Die digitale Signatur zwischen enttäuschten Erwartungen und neuen Hoffnungen

Ein voll besetztes Haus und gut gelaunte Experten konnte der PKI-Workshop 2007 "Quo vadis digitale Signatur" für sich verbuchen. Auf der Soll-Seite steht indes, dass 10 Jahre nach der Verabschiedung des Signaturgesetzes der Einsatz der Technik weit hinter den Erwartungen bleibt. Mit der eCard-Strategie der Bundesregierung, die die qualifizierte elektronische Signatur als Option für den ePersonalausweis, die elektronische Gesundheitstskarte und die elektronische Aufenthaltskarte für Ausländer anbieten will, soll sich die Situation verbessern.

Die Experten hatten etwas zum Lachen, als aus offiziellen Regierungsdokumenten (PDF-Datei) vorgelesen wurde, was Beamte so zum Thema digitale Signaturen schreiben: "Eine fortgeschrittene elektronische Signatur ist technisch ein Softwarezertifikat, welches ein Schlüsselpaar und den Namen seines Inhabers enthält." Solche Verballhornungen können aber auch als Indiz dafür genommen werden, dass die digitale Signatur noch längst nicht eine alltägliche Angelegenheit geworden ist, die Verwaltungsprozesse vereinfacht und Behördengänge obsolet macht. In seinem einleitenden Vortrag machte Jürgen Schwemmer von der Bundesnetzagentur deutlich, dass die Industrie als Lieferant der Infrastruktur nicht überzeugte: "Man hat zehn Jahre lang versucht, den Menschen die eigene Unterschrift zu verkaufen und wundert sich, dass niemand gerne für die eigene Unterschrift bezahlt." In diesem Sinne sei die Debatte um die elektronische Signatur im "Tal der Enttäuschungen" angekommen, in dem viele Trustcenter wieder geschlossen wurden. "Allmählich entdeckt man, dass es kein Geschäftsmodell ist, einfach nur ein Zertifikat anzubieten, da muss mehr mitgeliefert werden." Als positive Entwicklung bewertete Schwemmer, dass große Firmen wie Oracle, IBM und Microsoft angefangen haben, sich mit dem deutschen Signaturgesetz zu beschäftigen, das somit internationale Anerkennung erfahre.

In einem ausführlichen Referat erläuterte Bernd Kowalski vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die eCard-Strategie der Bundesregierung. In dieser Strategie spielt die qualifizierte digitale Signatur (QES) eine wichtige Rolle, vor allem bei der elektronischen Gesundheitskarte (eGK), bei der der Arzt die eRezepte mit einer Signatur unterschreiben muss. Der im Oktober 2008 kommende elektronische Personalausweis wie auch die elektronische Aufenthaltskarte für Ausländer sollen die qualifizierte Signatur als Option bringen: Beide Ausweispapiere werden mit einem "Sicherheitsanker" für die QES versehen. Parallel dazu müssen alle Zertifikatsdiensteanbieter sich vertraglich verpflichten, mit allen Kartenherausgebern zusammenarbeiten. Ähnlich sieht es beim elektronischen Einkommensnachweis (eLena) aus, wobei sich diese JobCard-Anwendung noch in einem frühen Planungsstadium befindet und erst das Gesetzgebungsverfahren vorbereitet werden muss.

Alle Anker und Optionen nutzen indes jedoch wenig, wenn es für den Bürger keine Anreize gibt, sich eine qualifizierte Signatur zu besorgen. Darum ist es nach Kowalski von großer Bedeutung, dass sich die vom BSI entwickelte eCard-API verbreitet und in vielen Software-Anwendungen integriert wird. "Wir möchten Anwendungen des elektronischen Personalausweises in der Fläche verbreiten, möchten aber nicht, dass es eine Unzahl von Programmen dafür gibt, sondern nur Programme, die auf die eCard-API zugreifen", erklärte der BSI-Fachmann. Erforderlich sei auch die Berücksichtigung der internationalen Perspektive, die "Kompatibilität zu ISO-Normen und Microsoft". Als Beispiele für attraktive Bürgerangebote zur Nutzung der digitalen Unterschrift nannte er Software für Hotelbetriebe, bei denen der Gast mit einem Personalausweis den digitalen Meldezettel elektronisch unterschreibt. Gute Chancen hätte der Einbau einer Unterschrift auch bei Auktionshäusern wie eBay, die bei bestimmten Waren eine Altersverifikation durchführen müssen. Zur eCard-API gehört für Kowalski die entsprechende eCard-Middleware, die zwischen dem eCard-Interface und den Anwendungen auf dem Application Layer vermittelt. Existierende APIs seien nicht plattformunabhängig und böten keine ausreichende Kompatibilität. Als Beispiele nannte Kowalski die Acrobat Digital Signature API oder die Microsoft CryptoAPI. Wie sich die Middleware entwickele, sei nicht Aufgabe des BSI, das werde man dem Markt überlassen. "Wir wollen aber auch eine Open Source-Lösung haben", betonte der BSI-Vertreter.

