Wissenschaftsethik und TechnikfolgenbeurteilungBand 12

Schriftenreihe der Europaischen Akademie zur Erforschungvon Folgen wissenschaftlich-technischer Entwicklungen

Bad Neuenahr-Ahrweiler GmbHherausgegeben von CarlFriedrich Gethmann

Springer-Verlag Berlin Heidelberg GmbH

C. J. Langenbach, O. Ulrich (Hrsg.)

Elektronische Signaturen Kulturelle Rahmenbedingungen einer technischen Entwicklung

Mit 22 Abbildungen und 13 Tabellen

i Springer

Reihenherausgeber Professor Dr. Cari Friedrich Gethmann Europăische Akademie GmbH WilhelmstraBe 56, 53474 Bad Neuenahr-Ahrweiler

Bandherausgeber Dr.-Ing. Christian J. Langenbach Europăische Akademie GmbH WilhelmstraBe 56, 53474 Bad Neuenahr-Ahrweiler

Dr. Otto Ulrich Institute for Technology and Art ErmekeilstraBe 21, 5 3113 Bonn

Redaktion Dr. Georg Kamp und Friederike WOtscher Europăische Akademie GmbH WilhelmstraBe 56, 53474 Bad Neuenahr-Ahrweiler

ISBN 978-3-642-62718-7

DieDeutscheBibliothek-CIP-Einheitsaufnahme ElektronischeSignaturen:Kulturelle Rahmenbedingungen einertechnischen Entwicklung/ Hrsg.: ChristianJ. Langenbach ... -Berlin; Heidelberg; New York; Barcelona; Hongkong; London; Mailand; Paris; Tokio: Springer,2002

(WissenschaftsethikundTechnikfolgenbeurteilung;Bd.l2) ISBN 978-3-642-62718-7 ISBN 978-3-642-56327-0 (eBook) DOI 10.1007/978-3-642-56327-0

Dieses Werk ist urheberrechtl ich geschutzt. Die dadurch begrUndeten Rechte, insbesondere die der Obersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikrover­filmung oder der Vervielfllltigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, biei ben, auch bei nurauszugsweiser Verwertung, vorbehalten. Eine Vervielfllltigungdieses Werkes odervon Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 in der jeweils geltenden Fassung zulassig. Sie ist grundsatzlich vergOtungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des Urheberrechts­gesetzes.

http://www.springer.de

©Springer-Verlag BerlinHeidelberg2002 Ursprünglich erschienen bei Springer-Verlag Berlin Heidelberg 2002 Softcover reprint of the hardcover lst edition 2002 Die Wiedergabevon Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. indiesem Werk berechtigt auch ohne besondere Kennzeichnungnichtzuder Annahme, daB solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten waren und daher vonjedermann benutzt werden dorften.

Soli te in diesem Werk direktoderindirektaufGesetze, Vorschriften oder Richtlinien (z.B. DIN, VDI, VDE) Bezug genommen oder aus ihnen zitiert worden sein, so kann der Verlag keine Gewahr for Richtigkeit, Vollstandigkeit oder Aktualitat Obemehmen. Es empfiehlt sich, gegebenenfalls for die eigenen Arbeiten die vollstandigen Vorschriften oder Richtlinien in der jeweils gOitigen Fassung hinzuzuziehen.

Reproduktionsfertige Vorlagen der Herausgeber Einbandgestaltung:de'blik,Berlin SPIN: 10853099 Gedruckt aufsaurefreiem Papier 62/3020hu-5 43 21 O

Eur op als c h e Akademiezur Erforschung von Foigen wissenschattlich-technischer Entwicklungen

Bad Neuenahr-Ahrwe iler GmbH

Direktor:Professor Dr. Carl Friedr ich Gethmann

Die Europaische Akademie

Die Europiiische Akademie zur Erforschung von Folgen wissenschaftlich­technischer Entwicklungen Bad Neuenahr-Ahrweiler GmbH widmet sichder Untersuchung und Beurteilung wissenschaftlich-technischer Ent­wicklungen fiir das individuelle und soziale Leben des Menschen und sei­ne natiirliche Umwelt. Sie will zu einem rationalen Umgang der Gesell­schaft mit den Folgen wissenschaftlich-technischer Entwicklungen beitra­gen. Diese Zielsetzung solI sich vor allem in der Erarbeitung von Emp­fehlungen fiir Handlungsoptionen fiir Entscheidungstrager in Politik undWissenschaft sowie die interessierte Offentlicbkeit realisieren. Diese wer­den von interdisziplinaren Projektgruppen bestehend aus fachlich ausge­wiesenen Wissenschaftlern aus ganz Europa erstellt. Dariiber hinaus bear­beiten die Mitarbeiter der Europaischen Akademie iibergreifende und me­thodologische Fragestellungen aus den Bereichen Wissenschaftsethik undTechnikfolgenbeurteilung.

Die Reihe

Die Reihe .Wissenschaftsethik und Technikfolgenbeurteilung" dient derVeroffentlichung von Ergebnissen aus der Arbeit der Europaischen Aka­demie und wird von ihrem Direktor herausgegeben. Neben den Schluss­memoranden der Projektgruppen werden darin auch Bande zu generellenFragen von Wissenschaftsethik und Technikfolgenbeurteilung aufgenom­men sowie andere monographische Studien publiziert .

Geleitwort

Fiir viele Nutzer der modernen Kommunikationstechniken scheint der gelbe Post­bote durch den elektronischen Postboten abgelost worden zu sein . Anges ichts dervielen Vorteile der neuen Kommunikationsformen werden ihre Risiken seltenerbedacht. Zu ihnen gehoren Fragen der Integritiit des Textes und der Identitiit derKommunikationspartner. Solange der Nutzer das Internet als fast unendlicheInformationsquelle betrachtet, ist es hinnehmbar, dass Informationen standigverandert werden konnen oder von einem anonymen Absender stammen. Werdendagegen zum Beispiel Vertrage auf elektronischen Systemen geschlossen, musseindeutig sein, welchem Vertragspartner welche Willenserklarung zuzuordnen ist.Denn nur so kann im Falle einer Auseinandersetzung eine Beweisfiihrung erbrachtwerden. Zur Absicherung wichtiger elektronischer Rechtsgeschafte soll eintechnisches Verfahren dienen, das an die Stelle der traditionellen Unterschrift inihrer doppelten Funktion als Identifikation des Unterzeichners und als willentlicheBekraftigung des Textes tritt - die elektronische (digitale) Signatur.

