Elektronische Signaturen sind von Personen elektronisch erstellte Willenserklärungen. Unter Willenserklärungen werden Verträge, Anträge oder Bestätigungen wie z.B. Quittungen, Dokumentationen, Protokolle, Bescheide und Beglaubigungen verstanden.
Elektronische Signaturen können im eigenen Namen oder im Auftrag erfolgen,
sind jedoch immer personengebunden. Die elektronische oder digitale Signatur
verfügt über mindestens dieselbe Rechtsverbindlichkeit wie eine eigenhändige
Unterschrift. Im Gegensatz zur handschriftlichen Unterschrift ist die
elektronische Signatur allerdings unsichtbar und beruht auf mathematischen
Algorithmen.
In welcher Form eine elektronische Signatur zu erfolgen hat, hängt von den
Vorgaben ab. Zum Teil kann eine in ein Dokument als Bild eingefügte
gescannte Unterschrift durchaus ausreichen. In anderen Fällen, wenn z. B.
der Unterzeichner identifizierbar oder nachträgliche Veränderungen am
Dokument erkennbar sein müssen, sind andere Maßnahmen notwendig.
Bei der elektronischen Signierung wird ein einmaliger Schlüssel generiert,
der dem Dokument angehängt wird. Der Schlüssel ermöglicht es dem
Empfänger, das Dokument beim Empfang auf Authentizität und Manipulation zu
überprüfen, d.h. das Dokument kann nicht verfälscht oder unbemerkt verändert
werden.
Sicherheitsstufen
Das Signaturgesetz unterteilt die elektronische Signatur in drei
verschiedene Sicherheitsstufen: Die einfache, die fortgeschrittene und die
qualifizierte Signatur.
Einfache Signaturen (z.B. eingescannte Unterschriften) beinhalten keine
besonderen Bedingungen hinsichtlich einer Authentifizierung des Dokumentes
und weisen damit keine Sicherheit gegen Fälschung auf.
Bei der fortgeschrittenen Signatur gibt das Signaturgesetz drei Bedingungen
vor: 1. Eine Manipulation der Daten muss erkennbar sein. 2. Die Signatur
muss eindeutig einer Person zugeordnet werden können. 3. Diese Person muss
nachweisen können, dass die Signatur nur von ihr und unter den
erforderlichen Sicherheitsmaßnahmen erzeugt wurde.
Die qualifizierte Signatur bietet die höchste Sicherheit. Ein
vertrauenswürdiger Zertifizierungsdienstanbieter (auch „Trust Center“)
garantiert die Übereinstimmung eines öffentlichen Signaturprüfschlüssels und
der Identität des Signaturschlüsselinhabers. Voraussetzung ist, dass die
Anbieter unter strengen Auflagen einen höchstmöglichen Standard an
Sicherheit aufbringen, um den Missbrauch von Signaturschlüsseln zu
vermeiden. Die Zertifizierungsdienstanbieter unterliegen daher der Kontrolle
nationaler Behörden (in Deutschland: Bundesnetzagentur).
[1] Bei der Signierung eines Dokumentes ab der Sicherheitsstufe
„fortgeschritten“ wird ein „digitales Schlüsselpaar“ generiert. Dieses
Schlüsselpaar setzt sich zusammen aus einem privaten und einem
öffentlichem Schlüssel und wird durch eine Vertrauensperson
(fortgeschrittene Signatur) bzw. durch ein Trust-Center (qualifizierte
Signatur) erstellt. Der private Schlüssel wird zwar im Trust Center
erzeugt, dort aber nicht gespeichert. Der private Schlüssel befindet sich
ausschließlich auf einer Chip-Karte, die dem rechtmäßigen Inhaber des
Dokumentes zugeht. Die öffentlichen Schlüssel werden in einer Art
Telefonbuch allen Empfängern bereitgestellt und von den
Zertifizierungsdienstanbietern verwaltet.
|
|
[2] Beim Prozess des Signierens wird mit Hilfe eines mathematischen
Algorithmus aus allen Daten des Dokumentes der
Hashwert
erstellt. Bei
gleichem Inhalt der Datei führt der Algorithmus immer zum gleichen Wert. So
kann eindeutig überprüft werden, ob die Daten unverändert und original
sind.
[3] Mit Hilfe eines kryptographischen Verfahrens wird aus dem Hashwert und
dem privaten Signier-Schlüssel eine einmalige Signatur erstellt.
[4] Der Empfänger, der das Dokument mit der angehängten Signatur
erhält, kann dieses mit Hilfe des öffentlichen Schlüssels einsehen. Durch
die Bildung des Hashwerts des empfangenen Dokuments und dem Vergleich mit
dem originären Hashwert, der aus der Signatur entschlüsselt wird, kann der
Empfänger die Authentizität sowie die Unversehrtheit des Dokumentes
prüfen.
