SIGNATURGESETZ
Das österreichische Signaturgesetz (BGBl. 190/1999) ist mit 1. Jänner 2000 in Kraft getreten.
Anwendungsbereich
Das Signaturgesetz regelt den rechtlichen Rahmen für die
Erstellung und Verwendung elektronischer Signaturen sowie die
Erbringung von Signatur- und Zertifizierungsdiensten. Damit soll
Sicherheit erzielt werden über die
Identität handelnder Personen (Verfasser des e-mails) sowie
Unverfälschtheit von Nachrichten (gemailter Text)
Die elektronische Signatur ist eine Art Siegel, das den Absender und die Unverfälschtheit der Daten erkennen lässt. Die digitale Unterschrift ist nicht zu verwechseln mit einer „Verschlüsselung“ des Textes. Im Normalfall wird bei einer digitalen Unterschrift das Dokument im Klartext übermittelt. Auf die Verschlüsselung wird nur zur Erzeugung der digitalen Unterschrift zurückgegriffen. Da die digitale Signatur auf dem jeweiligen elektronischen Dokument basiert, sieht sie jedes Mal anders aus.
Ablauf der digitalen Signatur
SIGNATURSCHLÜSSELPAAR:
Um digitale Signaturen anwenden zu können, wird ein
Signaturschlüsselpaar benötigt. Dieses besteht aus
einem geheimen privaten und dem dazugehörigen
öffentlichen Schlüssel (Code), die zueinander in einer
besonderen mathematischen Beziehung stehen. Die Zuordnung der
Schlüssel zu einer bestimmten Person wird durch
ein Zertifikat bestätigt, das von einer
Zertifizierungsstelle erteilt wird. Diese Schlüssel sehen wie
willkürlich aneinandergereihte Buchstaben- und
Zahlenkombinationen aus. Nachrichten, die mit dem privaten Schlüssel
(private key) verschlüsselt wurden, lassen sich nur mehr mit dem
entsprechenden Gegenschlüssel (public key) entschlüsseln.
CHIPKARTENLESEGERÄTE:
Ferner
wird ein Computer mit einer Chipkartenlesefunktion
vorausgesetzt. Diese Lesegeräte haben die Aufgabe, die
persönliche Chipcard (Smartcard), auf der der private und
öffentliche Schlüssel gespeichert ist, zu lesen.
Derartige Smartcards (im Kreditkartenformat) werden dem
jeweiligen User von den sogenannten Zertifizierungsstellen
ausgegeben. Für die Verwendung einer sicheren digitalen
Signatur (siehe später) ist die Verwendung dieser Smartcard
Voraussetzung. Das größte Hindernis für die
Verbreitung der digitalen Signatur wird vorerst die Ausstattung der
User mit diesen Chipkartenlesegeräten sein. Die Kosten betragen
ca. € 100,00 für die Anschaffung. Die digitale Signatur
wird daher vorerst primär im Business-to-Business-Bereich zur
Anwendung kommen.
Während der öffentliche Schlüssel im Internet aus dem
Verzeichnis der Zertifizierungsstelle abrufbar ist, darf der private
Schlüssel die Smartcard nie verlassen. Die Benutzung der
Smartcard wird zusätzlich mit einem PIN-Code
gesichert.
HASH-CODE:
Wenn nun ein Dokument „unterschrieben“ werden
soll, so wird mit Hilfe einer speziellen Signatursoftware
auf der Chipkarte ein Wert (sogenannter Hash-Code)
ermittelt, der das zu unterzeichnende Dokument
eindeutig als authentisch ausweist. Ein mathematischer
Algorithmus führt zu immer gleichen Ergebnissen, solange der
Inhalt des Dokuments nicht verändert wird. Das bedeutet, eine
Änderung des Dokumentes durch Unbefugte führt zwangsläufig
zu einem anderen Hash-Code, wodurch der Empfänger des e-mails
die Änderung feststellen kann.
SIGNATUR:
Auf der Grundlage eines Verschlüsselungsverfahrens wird durch
die Verbindung des Hash Codes (Verschlüsselung des
Dokumentes) und des privaten Schlüssels (zur
Identifizierung des "Unterzeichners") die digitale
Signatur erzeugt und dem Dokument hinzugefügt. Dabei
ist die digitale Unterschrift nicht etwa so zu lesen wie eine
handschriftliche (Text)-unterzeichnung, sondern sie besteht lediglich
aus einer elektronischen Verschlüsselung, die ebenfalls
nur elektronisch entziffert werden kann. Die Berechnung des
Codes findet mit und in der Chipkarte statt, wodurch sichergestellt
wird, dass der private Schlüssel (private key) des
Unterzeichners den Anwender nicht verlässt und damit auch nicht
in das Netz gelangt.
