Elektronische Signatur

Was ist die elektronische Signatur?

Die Funktionsweise elektronischer Signaturen

Im elektronischen Geschäftsverkehr ist es besonders wichtig zu wissen, welchem Absender das elektronische Dokument zuzuordnen ist. Sowohl Vertragsabschlüsse als auch Bestellungen und die damit verbundenen Zahlungen sind über das Internet möglich. Durch die Technik der elektronischen Signatur wird gewährleistet, dass das Dokument vom Unterzeichner stammt und unverändert und vollständig übermittelt wurde. Die Akzeptanz des E-Commerce hängt von der Rechtssicherheit im Internet ab. Dazu leistet die elektronische Signatur einen wesentlichen Beitrag.
Die elektronische Signatur ist dabei keineswegs das digitale Abbild der Unterschrift, sondern die Signaturtechnologie erzeugt jeweils eine eigene Kennung, die gleichzeitig das Dokument und den Unterzeichner repräsentiert. Dem Empfänger fiele sofort auf, wenn die Nachricht von einem Fremden manipuliert wurde. Seine Software würde ihm melden, dass der Inhalt des Dokumentes verändert worden ist.
Jeder Signaturbesitzer bekommt ein individuelles digitales Schlüsselpaar. Es besteht aus
  • dem „geheimen Schlüssel“ („Signaturschlüssel“): Der geheime Schlüssel befindet sich auf der Chipkarte des Users und ist nicht auslesbar. Er wird verwendet für die Signaturerzeugung: Beim Signieren der Nachricht wird eine Art Kopie der Nachricht angefertigt und mit Hilfe des geheimen Schlüssels verschlüsselt. Das Ergebnis dieses Vorganges ist die elektronische Signatur, die zusammen mit dem Originaldokument versandt wird.
  • „öffentlichen Schlüssel“ („Signaturprüfschlüssel“). Mit dem öffentlichen Schlüssel tritt der User nach außen in Erscheinung. Dieser Schlüssel kommt bei der Signaturprüfung zum Einsatz: Der öffentliche Schlüssel wird mit der signierten Nachricht mitgeschickt. Beim Empfänger wird dann die verschlüsselte Kopie des Dokumentes mit Hilfe des öffentlichen Schlüssels entschlüsselt. Die Unversehrtheit der Nachricht wird überprüft, indem das Originaldokument mit der entschlüsselten Kopie verglichen wird.
Ein solches Verfahren, das auf der Verwendung eines geheim zu haltenden Schlüssels und eines frei verfügbaren Schlüssels beruht, bezeichnet man als asymmetrisches kryptographisches Verfahren. Durch die elektronische Signatur wird Ihr Dokument nicht vor unbefugter Einsicht geschützt: Eine handschriftliche Unterschrift auf einem Papierdokument schützt ja auch nicht vor Einsichtnahme Dritter. Dazu müssen Sie das Dokument zusätzlich verschlüsseln, was häufig in der Anwendungssoftware als zusätzliche Option vorgesehen wird.

Wie wird signiert?

Im Folgenden finden Sie eine allgemeine Beschreibung, die unabhängig von der Software ist, die Sie einsetzen und deshalb keine Details zur Durchführung enthält. Die Handhabung ist an die jeweilige Software gebunden.
Nehmen wir an, Sie wollen ein Dokument elektronisch signieren:
  • Nachdem Sie die elektronischen Daten erzeugt haben, legen Sie Ihre Signaturkarte in den Kartenleser ein.
  • In Ihrem Anwendungsprogramm klicken Sie den Befehl „Dokument signieren“ an.
  • Sofern es sich um eine bestätigte Signaturanwendungskomponente handelt, wird Ihnen nun der Inhalt des Dokuments noch einmal angezeigt, nämlich mit Hilfe der sogenannten „Darstellungskomponente“ (secure viewer) Ihrer Signaturanwendungssoftware.
  • Prüfen Sie JETZT, was Sie auf dem Bildschirm sehen, denn dies ist der maßgebliche Inhalt für die elektronische Signatur!
  • Wenn Sie nun den Inhalt bestätigen und signieren wollen, müssen Sie die PIN Ihrer Signaturkarte eingeben. Fertig!
Signaturanwendungssoftware, die nicht geprüft ist, ist nicht konform mit dem Signaturgesetz und kann prinzipiell einen verborgenen Text in das Dokument schmuggeln, durch den Sie zum Kauf des berühmten Staubsaugers verpflichtet werden könnten.

Wie prüft man eine Signatur?

Zur Überprüfung der elektronischen Signatur benötigt Ihre Signaturprüfsoftware den Signaturprüfschlüssel des Absenders. Dieser Signaturprüfschlüssel befindet sich im Zertifikat des Absenders, das mit der signierten Nachricht mitgeschickt wird.
Selbsttätig überprüft die Signatursoftware die Gültigkeit und die Herkunft des Zertifikates sowie die Unversehrtheit der signierten Daten und gibt das Ergebnis der Prüfung in einer Meldung aus. Der rechtlich maßgebliche Inhalt des Dokumentes wird dabei wieder in einer Darstellungsweise angezeigt, die Bestandteil Ihrer Signaturanwendungssoftware ist und gegen unbemerkte Manipulation gesichert ist. Diese Prüfung kann lokal ohne Internetanschluss durchgeführt werden. Will man sich vergewissern, dass das Zertifikat noch gültig und nicht gesperrt ist, so kann man mit bestätigter Signaturanwendungssoftware auch eine Online-Prüfung des Zertifikats beim Zertifizierungsdiensteanbieter vornehmen, entweder indem ein Abgleich der Sperrlisten (CRL) durchgeführt wird oder eine OCSP - Abfrage (online certificate status protocol), bei der angezeigt wird, ob das Zertifikat gültig, gesperrt oder unbekannt ist.