Ob bei Online-Behördengängen, Einkäufen im Netz oder Ab- und Ummeldungen bei Energieversorgern - die digitale Signatur ist eine sichere Basis für viele Aktivitäten. Bisher wurde sie jedoch kaum genutzt. Die Zahl der in Deutschland aus- gestellten Zertifikate lag Anfang 2004 bei 30000. Berücksichtigt man die übliche Gültigkeits- dauer von zwei bis drei Jahren, dürfte die tatsächliche Zahl noch geringer sein. Damit rangiert Deutschland im europäischen Vergleich hinter Ländern wie Belgien, das bisher schon 50 000 Zertifikate unter die Bürger bringen konnte.

Schlummerndes Potenzial

Bereits seit 2001 ist die qualifizierte elektronische Signatur gemäß dem deutschen Signaturgesetz der eigenhändigen Unterschrift gleichgestellt. Wer die digitale Unterschrift nutzen will, muss sich bei einem Trust-Center registrieren und erhält daraufhin ein einmaliges digitales Schlüsselpaar. Doch bisher wird von dem Angebot kaum Gebrauch gemacht: Nur fünf Prozent der Internet-Anwender signieren digital. "Die Potenziale der elektronischen Signatur sind riesig, aber sie müssen konkret veranschaulicht werden", so Achim von Berg, Geschäftsführer von D-Trust, einer Tochter der Bundesdruckerei.

Behörden zögern noch

Doch hinsichtlich der Potenziale hapert es noch. Neue Nutzungsmöglichkeiten sind zwar in Sicht, werden jedoch nicht ausgeschöpft. So etwa die elektronische Gesundheitskarte, die demnächst eingeführt wird: Sie lässt zwar technisch eine digitale Signatur zu, doch wann diese Funktion realisiert wird, ist unklar. Das Gleiche gilt für die Jobcard, die frühestens 2007 kommt. Auch sie wird signaturfähig sein und Zugriff auf alle wichtigen Daten von Arbeitnehmern bieten, etwa Beschäftigungszeiten, Entgeltzahlungen oder Angaben zur Auflösung des Beschäftigungsverhältnisses.

Die öffentliche Verwaltung zögert ebenfalls bei der Einführung der digitalen Signatur, wie jüngst eine Studie von Mummert Consulting ergeben hat: Nur jede siebte Behörde setzt danach die elektronische Unterschrift im Geschäftsverkehr ein. Acht von zehn nutzen die Technik gar nicht. Als Grund geben drei von fünf Ämtern an, noch nicht vom Kosten-Nutzen-Verhältnis überzeugt zu sein. Zwei Drittel aller Ämter befürchten, die Bürger damit zu überfordern.

Damit soll nun Schluss sein - hofft zumindest der Gesetzgeber. Denn durch das neue Signaturänderungsgesetz, das Anfang 2005 in Kraft getreten ist, wurde das Antrags- und Ausgabeverfahren deutlich vereinfacht. Anbieter von Chipkarten mit qualifizierten Signaturen können diese ausgeben, ohne die Identität des Antragstellers erneut prüfen zu müssen. Anträge können vollelektronisch über das Internet eingereicht werden, zudem werden Banken die Möglichkeit haben, Signaturkarten wie EC-Karten auf dem Postweg zu verschicken. Auch die Aufklärung über rechtliche und technische Risiken kann auf elektronischem Wege erfolgen, ohne dass eine schriftliche Bestätigung notwendig ist.

Und so gibt es auch sehr positive Entwicklungen bei den deutschen Behörden. Die Bundesagentur für Arbeit (BfA) plant beispielsweise, ihren Mitarbeitern die private Nutzung der qualifizierten Zertifikate, die sie im Rahmen der Einführung der Public Key Infastructure (PKI) der deutschen Rente Ende dieses Jahres erhalten werden, auch für private Zwecke zu erlauben - etwa für die Steuererklärung.

Gesetzgeber macht Druck

Damit die digitale Signatur endlich flächendeckend zum Einsatz kommt, macht der Gesetzgeber jetzt auch in anderen Bereichen den Weg frei: So verpflichtet das im Juli 2004 in Kraft getretene Treibhausgas-Emissionshandelsgesetz Betreiber und Sachverständige von CO2-intensiven Anlagen, qualifizierte Signaturen zu verwenden. Das seit April gültige Justizkommunikationsgesetz ermöglicht den elektronischen Rechtsverkehr zwischen Justiz und Anwaltschaft. Richter und Anwälte müssen zwar nicht zwingend digital kommunizieren. Die qualifizierte Signatur kommt jedoch zum Einsatz, wenn sich der jeweilige Dienstherr ausschließlich für die Elektronische Akte entscheidet. Qualifizierte digitale Signaturen verlangt auch das neue Umsatzsteuergesetz bei der Übermittlung elektronischer Rechnungen. Ein Aufwand, den viele Unternehmen noch scheuen und sich stattdessen mit jährlichen Sammelrechnungen auf Papier behelfen.

