Upload
lybao
View
224
Download
0
Embed Size (px)
Citation preview
Wissenschaftsethik und TechnikfolgenbeurteilungBand 12
Schriftenreihe der Europaischen Akademie zur Erforschungvon Folgen wissenschaftlich-technischer Entwicklungen
Bad Neuenahr-Ahrweiler GmbHherausgegeben von CarlFriedrich Gethmann
Springer-Verlag Berlin Heidelberg GmbH
C. J. Langenbach, O. Ulrich (Hrsg.)
Elektronische Signaturen Kulturelle Rahmenbedingungen einer technischen Entwicklung
Mit 22 Abbildungen und 13 Tabellen
i Springer
Reihenherausgeber Professor Dr. Cari Friedrich Gethmann Europăische Akademie GmbH WilhelmstraBe 56, 53474 Bad Neuenahr-Ahrweiler
Bandherausgeber Dr.-Ing. Christian J. Langenbach Europăische Akademie GmbH WilhelmstraBe 56, 53474 Bad Neuenahr-Ahrweiler
Dr. Otto Ulrich Institute for Technology and Art ErmekeilstraBe 21, 5 3113 Bonn
Redaktion Dr. Georg Kamp und Friederike WOtscher Europăische Akademie GmbH WilhelmstraBe 56, 53474 Bad Neuenahr-Ahrweiler
ISBN 978-3-642-62718-7
DieDeutscheBibliothek-CIP-Einheitsaufnahme ElektronischeSignaturen:Kulturelle Rahmenbedingungen einertechnischen Entwicklung/ Hrsg.: ChristianJ. Langenbach ... -Berlin; Heidelberg; New York; Barcelona; Hongkong; London; Mailand; Paris; Tokio: Springer,2002
(WissenschaftsethikundTechnikfolgenbeurteilung;Bd.l2) ISBN 978-3-642-62718-7 ISBN 978-3-642-56327-0 (eBook) DOI 10.1007/978-3-642-56327-0
Dieses Werk ist urheberrechtl ich geschutzt. Die dadurch begrUndeten Rechte, insbesondere die der Obersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfllltigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, biei ben, auch bei nurauszugsweiser Verwertung, vorbehalten. Eine Vervielfllltigungdieses Werkes odervon Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 in der jeweils geltenden Fassung zulassig. Sie ist grundsatzlich vergOtungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des Urheberrechtsgesetzes.
http://www.springer.de
©Springer-Verlag BerlinHeidelberg2002 Ursprünglich erschienen bei Springer-Verlag Berlin Heidelberg 2002 Softcover reprint of the hardcover lst edition 2002 Die Wiedergabevon Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. indiesem Werk berechtigt auch ohne besondere Kennzeichnungnichtzuder Annahme, daB solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten waren und daher vonjedermann benutzt werden dorften.
Soli te in diesem Werk direktoderindirektaufGesetze, Vorschriften oder Richtlinien (z.B. DIN, VDI, VDE) Bezug genommen oder aus ihnen zitiert worden sein, so kann der Verlag keine Gewahr for Richtigkeit, Vollstandigkeit oder Aktualitat Obemehmen. Es empfiehlt sich, gegebenenfalls for die eigenen Arbeiten die vollstandigen Vorschriften oder Richtlinien in der jeweils gOitigen Fassung hinzuzuziehen.
Reproduktionsfertige Vorlagen der Herausgeber Einbandgestaltung:de'blik,Berlin SPIN: 10853099 Gedruckt aufsaurefreiem Papier 62/3020hu-5 43 21 O
Eur op als c h e Akademiezur Erforschung von Foigen wissenschattlich-technischer Entwicklungen
Bad Neuenahr-Ahrwe iler GmbH
Direktor:Professor Dr. Carl Friedr ich Gethmann
Die Europaische Akademie
Die Europiiische Akademie zur Erforschung von Folgen wissenschaftlichtechnischer Entwicklungen Bad Neuenahr-Ahrweiler GmbH widmet sichder Untersuchung und Beurteilung wissenschaftlich-technischer Entwicklungen fiir das individuelle und soziale Leben des Menschen und seine natiirliche Umwelt. Sie will zu einem rationalen Umgang der Gesellschaft mit den Folgen wissenschaftlich-technischer Entwicklungen beitragen. Diese Zielsetzung solI sich vor allem in der Erarbeitung von Empfehlungen fiir Handlungsoptionen fiir Entscheidungstrager in Politik undWissenschaft sowie die interessierte Offentlicbkeit realisieren. Diese werden von interdisziplinaren Projektgruppen bestehend aus fachlich ausgewiesenen Wissenschaftlern aus ganz Europa erstellt. Dariiber hinaus bearbeiten die Mitarbeiter der Europaischen Akademie iibergreifende und methodologische Fragestellungen aus den Bereichen Wissenschaftsethik undTechnikfolgenbeurteilung.
Die Reihe
Die Reihe .Wissenschaftsethik und Technikfolgenbeurteilung" dient derVeroffentlichung von Ergebnissen aus der Arbeit der Europaischen Akademie und wird von ihrem Direktor herausgegeben. Neben den Schlussmemoranden der Projektgruppen werden darin auch Bande zu generellenFragen von Wissenschaftsethik und Technikfolgenbeurteilung aufgenommen sowie andere monographische Studien publiziert .
Geleitwort
Fiir viele Nutzer der modernen Kommunikationstechniken scheint der gelbe Postbote durch den elektronischen Postboten abgelost worden zu sein . Anges ichts dervielen Vorteile der neuen Kommunikationsformen werden ihre Risiken seltenerbedacht. Zu ihnen gehoren Fragen der Integritiit des Textes und der Identitiit derKommunikationspartner. Solange der Nutzer das Internet als fast unendlicheInformationsquelle betrachtet, ist es hinnehmbar, dass Informationen standigverandert werden konnen oder von einem anonymen Absender stammen. Werdendagegen zum Beispiel Vertrage auf elektronischen Systemen geschlossen, musseindeutig sein, welchem Vertragspartner welche Willenserklarung zuzuordnen ist.Denn nur so kann im Falle einer Auseinandersetzung eine Beweisfiihrung erbrachtwerden. Zur Absicherung wichtiger elektronischer Rechtsgeschafte soll eintechnisches Verfahren dienen, das an die Stelle der traditionellen Unterschrift inihrer doppelten Funktion als Identifikation des Unterzeichners und als willentlicheBekraftigung des Textes tritt - die elektronische (digitale) Signatur.
