von Redaktion IT-A…
Lesezeit
2 Minuten
Unterschiedliche Arten elektronischer Signaturen
In einer digitalen Welt bedarf es Mittel und Wege, die analoge Unterschrift zu ersetzen. Das schafft Rechtssicherheit und ermöglicht neue Geschäftsmodelle mit nutzerfreundlichen Prozessen. Der Fachartikel zeigt, aus welchen Komponenten sich eine elektronische Signatur zusammensetzt. Außerdem erklären wir, welche Varianten von elektronischen Signaturen existieren, was deren Vor- und Nachteile sind und für welche Anwendungsgebiete sich diese jeweils eignen.
Das Internet ist traditionell eine anonyme Parallelwelt, eine Welt der Nicknames und Avatare. Aus den verschiedensten Gründen schätzen Nutzer diese Anonymität. Die zusehende Kommerzialisierung des Webs sorgte aber schon früh dafür, dass es an bestimmten Punkten Schnittstellen zur realen Welt bedarf, um rechtssichere Transaktionen zu gewährleisten und illegale Machenschaften zu verhindern. Um die zentrale Frage nach der Identität von Personen im Netz zu klären, kamen und kommen immer noch Identifikationsverfahren zum Einsatz, die eher als Notlösung gelten können.
Schwächen der älteren Verfahren
Eine Methode zur Identifikation, die immer noch zur Anwendung kommt, ist die Identifikation in bestimmten Geschäften oder Filialen, beispielsweise in Postfilialen. Nutzer müssen sich dazu in die Filiale begeben und können sich dort durch eine autorisierte Person identifizieren lassen. Dabei ergibt sich eine Unterbrechung und der Prozess kann nicht direkt online komplettiert werden. Weitere Faktoren sind die geografische Abhängigkeit von den Identifikationsstandorten sowie Warte- und Öffnungszeiten.
Die nächste Methode ist die Videoidentifikation, bei sich der Kunde per Video durch einen Agenten identifizieren lässt. Die geografische Abhängigkeit entfällt. Aber auch die Call Center sind in der Regel nicht rund um die Uhr besetzt, sodass sich Nutzer an bestimmte Zeiten halten müssen und zudem eine entsprechend gute Internetverbindung vorhanden sein muss.
Der Personalausweis lässt sich ebenfalls zur elektronischen Identifikation nutzen. Dabei lassen sich entweder per Lesegerät oder RFID fähigem Smartphone die im Personalausweis hinterlegten Daten auslesen. Die Onlinefunktion wird aktuell nur von bestimmten Smartphone-Modellen unterstützt. Weiterhin bedarf es einer PIN, die die wenigsten zur Hand haben. Um eine neue PIN zu erhalten, führt der Weg nur über das nächste Bürgeramt.
Was alle drei genannten Verfahren gemeinsam haben: Sie orientieren sich an einem Token aus der analogen Welt, also dem Personalausweis. Die Identifikation erfolgt somit durch den Besitz des Ausweises. Eine inhärent digitale Lösung ist das aber noch nicht. Hier kommt die elektronische Signatur ins Spiel. Der Gedanke dahinter ist, nach einer einmaligen Identifizierung immer wieder direkt im digitalen Raum signieren zu können.
Das ist eine elektronische Signatur
Laut der eIDAS-Verordnung (Artikel 3.10) [1] besteht eine elektronische Signatur aus "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet." Das ist allerdings äußerst allgemein gehalten und kann auch nur der Name unter einer E-Mail-Adresse sein. Einer solchen Signatur kommt daher keinerlei Beweiskraft zu.
Die Verordnung kennt aber noch weitere Spezifikationen, darunter zunächst die fortgeschrittene elektronische Signatur, die Artikel 26 beschreibt. Dieser listet vier spezifische Anforderungen auf, die die fortgeschrittene elektronische Signatur erfüllen muss: "a) Sie ist eindeutig dem Unterzeichner zugeordnet. b) Sie ermöglicht die Identifizierung des Unterzeichners. c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann. d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann." Solche Signaturen lassen sich gemäß § 127 BGB für formfreie Vereinbarungen einsetzen. Sollte es zu einem Rechtsstreit kommen, liegt allerdings die Beweislast bei der Partei, die sich auf die Signatur bezieht – sie muss beweisen, dass diese echt ist.
ln/Marco Schmid, Head of International Expansion Strategy bei Swisscom Trust Services
[1] https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0910
Schwächen der älteren Verfahren
Eine Methode zur Identifikation, die immer noch zur Anwendung kommt, ist die Identifikation in bestimmten Geschäften oder Filialen, beispielsweise in Postfilialen. Nutzer müssen sich dazu in die Filiale begeben und können sich dort durch eine autorisierte Person identifizieren lassen. Dabei ergibt sich eine Unterbrechung und der Prozess kann nicht direkt online komplettiert werden. Weitere Faktoren sind die geografische Abhängigkeit von den Identifikationsstandorten sowie Warte- und Öffnungszeiten.
Die nächste Methode ist die Videoidentifikation, bei sich der Kunde per Video durch einen Agenten identifizieren lässt. Die geografische Abhängigkeit entfällt. Aber auch die Call Center sind in der Regel nicht rund um die Uhr besetzt, sodass sich Nutzer an bestimmte Zeiten halten müssen und zudem eine entsprechend gute Internetverbindung vorhanden sein muss.
Der Personalausweis lässt sich ebenfalls zur elektronischen Identifikation nutzen. Dabei lassen sich entweder per Lesegerät oder RFID fähigem Smartphone die im Personalausweis hinterlegten Daten auslesen. Die Onlinefunktion wird aktuell nur von bestimmten Smartphone-Modellen unterstützt. Weiterhin bedarf es einer PIN, die die wenigsten zur Hand haben. Um eine neue PIN zu erhalten, führt der Weg nur über das nächste Bürgeramt.
Was alle drei genannten Verfahren gemeinsam haben: Sie orientieren sich an einem Token aus der analogen Welt, also dem Personalausweis. Die Identifikation erfolgt somit durch den Besitz des Ausweises. Eine inhärent digitale Lösung ist das aber noch nicht. Hier kommt die elektronische Signatur ins Spiel. Der Gedanke dahinter ist, nach einer einmaligen Identifizierung immer wieder direkt im digitalen Raum signieren zu können.
Das ist eine elektronische Signatur
Laut der eIDAS-Verordnung (Artikel 3.10) [1] besteht eine elektronische Signatur aus "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet." Das ist allerdings äußerst allgemein gehalten und kann auch nur der Name unter einer E-Mail-Adresse sein. Einer solchen Signatur kommt daher keinerlei Beweiskraft zu.
Die Verordnung kennt aber noch weitere Spezifikationen, darunter zunächst die fortgeschrittene elektronische Signatur, die Artikel 26 beschreibt. Dieser listet vier spezifische Anforderungen auf, die die fortgeschrittene elektronische Signatur erfüllen muss: "a) Sie ist eindeutig dem Unterzeichner zugeordnet. b) Sie ermöglicht die Identifizierung des Unterzeichners. c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann. d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann." Solche Signaturen lassen sich gemäß § 127 BGB für formfreie Vereinbarungen einsetzen. Sollte es zu einem Rechtsstreit kommen, liegt allerdings die Beweislast bei der Partei, die sich auf die Signatur bezieht – sie muss beweisen, dass diese echt ist.
ln/Marco Schmid, Head of International Expansion Strategy bei Swisscom Trust Services
[1] https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0910
