Authentifizierung: Warum unterschreiben wir noch?

Inhaltsverzeichnis

Im frühen Mittelalter vertrauten die Menschen bei wichtigen Vereinbarungen ihren Augen, Ohren und manchmal sogar einer Ohrfeige: Wurde zum Beispiel ein Land weiterverkauft, schlugen einige Vertragspartner die jüngsten Zeugen, meist Kinder, als Gedächtnisstütze auf den Kopf. Das sollte sicherstellen, dass sie sich als Erwachsene an die Transaktion lebhaft erinnerten. Nicht Dokumente, sondern Zeugen waren die Autorität für Transfers – bis eines Tages die Unterschrift kam und alles veränderte.

Und heute? Wir unterschreiben zwar mehr als je zuvor, trotzdem scheint die Unterschrift wieder ziemlich irrelevant zu sein. Der Paketbote verlangt sie zwar, aber leisten muss man sie auf einem Bildschirm, immer zu klein, manchmal per Fingerkuppe. Wer hatte anschließend wirklich das Gefühl, der Schriftzug gleicht der persönlichen Unterschrift? Oft bietet der Paketbote sogar an, den Empfang gleich selbst zu bestätigen. Wir unterzeichnen beim Einkaufen mit EC-Karte, aber wann hat eine Kassiererin zum letzten Mal kontrolliert, ob der Schriftzug auf dem Kassenbon wirklich dem auf der Karte gleicht? Und selbst wenn: Viele EC-Karten werden zwar regelmäßig erneuert, nicht aber die Unterschriftsprobe, die man irgendwann einmal dafür abgegeben hat. Dass beides nach Jahren noch übereinstimmt, ist eher unwahrscheinlich.

Was für ein Niedergang – rund 400 Jahre nach ihrem endgültigen Aufstieg. Er begann, als sich eine neue Händlerklasse in Europa etablierte. Die Unterschrift war schlicht die schnellste und einfachste Methode, die unzähligen Handelsvereinbarungen zu ratifizieren. 1677 stellt in England der neu eingeführte Statute of Frauds (dt. „Betrugsstatut“) klar, dass Verträge schriftlich zu fixieren und zu unterschreiben seien.

Unterschrift im digitalen Zeitalter

Eine der berühmtesten Unterschriftensammlungen ist die amerikanische Unabhängigkeitserklärung. Die jährliche Feier am 4. Juli ehrt offiziell den Tag ihrer Unterzeichnung, dabei wurde sie an diesem Tag lediglich vom Kongress angenommen. Die Unterzeichnung zog sich über Wochen hin, weil es schwer war, alle Delegierten an einem Ort zusammenzubringen. Damals war die Unterschrift maßgeblich. Heute ist sie oft nur noch rituelles Beiwerk, pompös inszeniert vor laufenden Kameras.

Die Unterschrift ist im digitalen Zeitalter an ihrem Ende angelangt. Um Betrüger zu entlarven, verlassen sich Kreditkartenfirmen lieber auf Unregelmäßigkeiten beim Zahlverhalten der Kunden, statt auf die Prüfung einer Unterschrift. Auch die Unterschrift auf der EC-Karte ist ein Auslaufmodell. Die kontaktlose Zahlung per NFC-Chip sowie PIN wird sie ablösen. Selbst Geschäftsverträge muss niemand mehr persönlich abzeichnen. Firmen wie DocuSign aus San Francisco oder secrypt aus Berlin bieten Unternehmen inzwischen Anwendungen an, um digitale Signaturen in Geschäftsabläufe einzubinden. „Die Signatur ist ja nicht das Ende eines Prozesses, sondern der Startpunkt mit bis zu zehn Folgeschritten“, sagt Frank Harter, bei DocuSign für den deutschsprachigen Raum zuständig.

