Elektronische Signaturen für Online-Dienste Dr. Martin Wind

1. Elektronische Signaturen für Online-Dienste Dr. Martin Wind

2. Elektronische Signaturen: Stand der Dinge • Signaturbasierte Online-Dienste: Probleme und Lösungen • MEDIA@Komm, OSCI und OSCAR • Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven • Erfolgsmodell Elektronische Signatur?

3. Das Internet... ... wächst und wächst und wächst ... ist aber nach wie vor nur bedingt für kommerzielle oder behördliche Transaktionen geeignet:- mangelnde Sicherheit - Anonymität der Nutzer(innen)- anpassungsbedürftiger Rechtsrahmen D.h.: Viele Anwendungen, die theoretisch übers Internet abgewickelt werden könnten, lassen sich nicht realisieren oder erfordern Zusatzaufwand.

4. Elektronische Signatur mit asymmetrischem Verfahren Absender einer Nachricht verfügt über einen öffentlich übers Internet abrufbaren und einen privaten, unauslesbar auf einer Chipkarte befindlichen Schlüssel. Beim Verschicken einer Nachricht signiert der Absender diese mit seinem privaten Schlüssel, dem elektronischen Pendant zur "echten" Unterschrift. Der Empfänger prüft nun die Echtheit des Absenders, indem er die Signatur mit dem öffentlichen Schlüssel des Absenders decodiert. Läßt sich die „Unterschrift“ so verifizieren, ist die Nachricht eindeutig vom Absender und außerdem nach dem Signieren nicht mehr nachträglich geändert worden.

5. Elektronische Signaturen • ermöglichen Authentifikation: eine Nachricht stammt tatsächlich vom angegebenen Absender • sichern Integrität einer Nachricht: nachträgliche Veränderungen werden bemerkt • gewährleisten Vertraulichkeit: verschlüsselte Nachrichten können nur vom gewünschten Adressaten entschlüsselt und gelesen werden • öffnen den Weg für sichere und rechtsverbindliche Online-Transaktionen ohne Medienbrüche

6. Elektronische Signaturen in Deutschland • 1997: Signaturgesetz und Signaturverordnung • 2000: EU-Richtlinie zu elektronischen Signaturen • 15.2.2001: Bundestag novelliert Signaturgesetz • 22.5.2001: Gesetz über Rahmenbedingungen für elektronische Signaturen tritt in Kraft veränderter Sprachgebrauch: elektronische statt digitale Signaturen Zertifizierungsstellen können Aufgaben an Dritte delegieren (Voraussetzung: Einbindung in Sicherheitskonzept) Zertifizierungsstellen: nachgelagerte Kontrolle statt vorgelagerter Genehmigung

7. Arten elektronischer Signaturen nach dem neuen Signaturgesetz Deutschland • elektronische Signaturen (§ 2 Nr. 1 SigG)eingescannte Unterschrift, elektronische Visitenkarte u.ä. • fortgeschrittene elektronische Signaturen (§ 2 Nr. 2 SigG)PGP-Signaturen u.ä. • qualifizierte elektronische Signaturen (§ 2 Nr. 3 SigG)beruhen auf einem gültigen qualifizierten Zertifikat und sind mit einer sicheren Signaturerstellungseinheit erzeugt worden • qualifizierte elektronische Signaturen mit Anbieter-Akkreditierung (§ 15 I 4 SigG)alle „digitalen Signaturen“ nach altem SigG

8. Rechtliche Wirkung „Einfache“ und fortgeschrittene elektronische Signaturen • nutzbar, wenn keine besonderen Formerfordernisse bestehen • als Beweismittel zulässig (freie Beweiswürdigung) Qualifizierte elektronische Signaturen (mit/ohne Akkreditierung) • sind i.V.m. Formanpassungsgesetzen der handschriftlichen Unterschrift gleichgestellt • besitzen erhöhte Beweiskraft (Anscheinsbeweis § 292 a ZPO) Online-Transaktionen werden auch dort möglich, wo Formvorschriften dem bislang entgegen standen.

9. Akkreditierte Anbieter • Produktzentrum TeleSec der Deutschen Telekom AG • Bundesnotarkammer • Deutsche Post Signtrust GmbH • DATEV • Steuerberaterkammern Nürnberg, Saarland, Bremen • Medizon AG (Berlin) • Rechtsanwaltskammern Bamberg, Koblenz, Stuttgart, München, Berlin • AuthentiDate International AG (Ratingen) • TC TrustCenter (Hamburg) • bei RegTP angezeigt, aber nicht akkreditiert:D-Trust GmbH (100%-Tochter der Bundesdruckerei)

10. Elektronische Signaturen: Stand der Dinge • Signaturbasierte Online-Dienste: Probleme und Lösungen • MEDIA@Komm, OSCI und OSCAR • Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven • Erfolgsmodell Elektronische Signatur?