Was für Internet-Nutzer und Verwaltungen gilt, lässt sich auch auf Unternehmen übertragen. Auch sie halten sich bisher in puncto Datendigitalisierung zurück. Zu aufwändig, zu teuer und zu wenige Konsumenten, lautet die Begründung. Dabei ließe sich mit der digitalen Signatur zweifelsohne eine Effizienzsteigerung erreichen: So könnten Entscheidungen beschleunigt werden, indem ein Dokument mit einer elektronischen Unterschrift einfach digital an den nächsten Entscheider weitergeleitet wird - ohne es extra ausdrucken zu müssen. Reisekostenabrechnungen könnten schneller erfolgen, ebenso Warenbestellungen und Aufträge, die nicht länger per Hand unterschrieben werden müssten.

Impulse durch Phishing

Mittlerweile kommt die Diskussion um die digitale Signatur wieder in Schwung. Das liegt nicht zuletzt an den immer wieder auftretenden Phishing-Attacken. Der Anbieter Verisign hat in einer Untersuchung vom Dezember 2004 herausgefunden, dass 5,8 Prozent der für Phishing-Attacken verwendeten Web-Seiten in Deutschland gehostet werden. Damit liegt das Land in dieser Disziplin auf dem dritten Platz hinter den USA und Korea. Vor diesem Hintergrund könnte sich die elektronische Unterschrift gerade für Banken und Sparkassen lohnen. Jede Art von Vertragsabschluss und alle bankbezogenen Aktionen, die bisher die umständliche Eingabe von Transaktionsnummern erforderlich machen, ließen sich damit einfacher und sicherer gestalten.

Bisher hoffen die Finanzdienstleister noch auf die Bundesregierung und deren Pläne, eine staatlich anerkannte Signaturkarte einzuführen. Diese Karte soll unter anderem den Personalausweis, Führerschein und die Krankenkassenkarte ersetzen und könnte gleichzeitig auch mit einem elektronischen Schlüssel versehen werden.

Technische Umsetzung

Die prinzipielle Funktionsweise der digitalen Signatur mit asymmetrischer Verschlüsselung ist einfach: Der Autor eines elektronischen Dokuments besitzt ein Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Während der Autor den privaten Schlüssel besitzt, lässt sich der öffentliche Schlüssel an beliebig viele andere Personen verteilen beziehungsweise zur allgemeinen Einsicht in einem Verzeichnis hinterlegen. Mit Hilfe des privaten Schlüssels signieren Anwender Dokumente, mit dem öffentlichen Schlüssel hingegen überprüfen sie die Echtheit der Signatur und die Unversehrtheit von Dokumenten.

Schlüsselrolle für PKI

Entscheidend für die sichere Verteilung von Schlüsseln und damit der digitalen Identitäten ist die PKI. Eine wichtige Rolle in diesem Zusammenhang übernehmen Trust-Center: Vergleichbar etwa mit einem Passamt ist eine solche Einrichtung für die Ausstellung der digitalen Identität zuständig. Hier hinterlässt der Antragsteller seine persönlichen Daten. Die Zertifizierungsstelle generiert den elektronischen Schlüssel und speichert den privaten Schlüssel sowie ein Zertifikat für das Schlüsselpaar auf einer Smartcard. Dieses Zertifikat ordnet der digitalen Identität bestimmte Eigenschaften wie E-Mail-Adresse, Name oder Anschrift zu und beglaubigt den öffentlichen Schlüssel. In einem Corporate Directory werden die Zertifikate über öffentliche Schlüssel verteilt. Je nach Ausführung können diese online (via OCSP - Online Certificate Service Protocol) oder mittels aktueller Sperrlisten (Certificate Revocation Lists - CRL) kontrolliert werden.

