Eine Frage des Gesetzes: Sind elektronische Signaturen rechtsverbindlich?

Sie denken vielleicht, dass eine elektronische Signatur nachweist, wer Sie sind und was Sie möchten. Doch da könnten Sie falsch liegen. Das Gleiche gilt für Ihre handgeschriebene Unterschrift.

Signaturen – eine Frage des Vertrauens

Rolf Riisnæs ist Partner in der Anwaltskanzlei Wikborg Rein in Oslo. Er hat seinen Doktor in Jura gemacht und kennt sich mit der rechtlichen Lage von elektronischen Signaturen hervorragend aus. Denn Riisnæs promovierte 2006 mit einer Doktorarbeit zum Thema elektronische Zertifikate und Zertifizierungsdienste und berät Klienten bei Fragen zu Bereichen wie Datenschutz, E-Business, Informationssicherheit und der Beschaffung von komplexen IT-Systemen. Er ist ein wichtiger Ansprechpartner, wenn die norwegische Regierung auf Probleme mit staatlichen Onlinediensten stößt. Außerdem war er nicht nur an der Ausarbeitung der E-Business-Richtlinie, sondern auch am neuen Gesetz für die staatliche eID in Norwegen und an der Beschaffung von eIDs für die digitale Anmeldung bei öffentlichen Diensten beteiligt. Nach einem Gespräch mit ihm über elektronische Signaturen und traditionelle Unterschriften auf Papier merkt man sofort, dass das Thema nicht so einfach ist, wie es vielleicht scheint. Weder digital noch analog.

„Sie wollen wissen, was eine Signatur ist – und das ist eine ziemlich gute Frage! Bisher hatten wir im norwegischen Recht keine allgemeine Definition, die beschreibt, was eine Signatur überhaupt ist.“


Ist das wahr?
Ja, und das ist sehr interessant. Es ist geregelt, wie etwas Geschriebenes zu interpretieren ist. Aber für Signaturen gibt es solche Vorschriften nicht. Lange Zeit war klar: Eine Unterschrift ist der eigene Name, der mit Kugelschreiber oder Tinte geschrieben ist. Aber wir müssen gar nicht so weit in die Vergangenheit schauen. um auf die Verwendung von Siegeln zu stoßen. Sie dienten Menschen, die nicht lesen können, als Beweis dafür, dass etwas unterschrieben beziehungsweise signiert wurde.


Und noch früher wurden Hausmarken verwendet?
Genau, aber selbst nach der Einführung der Schriftsprache gab es noch andere Methoden. Selbst Siegel und Stempel haben mehr gemeinsam mit elektronischen Signaturen als die Handschrift.

Die Geschichte der elektronischen Signaturen

Die Geburtsstunde der elektronischen Signaturen war vor etwa 40 Jahren. Auch wenn die Technologie selbst alt ist, konnten sich die elektronischen Signaturen erst wirklich durchsetzen, als sie von Unternehmen und Verbrauchern in der öffentlichen Verwaltung und Kommunikation verwendet wurden. Bevor wir aber dazu kommen, müssen wir zurückgehen und uns ihre Geschichte näher anschauen.


Wir befinden uns in Dartmouth im Sommer 1956. Ein junger Mathematiker namens John McCarthy von der Stanford University beschäftigte sich mit einem Konzept, das später als „künstlichen Intelligenz“ in die Geschichte eingehen sollte. Um genau zu sein: er prägte den Begriff überhaupt erst und organisierte im gleichen Jahr eine Konferenz in der US-amerikanischen Universitätsstadt. Das Thema? Künstliche Intelligenz. Während des Sommers diskutierten zahlreiche Mathematiker und Wissenschaftler über sechs bis acht Wochen, was dieser Begriff eigentlich bedeutet. Einer dieser Teilnehmer war John Nash, der 1994 den Wirtschaftsnobelpreis verliehen bekam und durch den Film „A Beautiful Mind“ von 2001 auch einem nicht akademischen Publikum bekannt wurde.

nullÜber Rolf Riisnæs
Rolf Riisnæs hat einen Doktor in Jura und ist Partner in der Anwaltskanzlei Wikborg Rein in Oslo. Dort ist er für die Bereiche Technologie und Digitalisierung sowie Vertrags- und Vergabemanagement der öffentlichen Hand zuständig. Die Fachgebiete von Riisnæs sind unter anderem das Auftragswesen im Technologie- und IT-Bereich, darunter Verträge und Verhandlungen, Datenschutz, E-Business/E-Government und Informationssicherheit. Dazu gehören ebenfalls elektronische Signaturen, digitale Zertifikate und Zertifizierungsdienste (PKI).