Die elektronische Signatur ist ein hochkomplexer technischer Basisbaustein fiireine sichere und rechtsverbindliche Kommunikation in der modernen Informationsgesellschaft. Es geht dabei nicht nur urn das rein technische Funktionieren,elektronische Signaturen miissen kommunikativ akzeptabel sein. Ihre Anwendungmuss so transparent sein, dass sie allen Nutzern offen steht und nicht nur einigenwenigen technisch versierten Experten. Damit stellen sich jedoch vollig neuartigerechtliche, wirtschaftliche, soziale und kulturelle Fragen. Ihre wissenschaftlicheBearbeitung kann daher auch nur in intensiver interdisziplinarer Projektarbeiterfolgen.
Die Europaische Akademie GmbH hat im September 1999 eine interdisziplinarund international zusammengesetzte Projektgruppe berufen, mit dem Auftrag, dieFragen der technischen Sicherheit, kulturellen Beherrschbarkeit und moralischenVerantwortbarkeit elektronischer Signaturen zu untersuchen. Mit diesem Band derSchriftenreihe der Europaischen Akademie legt die Projektgruppe die Ergebnisseihrer Arbeit vor. Der Band zeigt, dass das Projekt .Elektronische Signaturen" inausgezeichneter Weise dem wissenschaftlichen Selbstverstiindnis der Europaischen Akademie GmbH entspricht. Das Thema ist sowohl wissenschaftlich hochinteressant als auch gesellschaftlich hochst aktuell; es fordert die Kompetenz einergroBen ZaW wissenschaftlicher Disziplinen. Der Regulierungskontext muss dienationalstaatlichen Grenzen iiberschreiten. Die von der Projektgruppe erarbeitetenHandlungsempfehlungen setzen inhaltlich neue und kritische Akzente gegeniiberder Praxis in vielen europaischen Staaten. Die Empfehlungen spiegeln die Uberzeugung wider, dass es urn die Beherrschung einer niitzlichen Technik durch dieMenschen geht und nicht urngekehrt.
VIII Geleitwort
Die Projektgruppe hat ihre Arbeit in dem ungewohnlichen kurzen Zeitraum voneinem Jahr abgeschlossen. Sie trug damit dem Umstand Rechnung, dass in demsich dynamisch verandernden Feld der Informations- und Kommunikationstechniknur schnell erzielte Arbeitsergebnisse eine Chance haben, wahrgenommen undangewendet zu werden. Ich danke daher den Mitgliedern dieser bisher zahlenmaBig groBten Projektgruppe vor allem dafiir, dass sie die Energie und Konzentration aufgebracht haben, das komplexe Thema in so kurzer Zeit zu bewaltigen.Herro Dr. Georg Kamp, Europaische Akademie GmbH, sei fiir seinen Einsatz beider sprachlichen Uberarbeitung des Texts besonders gedankt.
Interdisziplinare Arbeit in den von der Europaischen Akademie berufenenProjektgruppen soll Beratungskapazitaten fiir den gesellschaftlichen Entscheidungsprozess zur Verfiigung stellen. Ich wiinsche dem Memorandum, dass es die.Entscheider' erreicht, aber auch viele interessierte Leser fmdet, die durch einbesseres Verstandnis von Risiken und Chancen der Technik mehr Kritikfahigkeit,aber auch mehr Selbstvertrauen gewinnen mogen.
Juli 2001Bad Neuenahr-Ahrweiler Carl Friedrich Gethmann
Autorenverzeichnis
Banse, Gerhard, Professor Dr. sc. phil., 1969 Dip1om1ehrer flir Chemie undBio1ogie, Padagogische Hochschu1e Potsdam. 1974 Promotion zum Dr. phil.,Humboldt-Universitat zu Berlin. 1981 Promotion zum Dr. sc. phil., Akademie derWissenschaften der DDR. Forschungszentrum Karlsruhe, Institut fiir Technikfolgenabschatzung und Systemana1yse (ITAS)
Baumler, Helmut, Dr. jur., Studium der Rechts- und Politikwissenschaften, Universitat Bonn. 1974 1. Juristisches Staatsexamen. 1977 2. Juristisches Staatsexamen. 1978 Promotion, Universitat Frankfurt a.M.. Ministerialdirigent Landesbeauftragter fur den Datenschutz Schleswig-Holstein
Dumortier, Jos, Professor Dr. jur., 1973 Diplom der Rechtswissenschaften, Katholische Universitat Leuven. 1981 Promotion, Katholische Universitat Leuven. 1999Full Professor in Law. Professor fur Recht, Katholische Universitat Leuven.Direktor des Interdisziplinaren Zentrums fiir Rechtswissenschaft und Informationstechnologie (ICR!) (B)
Genghini, Riccardo, Dr. jur. , 1983 Diplom der Rechtswissenschaften, UniversitaFederico II di Napoli. 1984 Promotion, Universita Federico II di Napoli. 1989Zulassung als Anwalt in Rom. 1990 Zulassung als Notar im Distrikt Mailand.Notar im Distrikt Mai1and- ltalien . Dozent fur Gesellschaftsrecht an der Lombardeischen Notariatsschu1e. Mitg1ied der informatischen Kommission des ConsiglioNazionale del Notariato. Studio Notarile Genghini (I)
Kiepas, Andrzej, Professor Dr., 1975 Diplom der Physik, Schlesische UniversitatKatowice. 1982 Promotion, Schlesische Universitat Katowice. 1991 Habilitation,Technische Universitat Dresden. Professor filr Philosophie, Schlesische Universitar Katowice. Institutsdirektor des Instituts fiir Philosophie (PL)
