FITUG e.V.

Förderverein Informationstechnik und Gesellschaft

Begründung zur Unterschriftsverordnung

Vorentwurf, Stand: 12. August 1995

I. Allgemein

Damit eine elektronische Unterschrift anerkannt werden kann, muß

diese und ein damit gekennzeichnetes Dokument gegen Fälschung und Verfälschung sicher sein.
diese die Funktionen einer eigenhändigen Unterschrift, nämlich
- Echtheitsfunktion,
- Abschlußfunktion,
- Warnfunktion und
- Identitätsfunktion
im wesentlichen übernehmen.

Dazu ist im Hinblick auf die Verordnung folgendes festzustellen:

1. Sicherheit gegen Fälschung und Verfälschung

1.1 Technische Mittel und Verfahren

Für die Herstellung einer elektronischen Unterschrift stehen heute hochwertige technische Mittel und Verfahren zur Verfügung, die eine Unterschiftenfälschung praktisch ausschließen (wenn der zur Unterschriftsausführung benötigte Unterschriftsschlüssel und die zu seiner Nutzung benötigte PIN nicht zusammen Unbefugten zugänglich sind).

In der Einleitung zu einem Gesetzentwurf des US-Staates Utah wird dazu ausgeführt: "Dank der sich damit ergebenden zuverlässigen Möglichkeit der Unterzeichnung unter Verwendung starker Authentifizierungstechniken liegt das Risiko einer ungültigen digitalen Signatur weit unter dem vergleichbaren Risiko einer Unterschrift auf einem Papierdokument." Zum gleichen Ergebniss kommt auch eine "Vergleichende Bewertung der Sicherheit von manueller Unterschrift und digitaler Signatur" des Bundeskriminalamtes.

Die Verordnung gibt hier ein sehr hohes Maß an Sicherheit vor. Um einem möglichen Mißbrauch der zur Ausführung der elektronischen Unterschrift benötigten Mittel zusätzlich vorzubeugen, soll optional eine Technik bereitgestellt werden, die es dem Teilnehmer ermöglicht, zur Identifizierung gegenüber dem System zusätzlich biometrische Merkmale einzusetzen. Die Entscheidung, ob er diese zu seiner eigenen Sicherheit nutzen will, soll ihm überlassen bleiben, zumal sie stark von der jeweiligen Einsatzumgebung abhängen wird.

1.2 Signaturbehörde

Für die

Beurteilung der Sicherheit der technischen Mittel und Verfahren (auf der Basis der Prüfergebnisse zugelassener sachkundiger Prüfstellen wie z.B. TÜV's),
Zulassung von Zertifizierungsinstanzen und
die Zertifizierung der öffentlichen Schlüssel der Zertifizierungsinstanzen

wird als Signaturbehörde das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestimmt. Es ist im Hinblick auf seine Aufgaben nach dem BSI-Errichtungsgesetz (z.B. Produktbewertung, Bereitstellung der Schlüssel für im staatlichen Bereich eingesetze Verschlüsselungverfahren und Beratung von IT-Herstellern und IT-Anwendern) und die dabei gewonnenen Erfahrungen in besonderer Weise für die Aufgabe geeignet.

Der Signaturbehörde obliegt auch die Beurteilung von Verfahren mit der Zulassung eines anderen Staates, um zu einer gegenseitigen Anerkennung zu gelangen.

1.3 Notarielle Beurkundung

Die (wichtige) Identifizierung eines Teilnehmers und dessen Unterrichtung über seine Rechte und Pflichten als Teilnehmer am elektronischen Rechtsverkehr erfolgt durch einen Notar, der den Antrag auf Ausstellung eines Zertifikates beurkundet. Durch paralelle schriftliche und elektronische Übermittlung sollen Fälschungen praktisch ausgeschlossen werden. Dieser Vorgang ist für jeden Teilnehmer nur einmal erforderlich, da er weitere Zertifikate auf elektronischem Wege mit seiner elektronischen Unterschrift beantragen kann.

