Der Vorfall sorgte für Aufsehen: Im Juni war es Informatikern der Universität Bonn gelungen, mit Trojanischen Pferden die Signatursoftware "E-Trust Mail 1.01" der Post-Tochter Signtrust GmbH zu knacken. Mit dem Virenprogramm wurde die PIN des Benutzers offen gelegt, womit die Diskussion um die Sicherheit der digitalen Signatur neu entbrannt ist. Auch die Produkte anderer Hersteller, etwa der Telekom-Tochter T-Telesec oder Giesecke & Devrient, sollen Schwachpunkte aufweisen. In einer ersten Reaktion warf Signtrust dem Bonner Informatikteam "unnötige Panikmache" vor.
Am Bonner Informatiklehrstuhl steht außer Frage, dass "nicht vertrauenswürdige Programme" eine lange Tradition haben. "Es ist daher überraschend, dass einer Bedrohung von dieser Seite nur unzureichend Rechnung getragen wird", betont Adrian Spalka, wissenschaftlicher Mitarbeiter am Institut für Informatik III der Bonner Universität.
Hacker-AttackeDie Bonner Hacker-Attacke kam für die Hersteller zu einem denkbar ungünstigen Zeitpunkt. Mit dem neuen Signaturgesetz, das im Mai 2001 in Kraft trat, machte der Gesetzgeber den Weg für die flächendeckende Einführung der digitalen Unterschrift in Deutschland frei. Schützenhilfe kommt dabei von höchster Stelle. Immerhin gehört das Thema E-Government zu den Prestigeprojekten des Bundesministeriums für Wirtschaft und Technologie (BMWi).
Nicht nur auf Bundesebene, auch Städte und Kommunen versprechen sich von Web- und signaturfähigen Verwaltungsabläufen immense Kosteneinsparungen. Ob Transaktionen mit den Bürgern (beispielsweise An- und Ummeldung des Wohnsitzes), interne und externe Verwaltungsleistungen (etwa der Einspruch bei Behörden) oder öffentliche Ausschreibungen - Papierformulare und eigenhändige Unterschrift sollen schon bald der Vergangenheit angehören.
Doch so sehr der Amtsschimmel in deutschen Behörden derzeit die Sporen bekommt - die Einführung der elektronischen Unterschrift kommt nur langsam in Fahrt. Im Dezember 2000 startete das BMWi deshalb gemeinsam mit dem Innen- und Verkehrsministerium das Pilotprojekt "E-Vergabe". Dessen Ziel ist, die elektronische Vergabe unterschiedlichster Aufträge durch die Bundesverwaltung - angefangen vom Bleistiftbestellung bis hin zur Autobahnplanung - zu erproben.
Um die Entwicklung von E-Government-Lösungen mit integrierter digitaler Signatur zu forcieren, initiierte das BMWi bereits vor zwei Jahren den Wettbewerb Media@Komm. 136 Städte und Gemeinden nahmen daran teil und konzipierten Lösungen für das digitale Rathaus. Neben Esslingen und Nürnberg ging Bremen als Sieger aus dem Wettbewerb hervor.
Das unter dem Namen "E-Vergabe" laufende Projekt soll bundesweit Modellcharakter haben und wird vom BMWi unter der Auflage gefördert, das bereits konzipierte Kommunikationsprotokoll OSCI (Online Service Computer Interface) als übertragbaren und interoperablen Standard zu entwickeln.
Mit OSCI steht in Bremen die technische Infrastruktur, welche die Nutzung der digitalen Signatur und der Verschlüsselung unabhängig von einem konkreten Geschäftsvorfall erlaubt, schon zur Verfügung. "Probleme ergeben sich allerdings dadurch, dass aufgrund der Verdingungsordnung für Bauleistungen (VOB) und Vergabeverordnung (VgV) noch kein umfassender Regelungssatz hinsichtlich der elektronischen Kommunikation im Vergabewesen vorliegt", erklärt Eike Seidel, Mitarbeiter bei der Bremen Online Services GmbH & Co. KG.
Eine weitere Schwierigkeit kommt hinzu: Die qualifizierte digitale Signatur ist zurzeit nur für Personen, jedoch nicht für Institutionen verfügbar. In Bremen werden laut Seidel deshalb Softwarezertifikate verwendet, deren Anerkennung allerdings im Sinne des Signaturgesetzes noch unklar ist. Nicht zuletzt deshalb dürfte sich der für Anfang 2002 geplante Start von "E-Vergabe" verzögern.
