Signaturlösungen ausgewählter EU-Mitglieder im Vergleich Nationale Eigentümlichkeiten behindern Einführung der eSignatur
Der Einsatz von eGovernment-Lösungen macht den Schutz von persönlichen Daten immer wichtiger. Deshalb werden elektronische Signaturen verstärkt eingesetzt. Die Vorgaben der EU-Kommission für die elektronische Signatur werden jedoch in den verschiedenen Mitgliedsstaaten ganz unterschiedlich umgesetzt – sowohl technisch wie auch juristisch.
Anbieter zum Thema
Der Einsatz von Signaturanwendungen über Ländergrenzen hinweg steht also weiterhin in den Sternen. Eine an der Westfälischen Wilhelms-Universität Münster entstandenen Arbeit sucht Lösungen aus diesem Dilemma. eGovernment Computing stellt die Arbeit in Auszügen vor.
Die am 13. Dezember 1999 erlassene EG-Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (Signaturrichtlinie) hat das Ziel, die Akzeptanz des europaweiten elektronischen Geschäftsverkehrs zu gewährleisten und die Entwicklung inkompatibler Signaturgesetze zu verhindern. Neben technischen und administrativen Rahmenbedingungen enthält die Signaturrichtlinie Regelungen zur Rechtswirkung elektronischer Signaturen sowie zur Haftung der Zertifizierungsdiensteanbieter (ZDA).
Nächste Seite: Gemeinsame Rahmenbedingungen? Fehlanzeige!
Der Vergleich elektronischer Signaturen
Obwohl die EG-Signaturrichtlinie darauf abzielt, gemeinschaftliche Rahmenbedingungen für die Nutzung elektronischer Signaturen zu schaffen und deren Interoperabilität über Staatsgrenzen hinweg sicherzustellen, unterscheiden sich die rechtlichen Umsetzungen in den einzelnen Staaten zum Teil massiv. Zur Untersuchung der Unterschiede und Gemeinsamkeiten der Signaturlösungen werden im Folgenden Kriterien zur Bewertung elektronischer Signaturen vorgestellt. Sie betreffen die nationalen gesetzlichen Bestimmungen elektronischer Signaturen, die praktische Umsetzung sowie die Interoperabilität mit anderen EU-Mitgliedsländern. Anhand dieser Kriterien werden anschließend Regelungen ausgewählter europäischer Länder analysiert.
Neben Deutschland werden Estland, Finnland, Großbritannien sowie Österreich anhand der entwickelten Kriterien untersucht. Sie wurden ausgewählt, um möglichst verschiedene Herangehensweisen an die Problematik der elektronischen Signatur zeigen und untersuchen zu können. Estland wurde nicht nur stellvertretend für ein relativ neues EU-Mitglied ausgewählt, sondern auch, weil sich die gesetzlichen Regelungen zu elektronischen Signaturen sehr stark von denen der meisten anderen europäischen Staaten unterscheiden. Finnland ist traditionell ein sehr technologiefreundliches Land. Das spiegelt sich beispielsweise in der hohen Mobiltelefonverbreitung wider. Von daher ist es interessant, ob und wie sich dies auf die finnische elektronische Signatur auswirkt.
Weil sich das Rechtssystem in Großbritannien in vielen Punkten von der Rechtssystemen in anderen europäischen Ländern unterscheidet, wird auch die dortige elektronische Signatur untersucht. So ist mit der manuellen Unterschrift im Vereinigten Königreich eine andere Rechtswirkung verbunden als in Deutschland und somit auch mit der elektronischen Signatur.
Die Definition der in der EG-Richtlinie vorgegebenen drei Qualitätsgrade elektronischer Signaturen – einfache, fortgeschrittene und qualifizierte elektronische Signatur – wurde in Deutschland, in Finnland und in Österreich umgesetzt. Besonders hervorzuheben ist Finnland, in dessen Gesetz ausdrücklich formuliert wird, dass es Aufgabe einer elektronischen Signatur ist, zur Authentifizierung des Autors zu dienen. Bei weniger deutlich formulierten Gesetzestexten ist die Auffassung der Authentifizierung oft ein Streitpunkt. Großbritannien verzichtet auf die Definition der qualifizierten elektronischen Signatur und sieht stattdessen nur die einfache und die fortgeschrittene elektronische Signatur vor. Eine komplette Abkehr von den Vorstellungen der Signaturrichtlinie ist in Estland zu finden, weil weder die drei Qualitätsgrade Beachtung finden noch die Technologieneutralität gewahrt wird.
