Verschlüsselung

Vertrauensdienstegesetz – neues Gesetz für elektronische Signaturen

12. Dezember 2017 von Manuela Winkelmann

vertrauensdienstegesetz
© kebox - Fotolia.com

Vertrauensdienstegesetz (VDG) löst deutsches Signaturgesetz ab

Am 29. Juli dieses Jahres trat das Gesetz zur Durchführung der europäischen eIDAS-Verordnung („eIDAS-Durchführungsgesetz“) in Kraft. Im Mittelpunkt des Gesetzes steht das „Vertrauensdienstegesetz“ (VDG). Es löst das deutsche Signaturgesetz (SigG) ab. Oder besser gesagt: Das Vertrauensdienstegesetz passt das deutsche Signaturrecht an die europäische eIDAS-Verordnung an und schließt darin enthaltene Regelungslücken. Zudem legt es Zuständigkeiten fest, wie etwa für die Zertifizierung von qualifizierten Signaturerstellungseinheiten sowie für das Führen und Veröffentlichen der deutschen Vertrauensliste.

Rückblick: Das deutsche Signaturgesetz

Mit Einführung der elektronischen Signatur sollten viele Vorgänge, die eine Unterschrift benötigen um verbindlich zu werden, auch im Zeitalter von Internet Rechtssicherheit erlangen. Warenbestellungen oder die Übermittlung von Dokumenten beispielsweise sollten auch jenseits der Öffnungszeiten von Geschäften und Verwaltungen möglich sein. Deshalb musste ein Pendant zur handschriftlichen Unterschrift her: Die elektronische Signatur war geboren. Mit ihr soll der Unterzeichner bzw. Signaturersteller klar identifiziert und die Integrität des signierten Dokuments überprüft werden.

Als weltweit erstes Gesetz seiner Art legte das deutsche Signaturgesetz die technischen und organisatorischen Rahmenbedingungen für elektronische Signaturen fest. Neben der (einfachen) elektronischen Signatur definierte das Signaturgesetz dabei auch die fortgeschrittene elektronische Signatur mit höheren Anforderungen an die Sicherheit, sowie die qualifizierte elektronische Signatur, die höchsten Sicherheitsansprüchen gerecht werden sollte.

Für eine komplette Signaturausstattung benötigten Unternehmen drei Komponenten:
→ Individuelle Signaturchipkarte eines signaturgesetzkonformen Trustcenters. Die Karte ist nicht übertragbar und muss persönlich oder per PostIdent-Verfahren beantragt werden.
→ Chipkartenlesegerät mit eigener Tastatur und PC-SC- oder CT-API-Schnittstelle.
→ Software zum qualifizierten Signieren von Dateien nach PKCS#7-Standard.

An sich eine gute Sache – allerdings mit einem Nachteil: Das Signaturgesetz stellte an die qualifizierte elektronische Signatur derart hohe Sicherheitsanforderungen, dass sich dieses Verfahren in der Praxis hierzulande nicht wirklich durchsetzte. Das soll jetzt anders werden.

Einheitliche Regelungen für ganz Europa

Nun war Deutschland natürlich nicht das einzige Land, das derartige Regelungen für elektronische Transaktionen per Gesetz erließ. Auch im Rest von Europa wurden nationale Regelungen getroffen. Weil aber die nationalen elektronischen Identifizierungssysteme eines jeden EU-Landes in den jeweils anderen Mitgliedstaaten nicht anerkannt wurden, sah sich die Europäische Union gezwungen, einen einheitlichen Rechtsrahmen für das Signieren und Beglaubigen elektronischer Dokumente zu erlassen. Die grenzüberschreitende Erbringung von Dienstleistungen soll damit erleichtert werden und Unternehmen bei grenzüberschreitender Tätigkeit auf weniger Verwaltungshindernisse stoßen.

Seit dem 1. Juli 2016 gilt diese neue Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (kurz: eIDAS) bereits. Seit Ende Juli ist nun das Nationale Umsetzungsgesetz in Kraft. Ihr Kernstück ist das Vertrauensdienstegesetz (VDG).

Vertrauensdienste: Vereinfachte Nutzung der elektronischen Signatur

Die eIDAS-Vorgaben bringen einige Erleichterungen mit, die der qualifizierten elektronischen Signatur endlich auch hier zum Durchbruch verhelfen sollen. Dem grenzüberschreitenden medienbruchfreien digitalen Dokumententransfer sowie dem papierlosen Büro dürfte damit nichts mehr im Wege stehen.

