Das Internet ist in seiner Verfügbarkeit und seinem Potenzial längst zu einem wesentlichen Bestandteil der Wirtschaft geworden, denn die technischen Grundlagen bieten die Möglichkeit, Geschäfte aller Art über dieses Medium abzuwickeln. Dabei wird jedoch häufig vergessen, dass das World Wide Web aus seiner Entstehung heraus hinsichtlich der Rechtsverbindlichkeit der übertragenen Daten nicht auf heutige Sicherheitskomponenten und deren vom Gesetzgeber verankerte Richtlinien ausgelegt war. Von daher fehlen per se fälschungsresistente Übermittlungsmöglichkeiten für Nachrichten, auch sind die Kommunikationspartner nicht immer sicher identifizierbar. Der Ausweg heißt elektronische Signatur und kryptografische Datenübertragung. Allenthalben Unsicherheit herrscht über den Schutz von Informationen bei deren Weitergabe via Internet. Betrachtet man die vielfältigen Möglichkeiten der Hacker, in Unternehmensnetzwerke einzudringen, die täglich wachsende Menge an Viren oder Würmern, die Risiken selbst in den Business-Anwendungen und Endgeräten, so ist der Einsatz wirkungsvoller Verschlüsselungsmechanismen in Verbindung mit elektronischer Signatur zwingend notwendig. Zudem verpflichtet der Gesetzgeber die Unternehmen im Umgang mit IT und Kundendaten ohnehin zu ausreichendem Schutz gemäß dem Kontroll- und Transparenz-Gesetz (KonTraG).
Vorteile und Möglichkeiten
Durch den Einsatz der elektronischen Signatur ergibt sich eine ganze Reihe von Vorteilen: die sichere und gleichzeitig rechtskonforme Kommunikation auf elektronischem Weg ohne Medienbruch, verkürzte Transport- und Prozesszeiten, mehr Flexibilität oder aber auch der Investitionsschutz der vorhandenen Software durch die Integration von modernen Kommunikationsverfahren. Die hierfür benötigten Chipkarten lassen sich darüber hinaus auch zur Unterstützung weiterer EDV-technischer Prozesse verwenden – beispielsweise im Kantinen-Zahlungsverkehr oder zur Zugangskontrolle für Gebäude.
Vertraulichkeit, Integrität …
In Sachen Datenschutz gilt prinzipiell: Unbefugte Dritte dürfen – in welcher Form auch immer – nicht in der Lage sein, an den Inhalt von Nachrichten oder Dateien zu gelangen. Hierfür sollte die Nachricht inklusive der elektronischen Signatur zusätzlich verschlüsselt werden, realisiert durch eine Signaturkarte mit den auf der Karte befindlichen Signaturschlüsseln. Darüber hinaus ist es für den Geschäftsverkehr relevant, ob die übermittelten Information integer sind, das heißt, dass ihr Inhalt nicht unbemerkt veränderbar ist.
… Authentizität und Verbindlichkeit
Unter Authentizität ist der Identifikations- und Herkunftsnachweis zu verstehen, der durch die Benutzung einer Signaturkarte sowie der zugehörigen PIN angezeigt und gesichert wird. Auf diese Weise kann sich niemand fälschlicherweise als der Verfasser einer Datei oder Nachricht ausgeben. Gleichzeitig darf der Urheber eines Dokumentes seine Urheberschaft nicht abstreiten können; hier stellt die elektronische Signatur, die bis auf wenige Ausnahmen der handschriftlichen Unterschrift gleichgestellt ist, sogar ein höheres Maß an Verbindlichkeit sicher.
Umfassender Schutz durch Verschlüsselung
Mit der elektronischen Signatur lassen sich also Sender und Empfänger eindeutig identifizieren sowie Manipulationen am Inhalt erkennen. Jedoch schützt sie allein, ähnlich wie die eigenhändige Unterschrift, Daten nicht vor der unbefugten oder unerwünschten Kenntnisnahme durch Dritte. Ein solch umfassender Schutz kann nur durch eine geeignete zusätzliche Verschlüsselung erreicht werden, die auf den gleichen Sicherheits- und Infrastrukturvoraussetzungen aufbaut. Sie ermöglicht die vertrauliche Kommunikation über öffentliche Netze wie beispielsweise das Internet.
Gleiche Rechte für e-Post
Änderungen des Bürgerlichen Gesetzbuches (BGB) haben die notwendigen Voraussetzung geschaffen, den Geschäftsverkehr auf Papierbasis digital unter Einbezug der elektronischen Signatur bei gleicher Rechtsgültigkeit zu ersetzen. Diese ist überall dort einsetzbar, wo rechtsverbindliche Willenserklärungen eine Unterschrift erfordern und es auf vertrauenswürdige Kommunikation, sichere Identifikation und Integrität elektronischer Daten ankommt. Anwendungsbeispiele hierfür sind im Business-Bereich etwa elektronische Marktplätze, die automatisierte Bestellung eines Herstellers beim Zulieferer, Electronic Publishing, der autorisierte Zugang zu vertraulichen Dokumenten oder auch elektronische Mahnverfahren. Klassisches Beispiel: Wird eine elektronische Rechnung ausgelöst und auch elektronisch beglichen, muss sie gemäß § 14, Absatz 4 des Umsatzsteuergesetzes (UstG) über eine elektronische Signatur verfügen, da der Empfänger sonst nicht vorsteuerabzugsberechtigt ist.
Integration ist Trumpf
Technologisch gesehen sind zur Nutzung der elektronischen Unterschrift eine Signaturerstellungseinheit, also eine Smart Card oder Chipkarte eines als akkreditierten Trustcenter bezeichneten Zertifizierungs-Diensteanbieters, PC oder Laptop, ein Chipkartenleser sowie eine Signatur-Software für den PC notwendig. Für einen sinnvollen Einsatz der elektronischen Signatur und Verschlüsselung sind wiederum verschiedene Möglichkeiten der Integration unbedingt nötig – wobei der Umfang von Projekt zu Projekt variieren kann. Hierzu gehören die Einbindung in Kommunikationssoftware wie etwa MS Outlook, in Dokumentenerstellungs-Software wie z. B. MS Office, in Enterprise Resource Planning- (ERP-) Systeme, in branchenspezifische Workflows und in e-Business-Anwendungen. Des Weiteren notwendig ist die Option der Authentifizierung an Systemen, der Archivierung von Daten und der Nutzung von so genannten Zeitstempeln. Bei Letzteren handelt es sich um eine mit einer elektronischen Signatur versehene digitale Bescheinigung einer Zertifizierungsstelle, dass bestimmte digitale Daten zu einem speziellen Zeitpunkt vorgelegen haben.
Wer hilft weiter?
Der Gesetzgeber hat zwar die Maßnahmen, die erforderlich sind, um ein Dokument elektronisch zu unterschreiben, definiert. Jedoch sind die Rahmenbedingungen nicht festgelegt, was einheitliche Technologien, Protokolle und Treiber respektive Geräte betrifft. Dadurch ergibt sich die Situation, dass die unterschiedlichen Trustcenter zwar jeweils eine qualifizierte Unterschrift zur Verfügung stellen, diese aber möglicherweise von keinem anderen Anbieter gelesen werden kann bzw. keine Zertifizierungsprüfung durchführbar ist. Die autinform GmbH & Co. KG bietet als Business Partner der Deutschen Telekom AG vor diesem Hintergrund die Möglichkeit, alle derzeit auf dem Markt befindlichen Kartenformate les- und verwertbar zu machen.
autinform AG
D–65205 Wiesbaden
Telefon: (+49) 0611/7876-4
www.autinform.de