Die elektronische Signatur ist ein hochkomplexer technischer Basisbaustein fiireine sichere und rechtsverbindliche Kommunikation in der modernen Informa­tionsgesellschaft. Es geht dabei nicht nur urn das rein technische Funktionieren,elektronische Signaturen miissen kommunikativ akzeptabel sein. Ihre Anwendungmuss so transparent sein, dass sie allen Nutzern offen steht und nicht nur einigenwenigen technisch versierten Experten. Damit stellen sich jedoch vollig neuartigerechtliche, wirtschaftliche, soziale und kulturelle Fragen. Ihre wissenschaftlicheBearbeitung kann daher auch nur in intensiver interdisziplinarer Projektarbeiterfolgen.

Die Europaische Akademie GmbH hat im September 1999 eine interdisziplinarund international zusammengesetzte Projektgruppe berufen, mit dem Auftrag, dieFragen der technischen Sicherheit, kulturellen Beherrschbarkeit und moralischenVerantwortbarkeit elektronischer Signaturen zu untersuchen. Mit diesem Band derSchriftenreihe der Europaischen Akademie legt die Projektgruppe die Ergebnisseihrer Arbeit vor. Der Band zeigt, dass das Projekt .Elektronische Signaturen" inausgezeichneter Weise dem wissenschaftlichen Selbstverstiindnis der Europa­ischen Akademie GmbH entspricht. Das Thema ist sowohl wissenschaftlich hoch­interessant als auch gesellschaftlich hochst aktuell; es fordert die Kompetenz einergroBen ZaW wissenschaftlicher Disziplinen. Der Regulierungskontext muss dienationalstaatlichen Grenzen iiberschreiten. Die von der Projektgruppe erarbeitetenHandlungsempfehlungen setzen inhaltlich neue und kritische Akzente gegeniiberder Praxis in vielen europaischen Staaten. Die Empfehlungen spiegeln die Uber­zeugung wider, dass es urn die Beherrschung einer niitzlichen Technik durch dieMenschen geht und nicht urngekehrt.

VIII Geleitwort

Die Projektgruppe hat ihre Arbeit in dem ungewohnlichen kurzen Zeitraum voneinem Jahr abgeschlossen. Sie trug damit dem Umstand Rechnung, dass in demsich dynamisch verandernden Feld der Informations- und Kommunikationstechniknur schnell erzielte Arbeitsergebnisse eine Chance haben, wahrgenommen undangewendet zu werden. Ich danke daher den Mitgliedern dieser bisher zahlen­maBig groBten Projektgruppe vor allem dafiir, dass sie die Energie und Konzen­tration aufgebracht haben, das komplexe Thema in so kurzer Zeit zu bewaltigen.Herro Dr. Georg Kamp, Europaische Akademie GmbH, sei fiir seinen Einsatz beider sprachlichen Uberarbeitung des Texts besonders gedankt.

Interdisziplinare Arbeit in den von der Europaischen Akademie berufenenProjektgruppen soll Beratungskapazitaten fiir den gesellschaftlichen Entschei­dungsprozess zur Verfiigung stellen. Ich wiinsche dem Memorandum, dass es die.Entscheider' erreicht, aber auch viele interessierte Leser fmdet, die durch einbesseres Verstandnis von Risiken und Chancen der Technik mehr Kritikfahigkeit,aber auch mehr Selbstvertrauen gewinnen mogen.

Juli 2001Bad Neuenahr-Ahrweiler Carl Friedrich Gethmann

Autorenverzeichnis

Banse, Gerhard, Professor Dr. sc. phil., 1969 Dip1om1ehrer flir Chemie undBio1ogie, Padagogische Hochschu1e Potsdam. 1974 Promotion zum Dr. phil.,Humboldt-Universitat zu Berlin. 1981 Promotion zum Dr. sc. phil., Akademie derWissenschaften der DDR. Forschungszentrum Karlsruhe, Institut fiir Technik­folgenabschatzung und Systemana1yse (ITAS)

Baumler, Helmut, Dr. jur., Studium der Rechts- und Politikwissenschaften, Uni­versitat Bonn. 1974 1. Juristisches Staatsexamen. 1977 2. Juristisches Staats­examen. 1978 Promotion, Universitat Frankfurt a.M.. Ministerialdirigent Landes­beauftragter fur den Datenschutz Schleswig-Holstein

Dumortier, Jos, Professor Dr. jur., 1973 Diplom der Rechtswissenschaften, Katho­lische Universitat Leuven. 1981 Promotion, Katholische Universitat Leuven. 1999Full Professor in Law. Professor fur Recht, Katholische Universitat Leuven.Direktor des Interdisziplinaren Zentrums fiir Rechtswissenschaft und Informations­technologie (ICR!) (B)

Genghini, Riccardo, Dr. jur. , 1983 Diplom der Rechtswissenschaften, UniversitaFederico II di Napoli. 1984 Promotion, Universita Federico II di Napoli. 1989Zulassung als Anwalt in Rom. 1990 Zulassung als Notar im Distrikt Mailand.Notar im Distrikt Mai1and- ltalien . Dozent fur Gesellschaftsrecht an der Lombar­deischen Notariatsschu1e. Mitg1ied der informatischen Kommission des ConsiglioNazionale del Notariato. Studio Notarile Genghini (I)

Kiepas, Andrzej, Professor Dr., 1975 Diplom der Physik, Schlesische UniversitatKatowice. 1982 Promotion, Schlesische Universitat Katowice. 1991 Habilitation,Technische Universitat Dresden. Professor filr Philosophie, Schlesische Univer­sitar Katowice. Institutsdirektor des Instituts fiir Philosophie (PL)

