"Wir sind Feuer und Flamme." Daniel Heck, Pressesprecher des Münchner Softwarehauses Openshop, ist begeistert von den Möglichkeiten, die die digitale Signatur bietet. Seiner Meinung nach ist sie ein Meilenstein für den E-Commerce und ein "absolut verbraucherfreundliches und nützliches Instrument". Openshop will entsprechende Anwendungen in seine Produkte integrieren und jede Anstrengung in diese Richtung unterstützen.
Die Begeisterung Hecks wird durch die Inkraftsetzung der EU-Richtlinie zu elektronischen Unterschriften gestärkt. Sie ist möglicherweise die Initialzündung für eine weite Akzeptanz von elektronischen Unterschriften und PKI-Lösungen (PKI = Public Key Infrastructure). Mit Hilfe dieser Verfahren können online versendete Daten (also auch elektronische Verträge oder Bestellungen) untrennbar und fälschungssicher mit der Identität ihres Absenders verbunden werden. Das würde für erheblich mehr Rechtssicherheit im elektronischen Geschäftsverkehr sorgen. Bisher konnten sich entsprechende Lösungen kaum durchsetzen, weil eine Fülle einzelstaatlicher Vorschriften und technischer Verfahren Hersteller wie Anwender abschreckte.
Die neue Richtlinie sorgt nun auf europäischer Ebene für Rechtssicherheit auf Nutzerseite und reduziert die technischen Anforderungen an die Hersteller von Sicherheitsprodukten. Diese werden dadurch erschwinglicher für den Anwender wie für Anbieter von Zertifizierungsdiensten. Deren wirtschaftliche Betätigungsfreiheit wird international gestärkt - allerdings müssen sie künftig stärker für Missbrauch geradestehen. Anwender dürfen mittelfristig mit einer großen Auswahl an gleichwertigen Dienstleistern und deutlich günstigeren Produkten rechnen.
Bislang nämlich hielt sich die Nachfrage nach PKI-Lösungen in Grenzen. Beispielsweise verspürten weder Bernd Droste, Geschäftsführer der Dr. Droste Internet Consulting in Leverkusen, noch der E-Commerce-Spezialist Open Market einen merklichen Nachfragedruck von Seiten ihrer Kunden. Droste berät vornehmlich kleine und mittelständische Unternehmen. Dort finden komplexe Sicherheitssysteme wie PKI-Lösungen kaum Akzeptanz. "Firmen wollen für Sicherheit relativ wenig Geld auf den Tisch legen", weiß der Berater aus der Praxis. Peter Vellenzer, Deutschland-Geschäftsführer von Open Market, stellt sich generell die Frage, ob herkömmliche Technologien nicht ausreichen.
Ebenso wie bei dem Online-Zahlungsstandard SET verlangten seine Kunden nicht nach der Integration von Lösungen zur digitalen Signatur in die bisherigen Produkte. Vellenzer wartet auf eine technische Harmonisierung: "Wir brauchen Module, die weltweit einsetzbar sind."
Zwar ist auch die jetzt in Kraft getretene EU-Richtlinie bezüglich der Definition von technischen Anforderungen noch recht vage. In Artikel 9 wird auf ein internationales Komitee verwiesen, das sich diesen Fragen widmen soll. Dennoch sorgt die Richtlinie zumindest in rechtlicher und organisatorischer Hinsicht europaweit für klare und einheitliche Regeln für den Einsatz der elektronischen Unterschrift. In Artikel 5 werden elektronische Signaturen, die bestimmten Anforderungen entsprechen, grundsätzlich der eigenhändigen Unterschrift gleichgestellt (siehe Kasten "Im Wortlaut"). Sie müssen künftig in der gesamten EU als Beweismittel vor Gericht zugelassen werden. Eine Diskriminierungsklausel sorgt dafür, dass niemand im Rechtsverkehr allein deswegen Nachteile erleiden darf, weil er digitale Signaturen verwendet.
Die Richtlinie hat erhebliche Auswirkungen auf die Gesetzgebung der Mitgliedsländer. Sie sind verpflichtet, entweder entsprechende Signaturgesetze einzuführen oder, wie in Deutschland, bestehende Regelungen anzupassen. Zusätzlich muss die Legislative sämtliche Gesetzeswerke, die eine handschriftliche Unterschrift als Formvorschrift beinhalten - hierzulande etwa 4000 Einzelregelungen - abändern. Die strengen deutschen Vorschriften des Signaturgesetzes werden durch die EU-Richtlinie zum Teil erheblich aufgeweicht. So müssen Zertifizierungsinstanzen (Trust-Center, die für digitale Signaturen erforderliche Zertifikate ausstellen) künftig weder ein geprüftes Sicherheitskonzept nachweisen noch sich einem Akkreditierungsverfahren unterwerfen. Es reicht die einfache Meldung, dass der Betrieb aufgenommen wurde. Damit will die EU-Kommission Chancengleichheit für alle Anbieter schaffen.
Insgesamt ist das in der EU-Richtlinie festgelegte Sicherheitsniveau niedriger als im deutschen Signaturgesetz. Experten gehen beispielsweise davon aus, dass die sogenannten Signaturerzeugungseinheiten (meist Chipkarten) nicht mehr nach der höchsten Sicherheitsstufe "E4 hoch" evaluiert werden müssen. Diese Anforderung im deutschen Gesetz hatte potenzielle Kartenhersteller und Trust-Center-Betreiber vor beinahe unlösbare technische und wirtschaftliche Probleme gestellt. Bislang ist einzig das Telesec-Trust-Center der Deutschen Telekom nach dem Signaturgesetz zertifiziert worden.