In den Jahren nach der Konferenz entwickelte McCarthy eine Vision für die Zukunft von Computern, die an die Cloud-Infrastruktur von heute erinnert. Schon früh stellte er sich einen Alltag vor, in dem sich Verbraucher mit großen Computern verbinden können, wann immer sie möchten. Und in dem sie Computer und Software genauso leicht nutzen könnten wie Strom oder Wasser – praktisch wann immer man sie braucht. Anfang der 70er-Jahre ging eben dieser McCarthy auf eine Konferenz in Frankreich. Er hielt einen Vortrag über etwas, das er „Home Information Terminal“ nannte. Seine Vision war ein Apparat, der sich über das Telefonnetz mit einem größeren, gemeinsam genutzten Computer verbindet. Dort würden sich alle möglichen Informationen wie Bücher, Magazine, Zeitungen, gebuchte Flüge, öffentliche Informationen und private Dateien abrufen lassen. Das kommt einem bekannt vor, oder? Kein Wunder. All das wurde mit dem Internet verwirklicht. Der Rest ist, wie man so schön sagt, Geschichte.

„Es ist ein allgemeines Missverständnis, dass eine Unterschrift eine bestimmte Wirkung hat.“


Daten zugreifen zu können, die auf einem Computer gespeichert sind, stellte sich die Frage: Wie lassen sich Unterschriften auf elektronische Medien übertragen, wie wir das bisher bei wichtigen Dokumenten auf Papier gemacht haben. Die Problematik war: Lässt sich so etwas überhaupt nutzerfreundlich und sicher umsetzen? Die beiden US-amerikanischen Wissenschaftler Whitfield Diffe und Martin Hellman nahmen sich dem Problem an. 1976 hatten sie eine Lösung, die sie „One-way-authentication“ nannten. Den Begriff „digitale Signatur“ schlugen allerdings Adi Shamir, Ronald Rivest und Leonard Adleman in einem 1977 veröffentlichten Artikel vor. Ihre Lösung basierte auf einer asymmetrischen Verschlüsselung. Mit anderen Worten: mit einem privaten und einem öffentlichen Schlüssel. Der eine Schlüssel ist beiden Beteiligten bekannt, während der andere nur demjenigen bekannt ist, der die Nachricht unterschreibt oder empfängt.

„Und wahrscheinlich war dieser Artikel der Grund für das Missverständnis bei elektronischen Signaturen.“


Wie kommt das?
– Rivest, Shamir und Adleman schrieben in ihrem Artikel, dass die Zeit für elektronische Post bald gekommen sei und dass zwei wichtige Merkmale von Briefen erhalten bleiben müssten: Der Datenschutz und die Möglichkeit zum Unterschreiben. Das alles basierte auf der üblichen Vorstellung eines Briefs, der unterschrieben und in einem geschlossenen Umschlag verschickt wird.


Und wo liegt das Missverständnis?
– In der Annahme, dass elektronische Post ebenfalls eine Unterschrift benötigt. Die Annahme entstand nur, weil wir es gewohnt sind, dass Briefe und Dokumente unterschrieben sind. Wie sich herausgestellt hat, gab es für Unterschriften gar keinen Bedarf. Die Sorgen waren also völlig unbegründet. Uns scheint es nämlich nicht zu interessieren, ob E-Mails unterschrieben sind oder nicht. Der renommierte Kryptologe Bruce Schneier hat mal geschrieben, dass der Begriff „elektronischen Unterschrift“ wahrscheinlich der größte terminologische Fehler in der Geschichte der Kryptologie ist.


