Zeit und Raum werden im weltweiten Netz neu definiert. Die Transportdauer von Nachrichten ist kein Thema mehr, Entfernungen spielen auf dem elektronischen Marktplatz keine Rolle. Dieser offenkundige Fortschritt wurde jedoch mit Risiken bezahlt - offene Fragen, auf die dringend Antworten gefunden werden müssen.

Wie läßt sich sicherstellen, daß Nachrichten ihren Empfänger unverfälscht erreichen? Traditionell werden die Integrität der Nachricht, ihre Authentizität sowie Vertraulichkeit durch eine vom Aussteller unterzeichnete schriftliche Erklärung erreicht, die während des Transports verschlossen bleibt. In der virtuellen Welt werden diese Sicherheitstechniken durch die digitale Signatur sowie Verschlüsselung ersetzt.

Durch die digitale Signatur entsteht Authentizität des Absenders und Integrität der elektronischen Nachricht; das Verschlüsseln soll Vertraulichkeit garantieren. Das IT-Management in den Unternehmen muß die Verantwortung dafür übernehmen, daß elektronische Geschäftsprozesse durch digitale Signatur und Verschlüsselung abgesichert werden. Diese Aufgabe ist vielseitig. Deutsche, europäische und weltweite Varianten der digitalen Signatur spielen dabei eine wichtige Rolle.

Das deutsche Signaturgesetz

Das Signaturgesetz (www. iukdg.de) hat die digitale Signatur als Hochsicherheitstechnologie definiert. Es verlangt zwei Algorithmen, die sich ergänzen: einen privaten Schlüssel, der geheim bleibt, und einen öffentlichen Schlüssel, der es erlaubt, den Schlüsselinhaber zu identifizieren. Das Schlüsselpaar wird von einer Zertifizierungsstelle erzeugt, dem Inhaber verliehen und verwaltet. Die Zertifizierungsstelle wird von einer Regulierungsbehörde lizenziert und kontrolliert.

Dieses behördliche Kontrollsystem ist im internationalen Vergleich der Signaturordnungen charakteristisch für die deutsche Lösung. Indem die Zertifizierungsstelle als vertrauenswürdiger Dritter den Inhaber der digitalen Signatur identifiziert und das öffentliche Schlüsselregister verwaltet, kann sich der Empfänger des digital signierten Dokuments auf die Identität des Absenders verlassen: Es besteht Authentizität.

Indem die Signaturverordnung an die technischen Komponenten der digitalen Signatur möglichst hohe Qualitätsanforderungen stellt, entsteht eine hochgradige Unverletzlichkeit des digital signierten Dokuments und damit Integrität. Die Anforderungen an die Qualität technischer Dokumente erreicht weitgehend militärisches Niveau.

Der rechtliche Effekt dieser Hochsicherheitstechnologie, kombiniert mit der behördlichen Kontrolle der Zertifizierungsstelle, ist eine hochgradige Beweisqualität: Die Authentizität spricht dafür, daß die Erklärung von dem Aussteller des Dokuments abgegeben worden ist, die Integrität spricht für die Unverfälschtheit des Dokuments.

Die digitale Signatur ersetzt nicht die gesetzliche Schriftform, die für bestimmte Rechtsgeschäfte wie die Bürgschaftserklärung oder einen Grundstückskauf erforderlich ist. Abgesehen von bestimmbaren Ausnahmen können jedoch Verträge per Austausch elektronischer Erklärungen geschlossen werden. Das gilt unter anderem für die überwiegende Zahl kaufmännischer Verträge. Damit steht der elektronische Geschäftsverkehr auf einer rechtlich sicheren Grundlage, wenn er mit der Beweissicherheit kombiniert ist, die durch die digitale Signatur erreicht wird.

Eine dem Signaturgesetz konforme digitale Signatur liefert die Deutsche Telekom, das erste Trust-Center in Deutschland, in Form einer Chipkarte. In jeder Filiale sind Antragsformulare erhältlich. Informationen erteilt das Produktzentrum Telesec (Untere Industriestraße 20, 57250 Netphen, Telefonnummer 0800/8353732 Fax 0271/7081599). Fünf weitere Trust-Center sollen in diesem Jahr durch die Regulierungsbehörde lizenziert werden.

