30.7    Rechtliches

Neben der Technik hat die Rechtsprechung einen großen Anteil daran, wie Verschlüsselung eingesetzt wird. Da die Begriffe von den technischen Bezeichnungen abweichen, erklären wir in diesem Abschnitt die aktuelle Rechtsprechung und die in ihr verwendeten Begriffe.

Den Ausgangspunkt der in Deutschland existierenden Signaturgesetzgebung, die aus dem Signaturgesetz (SigG), der Signaturverordnung (SigV) sowie aus den Paragrafen §§125 ff. des BGB besteht, stellt die EG-Richtlinie 1999/93/EG »Signaturrichtlinie« aus dem Jahre 1999 dar. In ihr wird die elektronische Signatur technologieneutral als

Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen

beschrieben. Neben den Spezifikationen für Signaturen werden in ihr zusätzlich die im Folgenden aufgeführten Begrifflichkeiten und deren Voraussetzungen definiert.

30.7.1    Fortgeschrittene elektronische Signatur

Eine solche Signatur setzt voraus, dass die laut der EG-Richtlinie definierten Daten

  1. ausschließlich dem Unterzeichner zugeordnet sind,

  2. die Identifizierung des Unterzeichners ermöglichen,

  3. mit Mitteln erzeugt werden, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann, und

  4. mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

30.7.2    Qualifiziertes Zertifikat

Ein qualifiziertes Zertifikat muss laut EG-Richtlinie die folgenden Anforderungen erfüllen:

  1. Das Zertifikat muss sich aus folgenden Bestandteilen zusammensetzen:

    • Ausweisung als qualifiziertes Zertifikat

    • Angabe des Ausstellers und des Staates

    • Identifikation des Inhabers (Name oder Pseudonym)

    • gegebenenfalls weitere Attribute des Inhabers

    • Signaturprüfschlüssel des Inhabers

    • Gültigkeitsdauer (Beginn und Ende)

    • Seriennummer des Zertifikats

    • fortgeschrittene elektronische Signatur des ausstellenden Zertifizierungsdiensteanbieters

    • gegebenenfalls Beschränkungen des Geltungsbereichs des Zertifikats

    • gegebenenfalls Transaktionsart, für die das Zertifikat verwendet werden kann

  2. Es muss die Anforderungen der Richtlinie an die Zuverlässigkeit und die Sicherheit seines Zertifizierungsdienstes erfüllen.

Die Ausgabe von qualifizierten Zertifikaten wird von der Bundesnetzagentur überwacht.

30.7.3    Qualifizierte elektronische Signatur

Eine qualifizierte elektronische Signatur ist eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde. Nach §126a BGB entspricht ein Dokument, das mit einer qualifizierten elektronischen Signatur unterzeichnet wurde, einer per Gesetz oder Verordnung geforderten Schriftform. Somit entspricht solch eine Signierung Ihrer eigenhändigen Unterschrift.

30.7.4    Sichere Signaturerstellungseinheit (SSEE)

Eine sichere Signaturerstellungseinheit ermöglicht die Erstellung von qualifizierten elektronischen Signaturen. Eine SSEE muss die Anforderungen des Anhangs III der EG-Richtlinie erfüllen, die sinngemäß wie folgt lauten:

  1. Sie muss gewährleisten, dass ein Signaturschlüssel

    • praktisch nur einmal auftreten kann,

    • mit hinreichender Geheimhaltung versehen ist,

    • keine Ableitung ermöglicht und fälschungssicher ist und

    • vom rechtmäßigen Unterzeichner vor Verwendung durch andere geschützt werden kann.

  2. Es darf keine Veränderungen der Daten geben.

  3. Der Unterzeichner darf vor dem Signaturvorgang nicht daran gehindert werden, die Daten noch einmal einzusehen.

In Deutschland wurde diese Spezifikation wie folgt erweitert:

  1. Eine Speicherung des Signaturschlüssels außerhalb der SSEE muss ausgeschlossen werden.

  2. Der Schlüsselinhaber muss sich vor der Verwendung durch Folgendes identifizieren:

    • Besitz und Wissen

    • Besitz eines oder mehrerer biometrischer Merkmale

  3. Die verwendeten kryptografischen Algorithmen müssen denen entsprechen, die die Bundesnetzagentur veröffentlicht hat, oder zumindest gleichwertige Sicherheit bieten.

Eine SSEE muss von einer der vier durch die Bundesnetzagentur bestimmten Stellen bestätigt werden. Alle bis heute in Deutschland bestätigten SSEEn sind Prozessor-Chipkarten oder USB-Sticks, die ebenfalls einen Prozessor enthalten. Die technischen Anforderungen an Chipkarten mit Signaturfunktionalität legt DIN V 66291-1 fest.