Elektronische Signaturen für Online-Dienste Dr. Martin Wind

Elektronische Signaturen: Stand der Dinge Signaturbasierte Online-Dienste: Probleme und Lösungen MEDIA@Komm, OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

Das Internet... ... wächst und wächst und wächst ... ist aber nach wie vor nur bedingt für kommerzielle oder behördliche Transaktionen geeignet: - mangelnde Sicherheit - Anonymität der Nutzer(innen) - anpassungsbedürftiger Rechtsrahmen D.h.: Viele Anwendungen, die theoretisch übers Internet abgewickelt werden könnten, lassen sich nicht realisieren oder erfordern Zusatzaufwand.

Elektronische Signatur mit asymmetrischem Verfahren Absender einer Nachricht verfügt über einen öffentlich übers Internet abrufbaren und einen privaten, unauslesbar auf einer Chipkarte befindlichen Schlüssel. Beim Verschicken einer Nachricht signiert der Absender diese mit seinem privaten Schlüssel, dem elektronischen Pendant zur "echten" Unterschrift. Der Empfänger prüft nun die Echtheit des Absenders, indem er die Signatur mit dem öffentlichen Schlüssel des Absenders decodiert. Läßt sich die „Unterschrift“ so verifizieren, ist die Nachricht eindeutig vom Absender und außerdem nach dem Signieren nicht mehr nachträglich geändert worden.

Elektronische Signaturen ermöglichen Authentifikation: eine Nachricht stammt tatsächlich vom angegebenen Absender sichern Integrität einer Nachricht: nachträgliche Veränderungen werden bemerkt gewährleisten Vertraulichkeit: verschlüsselte Nachrichten können nur vom gewünschten Adressaten entschlüsselt und gelesen werden öffnen den Weg für sichere und rechtsverbindliche Online-Transaktionen ohne Medienbrüche

Elektronische Signaturen in Deutschland 1997: Signaturgesetz und Signaturverordnung 2000: EU-Richtlinie zu elektronischen Signaturen 15.2.2001: Bundestag novelliert Signaturgesetz 22.5.2001: Gesetz über Rahmenbedingungen für elektronische Signaturen tritt in Kraft veränderter Sprachgebrauch: elektronische statt digitale Signaturen Zertifizierungsstellen können Aufgaben an Dritte delegieren (Voraussetzung: Einbindung in Sicherheitskonzept) Zertifizierungsstellen: nachgelagerte Kontrolle statt vorgelagerter Genehmigung

Arten elektronischer Signaturen nach dem neuen Signaturgesetz Deutschland elektronische Signaturen (§ 2 Nr. 1 SigG) eingescannte Unterschrift, elektronische Visitenkarte u.ä. fortgeschrittene elektronische Signaturen (§ 2 Nr. 2 SigG) PGP-Signaturen u.ä. qualifizierte elektronische Signaturen (§ 2 Nr. 3 SigG) beruhen auf einem gültigen qualifizierten Zertifikat und sind mit einer sicheren Signaturerstellungseinheit erzeugt worden qualifizierte elektronische Signaturen mit Anbieter-Akkreditierung (§ 15 I 4 SigG) alle „digitalen Signaturen“ nach altem SigG

Rechtliche Wirkung „Einfache“ und fortgeschrittene elektronische Signaturen nutzbar, wenn keine besonderen Formerfordernisse bestehen als Beweismittel zulässig (freie Beweiswürdigung) Qualifizierte elektronische Signaturen (mit/ohne Akkreditierung) sind i.V.m. Formanpassungsgesetzen der handschriftlichen Unterschrift gleichgestellt besitzen erhöhte Beweiskraft (Anscheinsbeweis § 292 a ZPO) Online-Transaktionen werden auch dort möglich, wo Formvorschriften dem bislang entgegen standen.