Was will er damit sagen?
– Handgeschriebene Unterschriften haben eine enge Verbindung zu der Person, die unterschreibt, aber nicht zu dem eigentlichen Dokument. Im Gegensatz dazu sind elektronische Signaturen eng mit dem Dokument verbunden, aber nicht mit der Person. Die traditionelle Unterschrift ist Bestandteil eines formellen Prozesses. Ausgeführt mit Papier und Kugelschreiber oder Füllfederhalter. Doch eine Unterschrift ohne die entsprechenden Rahmenbedingungen ist bedeutungslos – außer man ist auf der Suche nach einem Autogramm. Wenn man also kein Star ist, hat ein Autogramm keinen Wert und keine Aussagekraft. Eine Unterschrift ist immer von den Rahmenbedingungen abhängig, in denen sie zustande kommt. Und eine Unterschrift zu digitalisieren ist nicht einfach.

nullFür seine Arbeit zum Thema elektronische Zertifikate und Zertifizierungsdienste (Public-Key-Infrastruktur, kurz PKI) bekam Riisnæs 2006 die Doktorwürde verliehen. Er war an mehreren Projekten bezüglich PKI, elektronischen Signaturen, E-Government und der Entwicklung von juristischen Rahmenbedingungen für das E-Commerce beteiligt.

 


Siegel, Hausmarken und Autogramme

Mit anderen Worten ist eine Unterschrift nicht so simpel wie ein Autogramm und steht ohne Kontext für nichts. Aber was braucht es dann, damit eine elektronische Signatur etwas bestätigt?
– Wie ich bereits sagte, ist es ein allgemeines Missverständnis, dass eine Unterschrift eine bestimmte Wirkung hat“, erklärt Rolf Riisnæs. Um den Grund dafür zu verstehen, müssen wir uns die traditionelle Unterschrift genauer ansehen. Sie hat ihre Vorteile. Man kann sie leicht lernen und ihre Verwendung ist einfach. Eine Unterschrift auf Papier kann nicht vorgeben, irgendetwas anderes zu sein. Sie existiert in einem bestimmten Moment. Sie ist nicht manipulierbar, ohne dass es auffällt. Sie kann ein Dokument auch einzigartig machen. Stellen wir uns mal vor, dass ich eine Kopie von einem meiner Dokumente mache. Dabei wird auch die Unterschrift vervielfältigt. Aber ich bin immer noch im Besitz des Originals. Diesem Dokument wird eine gewisse Rechtswirksamkeit zugeschrieben. Ein elektronisch unterschriebenes Dokument lässt sich jedoch nicht so einfach von einem anderen unterscheiden.


Okay, das ist nachvollziehbar.
– Genau. Mit einer Unterschrift fixiert man eine bestimmte Nachricht in einem bestimmten Moment. In bestimmten Kontexten hat eine Unterschrift auch Symbolcharakter.


Wie kommt das?
– Das Unterschreiben eines Dokuments ist ein seriöser Akt. Man denke nur an Urkunden, Hochzeiten und Testamente.


Oder Verfassungen?
– Auf jeden Fall. Und alte Aktien. Diese Seriosität hat viel mit dem Papier zu tun. Hier ist wieder der Kontext wichtig. Unterschriften haben keine Aussagekraft in einem Vakuum. Sie haben nur eine Bedeutung, wenn sie in einen bestimmten Kontext gestellt werden. Eine Unterschrift kann viele Funktionen haben. Manchmal identifiziert sie auch die Person, die unterschreibt. Aber das setzt natürlich voraus, dass die Unterschrift leserlich ist. Das ist wahrscheinlich auch der Grund, warum bei wichtigen Dokumenten neben der Unterschrift manchmal auch der Name in Blockbuchstaben vorhanden sein muss.

– Die Unterschrift kann auch den Unterzeichner mit dem Inhalt eines Dokuments in Zusammenhang bringen. Allerdings ist der Hinweis wichtig, dass sich traditionelle Unterschriften nur auf einer der Seiten befinden. Entweder ist sie auf der ersten oder auf der letzten Seite eines Dokuments zu finden, das unter Umständen mehrere Seiten umfasst. Deshalb kann es sein, dass die Verbindung zwischen dem Unterzeichner und dem Rest des Dokuments nicht ganz so stark ist. Eine Unterschrift macht vielleicht auch den Unterschied zwischen einem Entwurf und einem finalen Dokument deutlich. Durch eine Unterschrift wird etwas endgültig. Hier kommen Vertragsverhandlungen in den Sinn. Erst wenn beide Parteien das Dokument unterschrieben haben, sagen sie: „Okay, jetzt sind wir einverstanden.“ Mit der Unterschrift wird aus etwas Temporärem etwas Finales.