Offen gelassen hat das Signaturgesetz die Haftung der Zertifizierungsstelle. Im Mittelpunkt dieser Diskussion steht die Haftung für die falsche Authentifizierung - wenn also der falschen Person die digitale Signatur verliehen wurde. In diesem Fall wäre im elektronischen Rechtsverkehr das Handeln unter einer falschen Identität möglich. Für die Empfänger solcher digital signierter Nachrichten könnten Vermögensschäden entstehen.Im Vertrauen auf die digitale Signatur sind sie von der Zuverlässigkeit des Partners ausgegangen und haben entsprechend des elektronisch abgeschlossenen Vertrags Aufwendungen erbracht. Für den Ersatz des Schadens, der hier entstehen kann, bleibt nur der Rückgriff auf die Zertifizierungsstelle.

In der zweijährigen Evaluierungsphase des Signaturgesetzes, die im August 1997 begann, sollte dieses haftungsrechtliche Thema geregelt werden. Bis zur abschließenden Evaluierungskonferenz am 27. April dieses Jahres ist hierzu nichts geschehen. Es bleibt damit bei den allgemeinen gesetzlichen Regeln der Verschuldenshaftung: Der geschädigte Empfänger der digitalen Signatur muß der Zertifizierungsstelle die schuldhafte Verursachung des Schadens nachweisen.

Wie soll ihm das ohne Kenntnis der Organisation der Zertifizierungsstelle gelingen? Hier bleibt nur die vage Hoffnung, daß die Rechtsprechung wie im Fall der Produkthaftung die Beweislast zugunsten des Geschädigten umkehren wird und die Zertifizierungsstelle beweisen muß, daß sie nicht fehlerhaft gehandelt hat. Eine solche Vermutungsregel enthält das Signatursystem, das von der EU-Kommission konzipiert wurde.

Europäische und internationale Varianten

Nach dem Vorschlag der Europäischen Kommission vom 13. Mai vergangenen Jahres hat der Europäische Rat am 22. April 1999 die Richtlinie für gemeinsame Rahmenbedingungen für elektronische Signaturen (RLeS) verabschiedet. Diese Richtlinie liegt jetzt dem Europäischen Parlament vor und dürfte Anfang 2000 erlassen werden. Innerhalb von 18 Monaten wird sie in den Mitgliedsstaaten umzusetzen sein.

Damit wird ein europaweiter Standard für digitale Signaturverfahren entstehen. Dieser Richtlinienentwurf hat das System des geheimen und öffentlichen Schlüssels übernommen, der durch eine Zertifizierungsstelle als vertrauenswürdige dritte Instanz verwaltet wird. Der Richtlinienentwurf verlangt aber nicht die Kontrolle der Zertifizierungsstelle durch eine Behörde und stellt auch nicht die hohen Qualitätsanforderungen an die technischen Komponenten.

Der entscheidende Unterschied zu der Variante des deutschen Signaturgesetzes besteht in einem Zweiklassensystem der digitalen Signatur: der elektronischen Signatur und der fortschrittlichen elektronischen Signatur. Bei ersterer handelt es sich um eine Signatur in elektronischer Form, die Daten beigefügt wird oder logisch mit ihnen verknüpft ist und als Authentisierungsmethode genutzt wird (Artikel 2, Abs. 1, RLeS). Dieser schlichten Ausgabe der elektronischen Signatur darf die Rechtsgültigkeit und die Zulässigkeit als Beweismittel nicht abgesprochen werden (Art. 2, Abs. 2, RLeS).

Die fortschrittliche elektronische Signatur ist ausschließlich dem Unterzeichner zugewiesen und kann ihn identifizieren. Sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann, und ist so mit den Daten verknüpft, daß deren nachträgliche Veränderung offenkundig wird.

Die mit der fortschrittlichen elektronischen Signatur verbundene Rechtsfolge ist von einer Konsequenz, die das deutsche Signaturgesetz nicht aufweist: Die fortschrittliche elektronische Form entspricht der handschriftlichen Unterschrift.

Per Richtlinie geklärt ist auf europäischer Ebene auch die Haftung der Zertifizierungsstelle. Bei fehlerhaften Angaben in einem Zertifikat gilt nach Artikel 6 RLeS eine widerlegbare Vermutung: Die Zertifizierungsstelle haftet, es sei denn, sie kann beweisen, daß sie nicht schuldhaft gehandelt hat. Wird die Richtlinie in deutsches Recht umgesetzt, so schließen sich durch den europäischen Anpassungszwang die Lücken, die das Signaturgesetz offengelassen hat.