11. 2. Signaturbasierte Online-Dienste: Probleme und Lösungen 2.1Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

15. Lösungsansatz 1: Standardisierung • ISIS-MTT Industrial Signature Interoperability and Mailtrust SpecificationCCI, Datev, Signtrust, TeleSec, D-Trust, Giesecke & Devrient, Sparkassen Informatik, TC Trustcenter plus unterstützende Unternehmen und Organisationen (z.B. bos, Bundesdruckerei, secunet ...) • http://www.t7-isis.org

16. Lösungsansatz 2: Brückenbau • Bridge-CAorganisationsübergreifende herstellerunabhängige Initiative zur Verknüpfung bestehender Sicherheitsinfrastrukturen20 Unternehmen unterschiedlicher Branchen, u.a. Deutsche Bank, Deutsche Telekom, Giesecke & Devrient, Sparkassen Informatik, BSI ...

17. Der Brückenschlag Quelle: www.bridge-ca.org/

18. Lösungsansatz 3: Dienste bzw. Produkte Dritter

19. 2. Signaturbasierte Online-Dienste: Probleme und Lösungen 2.1 Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

20. Archivierung elektronisch signierter Nachrichten • Problem: Signaturalgorithmen werden mit der Zeit schwächer, Beweiskraft schwindet

21. § 17 Signaturverordnung Zeitraum und Verfahren zur langfristigen Datensicherung Daten mit einer qualifizierten elektronischen Signatur sind nach § 6 Abs. 1 Satz 2 des Signaturgesetzes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen.

22. Archivierung elektronisch signierter Nachrichten • Problem: Signaturalgorithmen werden mit der Zeit schwächer, Beweiskraft schwindet • Lösungsansatz A: Nachsignieren mit Zeitstempel • Lösungsansatz B: Anderweitiger Nachweis der Vertrauenswürdigkeit eines archivierten Dokuments (z.B. Verwendung eines anerkannten, überprüften, zertifizierten Archivierungsverfahrens) • Forschungsprojekt ArchiSig: Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumentewww.archisig.de

23. Dauerhafte Nachprüfbarkeit elektronischer Signaturen • Qualifizierte elektronische Signaturen:Anbieter müssen Zertifikat bis 5 Jahre nach Ende der Gültigkeit im Verzeichnis führen • Qualifizierte Signaturen akkreditierter Anbieter:Anbieter müssen Zertifikat bis 30 Jahre nach Ende der Gültigkeit im Verzeichnis führen;sollte ein akkreditierter Anwender seine Tätigkeit einstellen, übernimmt die zuständige Behörde (derzeit: Regulierungsbehörde für Telekommunikation und Post) diese Dokumentation

24. 2. Signaturbasierte Online-Dienste: Probleme und Lösungen 2.1 Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

25. Internes Key-Management • Wer benötigt eine digitale Signatur? • Wie wird die Funktion einer Person elektronisch abgebildet? • Lösung 1: Attributzertifikate • Lösung 2: pseudonymisierte Zertifikate • Lösung 3: standardmäßige Signaturkarte • Welche öffentlichen Schlüssel werden zur Verschlüsselung durch die Nutzer bereitgestellt? • Hybridsystem: personengebundene Signatur und bereichsbezogener Verschlüsselungsschlüssel

26. Elektronische Signaturen: Stand der Dinge • Signaturbasierte Online-Dienste: Probleme und Lösungen • MEDIA@Komm, OSCI und OSCAR • Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven • Erfolgsmodell Elektronische Signatur?

27. Diffusionsproblem • Ohne entsprechende Online-Angebote gibt es keinen Grund für die Bürger, sich eine Signaturkarte zu besorgen. • Ohne ausreichenden Bestand an Signaturkarten in der Bevölkerung gibt es keinen Grund für Anbieter, signaturbasierte Dienste zu entwickeln.

28. Multimedia-Städtewettbewerb MEDIA@Komm • BMWi als Träger, Fördervolumen bis zu 60 Mio. DM • Ziel: Erprobung der Elektr. Signatur nach Signaturgesetz • 136 Grobkonzepte - 10 Detailkonzepte - 3 Siegerkonzepte • Sieger: Bremen, Esslingen, Nürnberg • Status: Dreijährige Förderlaufzeit begann im September 99 • Gründung der bremen online services GmbH & Co. KG als PPP für Umsetzung des Bremer Projekts • zentrale Begleitforschung: www.mediakomm.net

29. Bürger Kreditwirtschaft Digitale Signatur Digitale Signatur Internet Kiosksystem Trust Center Behörden, Hochschulen usw. Anwendungen Zugang Online-Plattform Drei Säulen, die parallel entwickelt werden

30. MonofunktionaleSignaturkarte IntegrierteSig-/ec-Karte (2002) Die Sparkasse Bremen D 99 0321 MAX MUSTERMANN Maestro Konto- Nr . Karten- Nr . 1234 56-789 9876543-0 Varianten der Signatur-Chipkarten

31. Varianten von Chipkarten-Lesegeräten Lesegeräte unterscheiden sich vor allem durch die HBCI-Klasse(HBCI = Home Banking Computer Interface) Klasse 1: kein Display, keine Tastatur = keine Geldkartenzahlung über Internet Klasse 3: Leser mit Display und Tastatur = Geldkartenzahlung + Aufladung über Internet möglich

32. Auf einen Blick: Ausgabestellen Signaturkarten & Chipkartenleser und betreute Nutzerplätze in Bremen

33. Internet technische Plattform Öffentliche Verwaltung Dienstleistungs-unternehmen Signaturkarte Hochschul-verwaltung Kreditwirtschaft Trust Center Online-Dienste mit Signaturkarte EineKarte fürvieleAnwen-dungsfelder

34. Plattform und Intermediär • Interpretiert Nutzungsdaten ohne Zugriff auf Inhaltsdaten. • Nachrichtenspeicherung und -steuerung, zentrale Dienste.