Auch in anderen Städten kommen die Architekten des digitalen Rathauses nur langsam voran. Was den IT-Verantwortlichen in der Praxis noch Arbeit abverlangt, ist die medienbruchfreie Abwicklung der Vorgänge auf elektronischem Weg unter Einbeziehung der digitalen Signatur. "Ein großes Manko ist im Moment, dass die einzelnen Signaturverfahren nicht interoperabel sind", erklärt Wolfgang Willberger, Mitglied des Direktoriums der Stadt München in der Abteilung Controlling und Steuerungsunterstützung.
Mittlerweile gibt es in Deutschland acht bei der Regulierungsbehörde für Telekommunikation und Post (RegTP) akkreditierte Signatursysteme. Darüber hinaus sind die beiden derzeit existierenden Spezifikationen Industrial Signature Interoperability Specification (ISIS) der AG Trustcenter e.V. und Mail Trust (MTT) des Teletrust e. V. bis dato nicht kompatibel. Teletrust wurde vor kurzem vom BMWi beauftragt, einen einheitlichen Standard für elektronische Signaturen zu erarbeiten. Eine erste Fassung der Interoperabilitäts-Spezifikation ISIS-MTT konnte schließlich bis Ende September erstellt werden.
Druck vom BMWiDruck kommt indes vom BMWi. "Ich erwarte, dass jetzt rasch interoperable elektronische Signaturprodukte für jedermann angeboten werden und dadurch die Akzeptanz von E-Government- und E-Business-Lösungen deutlich erhöht wird", meldete sich Staatssekretär Alfred Tacke unlängst zu Wort.
Solange allerdings die Verschlüsselungssysteme der Anbieter nicht kompatibel sind, sehen die Projektverantwortlichen in München und anderen Städten Probleme mit der Umsetzung im Alltag.
Noch gleicht der Online-Auftritt vieler Städte Schaufenstervitrinen mit vielfältigen Informationen. Nur vereinzelt gibt es erste Serviceangebote. In der Bayern-Metropole kann man heute bereits Antragsformulare des Einwohnermeldeamtes aus dem Internet herunterladen und am PC ausfüllen. Die Dokumente müssen jedoch konventionell per Hand signiert und der Behörde auf dem Postweg oder persönlich zugestellt werden. Auch für das Projekt "Elster", die elektronische Steuererklärung, gilt bislang dieses Prozedere. Die digitale Signatur marschiert also nach wie vor auf zwei Beinen, mokieren sich Beobachter.
Ins Backoffice investierenIn den kommunalen IT-Zentren muss vor allem in neue Softwarekomponenten im Backoffice investiert werden. Ohne die Kosten bereits beziffern zu können, rechnen die Projektverantwortlichen der Stadt München mit einem hohen finanziellen Aufwand.
Vier Monate nach Verabschiedung des Signaturgesetzes ist in Sachen elektronische Unterschrift noch vieles im Fluss. Ursprünglich sollte die neue Signaturverordnung bereits im August in Kraft treten. Jetzt wird im BMWi frühestens gegen Ende des Jahres damit gerechnet. Zwar lassen sich aus Sicht von Juristen zum jetzigen Zeitpunkt signifikante Gesetzeslücken oder Schwächen der bislang getroffenen Regelungen nicht ersehen. Keinesfalls jedoch wird die elektronische Signatur in allen Bereichen zum Einsatz kommen. "Rechtsgeschäfte, die zu schwer kalkulierbaren Risiken führen, werden auch in Zukunft auf konventionelle Weise getätigt", erklärt Hans-Werner Moritz, Anwalt bei der Münchner Sozietät Graf von Westphalen, Fritze & Modest. Hierzu gehören beispielsweise Bürgschaftsverträge oder Schuldversprechen.
Darüber hinaus hat der Gesetzgeber klare Aussagen in puncto Sicherheit gemacht. Demnach hat der Zertifizierungsdienstleister sicherzustellen, dass die Fälschung qualifizierter Zertifikate oder die Preisgabe von Signaturschlüsseln ausgeschlossen wird. Hacker dürften sich allerdings auch in Zukunft auf den Plan gerufen sehen. "Inwiefern Diensteanbieter für Produkte und Einrichtungen haften, die mit einfachen Mitteln manipuliert werden können, bleibt wohl der Rechtsprechung überlassen", erklärt Moritz. Anhand technischer Gutachten wird dann zu beurteilen sein, ob der Diensteanbieter den Standards des Signaturgesetzes genügt oder nicht.
*Andrea Goder ist freie Journalistin in München.
Es fehlt der StandardUnternehmen / Produkt
Signtrust / E-Trust Mail 1.11
Utimaco / Sign & Crypt 2.10
T-Telesec / PKS Crypt 1.11
Siemens / Trusted Mime 2.2.5
Giesecke & Devrient / GD Trust Mail 4.0.2
(Kein Anspruch auf Vollständigkeit)