Die digitale Signatur wird in Deutschland am häufigsten als Code auf besonders gesicherten Chipkarten gespeichert. Über ein Lesegerät kann sich der PC-Anwender ausweisen und verschlüsselt über Eingabe einer persönlichen Identifikationsnummer (PIN) unterschreiben. Im Gegensatz zu bisherigen Signaturverfahren, die überwiegend für geldwerte Transaktionen benutzt werden (mit Kreditkarten, Scheckkarten etc.) sollen ab der Umsetzung der EU-Richtlinie nun auch "qualifizierte" Signaturen als Äquivalent für die rechtsverbindliche eigenhändige Unterschrift gelten (siehe Kasten "Signaturen"). Das entsprechende Gesetz soll am 1. Mai in Kraft treten. Rechtsgültig wird die elektronische Unterschrift aber erst mit der Änderung der Vorschriften im Bürgerlichen Gesetzbuch (BGB) - und damit ist nicht vor dem Sommer zu rechnen.

Neueröffnungen vonZertifizierungsstellen

Vor allem Dienstleister, die bisher entsprechende Sicherheitslösungen auf der Basis einer Public Key Infrastructure (PKI) implementiert haben, erhoffen sich nun durch die klarere Rechtssituation für Unternehmen einen Schub für den bisher eher dahindümpelnden Markt. Auch bewerben sich einige von ihnen um eine Genehmigung zum Betrieb von Zertifizierungsstellen. Bisher sind laut der Regulierungsbehörde für Telekommunikation und Post nur die Deutsche Telekom (seit 1998), die Deutsche Post AG (seit Februar 2000) sowie die Bundesnotarkammer (Dezember 2000) gemeldet. Es sei aber davon auszugehen, dass im Laufe des Jahres weitere drei bis sieben Zertifizierungsstellen den (gesetzeskonformen) Betrieb genehmigt bekommen.

Mit der Verschmelzung der europäischen Signaturrichtlinie mit dem bisherigen deutschen Signaturgesetz wächst laut manchen Marktbeobachtern zugleich der Druck auf die PKI-Hersteller, die bisher mit proprietären PKI-Lösungen für den Inhouse-Betrieb De-facto-Standards setzen wollten. Laut Rainer Baumgart, Vorstand beim Essener Dienstleister und PKI-Spezialisten Secunet, hätten viele Hersteller in den letzten Jahren die Chance gehabt, den bestehenden technischen Vorsprung vor dem internationalen Wettbewerb zu nutzen und ihre Produkte "für relativ wenig Lehrgeld und Umsetzungskosten" auf den jetzt per Gesetz geforderten Stand zu bringen. Stattdessen aber hätten viele von ihnen den Trend verschlafen und wie etwa bei den Chipkarten Dienstleistern wie der Telekom das Feld überlassen.

Seiner Ansicht nach liegen viele PKI-Firmen Monate in der Produktentwicklung zurück - und das zu einem Zeitpunkt, an dem insbesondere Behörden die neuen rechtlichen Vorgaben zügig umsetzen wollen und sich nach passenden Lösungen umsehen. Hinzu komme, dass - je nach Geschäftsmodell - Anwender sich nach Rationalisierungsmöglichkeiten in der eigenen IT umschauen und keine interne PKI-Infrastruktur aufbauen, sondern auf virtuelle Trust-Center setzen wollen. Hierzu wenden sie sich wiederum an entsprechende Dienstleister, die ihnen die komplexe Implementierung ersparen und ihnen trotzdem eigene Zertifikate und Chipkarten anbieten können. "Wer da als PKI-Hersteller noch mitmischen will, muss sich beeilen, denn die Konkurrenz ist groß", warnt Baumgart.

Einen weiteren Beitrag zur Vertrauensbildung im E-Commerce soll zudem das von der Bundesregierung zum Sommer geplante "Gesetz über die rechtlichen Rahmenbedingungen für den elektronischen Geschäftsverkehr" leisten. Es sieht die Einführung des Herkunftslandprinzips vor, wodurch bei grenzüberschreitenden Geschäften nur das Recht des Landes zur Anwendung kommt, in dem der Anbieter seinen Firmensitz hat. Bei Konflikten mit dem Händler kann der Kunde zwar in seinem Heimatland klagen - maßgeblich für das Urteil sind jedoch die rechtlichen Standards des Anbieterlandes. Kritiker bemängeln allerdings die zahlreichen Ausnahmeregelungen, die das geplante Gesetz verkomplizierten. Dem Bundesverband der Deutschen Industrie (BDI) zufolge erschweren solche Einschränkungen den Geschäftsverkehr via Internet.

Signaturen

Die wichtigsten in der EU-Richtlinie definierten Signaturvarianten sind:

- Die "einfachen" sowie die "fortgeschrittenen" Signaturen, die wie bisher unreguliert bleiben. Ein Beispiel ist das Verfahren "Pretty Good Privacy" (PGP).

- Die neuen "qualifizierten" Signaturen (laut Richtlinientext sind das "fortgeschrittene" Signaturen, die mit einer sicheren Signaturerstellungseinheit erstellt wurden, die sich in der alleinigen Verfügung des Inhabers befindet) werden zukünftig als Ersatz der eigenhändigen Unterschrift und als Beweismittel vor Gericht zugelassen.

- Die "akkreditierten" Signaturen (streng genommen sind dies "qualifizierte" Signaturen, deren Herausgeber - die jeweilige Zertifizierungsstelle - ein Akkreditierungsverfahren gemäß Signaturgesetz erfolgreich durchlaufen haben) sind im Rahmen des Akkreditierungsverfahrens von einer der (zurzeit drei) Bestätigungsstellen umfassend überprüft worden. Ihre technische Sicherheit und langfristige Eignung ist damit quasi gesetzlich bestätigt.

Quelle: RGTP

Abb: Public-Key-Infrastruktur

Sichere virtuelle Privatnetze erfordern eine aufwändigere Verschlüsselung und Benutzer-Authentifizierung als Internet-Verbindungen. (Quelle: Telemation)