[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: CCC-Lobbyarbeit: Stellungnahme Signaturgesetz



On 16 May 97 at 17:23, Andy Mueller-Maguhn wrote:

> 1. Mit dem Signaturgesetz sollen Strukturen für rechtsverbindliche
> digitale Signaturen geschaffen werden. Wie beurteilen Sie die
> Notwendigkeit eines solchen Gesetzes?
>
> Die angestrebte Anerkennung digital signierter Dokumente ist auch
> jetzt schon möglich (auf freiwilliger Basis). Insofern ist das
> Gesetz nicht notwendig. Die angestrebte einheitliche Struktur macht
> im nationalen Alleingang bei zunehmender internationaler Vernetzung
> nicht wirklich Sinn. Die vom Signaturgesetz beschriebene Struktur
> ist offenbar als "Vorbildstruktur" gemeint, als solche aber aufgrund
> ihrer gravierenden Mängel nicht tauglich.

Wenn das SigG so bleibt, wie es jetzt konzipiert ist, wird die
Anerkennung einer mit einem danach zertifizierten Schluessel
ueberpruefbaren Signatur weiterhin freiwillig sein, also auf
vertraglicher Grundlage. Aber es erleichtert ohne Zweilfel die
Einfuehrung digitaler Signaturen, da denjenigen, die sich freiwillig
digitaler Signaturen bedienen wollen, eine halbwegs serioese
Infrastruktur zur Schluesselzertifizierung geboten wird. Da wird sich
manch einer gerne drauf einlassen. Wenn man sich dagegen auf den
alles-oder-nichts Standpunkt stellt, behindert man im Effekt die
weitere Entwicklung des Internet.

Wichtig ist nur, dass das SigG keine wirklich *gefaehrlichen*
Bestimmungen enthaelt. Im Klartext: Schluesselgenerierung und
Verwahrung des Privaten Schluessels muessen so weit wie moeglich von
den Zertifizierungsstellen entfernt angesiedelt werden, naemlich beim
Key-Inhaber.

> 2. Wie beurteilen Sie die vorgesehene Infrastruktur für die digitale
> Signatur?
>
> Die Zusammenführung der vier Funktionen Schlüsselgenerierung,
> Personen- identifizierung, Zertifizierung und Schlüssellagerung in
> einer Struktur bergen hohe Mißbrauchspotentiale aus
> sicherheitstechnischer Sicht und sind daher personell wie
> funktionell zu trennen.
>
> Zusätzlich liegt bei der vorhergesehenen Struktur die Gefahr der
> Monopol- / Kartellbildung aufgrund der Anforderungen (Kosten) an
> eine solche integrierte Gesamtstruktur.

Woher stammt eigentlich die Erkenntnis, dass die Schluesselgenerierung
zwangslaeufig bei den Zertifizierungsstellen geschehen soll? Ich kann
im SigG nichts finden, woraus dies hervorgeht. Nach dem, was Bieser im
letzten Jahr in Kiel gesagt hat, ist das auch nicht vorgesehen.

Und: In § 5 Abs. (1) des dazugehoerigen Entwurfes einer SigV heisst
es: "Werden Signaturschluessel durch den Signaturschluesel-Inhaber
erzeugt, so hat sich die Zertifizierungsstelle davon zu ueberzeugen,
dass er hierfuer geeignete technische Komponenten einsetzt." Keine
Rede davon, dass die Zertifizierungstelle die Signaturschluessel
generieren soll.

Weiter: Was heisst hier Schluessellagerung? In § 2 SigG heisst es:
"Eine Zertifizierungsstelle [...] ist eine [...] Person, die die
Zuordnung von *oeffentlichen* Signaturschluesseln zu natuerlichen
Personen bescheinigt [...]." In § 5 Abs. 5 SigG heisst es: "[...] Eine
Speicherung privater Signaturschluessel bei der Zertifizierungsstelle
ist unzulaessig."

> 3. Wie beurteilen Sie die vom IuKDG ungeregelte Frage, welche
> Rechtsfolgen sich aus der Verwendung einer solchen Signatur
> zukünftig ergeben sollen?
>
> Elektronische Dokumente bleiben auch mit digitaler Signatur und
> entsprechender Struktur "Dokumente des Augenscheins" mit freier
> Beweiswürdigung durch den Richter.

Stimmt. Aber trotzdem kann eine SigG-Infrastruktur die Verwendung des
Internet fuer Vertragsabschluesse auf freiwilliger Basis erhoehen.

> Mit dem Entstehen digitaler Währungen ist - schon wegen dem Bedarf
> an Anonymität bei Zahlungsmitteln - auch ohne digitale Signatur zu
> rechnen.

Hmmm. Gibt es denn ueberhaupt Konzepte fuer "digitale
Zahlungsmittel", die ohne jegliche digitale Signaturen auskommen?