Langenbach, Christian J., Dr.-Ing., 1991 Diplom der Ingenieurwissenschaft, Universitat Stuttgart. 1991 Hauptabteilung Systemanalyse Raumfahrt, DeutschesZentrum fiir Luft- & Raumfahrt (DLR) K61n. 1997 Promotion, Technische Universitat Berlin. 1996 Europaische Akademie Bad Neuenahr-Ahrweiler GmbH
Lutterbeck, Bernd, Professor Dr. jur., 1969 1. juristisches Staatsexamen,Schleswig. 19742. juristisches Staatsexamen, Universitat Hamburg. 1976 Promotion, Universitat Regensburg. 1984 Berufung zum Professor. Professor filrInformatik und Gesellschaft, Technische Universitat Berlin. Dozent der Aktion
X Autorenverzeicbnis
Jean Monnet der Europaischen Union Briissel. Fachgruppe Informatik undGesellschafi am Institut fiir Angewandte Infonnatik
Machleidt, Petr, Dr. phil., 1973 Diplom der Soziologie und Volkswirtschaft,Karlsuniversitlit Prag. 1976 Promotion, Karlsuniversitlit Prag. Zentrum fiirWissenschafts-, Technik und Gesellschaftsstudien beim Institut fiir Philosophieder Akademie der Wissenschaften der Tschechischen Republik, Prag (CZ)
Pfitzmann, Andreas, Professor Dr. rer. nat., 1982 Diplom der Infonnatik,Universitat (TH) Karlsruhe. 1989 Promotion, Universitat (TH) Karlsruhe. 1993Berufung zum Professor. Professor fiir Informations- und Kodierungstheorie,Technische Universitlit Dresden, Fakultat fiir Infonnatik
Rudinger, Georg, Professor Dr. phil. 1967 Diplom der Psychologie, UniversitlitBonn. 1971 Promotion, Universitlit Bonn. 1974 Berufung zum Professor.Professor fur Psychologische Methodenlehre, Diagnostik & EDV, UniversitatBonn, Institut fiir Psychologie. Seit 1993 Geschaftsfuhrer der ProfessionalAcademic Consulting & Evaluation GmbH. Seit 01.01.2000 Sprecher des ZEM(Zentrum fur Evaluation und Methoden) an der Universitat Bonn
Ulrich, Otto, Dr. rer. pol., 1964 Diplom als Physik-Ingenieur, FachhochschuleIserlohn. 1975 Bildungsokonomie M.A., Technische Universitat Berlin . 1978Promotion, Freie Universitat Berlin. Regierungsdirektor. Referatsleiter fiirTechnikfolgenabschatzung, Bundesamt fiir Sicherheit in der Informationstechnik(BSI), Bonn. Seit 01.01.2001 Geschaftsfuhrer Institute for Technology and Art,Multimedia@Datenschutz, Bonn
Vofsbein, Reinhard, Professor Dr., 1957 Diplom als Diplom-Kaufmann, Universitat Koln . 1972 Promotion, Universitlit Kiel . 1972 Berufung zum Professor. SeniorPartner und Teilhaber der Untemehmens- und Informations-Management Consultants Dr. VoBbein Untemehmensberatung GmbH & Co. KG (UIMC)
Die Erstellung des Memorandums erfolgte schrittweise, indem die Autoren gemiiBihrer thematischen Zustandigkeit .Saattexte" erstellten, welche zunachst nur ausStichworten, Gliederungspunkten, Thesen o.a. bestanden, die im Zuge der interdisziplinliren Diskussionen sowohl modifiziert wie auch zu vollstlindigen Textenweiterentwickelt wurden . Auf der Basis dieser innerhalb der Projektgruppe kritisch gepriiften Saattexte entstand ein Arbeitstext, der gemiiB der aktuellen Arbeitsgliederung, den Inhalten des Arbeitsprogramms und den Ergebnissen derabgehaltenen Expertenanhorungen in dem erwlihnten Saattext-Verfahren vervollstandigt wurde. Nach Abschluss dieser Arbeitsphase lag der vollstlindige Text desMemorandums vor, den die Gruppe nach dem Konsensprinzip verabschiedet hat.
Autorenverzeichnis XI
Die im folgenden aufgefiihrte Autorschaft ist ein Resultat der vorhandenenthematischen Kompetenz in der Projektgruppe Elektronische Signaturen:
Banse, GerhardBaumler, HelmutDumortier, JosGenghini, RiccardoKiepas, AndrzejLangenbach, Christian 1.Lutterbeck, BerndMachleidt, PetrPfitzmann, AndreasRudinger, GeorgUlrich, OttoVoBbein, Reinhard
Abschnitt l.l; 2; 3.2;Abschnitt 2; 7Abschnitt 1.2; 2; 6.2; 9.1.1Abschnitt 2; 5.1; 6.1Abschnitt 2; 9.1.2Abschnitt Resiimee; l.l; 2; 9; 10Abschnitt 1.2; 2Abschnitt 2; 9.1.2Abschnitt 2; 6.3Abschnitt 2; 4Abschnitt l.l; 2; 3.1Abschnitt 2; 5.2; 8
Inhaltsverzeichnis
ResOmee XVII
1 Ausgangslage und Hintergrund XVII2 Empfehlungen XX3 Ausblick XXIV
Teill
1 Problemaufriss: Elektronische und digitale Signaturen 11.1 Ausgangslage 1
1.1.1 Hintergrund 21.1.2 Aktionsfelder der Untersuchung und deren
Zielsetzung 51.1.3 Erwartungen 10
1.2 Beziehung zwischen "elektronischen Signaturen"und "digitalen Signaturen" 101.2.1 Die digitale Signatur 111.2.2 Die elektronische Signatur 121.2.3 Die Beziehung zwischen den Konzepten
"elektronischer Signatur' und "digitaler Signatur' ....... 13
2 Empfehlungen und Begriindungen 152.1 Generelle Empfehlung 152.2 Kulturwandel 172.3 Verbraucherschutz, Anwenderschutz und Datenschutz 202.4 Technische Qualitaten 222.5 Gestaltung, Erprobung sowie Umgang mit Risiken 252.6 Europa 27
Teilll