TR 4/2020

Dieser Beitrag stammt aus Ausgabe 4/2020 der Technology Review. Das Heft ist ab 19.3.2020 im Handel sowie direkt im heise shop erhältlich. Highlights aus dem Heft:

• Ionenstrahl gegen Krebs
• Die Vermessung des Glücks
• Überschätzte Unterschrift
• Mist statt Mais
• Das abstürzende Klassenzimmer
• KI: Pfad der Tugend verlassen
• Fokus Prognosen: Was werden wird
• Fokus Prognosen: So berechenbar ist das Coronavirus
• TR bestellen

Bewirbt sich zum Beispiel jemand auf die Ausschreibung einer Werkstudentenstelle, könne das Unternehmen dem Studenten den Vertrag digital zusenden und digital unterzeichnen lassen. Anschließend kann das Unternehmen ihn in seinem System als Mitarbeiter anlegen, benötigtes Equipment und Zugangsdaten zur Verfügung stellen – und sich jeden Vorgang digital bestätigen lassen. Zum Abschluss gibt es von DocuSign ein Protokoll, das belegt, wer wie oft welches Dokument geöffnet hat. „Diese Nachvollziehbarkeit gab es bei manuellen Verträgen nie“, sagt Harter. „Es ist für mich keine Frage, dass die digitale Signatur die handschriftliche ablösen wird.“

Ähnlich sieht es Tatami Michalek, Geschäftsführer von secrypt: „Die Vereinbarungen sind nicht unbemerkt manipulierbar. Ein qualifizierter Zeitstempel ist sogar unabhängig vom Rechner des Unterzeichners.“ Wolle man zum Beispiel Dokumente archivieren, „kann nach 30 Jahren immer noch anhand einer kryptografischen Nachweiskette festgestellt werden, ob ein Dokument unverändert ist“. Sein Unternehmen habe viele Kunden aus der Gesundheitsbranche, die digitale Archive von Patientenunterlagen betreiben.

Mehr gefühlte Sicherheit

Besonders zuverlässig war die Unterschrift schließlich nie, auch wenn wir sie instinktiv dafür halten. Die Psychologin Eileen Chou von der Universität Virginia konnte dieses Vertrauen in Studien nachweisen. Sie legte Probanden sowohl Dokumente mit elektronischer als auch mit handschriftlicher Unterschrift vor und wollte wissen, ob sie beide Schriftstücke unterschiedlich bewerteten. Tatsächlich fiel das Urteil für die elektronische Variante negativer aus. Die Unterschrift per Hand, so Chous Deutung, repräsentiere eine Art soziale Präsenz unseres Gegenübers, die eine elektronische Unterschrift nicht vermittele.

Mit diesem instinktiven Vertrauen haben Fälscher immer wieder gespielt. James Townsend Saward, hauptberuflich Anwalt im viktorianischen London, konnte sich mit seinen meisterlichen Unterschriftsfälschungen drei Jahrzehnte lang ein Vermögen erschleichen. Er ließ von seinen Komplizen weggeworfene, benutzte Schecks klauen und imitierte die Unterschrift, um neue auszustellen. Er war so berüchtigt, dass der Autor Sir Arthur Conan Doyle ihn zum Vorbild für Professor Moriarty nahm, den Erzfeind von Sherlock Holmes. Die deutsche Firma Signascript verkauft heute sogar Robotersysteme, die mit einem Stift massenhaft Unterschriften perfekt imitieren – wenn auch nur für Werbeaktionen.

Heute nicht einmal mehr der Stahlstift nötig

Lange hatten es die Fälscher leicht, denn die Unterschrift war nie eindeutig definiert. Noch in der englischen Rechtsprechung des 19. und 20. Jahrhunderts erkannten Gerichte auf Testamenten alles Mögliche als gültig an: einen Gummistempel, einen Nachnamen, Initialen, einen Teil des Namens bei einer Frau, die ihren Namen nicht komplett aufnehmen konnte, weil sie dabei bewusstlos wurde; eine Markierung von jemandem, der zu krank war, um zu schreiben; und nicht zuletzt die Worte „Ihre liebende Mutter“. „Offenbar reichte in einigen Rechtsordnungen der USA auch ein Blutfleck aus, obwohl ich dafür keinen Nachweis habe“, sagt Jane Caplan, emeritierte Professorin für Moderne Europäische Geschichte an der Universität Oxford, die das alles recherchiert hat.