Akkreditierte Anbieter Produktzentrum TeleSec der Deutschen Telekom AG Bundesnotarkammer Deutsche Post Signtrust GmbH DATEV Steuerberaterkammern Nürnberg, Saarland, Bremen Medizon AG (Berlin) Rechtsanwaltskammern Bamberg, Koblenz, Stuttgart, München, Berlin AuthentiDate International AG (Ratingen) TC TrustCenter (Hamburg) bei RegTP angezeigt, aber nicht akkreditiert: D-Trust GmbH (100%-Tochter der Bundesdruckerei)

Elektronische Signaturen: Stand der Dinge Signaturbasierte Online-Dienste: Probleme und Lösungen MEDIA@Komm, OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

2. Signaturbasierte Online-Dienste: Probleme und Lösungen 2.1 Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

Lösungsansatz 1: Standardisierung ISIS-MTT Industrial Signature Interoperability and Mailtrust Specification CCI, Datev, Signtrust, TeleSec, D-Trust, Giesecke & Devrient, Sparkassen Informatik, TC Trustcenter plus unterstützende Unternehmen und Organisationen (z.B. bos, Bundesdruckerei, secunet ...) http://www.t7-isis.org

Lösungsansatz 2: Brückenbau Bridge-CA organisationsübergreifende herstellerunabhängige Initiative zur Verknüpfung bestehender Sicherheitsinfrastrukturen 20 Unternehmen unterschiedlicher Branchen, u.a. Deutsche Bank, Deutsche Telekom, Giesecke & Devrient, Sparkassen Informatik, BSI ...

Der Brückenschlag Quelle: www.bridge-ca.org/

Lösungsansatz 3: Dienste bzw. Produkte Dritter

2. Signaturbasierte Online-Dienste: Probleme und Lösungen 2.1 Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

Archivierung elektronisch signierter Nachrichten Problem: Signaturalgorithmen werden mit der Zeit schwächer, Beweiskraft schwindet

§ 17 Signaturverordnung Zeitraum und Verfahren zur langfristigen Datensicherung Daten mit einer qualifizierten elektronischen Signatur sind nach § 6 Abs. 1 Satz 2 des Signaturgesetzes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen.

Archivierung elektronisch signierter Nachrichten Problem: Signaturalgorithmen werden mit der Zeit schwächer, Beweiskraft schwindet Lösungsansatz A: Nachsignieren mit Zeitstempel Lösungsansatz B: Anderweitiger Nachweis der Vertrauenswürdigkeit eines archivierten Dokuments (z.B. Verwendung eines anerkannten, überprüften, zertifizierten Archivierungsverfahrens) Forschungsprojekt ArchiSig: Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente www.archisig.de

Dauerhafte Nachprüfbarkeit elektronischer Signaturen Qualifizierte elektronische Signaturen: Anbieter müssen Zertifikat bis 5 Jahre nach Ende der Gültigkeit im Verzeichnis führen Qualifizierte Signaturen akkreditierter Anbieter: Anbieter müssen Zertifikat bis 30 Jahre nach Ende der Gültigkeit im Verzeichnis führen; sollte ein akkreditierter Anwender seine Tätigkeit einstellen, übernimmt die zuständige Behörde (derzeit: Regulierungsbehörde für Telekommunikation und Post) diese Dokumentation

2. Signaturbasierte Online-Dienste: Probleme und Lösungen 2.1 Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

Internes Key-Management Wer benötigt eine digitale Signatur? Wie wird die Funktion einer Person elektronisch abgebildet? Lösung 1: Attributzertifikate Lösung 2: pseudonymisierte Zertifikate Lösung 3: standardmäßige Signaturkarte Welche öffentlichen Schlüssel werden zur Verschlüsselung durch die Nutzer bereitgestellt? Hybridsystem: personengebundene Signatur und bereichsbezogener Verschlüsselungsschlüssel

Elektronische Signaturen: Stand der Dinge Signaturbasierte Online-Dienste: Probleme und Lösungen MEDIA@Komm, OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

Diffusionsproblem Ohne entsprechende Online-Angebote gibt es keinen Grund für die Bürger, sich eine Signaturkarte zu besorgen. Ohne ausreichenden Bestand an Signaturkarten in der Bevölkerung gibt es keinen Grund für Anbieter, signaturbasierte Dienste zu entwickeln.

