gewohnt - und das war alles! Übrigens können Dokumente und Dateien unterschiedlichsten Typs digital signiert werden, wie beispielsweise Texte, Bilder, Sprachdokumente, Musik, Software oder auch Filme.

Ihre SmartCard ist ein sicheres Instrument zum elektronischen bzw. digitalen Unterschreiben. Überprüfen Sie vor Versand immer den Inhalt ihrer Dateien, die signiert werden sollen. Stellen Sie sicher, dass sämtliche Hard- und Software in ordnungsgemäßem Zustand sind, nicht von Dritten manipuliert werden konnte und gesetzeskonform sind. Stellen Sie ebenso sicher, dass alle Geräte zuverlässig und gemäß Ihrer Spezifikationen installiert wurden. Nur so kann die durch die digitale Signatur erreichte Rechtssicherheit zuverlässig erhalten bleiben.
 

3.2 Wie werden digitale Signaturen geprüft?
Wenn Sie Daten und Nachrichten von anderen erhalten, die von diesen digital signiert wurden, wollen Sie natürlich sichergehen, dass die Absenderangaben korrekt und der Inhalt der Nachricht unverfälscht bei Ihnen angekommen ist. Zertifikate können ungültig werden oder auch gesperrt werden und Sie müssen sicher sein können, dass alle relevanten Zertifikate zum Zeitpunkt des Signierens gültig waren.

Wenn der öffentliche Schlüssel des Absenders von diesem für den öffentlichen Verzeichnisdienst freigegeben ist (was grundsätzlich zu empfehlen ist), so kann er unter http://www.d-trust.net abgerufen werden (siehe Externe Links). Falls dies nicht der Fall ist, sind Sie dennoch in der Lage, eine Signatur zu prüfen, indem Sie mit D-TRUST Kontakt aufnehmen.
 

3.3 Wer kann Ihre digital signierten Nachrichten und Daten lesen?
Die digitale Signatur ist keine Verschlüsselung, sondern bestätigt nur die Authentizität und die Integrität des Dokuments! Ein Ausspähen des Dokuments kann jedoch allein mit der digitalen Signatur nicht verhindert werden. Denken Sie an eine Postkarte: Diese ist in Klarsichtfolie eingeschweißt, sie ist für jedermann lesbar, aber nicht fälschbar. Erst wenn die Postkarte in einem Briefumschlag versandt wird, könnte sie auch nicht gelesen werden. Deshalb wird zusammen mit der digitalen Signatur auch meistens noch eine Verschlüsselung zusätzlich eingesetzt! Dieses verschlüsselte Dokument kann dann aber nur von einem Berechtigten wieder entschlüsselt werden, dass heißt er benötigt ebenfalls eine Signaturausstattung.
 

3.4 Was sind die Bedingungen dafür, dass Ihnen eine digitale Signatur im Rechtsverkehr zugeordnet wird?
Alle mit Ihrem privaten Signaturschlüssel erzeugten digitalen Signaturen werden Ihnen grundsätzlich zugeordnet, wenn das Zertifikat gültig war. Es muss vermutet werden, dass die jeweils erzeugte digitale Signatur mit Ihrem Willen erzeugt wurde. Nur, wenn diese Vermutung durch Fakten widerlegt werden kann, wird eine digitale Signatur NICHT dem Inhaber des privaten Signaturschlüssels zugeordnet.
 

3.5 Was muss man im Umgang mit Chipkarte und PIN beachten?
Die SmartCard mit dem dazugehörigen Zertifikat ist zwei Jahre gültig. Die Karte muss diebstahlgeschützt in persönlichem Besitz verwahrt werden und darf nicht an andere übergeben werden. Sollten Sie die Karte verlieren, müssen Sie diese umgehend sperren lassen. Die Sperrung kann bei D-TRUST telefonisch vorgenommen werden. Sie brauchen dafür lediglich Ihr Sperrpasswort anzugeben. Benutzen Sie alle Geräte und Programme nur gemäß ihrer Spezifikationen und Dokumentation.

Wenn Sie Ihre Signaturkarte nicht mehr benötigen, sollten Sie sie durch Zerschneiden oder Lochen unbrauchbar machen. Sie können das Zertifikat telefonisch unter Angabe des von Ihnen gewählten Passworts sperren lassen.

Geben Sie Ihre PIN nicht an andere weiter. Wer im Besitz der PIN und Ihrer Chipkarte ist, kann digital signieren. Sie müssen die PIN in jedem Falle geheim halten. Sollte dennoch jemand Kenntnis von Ihrer PIN erhalten, lassen Sie Ihr Zertifikat sperren. Ihre PIN wird Ihnen in zwei Teilen mit getrennter Post zugesandt, um Missbrauch zu erschweren. Bitte denken Sie daran: Nach dreimaliger Eingabe einer falschen PIN sperrt Ihre Chipkarte automatisch den Zugang zu Ihrem privaten Schlüssel und zwar unwiderruflich. Sie können dann mit Ihrer Karte nicht mehr digital signieren. Vermeiden Sie deshalb Fehler bei der Eingabe!