Wie schon im Signaturgesetz festgeschrieben, bieten auch Vertrauensdienste ein hohes technisches Sicherheitsniveau. Sie sorgen einerseits für Integrität, schützen also vor Manipulation, liefern gleichzeitig hohe Beweiskraft vor Gericht und können obendrein innerhalb der Europäischen Union statt der handschriftlichen Unterschrift eingesetzt werden.

Vertrauensdienstegesetz: das ist Neu

Elektronisches Siegel: Elektronische Siegel bieten jetzt die Möglichkeit, Dokumente im Namen einer juristischen Person, z.B. eines Unternehmens oder einer Behörde, zu signieren. Bislang war es nur natürlichen Personen möglich, derartige Zertifikate für eine qualifizierte, elektronische Signatur zu verwenden.

Fernsignatur: Die Nutzung einer qualifizierten elektronischen Signatur alternativ zu Signaturkarte und Lesegerät ist jetzt auch mit Hilfe von Smartphone oder Tablet möglich. Hierfür registrieren sich die Nutzer bei einem Vertrauensdienstanbieter und speichern dort ihren Signaturschlüssel. Um ein Dokument elektronisch zu signieren, werden die Schlüssel an den Anbieter übertragen und anschließend dort signiert. Zur Identitätsprüfung des Nutzers kommen übrigens hochsichere Verfahren wie die Zwei-Faktor-Authentifizierung zum Einsatz.

Anbieter von Vertrauensdiensten

Um Vertrauensdienste anbieten zu können, müssen sich die jeweiligen Anbieter zertifizieren. Bereits zertifiziert sind zum Beispiel die Bundesdruckerei sowie die Telekommunikationskonzerne GMX, 1&1 und die Deutsche Telekom. Weitere zertifizierte Anbieter finden Sie auch über die eIDAS-Map (https://www.eid.as/tsp-map/). Hier sehen Sie dann auch gleich, welche Dienste (Fernsignatur und/ oder elektronisches Siegel) die Anbieter unterstützen.

Wenn Sie fortgeschrittene oder qualifizierte elektronische Signaturen und elektronische Siegel nutzen möchten, müssen Sie sich bei einem Vertrauensdiensteanbieter identifizieren und registrieren. Die Identifizierung der Nutzer erfolgt persönlich durch physische Präsenz, zum Beispiel mithilfe des PostIdent-Verfahrens. Erst im Anschluss erhalten Sie ein digitales Zertifikat, Ihre elektronische Identität.

Unter der Lupe: E-Signaturen nach eIDAS

Auch das Vertrauensdienstegesetz hält, ähnlich wie das Signaturgesetz, an einer Unterscheidung zwischen verschiedenen Formen der elektronischen Signatur fest. Auch die neuen Klassifizierungen wurden auf Grundlage von Vertrauen und Sicherheit entwickelt. Aus deren Kombination ergibt sich dann das Sicherheitsniveau, welches die jeweiligen Signaturen bieten. Schauen wir uns diese nun genauer an:

Elektronische Signaturen mit Basisniveau

Laut eIDAS sind elektronische Signaturen mit Basisniveau „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“

Übersetzt heißt das Juristendeutsch dann soviel wie: Sie können Ihre Unterschrift scannen und unter ein Dokument setzen. Oder sie kreuzen ein Kästchen in einem Dokument digital an. Mit beiden Beispielen erfüllen Sie damit das Kriterium „Daten in elektronischer Form, die einer Datei beigefügt sind“.

Allerdings kann bei diesem Vorgehen niemand mit absoluter Sicherheit sagen, ob das Dokument oder die Datei nicht doch manipuliert wurden. Die Signatur sagt zudem nichts über die Identität der Person aus, die das Dokument unterzeichnet hat.

Fortgeschrittene elektronische Signaturen

Die fortgeschrittene elektronische Signatur ist die nächste Klassifizierungsstufe. Diese Signatur muss gemäß eIDAS schon einiges an Anforderungen mehr erfüllen. Diese sind:

  1. Eindeutige Zuordnung zum Unterzeichner
  2. Identifizierung des Unterzeichners
  3. Erstellung unter Verwendung elektronischer Signaturerstellungsdaten. Der Unterzeichner kann diese unter seiner alleinigen Kontrolle verwenden.
  4. Die Signaturerstellungsdaten sind so eng mit den unterzeichneten Daten verbunden, dass Manipulationen der Daten erkannt werden.