In einem eigenen Referatsblock ging es um juristische Aspekte der digitalen Signatur. Vorgestellt wurde eWitness, ein geschlossenens Netzwerk von europäischen Notaren auf der Basis der Sina-Boxen von Secunet. Die Idee ist simpel: Wer eine notariell beglaubigte E-Mail oder Datei verschicken will, sendet diese zu einem teilnehmenden Notar, der sie im VPN zu seinem Kollegen schickt. Dieser übernimmt im Empfängerland die gesicherte Auslieferung entsprechend den nationalen Bestimmungen. Der von der Mertes-Group realsierte Dienst wird derzeit von 15 Notaren getestet, im August 2007 will man mit 38 Notaren den regulären Maildienst aufnehmen. Mit dem Transidoc-Verfahren sollen elektronisch unterschriebene Dokumente langfristig gerichtsbeweisbar gespeichert werden können, auch in der fernen Zukunft, in der bestimmte Dateiformate längst verschwunden sind. Transidoc liefert gewissermaßen eine Beglaubigung der Echtheit des ursprünglichen Dokumentes und eine detaillierte Beschreibung, wie das Dokument umgewandelt wurde. Das Ganze wird natürlich signiert und dem neuen Dokument hinzugefügt. In simulierten Gerichtsverfahren bestand Transidoc seine erste Feuertaufe, muss aber noch um einen Zeitstempel-Managementdienst erweitert werden.

Ein praktisches Intermezzo gab die Firma Rsearch in Motion, die demonstrierte, wie mit dem Blackberry und dem per Bluetooth zugeschalteten RIM-Smartcard-reader E-Mail nach S/MIME verschlüsselt und/oder unterschrieben werden kann. Das Gerät, das nicht dem deutschen Signaturgesetz entspricht und dessen Sicherheit in Europa kontrovers diskutiert wird, ist mit dieser Verschlüsselung in 300.000 Exemplaren das mobile Kommunikationstool der US-Regierung. In Europa besitzt der Blackberry die NATO-Zertifizierung und strebt ein Testat des Fraunhofer SIT an. Mit dem BSI ist man in Verhandlungen über ein "mobile protection profile", mit dem dann die RIM-Geräte geprüft werden können. Entsprechende Profiles wurden von einer durch RIM beauftragten kanadischen Firma vorgelegt, die jedoch nicht vom BSI anerkannt wird. Bis auf weiteres müssen deutsche Behörden- und Regierungsvertreter ihre Schwarzbeeren verstecken, wenn sie fotografiert werden.

Zwei weitere sehr ins Detail gehende Referate beschäftigten sich mit den Rahmenbedingungen der elektronischen Signatur. Armin Lunkeit von Openlimit führte die Zuhörer durch den Dschungel der internationalen PKI-Standards, erklärte die unterschiedlichen Schnittstellen und Testverfahren. Der Kasseler Jurist Alexander Roßnagel von der Projektgruppe verfassungsverträgliche Technikgestaltung beschäftigte sich mit rechtlichen Fragen der Herstellererklärung. Jeder Hersteller, der Hard- oder Software für die digitale Unterschrift anbietet, muss eine solche Erklärung abgeben, die dann von der Bundesnetzagentur bestätigt werden muss. Roßnagel führte aus, dass juristisch gesehen die Hersteller selbst die Normenprüfung durchführen können und keine Fremdprüfung erforderlich sei.

Insgesamt erweckte der PKI-Workshop 2007 den Eindruck, dass bei den digitalen Signaturen zwar noch das "Tal der Enttäuschungen" durchwandert wird, aber mit dem elektronischen Reisepass und dem Heilberufsausweis bereits die "Pfade der Erleuchtung" sichtbar werden, auf denen es wieder voran geht. (jk)