Zertifizierte Schlüssel garantieren für Dateien
Von Christine Lendt
Verträge und Vereinbarungen werden zunehmend online abgewickelt, auch eine Bestellung ist per Mausklick im Online-Vertrieb und bei Webshops genauso verbindlich wie per Brief oder Fax. Problematisch wird die Sache jedoch, wenn der Absender später nichts mehr davon wissen will oder einen falschen Namen angibt und Sie den Vorgang juristisch sauber belegen müssen. Kann der Verkäufer nicht beweisen, dass der vermeintliche auch der tatsächliche Besteller ist, geht er leer aus. Die Elektronische Signatur soll diese Lücke schließen.
Rückwirkend zum 1. Juli 2011 eröffnet das Steuervereinfachungsgesetz erweiterte Möglichkeiten, E-Mail- und PDF-Rechnungen etc. für den Vorsteuerabzug zu verwenden. Eine qualifizierte elektronische Signatur ist seitdem nicht mehr zwingend notwendig.
Die digitale Signatur kann überall dort zum Zuge kommen, wo Daten online übertragen werden – und man begegnet ihr immer öfter. Experten sind überzeugt, dass die Technik kurz vor dem endgültigen Durchbruch in die Praxis steht, sowohl im E-Commerce als auch vor Gericht und bei der Steuererklärung im E-Government. Die Rahmenbedingungen definieren das deutsche Signaturgesetz (SigG) und die entsprechende Signaturverordnung (SigV).
Standards auf drei Stufen
Auch wenn der Begriff „Digitale Signatur“ oft synonym verwendet wird: Die rechtlich korrekte Bezeichnung für die E-Unterschrift lautet „Elektronische Signatur“. Das Signaturgesetz unterscheidet auch noch zwischen verschiedenen Arten (§2 SigG):
- Einfache elektronische Signaturen dienen nur dazu, den Urheber einer Nachricht zu kennzeichnen. Für sie sind keine Richtlinien definiert. Es kann sich auch um eine gescannte Unterschrift handeln, die abgespeichert wird. Dieser Signaturtyp hat nur geringen Beweiswert.
- Für fortgeschrittene elektronische Signaturen gelten schon höhere Anforderungen: Sie müssen sich eindeutig einer Person zuordnen lassen und eine Manipulation der Daten erkennbar machen. Dazu ist ein Zertifikat nötig. Die Sicherheit dieses Signaturtyps hängt jedoch von den eingesetzten Verfahren und der Sorgfalt der Anwender ab. Im Streitfall muss der Anwender beweisen, dass die Signatur sicher erzeugt wurde.
- Bei der qualifizierten elektronischen Signatur dagegen wird die E-Sig ihrem Urheber durch ein qualifiziertes Zertifikat zugeordnet. Und das muss von einem anerkannten Zertifizierungsdiensteanbieter („Trust Center“) ausgestellt werden. Qualifizierte elektronische Signaturen stellen die höchste Sicherheitsstufe dar; sie sind der handschriftlichen Unterschrift gleichgestellt und können im Rechtsverkehr eingesetzt werden.
Teil 1 sagt, welche Signaturform steuersicher ist, Teil 2 erklärt, wie Empfänger von E-Rechnungen die Signaturen prüfen, und Teil 3 gibt schließlich Tipps für die Abwicklung in der Praxis. Darüber hinaus berichten zwei separate Hintergrundartikel darüber, wie die technische Seite der elektronischen Signatur aussieht, und nennen erprobte Anwendungsbeispiele für die E-Signatur in der Praxis.
Schlüssel und Prüfsummen
Grundlage der fortgeschrittenen und der qualifizierten E-Sig ist das Public-Key-Verfahren. Das ist ein System der Kryptografie, also der mathematischen Anwendung zum Ver- und Entschlüsseln von Daten. Dabei werden Schlüsselpaare erstellt, die aus jeweils einem privaten Schlüssel (Private Key) und einem öffentlichen Schlüssel (Public Key) bestehen, der genau dazu passt. Jedes dieser Paare identifiziert eindeutig seinen Eigentümer.