> 3. Wie wird sich nach Ihrer Ansicht die Verbreitung digitaler
> Signaturen auf das materielle Recht auswirken? Wie könnte die
> besondere Sicherheit digital signierter Dokumente materiellrechtlich
> und prozessual berücksichtigt werden? Sind bereits jetzt
> entsprechende gesetzliche Maßnahmen - parallel zum Signaturgesetz -
> erforderlich?
>
> Das materielle Recht wird in vielen Bereichen sinnvoller zur
> Abwicklung von Rechtsgeschäften bleiben. Die Nichtberücksichtigung
> des Wunsches nach Anonymität im täglichen Rechtsgeschehen etwa
> spricht dafür.

Da scheint etwas nicht richtig verstanden worden zu sein. "Die
Rechtsnormen, die das Recht als solches ordnen, werden als
'materielles Recht' bezeichnet (z.B. das buergerliche Recht, das
Strafrecht), die Normen, die der Durchsetzung des materiellen Rechtes
dienen, als 'formelles Recht'; dazu gehoert insbesondere das
Verfahrensrecht (Zivilprozessrecht, Strafprozessrecht)." (Creifelds
Rechtsworterbuch, Muenchen, C.H. Beck.

Die gestellte Frage stellt darauf ab, dass der Entwurf fuer das SigG
an das Vorhandensein einer nach dem SigG zertifizierten Signatur
keinerlei Rechtsfolgen knuepft. Solche Rechtsfolgen wird es aber ueber
kurz oder lang geben muessen, einerseits im materiellen Recht
(insbesondere im BGB), andererseits in bestimmten Zweigen des
Verfahrensrechtes (ZPO, STPO, VwGO usw.).

Aber es gibt keine Wahlfreiheit, wonach es "sinnvoller" sein koennte,
bei Rechtsgeschaeften lieber auf das "materielle Recht" statt auf
etwas anderes zurueckzugreifen.

Die Beruecksichtigung des Wunsches nach Anonymitaet laesst sich im
uebrigen nicht durch das SigG allein regeln. Beispielsweise ist  in
zahlreichen Verfahrensordnungen (ZPO etc.) streng geregelt, dass das
Gericht die wahre Identitaet von Klaeger und Beklagtem kennen muss. Es
gibt Konstellationen, in denen es ausreicht, nachzuweisen, dass die
z.B. als Beteiligte agierende Person in Wirklichkeit nur ein Strohmann
ist, der fuer einen Dritten handelt. Wenn man das nachweisen kann
(z.B. im Patent-Einspruchsverfahren), ist das Verfahren schon zuende,
bevor es ueberhaupt richtig angefangen hat. Daran wuerde sich auch
durch ein wie auch immer geartetes SiG nichts aendern.

> 4. Das Signaturgesetz hat sich für eine Wahrnehmung der Aufgaben der
> Zertifizierungsstellen durch private Unternehmen entscheiden.
> Sprechen nach Ihrer Auffassung sachliche Gründe gegen eine
> Wahrnehmung durch private Unternehmen?
>
> Vor allem die Funktion der Identitätsbestätigung kann nicht von
> einer privaten, sondern nur von einer staatlichen Stelle bzw.
> notariell erfolgen. Private Stellen erscheinen aufgrund der
> Mißbrauchsgefahr hierzu nicht geeignet.

Man muss hier wohl differenzieren. In einer Zeit, wo viele Vertraege
ohne jede Identitaetskontrolle per Telefon geschlossen werden, ist es
schon ein Fortschritt, wenn eine private Stelle, die ja immerhin vom
Staat mit besonderen Aufgaben 'beliehen' ist, eine halbwegs serioese
Identitaetsbestaetigung vornimmt. Es ist klar, dass derartige
Zertifikate nur fuer Alltagsgeschaefte taugen. Fuer besonders wichtige
Rechtsgeschaefte und staatliche Aufgaben ist das Schluesselzertifikat
einer privaten Zertifizierungsstelle weder geeignet noch auch nur
ernsthaft bestimmt.

Und: Auch die Zertifizierungsstellen werden sich auf staatliche
Dokumente stuetzen muessen (Personalausweise, Geburtsurkunden usw.).

Man sollte hier nicht in den alten Fehler verfallen, alles Positive
nur vom Staat zu erwarten. Auch Beamte sind schlimmstenfalls
bestechlich. Wichtig ist, dass die Zertifizierungsstellen durch das
SigG auf ein rechtsstaatliches, willkuerfreies Procedere verpflichtet
werden ("due process"). Dies scheint mir durch das SigG - jedenfalls
im Grossen und Ganzen - gegeben zu sein.

> 5. Zertifizierungsstellen stehen in Rechtsbeziehungen zu den
> unmittelbar Beteiligten, aber auch zu Dritten, die auf die von ihnen
> zertifizierten Signaturen vertrauen. Ist für diese Fälle ein
> gesetzlicher Haftungstatbestand vorzusehen und wie könnte dieser
> gegebenenfalls ausgestaltet sein?
>
> Ein Haftungstatbestand ist nach Signaturüberprüfung der ausgebenden
> Stelle denkbar, stellt aber besondere Anforderungen an die
> Zuverlässigkeit und wird daher in der Praxis vermutlich eine
> Einzelfall-Option bleiben.

