PROJECT CONSULT ECM DRT DMS KM ILM
Logo PROJECT CONSULT - Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH  
 Contentmanager - Magazin
 Tipps für die DMS-Einführung
 Bereits bei der Auswahl der Dokumenten M
 Contentmanager - Magazin
 Relevante AdWords-Anzeigen mit Platzhalt
 Mit Platzhaltern können Werbetreibende i
 XING - Information & Documen
 [DE] Jobangebot: IT-Spezialist / IT-Proj
 Sehr geehrte Damen und Herren, mein Name
 XING - Information & Documen
 [DE] Jobangebot: IT-Spezialist / IT-Proj
 Sehr geehrte Damen und Herren, mein Name
Home  Englisch  Newsletter  Intern Hilfe  Kontakt  Impressum  Rechtshinweis 
  Detailsuche
PROJECT CONSULT Dr. Ulrich Kampffmeyer
Unternehmen
  Vision
  Grundsätze
  Leistungen
  Methoden
  Qualität
  Mitgliedschaft
  Slide-Show
  Mitarbeiter
  Auszeichnungen
  Unternehmensinfo
  Adresse
  AGB
Beratungsangebot
  Fachberatung
  Coaching
  Projekt-Management
  Workshops
  Anfrage
Seminarangebot
  Seminare
  Vorträge
  Seminartermine
  Handouts
  Anmeldung
Projekte
  Branchen
  Lösungen
Karriere
  Perspektive
  Stellenangebot
  Stellenmarkt
  Markt-Regeln
Presse
  Pressemitteilung
  Interview
  Artikelangebot
  Autorenrechte
  Akkreditierung
Website
  Sitemap
  Site-Info
  Aktualisierte Seiten
Impressum
Online-Publikationen
BIT Computer Zeitung
contentmanager.de ComputerWoche
documanager.de Document Management Magazine
DOKmagazin ECM Guide
E-Doc eGovernment Computing
Elektronische Steuerprüfung Information Week
IT-Business IT-Daily
IT Fokus KM World
Kommune21 MiD
MOS nfd
searchstorage.de silicon.de
Speicherguide Wissensmanagement
Google Werbung
Diese Seite wird nicht mehr gepflegt. Bitte besuchen Sie www.PROJECT-CONSULT.de
This website is no longer updated. Please visit www.PROJECT-CONSULT.de
Wann kommt die elektronische Signatur ins laufen ?
PROJECT CONSULT Newsletter 20040121
Zur Bedeutung der elektronischen Signatur wurde schon viel geschrieben. Eine durchgängige Nutzung in Deutschland ist jedoch noch nicht zu beobachten. Die Stellungnahme des TeleTrusT auf eine Umfrage der Europäischen Kommission zeigt deutlich, dass Deutschland bei der Umsetzung ins Hintertreffen geraten ist. Dabei war Deutschland eines der ersten Länder Europas, das ein eigenes Signaturgesetz verabschiedet hatte. Vielleicht liegt es aber gerade hieran oder an der deutschen Gründlichkeit, dass die elektronische Signatur immer noch ein Schattendasein fristet.
