Die elektronischen Signaturen
Hintergrund Da immer mehr Schriftverkehr elektronisch durchgeführt wird (werden soll) ergeben sich Probleme hinsichtlich: Wohin mit dem ganzen Papier? Wer hat das Dokument ausgestellt? Wurde das Dokument verändert (Integrität)? Wie kann sichergestellt werden, daß niemand anderes das Dokument öffnen kann?
Rechtl. Hintergründe Die elektronische Signatur ist durch mehrere Rechtsvorschriften geregelt: Signaturgesetz (SigG) Signaturverordnung (SigV) Bürgerliches Gesetzbuch (BGB), hier vor allem die §§ 125 ff. über die Formen von Rechtsgeschäften Verwaltungsverfahrensgesetz (VwVfG, des Bundes und der meisten Länder), hier vor allem § 3a zur elektronischen Kommunikation und § 37 zum elektronischen Verwaltungsakt. Unzählige weitere Rechtsvorschriften, die 2001 durch das Formanpassungsgesetz geändert wurden. Daneben gelten Vorschriften der Europäischen Union. 1. Gesetz zur Änderung des Signaturgesetzes (1. SigÄndG)
Die verschiedenen elektronischen Signaturen Ein Überblick Die verschiedenen elektronischen Signaturen
Einfache elektr. Signatur PFLICHTANGABEN z.B. in E-Mails und allen Geschäftsbriefen Im Gewerblichen Bereich Pflicht! Beinhaltet alle Angaben in einfacher Schriftform welche auch im Impressum auf der Webseite stehen müssen (siehe Telemediengesetz) Firmenbezeichnung ladungsfähige Anschrift E-Mailadresse UST-ID Rechtsform Handelsregisternummer Weiterreichende Informationen für KG´s, GmbH´s, AG´s und Berufsgruppen die eine behördliche Zulassung benötigen
Fortgeschrittene elektr. Signatur Beinhaltet alle Elemente der einfachen elektr. Signatur Praktisch keinen Anwendungsbereich, da keine Vorteile zur einfachen elektr. Signatur Dokumente werden mit einem Zertifikat versehen welche dem Empfänger die Identifizierbarkeit des Ausstellers ermöglicht
Qualifizierte elektr. Signatur Dokumente mit einer qualifizierten elektronischen Signatur gemäß § 2 Nr. 3 SigG können als elektronische Form eine per Gesetz geforderte Schriftform auf Papier ersetzen Dokument beinhaltet: in Textform alle Inhalte der einfachen elektr. Signatur Einem Zertifikat wie die FES Schlüssel wird mit einer sicheren Signaturerstellungseinhe it (SSEE) erstellt wurde. SSEE´s sind entweder spezielle Karten und auch im neuen Personalausweis enthalten, müssen nur freigeschalten werden.
QES mit Anbieter-Akkreditierung Zusätzlich wird bei qualifizierten elektronischen Signaturen unterschieden, von welchem Anbieter die Zertifikate ausgestellt und die Signaturschlüssel erzeugt werden. Dabei wird zwischen nicht-akkreditierten Anbietern und Anbietern mit Akkreditierung durch die Bundesnetzagentur unterschieden. Der Anbieter kann sich bescheinigen lassen, dass sein Rechenzentrum den höchsten Sicherheitsanforderungen genügt. Dem geht eine Prüfung durch eine anerkannte Bestätigungsstelle (das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder eine private Bestätigungsstelle) voraus. Stellt diese fest, dass die Sicherheitsanforderungen durch den Anbieter bzw. den Betreiber des Rechenzentrums (wird in diesem Rahmen auch als Trust Center bezeichnet) erfüllt sind, bescheinigt die Bundesnetzagentur dessen Sicherheit. Der Betreiber des Rechenzentrums darf sich nun als akkreditiert bezeichnen und erhält für seine Zertifizierungsdienste qualifizierte Zertifikate von der Zertifizierungsstelle der Bundesnetzagentur, die in Deutschland die Wurzelinstanz (Root CA) in der Public-Key-Infrastruktur (PKI) für qualifizierte Zertifikate darstellt.
Nochmal in Kurzform EES FES QES QES (akkr) Einfache Nennung aller relevanten Angaben Mit elektr. Zertifikat versehen Erstellt mit SSEE Zertifikatanbieter akkreditiert Für formfreie Vereinbarungen (keine gesetzlich vorgeschriebene Schriftform) Schriftform gesetzl. vorgeschrieben Möglichkeit Dokument zu verschlüsseln Spezialfälle Kündigung von Arbeitsverträgen
Ablauf QES Der Absender/Unterzeichner (im Beispiel: Alice) wählt die zu signierende Nutzdatei aus. Die Signatur-Software des Absenders/Unterzeichners bildet über die Nutzdatei einen Hash-Wert (Prüfsumme). Die vom Absender/Unterzeichner genutzte Signaturerstellungseinheit bildet aus dem Hash-Wert mit Hilfe eines geheimen Signaturschlüssels die elektronische Signatur. Der Absender/Unterzeichner verschickt die Nutzdatei und die Signatur. Alternativen sind: getrennte Dateien Containerdatei (ZIP), die Nutzdatei und Signatur enthält Signatur in Nutzdatei enthalten, so z. B. bei PDF oder XML Der Empfänger erhält die Nutzdatei und die Signaturdatei Der Empfänger verifiziert mit einer Prüf-Software die Signatur mit Hilfe des (mit der Signatur meistens bereits mitgelieferten zum geheimen Signaturschlüssel korrespondierenden) öffentlichen Prüfschlüssels und der Nutzdatei. Ist die Prüfung erfolgreich, dann wurde die Datei nicht verändert, die Integrität der Daten ist sichergestellt. Ist dem Absender/Unterzeichner mit einem Zertifikat der öffentliche Prüfschlüssel und damit indirekt auch dessen korrespondierender geheimer Schlüssel zugewiesen worden, kann der Absender/Unterzeichner anhand seines öffentlichen Schlüssels über ein im Internet verfügbares Zertifikatsverzeichnis identifiziert werden. In diesem Fall sollte auch die Gültigkeit des Zertifikates zum Zeitpunkt der Signaturerstellung geprüft werden. Ist von der Signatur-Software des Absenders/Unterzeichners während des Signierens eine über ein Unterschriftentablett erfasste eigenhändige Unterschrift dem Hash-Wert zugeordnet worden, kann die Unterschrift im Bedarfsfall zur Identifizierung des Absenders/Unterzeichners herangezogen werden.
Und wer braucht eine QES? Anwälte zum Einreichen von Mahnbescheiden Notare für Beglaubigungen Entsorgungsdienstleister Emissionshändler Unternehmen für die Umsatzsteuervoranmeldungen an das Finanzamt Übersetzer zum Beglaubigen von Dokumenten
Wer braucht´s nicht (mehr)? Unternehmen die Rechnungen per Mail verschicken wollen Signaturpflicht für Rechnungen: Eingeführt: 2006 Abgeschafft: 2011