Langenbach, Christian J., Dr.-Ing., 1991 Diplom der Ingenieurwissenschaft, Uni­versitat Stuttgart. 1991 Hauptabteilung Systemanalyse Raumfahrt, DeutschesZentrum fiir Luft- & Raumfahrt (DLR) K61n. 1997 Promotion, Technische Uni­versitat Berlin. 1996 Europaische Akademie Bad Neuenahr-Ahrweiler GmbH

Lutterbeck, Bernd, Professor Dr. jur., 1969 1. juristisches Staatsexamen,Schleswig. 19742. juristisches Staatsexamen, Universitat Hamburg. 1976 Promo­tion, Universitat Regensburg. 1984 Berufung zum Professor. Professor filrInformatik und Gesellschaft, Technische Universitat Berlin. Dozent der Aktion

X Autorenverzeicbnis

Jean Monnet der Europaischen Union Briissel. Fachgruppe Informatik undGesellschafi am Institut fiir Angewandte Infonnatik

Machleidt, Petr, Dr. phil., 1973 Diplom der Soziologie und Volkswirtschaft,Karlsuniversitlit Prag. 1976 Promotion, Karlsuniversitlit Prag. Zentrum fiirWissenschafts-, Technik und Gesellschaftsstudien beim Institut fiir Philosophieder Akademie der Wissenschaften der Tschechischen Republik, Prag (CZ)

Pfitzmann, Andreas, Professor Dr. rer. nat., 1982 Diplom der Infonnatik,Universitat (TH) Karlsruhe. 1989 Promotion, Universitat (TH) Karlsruhe. 1993Berufung zum Professor. Professor fiir Informations- und Kodierungstheorie,Technische Universitlit Dresden, Fakultat fiir Infonnatik

Rudinger, Georg, Professor Dr. phil. 1967 Diplom der Psychologie, UniversitlitBonn. 1971 Promotion, Universitlit Bonn. 1974 Berufung zum Professor.Professor fur Psychologische Methodenlehre, Diagnostik & EDV, UniversitatBonn, Institut fiir Psychologie. Seit 1993 Geschaftsfuhrer der ProfessionalAcademic Consulting & Evaluation GmbH. Seit 01.01.2000 Sprecher des ZEM(Zentrum fur Evaluation und Methoden) an der Universitat Bonn

Ulrich, Otto, Dr. rer. pol., 1964 Diplom als Physik-Ingenieur, FachhochschuleIserlohn. 1975 Bildungsokonomie M.A., Technische Universitat Berlin . 1978Promotion, Freie Universitat Berlin. Regierungsdirektor. Referatsleiter fiirTechnikfolgenabschatzung, Bundesamt fiir Sicherheit in der Informationstechnik(BSI), Bonn. Seit 01.01.2001 Geschaftsfuhrer Institute for Technology and Art,Multimedia@Datenschutz, Bonn

Vofsbein, Reinhard, Professor Dr., 1957 Diplom als Diplom-Kaufmann, Universi­tat Koln . 1972 Promotion, Universitlit Kiel . 1972 Berufung zum Professor. SeniorPartner und Teilhaber der Untemehmens- und Informations-Management Consult­ants Dr. VoBbein Untemehmensberatung GmbH & Co. KG (UIMC)

Die Erstellung des Memorandums erfolgte schrittweise, indem die Autoren gemiiBihrer thematischen Zustandigkeit .Saattexte" erstellten, welche zunachst nur ausStichworten, Gliederungspunkten, Thesen o.a. bestanden, die im Zuge der inter­disziplinliren Diskussionen sowohl modifiziert wie auch zu vollstlindigen Textenweiterentwickelt wurden . Auf der Basis dieser innerhalb der Projektgruppe kri­tisch gepriiften Saattexte entstand ein Arbeitstext, der gemiiB der aktuellen Ar­beitsgliederung, den Inhalten des Arbeitsprogramms und den Ergebnissen derabgehaltenen Expertenanhorungen in dem erwlihnten Saattext-Verfahren vervoll­standigt wurde. Nach Abschluss dieser Arbeitsphase lag der vollstlindige Text desMemorandums vor, den die Gruppe nach dem Konsensprinzip verabschiedet hat.

Autorenverzeichnis XI

Die im folgenden aufgefiihrte Autorschaft ist ein Resultat der vorhandenenthematischen Kompetenz in der Projektgruppe Elektronische Signaturen:

Banse, GerhardBaumler, HelmutDumortier, JosGenghini, RiccardoKiepas, AndrzejLangenbach, Christian 1.Lutterbeck, BerndMachleidt, PetrPfitzmann, AndreasRudinger, GeorgUlrich, OttoVoBbein, Reinhard

Abschnitt l.l; 2; 3.2;Abschnitt 2; 7Abschnitt 1.2; 2; 6.2; 9.1.1Abschnitt 2; 5.1; 6.1Abschnitt 2; 9.1.2Abschnitt Resiimee; l.l; 2; 9; 10Abschnitt 1.2; 2Abschnitt 2; 9.1.2Abschnitt 2; 6.3Abschnitt 2; 4Abschnitt l.l; 2; 3.1Abschnitt 2; 5.2; 8

Inhaltsverzeichnis

ResOmee XVII

1 Ausgangslage und Hintergrund XVII2 Empfehlungen XX3 Ausblick XXIV

Teill

1 Problemaufriss: Elektronische und digitale Signaturen 11.1 Ausgangslage 1

1.1.1 Hintergrund 21.1.2 Aktionsfelder der Untersuchung und deren

Zielsetzung 51.1.3 Erwartungen 10

1.2 Beziehung zwischen "elektronischen Signaturen"und "digitalen Signaturen" 101.2.1 Die digitale Signatur 111.2.2 Die elektronische Signatur 121.2.3 Die Beziehung zwischen den Konzepten

"elektronischer Signatur' und "digitaler Signatur' ....... 13

2 Empfehlungen und Begriindungen 152.1 Generelle Empfehlung 152.2 Kulturwandel 172.3 Verbraucherschutz, Anwenderschutz und Datenschutz 202.4 Technische Qualitaten 222.5 Gestaltung, Erprobung sowie Umgang mit Risiken 252.6 Europa 27

Teilll

3 Elektronische Signaturen in Zukunftsbildem - KulturelleReflexionen 313.1 Neue Problemstellungen - anhand einiger Illustrationen 31