„Handgeschriebene Unterschriften haben eine enge Verbindung zu der Person, die unterschreibt, aber nicht zu dem eigentlichen Dokument. Im Gegensatz dazu sind elektronische Signaturen eng mit dem Dokument verbunden, aber nicht mit der Person.“


Aber ...
– Es gibt Beispiele, bei denen eine direkte Verbindung zwischen der Unterschrift und der Vereinbarung besteht und diese nur rechtsverbindlich ist, wenn beide Parteien unterschrieben haben. Das ist beispielsweise bei öffentlichen Ausschreibungen der Fall. Aber es ist etwas völlig anderes, wenn jemand zum Beispiel mein Buch kaufen möchte. „Möchten Sie eine Kopie meines Buchs kaufen?“ würde ich sagen. Und Sie antworten: „Ja, bitte“. Darauf würde ich erwidern: „Okay, ich sende Ihnen einen Vertrag zu, den Sie unterschreiben müssen.“ Der eigentliche Vertrag ist jedoch bereits abgeschlossen. Alles weitere – wie die Unterschrift – ist nur eine Methode, um das Ganze offiziell zu machen.


Wow. Das dürfte nicht allen bewusst sein.
– Nein, bestimmt nicht. Meiner Meinung nach glauben wir viel zu sehr an die Bedeutung von Unterschriften, die wahrscheinlich dadurch entsteht, dass wir Papier verwendet haben und teilweise noch verwenden. Ich gebe mal ein Beispiel aus meiner Kindheit. Damals verwendeten Behörden noch offizielle Briefköpfe. Wenn ich einen Brief vom norwegischen Verteidigungsministerium auf so einem Papier bekam, bin ich davon ausgegangen, dass es echt ist. Ich wusste nicht, wer die Person war, die den Brief unterschrieben hat. Auch die Unterschrift hat mir da nicht weitergeholfen. Trotzdem habe ich nie daran gezweifelt, dass dieser Brief vom norwegischen Verteidigungsministerium stammt.


Heute ist das anders?
– Ja. Bei vielen von uns landet täglich sehr viel Müll im Postfach. Wenn ich damals einen solchen Brief in meinem Briefkasten hatte, habe ich ihn anders behandelt als alles andere. Es ist schwer, diesen Effekt auf elektronische Lösungen zu übertragen. Die Summe der nonverbalen Elemente einer Unterschrift, die es tatsächlich gibt, lassen sich nicht auf den digitalen Alltag übertragen.

What-are-new-options

Digitalisierung des Papiers: Sind die Merkmale von traditionellen Unterschriften auf das digitale Leben übertragbar?

Eine zuverlässige Lösung für elektronische Signaturen zu entwickeln, war nicht so einfach, wie das vielleicht klingt. Unter anderem ist das auch der Grund, warum so viel Zeit vergangen ist, seitdem sich die US-amerikanischen Wissenschaftler in den 60er- und 70er-Jahren Gedanken zur Digitalisierung gemacht haben. Schritt für Schritt und mit neuen technologischen Entwicklungen ist es jedoch gelungen, die handgeschriebene Unterschrift in die digitale Welt zu bringen. Dabei war es unter anderem notwendig, neu zu bewerten, welche Einflüsse die nicht sichtbaren, aber vorhandenen Eigenschaften von Papier auf die Unterschrift hatten. Zwei der größten Probleme waren die nicht vorhandene Tradition und die fehlende Erfahrung.

„Schritt für Schritt und mit neuen technologischen Entwicklungen ist es jedoch gelungen, die handgeschriebene Unterschrift in die digitale Welt zu bringen.“


– In Norwegen sind die Abschlusszeugnisse, die den Schülern in Papierform ausgehändigt werden, zusätzlich in einer zentralen Datenbank gespeichert. Die zentrale Vergabestelle für Studienplätze fragte irgendwann, welche Formen von Unterschriften sie auf elektronischen Bewerbungen anerkennen sollen. Sollten sie die Bewerber auffordern, eine Kopie des Zeugnisses beizufügen? Nein, das war nicht nötig. Es gab bereits eine Datenbank, auf die sie direkt zugreifen konnten! Das ist nur ein Beispiel für Situationen, in denen es keine Unterschriften braucht. Die Authentifizierung, die normalerweise die Unterschrift auf dem Zeugnis leistet, erfolgte bereits über den Zugriff auf die Informationen in der zentralen Datenbank.