Multimedia-Städtewettbewerb MEDIA@Komm BMWi als Träger, Fördervolumen bis zu 60 Mio. DM Ziel: Erprobung der Elektr. Signatur nach Signaturgesetz 136 Grobkonzepte - 10 Detailkonzepte - 3 Siegerkonzepte Sieger: Bremen, Esslingen, Nürnberg Status: Dreijährige Förderlaufzeit begann im September 99 Gründung der bremen online services GmbH & Co. KG als PPP für Umsetzung des Bremer Projekts zentrale Begleitforschung: www.mediakomm.net

Drei Säulen, die parallel entwickelt werden Bürger Kiosksystem Internet Zugang Digitale Signatur Trust Center Online-Plattform Kreditwirtschaft Behörden, Hochschulen usw. Anwendungen Digitale Signatur

Varianten der Signatur-Chipkarten Monofunktionale Signaturkarte 1234 56-789 9876543-0 Konto- Nr . Karten- 99 0321 D Maestro Die Sparkasse Bremen MAX MUSTERMANN Integrierte Sig-/ec-Karte (2002)

Varianten von Chipkarten-Lesegeräten Lesegeräte unterscheiden sich vor allem durch die HBCI-Klasse (HBCI = Home Banking Computer Interface) Klasse 1: kein Display, keine Tastatur = keine Geldkartenzahlung über Internet Klasse 3: Leser mit Display und Tastatur = Geldkartenzahlung + Aufladung über Internet möglich Mit der Abschlussfolie möchte ich für eine solche gemeinsame Einkaufsstrategie auch für die ja benötigten Chipkartenleser werben. Trotz unterschiedlicher Anforderungen muss es im Interesse einer Kundenorientierung sein, dass jeder Kunde/Bürger nur einen Chipkartenleser benötigt, mit dem er alle Anwendungen bedienen kann. Auch Leser mit Display und Tastatur können bei entsprechender Stückzahl sehr preiswert eingekauft werden.

Auf einen Blick: Ausgabestellen Signaturkarten & Chipkartenleser und betreute Nutzerplätze in Bremen

Online-Dienste mit Signaturkarte Öffentliche Verwaltung Internet technische Plattform Trust Center Signaturkarte Dienstleistungs-unternehmen Hochschul-verwaltung Kreditwirtschaft Eine Karte für viele Anwen-dungsfelder

Plattform und Intermediär Interpretiert Nutzungsdaten ohne Zugriff auf Inhaltsdaten. Nachrichtenspeicherung und -steuerung, zentrale Dienste.

Standardisierung des Datenaustausches „Zwischen Bürger, Verwaltung und Dienstleistern sollen rechtsverbindliche Dienstleistungen und Transaktionen vollelektronisch und ohne Medienbrüche abgewickelt werden können.“ Online Services Computer Interface (OSCI)

OSCI-Architecture (OSCAR) Programmpaket zur Erstellung, Übermittlung und Prüfung OSCI-konformer* Nachrichten als asynchrone Mail oder Online-Komponente beliebiger Fachverfahren Client Intermediär Dienstleister Signieren (De)Chiffrieren Anbindung Lesegeräte Anbindung Smart Cards und Software-Zertifikate Integration von Attachments Visualisierungskomponente Transport und Routing sicherer, anonymer Mailserver (Postkörbe etc.) Zertifikats- und Signaturprüfung Funktionen wie Client Adapterfunktionen zur Anbindung beliebiger Fachverfahren *: OSCI: Online Services Computer Interface

Das „Bermuda-Dreieck“

Der Weg einer OSCI-Nachricht

Elektronische Signaturen: Stand der Dinge Signaturbasierte Online-Dienste: Probleme und Lösungen MEDIA@Komm, OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

elektronischer Studentenausweis Studierende Hochschul-verwaltung Terminal auf Campus