XIV Inhaltsveneichnis

3.2 Papierwe1t und digita1eWelt - Ku1turelle Reflexionentiber einen Umbruch 353.2.1 Ku1turund Technik 373.2.2 "Sto1persteine" des Ubergangs zur e1ektronischen

Signatur 393.2.3 Die ku1turellen Dimensionen des Ubergangs 423.2.4 Sicherheit , Verantwortbarkeit, Beherrschbarkeit... 44

4 Vertrauenswiirdige technisch vermittelte Kommunikation 494.1 Vertrauen in der direkten Kommunikation 494.2 Vertrauen in technisch vermittelter Kommunikation 52

4.2.1 Der Bote Internet 524.2.2 Systemsicherheit 544.2.3 Vertrauen durch die Technik der e1ektronischen

Signaturen? 554.3 E1ektronische Signaturen - Sicherheit in der

Kommunikation 564.4 Empirische Untersuchung zu Akzeptanz und Vertrauen in

e1ektronische Signaturen 614.4.1 Stichprobe der Untersuchung 624.4.2 Determinanten des Vertrauens 634.4.3 Ergebnisse in Anlehnung an das Netzwerk 67

5 Signatur und rechtsverbind1iche Kommunikation 695.1 Die Signaturauthentifikation - eine Grauzone 695.2 Okonomische Aspekte der rechtsverbind1ichen

Kommunikation 735.2.1 Das Geschaftsmodell der elektronischen Signatur 735.2.2 Die e1ektronische Signatur in okonomischer Sicht., 745.2.3 Makrookonomische Faktoren 77

6 Rechtsordnung und Informatik - die .Pioniere" bei derEinfiihrung der e1ektronischen Signatur 796.1 Dokumente im Rechtsverkehr - einst und jetzt 79

6.1.1 Wie erkennt man ein Rechtsdokument? 806.1.2 Cyberkontext, Rechtsdokument und juristische

Information 826.2 Die elektronischen Signaturen nach dem Europaischen

Modell 846.2.1 Die Europaische Richtlinie in der Ubersicht 846.2.2 Die European Electronic Signature Standardization

Initiative (EESSI) 926.2.3 Das komp1exeNetzwerk der Betei1igten 946.2.4 Verschiedene Formen der elektronischen Signaturen 956.2.5 Signature Policy 966.2.6 Die Komplexitat des Va1idierungsprozesses 986.2.7 Das Problem der Langzeitverfiigbarkeit.. 98

Inhaltsverzeichnis XV

6.3 Informationsteclmische Grundlagen 996.3.1 Was bedeutet Sicherheit digitaler Signaturen? 996.3.2 Notwendige Komponenten und ihre Sicherheit.. 1006.3.3 Vertiefende Aspekte 104

7 Elektronische Signaturen im Konflikt mit den Grundrechten? 1097.1 Das Recht auf informationelle Selbstbestimmung 1097.2 Gewandelte Rahmenbedingungen fiir die autonome

Wahrnehmung des Rechts auf informationelleSelbstbestimmung 110

7.3 Positive Beziige elektronischer Signaturen zum Recht aufinformationelle Selbstbestimmung 1117.3.1 Authentizitat 1117.3.2 Integritat. 1127.3.3 Vertraulichkeit 1127.3.4 Anonymes und pseudonymes Handeln 1137.3.5 Einsatz der Biometrie im Rahmen der elektronischen

Signatur 1137.4 Electronic Government 1147.5 Risiken elektronischer Signaturverfahren fiir das Recht

auf informationelle Selbstbestimmung 1157.5.1 Datenschutzrechtliche Fragen beziiglich der

Zuverlassigkeit der Zertifizierungsstellen 1157.5.2 Identifizierung von Antragstellern fiir ein Zertifikat 1177.5.3 Erzeugung des Signaturschliissels 1177.5.4 Anonymes und pseudonymes Handeln 1187.5.5 Verbesserung der datenschutzrechtlichen Kontrolle

und Beratung 117

8 Die Kosten elektronischer Signaturen 121

9 Von der Realitat zur Vision 1299.1 Die Realitat in Europa 129

9.1.1 Die Europaische Signaturrichtlinie und ihreTransposition in den ED Mitgliedstaaten 130

9.1.2 Die gesetzgeberischen Schritte der MOEL- undNUS-Staaten 137

9.2 Skizze fiir ein visionares Modell... 1479.2.1 Die Methodik 1499.2.2 Das Modell 152

10 Grenziiberschreitungen - Aktivitaten fiirTechnikfolgen-beurteilungen zur Informationsgesellschaft 155

Teillll

Nachwort 159

XVI InhaItsverzeichnis

Glossar 163

Literaturverzeichnis 173

Resumee

Die Nutzung elektronischer Medien vereinfacht fur den Verbraucher vieles: Erkann online ein vielfaltiges Dienstleistungsangebot nutzen. Global agierendeUntemehmen erledigen zunehmend ihre Geschafte tiber die elektronischen Netze.Bei all diesen Vorgiingen steht der Schutz der Information und das Vertrauen beider Nutzung der globalen elektronischen Dienstleistungsgesellschaft im Vorder­grund, elektronische Signaturen zur Identifizierung des Senders und Authentifi­zierung der Inhalte spielen eine zentrale Rolle bei einem sicheren E-Commerce.

Trotz dieses strategischen Stellenwerts elektronischer Signaturen zeichnet sichimmer deutlicher ab, dass weder das Recht - etwa Signaturgesetze oder Richt­linien - noch die Technik allein aus sich heraus Sicherheit und Vertrauen beimNutzer herstellen konnen, Denn in offenen elektronischen Kommunikationsbezie­hungen hat der Anwender das Grundbediirfnis, Daten so sieher als moglich, dasbedeutet geheim, authentisch und vertraulich, zu ubertragen und zu speichem.

