310 likes | 463 Views
Elektronische Signaturen „ Viel Lärm um fast nichts? “ Dr. iur. Lutz Gollan. 7. Konferenz der IuK-Initiative, 11.-14. März 2001, Trier. Überblick. Grundsätzliches zu (elektronischen) Signaturen Rechtlicher Rahmen Praxis/Auswirkungen. Unterschriften I. Zwecke der Unterschrift. Warnung
E N D
Elektronische Signaturen „Viel Lärm um fast nichts?“ Dr. iur. Lutz Gollan 7. Konferenz der IuK-Initiative, 11.-14. März 2001, Trier
Überblick • Grundsätzliches zu (elektronischen) Signaturen • Rechtlicher Rahmen • Praxis/Auswirkungen
Unterschriften I Zwecke der Unterschrift • Warnung • Dauerhaftigkeit • Abschluss („Unter-Schrift“) • Identifikation • Beweiskraft • Echtheit • Gesetzlich erforderlich (z.B. längerfristiger MietV)
Unterschriften II „Elektronische Unterschriften“ • Verfahren zur elektronischen Verknüpfung von Daten mit anderen Daten • Zum Zweck der Authentifizierung und Identifizierung • Elektronische Äquivalent zur händischen Unterschrift • Ergebnis an Ausgangsdaten gebunden • Keine bestimmte Infrastrukturen, Algorithmen oder Anwendungen per definitionem nötig
Digitale Signaturen • Untergruppe elektronischer Unterschriften • Menge von Protokollen auf Basis der „asymmetrischen Verschlüsselung“ • zur Sicherstellung der Authenzität und Integrität elektronischer Daten • Bestimmte Technologie (z.B. PGP)
Elektronische Unterschriften Elektronische Signaturen Scan Biometrie Digitale Signaturen ...
Public-Key-Infrastrukturen(PKI) • Infrastruktur für den Einsatz von digitalen Signaturen • Gesamtheit der Rollen und Kompetenzen der Beteiligten (Trust Center, Root CA, Teilnehmer)
Bsp.: Hierarchische PKI Root CA TC A TC B TC C Teilneh-mer Teilneh-mer Teilneh-mer
Geplante Gesetze • Auf Grundlage der Richtlinie der EU über elektronische Signaturen 1999 • Signaturgesetz 2001 • Signaturverordnung 2001 • Anpassungsgesetz für Privatrecht 2001 • Vereinzelte Anpassungen (z.B. UStG)
Signaturgesetz 2001 • Rahmen, Definitionen, Rechtsgrundlage für SigVO • Von Bundestag und Bundesrat verabschiedet • Anforderungen an: • digitale Signaturen • Infrastruktur (hierarchische PKI) • Zertifizierungsdiensteanbieter • Keine Rechtsfolgen von digitalen Signaturen hier geregelt
Signaturverordnung 2001 • Nachfolger der SigVO 1997; Sommer 2001 ? • Details zur Ergänzung des SigG • Details bzgl. Anbieter, Infrastruktur, Komponenten, Versicherung, Kundenbetreuung • ...
Anpassungsgesetz 2001 • Regelt die gesetzlichen Rechtsfolgen im Privatrecht bei Verwendung digitaler Signaturen • Anpassungen von • BGB, ZPO, Verbraucherkredit-Gesetz etc. • weiterhin Ausnahmen (z.B. Kündigung des Arbeitsvertrages) • “Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz etwas anderes ergibt“ (§ 126 III BGB-E) • Erwartet für Sommer 2001
„Qualifizierte elektronische Signaturen“ = Digitale Signaturen
Qualifizierte elektronische Signaturen • SigG regelt nur qualifizierte elektronische Signaturen • Nur diese werden handschriftlichen Unterschriften grundsätzlich gleichgestellt • Prozessrecht: Q.e.S. werden als echt angesehen, biserhebliche Tatsachen dagegen vorgelegt werden (§ 292a ZPO-E)
Trust Center Trust Center Verzeichnisdienst Zertifikat Name, Land, öffentl. Schlüssel, Gültigkeits- dauer ... Registrierung (Name, Perso.-Nr. ...) Schlüsselerzeugung privat öffentlich privater Schlüssel
Signier-Prozess Dokument Sender Empfänger + Signieren Privater Key des Senders Hash-Wert Signatur Signatur
Hash-Wert Match ? Hash-Wert Überprüfungs-Prozess Entschlüsseln des Hash-Werts Entschlüsselt Empfänger Public Key des Senders Generierung Hash-Wertes Dokument
Zertifizierungsdiensteanbieter • Meldepflicht bei RegTP • Sichere Infrastruktur, verlässliches + ausgebildetes Personal und zertifizierte Komponenten • Kundenbelehrung • Dokumentation • Versicherung • ...
Ideal • Mittel für einfachen, kostengünstigen elektronischen Geschäfts- und Rechtsverkehr • SigG-Konformität • Kompatibilität: deutschlandweit, europaweit, weltweit • Kostengünstig
Stand der Dinge • Derzeit nur drei Anbieter von q.e.S. • Telesec, Signtrust, Bundesnotarkammer (mit Signtrust) • Technische Anforderungen werden durch neue Gesetze nur zum Teil geringer • Techniken nicht kompatibel (Telesec vs. Signtrust) • Anwender auf Signieren von E-Mails mit bestimmten Programmen beschränkt • Was ist bspw. mit formatierten Texten?
Mittelfristige Szenarien Offene, aber nicht kompatible PKIs gemäß SigG Offene PKIs ohne SigG-Konformität Geschlossene Benutzergruppen (vgl. HBCI)
Offene (nicht kompatible)PKIs gemäß SigG • Heutiger Stand • + einige nicht nicht gesetzes-konforme PKIs
Offene PKIsohne SigG-Konformität • Nachteile • Keine gesetzlich/vertraglich • geregelte Rechtssicherheit • Geringere technische • Sicherheit Vorteile • Jedermann kann teilnehmen • Leichter Zugang • Kostengünstig z.B. Pretty-Good-Privacy
Geschlossene Benutzergruppen • Nachteile • Keine gesetzlich geregelte • Rechtssicherheit • fehlende Kompatibilität • nach außen • Proprietäre Anwendungen • Geschlossen Gruppen Vorteile • Vertragliche Absicherung • Leichter Zugang • Kostengünstig z.B. HBCI-Banking
Konsequenzen • Konvergenz von Kompatibilität und Gesetzes-Konformität nötig • Standardisierungen nötig • Einheitliche Anwendungen • Akzeptanzstärkung in Wirtschaft, Verwaltung und bei Verbrauchern
Alternativen? • Haftung bei Kreditkartensystem als Modell? • Verbraucherfreundlichkeit durch Haftungs-beschränkung • Aber nicht für B-2-B und Verwaltung tauglich • De-Regulierung? • EU-Richtlinie zu elektronischen Signaturen • Sicherheit als Maßstab
Herzlichen Dank! Dr. iur. Lutz Gollan gollan@ti.fhg.de