Elektronische Signatur


Die Anforderungen der modernen Kommunikationsgesellschaft, des E-Business, E-Commerce und E-Government verlangen nach sicherem und gesetzeskonformem elektronischem Daten- und Informationsaustausch.

Es besteht somit die Notwendigkeit die Identität des Kommunikationspartners nachweisbar festzustellen. Aus diesem Grund wurde die elektronische Signatur entwickelt. Sie soll eine unverfälschbare, nachweisbare und nachvollziehbare (elektronische) Unterschrift darstellen.
Die elektronische Signatur erfüllt somit technisch gesehen den gleichen Zweck (das gleiche Kriterium) wie eine eigenhändige Unterschrift auf Papierdokumenten.

Wichtig ist die Abgrenzung zum dem oft synonym verwendeten Begriff der digitalen Signatur. Bei dem Begriff elektronische Signatur handelt es sich um einen rein rechtlichen Begriff. Eine digitale Signatur, auch digitales Signaturverfahren, ist ein kryptografisches Verfahren, in dem Daten (Dokumente, Nachrichten etc.) zu einer elektronischen Sicherheitskennzeichnung zu Daten hinzugefügt werden. Anhand dieser Kennzeichnung kann der Herausgeber einer Datei angezeigt werden und es kann überprüft werden, ob die Datei seit der digitalen Signierung geändert wurde.

Technische Grundlagen und Funktionsweise

Werden Daten elektronisch übermittelt, können sie jederzeit von jedem gelesen und verändert werden. Um dies im elektronischen Verkehr zu verhindern, müssen diese Daten verschlüsselt werden. Bei der Verschlüsselung (Kryptographie) werden Informationen so verändert, dass sie für Dritte unlesbar werden und in vertretbarer Zeit auch nicht auf den Klartext rückgerechnet werden können. Moderne kryptografisches Verfahren haben folgende Hauptziele:

  • Vertraulichkeit. Zugriff auf Daten nur für berechtigte Personen
  • Integrität. Vollständigkeit und Unveränderbarkeit der Daten
  • Authentizität. Eindeutig Identifizierbarkeit des Urhebers der Daten

Elektronische Signaturen, vor allem fortgeschrittene und qualifizierte Signaturen, können technisch mit digitalen Signaturen in Verbindung mit digitalen Zertifikaten realisiert werden.  Ein digitales Zertifikat ist ein digitaler Datensatz. Der Datensatz bestätigt bestimmte Eigenschaften von Personen oder Objekten und gewährleistet deren Authentizität und Integrität. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten.

Digitale Zertifikate werden häufig von einer Public-Key-Infrastruktur (PKI) realisiert.  Bei dieser asymmetrischen Verschlüsselung wird ein Schlüsselpaar verwendet. Das Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Hier können sie Details zur Public-Key-Infrastruktur (PKI) nachlesen.

Der private Schlüssel (Secret Key) ist nur dem Schlüsselinhaber bekannt. Den öffentlichen Schlüssel kann jeder kennen. Diese beiden Schlüssel werden von einer Zertifizierungsstelle erzeugt und einem Nutzer zugeordnet. Verschlüsseln bedeutet, dass ein Dokument mit dem öffentlichen Schlüssel verschlüsselt wird und nur der Besitzer des geheimen (privaten) Schlüssels das Dokument entschlüsseln kann. Mittels öffentlichen Schlüssels (Public Key) werden Nachrichten verschlüsselt, mittels privaten Schlüssels (Private Key) entschlüsselt. Dass aber der Versender der Nachricht auch tatsächlich jener ist, der er vorgibt zu sein, wird nicht mittels Verschlüsselung gewährleistet, sondern durch eine elektronische Unterschrift (fortgeschrittene und qualifizierte Signatur). Das Dokument  oder die Daten werden vom Absender mit seinem privaten Schlüssel signiert. Der Empfänger kann dann mittels öffentlichen Schlüssels die Signatur überprüfen.
Damit kann der Empfänger sicher sein, dass die Nachricht einerseits vom richtigen Absender kommt, und andererseits die empfangenen Dokumente auch diese sind, die vom Sender unterschrieben wurden. Des Weiteren wird gewährleistet, dass die Datei auf dem Weg vom Sender zum Empfänger nicht manipuliert wurde.

