MÜNCHEN (COMPUTERWOCHE) - Nach langem Tauziehen hat sich die Europäische Union auf Standards für die Digitale Signatur geeinigt. Die verabschiedete Richtlinie sieht drei Formen von Signaturen vor, die in ihren Anforderungen an die technische Infrastruktur variieren.

Eine entsprechende Richtlinie wurde einstimmig von den Fachministern beschlossen, so Siegmar Mosdorf, Parlamentarischer Staatssekretär im Bundeswirtschaftsministerium. Die nun verabschiedeten Verordnungen sollen die Nutzung der elektronischen Unterschrift sowie deren gesetzliche Anerkennung erleichtern. In der EU werden künftig drei Klassen von Signaturen unterschieden, erläutert Andre Reisen, IT-Sicherheitsexperte des Bundesministeriums des Innern auf der Computas-Fachkonferenz "Issec 99" in Berlin: "einfache", "fortgeschrittene" sowie "qualifizierte" elektronische Signaturen.

Zu den einfachen Signaturen zählen beispielsweise biometrische Verfahren, wie etwa das Abscannen des Augenhintergrunds. Fortgeschrittene Signaturen beinhalten Verfahren, die die Integrität und Authentizität der Daten sicherstellen, aber keinen Anforderungen an die technische Infrastruktur unterliegen. Somit bezieht die Richtlinie auch weit verbreitete Verfahren wie "Pretty Good Privacy" (PGP) mit ein, ohne jedoch - mit Ausnahme des Datenschutzes - regelnd einzugreifen. Die qualifizierte elektronische Signatur schließlich entspricht laut Reisen weitgehend dem deutschen Signaturgesetz. Allerdings ist noch unklar, welche Form der Signatur für welchen Anwendungszweck zum Einsatz kommen soll.

Deutschland hatte mit dem 1997 verabschiedeten Gesetz eine Vorreiterrolle in Europa übernommen, doch wollten die anderen EU-Staaten die darin enthaltenen strengen Regeln bezüglich der Zulassung von Zertifizierungsstellen (Trust Center) nicht übernehmen. Nach Angaben des Sicherheitsexperten hat sich Deutschland in diesem Punkt mit der EU auf einen Kompromiß geeinigt. Künftig soll es statt eines erzwungenen Genehmigungsverfahrens der Trust Center ein freiwilliges Akkreditierungsverfahren geben. Dennoch bleiben die Zertifizierungsinstitute unter der Kontrolle der Regulierungsbehörde. Die EU-Richtlinie wird voraussichtlich im ersten Quartal 2000 in Kraft treten. Die Bundesregierung muß sie dann innerhalb von 18 Monaten in nationales Recht umsetzen.