Da kommt eine weitere Herausforderung in den Sinn: wie kann man sicher sein, von wem eine E-Mail tatsächlich stammt.
– Herauszufinden, von wem eine E-Mail stammt, ist unglaublich schwierig. Wissen wir wirklich, mit wem wir da in Kontakt stehen? Es hat sich herausgestellt, dass das ein akutes Problem unserer Zeit ist. Heute ist es viel einfacher und schneller möglich, Menschen zu erreichen und sich als jemand anderes auszugeben.

Wer hat noch keine betrügerischen E-Mails von einem nigerianischen Prinzen erhalten ...
– Ja, das stimmt leider. Es haben sich einfach neue Möglichkeiten ergeben. Darüber hinaus sehen wir beträchtliche Veränderungen bei der Aufgabenverteilung zwischen Dienstleistern und Verbrauchern. Ich bin alt genug, um mich noch an Papierüberweisungen zu erinnern. Es gibt sie noch, aber wir verwenden sie nicht mehr. So wurde das damals gemacht: Ich habe meine Kontodaten eingetragen, die Überweisung unterschrieben und sie bei der Bank eingeworfen. Wenn ein Fehler passierte, war es ein Problem der Bank. Jetzt geben wir die IBAN, den entsprechenden Betrag und die Push-TAN online selbst ein, nachdem wir uns mit einem geheimen Code angemeldet haben. Wenn ein Fehler passiert, sind wir selbst verantwortlich. Jeder digitale Service bringt neue Eigenschaften mit sich. Und diese verändern das Risiko. Diese Entwicklung ist seit 1977 im Gange, als diese Form der Kommunikation nur an Universitäten verfügbar war. Heute ist sie aus dem Alltag der Menschen nicht mehr wegzudenken.


Es ist also eine Frage des Vertrauens. Können wir den E-Mails vertrauen, die wir erhalten? Können wir Formularen wie Kreditanträgen vertrauen?
– Ja, es ging um das Herstellen von Vertrauen für etwas, das noch neu und ungewohnt ist. Und darum geht es immer noch.


Wann können elektronische Signaturen verwendet werden?
– Beim Umstieg von Unterschriften auf Papier zu elektronische Signaturen müssen wir einige Probleme näher beleuchten. Besonders im Hinblick auf die rechtlichen Fragen beim Unterschreiben. Als Erstes muss festgestellt werden, ob für das, was gemacht werden soll, bestimmte formelle Rahmenbedingungen notwendig sind. Kann man zum Beispiel ein Testament schreiben und es mit einer digitalen Identität wie der norwegischen BankID unterschreiben? Nein, das geht bisher nicht. Aber Verträge mit Banken sind auf diese Weise möglich. In Abschnitt 8 des norwegischen Gesetzes für Verträge im Finanzwesen (Finansavtaleloven) steht, dass solche Vereinbarungen grundsätzlich erlaubt sind. Es müssen nur die Richtlinien für eine ausreichende Authentifizierung erfüllt sein. Der Zweck einer Unterschrift ist die Authentifizierung einer Person oder Vereinbarung. Eine Möglichkeit hierfür sind elektronische Signaturen. Wir sollten uns außerdem fragen, ob es noch andere sinnvolle Gründe für elektronische Signaturen gibt. Vielleicht braucht jemand einen sicheren Beweis dafür, dass etwas Bestimmtes stattgefunden hat, was nichts mit der rechtlichen Frage zu tun hat.

„Es ging um das Herstellen von Vertrauen für etwas, das noch neu und ungewohnt ist. Und darum geht es immer noch.“


Was könnte das sein?
– Wenn ich eine mündliche Vereinbarung mit jemandem eingegangen bin, aber sicherstellen möchte, dass bestimmte Bedingungen erfüllt werden, bringe ich das Ganze zu Papier und unterschreibe das Dokument. Es geht um den Beweis, dass etwas mit hoher Wahrscheinlichkeit stattgefunden hat. In einem anderen Kontext mag es wichtig sein, die Rahmenbedingungen einer bestimmten Situation zu kontrollieren. Wenn ich meinem Arzt Informationen zusende, ist es nicht besonders wichtig, meine Nachricht zu dokumentieren. Mir ist in diesem Fall eher wichtig, dass nur mein Arzt und sonst niemand die Nachricht liest. Wie gesagt, es ist eine Frage des Vertrauens. Was müssen wir also tun, um das Vertrauen auf elektronischem Wege herzustellen? Dafür müssen wir zu der wesentlichen Frage zurückkehren, was eine Unterschrift bedeutet.