Die elektronische Signatur stellt eine der wichtigsten IT-Entwicklungen der letzten Jahre dar. Eine elektronische Signatur sind im Prinzip Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. Sie erlaubt es, den Absender, die Authentizität und die Unverändertheit einer elektronischen Nachricht oder eines digitalen Dokumentes sicher nachzuweisen. Sie ist die entscheidende Voraussetzung für die Abwicklung von Geschäften zwischen unbekannten Dritten über elektronische Kommunikationsmedien. Die elektronische Signatur verschafft Sicherheit. Ohne elektronische Signatur bleiben viele der Visionen des ECommerce und des EBusiness unerreichbar. Durch die notwendigen Anpassung der Gesetzgebung ermöglicht die elektronische Signatur in zahlreichen Anwendungsgebieten die rechtliche Gleichstellung von digitalen Dokumenten mit herkömmlichen, manuell unterzeichneten Dokumenten. Dies ist ein entscheidender Durchbruch. Neben dem ursächlich beabsichtigten Anwendungsfeldern für die elektronische Signatur haben sich inzwischen zahlreiche weitere Einsatzgebiete herauskristallisiert. Überall wo es um den Nachweis von Authentizität und Verfälschungssicherheit von Informationen geht, findet die elektronische Signatur sinnvolle Einsatzmöglichkeiten. Sie ist wesentlicher Bestandteil der meisten EGovernment-Verfahren. Die elektronische Signatur überwindet Grenzen. Sie ist Bestandteil einer europäischen Initiative zur Ermöglichung und Erleichterung des elektronischen Geschäftsverkehrs. Bleibt die Frage, warum gibt es denn nur ca. 30.000, 40.000 Signaturkarten in privater Hand?
Die europäische Signaturrichtlinie
Vor vier Jahren hat die Europäische Kommission eine Richtlinie erlassen, die in allen Staaten Europas in nationales Recht umzusetzen ist. Was auf europäischer Ebene Richtlinie genannt wird, ist im Prinzip eine Gesetzesvorlage. Die Signaturrichtlinie stellt dabei eine Mindestanforderung dar, was national in eigene Gesetze zu gießen ist. Deutschland war auf diese Richtlinie gut vorbereitet. Bereits zwei Jahre zuvor war die erste Version des deutschen Signaturgesetzes erschienen. Auf Basis des Signaturgesetzes waren bereits erhebliche Investitionen in sichere Trustcenter getätigt, die die elektronischen Signaturen herausgeben und verwalten. In Deutschland hatte man sich sehr früh für die höchste erreichbare Sicherheitsstufe elektronischer Signaturen entschieden: qualifizierte Signaturen mit Anbieterakkreditierung, die auf Chipkarten basierend personengebundene Signaturen ermöglichen. Die europäische Signaturrichtlinie RLES 1999/93/EG sieht dagegen drei verschiedene Qualitäten der elektronischen Signatur vor:
• Einfache elektronische Signaturen (EES)
• Fortgeschrittene elektronische Signaturen (FES)
• Qualifizierte elektronische Signaturen (QES)
Die in Deutschland verbreitete qualifizierte Signatur mit Anbieterakkreditierung geht noch über die QES nach der europäischen Richtlinie hinaus. Die Anbieter müssen sich einem Überprüfungsverfahren zur Erlangung der Akkreditierung durch die Regulierungsbehörde RegTP unterziehen. Dafür ist dann aber auch von Amtswegen sichergestellt, dass Verfahren und Qualität der Signatur höchsten Maßstäben entsprechen. Auch das neue deutsche Signaturgesetz orientierte sich bei der Begrifflichkeit und Umsetzung der europäischen Richtlinie an der ersten Version des Signaturgesetzes. Einige Feinheiten der europäischen Richtlinie wurden dabei anders interpretiert. Während in Deutschland nur die personengebundene qualifizierte elektronische Signatur die höchste Rechtssicherheit bietet, sieht die europäische Richtlinie auch andere Signaturqualitäten für den formfreien Abschluss von Geschäften, Verträgen und anderen Dokumenten vor. In ähnlicher Form wird dies auch im Bürgerlichen Gesetzbuch, §§ 126,127 BGB, unterschieden. Neben der persönlichen Willenserklärung sind in der RLES auch Signaturen für Personen vorgesehen, die im Namen der von ihr vertretenen Stelle oder juristischen oder natürlichen Person handeln.
Aktuelle Themen der Umsetzung
Abgesehen von der geringen Marktdurchdringung der elektronischen Signatur, die auf zu wenige sinnvolle Anwendungen, bei der man die elektronische Signatur einsetzen kann, zurückzuführen ist, gibt es zahlreiche Ansatzpunkte und auch divergent diskutierte Themen zur elektronischen Signatur in Deutschland.
