"Digitale Signaturen sind das Fundament, auf dem das ganze zukünftige Geschehen von E-Commerce und E-Business beruhen wird." Mit dieser Aussage gibt Helmut Reimer, Geschäftsführer des Teletrust Deutschland e.V. die Marschrichtung für den elektronischen Dokumentenaustausch via Internet vor. Der Verein Teletrust wurde 1989 gegründet, um in der Öffentlichkeit das Vertrauen in die Informations- und Kommunikationstechnik zu fördern. Die Mitgliederliste liest sich wie ein Who-is-who der deutschen Internet-Industrie und -Organisationen. Ein Schwerpunkt der Arbeit ist die Einführung der digitalen Signatur als "fälschungssicheres, nachprüfbares und beweiskräftiges" Gültigkeitsmerkmal elektronischer Dokumente.
Häufig wird die digitale Signatur mit der eigenhändigen Unterschrift verglichen, obwohl es sich um völlig verschiedene Konstruktionen für unterschiedliche Medien handelt. Die eigenhändige Unterschrift ist untrennbar an Papier oder andere materielle Informationsträger gebunden. Elektronische Kommunikation aber findet unsichtbar durch Bits und Bytes in den Datennetzen der Welt statt. Eine digitale Unterschrift ist eben nicht das gescannte Ebenbild der realen Signatur - hier wäre die Fälschungssicherheit durch Ko- pieren und computergestützte Manipulationen gleich null.
Gerade bei der unternehmensübergreifenden Geschäftskommunikation kommt es aber auf Manipulationssicherheit, Authenzität, Beweisbarkeit und Rechtsverbindlichkeit (siehe Kasten "Recht und Gesetz im Datennetz") an. Ein Geschäftspartner muß wissen, von wem er welche Papiere erhalten hat. Ähnlich wie der Autofahrer bei der Grenzkontrolle zeigt beispielsweise der Web-Anwender seinen Paß, um Zutritt zu einem Server zu erhalten. Intelligente Chipkarten oder Software-basierte Lösungen ersetzen dabei den Ausweis mit Lichtbild. Doch genauso wie sein papierener Kollege benötigt die Smartcard einen Behördenstempel, der die Echtheit beweist. Die Gültigkeit digitaler Pässe wird durch Zertifikate bestätigt. Solche elektronischen Stempel stellen sogenannte Trust-Center, Trusted Third Parties oder Certificate Authorities (CA) aus. Die Zertifikate oder Schlüssel gleichen einer Unterschrift, mit der sowohl die Identität des Absenders als auch die Unverfälschtheit des Briefes garantiert werden soll.
Allerdings ist Zertifikat nicht gleich Zertifikat. Die Bundesregierung hat den Anbietern elektronischer Unterschriften im Signaturgesetz (SigG) die Wahl der Mittel grundsätzlich freigestellt. Jedes Unternehmen darf als CA auftreten und dabei beliebige Verschlüsselungstechniken und Übertragungsmedien verwenden - sofern bestimmte Mindestanforderungen wie zum Beispiel Verzeichnisdienste erfüllt werden. Wer allerdings mit der "höchsten Sicherheitsvermutung" des Staates, also mit der größtmöglichen Rechtssicherheit seines Systems werben will, muß sich beim Aufbau und Betrieb seiner Zertifizierungsstelle nach den strengen Vorgaben des SigG richten (vgl. "Gesetzgeber errichtet hohe Hürden für An- bieter von Trust-Centern"). Das Gesetz schreibt hier etwa die Verwendung Hardware-basierter Schlüsseletuis vor. Reine Softwarelösungen gelten den Experten als nicht fälschungssicher.
Auch müssen sich die Nutzer einer SigG-konformen Lösung in jedem Fall vor der Zuteilung ihres Zertifikates persönlich per Augenschein einer Registrierungsinstanz gegenüber identifizieren. Die TC Trust-Center GmbH aus Hamburg nutzt hierzu das sogenannte Post-Ident-Verfahren, bei dem sich Nutzer in der Postfiliale ihrer Wahl mit Hilfe des Personalausweises identifizieren (ähnlich der Kontoeröffnung bei einer Direktbank). Die Arge Daten aus Wien mit ihrem "AD Certification Service" läßt die Identität eines Kunden hingegen von Notaren oder Bezirksgerichten überprüfen. Beide Anbieter genießen jedoch trotzdem nicht die höchste Vertrauenswürdigkeit des Gesetzgebers, da sie reine Softwarelösungen einsetzen.
Die strengen Richtlinien des Signaturgesetzes erweisen sich als zweischneidiges Schwert. Einerseits hat Deutschland international eine Vorreiterrolle übernommen, um dem elektronischen Geschäftsverkehr zu mehr Rechtssicherheit zu verhelfen. Andererseits läuft Deutschland gerade durch die weitreichenden Vorgaben Gefahr, international isoliert zu werden. Die Europäische Kommission ist inzwischen in ihrem Entwurf einer Richtlinie zur elektronischen Signatur von den deutschen Vorstellungen weit abgerückt. Teletrust-Chef Reimers spricht von einer "starken Reduzierung des Sinngehalts der digitalen Signatur nach deutschem Gesetz". Die EU habe immer das Problem des kleinsten gemeinsamen Nenners, der letztlich vielfach zu unbefriedigenden Kompromissen führt.
Reimers geht allerdings auch davon aus, daß sich je nach Anforderung verschiedene konkurrierende Trust-Center-Systeme am Markt etablieren werden. Nicht jeder Nutzer benötige die komplette Infrastruktur nach Signaturgesetz. Für die interne Mitarbeiter-Authentifizierung dürfte vielen Unternehmen beispielsweise eine Softwarelösung mit eindeutigen, aber anonymen (nicht personalisierten) Zertifikaten genügen.
Abb: Kernaufgaben eines Trust-Centers sind die Erstellung und Ausgabe digitaler Zertifikate sowie der Betrieb von Verzeichnisdiensten. Quelle: Telesec