– Haben Sie sich jemals gefragt, warum Sie eine Weihnachtskarte an Ihre Angehörigen unterschreiben? Nun, das machen Sie auf jeden Fall nicht, um gesetzliche Anforderungen zu erfüllen. Und sicherlich auch nicht als Nachweis für irgendetwas. Sie wollen doch eher bestätigen, dass die Weihnachtskarte von Ihnen stammt, oder?

Komisch, jetzt wo Sie es sagen, fallen einem eine Menge solcher Fälle ein. Wenn man Blumen gesendet bekommt, ist der Text normalerweise vorgedruckt. Aber unten ist oft eine handgeschriebene Unterschrift.
– Genau, in der Regel unterschreiben die Mitarbeiter des Blumenladens die Karte.

New call-to-action

 

Elektronische Signaturen: eine Frage der Technologie – und des Vertrauens

Der Begriff „elektronische Signatur“ ist technologisch gesehen neutral. Sichere elektronische Signaturen haben eine Unterklasse: die digitalen Signaturen. Diese basieren auf einer Verschlüsselung mit einem öffentlichen Schlüssel. Es gibt Berichte aus verschiedenen Bereichen, die deutlich machen, wie wichtig gute Systeme für elektronische Signaturen sind und welche positiven Effekte sie erzielen. Genauso wie ihre Effekte. Gerüchten zufolge spart das US-Militär jährlich mehr als eine Milliarde Dollar, weil es elektronische Signaturen statt traditionelle Unterschriften verwendet.

„Beim Umstieg von Unterschriften auf Papier zu elektronischen Signaturen müssen wir einige Probleme näher beleuchten. Besonders im Hinblick auf die rechtlichen Fragen beim Unterschreiben.“


– Die Technologie hat viele Einsatzmöglichkeiten. Digitale Signaturen lassen sich zum Beispiel als Identifikationsmethode verwenden. Oder bei der anonymen Authentifizierung, was ziemlich schräg klingt. Wenn man eine digitale Identität (zum Beispiel BankID) von einer Bank verwendet, wird die Technologie genutzt, um sicherzustellen, dass nur die Bank über den Anmeldevorgang Bescheid weiß.


Gibt es noch weitere Einsatzmöglichkeiten?
– Sie verknüpft jemanden mit dem Inhalt von etwas. Gekaufte Software ist üblicherweise signiert. Damit möchte man sicherstellen, dass der Anbieter, bei dem die Software gekauft und geladen wurde, auch derjenige ist, der er vorgibt zu sein. Auf ähnliche Weise lassen sich auch Dokumente signieren. Wenn Sie eine E-Mail oder ein Dokument weiterleiten und diese signieren, weiß der Empfänger, dass Sie für die Inhalte bürgen.


Aber elektronische Signaturen können auch etwas „Wichtigeres“ bedeuten?
– Ja, sie können einen Willen ausdrücken. In diesem Fall hängt die Signatur sowohl vom Kontext als auch von den Bedingungen des Inhalts ab. Diese Bedingungen legen fest, dass das Dokument unter der Voraussetzung unterschrieben wurde, dass der Unterzeichner es gelesen hat und sich den Konsequenzen des Inhalts bewusst ist. Bei dieser Verwendung sind elektronische Signaturen nicht widerrufbar. Das bedeutet: wenn der Schlüssel einer Person verwendet wurde, kann diese die Verwendung des Schlüssels nicht abstreiten.