• Wird die Anbieterakkreditierung aufgehoben?
Die Deutschland werden praktisch qualifizierte elektronische Signaturen nur von Anbietern mit Akkreditierung angeboten. Dies ist durch die oben beschriebene „historische“ Entwicklung bedingt. Die Akkreditierung bringt eine hohe Sicherheit mit sich. Das Verfahren, eine Chipkarte zu erlangen, ist sehr aufwendig, hat jedoch den Vorteil, der Inhaber der Signatur im Vorwege bekannt und seine Identität überprüft ist. Besonders ausländische Anbieter von qualifizierten Signaturen sehen sich durch die Marktsituation und die Verankerung der qualifizierten Signatur mit Anbieterakkreditierung in zahlreichen Gesetzen und Verordnungen diskriminiert und behindert. Sie wollen die zusätzliche Hürde der Akkreditierung in Deutschland gern beseitigt sehen und berufen sich auf die Europäische Richtlinie.
• Qualifizierte versus fortgeschrittene Signaturen
Eine ähnliche Diskussion spielt sich derzeit zwischen den Anbietern fortgeschrittener Signaturen mit biometrischen Verfahren und den Anbietern qualifizierter, Chipkartenbasierter Verfahren ab. Die Argumentation der Anbieter fortgeschrittener Signaturen beruft sich nicht nur auf die Europäische Richtlinie sondern auch auf die §§126,127 BGB. Für zahlreiche Anwendungsfelder des Geschäftsverkehrs wird keine qualifizierte elektronische Signatur verlangt. Es gibt Anwendungen, bei denen biometrische Signaturen sogar Vorteile gegenüber der qualifizierten besitzen. Ein Beispiel sind Verträge im Finanzdienstleistungsbereich. Mit Verfahren, die auf einem Unterschriftenpad mit biometrischer Erfassung des Schriftzuges des Zeichnenden basieren, erhält der Kunde ein Papierdokument mit seiner Unterschrift während der Finanzdienstleister ein elektronisches Original erhält, dass ohne Medienbruch sofort elektronisch weiterbearbeitet werden kann. Der Kunde muss sich nicht im Vorwege mit viel Aufwand und hohen Kosten eine Chipkarte beschafft haben. Die Differenzierung der Einsatzgebiete lässt im Prinzip ausreichend Platz für beide Verfahren, qualifizierte und fortgeschrittene Signaturen.
• Elektronisch signieren beim Scannen
Versicherungen, Kassen und Rententräger, die der Sozialgesetzgebung in Deutschland unterliegen, haben in großem Stil begonnen, die elektronische Signatur beim Scannen zu verwenden. Hintergrund ist, dass durch das Sozialgesetzbuch und besonders die Verordnung §36 SRVwV gefordert wird, dass nach dem Scannen das erfasste Schriftgut nur vernichtet werden kann, wenn die gescannten Dokumente geprüft und elektronisch signiert wurden. Aus wirtschaftlichen Gründen macht die Überführung von Dokumenten in elektronische Bearbeitungsprozesse nur Sinn, wenn man sich anschließend die aufwendige und teuere Aufbewahrung in Papier sparen kann. Der vorgeschriebene Einsatz der qualifizierten elektronischen Signatur hat hier jedoch nicht den Charakter einer Willenserklärung der Erfassungskraft, da diese das Dokument ja nicht erstellt hat, sondern stellt eher eine Beglaubigung oder Bestätigung dar, dass das Dokument fehlerfrei, verlustfrei, lesbar, unverändert und vollständig in das elektronische System überführt wurde. Hierfür werden auf den Signaturkarten entsprechende Attribute kodiert. Angesichts der großen Mengen von Dokumenten ist es jedoch unwirtschaftlich, jedes Dokument einzeln zu sichten und zu signieren. Daher wurde hierfür das sogenannte Verfahren der „Massensignatur“ entwickelt. Hierbei wird ein Stapel von Dokumenten erfasst, eine genau definierte Stichprobe geprüft, und der gesamte Stapel signiert. Bei dem Signierungsvorgang erhält dann jedes Dokument im Stapel eine eigene Signatur. Dieses Verfahren wurde zunächst von Betriebskrankenkassen eingeführt. Das derzeit umfangreichste Projekt ist jedoch die Erfassung von 160 Millionen zu scannenden Dokumenten bei der LVA Rheinprovinz in Düsseldorf.
