IVWPixel Zählpixel

  Regiolinks    Suchmaschinen    Computer-ABC    News 

Home     Kontakt     Site Map  

[an error occurred while processing this directive] [an error occurred while processing this directive]

Verträge über das Internet:

Digitale Signatur muss sich noch beweisen

Anklicken zum Vergrößern
Elektronische Unterschrift - die sogenannte Chamber Card der Industrie- und Handelskammern (IHK) soll Online- Verträge ermöglichen.

Es sollte dem elektronischen Handel im Internet den entscheidenden Schub geben: Durch das Signaturgesetz vom 22. Mai 2001 werde das Eintippen der Kreditkartennummer oder der Bankverbindung über eine ungesicherte Internetverbindung bald der Vergangenheit angehören, hofften damals Wirtschaft und Politik.

Statt dessen sollte der Kunde in Zukunft den Vertrag für ein neues Auto oder eine Lebensversicherung sicher und rechtsverbindlich im Internet abschließen und mit seiner digitalen Signatur unterzeichnen können. Doch bis der Antrag für den neuen Reisepass einfach per Mausklick in das elektronische Postfach des Einwohnermeldeamts flattert, wird wohl noch einige Zeit ins Land gehen. Denn die Anwender tun sich schwer angesichts verschiedener Anbieter mit unterschiedlichen technischen Standards und uneinheitlichen Vertriebsstrukturen.

Die digitale Signatur schützt vor Manipulation

Die digitale Signatur gelte in Zukunft als Ersatz für die eigenhändige Unterschrift, sagt Judith Herchenbach-Canarius, Juristin bei der Regulierungsbehörde für Telekommunikation und Post in Bonn. Mit dem am 1. August 2001 in Kraft getretenen Formanpassungsgesetz habe der Gesetzgeber die elektronische Signatur im Zivilrecht berücksichtigt. Weitere rechtliche Konsequenzen in anderen Rechtsgebieten werden demnächst folgen.

Die digitale Signatur ist zwar technisch viel komplizierter als die Unterschrift mit einem Stift auf einem Stück Papier, doch dafür leistet sie auch mehr: Sie garantiert nicht nur, dass ein Schriftstück tatsächlich von einer bestimmten Person stammt, sie schützt auch vor Manipulationen. Ein digital signiertes Dokument kann nicht mehr verändert werden, ohne Spuren zu hinterlassen. Bisher ist es ein Leichtes gewesen, eine E-Mail zu manipulieren.

So geheim, dass nicht mal der Nutzer seinen Code kennt

Um digital unterzeichnen zu können, braucht jeder Benutzer eine Chipkarte, auf der ein Code, der geheime "private Schlüssel" des Nutzers, gespeichert ist. Dieser Code ist wie bei einer Kreditkarte von außen nicht zu sehen und so geheim, dass noch nicht einmal der Nutzer ihn kennt. Wer etwa einen Vertrag über das Internet abschließen will, muss bloß die Chipkarte in ein an den PC angeschlossenes Lesegerät schieben und über die Tastatur seine Geheimnummer eingeben. Anschließend wird der Text verschlüsselt. Dabei wird die digitale Signatur erzeugt.

Möchte ein Empfänger das Dokument auf Richtigkeit der Unterschrift prüfen, braucht er dazu einen zweiten Code, den "öffentlichen Schlüssel" des jeweiligen Absenders. Er ist im Internet abrufbar. So macht zum Beispiel T-Online diese Schlüssel in einem Verzeichnis für jeden zugänglich.

Gebraucht werden allgemein gültige Standards

Damit die Empfänger digital unterzeichneter E-Mails auch sicher gehen können, dass die im Internet hinterlegten öffentlichen Schlüssel auch wirklich einer real existierenden Person gehört, bedarf es noch einer neutralen Kontrollbehörde. Die Rolle wird von den Zertifizierungsstellen übernommen. Dort erhalten Nutzer ihre Chipkarte und die beiden "Schlüssel", nachdem sie sich ausgewiesen haben.

Doch genau darin liegt ein Problem. Weil die digitale Signatur den offenen Geschäftsverkehr zwischen Unbekannten regelt, müssen allgemein gültige Standards herrschen, die sich zurzeit erst herausbilden. "Da die digitale Signatur inzwischen zwar formal geregelt, aber technisch noch nicht einsetzbar ist, verwenden Banken und Versicherungen verschiedene Verschlüsselungsverfahren", ist das Ergebnis einer Studie. Darüber hinaus gibt es private Initiativen mit meist geschlossenen Gruppen. So geben sich zum Beispiel Lieferant, Kunde und Bankgesellschaft ihre eigenen Regeln.

Unterschiedliche Sicherheitsstandards und Vertriebswege

Die verschiedenen Signaturanbieter haben unterschiedliche Sicherheitsstandards und Vertriebswege. So verkauft die Deutsche Telekom etwa die Chipkarten über die T-Punkt-Läden. Die passende Software lässt sich kostenlos aus dem Internet herunterladen. D-Trust, eine Tochter der Bundesdruckerei, vertreibt das Signatur-Zubehör über die Industrie- und Handelskammern.

Mit dem Signaturgesetz sind de facto zwei unterschiedliche Sicherheitsstufen auf den Markt gekommen: die digitale Signatur mit und die digitale Signatur ohne amtliches Gütesiegel. Das amtliche Gütesiegel vergibt die Regulierungsbehörde für Telekommunikation und Post nach eingehender Prüfung des Unternehmens und seinen Sicherheitsstandards. Das Siegel erhält der Zertifizierungsanbieter erst, wenn er unabhängigen, privaten Prüfern die Sicherheit seines Betriebes nachgewiesen hat.

"Unsicherheitsfaktor Mensch" bleibt

Sicher nach dem deutschen Signaturgesetz geht der Verbraucher also, wenn er sich an eine von der Regulierungsbehörde akzeptierte Zertifizierungsstelle wendet. Dazu gehören unter anderem T-TeleSec der Deutschen Telekom oder die Deutsche Post Signtrust.

Problematisch ist zurzeit das Fehlen einer flächendeckenden Infrastruktur. Eine zentrale Stelle, die digitale Signaturen ausgibt und den jeweiligen Benutzer identifiziert, gibt es nicht. Peter Mandos, Geschäftsführer des Zertifizierungsanbieters D-Trust, fordert ein einheitliches System: "Am besten wäre eine staatliche Stelle wie das Einwohnermeldeamt, bei dem man auch seinen Pass beantragt." Trotz der Überlegungen für mehr Sicherheit bleibt der "Unsicherheitsfaktor Mensch": Wie auch bei der EC-Karte gilt, dass die Chipkarte getrennt von der PIN-Nummer aufzubewahren ist, raten Experten.

Miriam Tang, gms


 Suche in RZ-Online

 RZ

Web



Die Links der Region



Zuletzt geändert am 12. Oktober 2001 14:35 von tea

» Artikel druckenDruckversion
» Schriftgröße einstellen
» Impressum