Hier spielt also das Vertrauen wieder eine Rolle?
– Ganz genau. Hier kommen wir auf die Aussage von Bruce Schneier zurück, dass der Begriff „elektronische Unterschrift“ wahrscheinlich der größte terminologische Fehler in der Geschichte der Kryptologie ist. Er meinte damit, dass eine handgeschriebene Unterschrift eine starke Verbindung zu der Person, die unterschreibt, aber nur eine sehr schwache zum Inhalt hat. Denn ein Dokument wird normalerweise nur auf der letzten Seite unterschrieben. Bei elektronischen Signaturen ist das genau umgekehrt. Sie sind eng mit dem Dokument verbunden, aber nicht mit der Person, die unterschreibt. In der Regel ist der Zugriff auf die Signatur nämlich abgesichert: mit etwas, das nur die Person hat, und etwas, das nur die Person weiß. Biometrischen Daten kommen hier eher selten zum Einsatz.

„Nutzer müssen verstehen, was sie unterschreiben. Außerdem muss im Anschluss nachweisbar sein, dass auch tatsächlich nur das unterschrieben wurde, mit dem der Nutzer vor der Unterschrift einverstanden war.“


Guter Punkt.
– Ja. Im Prinzip heißt das: „Jemand, dem du vertraust, bestätigt, dass dieser Schlüssel zu dieser Person gehört.“ Des Weiteren hängt die Sicherheit des Schlüssels davon ab, wie gut ihn die Person schützt, die ihn besitzt. Der Empfänger bekommt von all dem nichts mit. Viele Jahre lang haben wir Unterschriften auf Papier großes Vertrauen geschenkt. Aber auch bei elektronischen Signaturen lässt sich zwischen dem Schlüssel und dem Inhalt eine extrem starke Verbindung herstellen.


Könnte man das Problem nicht mit einem Iris-Scan oder einem biometrischen Fingerabdruck lösen?
– Ja, es wäre technisch möglich, sicherzustellen, dass niemand sonst den Schlüssen verwenden kann. Aber dafür braucht es Equipment, das so gut wie niemand hat. Es hat schon viele Jahre gedauert, bis es Computer und Notebooks mit Finderabdrucksensor gab, oder? Aber sie werden fast nur zum Anmelden verwendet. Gehen wir davon aus, dass jemand zwei elektronische Dokumente erhält: Wie soll die Person nun feststellen, welches mit einem Code und welches mit einem Iris-Scan erstellt wurde? Es gibt zwar Antworten auf diese Fragen, aber die Suche nach ihnen ist für den Einzelnen nicht leicht.

Public-Key-Infrastruktur, eIDAS und Zertifikate: Wie können wir sicher wissen, was wir unterschreiben und wer unterschreibt?

Riisnæs begleitete die Ausarbeitung der norwegischen Richtlinie für elektronische Signaturen von 1999. Es war der Vorläufer des norwegischen Gesetzes für elektronische Signaturen. Heute finden wir allgemeine Vorschriften für elektronische Signaturen und elektronische Vertrauensdienste in der 2016 verabschiedeten eIDAS-Richtlinie (Electronic Identification, Authentication and trust Services). In den USA trat das ESIGN-Gesetz 2000 in Kraft und gilt in allen Bundesstaaten.


– Als die Verordnung für elektronische Signaturen 1999 in Kraft trat, hatte das enorme Auswirkungen. Zuvor gab es zwar die notwendige Technologie, aber keine allgemeinen Richtlinien zur Sicherstellung der Qualität, Sicherheit und Nutzung. Nach der Verordnung hatten wir eine Grundlage für die Definition von qualifizierten Zertifikaten. Die Aussteller solcher Zertifikate waren bei der Norwegian Communications Authority (Nasjonal Kommunikasjonsmyndighet, kurz NKOM) registriert. Das bedeutete, dass es plötzlich eine Reihe von Akteuren auf dem norwegischen Markt gab, die für alle verfügbar waren und die für Qualität und Sicherheit sorgten. Durch diese neuen Rahmenbedingungen war es möglich, vertrauenswürdige Lösungen von anderen zu unterscheiden.


Eine PKI (Public-Key-Infrastruktur) basiert auf einer asymmetrischen Verschlüsselung, die – ganz genau – auf der Arbeit des bereits erwähnten amerikanischen Wissenschaftlers beruht. Beispiele für Verbraucher-PKIs sind Norwegen BankID und Buypass, die ihre Services der staatlichen Lotterie (Norsk Tipping) bereitstellen. Neben PKIs für das Gesundheitswesen (Krankmeldungen und elektronische Rezepte) gibt es auch PKIs für Unternehmen mit strikten Anforderungen an die sichere Kommunikation.