• Archivierung elektronisch signierter Dokumente
Die Archivierung elektronischer Dokumente stellt heute noch ein Problem dar. Signaturen und Zertifikate können verfallen und die Algorithmen der Signatur vielleicht irgendwann in der Zukunft „geknackt“ werden. Das mit Forschungsmitteln geförderte Projekt ArchiSig, an dem unter anderem die Universitätsklinik Heidelberg und der ECM-Anbieter IXOS beteiligt sind, hat hierfür eine Lösung zur „Übersignierung“ geschaffen. Durch das regelmäßige, weitgehend automatisierte Verfahren wird sichergestellt, dass vor Ablauf eines Zertifikates oder eines Signaturschlüssels eine neue Signatur aufgebracht wird. Durch die Verkettung der Signaturen wird sichergestellt, dass eine ununterbrochene Sequenz gültiger Signaturen den Beweiswert der Dokumente sichert. Dieses Verfahren ist bei der Benutzung von nur einmal beschreibbaren Speichern in elektronischen Archiven nicht ohne Aufwand umzusetzen. Die Eigenschaften eines revisionssicheren Archives dienen einer anderen Meinungsfraktion auch die Grundlage der Argumentation dafür, dass eigentlich ein Übersignieren nicht notwendig ist. Wenn ein revisionssicheres Archivsystem sicherstellen kann, dass seit der Speicherung des elektronisch signierten Dokumentes keine Veränderung möglich war, kann so nachgewiesen werden, dass zum Zeitpunkt der Archivierung eine Signatur gültig war. Dabei erscheint unerheblich, ob das Zertifikat inzwischen verfallen ist oder der ursprüngliche Algorithmus inzwischen abgelöst wurde. Auch bei Papierdokumenten wird z.B. nach dem Ableben eines Geschäftsführers der neue Geschäftsführer nicht alle Dokumente seines Vorgängers neu signieren, nur weil dessen Signatur „verfallen“ ist. Der Nachweis der Gültigkeit zum Zeitpunkt der Entstehung der Signatur muss eigentlich ausreichen.
• Die Signatur im EGovernment
Die elektronische Signatur ist in zahlreichen EGovernment-Verfahren vorgesehen. Besonders bei Verwaltungsverfahren zwischen Verwaltung und Bürger ist der Einsatz jedoch fragwürdig. Im Regelfall leistet der Bürger nur ein, zweimal im Jahr gegenüber der Verwaltung eine Unterschrift in irgendeinem Antragsverfahren. Kann von ihm verlangt werden, sich hierfür eine Chipkarte mit qualifizierter elektronischer Signatur auf eigene Kosten zu beschaffen? Die Kosten und die damit verbundene geringe Verbreitung von elektronischen Signaturkarten stellen viele der „Antrag-Online“-Verfahren in Frage. Nur wenn es weitere Einsatzgebiete für elektronische Signaturen gibt, die Signatur kostengünstiger wird und sich die Regierung entschließt, die Signatur zum Beispiel in Verbindung mit dem Personalausweis jedem Bürger zur Verfügung zu stellen, ist eine ausreichende Verbreitung möglich. Darüber hinaus darf nicht vergessen werden, dass auch die verwaltungsinternen Prozesse auf die durchgängige Nutzung elektronischer Dokumente umgestellt werden. Es macht wenig Sinn, einen Antrag elektronisch zu signieren, ihn anschließend auszudrucken und in der Gittermappe auf dem Wägelchen durch die Gänge der Verwaltung zu schieben.