Wenn kulturveriindemde Wirkungen durch neue technische Entwicklungenausgelost werden, ist es nicht ungewohnlich, dass soziale Akzeptanzproblemeaufgeworfen werden. Diese haben ihren Ursprung vor allem darin, dass der Unter­suchungsgegenstand - elektronische und digitale Signaturen - hochkomplex istund vollig neuartige juristische, okonomische und philosophische, soziale, psy­chologische und kulturelle Fragen aufwirft. Antworten zu diesen Fragen sind inForm praxisorientierter Handlungsempfehlungen zu geben, soll der Ubergang ineine historisch neue Technikepoche kulturell beherrschbar gestaltet werden.

Zwei aktuelle Beispiele zeigen allerdings, wie schwer dieses sein wird:

• Informatiker der Universitiit Bonn haben mit einem sogenannten Trojan­ischen Pferd praktisch demonstriert, was Sicherheitsexperten seit vie1enJahren vorhergesagt haben: Auch Signaturen der sichersten Stufe nachdeutschem Signaturgesetz konnen gefalscht werden, wenn sie auf unsi­cheren Betriebssystemen erstellt wurden.

• SwissKey, die einzige Schweizer Zertifizierungsstelle, stellte aus fmanzi­ellen Grunden ihren Betrieb ein. Marktlosungen allein fiihren nicht zurHervorbringung von notwendigen nationalen Sicherungsinfrastrukturen.Dieser Zusammenbruch hat in der Schweiz zugleich zu einer aufgeregtenDiskussion urn staatliche Souveranitat gefiihrt.

1 Ausgangslage und Hintergrund

Der Ubergang von der eigenhiindigen Unterschrift zu elektronischen Signaturenwird oftmals als ein Kulturbruch dargestellt, und das zwingt realistisch zur inter­disziplinaren Sicht und Begleitung. Gemaf dem wissenschaftlichen Auftrag der

XVIII Resiimee

Europaischen Akademie miissen dabei die Folgen fiir das individuelle und sozialeLeben der Menschen analysiert werden. Denn erst interdisziplinar erarbeitete Er­gebnisse ermoglichen, den begonnenen Weg von der eigenhandigen Unterschrifthin zur elektronischen Signatur - einem gezielt herbeigefiihrten Kulturumbruch ­gesellschaftlich zu gestalten und zu moderieren.

Nicht nur die vielfaltigen Aktivitiiten fiir eine rasche Entwicklung und Verbrei­tung elektronischer Signaturen, sondern auch der Wandel der Begrifflichkeit zeigtdie Dynamik dieses Kulturumbruchs. In der Vorprojektphase zu diesem europa­ischen Projekt gab es durch das deutsche Signaturgesetz nur den Ausdruck digi­tale Signatur. Seit Inkrafttreten der EU-Richtlinie iiber gemeinschaftliche Rah­menbedingungen fiir elektronische Signaturen wird im europaischen Kontextmittlerweile der Ausdruck elektronische Signatur verwendet. Dieserterminologischen Entwicklung folgt auch das vorliegende Memorandum.

Die Entwickler der elektronischen Signaturen stehen vor der Herausforderung,dass die neuartigen Kommunikationsbeziehungen zwar die tradierte Papierformnicht mehr benotigen, aber nach wie vor die Aspekte einer verbindlichen Kommu­nikation. Die technischen Infrastrukturen miissen den elektronischen Geschafts­verkehr vor unberechtigtem Zugriff schiitzen und zwar mit mindestens gleicher ­rechtlich und praktisch - Sicherheit wie beim papierenen Schriftdokument. Somiterhalt die elektronische Kommunikation einen neuen gesellschaftlichen Stellen­wert und die Schrift - ob als Handschrift, Maschinenschrift oder Druckschrift ­verliert im Prozess des Wandels an Bedeutung. Fast drei Jahre nach der Verab­schiedung des deutschen Signaturgesetzes sind die Nutzer hinsichtlich der Au­thentizitiit der elektronisch iibermittelten Inhalte verunsichert. Dagegen ist diebisher geiibte Praxis der eigenhandigen Unterschrift unter einen Vertrag technischeinfach, visuell nachpriifbar und sie bietet trotz der Moglichkeit zur Falschungoder Vernichtung ein hohes Mal3 an Verlasslichkeit, Der Kulturbruch zeigt sich inder Stoning solcher tradierter und iiber Jahrtausende herausgebildeter Denk- undHandlungsmuster, bei denen ein vertrauensvoller Umgang mit der Schrift blindvorausgesetzt wird. I

Eine vertrauenswiirdige elektronische Kommunikation benotigt rechtskraftigeelektronische Signaturen. Rechtsverbindliche Willenserklarungen mit Beweiswertkann es nur mit technisch-elektronischen Verfahren geben, bei denen zuverlassigauf den Urheber und die Unverfalschtheit der Daten geschlossen werden kann.Daneben braucht es neue oder angepasste gesetzliche Rahmenbedingungen, wiedas Signaturgesetz, die Formvorschriften des Privatrechts, die Zivilprozess­ordnung oder das offentliche Recht. Nur so ist ein vollstiindiger Umstieg vom.Papierdokument" auf das "digitale Dokument" zu realisieren. Die aus dertechnisch-organisatorischen Infrastruktur abzuleitenden Anforderungen erfiillt dasKonzept der elektronischen oder digitalen Signatur.

Die Abbildung R.l fiihrt die prinzipiellen technischen Realisierungsmoglich­keiten auf, die sich hinter den Ausdriicken digitale Signatur und elektronischeSignatur sowie dem Objekt der Untersuchung, der fortgeschrittenen elektroni­schen Signatur, verbergen. Kernpunkt der elektronischen Signaturen ist die fortge­schrittene elektronische Signatur, die aber nur eine von vielen Methoden zurelektronischen "Unterzeichnung" von Schriftstiicken darstellt. Denn die gescannte

I VgI.hierzudie Il1ustrationen im Abschnitt 3.1.

I Ausgangslage und Hintergrund XIX

eigenhiindige Unterschrift oder die diversen statischen und dynamischen biome­trischen Verfahren fallen beispielsweise auch darunter.