„Im Prinzip heißt das: Jemand, dem du vertraust, bestätigt, dass dieser Schlüssel zu dieser Person gehört.“

Und der Sinn von eIDAS und anderen Verordnungen ist es, einheitliche Richtlinien für Europa zu schaffen?
– Ja, damit sollen die Systeme auch länderübergreifend funktionieren. Trotzdem gibt es ein paar Komplikationen, die sich nicht so schnell beseitigen lassen.

Und die wären?
– Die Verfügbarkeit von vertrauenswürdigen Zertifikaten (zur Identifizierung eines Unterzeichners) ist nur der erste Schritt. Zertifikate müssen an die Aussteller gebunden sein. Dafür ist es notwendig, dass die Zertifikate entsprechende Informationen enthalten, die der Empfänger lesen kann. Die Behörden in Norwegen verwenden meine Sozialversicherungsnummer, um meine Unterschrift mit mir in Verbindung zu bringen. Das passiert mit einem Schlüssel und einem Zertifikat, die mich als den Rolf Riisnæs ausweisen, der das Dokument gesendet hat. Die Sozialversicherungsnummer ist in den Zertifikaten selbst aber nicht enthalten. Bei der Verifikation der Unterschrift binden die Aussteller von Zertifikaten sie auf eine andere Weise in den Prozess ein. Eine andere Regierung kann also nicht einfach so meine norwegische Sozialversicherungsnummer verwenden, wenn sie zuvor noch keine Informationen über mich gespeichert hat. Außerdem verfügen nicht alle Länder über eine individuelle Kennung für die zweifelsfreie Identifikation.

Das Ganze ist nicht so einfach, oder?
– Gewiss nicht. In vielerlei Hinsicht ist es erstaunlich, dass die Technologie im Prinzip noch dieselbe ist wie 1978, 1988 und 1998. Damals gab es kaum elektronische Signaturen. Es war schwierig, die nahtlose und zuverlässige Funktion für die Marktteilnehmer zu bewerkstelligen. Was sich die Wissenschaftlicher vor 40 Jahren ausmalten, war eine fiktive Welt, in der Nutzer Dokumente auf ihrem privaten Computer unterschreiben und diese dann an eine normale Website gesendet werden. Mittlerweile läuft das Unterzeichnen in vielen Fällen zentral oder über einen externen Service ab. Wir haben heute bewährte Technologien, die zertifiziert und anerkannt sind. Und es gibt Service-Anbieter, die mehr oder weniger gute Lösungen anbieten. Die Herausforderung ist, die Informationen, die unterschrieben werden sollen, in ein System für Signaturen zu transferieren, das verständlich ist und den Nutzern das Gefühl von Sicherheit vermittelt. Das ist für diejenigen, die solche Prozesse für elektronisch geführte Dialoge und elektronische Signaturen anbieten, sehr anspruchsvoll.

„Die Herausforderung ist, die Informationen, die unterschrieben werden sollen, in ein System für Signaturen zu transferieren, das verständlich ist und den Nutzern das Gefühl von Sicherheit vermittelt.“


Mit anderen Worten: Die Kommunikation ist wichtig?
– Ja, die Nutzer müssen verstehen, was sie unterschreiben. Außerdem muss im Anschluss nachweisbar sein, dass auch tatsächlich nur das unterschrieben wurde, mit dem der Nutzer vor der Unterschrift einverstanden war. Das gilt besonders dann, wenn es komplizierter ist, als man auf einem Bildschirmfoto zusammenfassen kann. Elektronische Signaturen haben viele gute Funktionen, aber wir müssen uns immer fragen: Stimmen die geschriebenen Informationen mit denen auf dem Display überein?


Üblicherweise trifft das doch zu, oder?
– Ja, aber wir sollten bedenken, dass es beim Unterschreiben in einem guten dialogbasierten System trotzdem anspruchsvoll sein kann, den Nutzern das Ergebnis einer Interaktion verständlich anzuzeigen. Es muss daher so aufgebaut sein, dass wir verstehen, was wir da eigentlich unterschreiben – und uns darauf verlassen können.

New call-to-actionDieser Blog-Post wurde ursprünglich am 20.02.2019 auf idfy.io veröffentlicht.

Katinka Forbord

Katinka Forbord

Communications Manager at Signicat

März 31 2020