Nächste Seite: Abstimmungsprobleme mit qualifizierten Zertifikaten
Länderspezifische Signaturen im Vergleich
Bei den Anforderungen an qualifizierte Zertifikate verhalten sich Finnland, Großbritannien und Österreich richtlinienkonform. Positiv hervorzuheben ist, dass Österreich als einziger untersuchter Staat qualifizierte Zertifikate nur an natürliche Personen ausstellen lässt, einfache und fortgeschrittene Signaturen jedoch auch von juristischen Personen erzeugt werden können. Die deutschen Anforderungen an qualifizierte Zertifikate entsprechen im Groben denen der Richtlinie. Zusätzlich wird allerdings gefordert, dass ein qualifiziertes Zertifikat Angaben zu den benutzten Verschlüsselungsalgorithmen beinhalten sowie mit der qualifizierten Signatur des ZDA signiert werden muss. Estland löst sich auch hier von der Signaturrichtlinie, indem juristisch Zertifikate zwar definiert werden, diese aber nicht den Vorgaben der EG entsprechen.
Die Anerkennung qualifizierter Zertifikate, die im Ausland ausgestellt wurden, ist in Deutschland, Finnland und Österreich gut geregelt, diese drei Länder halten sich an die Vorgaben der Signaturrichtlinie. Das bedeutet, dass ein ausländischer ZDA den Vorgaben der Richtlinie entsprechen und in einem EU-Mitgliedsstaat akkreditiert sein muss, dass ein EU-ZDA für ihn bürgt oder dass er im Rahmen einer internationalen Vereinbarung anerkannt sein muss. Während in Estland die Anforderungen an ausländische Zertifikate zu streng sind, wird in Großbritannien auf eine Kontrolle vollständig verzichtet, wodurch Sicherheitsrisiken entstehen können.
Nächste Seite: Rechtsgültigkeit elektronischer Signaturen
Jeder kocht sein eigenes Süppchen
Allein in Finnland ist die Rechtsgültigkeit einer qualifizierten elektronischen Signatur uneingeschränkt gleichzusetzen mit der einer eigenhändigen Unterschrift. Die zweitbeste Umsetzung findet in Estland statt, wo die digitale Signatur grundsätzlich als Äquivalent zu einer handschriftlichen Unterzeichnung gesehen wird. Diese Gleichwertigkeit kann in einigen Fällen durch ein Gesetz eingeschränkt werden. Die große Ausnahme bildet die britische Umsetzung des Artikels 5 der Signaturrichtlinie, der die Äquivalenz von elektronischer und eigenhändiger Unterschrift fordert. Weil in Großbritannien mit einer Unterschrift im Gegensatz zu anderen europäischen Ländern kaum rechtliche Konsequenzen verbunden sind (eine Unterschrift hat dort höchstens Beweisfunktion), findet keine Umsetzung dieses Artikels statt.
In Österreich ist ähnlich wie in Estland die qualifizierte elektronische Signatur grundsätzlich gleichwertig zu einer eigenhändigen Unterschrift. Diese Gleichbehandlung gilt jedoch erst einmal nur für die Schriftlichkeit. Daneben existieren viele Ausnahmen, für die elektronische Signaturen nicht eingesetzt werden dürfen. Das Schlusslicht in dieser Kategorie bildet die deutsche Gesetzgebung. Erstens findet keine direkte Umsetzung des Artikels 5 der Signaturrichtlinie statt. Darüber hinaus kann nur die schriftliche Form durch die elektronische Form, die mit einer qualifizierten elektronischen Signatur unterzeichnet wurde, ersetzt werden und es bestehen viele Ausnahmen.
Die Überwachung der ZDA ist in Deutschland und in Österreich gut gelöst. In beiden Ländern haben ZDA ihre Tätigkeit zu Beginn ihrer Aktivität anzuzeigen und nachzuweisen, dass sie bestimmte Forderungen erfüllen. Die weitere Aufsicht unterliegt der staatlichen Kontrolle. Durch dieses Überwachungssystem werden die ZDA nicht unnötig streng in ihrer Arbeit behindert und auch die Verbraucher sind angemessen geschützt. In Finnland ist die Situation ähnlich, allerdings gibt es hier kein System zur freiwilligen Akkreditierung, was jedoch weder positiv noch negativ ins Gewicht fällt. Die estnische Überwachung der ZDA ist zu streng und baut somit unnötige Hürden für ZDA auf.
Nächste Seite: Signatur hat Kompatibilitätsprobleme
Akzeptanz der Signatur unterschiedlich ausgeprägt
In Estland und Finnland gibt es jeweils einen ZDA, der qualifizierte Zertifikate ausstellt. Hier ist die Interoperabilität zwischen den eingesetzten Standards gegeben. Auch in Österreich, wo ein ZDA qualifizierte Zertifikate und ein weiterer qualifizierte Zeitstempel vertreiben, ist die Interoperabilität sichergestellt. Anders sieht die Situation in Deutschland mit 11 ZDA aus, die qualifizierte Zertifikate und qualifizierte Zeitstempel ausstellen. Zeitweise gab es 23 akkreditierte ZDA in Deutschland. Kompatibilitätsprobleme waren vorauszusehen. Um dem entgegenzuwirken, wurde das Signaturbündnis gegründet, das sich auf die Definition eines einheitlichen API einigen konnte. Verbesserungswürdig ist die Situation auch in Großbritannien, denn dort bietet kein ZDA qualifizierte Zertifikate an. Allerdings liegt das vermutlich daran, dass qualifizierte elektronische Signaturen in Großbritannien so gut wie gar nicht eingesetzt werden.
Zur Erzeugung einer qualifizierten elektronischen Signatur wird je nach Land eine unterschiedliche Ausrüstung benötigt. In Estland, Finnland und Österreich gibt es jeweils Konzepte für Chipkarten, die außer zum Signieren auch für andere Zwecke verwendet werden können. Die estnische ID-Card, die gleichzeitig als Ausweis dient, ist im Gegensatz zu der finnischen und österreichischen Lösung verpflichtend. Das ist vermutlich auch der Grund, weshalb schon über eine Millionen Esten sie besitzen. Der Anklang der finnischen ID Card ist hingegen gering. Die Chipkarten dieser drei Länder sind über Kartenlesegeräte anzusprechen und mit einer PIN gesichert. In Estland und Österreich wird eine Software zum Signieren benötigt, während in Finnland die Signierfunktionen in den Anwendungen, die eine elektronische Signatur benötigen, selbst enthalten ist.
Alternativ zur ID Card können finnische qualifizierte Zertifikate auch auf VISA-Karten geladen werden, österreichische Zertifikate auch auf die Sozialversicherungskarte, Bankkarten oder bestimmte Studentenausweise. In Estland und Finnland ist es darüber hinaus möglich, mit einer SIM-Karte elektronisch zu signieren. Für Anwender sind diese SSEE-Arten sehr komfortabel, denn die Karten sind multifunktional.
Nächste Seite: Fehlende Einsatzmöglichkeiten
Unklarer Mehrwert für den Nutzer
In Deutschland hingegen sind die meisten Karten, die für die Speicherung qualifizierter Zertifikate geeignet sind, nur zu diesem Zweck zu nutzen. Wie in anderen Ländern werden außerdem ein Chipkartenleser sowie eine Signiersoftware benötigt. Im Gegensatz zu den anderen untersuchten Ländern existiert in Großbritannien kein Konzept für qualifizierte elektronische Signaturen. Im eGovernment, dem Haupteinsatzgebiet elektronischer Signaturen, wird auf andere Arten der Authentifizierung zurückgegriffen.
Je höher der Preis für die Ausrüstung zur Erzeugung einer qualifizierten elektronischen Signatur ist, desto weniger attraktiv ist vermutlich die Nutzung für den Verbraucher. In Deutschland sind die Kosten im Vergleich zu den anderen untersuchten Ländern am höchsten, an zweiter Stelle folgt Österreich und mit Abstand am preiswertesten ist die benötigte Infrastruktur in Finnland. Für Estland waren keine Daten verfügbar.
Eines der wichtigsten Kriterien für den Einsatz elektronischer Signaturen – wenn nicht gar das wichtigste überhaupt – konnte wegen fehlender Daten bedauerlicherweise nicht bewertet werden. Es soll aber genannt werden, um zu verdeutlichen, welche Probleme es in nächster Zeit zu bewältigen gilt, um elektronische Signaturen weiter zu verbreiten. Ein großes Hindernis ist der Mangel an Anwendungen, bei denen eine elektronische Signatur eingesetzt werden kann. Das größte Einsatzgebiet elektronischer Signaturen machen eBanking- und eGovernment-Anwendungen aus. Darüber hinaus gibt es kaum Einsatzmöglichkeiten für qualifizierte elektronische Signaturen. Es liegt auf der Hand, dass die Akzeptanz elektronischer Signaturen davon abhängt, ob sie genutzt werden können.
Auch ist es wichtig zu verstehen, wie der Umgang mit Technik sich von Land zu Land unterscheidet. Es kann davon ausgegangen werden, dass kulturelle Werte oder Normen menschliches Verhalten (beeinflusst) – auch im Umgang mit Informationstechnologie. Allerdings gibt es dafür kaum belastbare empirische Belege.
Deutschland hat im Vergleich zu den anderen untersuchten Staaten sehr hohe Sicherheitsvorschriften für elektronische Signaturen und die zur Erstellung benötigten technischen Komponenten erlassen. So sind die Anforderungen an qualifizierte Zertifikate höher als die der anderen untersuchten Länder. Auffällig ist außerdem, dass Deutschland eines von zwei Ländern ist, das nicht nur die SSEE, sondern auch die Chipkartenleser und die Signiersoftware bewertet. In diesen strikten Vorschriften spiegelt sich eine stark ausgeprägte Sicherheitsmentalität wider.
Nächste Seite: Wie lassen sich Nutzung und Akzeptanz steigern?
Fazit und Ausblick
Mit acht positiven Ausprägungen liegt Finnland in der Analyse der elektronischen Signaturlösungen klar vorn. Trotzdem ist die Zahl der verkauften finnischen ID Cards relativ gering. Auch im Vergleich der Online-Angebote von Verwaltungsdienstleistungen und der Online-Reifegrade liegt Finnland nur im oberen Mittelfeld aller untersuchten Staaten. Auf Platz 2 rangiert Österreich mit sechs positiven, einer neutralen und einer negativen Nennung.
Deutschland erfüllt drei Kriterien gut, zwei neutral und drei negativ. Damit liegt es vor Estland und Großbritannien, die in der eGovernment-Studie von Capgemini aus dem Jahr 2006 jedoch weit vor Deutschland eingestuft worden sind.
Erstaunlicherweise schneidet Estland bei der Bewertung der elektronischen Signaturlösung relativ schlecht ab. Nur zwei positive Ausprägungen, eine neutrale und vier negative gehören zu der estnischen Signaturlösung. Für zwei der neun Kriterien waren zu Estland keine Daten verfügbar. Mit einer positiven, einer neutralen und vier negativen Ausprägungen belegt Großbritannien den letzten Platz der Untersuchung, obwohl es sowohl bei der Bewertung der Onlineverfügbarkeit von Dienstleistungen als auch bei der Bewertung der Onlinereifegrade im vorderen Viertel liegt.
Interessanterweise ergab diese Untersuchung, dass kein offensichtlicher Zusammenhang zwischen einer guten eGovernment-Umsetzung und einer gelungenen elektronischen Signaturlösung besteht – zumindest nicht, wenn gelungen anhand der positiven Kriterien definiert wird. Allerdings sagt die Güte einer Signaturlösung auch nichts über ihren tatsächlichen Nutzungsgrad in der Bevölkerung aus.
In Estland etwa ist die ID-Card aufgrund gesetzlicher Kriterien in der ganzen Bevölkerung verbreitet und wird deswegen vermutlich stark genutzt, allerdings erfüllt die estnische elektronische Signatur fast kein Interoperabilitätskriterium. Die finnische Lösung auf der anderen Seite, die in diesem Vergleich als beste bewertet wurde, setzt sich in der Bevölkerung kaum durch.
Weiterer Forschungsbedarf ist daher bei eGovernment-Dienstleistungen gegeben, um deren Nutzung zu steigern, ferner sollte über eine einfache Lösung zur günstigen Verbreitung der Signatur nachgedacht werden. Eine Chance für Deutschland bietet sicher der neue Personalausweis.
(ID:2049259)