Die Einführung einer PKI in Unternehmen oder einer Behörde will jedoch gut geplant sein. "Zunächst stimmen wir die PKI auf die vorhandenen Prozesse ab und entwickeln daraus eine unternehmensweite Roadmap", sagt Brigitte Wirtz, Directory Security bei Siemens Business Services. Sie empfiehlt ein schrittweises Vorgehen, das schnelle Erfolge in Teilbereichen zeigt und dann Schritt für Schritt ausgebaut werden kann. Eine effektive Integration hänge außerdem von der vorhandenen Infrastruktur ab, so Wirtz. Unter Kosten- und Risikogesichtspunkten sollten die einzelnen Geschäftsprozesse Schritt für Schritt an die in die IT-Infrastruktur eingebettete Sicherheitsinfrastruktur angebunden werden. "Gerade Multifunktions-Chipkarten eignen sich hervorragend für diesen sanften Weg der PKI-Einführung, da die unterschiedlichen Kartentechniken eine Koexistenz der verschiedenen Systeme ermöglichen", so Wirtz.

Die Erfahrungen sind bereits in den Aufbau des Trust-Centers für die Bundesversicherungsanstalt für Angestellte (BfA) und die LVA Rheinprovinz eingeflossen. Die Deutsche Rente stattet ihre Mitarbeiter derzeit mit rund 35 000 Chipkarten aus, die für die qualifizierte Signatur gemäß dem deutschen Signaturgesetz geeignet sind. Damit sollen sich die Mitarbeiter zweifelsfrei identifizieren, E-Mails verschlüsseln und Dokumente signieren können. Zudem nutzen sie die Karte für die Zutrittskontrolle oder Zeiterfassung.

Auf Vertrauen kommt es an

Allerdings ist die PKI lediglich ein einzelner, wenn auch sehr wesentlicher Bestandteil eines gut funktionierenden Sicherheitssystems. Daneben werden Maßnahmen zur Verwaltung der Chipkarten oder Smartcards, zur Verbreitung von öffentlichen Informationen, zur Verwaltung von Bürger- und Mitarbeiterdaten und für den Zutrittsschutz benötigt. Diese stellen keine isolierten Einheiten dar, sondern stehen untereinander in Beziehung. Sie verfügen über gemeinsame Schnittstellen, benutzen gemeinsame Infrastrukturen und tauschen untereinander Informationen aus.

Parallel zur Fälschungssicherheit signierter elektronischer Dokumente ist daher Verschlüsselung zum Schutz der sensitiven Informationen nötig. Die Kombination symmetrischer, asymmetrischer und Einwegschlüsselverfahren ergibt ein starkes Instrument, um das Vertrauen in E-Government und andere Anwendungsgebiete mit technischen Mitteln zu stärken. Unerlaubtes Lesen von Nachrichten durch unbefugte Dritte wird somit unterbunden und die Vertraulichkeit der Geschäftsprozesse gewahrt.

Ausblick

Dass die digitale Signatur auch in Deutschland auf breiter Basis zum Einsatz kommen wird, steht außer Zweifel. Unklar ist nur, wann dies der Fall sein wird. Zurzeit einer Online-Umfrage der computerwoche vom September 2004 nutzten immerhin schon 34 Prozent der teilnehmenden Unternehmen eine PKI, mehr als zehn Prozent planen die Einführung. Entscheidend dürfte dafür unter anderem der Preis für ein Zertifikat sein. Dieser beträgt heute durchschnittlich 20 Euro. Bei rund ein bis zwei Behördengängen pro Jahr ist das vielen schlicht zu teuer.

Dampf macht auch das von der Bundesregierung ins Leben gerufene Signaturbündnis, das bis Ende des Jahres die Voraussetzungen dafür schaffen will, den elektronischen Rechtsverkehr flächendeckend mit digitalen Signaturen abzuwickeln. Gesundheitskarte, Jobcard und der elektronische Personalausweis sollen dabei eine Schlüsselstellung einnehmen. Wie sich die Kartenprojekte miteinander verknüpfen lassen, soll die "eCard-Initiative" ermitteln. Denn nur die Interoperabilität der einzelnen Karten kann der digitalen Signatur zum Durchbruch verhelfen.

Dass die Bürger etwa auf zeitaufwändige Behördengänge verzichten können und eine höhere Sicherheit bei Transaktionen im Internet hätten, ist vielen noch nicht bewusst. Zu tief sitzt die Angst vor unsicheren Client-Betriebssystemen, schlecht implementierten Anwendungen und Hacker-Angriffen. Hier hat der Staat die Chance, eine Vorreiterrolle zu übernehmen - mit umfassenden positiven Auswirkungen nicht nur auf die eigenen Geschäftsprozesse, sondern auf die gesamte Wirtschaft. (ave)