Unterschiedliche Arten elektronischer Signaturen
In einer digitalen Welt bedarf es Mittel und Wege, die analoge Unterschrift zu ersetzen. Das schafft Rechtssicherheit und ermöglicht neue Geschäftsmodelle mit nutzerfreundlichen Prozessen. Der Fachartikel zeigt, aus welchen Komponenten sich eine elektronische Signatur zusammensetzt. Außerdem erklären wir, welche Varianten von elektronischen Signaturen existieren, was deren Vor- und Nachteile sind und für welche Anwendungsgebiete sich diese jeweils eignen.
Das Internet ist traditionell eine anonyme Parallelwelt, eine Welt der Nicknames und Avatare. Aus den verschiedensten Gründen schätzen Nutzer diese Anonymität. Die zusehende Kommerzialisierung des Webs sorgte aber schon früh dafür, dass es an bestimmten Punkten Schnittstellen zur realen Welt bedarf, um rechtssichere Transaktionen zu gewährleisten und illegale Machenschaften zu verhindern. Um die zentrale Frage nach der Identität von Personen im Netz zu klären, kamen und kommen immer noch Identifikationsverfahren zum Einsatz, die eher als Notlösung gelten können.
Schwächen der älteren Verfahren
Eine Methode zur Identifikation, die immer noch zur Anwendung kommt, ist die Identifikation in bestimmten Geschäften oder Filialen, beispielsweise in Postfilialen. Nutzer müssen sich dazu in die Filiale begeben und können sich dort durch eine autorisierte Person identifizieren lassen. Dabei ergibt sich eine Unterbrechung und der Prozess kann nicht direkt online komplettiert werden. Weitere Faktoren sind die geografische Abhängigkeit von den Identifikationsstandorten sowie Warte- und Öffnungszeiten.
Die nächste Methode ist die Videoidentifikation, bei sich der Kunde per Video durch einen Agenten identifizieren lässt. Die geografische Abhängigkeit entfällt. Aber auch die Call Center sind in der Regel nicht rund um die Uhr besetzt, sodass sich Nutzer an bestimmte Zeiten halten müssen und zudem eine entsprechend gute Internetverbindung vorhanden sein muss.
Der Personalausweis lässt sich ebenfalls zur elektronischen Identifikation nutzen. Dabei lassen sich entweder per Lesegerät oder RFID fähigem Smartphone die im Personalausweis hinterlegten Daten auslesen. Die Onlinefunktion wird aktuell nur von bestimmten Smartphone-Modellen unterstützt. Weiterhin bedarf es einer PIN, die die wenigsten zur Hand haben. Um eine neue PIN zu erhalten, führt der Weg nur über das nächste Bürgeramt.
Was alle drei genannten Verfahren gemeinsam haben: Sie orientieren sich an einem Token aus der analogen Welt, also dem Personalausweis. Die Identifikation erfolgt somit durch den Besitz des Ausweises. Eine inhärent digitale Lösung ist das aber noch nicht. Hier kommt die elektronische Signatur ins Spiel. Der Gedanke dahinter ist, nach einer einmaligen Identifizierung immer wieder direkt im digitalen Raum signieren zu können.
Das ist eine elektronische Signatur
Laut der eIDAS-Verordnung (Artikel 3.10) [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0910] besteht eine elektronische Signatur aus "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet." Das ist allerdings äußerst allgemein gehalten und kann auch nur der Name unter einer E-Mail-Adresse sein. Einer solchen Signatur kommt daher keinerlei Beweiskraft zu.
Die Verordnung kennt aber noch weitere Spezifikationen, darunter zunächst die fortgeschrittene elektronische Signatur, die Artikel 26 beschreibt. Dieser listet vier spezifische Anforderungen auf, die die fortgeschrittene elektronische Signatur erfüllen muss: "a) Sie ist eindeutig dem Unterzeichner zugeordnet. b) Sie ermöglicht die Identifizierung des Unterzeichners. c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann. d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann." Solche Signaturen lassen sich gemäß § 127 BGB für formfreie Vereinbarungen einsetzen. Sollte es zu einem Rechtsstreit kommen, liegt allerdings die Beweislast bei der Partei, die sich auf die Signatur bezieht – sie muss beweisen, dass diese echt ist.