1m linken Teil der Abbildung ist die fortgeschrittene elektronische Signatur,hergestellt mit der Technik der digitalen Signatur dargestellt.2 Diese sehr sicherenSignaturen, eine Art Siegel in Form digitaler Zeichenketten (Bitmaps), werden denelektronisch zu iibertragenden Daten beigefiigt. Nun kann der Empfanger dieempfangenen Daten auf die entscheidenden Merkmale iiberpriifen, die hierbeiVollstandigkeit, Echtheit (Integritat) und Richtigkeit der Senderangaben (Authen­tizitat) sind. Zur Erzeugung und Priifung der digitalen Signatur werden dabeiaufwendige mathematische Verfahren (Kryptographie) benutzt.'

In Deutschland regelt das 1997 in Kraft getretene "Informations- und Kommu­nikationsdienste Gesetz (IuKDG)" die technisch-rechtlichen Aspekte fiir die neueInfrastruktur.' Das aus elf Artikeln bestehende Gesetz beinhaltet unter Artikel3das Signaturgesetz (SigG) mit dazugehoriger Signaturverordnung (SigV). Einenovellierte Fassung des Signaturgesetzes ist am 22. Mai 2001 in Kraft getreten.

Die Ergebnisse der aktuellen auf nationaler wie internationaler Ebene laufendenDebatten rund urn elektronische Signaturen sind im Kern gleich, ein gerichts­verwertbarer, also rechtsverbindlicher Geschaftsverkehr wird ohne die elektroni­schen Signaturen nicht moglich sein. Und die Anerkennung elektronischer Signa­turen in den offentlichen Verwaltungen wird es nur in Abhangigkeit vom sicherenund beherrschbaren Funktionieren "elektronischer Signaturen" geben. Hieraus

Elektronlsche Slgnaturen• Methoden der Erzeugung -

ElektronischeSignaturenhergestellt mitder Technik derdigitalen Signatur

Abb. R.t : Unterschiedliche Moglichkeiten der technischen Realisierung. Links neben derStrichlinie der Gegenstand der Untersuchung, die fortgeschrittene elektronische Signatur.(QueUe: Verandert nach MSC 2000)

2 Vgl. hierzu ausfiihrlicher die informationstechnischen Grundlagen in Abschnitt 6.3.3 Der faktischen Differenz zwischen den damit gekennzeichneten elektronischen und digitalen

Signaturverfahren, ihren Eigenheiten (Gemeinsamkeiten wie Unterschiede), widmet sichAbschnitt 1.2.

4 Natiirlich miissen auch die Vorschriften des Biirgerlichen Gesetzbuches (BGB) und derZivilprozessordnung (ZPO) dem verlinderten Geschliftsverkehr angepasst werden.

XX Resiimee

lasst sich der Stellenwert elektronischer Signaturen im Kontext einer "elektro­nischen Dienstleistungsgesellschaft" ableiten.

Elektronische Signaturen sollen zur breit akzeptierten Basis eines auch rechts­verbindlich abgesicherten Weges in die Infonnationsgesellschaft werden - unddas in globalem MaBstab. SoIl dies gelingen, mussen die heute verbreiteten reduk­tionistischen Vorbehalte, die vorrangig technischer und juristischer Provenienzsind, Iiberwunden worden.'

2 Empfehlungen

Zahlreiche wissenschaftliche Untersuchungen zeigen die Chancen der fortge­schrittenen elektronischen Signaturen als Basistechnik des elektronischen Rechts­verkehrs zwar immer auf, jedoch nur einseitig im Rahmen technisch-juristischverbleibender Ansatze. Die im Rahmen eines europaischen Projektes in eineminterdisziplinaren Diskurs entwickelten Handlungsempfehlungen beanspruchen,iiber diese Ansatze hinauszugehen. Auch versuchen sie der kulturhistorischen Be­deutung des Umbruchs und der Vielzahl seiner Facetten gerecht zu werden. Ausdiesem umfassenden Anspruch leitet sich der MaBstab zur Beurteilung der hierzunachst komprimiert dargestellten, spater ausfiihrlich begriindeten Empfehlungenabo

Das Memorandum richtet sich mit den Empfehlungen an aIle Akteure, die indem komplexen, vielschichtigen Ansatzen zur Nutzung und vollwertigen Aner­kennung elektronischer Signaturen eine Rolle spielen, sei es in der Politik, derWissenschaft und Bildung, der Wirtschaft oder der gesellschaftlichen Offentlich­keit. Bewusst wurde auf eine Zuordnung der einzelnen Empfehlungen an konkreteAkteure verzichtet. Vielmehr beziehen die Empfehlungen die diversen Akteure indem Umfang mit ein, in dem sie faktisch fiir die angesprochenen Bereiche zustan­dig und kompetent sind.

Generelle Empfehlung

1. Elektronische Signaturen, selbst wenn sie mit sicheren Verfahren der digi­talen Signatur erzeugt wurden," diirfen nicht mit eigenhandigen Unterschriftengleichgesetzt werden: Beide Unterschriftsfonnen sind in ihrer Sicherheits­qualitat grundverschieden.

Kulturwandel

2. Unter der Voraussetzung, dass ein breiter und allgemeiner Einsatz fortge­schrittener elektronischer Signaturen - etwa seitens der Politik, der Wirtschaftoder der offentlichen Verwaltung - gewollt ist, mussen deren Erzeugung,Ubermittlung und Kontrolle so gestaltet sein, dass sie durch ein Minimum antechnischen Voraussetzungen

a) fiir jedennann faktisch kostenlos sind und

5 Vgl. hierzu Abschn itt 9.2.6 Vgl. hierzu ausfiihrlicher Abschnitt 6.3.

2 Empfehlungen XXI

b) an jedem beliebigen Ort von jedennann in der von ihm gewiinschtenForm genutzt werden konnen.

3. Es muss unter Nutzung neuer Medien eine Sensibilisierungs- und Aufkla­rungsoffensive zu elektronischen Signaturen eingeleitet werden , die von vorn­herein darauf ausgerichtet ist, die Neuerungsprozesse konsensorientiert zu be­waltigen. Der Kulturumbruch infolge des angestrebten breiten Einsatzes vonfortgeschrittenen elektronischen Signaturen darf nicht zu einer weiterenVertiefung der "digitalen Teilung" der Gesellschaft fiihren,

4. Es ware wiinschenswert, die Vergabe von fortgeschrittenen elektronischenSignaturen technisch und organisatorisch so zu losen, dass jede Institution,die heute RechtelBerechtigungen selbst vergibt, dies auch in Zukunft tunkann. Das Verfahren sollte weiterhin Unternehmen und Behorden dieMoglichkeit geben, abgestufte, skalierbare, mit den Signaturen gekoppelteRechte einrichten zu konnen, die fur Willenserklarungsempfangernachvollziehbar und kontrollierbar sind.