• Elektronische Signaturen im Umfeld der GDPdU
Auch in der derzeit viel diskutierten Richtlinie GDPdU zur Aufbewahrung, Prüfung und Auswertung steuerrelevanter Daten kommt die elektronische Signatur vor. Sie erlaubt die Abgabe von Umsatzsteuervoranmeldungen in elektronischer Form, wenn die übergegebnen Daten qualifiziert elektronisch signiert sind. Während in den GDPdU noch die qualifizierte Signatur mit Anbieterakkreditierung impliziert ist, ist in den rechtlichen Vorschriften für die Prüfer der Finanzämter bereits eine Entschärfung festzustellen, die die elektronische Signatur auch ohne Anbieterakkreditierung einsetzbar macht. Jedoch hilft dies keineswegs. Das Verfahren der elektronischen Umsatzsteuervoranmeldung mit elektronischer Signatur kommt praktisch nirgendwo zum Einsatz. Kosten, Aufwand, aber auch die Situation, dass niemand mit seiner persönlichen Signatur für Daten des Unternehmens, einer juristischen Person, geradestehen will, spielen hier ein Rolle. Die möglichen Vereinfachungspotentiale werden nicht genutzt.
• Auch die Einsatzbedingungen müssen sicher sein
In der Diskussion um die Vorteile der qualifizierten elektronischen Signatur wird immer auf die besondere Sicherheit des Verfahrens und der Trustcenter verwiesen. Vielleicht wird dabei aber unterschätzt, das auch der Einsatz an den Arbeitsplätzen sicher sein muss. Das größte Risiko für einen missbräuchlichen Einsatz ist aber der Anwender selbst. Wer seine Karte herumliegen lässt und sich seine Passworte und Pins auf gelbe Haftzettel am Monitor schreibt, stellt das größte Risiko für den Missbrauch seiner Signatur dar. Das BSI und andere Stellen haben Checklisten und Anforderungskataloge herausgegeben, nach denen man sich bei der Einrichtung einer PKI (Private Key Infrastructure) richten sollte. Lücken in der Sicherheit werden und müssen von Unternehmen geschlossen werden. Bleibt das Problem des Privatmanns, der meistens nicht in der Lage oder sich nicht der Gefahr bewusst ist, die seinem PC mit Internet-Anschluss drohen kann.
• Muss das Signaturgesetz geändert werden?
Inzwischen ist offenbar geworden, dass sich das aktuelle Signaturgesetz in Deutschland vom Sprachgebrauch zu sehr an der ursprünglichen Version und nicht ausreichend nah an der europäischen Signaturrichtlinie orientiert. Seitens des Bundeswirtschaftsministerium wurde eingestanden, dass hier entsprechender Änderungs- oder Nachholbedarf durchaus gesehen wird. Hierbei werden nicht nur die Fragen der Akkreditierung neu diskutiert, sondern auch Möglichkeiten, nichtpersonengebundene, qualifizierte Signaturen zuzulassen.
• Werden die bestehenden Signaturstandards mittelfristig überrollt?
Die technischen Standards für Signaturen sind in Europa noch nicht vereinheitlicht. Die beiden in Deutschland vorkommenden Standards wurden erst jüngst als ISISMTT zusammengeführt. Angesichts mancher technischer und organisatorischer Aufwände und der derzeitigen geringen Verbreitung elektronischer Signaturen droht aber noch eine andere Gefahr. Wenn sich ein Standardsoftwareanbieter entschließt im Betriebssystem oder in weit verbreiteten Anwendungen eine proprietäre, elektronische Signatur nach eigenem Gusto einzubauen, können die derzeitigen Bemühungen zur Einführung sicherer Signaturen schnell unterlaufen werden. Die Schaffung einheitlicher, möglichst weltweiter technischer Standards und die Bereitstellung einer einheitlichen API (Anwendungsprogrammierungsschnittstelle) zur einfachen Einbindung von elektronischen Signaturen sind eine der Grundvoraussetzungen, um der Signatur schnell zu einer weiten Verbreitung zu verhelfen.