Von der Locke zur elektronischen Signatur: Kurze Geschichte der Unterschrift

Im zweiten Jahrhundert hatte die Unterschrift Tradition in jüdischen Gemeinschaften. Im siebten Jahrhundert folgten die Muslime. In Europa konnte zu dieser Zeit noch kaum jemand schreiben. Dort waren Siegelringe und Wachssiegel besonders beliebt. Auch eine Haarlocke wurde als Vertrauensbeleg akzeptiert.

• 1677 verlangte in England der Statute of Frauds, dass Verträge schriftlich zu fixieren und zu unterschreiben seien.

• 1962 unterzeichneten die Beatles den Vertrag mit ihrem Manager Brian Epstein. Das Dokument gilt als Gründungsurkunde der Band. Bei einer Versteigerung von Sotheby’s erzielte es 2015 eine halbe Million Euro.

• 1976 legten Whitfield Diffie und Martin Hellman die theoretischen Grundlagen für den sogenannten RSA-Algorithmus. Er konnte zur Erzeugung primitiver digitaler Signaturen verwendet werden.

• 1996 veröffentlichten die Vereinten Nationen das UNCITRAL Model Law on Electronic Commerce, das digitale Geschäftsbeziehungen und digitale Verträge erleichtern sollte.

• 2000 unterzeichnete US-Präsident Bill Clinton den Electronic Signatures in Global and Nation Act und erklärte damit elektronische Signaturen in den USA als rechtsgültig.

• Am 1. Juli 2016 trat EU-weit die eIDAS-Verordnung (Electronic Identification and Authentication Services) in Kraft. Sie definiert den Rechtsrahmen für elektronische Identifizierung, Signaturen, Siegel und Dokumente.

Gleichzeitig aber öffnete die weite Auslegung das Tor für die heutige elektronische Signatur. Bereits 1869 erklärte ein Gericht im Fall Howley gegen Whipple in New Hampshire einen per Telegramm unterzeichneten Vertrag als gültig. Es mache keinen Unterschied, ob man mit einem Stahlstift schreibe, der einen Zentimeter lang und an einem gewöhnlichen Stifthalter befestigt sei, oder ob der Stift ein Kupferdraht von tausend Meilen Länge sei. Es mache auch keinen Unterschied, dass in dem einen Fall gewöhnliche Schreibtinte verwendet werde, im anderen Fall eine subtilere Flüssigkeit, die Elektrizität.

Drei Formen elektronischer Signaturen

Heute ist nicht einmal mehr ein Stahlstift nötig. Computercode reicht. Die eIDAS-Verordnung der EU beispielsweise definiert den Rechtsrahmen für elektronische Identifizierung, Signaturen, Siegel und Dokumente. Sie kennt drei Formen elektronischer Signaturen: die einfache, fortgeschrittene und qualizierte Signatur. Die einfache kann ein Name in einer E-Mail sein. Damit lassen sich die meisten alltäglichen Verträge abschließen. Die Kündigung eines Abonnements per E-Mail zum Beispiel ist rechtlich zulässig – wenn auch schwer nachzuweisen und damit anfechtbar.

Fortgeschrittene Signaturen ermöglichen die eindeutige Identifizierung des Unterzeichners sowie die Integritätsprüfung des Dokuments. Eine allgemeine Zertifizierungsstelle weist dem Unterzeichner ein digitales Zertikat zu. Aus dem Dokument berechnen Algorithmen eine Prüfsumme. Ändert sich nur ein Buchstabe, ist die Prüfsumme hinfällig. Eine fortgeschrittene Signatur ist zum Beispiel beim Verkauf eines Autos nötig.