5. Es miissen fiir gangige Rechtsgeschafte die Dokumentenfonnate festgelegt,veroffentlicht und moglichst international genonnt werden. Nur so ist Signa­turklarheit zu erreichen.' Das umfasst die Darstellung gegeniiber dem Anwen­der (semiotische Standardisierung der Darstellungskomponente) ebenso wiedie interne Bitebene der Codierung. Dies gilt nicht nur fur die eigentlichenVertrage, sondern auch fiir beigefiigte Dokumente.

6. Elektronisch signierte Dokumente sind so zu gestalten, dass sie mindestensdie in der Papierwelt erreichte Sicherheitsqualitat haben. Insbesondere ist derLangzeitverfiigbarkeit und -pnifbarkeit elektronisch signierter Dokumentemehr politische, rechtliche, technische und wissenschaftliche Aufmerksamkeitals bislang zu widmen. Die Schnittstelle zwischen der Anwenderinfrastrukturund den Dokumentenfonnaten ist zu standardisieren.'

Verbraucherschutz, Anwenderschutz und Datenschutz

7. Der Aufbau von Strukturen fur die breite Nutzung elektronischer Signaturenist nur zu verantworten, wenn die Inanspruchnahme von Pseudonymen, nichtherumzeigbaren Signaturen (undeniable signatures) und von Attributzertifi­katen zu angemessenen Kosten und ohne Diskriminierung gewahrleistet ist.

8. Urn das Vertrauen in die Infonnationstechnik und die fortgeschrittene elektro­nische Signatur zu starken, ist eine neue Datenschutzpolicy notwendig. DieDatenschutzinstanzen miissen evaluiert sowie personell und technisch soausgestaltet werden, dass sie ihre Beratungs- und Kontrollaufgaben kompe-

7 Ein Dokumentenformat legt zumindest die Struktur, oftmals auch die Darstellung und teilweiseauch die Bedeutung eines Dokumentes fest. Beispiele flir Dokumentenformate sind *.dot- und*.doc-Dateien, die heutzutage weit verbreitet, aber bisher fiir Signaturklarheit ungeeignet sind.- Signaturk/arheit ist gegeben, wenn flir Signierer wie Signaturpriifer eindeutig ersichtlich ist,woraufsich die Signatur bezieht.

8 Unter der Anwenderinfrastruktur wird hier die Hard- und Software verstanden, die derAnwender zur Erstellung und Bearbeitung der Dokumente benutzt. - Zum Verstandnis derDokumentformate vgl. FuBnote 7.

XXII Resiimee

tent wahrnehmen konnen. Ge- und Verbote im Datenschutzrecht miissendurch Anreize wie z.B. Datenschutzaudits und Giitesiegel ergiinzt werden.

9. Es ware wiinschenswert, eine unabhangige, dem Gemeinwohl verpflichteteStelle zu schaffen, die die Aufgabe hat, Hard- und Software fiir elektronischeSignaturen zu testen und den Verbrauchern Hinweise auf vertrauenswiirdigeIT-Produkte zu geben.

10. Einschriinkungen der Verschlusselungsfreiheit oder unzumutbare staatlicheZugriffe auf verschliisselte Texte sind zu unterlassen.

Technische Qualitiiten

11. Das technische Gesamtsystem muss die direkte und unverfalschte Kommuni­kation zwischen der Signierkomponente und ihrem Anwender sicherstellen.Dazu muss die Signierkomponente zumindest eine Ein- und eine Ausgabe­komponente einschliefllich ihrer jeweiligen physischen Sicherung urnfassenund iibliche Signierrituale mit ihrer Warnfunktion nachbilden. Zurnindest fiirAnwendungen, bei denen kurzfristig Entscheidungen von gr6Berer Tragweitegetroffen werden, gilt all dies auch bzgl. der Verifizierkomponente.

12. Eine vollstiindige OffenIegung des Entwurfs (QuelIcodes, etc.), der Produk­tion (Compiler, Tools , etc.) und der Sicherheitsevaluierung (beispielsweisenach ISOIIEC 15408) alIer Komponenten solI erfolgen.

13. Zurn Signieren verwendete Schliisselpaare miissen in der Signierkomponente,die spater den Signierschhissel verwendet, nach ihrer Aushiindigung an ihrenAnwender erzeugt werden. Die Signierkomponente ist so zu gestalten, dassder Signierschliissel sie nie verlassen kann.

14. Liicken bei der Uberprufung der Zuverlassigkeit des Personals der Zertifizie­rungsstelIen diirfen nicht durch eine iiberzogene und unangemessene Uberwa­chungsstruktur geschlossen werden. Liicken werden hinnehmbar sein, wennder geheime Schliissel vom Nutzer selbst erzeugt wird und ausschlieBlich inseiner Verfiigungsgewalt verbleibt.

15. Ein staatlicher Zugriff auf private Signierschlilssel ist unter keinen Um­standen zuzulassen.

16. Fiir hochsten Sicherheitsbedarf (z.B. Zeugnisse, Ausweisdokumente u.a.) sol­len Signaturen mehrerer asymmetrischer kryptographischer Algorithmen pa­rallel verwendet oder Fail-Stop-Signaturen? genutzt werden. Durchgangig sol­len Alternativkomponenten geschaffen werden, deren sicherheitsrelevanteEigenschaften zusatzlich verletzt werden miissen, urn die Gesamtsicherheit zuverletzen (redundante Auslegung der Sicherheitsarchitektur). Dies gilt fiir dieKomponenten sowohl der Anwender ais auch der Schliisselzertifizierung,Verzeichnis- und Zeitstempeldienste. Wiinschenswert ist eine internationalkompatible redundante Auslegung der Sicherheitsarchitektur. Ersatzweisemuss Interoperabilitiit durch Sicherheitsgateways hergestelIt werden.