Verschlüsselung
Die elektronische Signierung eines Dokuments bedeutet nicht automatisch auch
die elektronische Verschlüsselung des Dokuments. Bei der elektronischen
Signierung wird nur sichergestellt, dass der Empfänger eine Manipulation des
Dokuments erkennen kann. Das Dokument bleibt aber frei einsehbar. Soll das
Dokument nicht für andere lesbar sein, so muss dieses elektronisch
verschlüsselt werden. Dazu muss dem Inhaber der öffentliche Schlüssel des
Empfängers vorliegen, mit dem das Dokument über das Signieren hinaus auch
verschlüsselt wird. Das Dokument kann dann nur noch vom Empfänger
entschlüsselt und gelesen werden.
Zeitstempel
Ein zusätzliches Sicherheitsmerkmal kann durch die Erstellung eines
Zeitstempels erstellt werden. In diesem Fall werden die elektronische
Signatur und der Hashwert des Dokumentes an ein Trust-Center gesendet. Dort
wird der Zeitpunkt des Eingangs erfasst, dann werden die Daten wieder
zurückgesendet. Ein Zeitstempel ist vergleichbar mit einem
Posteingangsstempel. Es handelt sich in diesem Sinne nicht um eine
personengebundene Signatur, sondern lediglich um einen Nachweis, dass der
Inhalt eines elektronischen Dokuments zu einem bestimmten Zeitpunkt
vorlag.
Wie sehr elektronische Signaturen Eingang in die Hochschule finden, hängt
entscheidend von der Organisation des Benutzerzugangs sowie der Verbreitung
von Signaturzertifikaten ab. Im Allgemeinen ist an Hochschulen die
(digitale) Bibliothek für digitale Signaturen verantwortlich.
Technische Voraussetzungen
Zum Erzeugen einer Signatur ist ein Computer mit Signaturkomponente
erforderlich. Die Signaturkomponente besteht derzeit aus einem
Chipkartenleser. Zur Berechnung der elektronischen Signatur muss kurzzeitig
die Chipkarte eingelegt werden.
Einsatzgebiete in der Hochschulpraxis
Einsatzgebiete für digitale Signaturen in der Hochschule können
Verwaltungsdienstleistungen für Mitarbeiter/innen und Studierende einer
Hochschule sein wie die
- Prüfungsan- und abmeldung
- Adressenänderung
- Elektronische Vergabe von Leistungsnachweisen
- Leihfristverlängerungen bei der Bibliothek
- Online-Wahlen zum Studierenden Parlament
- Anmeldungen und Antragstellungen
- Dienstreise- oder Urlaubsanträge und Abrechnung für Mitarbeiter
- Online-Wahlen zum Personalrat
Für interne Verwaltungsabläufe müssen fortgeschrittene elektronische
Signaturen Verwendung finden, z.B. beim Signieren und Bearbeiten von
elektronischen Akten wie Studienbüchern.
Auch für externe Verwaltungsabläufe, das heißt Kommunikationsprozesse mit
Partnern, die nicht der Hochschule angehören, eignen sich elektronische
Signaturen. Zum Beispiel für den Versand von Ausschreibungsunterlagen,
eingehende Angebote nach einer Ausschreibung, den Einkauf und die Bestellung
von Sachmitteln oder den Zugriff auf amtliche Verzeichnisse (z.B.
Grundbuch).
Beispiele aus der Hochschulpraxis:
- In Bremerhaven wurden im März 2002 etwa 500 Starterpakete an
Bürger/innen, darunter auch die Studierenden der Hochschule ausgegeben. Für
einen Preis von 15,- Euro erhalten Interessierte bis auf weiteres eine
TeleSec-Signaturkarte, ein Chipkarten-Lesegerät (Kobil KAAN Professional)
sowie eine CD-ROM mit der benötigten Software. Die vom Signaturgesetz
(SigG) vorgeschriebene Registrierung bei der Zertifikatsbeantragung erfolgt
bislang über einen so genannten Registrierungspunkt in der Hochschule. Für
Fragen steht den Bürgern ein Helpcenter von „bremen online services“ zur
Verfügung.
- Die FH Köln verfügt über eine eigene Zertifizierungsstelle
http://www.zi.fh-koeln.de/Serviceangebot/Zertifizierung/
- An der Uni Göttingen können Studierende ihre Dissertation auf dem
Dokumentenserver der Hochschule veröffentlichen. Die Dissertation wird
automatisch mit einer elektronischen Signatur versehen. Der Vorgang der
elektronischen Signatur wird auf ihrer Webseite dargestellt.
http://www.sub.uni-goettingen.de/ebene_2/diss/verfahren.html.de