3 Elektronische Signaturen in Zukunftsbildem - KulturelleReflexionen 313.1 Neue Problemstellungen - anhand einiger Illustrationen 31
XIV Inhaltsveneichnis
3.2 Papierwe1t und digita1eWelt - Ku1turelle Reflexionentiber einen Umbruch 353.2.1 Ku1turund Technik 373.2.2 "Sto1persteine" des Ubergangs zur e1ektronischen
Signatur 393.2.3 Die ku1turellen Dimensionen des Ubergangs 423.2.4 Sicherheit , Verantwortbarkeit, Beherrschbarkeit... 44
4 Vertrauenswiirdige technisch vermittelte Kommunikation 494.1 Vertrauen in der direkten Kommunikation 494.2 Vertrauen in technisch vermittelter Kommunikation 52
4.2.1 Der Bote Internet 524.2.2 Systemsicherheit 544.2.3 Vertrauen durch die Technik der e1ektronischen
Signaturen? 554.3 E1ektronische Signaturen - Sicherheit in der
Kommunikation 564.4 Empirische Untersuchung zu Akzeptanz und Vertrauen in
e1ektronische Signaturen 614.4.1 Stichprobe der Untersuchung 624.4.2 Determinanten des Vertrauens 634.4.3 Ergebnisse in Anlehnung an das Netzwerk 67
5 Signatur und rechtsverbind1iche Kommunikation 695.1 Die Signaturauthentifikation - eine Grauzone 695.2 Okonomische Aspekte der rechtsverbind1ichen
Kommunikation 735.2.1 Das Geschaftsmodell der elektronischen Signatur 735.2.2 Die e1ektronische Signatur in okonomischer Sicht., 745.2.3 Makrookonomische Faktoren 77
6 Rechtsordnung und Informatik - die .Pioniere" bei derEinfiihrung der e1ektronischen Signatur 796.1 Dokumente im Rechtsverkehr - einst und jetzt 79
6.1.1 Wie erkennt man ein Rechtsdokument? 806.1.2 Cyberkontext, Rechtsdokument und juristische
Information 826.2 Die elektronischen Signaturen nach dem Europaischen
Modell 846.2.1 Die Europaische Richtlinie in der Ubersicht 846.2.2 Die European Electronic Signature Standardization
Initiative (EESSI) 926.2.3 Das komp1exeNetzwerk der Betei1igten 946.2.4 Verschiedene Formen der elektronischen Signaturen 956.2.5 Signature Policy 966.2.6 Die Komplexitat des Va1idierungsprozesses 986.2.7 Das Problem der Langzeitverfiigbarkeit.. 98
Inhaltsverzeichnis XV
6.3 Informationsteclmische Grundlagen 996.3.1 Was bedeutet Sicherheit digitaler Signaturen? 996.3.2 Notwendige Komponenten und ihre Sicherheit.. 1006.3.3 Vertiefende Aspekte 104
7 Elektronische Signaturen im Konflikt mit den Grundrechten? 1097.1 Das Recht auf informationelle Selbstbestimmung 1097.2 Gewandelte Rahmenbedingungen fiir die autonome
Wahrnehmung des Rechts auf informationelleSelbstbestimmung 110
7.3 Positive Beziige elektronischer Signaturen zum Recht aufinformationelle Selbstbestimmung 1117.3.1 Authentizitat 1117.3.2 Integritat. 1127.3.3 Vertraulichkeit 1127.3.4 Anonymes und pseudonymes Handeln 1137.3.5 Einsatz der Biometrie im Rahmen der elektronischen
Signatur 1137.4 Electronic Government 1147.5 Risiken elektronischer Signaturverfahren fiir das Recht
auf informationelle Selbstbestimmung 1157.5.1 Datenschutzrechtliche Fragen beziiglich der
Zuverlassigkeit der Zertifizierungsstellen 1157.5.2 Identifizierung von Antragstellern fiir ein Zertifikat 1177.5.3 Erzeugung des Signaturschliissels 1177.5.4 Anonymes und pseudonymes Handeln 1187.5.5 Verbesserung der datenschutzrechtlichen Kontrolle
und Beratung 117
8 Die Kosten elektronischer Signaturen 121
9 Von der Realitat zur Vision 1299.1 Die Realitat in Europa 129
9.1.1 Die Europaische Signaturrichtlinie und ihreTransposition in den ED Mitgliedstaaten 130
9.1.2 Die gesetzgeberischen Schritte der MOEL- undNUS-Staaten 137
9.2 Skizze fiir ein visionares Modell... 1479.2.1 Die Methodik 1499.2.2 Das Modell 152
10 Grenziiberschreitungen - Aktivitaten fiirTechnikfolgen-beurteilungen zur Informationsgesellschaft 155
Teillll
Nachwort 159
XVI InhaItsverzeichnis
Glossar 163
Literaturverzeichnis 173
Resumee
Die Nutzung elektronischer Medien vereinfacht fur den Verbraucher vieles: Erkann online ein vielfaltiges Dienstleistungsangebot nutzen. Global agierendeUntemehmen erledigen zunehmend ihre Geschafte tiber die elektronischen Netze.Bei all diesen Vorgiingen steht der Schutz der Information und das Vertrauen beider Nutzung der globalen elektronischen Dienstleistungsgesellschaft im Vordergrund, elektronische Signaturen zur Identifizierung des Senders und Authentifizierung der Inhalte spielen eine zentrale Rolle bei einem sicheren E-Commerce.
Trotz dieses strategischen Stellenwerts elektronischer Signaturen zeichnet sichimmer deutlicher ab, dass weder das Recht - etwa Signaturgesetze oder Richtlinien - noch die Technik allein aus sich heraus Sicherheit und Vertrauen beimNutzer herstellen konnen, Denn in offenen elektronischen Kommunikationsbeziehungen hat der Anwender das Grundbediirfnis, Daten so sieher als moglich, dasbedeutet geheim, authentisch und vertraulich, zu ubertragen und zu speichem.
Wenn kulturveriindemde Wirkungen durch neue technische Entwicklungenausgelost werden, ist es nicht ungewohnlich, dass soziale Akzeptanzproblemeaufgeworfen werden. Diese haben ihren Ursprung vor allem darin, dass der Untersuchungsgegenstand - elektronische und digitale Signaturen - hochkomplex istund vollig neuartige juristische, okonomische und philosophische, soziale, psychologische und kulturelle Fragen aufwirft. Antworten zu diesen Fragen sind inForm praxisorientierter Handlungsempfehlungen zu geben, soll der Ubergang ineine historisch neue Technikepoche kulturell beherrschbar gestaltet werden.
Zwei aktuelle Beispiele zeigen allerdings, wie schwer dieses sein wird:
• Informatiker der Universitiit Bonn haben mit einem sogenannten Trojanischen Pferd praktisch demonstriert, was Sicherheitsexperten seit vie1enJahren vorhergesagt haben: Auch Signaturen der sichersten Stufe nachdeutschem Signaturgesetz konnen gefalscht werden, wenn sie auf unsicheren Betriebssystemen erstellt wurden.
• SwissKey, die einzige Schweizer Zertifizierungsstelle, stellte aus fmanziellen Grunden ihren Betrieb ein. Marktlosungen allein fiihren nicht zurHervorbringung von notwendigen nationalen Sicherungsinfrastrukturen.Dieser Zusammenbruch hat in der Schweiz zugleich zu einer aufgeregtenDiskussion urn staatliche Souveranitat gefiihrt.
1 Ausgangslage und Hintergrund
Der Ubergang von der eigenhiindigen Unterschrift zu elektronischen Signaturenwird oftmals als ein Kulturbruch dargestellt, und das zwingt realistisch zur interdisziplinaren Sicht und Begleitung. Gemaf dem wissenschaftlichen Auftrag der
XVIII Resiimee
Europaischen Akademie miissen dabei die Folgen fiir das individuelle und sozialeLeben der Menschen analysiert werden. Denn erst interdisziplinar erarbeitete Ergebnisse ermoglichen, den begonnenen Weg von der eigenhandigen Unterschrifthin zur elektronischen Signatur - einem gezielt herbeigefiihrten Kulturumbruch gesellschaftlich zu gestalten und zu moderieren.
Nicht nur die vielfaltigen Aktivitiiten fiir eine rasche Entwicklung und Verbreitung elektronischer Signaturen, sondern auch der Wandel der Begrifflichkeit zeigtdie Dynamik dieses Kulturumbruchs. In der Vorprojektphase zu diesem europaischen Projekt gab es durch das deutsche Signaturgesetz nur den Ausdruck digitale Signatur. Seit Inkrafttreten der EU-Richtlinie iiber gemeinschaftliche Rahmenbedingungen fiir elektronische Signaturen wird im europaischen Kontextmittlerweile der Ausdruck elektronische Signatur verwendet. Dieserterminologischen Entwicklung folgt auch das vorliegende Memorandum.
Die Entwickler der elektronischen Signaturen stehen vor der Herausforderung,dass die neuartigen Kommunikationsbeziehungen zwar die tradierte Papierformnicht mehr benotigen, aber nach wie vor die Aspekte einer verbindlichen Kommunikation. Die technischen Infrastrukturen miissen den elektronischen Geschaftsverkehr vor unberechtigtem Zugriff schiitzen und zwar mit mindestens gleicher rechtlich und praktisch - Sicherheit wie beim papierenen Schriftdokument. Somiterhalt die elektronische Kommunikation einen neuen gesellschaftlichen Stellenwert und die Schrift - ob als Handschrift, Maschinenschrift oder Druckschrift verliert im Prozess des Wandels an Bedeutung. Fast drei Jahre nach der Verabschiedung des deutschen Signaturgesetzes sind die Nutzer hinsichtlich der Authentizitiit der elektronisch iibermittelten Inhalte verunsichert. Dagegen ist diebisher geiibte Praxis der eigenhandigen Unterschrift unter einen Vertrag technischeinfach, visuell nachpriifbar und sie bietet trotz der Moglichkeit zur Falschungoder Vernichtung ein hohes Mal3 an Verlasslichkeit, Der Kulturbruch zeigt sich inder Stoning solcher tradierter und iiber Jahrtausende herausgebildeter Denk- undHandlungsmuster, bei denen ein vertrauensvoller Umgang mit der Schrift blindvorausgesetzt wird. I
Eine vertrauenswiirdige elektronische Kommunikation benotigt rechtskraftigeelektronische Signaturen. Rechtsverbindliche Willenserklarungen mit Beweiswertkann es nur mit technisch-elektronischen Verfahren geben, bei denen zuverlassigauf den Urheber und die Unverfalschtheit der Daten geschlossen werden kann.Daneben braucht es neue oder angepasste gesetzliche Rahmenbedingungen, wiedas Signaturgesetz, die Formvorschriften des Privatrechts, die Zivilprozessordnung oder das offentliche Recht. Nur so ist ein vollstiindiger Umstieg vom.Papierdokument" auf das "digitale Dokument" zu realisieren. Die aus dertechnisch-organisatorischen Infrastruktur abzuleitenden Anforderungen erfiillt dasKonzept der elektronischen oder digitalen Signatur.
Die Abbildung R.l fiihrt die prinzipiellen technischen Realisierungsmoglichkeiten auf, die sich hinter den Ausdriicken digitale Signatur und elektronischeSignatur sowie dem Objekt der Untersuchung, der fortgeschrittenen elektronischen Signatur, verbergen. Kernpunkt der elektronischen Signaturen ist die fortgeschrittene elektronische Signatur, die aber nur eine von vielen Methoden zurelektronischen "Unterzeichnung" von Schriftstiicken darstellt. Denn die gescannte
I VgI.hierzudie Il1ustrationen im Abschnitt 3.1.
I Ausgangslage und Hintergrund XIX
eigenhiindige Unterschrift oder die diversen statischen und dynamischen biometrischen Verfahren fallen beispielsweise auch darunter.
1m linken Teil der Abbildung ist die fortgeschrittene elektronische Signatur,hergestellt mit der Technik der digitalen Signatur dargestellt.2 Diese sehr sicherenSignaturen, eine Art Siegel in Form digitaler Zeichenketten (Bitmaps), werden denelektronisch zu iibertragenden Daten beigefiigt. Nun kann der Empfanger dieempfangenen Daten auf die entscheidenden Merkmale iiberpriifen, die hierbeiVollstandigkeit, Echtheit (Integritat) und Richtigkeit der Senderangaben (Authentizitat) sind. Zur Erzeugung und Priifung der digitalen Signatur werden dabeiaufwendige mathematische Verfahren (Kryptographie) benutzt.'
In Deutschland regelt das 1997 in Kraft getretene "Informations- und Kommunikationsdienste Gesetz (IuKDG)" die technisch-rechtlichen Aspekte fiir die neueInfrastruktur.' Das aus elf Artikeln bestehende Gesetz beinhaltet unter Artikel3das Signaturgesetz (SigG) mit dazugehoriger Signaturverordnung (SigV). Einenovellierte Fassung des Signaturgesetzes ist am 22. Mai 2001 in Kraft getreten.
Die Ergebnisse der aktuellen auf nationaler wie internationaler Ebene laufendenDebatten rund urn elektronische Signaturen sind im Kern gleich, ein gerichtsverwertbarer, also rechtsverbindlicher Geschaftsverkehr wird ohne die elektronischen Signaturen nicht moglich sein. Und die Anerkennung elektronischer Signaturen in den offentlichen Verwaltungen wird es nur in Abhangigkeit vom sicherenund beherrschbaren Funktionieren "elektronischer Signaturen" geben. Hieraus
Elektronlsche Slgnaturen• Methoden der Erzeugung -
ElektronischeSignaturenhergestellt mitder Technik derdigitalen Signatur
Abb. R.t : Unterschiedliche Moglichkeiten der technischen Realisierung. Links neben derStrichlinie der Gegenstand der Untersuchung, die fortgeschrittene elektronische Signatur.(QueUe: Verandert nach MSC 2000)
2 Vgl. hierzu ausfiihrlicher die informationstechnischen Grundlagen in Abschnitt 6.3.3 Der faktischen Differenz zwischen den damit gekennzeichneten elektronischen und digitalen
Signaturverfahren, ihren Eigenheiten (Gemeinsamkeiten wie Unterschiede), widmet sichAbschnitt 1.2.
4 Natiirlich miissen auch die Vorschriften des Biirgerlichen Gesetzbuches (BGB) und derZivilprozessordnung (ZPO) dem verlinderten Geschliftsverkehr angepasst werden.
XX Resiimee
lasst sich der Stellenwert elektronischer Signaturen im Kontext einer "elektronischen Dienstleistungsgesellschaft" ableiten.
Elektronische Signaturen sollen zur breit akzeptierten Basis eines auch rechtsverbindlich abgesicherten Weges in die Infonnationsgesellschaft werden - unddas in globalem MaBstab. SoIl dies gelingen, mussen die heute verbreiteten reduktionistischen Vorbehalte, die vorrangig technischer und juristischer Provenienzsind, Iiberwunden worden.'
2 Empfehlungen
Zahlreiche wissenschaftliche Untersuchungen zeigen die Chancen der fortgeschrittenen elektronischen Signaturen als Basistechnik des elektronischen Rechtsverkehrs zwar immer auf, jedoch nur einseitig im Rahmen technisch-juristischverbleibender Ansatze. Die im Rahmen eines europaischen Projektes in eineminterdisziplinaren Diskurs entwickelten Handlungsempfehlungen beanspruchen,iiber diese Ansatze hinauszugehen. Auch versuchen sie der kulturhistorischen Bedeutung des Umbruchs und der Vielzahl seiner Facetten gerecht zu werden. Ausdiesem umfassenden Anspruch leitet sich der MaBstab zur Beurteilung der hierzunachst komprimiert dargestellten, spater ausfiihrlich begriindeten Empfehlungenabo
Das Memorandum richtet sich mit den Empfehlungen an aIle Akteure, die indem komplexen, vielschichtigen Ansatzen zur Nutzung und vollwertigen Anerkennung elektronischer Signaturen eine Rolle spielen, sei es in der Politik, derWissenschaft und Bildung, der Wirtschaft oder der gesellschaftlichen Offentlichkeit. Bewusst wurde auf eine Zuordnung der einzelnen Empfehlungen an konkreteAkteure verzichtet. Vielmehr beziehen die Empfehlungen die diversen Akteure indem Umfang mit ein, in dem sie faktisch fiir die angesprochenen Bereiche zustandig und kompetent sind.
Generelle Empfehlung
1. Elektronische Signaturen, selbst wenn sie mit sicheren Verfahren der digitalen Signatur erzeugt wurden," diirfen nicht mit eigenhandigen Unterschriftengleichgesetzt werden: Beide Unterschriftsfonnen sind in ihrer Sicherheitsqualitat grundverschieden.
Kulturwandel
2. Unter der Voraussetzung, dass ein breiter und allgemeiner Einsatz fortgeschrittener elektronischer Signaturen - etwa seitens der Politik, der Wirtschaftoder der offentlichen Verwaltung - gewollt ist, mussen deren Erzeugung,Ubermittlung und Kontrolle so gestaltet sein, dass sie durch ein Minimum antechnischen Voraussetzungen
a) fiir jedennann faktisch kostenlos sind und
5 Vgl. hierzu Abschn itt 9.2.6 Vgl. hierzu ausfiihrlicher Abschnitt 6.3.
2 Empfehlungen XXI
b) an jedem beliebigen Ort von jedennann in der von ihm gewiinschtenForm genutzt werden konnen.
3. Es muss unter Nutzung neuer Medien eine Sensibilisierungs- und Aufklarungsoffensive zu elektronischen Signaturen eingeleitet werden , die von vornherein darauf ausgerichtet ist, die Neuerungsprozesse konsensorientiert zu bewaltigen. Der Kulturumbruch infolge des angestrebten breiten Einsatzes vonfortgeschrittenen elektronischen Signaturen darf nicht zu einer weiterenVertiefung der "digitalen Teilung" der Gesellschaft fiihren,
4. Es ware wiinschenswert, die Vergabe von fortgeschrittenen elektronischenSignaturen technisch und organisatorisch so zu losen, dass jede Institution,die heute RechtelBerechtigungen selbst vergibt, dies auch in Zukunft tunkann. Das Verfahren sollte weiterhin Unternehmen und Behorden dieMoglichkeit geben, abgestufte, skalierbare, mit den Signaturen gekoppelteRechte einrichten zu konnen, die fur Willenserklarungsempfangernachvollziehbar und kontrollierbar sind.
5. Es miissen fiir gangige Rechtsgeschafte die Dokumentenfonnate festgelegt,veroffentlicht und moglichst international genonnt werden. Nur so ist Signaturklarheit zu erreichen.' Das umfasst die Darstellung gegeniiber dem Anwender (semiotische Standardisierung der Darstellungskomponente) ebenso wiedie interne Bitebene der Codierung. Dies gilt nicht nur fur die eigentlichenVertrage, sondern auch fiir beigefiigte Dokumente.
6. Elektronisch signierte Dokumente sind so zu gestalten, dass sie mindestensdie in der Papierwelt erreichte Sicherheitsqualitat haben. Insbesondere ist derLangzeitverfiigbarkeit und -pnifbarkeit elektronisch signierter Dokumentemehr politische, rechtliche, technische und wissenschaftliche Aufmerksamkeitals bislang zu widmen. Die Schnittstelle zwischen der Anwenderinfrastrukturund den Dokumentenfonnaten ist zu standardisieren.'
Verbraucherschutz, Anwenderschutz und Datenschutz
7. Der Aufbau von Strukturen fur die breite Nutzung elektronischer Signaturenist nur zu verantworten, wenn die Inanspruchnahme von Pseudonymen, nichtherumzeigbaren Signaturen (undeniable signatures) und von Attributzertifikaten zu angemessenen Kosten und ohne Diskriminierung gewahrleistet ist.
8. Urn das Vertrauen in die Infonnationstechnik und die fortgeschrittene elektronische Signatur zu starken, ist eine neue Datenschutzpolicy notwendig. DieDatenschutzinstanzen miissen evaluiert sowie personell und technisch soausgestaltet werden, dass sie ihre Beratungs- und Kontrollaufgaben kompe-
7 Ein Dokumentenformat legt zumindest die Struktur, oftmals auch die Darstellung und teilweiseauch die Bedeutung eines Dokumentes fest. Beispiele flir Dokumentenformate sind *.dot- und*.doc-Dateien, die heutzutage weit verbreitet, aber bisher fiir Signaturklarheit ungeeignet sind.- Signaturk/arheit ist gegeben, wenn flir Signierer wie Signaturpriifer eindeutig ersichtlich ist,woraufsich die Signatur bezieht.
8 Unter der Anwenderinfrastruktur wird hier die Hard- und Software verstanden, die derAnwender zur Erstellung und Bearbeitung der Dokumente benutzt. - Zum Verstandnis derDokumentformate vgl. FuBnote 7.
XXII Resiimee
tent wahrnehmen konnen. Ge- und Verbote im Datenschutzrecht miissendurch Anreize wie z.B. Datenschutzaudits und Giitesiegel ergiinzt werden.
9. Es ware wiinschenswert, eine unabhangige, dem Gemeinwohl verpflichteteStelle zu schaffen, die die Aufgabe hat, Hard- und Software fiir elektronischeSignaturen zu testen und den Verbrauchern Hinweise auf vertrauenswiirdigeIT-Produkte zu geben.
10. Einschriinkungen der Verschlusselungsfreiheit oder unzumutbare staatlicheZugriffe auf verschliisselte Texte sind zu unterlassen.
Technische Qualitiiten
11. Das technische Gesamtsystem muss die direkte und unverfalschte Kommunikation zwischen der Signierkomponente und ihrem Anwender sicherstellen.Dazu muss die Signierkomponente zumindest eine Ein- und eine Ausgabekomponente einschliefllich ihrer jeweiligen physischen Sicherung urnfassenund iibliche Signierrituale mit ihrer Warnfunktion nachbilden. Zurnindest fiirAnwendungen, bei denen kurzfristig Entscheidungen von gr6Berer Tragweitegetroffen werden, gilt all dies auch bzgl. der Verifizierkomponente.
12. Eine vollstiindige OffenIegung des Entwurfs (QuelIcodes, etc.), der Produktion (Compiler, Tools , etc.) und der Sicherheitsevaluierung (beispielsweisenach ISOIIEC 15408) alIer Komponenten solI erfolgen.
13. Zurn Signieren verwendete Schliisselpaare miissen in der Signierkomponente,die spater den Signierschhissel verwendet, nach ihrer Aushiindigung an ihrenAnwender erzeugt werden. Die Signierkomponente ist so zu gestalten, dassder Signierschliissel sie nie verlassen kann.
14. Liicken bei der Uberprufung der Zuverlassigkeit des Personals der ZertifizierungsstelIen diirfen nicht durch eine iiberzogene und unangemessene Uberwachungsstruktur geschlossen werden. Liicken werden hinnehmbar sein, wennder geheime Schliissel vom Nutzer selbst erzeugt wird und ausschlieBlich inseiner Verfiigungsgewalt verbleibt.
15. Ein staatlicher Zugriff auf private Signierschlilssel ist unter keinen Umstanden zuzulassen.
16. Fiir hochsten Sicherheitsbedarf (z.B. Zeugnisse, Ausweisdokumente u.a.) sollen Signaturen mehrerer asymmetrischer kryptographischer Algorithmen parallel verwendet oder Fail-Stop-Signaturen? genutzt werden. Durchgangig sollen Alternativkomponenten geschaffen werden, deren sicherheitsrelevanteEigenschaften zusatzlich verletzt werden miissen, urn die Gesamtsicherheit zuverletzen (redundante Auslegung der Sicherheitsarchitektur). Dies gilt fiir dieKomponenten sowohl der Anwender ais auch der Schliisselzertifizierung,Verzeichnis- und Zeitstempeldienste. Wiinschenswert ist eine internationalkompatible redundante Auslegung der Sicherheitsarchitektur. Ersatzweisemuss Interoperabilitiit durch Sicherheitsgateways hergestelIt werden.
9 Fail-Stop-Signaturen haben gegeniiber gewohnlichen elektronisehen Signaturen die zusatzliche Eigenschaft, dass der vermeintliche Signierer einen mathematischen Beweis fiir dasFalschen seiner Signatur liefern kann, sollte sie jemals gefalscht werden.
2 Empfehlungen XXIII
17. In allen Signierkomponenten sollten mehrere asymmetrische kryptographische Algorithmen und mehrere kollisionsresistente Hashfunktionen implementiert werden, deren sicherheitsrelevante Eigenschaften moglichst aufunterschiedlichen mathematischen .Vermutungen basieren und auf unterschiedliche Weise validiert sind.
18. Es sollten moglichst asymmetrische kryptographische Algorithmen verwendetwerden, deren Sicherheit unter der Annahme als bewiesen gelten kann, dassein trotz langer griindlicher Untersuchung bisher nicht effizient ("direkt")gelostes, ,,klassisches" mathematisches Problem sich auch weiterhin als nichteffizient Iosbar erweist.
Gestaltung, Erprobung sowie Umgang mit Risiken
19. Vor einem breiten Einsatz elektronischer Signaturen sollen Simulationsstudien zur Technikgestaltung mit Hilfe exemplarischer Technikerprobung (exante-Evaluation) durchgefilhrt werden.
20. Wo immer dies moglich ist, sollten Optionen und konkrete Eingriffsmoglichkeiten fiir die Betroffenen bei der Anwendung der elektronischen Signaturgeschaffen werden, damit Erfahrungen iiber die reale Kontrollierbarkeit undFreiraume fur Entscheidungen bei der Nutzung dieser Technik gemachtwerden konnen.
21. Mit Hilfe von Risikoanalysen (als einer Form von Innovations- und Technikanalysen) sollen bestehende Sicherheitsrisiken elektronischer Signaturen offengelegt werden und in ein adaquates, die Interessen der Beteiligten beriicksichtigendes Risikomanagement einflieBen.
22. Das Restrisiko bei der Anwendung fortgeschrittener elektronischer Signaturensoll z.B. durch einen Commitment Service" begrenzt werden. Dariiber hinaussind Vorkehrungen zu treffen, die den Betroffenen eine realistische Chancezur Rechtswahrung sichem, sollten im Einzelfall doch einmal Fehler auftreten.
23. Da der Missbrauch von geheimen Schliisseln nicht auszuschlieBen ist, erfordem fortgeschrittene elektronische Signaturen die vorbeugende Etablierungeines zuverlassigen, schnell wirksamen Krisenmanagement-Systems.
Europa
24. Die Institutionen der Lander Europas, die derzeit nicht EU-Mitgliedsstaatsind, sollten sich bei der Einfiihrung elektronischer Signaturen schon jetzt anden EU-Richtlinien in Verbindung mit E-Commerce-Richtlinien orientieren,ohne dabei ihre kulturelle und nationale Identitat aufzugeben. Es gilt, dienationalen Bedingungen zu definieren und darauf aufbauend eine nationale
10 Der Commitment Service begrenzt durch geeignete Zertifikate und die dadurch vorgeschriebene Einschaltung eines haftenden Dritten das Haftungsrisiko der Signierer, ohne den Signaturempfangern das Risiko aufzuerlegen, dass ihr Beweismittel entwertet wird (vgl. Abschnitt6.3.2).
XXIV Resiimee
Politik zu entwickeln, die die Entwicklung elektronischer Signaturen den nationalen Besonderheiten entsprechend reguliert.
25. Es sollten die Bedingungen verbessert werden, die das Gleichgewicht zwischen staatlicher Regulierung und Selbstregulierung im Bereich der elektronischen Signaturen sicherstellen konnen. Bei beiden Regulierungsarten sollteimmer die globale Perspektive mitberiicksichtigt werden.
26. Es sollte durch verbindliche Wettbewerbsregeln sichergestellt werden, dassMarktpositionen nicht filr die Zwecke der Durchsetzung bestimmter Modelleder elektronischen Signatur missbraucht werden konnen. Dies bedeutet, dassauch die Preisgestaltung nicht monopolisiert werden darf.
3 Ausblick
Wie die empirische Untersuchung zu Akzeptanz und Vertrauen elektronischerSignaturen belegt, " wird die Informationstechnik mit ihren fast beliebigenVernetzungsmoglichkeiten in immer mehr Bereichen der Gesellschaft genutzt.Heute basieren eine Vielzahl elektronischer Geschaftsprozesse auf der modemenWeb-Technologie. Viele Untemehmen haben dies vorhergesehen und nutzendieses hohe Potenzial flir die Komrnunikation.
Wie sich diese Implementierungen mit den dazugehorigen elektronischen Signaturen in fiinf, zehn oder zwanzig Jahren entwickelt haben werden, ist mit vielenUnabwagbarkeiten behaftet. Dennoch - dies zeigen aueh die vorstehenden Empfehlungen - besteht kein Zweifel dariiber, dass die nicht mehr wegzudenkenden,global moglichen Netzaktivitaten tiefgreifende kulturelle und moralische Auswirkungen auf unser Alltagsleben und die Gesellschaft insgesamt haben.
Allerdings ist bei den anstehenden gesellschaftsrelevanten Entscheidungen iiberdie fortgeschrittene elektronische Signatur eine moglichst hohe Transparenz inLeitfragen notwendig. Sollte dies nieht gelingen, so konnten zwar durchdachte,aber nicht hinreichend verdeutlichte technisch-juristische Optionen in die politisch-gesellschaftliche Kontroverse geraten. Das konnte beispielsweise auf dieAkzeptabilitat des technischen Produkts "elektronische Signatur" zutreffen. Hiermuss die Moglichkeit bestehen , Entwicklungsverlaufe" und Endprodukte offen zudiskutieren.
11 Vgl. Abschnitt 4.4.12 Vgl. Abschnitt 9.2.