Vor- und Nachteile aus Kundensicht Einfache Handhabung (in der Regel) Begrenzter Schaden bei Verlust Bedarfsgerechte (Multi)Funktionalität Unkomfortable „Kartensammlungen“ Unterschiedliche PIN/TAN Ungewißheit über Sicherheitskonzept des Anbieters

Vor- und Nachteile aus Anbietersicht Sichere Identifizierung der Kunden Bedarfsgerechte (Multi)Funktionalität Imagegewinn, Marketinginstrument Sehr hoher Aufwand für Karten-Infrastruktur Abhängigkeit von einzelnen Systemanbietern Unklare Beweislage vor Gericht Zukunftsoffenheit?

www.bremer-online-service.de www.bremen.de www.uni-bremen.de

Selbstbedienung mit Signaturkarte ? Internet Hochschul-verwaltung Studierende Signaturkarte Trust Center

Vorläufige Variante des Online-Dienstes Studierende Sachbearbeitung in der Hochschulverwaltung Trust Center So sieht es die Sachbearbeitung

Ziel: Automatisierter Dialog mit Fachverfahren Trust Center 2 + Matr.nr. 1 Fachverfahren der Hochschulverwaltung 3 Studierende 7 4 5 6

Geschäftsvorfälle Übermittlung von Zulassungs- und Immatrikulationsdaten Mitteilung von Adressänderungen Beantragung von Urlaubssemestern Exmatrikulation auf eigenen Antrag Ausdruck zusätzlicher Studienbescheinigungen Anmeldung zu Prüfungen (Mail/Office) SB-Funktionalitäten von Prüfungsverwaltungssystemen Korrespondenz mit Studentenwerk (BAföG, Wohnheime) Online-Gremienwahl (Erprobung an Hochschule BHV)

Gebührenregelung bremer-online-service: - pro Karte: 10,- (TeleSec: ca. 250 DM für 2 Jahre) - pro Kartenleser: 20,- DM (Marktpreis: 200 DM) Sonderregelung für Studierende: - keine Kartengebühr, wenn Registrierung im dafür vorgesehenen Zeitraum („Aktionswoche“) erfolgt - keine Sonderregelung bei Gebühr für Kartenleser

Elektronische Signaturen: Stand der Dinge Signaturbasierte Online-Dienste: Probleme und Lösungen MEDIA@Komm, OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

Fortschritte MEDIA@Komm - Entwicklung prototypischer Anwendungen - Sammlung wertvoller Erfahrungen bei Aufbau und Betrieb von Public-Key-Services zunehmende Zahl von Trust Centern senkt die Kosten und fördert Wettbewerb um nutzerfreundliche Produkte Lockerungen beim Schriftformerfordernis eröffnen weitere Anwendungsfelder OSCI-Kernel kann Karten verschiedener Trust Center verarbeiten und Lesegeräte unterschiedlicher Anbieter ansprechen Interesse an Nutzungsmöglichkeiten elektronischer Signaturen nimmt zu

Probleme Unsicherheiten durch neues Gesetz, z.B.: Wann sind qualifizierte, wann akkreditierte Signaturen erforderlich? wenig eingängige Thematik für Gelegenheitsnutzer (Terminologie, Funktionsweise...) vor der ersten Online-Transaktion sind aufwändige Vorbereitungen der Nutzer erforderlich (Karte, Software, Kartenleser) Kosten-Nutzen-Relation aus Nutzersicht weiterhin inakzeptabel

Elektronische Signaturen – auf dem Weg zum Erfolgsmodell? Ja, denn mit zunehmender Häufigkeit elektronischer Transaktionen (E-Commerce, E-Government) steigt der Bedarf nach Sicherheit und Rechtsverbindlichkeit. Ja, denn es ist unakzeptabel, den Nutzern für jeden Online-Dienst spezielle Zugangslösungen (PIN/TAN, Chipkarten plus passende Leser...) anzubieten. Aber wir sollten nicht vergessen, dass wir uns erst am Anfang eines komplizierten Diffusionsprozesses befinden.

Kontakt wind@tzi.de www.signatur.uni-bremen.de http://www.bremer-online-service.de