Der Einsatz elektronischer Signaturen ist für die Ausweitung des EBusiness, ECommerce und EGovernment unerlässlich. Für die deutsche Wirtschaft ist die geringe Verbreitung und Nutzung der elektronischen Signatur inzwischen zum Risiko geworden. Mögliche Effizienzpotentiale werden nicht genutzt und eine Abkopplung vom international wachsenden elektronischen Geschäftsverkehr droht. Es sind daher verstärkte Anstrengungen von Politik und Wirtschaft zur schnelleren Verbreitung und Akzeptanz erforderlich. Nur wenn es ausreichend sinnvolle Anwendungen für den Einsatz der elektronischen Signatur gibt, wird die Verbreitung wachsen und damit auch die Preise für die notwendigen Komponenten für private Anwender und kleine Firmen erträglich machen. Auch die Softwarebranche kann mehr zur Verbreitung der elektronischen Signatur beitragen, in dem sie die Schnittstellen und Komponenten standardmäßig in ihre Produkte integriert und mit ausliefert. Die elektronische Signatur darf kein zusätzliches „Addon“ sein, sonst muss integraler Bestandteil moderner Software werden. (Kff)
Rechtshinweis


Rechtshinweis, Urheberechte, Copyrights und Zitieren.
Rechtshinweis
Legal notice
Autorenrechte

© PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Unternehmensdaten
Top
Seitentitel: Artikel_Diskussion_2004_ElektronischeSignatur, Zitierung: http://www.pc.qumram-demo.ch/portal.asp?SR=703
Zuletzt aktualisiert am: 22.6.2004
CopyRight © 1992-2012 PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
20251 Hamburg, Breitenfelder Str. 17, Tel.: +49-40-46076220, E-Mail, Rechtshinweis
Optimiert für MS Explorer 5.x, 6.x, 1024x768 Pixel, Cookies(on), JavaScript(on)
Diese Seite wird nicht mehr gepflegt. Bitte besuchen Sie www.PROJECT-CONSULT.de
This website is no longer updated. Please visit www.PROJECT-CONSULT.de
News
  Newsletter
  Newsletter Inhaltsverzeichnis
  Newsletter PDF-Ausgaben
  Newsletter Portal
  Newsletter Probeabo
  Branchen-News
  In der Diskussion
  Zitate
  Veranstaltungen
  Termine
Wissen
  Was ist...
  Archiv
  Artikel
  Pressespiegel
  Bücher
  Studien
  Literatur
  Standards
  Code of Practice
  Rechtsfragen
  Links
  Download
Markt
  Kategorie
  Alle
  PLZ
  Marktübersichten
  Produktvergleich
  Eintrag
  Regeln
Foren
  CDIA+ Forum
  CMS-Forum
  DMS-Forum
  ECMguide
  Speicherguide
  XING-Forum
Spezial-Seiten
  CDIA+
  MoReq
Web Partner
AIIM Europe AIIM International
Benchpark BIT
BITKOM BrainGuide
Coextant CompetenceSite
CompTIA contentmanager.de
DLM-Network DMS Akademie
DMS Expo documanager.de
doxtop.com ECM WORLD
Electronic Office Elektronische Steuerprüfung
GDPdU-Portal GoodNews!
Kossow & Jeggle Results Open Directory Project
Optimila password
Plattform Wissensmanagement silicon.de
SoFind Wikipedia
Wissensmanagement XING
AMAZON
  Dokumenten-Technologien
  Dokumenten-Management
  E-Learning & E-Term
  Enterprise Content Management