35. Online Services Computer Interface (OSCI) Standardisierung des Datenaustausches „Zwischen Bürger, Verwaltung und Dienstleistern sollen rechtsverbindliche Dienstleistungen und Transaktionen vollelektronisch und ohne Medienbrüche abgewickelt werden können.“

36. Client Intermediär Dienstleister *: OSCI: Online Services Computer Interface Programmpaket zur Erstellung, Übermittlung und Prüfung OSCI-konformer* Nachrichten als asynchrone Mail oder Online-Komponente beliebiger Fachverfahren OSCI-Architecture (OSCAR) • Signieren • (De)Chiffrieren • Anbindung Lesegeräte • Anbindung Smart Cards und Software-Zertifikate • Integration von Attachments • Visualisierungskomponente Transport und Routing sicherer, anonymer Mailserver (Postkörbe etc.) Zertifikats- und Signaturprüfung Funktionen wie Client Adapterfunktionen zur Anbindung beliebiger Fachverfahren

37. Das „Bermuda-Dreieck“

38. Der Weg einer OSCI-Nachricht

39. Elektronische Signaturen: Stand der Dinge • Signaturbasierte Online-Dienste: Probleme und Lösungen • MEDIA@Komm, OSCI und OSCAR • Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven • Erfolgsmodell Elektronische Signatur?

40. elektronischer Studentenausweis Hochschul-verwaltung Studierende Terminal auf Campus

41. Vor- und Nachteile aus Kundensicht • Einfache Handhabung (in der Regel) • Begrenzter Schaden bei Verlust • Bedarfsgerechte (Multi)Funktionalität • Unkomfortable „Kartensammlungen“ • Unterschiedliche PIN/TAN • Ungewißheit über Sicherheitskonzept des Anbieters

42. Vor- und Nachteile aus Anbietersicht • Sichere Identifizierung der Kunden • Bedarfsgerechte (Multi)Funktionalität • Imagegewinn, Marketinginstrument • Sehr hoher Aufwand für Karten-Infrastruktur • Abhängigkeit von einzelnen Systemanbietern • Unklare Beweislage vor Gericht • Zukunftsoffenheit?

43. www.bremer-online-service.de www.bremen.de www.uni-bremen.de

44. Signaturkarte Hochschul-verwaltung Internet Studierende ? Trust Center Selbstbedienung mit Signaturkarte

45. Sachbearbeitung in derHochschulverwaltung Studierende Trust Center Vorläufige Variante des Online-Dienstes

46. 2 Trust Center 1 3 + Matr.nr. Fachverfahren derHochschulverwaltung Studierende 7 4 5 6 Ziel: Automatisierter Dialog mit Fachverfahren

47. Geschäftsvorfälle Mitteilung von Adressänderungen Beantragung von Urlaubssemestern Exmatrikulation auf eigenen Antrag Ausdruck zusätzlicher Studienbescheinigungen • Übermittlung von Zulassungs- und Immatrikulationsdaten Anmeldung zu Prüfungen (Mail/Office) SB-Funktionalitäten von Prüfungsverwaltungssystemen Korrespondenz mit Studentenwerk (BAföG, Wohnheime) Online-Gremienwahl (Erprobung an Hochschule BHV)

48. Gebührenregelung bremer-online-service:- pro Karte: 10,- (TeleSec: ca. 250 DM für 2 Jahre)- pro Kartenleser: 20,- DM (Marktpreis: 200 DM) Sonderregelung für Studierende:- keine Kartengebühr, wenn Registrierung im dafür vorgesehenen Zeitraum („Aktionswoche“) erfolgt- keine Sonderregelung bei Gebühr für Kartenleser

49. Elektronische Signaturen: Stand der Dinge • Signaturbasierte Online-Dienste: Probleme und Lösungen • MEDIA@Komm, OSCI und OSCAR • Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven • Erfolgsmodell Elektronische Signatur?

50. Fortschritte • MEDIA@Komm- Entwicklung prototypischer Anwendungen- Sammlung wertvoller Erfahrungen bei Aufbau und Betrieb von Public-Key-Services • zunehmende Zahl von Trust Centern senkt die Kosten und fördert Wettbewerb um nutzerfreundliche Produkte • Lockerungen beim Schriftformerfordernis eröffnen weitere Anwendungsfelder • OSCI-Kernel kann Karten verschiedener Trust Center verarbeiten und Lesegeräte unterschiedlicher Anbieter ansprechen • Interesse an Nutzungsmöglichkeiten elektronischer Signaturen nimmt zu