Die Aushändigung des Unterschriftsschlüssels an den Teilnehmer kann wahlweise durch eine notarielle Urkunde oder eine förmliche Zustellung nach der Zivilprozeßordung an den Teilnehmer selbst bestätigt werden.

Als Träger eines öffentlichen Amts, der hoheitliche Funktionen im Interesse der rechtsuchenden Bevölkerung zu erfüllen hat, und der seine Aufgaben korrekt mit einem Maximum an Sicherheit wahrnehmen muß, ist der Notar für die Aufgabe prädestiniert. Seine Tätigkeit ist an anderer Stelle umfassend geregelt, so daß in der Verordnung nicht weiter darauf eingegangen werden muß.

1.4 Zertifizierungsinstanzen

Die Zulassung als Zertifizierungsinstanz ist an die Einhaltung der strengen technischen und administrativen Sicherheitsvorgaben der Verordnung sowie an die Vertrauenswürdigkeit der die Zulassung beantragenden Stelle gebunden.

Die Einhaltung der Verordnung wir Jährlich überprüft. Bei festgestellten Mängeln kann die Zertifizierung bis zu deren Beseitigung vorübergehend untersagt oder bei besonders schwerwiegenden Mängeln/Wiederholungen die Zulassung widerrufen werden.

Im übrigen erfolgt die Zertifizierung im freien Wettbewerb zwischen einer beliebigen Anzahl von Zertifizierungsinstanzen unter der Aufsicht der Signaturbehörde.

1.5 Dokumentenaufbereitung

Bei der Aufbereitung elektronischer Dokumente zur elektronischen Unterschrift muß darauf geachtet werden, daß nicht ein fehlerhaftes oder falsches Dokument elektronisch unterschrieben wird. Dies ist die Aufgabe des jeweiligen Teilnehmers am elektronischen Rechtsverkehr. Er erhält dabei Hilfestellung, indem der Notar ihn eingehend über mögliche Sicherheitsvorkehrungen berät.

Die erforderliche sichere IT (z.B. geeigneter PC mit BSI-Sicherheitszertifikat nach "E4-hoch" ) kann bereitgestellt werden. Es liegt an den Teilnehmern, inwieweit sie diese einsetzen.

2. Übernahme der Funktionen einer eigenhändigen Unterschrift

2.1 Echtheitsfunktion

Die Echtheitsfunktion (d.h. der Nachweis, daß eine Erklärung von dem Unterschriftsinhaber stammt) ist gegeben, da nur der Inhaber des Unterschrifsschlüssels die elektronische Unterschrift erzeugen kann.

Dabei erstreckt sich die Echtheitsfunktion nicht nur auf die Unterschrift, wie dies bei einer eigenhändigen Unterschrift der Fall ist, sondern auch auf den mitgelieferten Text, da jede Veränderung dieses Textes im Entschlüsselungsverfahren festgestellt wird. Nicht aufgedeckt wird, welche Veränderungen vorgenommen worden sind. Insoweit wird durch die elektronische Signatur nicht die Möglichkeit einer Verfälschung ausgeschlossen, sondern lediglich die Tatsache einer Veränderung offenbar gemacht.

Damit der Verschlüsselungsmechanismus nicht durch jede Person, die den Chip mit dem Unterschriftsschlüssel in die Hand bekommt, in Gang gesetzt werden kann, ist eine Zugangskontrolle zum System erforderlich. Sie erfolgt i.d.R. über eine Personenidentitätsnummer (PIN). Sie wird der Person auf eine Weise mitgeteilt, daß nur sie Kenntnis von ihr erhält und/oder sie kann sie selbst auswählen.

Da die Eingabe einer PIN bei der Zugangskontrolle aber nicht wie ein Namenszug einer eigenhändigen Unterschrift genuin-individuell mit der handelnden Person verbunden ist, ist bei Bedarf zusätzlich ein biometrisches Merkmal zur Identifizierung der Person gegenüber dem System einzusetzen. Zu diesem Zwecke kann z.B. ein Komprimat eines Fingerabdruckes auf dem Chip gespeichert werden.