Die fortgeschrittene elektronische Signatur basiert auf der Public Key Infrastructure. Um die digitale Signatur einzufügen wird ein Zertifikat benötigt. Dieses wird erst nach gründlicher Verifizierung der Identität des künftigen Zertifikateinhabers durch eine Zertifizierungsstelle ausgestellt. Da digitale Zertifikate und die aus ihnen resultierenden Signaturen einzigartig sind und nur für eine bestimmte Person ausgestellt werden, ist eine Manipulation nicht möglich. Zudem ist der Zertifikateinhaber alleiniger Besitzer eines privaten Schlüssels, den er – vereinfacht ausgedrückt – zum Einfügen der Signatur verwendet. Somit ist sichergestellt, dass der Unterzeichner auch die Person ist, die er vorgibt zu sein. Dass seit der Signierung keine Veränderungen an einem Dokument vorgenommen wurden, wird durch einen automatisch ablaufenden Signaturverifizierungsprozess garantiert, der stattfindet, sobald der Empfänger ein Dokument des Unterzeichners öffnet.

Qualifizierte elektronische Signaturen

Jetzt wird es ein wenig kompliziert: Laut eIDAS ist eine qualifizierte elektronische Signatur „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.

Klären wir zunächst, was überhaupt die „qualifizierte Signaturerstellungseinheit“ ist. Auch dafür hält die eIDAS konkrete Anforderungen parat (https://www.eid.as/home#annex2):

  1. Die Einheit muss gewährleisten:
    a. Die Vertraulichkeit der elektronischen Signaturerstellungsdaten.
    b. Die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten können praktisch nur einmal vorkommen.
    c. Die zum Erstellen der Signatur verwendeten elektronischen Signaturerstellungsdaten können nicht abgeleitet werden und die Signatur ist bei Verwendung der jeweils verfügbaren Technik gegen Fälschung geschützt
    d. Die zum Erstellen der Signatur verwendeten elektronischen Signaturerstellungsdaten können vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden.
  2. Die Einheit darf die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden.
  3. Das Erzeugen oder Verwalten von Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.
  4. Unbeschadet von Absatz 1, Buchstabe (d), dürfen qualifizierte Vertrauensdiensteanbieter, die elektronischen Signaturerstellungsdaten im Namen des Unterzeichners verwalten, die elektronischen Signaturerstellungsdaten ausschließlich zu Sicherungszwecken kopieren, sofern folgende Anforderungen erfüllt sind:
    Die kopierten Datensätze müssen das gleiche Sicherheitsniveau wie die Original-Datensätze aufweisen.
    b. Es dürfen nicht mehr kopierte Datensätze vorhanden sein als zur Gewährleistung der Dienstleistungskontinuität unbedingt nötig.

Es ist alles recht viel und zum Teil auch recht vage ausgedrückt. Zwei Dinge können wir jedoch ganz klar entnehmen:

  1. Wer eine qualifizierte elektronische Signatur verwenden möchte, muss die Signaturerstellungsdaten auf einer zuverlässig gesicherten Hardware speichern. Unser Tipp: Achten Sie darauf, dass die Sicherheitsmerkmale einer solchen Hardware FIPS 140-2 Level 3 entsprechen.
  1. Die Daten auf der Signaturerstellungseinheit müssen auf einem ‚qualifizierten Zertifikat für elektronische Signaturen‘ basieren. Das bedeutet, dass für die qualifizierte Signatur ein Zertifikat zwingend erforderlich ist. Solch ein Zertifikat kann nur bei einer nach ISO 15408 akkreditierten Zertifizierungsstelle erworben werden.

Welches Sicherheitsniveau ist nun das Richtige?

Wer die Gültigkeit seines Dokuments vor Gericht beweisen möchte, benötigt mindestens ein fortgeschrittenes Niveau. So zumindest ist unsere Leseweise von Artikel 25, eIDAS: „Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.“

Grundsätzlich sollten Unternehmen, die ein sehr hohes Vertrauens- und Sicherheitsniveau benötigen, mindestens fortgeschrittene oder besser noch qualifizierte elektronische Signaturen verwenden. Dazu gehören vor allem Unternehmen der Finanzbranche, wie beispielsweise Banken, sowie Behörden der EU-Mitgliedstaaten.

Wenn Sie Dokumente mit elektronischer Signatur für Kunden- oder Rechtstransaktionen verwenden, denken Sie daran, dass die Daten und Informationen in Ihren Dokumenten nur so vertrauenswürdig sind wie die Verfahren, die Sie zu deren Sicherung einsetzen. Womit wir auch hier mindestens wieder bei der fortgeschrittenen elektronischen Signatur wären.



0 Kommentar(e)

Schreibe einen Kommentar