4.1 Wer verwaltet die persönlichen Daten?
Ein Trustcenter, in unserem Falle D-TRUST, erzeugt unter strengsten Sicherheitsvorkehrungen Zertifikate und Chipkarten. Es verwaltet Daten von Personen, die auf der Chipkarte gespeichert sind. Es bestätigt durch Zertifikate, das die Daten zu einer bestimmten Person gehören und unterrichtet den Antragsteller zum Beispiel durch die Registrierungsstelle (also die IHK Rhein-Neckar) über erforderliche Maßnahmen zur Gewährleistung der Sicherheit der digitalen Signatur. Trustcenter leisten auch Zeitstempeldienste, wenn der Zeitpunkt der Erzeugung oder Versendung eines Dokuments relevant ist.
 

4.2 Welche Funktionen und Aufgaben hat Ihre Registrierungsstelle?
Die IHK-Registrierungsstelle nimmt die Anträge zur Zertifizierung auf, identifiziert die Antragssteller und unterrichtet die Antragsteller über alle Fragen rund um die digitale Signatur.

Die IHKs sind verpflichtet, die Identität eines Antragstellers eindeutig festzustellen, bevor sie ein Antrag auf digitale Signatur annehmen können. Der Antragsteller muss sich durch Vorlage eines gültigen Personalausweises oder Reisepasses ausweisen, der in der IHK kopiert wird. Die Kopie wird zusammen mit den anderen Antragsunterlagen an D-TRUST gesandt.
 

4.3 Wie sieht es mit dem Datenschutz aus?
Die IHK-Registrierungsstellen und unser Trustcenter D-TRUST unterliegt im Umgang mit Kundendaten dem Datenschutzgesetz. Wenn vom Kunden gewünscht, können persönliche Daten in den Verzeichnisdienst des Trustcenters aufgenommen und von andern eingesehen werden. D-TRUST ergreift die erforderlichen Maßnahmen, um Kundendaten vor dem Zugriff Dritter zu sichern. Nur auf gerichtliche Anordnung kann eine Weitergabe von Daten erfolgen. Eine kommerzielle Nutzung der Daten findet nicht statt.

Seit dem 1. August 2001 ist die elektronische Signatur der Unterschrift von Hand privatrechtlich grundsätzlich gleichgestellt. Bislang galt: Wenn der Gesetzgeber für ein Rechtsgeschäft die Schriftform vorschrieb, so war damit die Papierform und ergänzend die Unterschrift von Hand gemeint. Obwohl also mittlerweile fast alle Texte am PC erstellt werden, mussten sie ausgedruckt werden, um volle Rechtswirkung zu haben. Nun wurde als Alternative zur Schriftform die elektronische Form eingeführt. Hierbei entspricht die so genannte "qualifizierte elektronische Signatur" - diesen Status erfüllt die Signatur im IHK-Startpaket - der Unterschrift von Hand. Dabei ist zu berücksichtigen, dass die qualifizierte elektronische Signatur in Verbindung mit einem elektronischen Dokument nur dann gültig ist, wenn der Unterzeichner auch seinen Namen unter das elektronische Dokument gesetzt hat.

Das heißt: Willenserklärungen mit Schriftformerfordernis können ab sofort ebensogut in elektronischer Form mit qualifizierter elektronischer Signatur abgegeben werden - wenn nicht ausdrücklich etwas anderes festgeschrieben wurde. (Solche Ausnahmen gelten z.B. bei der Beendigung von Arbeitsverhältnissen einschließlich der Zeugniserteilung, der Erteilung einer Bürgschaftserklärung, eines Schuldversprechens und eines Schuldanerkenntnisses. Auch notariell zu beglaubigende Unterschriften können nur von Hand abgegeben werden. Dies sind Fälle, in denen der Gesetzgeber eine erhöhte Rechtssicherheit gewährleisten will.)

Auch die Zivilprozessordnung lässt die elektronische Form als Ersatz für die Schriftform zu. Soweit für vorbereitende Schriftsätze, Anträge und Erklärungen der Parteien sowie für Auskünfte, Aussagen, Gutachten und Erklärungen Dritter die Schriftform vorgesehen ist, genügt dieser Form die Aufzeichnung als elektronisches Dokument, wenn diese für die Bearbeitung durch das Gericht geeignet ist. Die verantwortende Person soll das Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen. Allerdings sollen die Bundesregierung und die Landesregierungen für ihren Bereich durch Rechtsverordnungen den Zeitpunkt bestimmen, von dem an elektronische Dokumente bei den Gerichten eingereicht werden können.

Der Abschluss eines Rechtsgeschäftes in elektronischer Form und mit elektronischer Signatur ist nur eine Alternative zur Unterschrift von Hand. Um ein Rechtsgeschäft in elektronischer Form abzuschließen ist es erforderlich, dass alle Beteiligten diesem Vorgehen zustimmen und über die notwendige technische Ausstattung verfügen. Unter dieser Voraussetzung können gerade Unternehmen von der elektronischen Signatur profitieren: digitale Geschäftsprozesse werden auf eine rechtlich und technisch sichere Basis gestellt. Hierdurch entstehen beträchtliche Einsparpotentiale, denn der Versand per Post und der Papierausdruck sind nicht mehr erforderlich.

Darüber hinaus können Sie Ihre Signaturausstattung auch zum Signieren und Verschlüsseln von E-Mails und Dateien benutzen. Hier sind folgende Anwendungsszenarien zu unterscheiden: