Signaturverfahren

Das neue Signaturgesetz (SigG) definiert in § 2 drei verschiedene Signaturverfahren: die elektronische, die fortgeschrittene elektronische und die qualifizierte elektronische Signatur.

Die „einfache“ elektronische Signatur besteht in der Beifügung von Daten, die zur Authentifizierung des Absenders dienen. Dies kann z. B. durch eine eingescannte Unterschrift des Absenders geschehen.

Die fortgeschrittene elektronische Signatur beruht auf der sogenannten asymmetrischen Verschlüsselungstechnik: Dabei werden ein geheimer, privater Schlüssel (private key) und ein öffentlich zugänglicher Schlüssel (public key) verwendet.

Der Absender der Nachricht signiert diese mit seinem privaten Schlüssel und der Empfänger kann die Signatur mit Hilfe des öffentlichen Schlüssels entschlüsseln. Nach der Signierung des Textes ist dessen Veränderung nicht mehr möglich. Jedem privaten Schlüssel ist genau ein öffentlicher Schlüssel ausschließlich zugeordnet.

Der Empfänger der signierten Nachricht berechnet mit Hilfe einer Spezialsoftware eine Prüfsumme des als Text empfangenen Dokuments. Mit dem frei zugänglichen öffentlichen Schlüssel entziffert er daraufhin die Signatur des Absenders, die ebenfalls in einer bestimmten Prüfsumme besteht. Sind die beiden Summen identisch, so ist sicher, dass der Text mit dem Schlüssel des Absenders signiert und seitdem nicht verändert wurde.

Daneben besteht die Möglichkeit, den Text vor dem Absenden so zu verschlüsseln, dass er nur von einem bestimmten Empfänger gelesen werden kann. Auch für diese zusätzliche Verschlüsselung des Textes wird die asymmetrische Verschlüsselungstechnik verwendet, wobei der öffentliche Schlüssel dann nicht frei zugänglich ist, sondern ausschließlich dem Empfänger der Nachricht verfügbar gemacht wird.

Das Verfahren der fortgeschrittenen elektronischen Signatur bietet hinreichende Sicherheit, solange der private Schlüssel dem unbefugten Zugriff entzogen ist.

Das Verfahren der qualifizierten elektronischen Signatur entspricht im Wesentlichen dem der fortgeschrittenen elektronischen Signatur. Der entscheidende Unterschied besteht darin, dass nur Schlüsselpaare verwendet werden, die von einem Zertifizierungsanbieter im Sinne von § 5 SigG herausgegeben wurden. Zudem befinden sich bei der fortgeschrittenen elektronischen Signatur beide Teile eines Schlüsselpaares auf der Festplatte des Benutzers und könnten daher durch Zugriff von sogenannten Hackern ausgespäht werden, während sich der private Schlüssel einer qualifizierten elektronischen Signatur gewöhnlich auf einer externen Hardware (z.B. Chipkarte) befindet, wodurch ein Zugriff über das Internet erschwert ist.

Ein Großteil der Zuverlässigkeit dieser qualifizierten digitalen Signatur hängt somit von der Verlässlichkeit der Zertifizierungsanbieter ab.

Die Zertifizierungsanbieter können ihre Dienste seit der Geltung der neuen Fassung des Signaturgesetzes genehmigungsfrei betreiben. Sofern sie einen Sitz in Deutschland haben, müssen sie die Tätigkeit allerdings gegenüber der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen anzeigen. Diese ist auch für die Durchführung des Signaturgesetzes verantwortlich und übt die Missbrauchsaufsicht aus.

Ein Zertifizierungsanbieter kann sich in Deutschland außerdem freiwillig akkreditieren lassen. Den akkreditierten Zertifizierungsanbietern wird von der zuständigen Behörde ein Gütezeichen erteilt, das den Nachweis einer umfassend geprüften technischen und administrativen Sicherheit von deren qualifizierten elektronischen Signaturen erbringt.

Auf diese Akkreditierung dürfen die akkreditierten Zertifizierungsanbieter im Rechts- und Geschäftsverkehr hinweisen.

Einen Überblick über die bisher zur Verfügung stehenden akkreditierten Zertifizierungsdienste erhalten Sie auf der Seite der Bundesnetzagentur.