Für den Benutzer ist die Sache ganz einfach. Ist ein Dokument fertig gestellt, genügt ein Klick auf „Signieren“. Alles weitere erledigt der Rechner: Die Signatursoftware erstellt einen Prüfwert des Dokumentes – einen so genannten Hashwert, der aufgrund seiner Eindeutigkeit auch Fingerprint („Fingerabdruck“) genannt wird. Dafür wird der private Schlüssel verwendet, meist per Chipkarte.
Dokument, Signatur und Zertifkat
Das Ergebnis dieser Aktion ist die elektronische Signatur. Sie wird dann an den Empfänger geschickt – zusammen mit dem Originaldokument und dem Zertifikat. Letzteres enthält immer persönliche Daten des Absenders und seinen öffentlichen Schlüssel; qualifizierte Zertifikate erfüllen noch weitere Voraussetzungen.
Der Empfänger erhält also drei Komponenten: Dokument + Signatur (gesicherten Hashwert) + Zertifikat. Er „entnimmt“ dann den öffentlichen Schlüssel und berechnet den Hashwert noch einmal. Stimmt das Ergebnis mit der geschickten Signatur überein, ist das ein Zeichen für Authentizität (den richtigen Absender) und Integrität (unverfälschten Inhalt): Der gesendete und der empfangene Text sind identisch, es gab keine Manipulationen oder Übertragungsfehler. Und nur der Absender, der ja im Besitz des geheimen Schlüssels ist, kann die Signatur erzeugt haben. Denn sonst würde der öffentliche Schlüssel nicht dazu passen.
Das Trust Center muss bestätigen, dass das Schlüsselpaar einmalig ist und genau zugeordnet wurde. Die Vergabe von qualifizierten Zertifikaten ist in §5 SigG geregelt. In das Zertifikat gehören Angaben zum Inhaber des Signaturschlüssels, der zugeordnete öffentliche Schlüssel, die verwendeten Algorithmen, der Gültigkeitszeitraum und der Name der Zertifizierungsstelle.
Der Betrieb eines Trust Center ist genehmigungsfrei; es müssen jedoch bestimmte gesetzliche Voraussetzungen erfüllt werden. So muss der Zertifizierungsdiensteanbieter (ZDA) seine Tätigkeit melden und eine besonders geschützte Umgebung schaffen, damit keine Daten abgefangen werden können. Zuständig ist die Bundesnetzagentur.
Fazit: Rechtssicherheit ist kein Fälschungsschutz
Gewiss ist die Eletronische Signatur ein wichtiges Instrument, das das Vertrauen in Online-Transaktionen stärken und so den Bereich E-Commerce fördern soll. Die Infrastruktur steht, und das Signaturgesetz schafft die Rahmenbedingungen. Der Bundesfinanzhof hat z.B. klargestellt, dass Finanzgerichte elektronisch eingereichte Klagen akzeptieren müssen, auch wenn das Signaturzertifikat mit einer fixen finanziellen Obergrenze „gedeckelt“ ist (Bundesfinanzhof, AZ XI R 22/06). In jedem Fall wird heute Absenderkennungen, die keine E-Sig sind, verstärkt Misstrauen entgegengebracht.
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.
Bedenken Sie außerdem stets, dass das, was vor Gericht gilt, und das, was derzeit fälschungssicher ist, zwei Paar Stiefel sind. Eine digitale Signatur ist immer nur so gut wie die kryptografischen Methoden der Verschlüsselung gerade sind – und das kann sich von heute auf morgen ändern, weil leistungssärkere Hardware und neue mathematische Erkenntnisse im ewigen Kampf zwischen Knackern und Kodierern die Waagschalen immer wieder neu heben und senken. (Aus diesem Grund tragen die E-Zertifikate momentan ein „Verfallsdatum“.) Außerdem ist es letztlich doch Software, die prüft, ob die Signatur passt – und Software ist prinzipiell anfällig für Fehler und böswillige Attacken. Falls Sie einmal Zweifel an der Sicherheit einer qualifizierten elektronischen Signatur haben, kann immerhin eine Überprüfung bei der Bundesnetzagentur Klarheit verschaffen.