Um für die Anwender digitaler Signaturen ein Höchstmaß an Sicherheit zu erreichen, ist die EU-Kommission daher einen anderen Weg als Deutschland gegangen. Sie schraubte nicht die technischen Anforderungen in beinahe unerreichbare Dimensionen, sondern führte, angelehnt an das angelsächsische Rechtswesen, strenge Haftungsregeln für Zertifikatsdienstleister ein. Diese müssen demnach für Schäden gegenüber Anwendern haften, denen sie "qualifizierte" Zertifikate ausgestellt haben, die aber nicht den Vorschriften der Richtlinie entsprechen.
Gleichwohl will die Bundesregierung bei der Neufassung des Signaturgesetzes einen Bestandsschutz für Anbieter einbauen, die sich bei ihren Vorbereitungen bislang am deutschen Recht orientiert haben. Neben den beiden Signaturstufen, die die EU-Richtlinie vorsieht, will die Regierung eine dritte Stufe analog dem deutschen Signaturgesetz einführen, erläutert Klaus Keus vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Anbieter, die sich freiwillig nach diesen Anforderungen akkreditieren, sollen als Bonbon Zertifikate mit einer "Sicherheitsvermutung" ausstellen dürfen. Diese Sicherheitsvermutung ist wie ein virtueller Stempel, der vom Richter gewürdigt werden sollte. Er kann laut Keus bis hin zur Beweislastumkehr ausgelegt werden. Allerdings liege die Beweiswürdigung auch dann noch im freien Ermessen des Richters.
Das deutsche Signaturgesetz wird derzeit im Hinblick auf die EU-Richtlinie einer Novellierung unterzogen. Nach Aussage von BSI-Experte Keus steht der Entwurf bereits und wird mit Wirtschaft und Wissenschaft diskutiert. Er soll noch vor der Sommerpause im Parlament eingebracht und dann nach Brüssel gemeldet werden, damit das Gesetz zum 1. Januar 2001 in Kraft treten kann. Ein Sprecher des Justizministeriums zeigte sich optimistisch, dass die erforderlichen Änderungen der Formvorschriften in den einzelnen Gesetzeswerken noch im laufenden Jahr verabschiedet werden. Auf das nationale Vertragsrecht hat die Richtlinie ohnehin keinen Einfluss. Sie besagt im Kern lediglich, dass überall dort, wo die eigenhändige Unterschrift zum Vertragsabschluss erforderlich war, in Zukunft auch die digitale Signatur der Stufe zwei ausreicht.
Die deutsche Wirtschaft hat nach Aussage von BSI-Mitarbeiter Keus bislang verhalten auf die EU-Bemühungen reagiert. Viele Unternehmen hätten auf die endgültige Fassung der Richtlinie gewartet. Doch Heinrich Welschenbach, Projektbereichsleiter Sichere Systeme bei Debis IT Security Services, ist immer noch skeptisch. Zwar glaubt er, dass die digitale Signatur in Zukunft für die Absicherung von PKI-Strukturen unverzichtbar ist. Man müsse schließlich auf Verfahren setzen, die am Ende justiziabel seien. Welschenbach will die Auswirkungen der Richtlinie aber erst dann werten, wenn die technischen Details geklärt sind.
Knapp kommentierte auch Sebastian Fischer-Jung, Justiziar beim Münchner Shopping-Anbieter Buecher.de, die Frage nach der Bedeutung von digitalen Signaturen für sein Geschäft: "Wir prüfen das. Hauptkriterium ist die Sicherheit in Verbindung mit Praktikabilität." Laut Debis-Berater Welschenbach sind die technischen Komponenten noch Mangelware. Das sei ein viel größeres Hindernis für die Verbreitung von Signaturen als die Kosten. Allerdings bemühten sich die Hersteller sehr. In der Tat haben sich laut BSI bereits mehrere Trust-Center-Betreiber in einer Arbeitsgruppe zusammengeschlossen, um eine Interoperabilitäts-Spezifikation zu definieren. Auch der Eco-Verband der deutschen Internet-Wirtschaft brachte mehrere Hersteller von Sicherheitsprodukten an einen Tisch, um gemeinsame technische Spezifikationen zu entwickeln.
Die EU-Kommission hat mit der Verabschiedung der Signatur-Richtlinie die Signale für eine breite Einführung von elektronischen Unterschriften im digitalen Geschäftsverkehr auf Grün gestellt. "Es geht jetzt erst richtig los", ist BSI-Experte Keus überzeugt. Die Bundesregierung unterstützt die Etablierung von PKI-Infrastrukturen intensiv. Sie hat unter anderem ein Aktionsprogramm zur Umsetzung und Förderung der elektronischen Signatur beschlossen. Dazu zählt beispielsweise die Initiative Media@Komm (www.dlr.de/IT/MM/media@komm/) zur Entwicklung von Multimedia in Städten und Gemeinden.
Hubertus Soquat, IT-Experte im Bundeswirtschaftsministerium, wird noch deutlicher: "Die Rahmenbedingungen sind gesetzt, wir erwarten jetzt Anwendungen." Von einem Projekt im Beschaffungswesen der öffentlichen Hand erhofft er sich durch die Verbindung von Verwaltung und Privatwirtschaft einen Schneeballeffekt. Laut Soquat stehen Anwendungen zur elektronischen Beschaffung für das Amt für Bauwesen und das Bundesinnenministerium kurz vor dem Start. Das Geschäftspotenzial sei da, jetzt gelte es, Chancen zu ergreifen, so Soquat. Das lässt sich die Firma Intershop aus Jena, einer der Weltmarktführer für Shopping-Systeme, offenbar nicht zweimal sagen. Für Christian Brüseke, Director Sales Banking and Finance Europe bei Intershop, sind PKI und digitale Signatur ein großes Thema. Man werde entsprechende Lösungen schon bald auf breiter Basis in die Produktpalette integrieren.