Elektronische Signatur

Elektronische Signaturen sind von Personen elektronisch erstellte Willenserklärungen. Unter Willenserklärungen werden Verträge, Anträge oder Bestätigungen wie z.B. Quittungen, Dokumentationen, Protokolle, Bescheide und Beglaubigungen verstanden.


Elektronische Signaturen können im eigenen Namen oder im Auftrag erfolgen, sind jedoch immer personengebunden. Die elektronische oder digitale Signatur verfügt über mindestens dieselbe Rechtsverbindlichkeit wie eine eigenhändige Unterschrift. Im Gegensatz zur handschriftlichen Unterschrift ist die elektronische Signatur allerdings unsichtbar und beruht auf mathematischen Algorithmen.

In welcher Form eine elektronische Signatur zu erfolgen hat, hängt von den Vorgaben ab. Zum Teil kann eine in ein Dokument als Bild eingefügte gescannte Unterschrift durchaus ausreichen. In anderen Fällen, wenn z. B. der Unterzeichner identifizierbar oder nachträgliche Veränderungen am Dokument erkennbar sein müssen, sind andere Maßnahmen notwendig.

Bei der elektronischen Signierung wird ein einmaliger Schlüssel generiert, der dem Dokument angehängt wird. Der Schlüssel ermöglicht es dem Empfänger, das Dokument beim Empfang auf Authentizität und Manipulation zu überprüfen, d.h. das Dokument kann nicht verfälscht oder unbemerkt verändert werden.

Sicherheitsstufen
Das Signaturgesetz unterteilt die elektronische Signatur in drei verschiedene Sicherheitsstufen: Die einfache, die fortgeschrittene und die qualifizierte Signatur.

Einfache Signaturen (z.B. eingescannte Unterschriften) beinhalten keine besonderen Bedingungen hinsichtlich einer Authentifizierung des Dokumentes und weisen damit keine Sicherheit gegen Fälschung auf.

Bei der fortgeschrittenen Signatur gibt das Signaturgesetz drei Bedingungen vor: 1. Eine Manipulation der Daten muss erkennbar sein. 2. Die Signatur muss eindeutig einer Person zugeordnet werden können. 3. Diese Person muss nachweisen können, dass die Signatur nur von ihr und unter den erforderlichen Sicherheitsmaßnahmen erzeugt wurde.

Die qualifizierte Signatur bietet die höchste Sicherheit. Ein vertrauenswürdiger Zertifizierungsdienstanbieter (auch „Trust Center“) garantiert die Übereinstimmung eines öffentlichen Signaturprüfschlüssels und der Identität des Signaturschlüsselinhabers. Voraussetzung ist, dass die Anbieter unter strengen Auflagen einen höchstmöglichen Standard an Sicherheit aufbringen, um den Missbrauch von Signaturschlüsseln zu vermeiden. Die Zertifizierungsdienstanbieter unterliegen daher der Kontrolle nationaler Behörden (in Deutschland: Bundesnetzagentur).

[1] Bei der Signierung eines Dokumentes ab der Sicherheitsstufe „fortgeschritten“ wird ein „digitales Schlüsselpaar“ generiert. Dieses Schlüsselpaar setzt sich zusammen aus einem privaten und einem öffentlichem Schlüssel und wird durch eine Vertrauensperson (fortgeschrittene Signatur) bzw. durch ein Trust-Center (qualifizierte Signatur) erstellt. Der private Schlüssel wird zwar im Trust Center erzeugt, dort aber nicht gespeichert. Der private Schlüssel befindet sich ausschließlich auf einer Chip-Karte, die dem rechtmäßigen Inhaber des Dokumentes zugeht. Die öffentlichen Schlüssel werden in einer Art Telefonbuch allen Empfängern bereitgestellt und von den Zertifizierungsdienstanbietern verwaltet.

[2] Beim Prozess des Signierens wird mit Hilfe eines mathematischen Algorithmus aus allen Daten des Dokumentes der Hashwert erstellt. Bei gleichem Inhalt der Datei führt der Algorithmus immer zum gleichen Wert. So kann eindeutig überprüft werden, ob die Daten unverändert und original sind.

[3] Mit Hilfe eines kryptographischen Verfahrens wird aus dem Hashwert und dem privaten Signier-Schlüssel eine einmalige Signatur erstellt.

[4] Der Empfänger, der das Dokument mit der angehängten Signatur erhält, kann dieses mit Hilfe des öffentlichen Schlüssels einsehen. Durch die Bildung des Hashwerts des empfangenen Dokuments und dem Vergleich mit dem originären Hashwert, der aus der Signatur entschlüsselt wird, kann der Empfänger die Authentizität sowie die Unversehrtheit des Dokumentes prüfen.

