Seltsame Signatur

Die „qualifizierte elektronische Signatur“, einst als zentrales Feature des elektronischen Personalausweises beworben, kommt nicht in die Gänge.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 3 Min.

Seit rund 15 Monaten gibt es nun den digitalen Personalausweis („nPa“), seitdem wurden 11,5 Millionen Exemplare an die Bundesbürger ausgegeben. Klingt beeindruckend, doch von einer Erfolgsgeschichte kann keine Rede sein – die Zahl kommt durch die normale Ersetzungsquote zustande. Noch ernüchternder ist eine andere Zahl: 36. So viele Anwendungen gibt es bisher für die sogenannte eID-Funktion des nPa. Damit lässt sich bei der DKB-Bank beispielsweise ein Konto eröffnen, ein paar Kommunen wie Aachen, Bremen, Münster und Würzburg erlauben es ihren Bürgern, per nPa online etwa das Auto umzumelden oder ein Führungszeugnis zu beantragen. Auf der CeBIT wurden noch ein paar neue Anwendungen gezeigt – so soll man künftig ein Fahrrad per nPa ausleihen können oder am Automaten Geld abheben.

Und was ist mit der vieldiskutierten „qualifizierten elektronischen Signatur“ (QES) passiert? Diese Funktion geht über die eID hinaus. Mit ihr kann man sich nicht nur online ausweisen, sondern auch seine Unterschrift rechtsverbindlich unter ein elektronisches Dokument setzen, etwa um einen Kaufvertrag abzuschließen. Die QES wird nicht mit dem Ausweis ausgeliefert, sondern muss separat von einer Zertifizierungsstelle aufgespielt werden. Bis heute – immerhin fast eineinhalb Jahre nach Start des neuen Perso – gibt es genau 0 (in Worten: Null) Anbieter für eine solche Signatur. Und wenn die Bundesdruckerei, vermutlich gegen Ende des Jahres, den ersten Signatur-Service für den nPa anbieten wird, wird es eine einigermaßen absurde Anwendung sein.

Man ist nämlich völlig abgekommen von der Idee, dass der Bürger sich für üppige Gebühren eine Signatur fest auf seinen Perso laden soll. Stattdessen sollen – zumindest in der Variante der Bundesdruckerei – Einweg-Signaturen mit einer Gültigkeit von wenigen Stunden adhoc über das Internet auf den Perso geladen werden. Die Kosten trägt in diesem Fall nicht mehr der Nutzer, sondern der Anbieter eines Webdienstes, der so eine qualifizierte Signatur sehen möchte. Als einziges zusätzliches Sicherheitsfeature ist lediglich vorgesehen, dass eine Bestätigungs-Mail mit einem Link verschickt wird, den der Nutzer anklicken muss, um die Transaktion abzuschließen. Da aber die Mail-Adresse frei eingegeben werden kann, leistet dieser Schritt keinen Beitrag dazu, den Nutzer zusätzlich zu Authentifizieren. Die Bestätigungsmail war übrigens keine Idee der Bundesdruckerei, sondern der Bundesnetzagentur, die den Prozess abnicken muss.

Da frage ich mich: Was soll der Quatsch? Entweder, ich vertraue darauf, dass die eID – bestehend aus nPa und einer sechsstelligen PIN – sicher genug ist. Wozu brauche ich dann überhaupt noch eine zusätzliche qualifizierte Signatur? Oder eben nicht, dann nutzt diese zusätzliche E-Mail-Schleife auch nichts. Ohnehin ist die sogenannte „Schriftform-Erfordernis“, der nur mit der QES genügt wird, oftmals gar nicht gesetzlich vorgeschrieben, sondern wird von Institutionen eher aus Gewohnheit aufrechterhalten. Das Konsequenteste wäre es, die Fälle für eine qualifizierte Signatur auf ein Minimum zu beschränken. Hoffnung macht, dass im Rahmen des für 2013 geplanten E-Government-Gesetz alle Verwaltungsakte daraufhin durchflöht werden. Profis wie Anwälte oder Steuerberater nutzen die QES ohnehin längst auf einer separaten Karte und brauchen dafür keinen Ausweis. Und uns Normalbürgern bleibt die Aussicht, mit dieser seltsamen Signatur möglichst selten behelligt zu werden. (wst)