Signatur mit Beweiskraft: QES
Die gleiche Beweiskraft wie eine handschriftliche Unterschrift hat nach Artikel 25.2 hingegen nur die qualifizierte elektronische Signatur (QES). Diese muss die Anforderung erfüllen, dass ihr ein qualifiziertes Zertifikat zugrunde liegt, wie im Anhang I der eIDAS-Verordnung definiert.
Bei der Anwendung der QES kommt ein kryptografisches Verfahren zum Einsatz, das hohe Fälschungssicherheit gewährleistet: Die persönlichen Informationen werden hierfür zusammen mit dem sogenannten Hash-Wert des Dokuments per Algorithmus und privatem Schlüssel verschlüsselt und – zusammen mit einem auf die Identität des Unterzeichners aus-gestellten Signaturzertifikat – an das Dokument geheftet. Der Empfänger kann seinerseits ebenfalls einen Hash-Wert ermitteln und den verschlüsselten Hash des Signierenden mit Hilfe des öffentlichen Schlüssels im Zertifikat entschlüsseln. Dieses Public-Key-Verfahren verknüpft die ermittelte Signatur untrennbar mit dem elektronischen Dokument und sichert die Integrität des Schriftstücks: Sofern beide Hashwerte gleich sind, ist das Dokument nach der Signatur nicht mehr verändert worden und mit der Person verbunden, deren Identitätsdaten im Zertifikat hinterlegt waren.
QES in der Praxis
Die technischen und rechtlichen Rahmenbedingungen, die wir hier nur kurz anreißen konnten, sind sehr komplex. Daher hat sich das Modell spezialisierter Trust Service Provider bewährt, die als Verwalter der Identitäts-Evidenzen agieren und die Schlüsselzuordnung zum Unterzeichner im Rahmen des Zertifikates sicherstellen. Diese Anbieter verwalten zudem die Authentisierungsmittel sowie die privaten Schlüssel. Für identifizierte Anwender bedeutet das konkret, dass sie nur eine Authentisierung tätigen müssen, um eine QES auszulösen.
Anwendungsfälle ergeben sich etwa im Finanzbereich, wo in einigen Fällen Schriftformerfordernis vorgeschrieben ist. Diese setzt allerdings eine zweifelsfreie Identifikation der signierenden Person voraus. Der Smart Registration Service (SRS) integriert die Identifikation mittels Bankkonto direkt in den Vertragsabschluss. Dabei bleibt der Kunde im gleichen digitalen Kanal und identifiziert sich anhand seiner Bankdaten eines deutschen e-Banking Kontos. Der Kunde bekommt so durch automatisierte Abläufe einen nutzerfreundlichen Prozess, um seinen Willensbekundung elektronisch durchzuführen. Die Registrierung mit SRS Bank beinhaltet auch die Registrierung eines Authentisierungsmittels. Dementsprechend benötigen nachfolgende Signaturen keine erneute Identifikation mehr, sondern können schnell mit einem Zwei-Faktor-Authentisierungsverfahren, wie beispielsweise einem biometrischen Verfahren wie Fingerprint freigegeben werden.
Andere Anwendungsfälle ergeben sich etwa im Versicherungsbereich, wo in einigen Fällen Schriftformerfordernis für Verträge vorgeschrieben ist. Bei Dienstleistungen, die dem Geldwäschereigesetz unterliegen, ist eine Überprüfung der Identität von Vertragspartnern vorgeschrieben. Als eine Möglichkeit dafür wird im Gesetzestext auch die QES genannt. Dabei kann es etwa um Trading Apps gehen oder Online-Glücksspiel.
Fazit
In der rundum digitalisierten Welt verstehen Verbraucher nicht mehr, warum sie für bestimmte Dienstleistungen auf einmal wieder Papiere unterschreiben sollen oder aus dem Haus gehen müssen, um ihren Personalausweis vorzuzeigen. Stattdessen wünschen sie sich Angebote, die sich möglichst reibungslos in ihren Alltag integrieren. Mit der QES steht nun auch Unternehmen aus hochregulierten Branchen ein Mittel zur Verfügung, ihren Nutzern vollständig digitale Vertragsabschlüsse anzubieten.
Autor: Marco Schmid, Head of International Expansion Strategy bei Swisscom Trust Services