Verschlüsselung
Die elektronische Signierung eines Dokuments bedeutet nicht automatisch auch die elektronische Verschlüsselung des Dokuments. Bei der elektronischen Signierung wird nur sichergestellt, dass der Empfänger eine Manipulation des Dokuments erkennen kann. Das Dokument bleibt aber frei einsehbar. Soll das Dokument nicht für andere lesbar sein, so muss dieses elektronisch verschlüsselt werden. Dazu muss dem Inhaber der öffentliche Schlüssel des Empfängers vorliegen, mit dem das Dokument über das Signieren hinaus auch verschlüsselt wird. Das Dokument kann dann nur noch vom Empfänger entschlüsselt und gelesen werden.

Zeitstempel
Ein zusätzliches Sicherheitsmerkmal kann durch die Erstellung eines Zeitstempels erstellt werden. In diesem Fall werden die elektronische Signatur und der Hashwert des Dokumentes an ein Trust-Center gesendet. Dort wird der Zeitpunkt des Eingangs erfasst, dann werden die Daten wieder zurückgesendet. Ein Zeitstempel ist vergleichbar mit einem Posteingangsstempel. Es handelt sich in diesem Sinne nicht um eine personengebundene Signatur, sondern lediglich um einen Nachweis, dass der Inhalt eines elektronischen Dokuments zu einem bestimmten Zeitpunkt vorlag.

Wie sehr elektronische Signaturen Eingang in die Hochschule finden, hängt entscheidend von der Organisation des Benutzerzugangs sowie der Verbreitung von Signaturzertifikaten ab. Im Allgemeinen ist an Hochschulen die (digitale) Bibliothek für digitale Signaturen verantwortlich.

Technische Voraussetzungen

Zum Erzeugen einer Signatur ist ein Computer mit Signaturkomponente erforderlich. Die Signaturkomponente besteht derzeit aus einem Chipkartenleser. Zur Berechnung der elektronischen Signatur muss kurzzeitig die Chipkarte eingelegt werden.

Einsatzgebiete in der Hochschulpraxis
Einsatzgebiete für digitale Signaturen in der Hochschule können Verwaltungsdienstleistungen für Mitarbeiter/innen und Studierende einer Hochschule sein wie die

  • Prüfungsan- und abmeldung
  • Adressenänderung
  • Elektronische Vergabe von Leistungsnachweisen
  • Leihfristverlängerungen bei der Bibliothek
  • Online-Wahlen zum Studierenden Parlament
  • Anmeldungen und Antragstellungen
  • Dienstreise- oder Urlaubsanträge und Abrechnung für Mitarbeiter
  • Online-Wahlen zum Personalrat

Für interne Verwaltungsabläufe müssen fortgeschrittene elektronische Signaturen Verwendung finden, z.B. beim Signieren und Bearbeiten von elektronischen Akten wie Studienbüchern.

Auch für externe Verwaltungsabläufe, das heißt Kommunikationsprozesse mit Partnern, die nicht der Hochschule angehören, eignen sich elektronische Signaturen. Zum Beispiel für den Versand von Ausschreibungsunterlagen, eingehende Angebote nach einer Ausschreibung, den Einkauf und die Bestellung von Sachmitteln oder den Zugriff auf amtliche Verzeichnisse (z.B. Grundbuch).

Beispiele aus der Hochschulpraxis:

  • In Bremerhaven wurden im März 2002 etwa 500 Starterpakete an Bürger/innen, darunter auch die Studierenden der Hochschule ausgegeben. Für einen Preis von 15,- Euro erhalten Interessierte bis auf weiteres eine TeleSec-Signaturkarte, ein Chipkarten-Lesegerät (Kobil KAAN Professional) sowie eine CD-ROM mit der benötigten Software. Die vom Signaturgesetz (SigG) vorgeschriebene Registrierung bei der Zertifikatsbeantragung erfolgt bislang über einen so genannten Registrierungspunkt in der Hochschule. Für Fragen steht den Bürgern ein Helpcenter von „bremen online services“ zur Verfügung.
  • Die FH Köln verfügt über eine eigene Zertifizierungsstelle http://www.zi.fh-koeln.de/Serviceangebot/Zertifizierung/
  • An der Uni Göttingen können Studierende ihre Dissertation auf dem Dokumentenserver der Hochschule veröffentlichen. Die Dissertation wird automatisch mit einer elektronischen Signatur versehen. Der Vorgang der elektronischen Signatur wird auf ihrer Webseite dargestellt. http://www.sub.uni-goettingen.de/

Letzte Änderung: 08.04.2015