Zertifizierungsdiensteanbieter (ZDA)

Ein Zertifizierungsdienstanbieter (ZDA) ist ein Unternehmen, welches die Voraussetzungen für die Erstellung qualifizierter Zertifikate erfüllt. Die Aufsicht über die Anbieter von Zertifizierungsdiensten und die Einhaltung der gesetzlichen Regelungen zur elektronischen Signatur obliegt der Rundfunk und Telekom Regulierungs-GmbH (RTR). Eine Liste aller ZDA finden sie hier: (www.rtr.at bzw www.signatur.rtr.at)

Rechtliche Grundlagen

Das österreichische Signaturgesetz (SigG) regelt den rechtlichen Rahmen für die Erstellung und Verwendung elektronischer Signaturen sowie für die Erbringung von Zertifizierungs-diensten. Das Signaturgesetz wird durch die Signaturverordnung 2008 näher ausgeführt.

Arten der elektronischen Signatur

Das Signaturgesetz unterscheidet zwischen folgenden Arten der elektronischen Signatur.

  • (Einfache) elektronische Signatur
  • Fortgeschrittene Signatur
  • Qualifizierte Signatur (z.B. Handy-Signatur)
  • Spezielle Signaturen (z.B. Amtssignatur, Notarsignatur, Anwaltssignatur, Ziviltechnikersignatur)

Einfache elektronische Signatur

Bei dieser Art der elektronischen Signatur werden gemäß Signaturgesetz elektronische Daten mit den zu übertragenden Daten logisch verknüpft. Diese beigefügten Daten dienen zur Feststellung der Identität des Signators.

Fortgeschrittene Signatur

Der Terminus “fortgeschrittene Signatur” ist der EU-Signatur-Richtlinie entnommen. Die “fortgeschrittene” elektronische Signatur ist nicht im Signaturgesetz spezifiziert. Sie ist eine Signatur, die sich nicht auf ein qualifiziertes Zertifikat stützt.
Als Beweismittel sind zwar auch einfache und fortgeschrittene elektronische Signaturen verwendbar, der eigenhändigen Unterschrift ist aber nur die qualifizierte elektronische Signatur rechtlich weitgehend gleichgestellt.

Qualifizierte Signatur

Eine qualifizierte elektronische Signatur ist die elektronische Form der eigenhändigen Unterschrift einer natürlichen Person. Für die Erstellung qualifizierter elektronischer Signaturen ist eine sichere Signaturerstellungseinheit erforderlich. Diese kann mit Signaturkarten (Chipkarten) oder mit dem Mobiltelefon (Handy-Signatur) erzeugt werden.  Eine qualifizierte elektronische Signatur ist rechtlich der eigenhändigen Unterschrift gleichgesetzt und muss daher laut Signaturgesetz besondere Bedingungen hinsichtlich Erstellung und Überprüfbarkeit erfüllen.

Was kann die Qualifizierte Signatur

  • Dokumente vor Fälschung schützen
  • Nachrichteninhalte verschlüsseln
  • Identität des Absenders gewährleisten

Bezugsstellen für qualifizierte Signatur

Die qualifizierte Signatur und das zugrunde liegende qualifizierte Zertifikat müssen von einer Stelle zur Verfügung gestellt werden, die eine vertrauenswürdige Zuordnung des qualifizierten Zertifikats zu dessen Inhaber sicherstellen kann (Identitätsprüfung). Eine derartige Zuordnung wird von Zertifizierungsdienstanbietern angeboten. Eine entsprechende Übersicht über die in Österreich tätigen Zertifizierungsdienstanbieter findet sich unter www.signatur.rtr.at/de/providers.