ÜBERPRÜFUNG DER
ECHTHEIT:
Wenn die Unversehrtheit und Echtheit des
elektronisch übermittelten Dokuments beim Empfänger geprüft
werden soll, wiederholt man den eben beschrieben Vorgang unter
Nutzung des öffentlichen Schlüssels des Absenders
auf Seiten des Empfängers und vergleicht anschließend
den errechneten Wert. "Passt" der public key zum private
key, ist die Identität des Absenders sichergestellt.
Ist der Hash-Code des übermittelten Dokuments identisch mit dem empfangenen, erscheint eine entsprechende Bestätigung auf dem Bildschirm. Wurde der Inhalt des Textes verändert, so passt der Hash Code nicht mehr und es ist klar, dass das Dokument gefälscht wurde.
Dem Nutzer dieses Verfahrens wird dieser Gesamtvorgang viel einfacher erscheinen: zwei Mouseclicks aktivieren am Computer zuerst die Signatursoftware und dann die Ausführung der digitalen Signatur.
Wichtig ist, dass der private Schlüssel geheim bleibt und dass der öffentliche Schlüssel nicht berechnet werden kann, da andernfalls andere Personen damit digital signieren können.
Im Folgenden stellen wir den praktischen Ablauf grafisch dar:
Private Key Firma A
|
Public Key Firma B
|
FIRMA A
1) Um der Firma B ein verschlüsseltes Mail zu senden, braucht
die Firma A deren öffentlichen Public Key
Verschlüsselung durch Firma A
2) Das Mail kann mit dem Private Key der Firma A
versiegelt und so digital signiert werden
Signatur durch Firma A
3) Mit dem Public Key der Firma A "bricht" die Firma B deren Siegel; der Private Key der Firma B entschlüsselt das E-Mail.
FIRMA B
Private Key Firma B
|
Public Key Firma A
|
Ziele des Signaturgesetzes
Durch das Signaturgesetz sollen elektronische Signaturen im Geschäfts- und Rechtsverkehr zugelassen werden. Eine sogenannte sichere elektronische Signatur wird weitgehend mit den Rechtswirkungen einer eigenhändigen Unterschrift gleichgestellt. Überall dort, wo die gesetzlichen Bestimmungen eine eigenhändige Unterschrift notwendig machen (teilweise im Konsumentenschutzbereich) ist die Verwendung einer sicheren elektronischen Signatur ausreichend. Ausgenommen davon sind z.B. Rechtsgeschäfte des Familien- und Erbrechts
oder Bürgschaftserklärungen, welche weiterhin eigenhändig unterschrieben werden müssen.
Für Bestellungen im Versandhandel ist keine eigenhändige Unterschrift erforderlich (aber eventuell Beweisproblem)!
Unter sicheren elektronischen Signaturen versteht das Signaturgesetz Signaturen,
die die Identifizierung des Signators (Unterzeichners) sicherstellen,
die ausschließlich diesem zugeordnet und unter seiner alleinigen Kontrolle zu erstellen sind,
die nachträgliche Veränderungen unmöglich machen,
die auf einem qualifizierten Zertifikat (von der Zertifizierungsstelle ausgestellt) beruhen und
die mit sicheren technischen Komponenten erstellt wurden.
Dieses Zertifikat der höchsten Sicherheitsstufe wird erst nach persönlicher Vorsprache bei der Zertifizierungsstelle unter Vorlage eines amtlichen Lichtbildausweises vergeben. Für die Zertifizierung muss eine entsprechende Jahresgebühr entrichtet werden.
Die Zertifizierungsstellen unterliegen der Aufsicht der Telekom-Control-Kommission und müssen unter anderem eine obligatorische Haftpflichtversicherung abschließen.
Einfache elektronische Signaturen (z.B. nur telefonische Überprüfung der
Identität oder Übermittlung der Kopie eines Personalausweises per Fax) haben nur die Rechtswirkungen einer mündlichen Willenserklärung.
Eine Liste der Zertifizierungsstellen ist unter www.tkc.at erhältlich.
Literatur
Im Mitgliederservice der Wirtschaftskammer Österreich ist die Broschüre „Sicherer elektronischer Geschäftsverkehr – Signaturgesetz, Signaturverordnung, Verschlüsselung“ erhältlich.
Tel. 01/50105 DW 5050 oder
Fax-Nr. 01/50105 DW 236 sowie
Internet: http://wko.at/mservice oder
E-Mail: [email protected]
Kostenbeitrag für Mitglieder der Wirtschaftskammern: € 11,99
Für Nichtmitglieder: € 23,98
Preise inkl. MwSt.
d Eutsche Bundesstiftung Umwelt Merkblatt Reisekosten b
FACHHOCHSCHULE KIEL STAND JANUAR 2010 PRÄSIDIUM ABT II MERKBLATT
FÖRDERUNG VON FEUCHTBIOTOPEN MERKBLATT DAS LAND NIEDERÖSTERREICH FÖRDERT PROJEKTE
Tags: merkblatt 8.3, oktober, signaturgesetz, stand, merkblatt