• Noch unterzeichnen nur die Pioniere digital - das ist zwar sicher und auch zeitgemäß, aber nicht gerade preiswert

Zeitung Heute : Noch unterzeichnen nur die Pioniere digital - das ist zwar sicher und auch zeitgemäß, aber nicht gerade preiswert

Stefan Krempl

Signaturen aus Bits und Bytes sollen die Unterschrift auf dem Papier ersetzen. Auch die Bundesregierung sieht riesige Anwendungs- und Einsparpotentiale und will per Gesetz Standards schaffen. Doch Kritiker warnen vor Sicherheitsproblemen, einem zu starken Eingriff in den Markt sowie vor einem Kulturbruch.

Wendelin Bieser, Beauftragter der Bundesregierung für Angelegenheiten der Kultur und Medien, ist sich sicher, dass die digitale und dem deutschen Gesetz entsprechende Signatur für alle hier zu Lande "schon bald" kommen wird. Sein neuer Trumpf: nach Telesec (www.telesec.de), einem Unternehmensarm der Deutschen Telekom, hat nun auch die Deutsche Post die Genehmigung für ein im Einklang mit dem deutschen Signaturgesetz (SigG) stehendes Trust-Center bei der Regulierungsbehörde für Telekommunikation und Post beantragt. Noch in diesem Monat soll sich jeder Interessierte bundesweit über alle Postfilialen seine Grundausstattung fürs gesetzeskonforme Signieren elektronischer Dokumente besorgen können.

Um den Anforderungen des SigG zu entsprechen, braucht der Anwender das Zertifikat - das Online-Pendant zum Personalausweis -, eine Chipkarte, auf der es gespeichert wird, einen Kartenleser für den Rechner sowie eine spezielle Software. Das eigentliche Signieren bedarf dann nur noch eines Mausklicks und der Eingabe eins PIN-Codes zur Aktivierung des Signiercodes. Die Kosten für die Ausrüstung werden bei der Post Com fürs erste Jahr 120 Mark betragen. In den Folgejahren wird die Gebühr für die Zertifizierungsdienste mit 50 Mark zu Buche schlagen. Das sei vergleichbar mit den Kosten einer Kreditkarte, freut sich Bieser, der nun hofft, dass die E-Shopper und Behördensurfer ohne die staatlich geprüfte Signatur nicht mehr ins Netz gehen wollen. Die Telesec bietet ihre etwas teureren Zertifizierungsdienste bereits ein knappes Jahr lang an. Nutzen wollten sie bisher allerdings nur wenige hundert "Pioniere".

Im neuen Jahr soll nun alles anders werden. Sieben potentielle Betreiber von Trust-Centern hätten sich Mitte 1999 auf einen Industriestandard für Signaturgesetz-konforme Angebote geeinigt, konnte Bieser unlängst bei einem Diskurs des Bundesamts für Sicherheit n der Informationstechnik zu Fragen der IT-Sicherheit berichten. Dazu gehörten außer der Telekom und der Post auch D-Trust aus Berlin, das Hamburger TC Trust-Center der Privatbanken, die Münchner Giesecke & Devrient sowie CCI TeleCash aus Meppen. Ein Beauftragter dieser losen "Siebener-Gruppe", die vermutlich vom Sparkassenverlag und der DATEV noch verstärkt würde, habe diesen Standard in Brüssel zur Aufnahme in die europäischen Normen bereits vorgeschlagen. Der Markt der Anbieter scheint sich also knapp zwei Jahre nach dem Inkrafttreten des SigG zu formieren.