Die qualizierte elektronische Signatur ist dann erforderlich, wenn Verträge gesetzlich vorgeschrieben in Schriftform vorliegen müssen, zum Beispiel Pacht- oder Kreditverträge. Sie erfordern Zertikate, die nur eIDAS-konforme Zertifizierungsstellen ausgeben dürfen, in Deutschland zum Beispiel die Bundesdruckerei. Zudem müssen die Zertifikate auf einem geeigneten Gerät gespeichert werden, Chipkarten, USB-Token oder cloudbasierte Hardware-Sicherheitsmodule. Nur qualifizierte elektronische Signaturen sind von allen EU-Mitgliedsstaaten im Rechtsverkehr anerkannt. Einige Verträge werden allerdings nicht einmal mit qualifizierter Signatur anerkannt, etwa die Kündigung eines Mitarbeiters – sie müssen von Hand unterschrieben sein.

Hürden zum digitalen Stempel

„Grundsätzlich sind fortgeschrittene und qualifizierte Signaturen technisch sicher“, bestätigt Heiko Roßnagel vom Fraunhofer-Institut für Arbeitswirtschaft und Organisation. Allerdings gibt es ein Problem: Der Prozess ist viel aufwendiger als Stift und Papier. Will ein Kunde ein Auto kaufen, würde es heute wie folgt ablaufen: Er vereinbart mit dem Verkäufer, das Dokument zu Hause in Ruhe elektronisch zu unterzeichnen. Der deutsche elektronische Personalausweis bietet dafür zwar alle technischen Voraussetzungen, aber der Kunde muss ihn erst gegen eine Gebühr aktivieren. Anschließend braucht er noch ein Kartenlesegerät für rund 30 Euro. Zudem benötigt er eine PIN. Beide Vertragspartner identifizieren sich nun damit. Sie können den Vertrag lesen und erhalten per SMS eine TAN – dies ist dann ihre Unterschrift. Aus Vertrag und Unterschrift berechnet das System einen einzigartigen Wert, der nun an das Dokument gebunden ist – es erhält einen digitalen Stempel.

Die Folge ist ein Henne-Ei-Problem. „Solange es keine leicht zugänglichen Dienste gibt, kann die elektronische Signatur bei den Konsumenten nicht ankommen, weshalb wiederum die Wirtschaft wenig engagiert ist“, sagt Roßnagel. Daher entscheiden sich Firmen lieber für eine deutlich unsicherere Authentifizierung, beispielsweise mit Facebook. Inzwischen immerhin bieten einige Dienstleister eine Identifizierung per Videochat an.

Online-Wallet mit Identitätsnachweisen

VIDchain soll es noch einfacher machen. Die Idee der Firma Validated ID aus Barcelona ist, dass Menschen verschiedene Identitätsnachweise in einem sogenannten Wallet online zusammenfassen. Müssen sich die Nutzer identifizieren, können sie je nach Anforderung ihre Methode auswählen – angefangen von unsicheren Quellen wie sozialen Netzwerken über biometrische Verfahren und amtliche Identifikationssysteme bis hin zur persönlichen Identifikation. Das Verfahren basiert auf der Blockchain-Technologie und könnte zusätzlich mit Verträgen verknüpft werden.

Werden wir bald also auch beim Paketboten per Smartphone unterschreiben? Die Unterschrift dient ihm als Nachweis dafür, seinen Auftrag erfüllt zu haben. Gespeichert wird beispielsweise bei DHL die Signatur zusammen mit Trackevents bis zu vier Jahre lang. Trotz aller Unsicherheiten sei eine Abschaffung nicht in Planung. Aber vielleicht hat DHL auch nur noch nicht gemerkt, wie wenig der Schriftzug inzwischen wert ist.

(bsc)