Nicht an die europäische Richtlinie angepaßt werden muß das Signaturverfahren des Signaturgesetzes selbst. Es kann als freiwilliges Akkreditierungssystem (Art. 3, Abs. 2, RLeS) als höherwertiger Zertifizierungsdienst interpretiert werden, da es ein noch höheres Sicherheitsniveau gewährleistet als die fortschrittlichen elektronischen Signaturen der Euro-Richtlinie.

In Europa entstehen damit drei Qualitäten digitaler Signaturen: Das High-end-Produkt ist das deutsche signaturgesetzkonforme Signatursystem; mittleres Sicherheitsniveau haben die fortgeschrittenen Signaturverfahren der Signaturrichtlinie; und am unteren Ende stehen die schlichten elektronischen Signaturen der Richtlinie sowie andere Verfahren. Sie haben ihre Sicherheitsfunktion, entsprechen aber weder dem Signaturgesetz noch der Euro-Richtlinie.

Zur letztgenannten Gruppe zählen etwa international genutzte Verfahren mit personenidentifizierendem Ansatz wie Pretty Good Privacy (PGP), mit einem kreditkartenidentifizierenden Ansatz wie der Bankenstandard Secure Electronic Transaction (SET) oder mit einem rechneridentifizierenden Ansatz wie Secure Sockets Layer (SSL). Um einen internationalen Standard bemühen sich die internationale Handelskammer und die Handelsrechtskommissionen der Vereinten Nationen mit dem Unicitral-Standard.

Verschlüsselung elektronischer Erklärungen

Die digital signierte Nachricht bleibt Klartext, der im offenen Netz gelesen werden kann. Dies ist eine riskante Situation, denn in weltweiten Netzen werden Daten überwacht und abgehört. Geschäfts- und personenbezogene Daten sind damit dem Zugriff Unbefugter ausgesetzt. Diese Möglichkeiten des Mißbrauchs sind durch den Bericht der Expertengruppe der G7-Staaten, "Mißbrauch internationaler Datennetze", deutlich geworden (www. iukdg.de).

Durch die Technik der Verschlüsselung wird die elektronische Nachricht der Kenntnisnahme durch Dritte entzogen und damit Vertraulichkeit erreicht. Diese besteht auch gegenüber staatlichen Institutionen, denn ein staatliches Recht zur Entschlüsselung gibt es nicht. Die vieldiskutierten Exportverbote für Verschlüsselungstechniken sind durch die Wassenaar-Vereinbarung vom 3. Dezember 1998 aufgehoben worden.

Eine Expertengruppe der OECD hat 1997 Richtlinien zur Kryptopolitik veröffentlicht, die eine sichere Kommunikation in offenen Netzen ermöglichen sollen. Die Verschlüsselung ist damit ein international anerkannter Standard, um für elektronische Nachrichten Vertraulichkeit in offenen Netzen zu erreichen.

Die Vielfalt der digitalen Signatursysteme und die nationale, europäische und internationale Perspektive macht unternehmerische Entscheidungen erst aufgrund informationstechnischer Beratung möglich. Der Beitrag des IT-Managements liegt darin, den Wert dieser unterschiedlichen Signaturverfahren für die Authentizität und die Integrität elektronischer Erklärungen aufzuzeigen und eine unternehmerische Entscheidungsgrundlage für eine Auswahl zwischen den Signaturverfahren zu liefern. Damit verantwortet das IT-Management die virtuelle Existenz eines Unternehmens.

Angeklickt

In Europa entstehen derzeit drei Qualitäten digitaler Signaturen. Als High-end-Produkt kann das deutsche System gelten, das dem Signaturgesetz entspricht. Mittleres Sicherheitsniveau bieten die sogenannten fortgeschrittenen Signaturverfahren, die der europäischen Richtlinie folgen. Am unteren Ende stehen die schlichten elektronischen Signaturen der Richtlinie sowie andere Verfahren wie etwa Pretty Good Privacy. Sie entsprechen weder dem Signaturgesetz noch der Euro-Richtlinie.

*Ivo Geis ist Rechtsanwalt in der Kanzlei Ortner, Geis, Dobinsky in Hamburg.