Dass sich die "gesetzestreuen" Signaturen bisher als Marktflopp erwiesen, liegt unter anderem daran, dass sie keinen Mehrwert gegenüber kostenlosen Signaturen und Zertifikaten fürs Netz bieten: Rechtlich war die digitale Signatur bislang nicht mit der normalen Unterschrift gleichgestellt. Doch auch hier kündigte Bieser Nachbesserungen bei den rund 4000 betroffenen Gesetzesartikeln an. Schon seit August seien Rechnungen im Bereich der Sozialversicherungen mit der digitalen Signatur rechtsgültig. Das könne mindestens 10 Prozent der Verwaltungskosten bzw. eine Milliarde Mark pro Jahr einsparen, prognostiziert Bieser. Der zweite und noch größere Wurf soll mit der Änderung des Bürgerlichen Gesetzbuches (BGB) folgen, die laut Fahrplan Mitte des Jahres dem Bundestag zur Verabschiedung vorliegen wird. Etwa gleichzeitig steht das "Update" der Vergabeordnung an, so dass in Zukunft öffentliche Ausschreibungen gänzlich digital ablaufen könnten. Änderungen für die elektronische Rechnungsstellung sind schom am 1. Januar 2000 in Kraft getreten.

Auch für den Otto-Normal-Surfer sollen zahlreiche Anwendungen die Chipkarten mit den Zertifikaten attraktiv machen. Firmen-, Studenten- und Arztausweise, Patientenakten, Baupläne, Archivierungen - alles könnte mit Hilfe der dem SigG entsprechenden Signaturen digitalisiert werden, so der Bundesbeauftragte. In den Rathäusern selbst würde die virtuelle "Bürgerakte" erstellt, die mit der elektronischen Geburtsurkunde beginnt und der elektronischen Sterbeurkunde "zugeschlagen" wird. Ähnlich wie beim Online-Banking verwalte der Bürger sich zum Teil dann selbst. Mittelfristige Anschübe erhofft sich Bieser vor allem von den Banken und Sparkassen, da die Chipkarte für die Signatur mit normalen Zahlungsfunktionen einer GeldKarte verknüpft werden könnten. Die im Bankenbereich bereits flächendeckenden Infrastrukturen müssten dafür allerdings erst umgestellt werden.

Nicht alle glauben an den Erfolg des Szenarios der Bundesregierung. Für Andreas Pfitzmann, Informatikprofessor an der Technischen Universität Dresden ist das Signaturgesetz in seiner jetzigen Form ein rotes Tuch, da es die digitale Signatur "für niemand" attraktiv mache. Das Kernproblem sieht Pfitzmann darin, dass man über die Verordnung zwar hohe Sicherheitsevaluierungen für Signaturen festsetzen und den Verbraucher mit Chipkarten und Lesegeräten ausrüste könne. Die ganzen Bemühungen seien allerdings hinfällig, wenn man Signaturen in prinzipiell unsichere Computerumgebungen einführe. Standard bei den Nutzern sei aber Microsofts Windows und damit ein "absolut unsicheres Betriebssystem". Jedes Anwenderprogramm könne bei Windows Veränderungen ins Betriebssystem schreiben und damit die Sicherheit des Rechners vollkommen unterwandern.

"Was Verbraucher auf dem Schirm sehen, muss nicht das sein, was ihnen eigentlich zur Unterschrift vorgelegt wird", beschreibt Pfitzmann die potentiellen Folgen. Sogar Tastatureingaben könnten manipuliert, aus einem "Nein" ein "Ja" werden, oder umgekehrt. Es müsste also zumindest ein Display direkt in der Signierkomponente angebracht oder die Tastatur bzw. der Bildschirm direkt mit dem Chipkarten-Reader verbunden werden, um Manipulationen auszuschließen. Das erfordere aber Zusatzgeräte oder weitere Schnittstellen und Kabel, was teuer werden könnte.

Die langfristig sicherere und bessere Lösung sei es, für die auf größere Transparenz bauenden Open-Source-Betriebssysteme wie Linux Software-Applikationen mit eingebauten Signierfähigkeiten zu entwickeln. Dabei sei am leichtesten dafür Sorge zu tragen, dass die Anwendungen das Betriebssystem nicht manipulieren könnten. Nach demselben Verfahren sei es möglich, nicht nur mit dem PC, sondern auch mit Organizern, Personal Digital Assistents oder Handys ganz ohne Chipkarte zu signieren. Bei dieser Methode, freut sich Pfitzmann, müsse der geheime Schlüssel, mit dem die Signatur geleistet werde, das Gerät nie verlassen.

Tagesspiegel - Debatten


Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar