In dem Blogbeitrag Digitale Signaturen (Teil 2): Die einfache elektronische Signatur (EES) hatte ich erläutert, was die EU-Gesetzgebung als E-Signatur mit dem niedrigsten Sicherheitsniveau mit der sogenannten einfachen elektronischen Signatur (EES) definiert hat. In diesem Beitrag geht es um eine deutlich sichere Variante, die insbesondere die Integrität von digitalen Dokumenten schützt.
Fortgeschrittene elektronische Signaturen sind juristisch oftmals nicht so anerkannt, wie sie von Anbietern beworben werden
Anbieter bewerben die fortgeschritte elektronische Signatur (FES) gerne als rechtlich anerkannte Lösung, um Dokumente digital zu unterzeichnen. Hierbei entsteht häufig das Missverständnis, dass die Anwendung von FES grundsätzlich juristisch unanfechtbar sei. Nur weil die FES juristisch anerkannt wird, bedeutet dies nicht , dass es sich um eine unbestreitbare bestmögliche Beweiskraft handelt, die jeglichen Zweifel ausräumt. In jedem Rechtsstreit gibt es gute und weniger gute Beweisformen. Dies gilt in der realen und gleichermaßen virtuellen Welt. Die FES ist grundsätzlich in ihrer technischen Eigenschaft ein erheblich besserer Beweis als eine EES.
Die europäische sowie die nationale deutsche Gesetzgebung definiert einfache und fortgeschrittene elektronische Signaturen als legitime Vorgehensweise für Rechtsgeschäfte. Das bedeutet, es ist völlig in Ordnung, Willenserklärungen mit einer FES zu tätigen. Kommt es jedoch aus irgendwelchen Gründen zu einem Rechtsstreit, ist eine FES ein guter, aber nicht ein so guter Beweis, dass er beispielsweise ein Schriftformerfordernis ersetzt. Ein wesentlicher Schwachpunkt der FES liegt in der hinreichend sicher festgestellten Identität des Signierenden.
Wie akurat die Identität des FES-Signierenden festgestellt wurde, kann stark variieren
Die Identität der Signierenden ist für eine FES meist nur auf einem eingeschränkten Niveau bestätigt. Die Gesetzgebung sieht vor, dass die Identität des Nutzers zwar grundsätzlich festgestellt und dokumentiert werden soll. Es gibt jedoch keine Vorgaben im Hinblick auf die Qualität der Identifizierung. Ob für die Identitifizierung ein Bibliotheksausweis, eine Bankkarte oder Ähnliches vorgelegt wurde, bleibt den Identifizierenden frei überlassen. Es gibt auch keine Vorgaben im Hinblick auf die Kompetenz des Identifizierers, d. h. ob dieser überhaupt die Kenntnisse bestitzt, um mit ausreichender Sicherheit eine Person anhand eines Dokumentes korrekt identifzieren zu können. Es ist sogar unklar, ob die Person bei der Identifikation überhaupt physisch anwesend war.
Im Falle eines Rechtsstreites, wo eine Person angibt, sie hätte niemals den Vertrag X unterzeichnet, kann dies ein erheblicher Schwachpunkt der FES sein.
Dokumente können gegen Manipulation abgesichert werden
Während die Identität des Signierenden auf weniger sicheren Standbeinen beruht, ist die technische Absicherung der Beweiskraft bei einer FES sehr zuverlässig. Die Fälschungssicherheit aufgrund der kryptografischen Verfahren lässt die Manipulation eines Dokumentes technisch schnell prüfen. Hier kann die FES durchaus als ein gutes Werkzeug dienen. Ein Algorithmus generiert einen eindeutigen Hash-Wert für das Dokument. Werden am Dokument nachträglich Veränderungen vorgenommen, ergibt der Hash-Wert des Dokumentes einen gänzlich anderen Wert. So kann man schnell feststellen, dass das Dokument manipuliert wurde.
Zu bedenken ist hierbei jedoch weiterhin, dass es sich um die Technologie eines nicht qualifizierten Vertrauensdienstanbieters handeln kann. Das bedeutet, dass das Unternehmen den FES-Dienst jederzeit aus wirtschaftlichen Gründen einstellen könnte. Eine historisch angewachsene anzahl an mit FES signierten Dokumenten könnte nicht mehr technisch überprüft werden, sofern die Anwendenden nicht rechtzeitig auf eine Alternative umsteigen. Dies kann zu erheblichen organisatorischen Aufwänden führen.
Anwender müssen abwägen, in welchem Kontext sie welches juristische und sicherheitstechnische Niveau sie benötigen. Doch trotz zahlreicher Informationsquellen, die dieses Thema ausführlich erläutern, bleibt es schwer die Zuverlässigkeit der Quelle zu beurteilen. Darüber hinaus wird dieses Thema im Kontext der Digitalisierung nur rudimentär betrachtet.
Einzelnachweise:
- Wikipedia: https://de.wikipedia.org/wiki/Fortgeschrittene_elektronische_Signatur
- Vergabe24: Vergabelexikon
- OMR Review: Fortgeschrittene elektronische Signatur – einfach erklärt!