Das sehe ich aber anders. Wenn ich Verantwortlicher einer
Zertifizierungsstelle waere, haette ich sicher erst einmal ein paar
schlafloese Naechte, ob die Sicherheitsmassnahmen z.B. zum Schutz des
Geheimen Schluessels der Zertifizierungsstelle ausreichend sind.

Was passiert haftungsrechtlich, wenn hier eine Panne passiert und,
sagen wir, 10.000 oder 100.000 Kunden ueber Nacht ohne gueltiges
Schluesselzertifikat darstehen? Es wird wohl zum Schutze der
Oeffentlichkeit auf einen Gefaehrdungshaftungstatbestand hinauslaufen,
der durch entsprechende Versicherungen seitens der
Zertifizierungsstellen abzusichern waere.

> 6. Ist eine ausreichende Kontrolle der Tätigkeit der
> Zertifizierungsstellen durch zuständige Behörde (Regulierungsbehörde
> nach TKG) gewährleistet?
>
> Nicht beim jetzt beschriebenen Funktionsumfang. Wenn
> Schlüsselerzeugung und Authentifizierung abgetrennt werden ist die
> Kompetenz der Regulierungs- behörde überhaupt erst angemeßen.

S.o.

> 8. Sind die in § 14 Signaturgesetz genannten Erfordernisse für die
> technischen Komponenten hinreichend konkret? Stellen sie für
> Unternehmen eine unüberwindbare technische Hürde auf?
>
> Die in § 14 genannten Erfordernisse sind hinreichend konkret, der
> Schlüssel- erzeugungsprozess ist so allerdings konkret abzulehnen.
> Die in (1) beschriebene Schlüsselerzeugung darf nur beim Teilnehmer
> selbst erfordern. Die übrigen Regelungen unter | 14 entsprechen den
> Anforderungen.

In § 14 steht nicht, dass die Zertifizierungsstelle
Signaturschluessel erzeugt. Ich lese den Text so, dass derjenige, der
ein Zertifikat haben will, nachweisen muss, dass er mit *seinem*
technischen System den § 14 Abs. 1 SigG erfuellt. Dies koennte z.B. so
aussehen, dass Hersteller bestimmte Chipkarten mit einem darin
enthaltenem Kryptoprozessor auf den Markt bringen, bei denen der
Geheime Schluessel die Chipkarte *nie* verlaesst. Der Kunde kann dann
*zuhause* im stillen Kaemmerchen seinen Key mit der Chipkarte
generieren (z.B. mit Hilfe eines PCs mit Chipkarteninterface). Dann
bringt er die Chipkarte zur Zertifizierungsstelle und legt seinen
Personalausweis vor. § 14 (1) SigG bedeutet nun, dass die
Zertifizierungsstelle z.B. eine Liste von Chipkartentypen hat, die als
technisch zuverlaessig im Sinne des SigG gelten. Klar, dass es nicht
moeglich ist, auf diese Weise z.B. einen PGP-Public Key signieren zu
lassen, weil offene PCs kaum die Sicherheitsanforderungen des § 14 (1)
SigG erfuellen. Trostpflaster: Kuerzlich habe ich irgendwo eine
Pressemitteilung von PGP Inc. und Schlumberger gesehen. Beide Firmen
wollen gemeinsam eine Chipkarten-Version von PGP vermarkten. Wenn das
(auch ausserhalb der USA!) klappen sollte und dieses Chipkarten-PGP
kompatibel zum Freeware-PGP sein sollte, koennte man wohl auch
PGP-Keys zertifizieren.

> Art. 2: Teledienstedatenschutzgesetz
>
> 1. Rechtfertigen die Risiken der Datenverarbeitung im Netz einen
> neuen Ansatz im Datenschutzrecht?
>
> Die Risiken der Datenverarbeitung im Netz, insbesondere der
> Transport in Länder in denen Datenschutz nicht existiert, sowie die
> vollautomatische Erstellung von Personenprofilen zwecks
> zielgerichteter Manipulation von Kaufentscheidungen
> ("Micro-Marketing") rechtfertigen auf jeden Fall neue Ansätze im
> Datenschutzrecht.
>
> Dabei scheint vor allem unter dem Gesichtspunkt der
> Technologie-Akzeptanz eine offensive Herangehensweise sinnvoll, wie
> etwa mit dem ursprünglich vorgesehenen Datenschutz-Audit.

Nicht zuviel vom Nationalstaat erwarten. Ist im Zeitalter der
Globalisierung vergeblich. Richtiger ist: Staerkung des
*Selbst*schutzes des Netusers durch starke Kryptographie und
rechtlich sanktionierte Pseudonyme. Alles andere ist Politromantik.

Axel H. Horns