Die Weitergabe eines Chips mit PIN an einen Dritten kommt einer Generalvollmacht oder Blankounterschrift gleich.

2.2 Abschlußfunktion

Die Abschlußfunktion ist erfüllt, da der Aussteller bestimmt, was von ihm elektronisch unterschrieben werden soll. Im Gegensatz zu einem mit eigenhändiger Unterschrift gezeichneten Dokument ist z.B. ein unbemerkter Austausch von einzelnen Seiten nicht möglich.

2.3 Warnfunktion

Die Warnfunktion ist dadurch gegeben, daß das Verschlüsselungsverfahren von dem Unterzeichnenden willentlich in Gang gesetzt werden muß. Darüber hinaus wird

der Inhaber mit der Aushändigung des Unterschriftsschlüssels über Bedeutung, Folgen und sicherheitsrelevante technisch-administrative Aspekte beim Ausführen der elektronischen Unterschrift unterrichtet und
bei Einsatz entsprechender Technik der Vorgang der elektronischen Unterschrift ausdrücklich angezeigt.

2.4 Identitätsfunktion

Sie ist durch die notarielle Beurkundung des Antrages auf ein Zertifikat in Verbindung mit der nachweislichen Aushändigung des Unterschriftsschlüssels an die bestimmte Person gegeben.

Auch hier bietet das elektronische Dokument mit elektronischer Unterschrift weitaus mehr Sicherheit als das herkömmliche Schriftdokument mit eiganhändiger Unterschrift.

3. Sonstige Aspekte

Sonstigen Aspekten (z.B. Irrtum bei der Abgabe von Willenserklärungen auf elektronischem Wege oder Haftung bei Schäden durch Fehler der Beteiligten Stellen) ist durch das bestehende (ggf. an die elektronische Unterschrift angepaßte, s. Vorschläge der Bundesnotarkammer) Recht ausreichend Rechnung getragen.

Im Hinblick auf die hohe Bedeutung der Teilnahme am elektronischen Rechtsverkehr ist für Zertifizierungsinstanzen jedoch ein Kontrahierungszwang vorgesehen.

II. Zu den einzelnen Bestimmungen

Fehlt (Anm. des Abtippers)

Par. 126a BGB Vorschlag der Bundesnotarkammer

Ist durch Gesetz die elektronische Form vorgeschrieben, so muß der Aussteller der Erklärung dem Text seinen Namen hinzusetzen und beides elektronisch unterzeichnen (elektronische Unterschrift). Die elektronische Unterschrift muß in einem als sicher anerkannten Verfahren erklärungsabhängig und unterzeichnerabhängig hergestellt werden. Erklärung und Unterschrift müssen dauerhaft und lesbar wiedergegeben werden können. Die elektronische Unterschrift muß auf eine notarielle Urkunde verweisen, in der der Aussteller die Identität der Person bestätigt hat, der der verwendete Unterschriftsschlüssel zugeordnet ist, und die Stelle nennen, bei der der Unterschriftsschlüssel überprüft werden kann.
Das Bundesministerium des Innern wird ermächtigt, nach Anhörung der zuständigen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium der Justiz und dem Bundesministerium für Wirtschaft die Anerkennung von Verfahren nach Absatz 1 durch Rechtsverordnung zu bestimmen, insbesondere
1. die Sicherheitsanforderungen an die technischen Komponenten und Verfahren.
2. die Zulassung von Stellen, die für die Ausgabe, Verwaltung und Überprüfung von Unterschriftsschlüssel zuständig sind, sowie deren Aufgaben und Pflichten.
3. die Bestimmungen einer Bundesoberbehörde, die die Erfüllung der Sicherheitsanforderungen nach Nummer 1 feststellt und die in Nummer 2 genannten Stellen zuläßt.

Weitergeleitet von: Michael Brunnbauer