9 Fail-Stop-Signaturen haben gegeniiber gewohnlichen elektronisehen Signaturen die zusatz­liche Eigenschaft, dass der vermeintliche Signierer einen mathematischen Beweis fiir dasFalschen seiner Signatur liefern kann, sollte sie jemals gefalscht werden.

2 Empfehlungen XXIII

17. In allen Signierkomponenten sollten mehrere asymmetrische kryptogra­phische Algorithmen und mehrere kollisionsresistente Hashfunktionen imple­mentiert werden, deren sicherheitsrelevante Eigenschaften moglichst aufunterschiedlichen mathematischen .Vermutungen basieren und auf unter­schiedliche Weise validiert sind.

18. Es sollten moglichst asymmetrische kryptographische Algorithmen verwendetwerden, deren Sicherheit unter der Annahme als bewiesen gelten kann, dassein trotz langer griindlicher Untersuchung bisher nicht effizient ("direkt")gelostes, ,,klassisches" mathematisches Problem sich auch weiterhin als nichteffizient Iosbar erweist.

Gestaltung, Erprobung sowie Umgang mit Risiken

19. Vor einem breiten Einsatz elektronischer Signaturen sollen Simulationsstu­dien zur Technikgestaltung mit Hilfe exemplarischer Technikerprobung (exante-Evaluation) durchgefilhrt werden.

20. Wo immer dies moglich ist, sollten Optionen und konkrete Eingriffsmoglich­keiten fiir die Betroffenen bei der Anwendung der elektronischen Signaturgeschaffen werden, damit Erfahrungen iiber die reale Kontrollierbarkeit undFreiraume fur Entscheidungen bei der Nutzung dieser Technik gemachtwerden konnen.

21. Mit Hilfe von Risikoanalysen (als einer Form von Innovations- und Technik­analysen) sollen bestehende Sicherheitsrisiken elektronischer Signaturen of­fengelegt werden und in ein adaquates, die Interessen der Beteiligten beriick­sichtigendes Risikomanagement einflieBen.

22. Das Restrisiko bei der Anwendung fortgeschrittener elektronischer Signaturensoll z.B. durch einen Commitment Service" begrenzt werden. Dariiber hinaussind Vorkehrungen zu treffen, die den Betroffenen eine realistische Chancezur Rechtswahrung sichem, sollten im Einzelfall doch einmal Fehler auf­treten.

23. Da der Missbrauch von geheimen Schliisseln nicht auszuschlieBen ist, erfor­dem fortgeschrittene elektronische Signaturen die vorbeugende Etablierungeines zuverlassigen, schnell wirksamen Krisenmanagement-Systems.

Europa

24. Die Institutionen der Lander Europas, die derzeit nicht EU-Mitgliedsstaatsind, sollten sich bei der Einfiihrung elektronischer Signaturen schon jetzt anden EU-Richtlinien in Verbindung mit E-Commerce-Richtlinien orientieren,ohne dabei ihre kulturelle und nationale Identitat aufzugeben. Es gilt, dienationalen Bedingungen zu definieren und darauf aufbauend eine nationale

10 Der Commitment Service begrenzt durch geeignete Zertifikate und die dadurch vorgeschrie­bene Einschaltung eines haftenden Dritten das Haftungsrisiko der Signierer, ohne den Signa­turempfangern das Risiko aufzuerlegen, dass ihr Beweismittel entwertet wird (vgl. Abschnitt6.3.2).

XXIV Resiimee

Politik zu entwickeln, die die Entwicklung elektronischer Signaturen den nati­onalen Besonderheiten entsprechend reguliert.

25. Es sollten die Bedingungen verbessert werden, die das Gleichgewicht zwi­schen staatlicher Regulierung und Selbstregulierung im Bereich der elektro­nischen Signaturen sicherstellen konnen. Bei beiden Regulierungsarten sollteimmer die globale Perspektive mitberiicksichtigt werden.

26. Es sollte durch verbindliche Wettbewerbsregeln sichergestellt werden, dassMarktpositionen nicht filr die Zwecke der Durchsetzung bestimmter Modelleder elektronischen Signatur missbraucht werden konnen. Dies bedeutet, dassauch die Preisgestaltung nicht monopolisiert werden darf.

3 Ausblick

Wie die empirische Untersuchung zu Akzeptanz und Vertrauen elektronischerSignaturen belegt, " wird die Informationstechnik mit ihren fast beliebigenVernetzungsmoglichkeiten in immer mehr Bereichen der Gesellschaft genutzt.Heute basieren eine Vielzahl elektronischer Geschaftsprozesse auf der modemenWeb-Technologie. Viele Untemehmen haben dies vorhergesehen und nutzendieses hohe Potenzial flir die Komrnunikation.

Wie sich diese Implementierungen mit den dazugehorigen elektronischen Sig­naturen in fiinf, zehn oder zwanzig Jahren entwickelt haben werden, ist mit vielenUnabwagbarkeiten behaftet. Dennoch - dies zeigen aueh die vorstehenden Emp­fehlungen - besteht kein Zweifel dariiber, dass die nicht mehr wegzudenkenden,global moglichen Netzaktivitaten tiefgreifende kulturelle und moralische Aus­wirkungen auf unser Alltagsleben und die Gesellschaft insgesamt haben.

Allerdings ist bei den anstehenden gesellschaftsrelevanten Entscheidungen iiberdie fortgeschrittene elektronische Signatur eine moglichst hohe Transparenz inLeitfragen notwendig. Sollte dies nieht gelingen, so konnten zwar durchdachte,aber nicht hinreichend verdeutlichte technisch-juristische Optionen in die poli­tisch-gesellschaftliche Kontroverse geraten. Das konnte beispielsweise auf dieAkzeptabilitat des technischen Produkts "elektronische Signatur" zutreffen. Hiermuss die Moglichkeit bestehen , Entwicklungsverlaufe" und Endprodukte offen zudiskutieren.

11 Vgl. Abschnitt 4.4.12 Vgl. Abschnitt 9.2.