Gültigkeit elektronischer Signaturen

                                               Oliver Berndt, B&L Management Consulting GmbH


Gültigkeit elektronischer Signaturen

Immer wieder wird – auch von so genannten Spezialisten – behauptet, dass
elektronische Signaturen nur begrenzt gültig wären. Z. T. ergänzt mit der
Konkretisierung einer Gültigkeit von 5 Jahren laut Signaturgesetz. Somit müssten
Signaturen kontinuierlich erneuert, d.h. nachsigniert werden.

Diese Aussage ist gleich in mehrfacher Hinsicht falsch!

   1. Die „qualifizierte elektronische Signatur“ (nur die ist hier relevant) ist laut
      §126a BGB der traditionellen Unterschrift gleich gestellt und genau wie diese
      unbegrenzt gültig.

   2. Nicht die Signatur, sondern das Zertifikat (der elektronische Personalausweis)
      ist - meist auf zwei oder drei Jahre – begrenzt, wie die meisten anderen
      Identifikationskarten auch.

   3. Die im Signaturgesetz genannten 5 Jahre beziehen sich auf die Verpflichtung
      der Trust Center die Zertifikatdaten zur eventuellen Prüfung vorzuhalten. In
      Deutschland gibt es aber fast nur „akkreditierte“ Trust Center, die die Daten 30
      Jahre vorhalten müssen. Beide Fristen beginnen mit Ablauf des Zertifikats, so
      dass die Prüfung bis zu 8 bzw. 33 Jahre möglich ist.

   4. Nachsignieren verlängert nicht die Signatur, z. B. die Willenserklärung,
      sondern „friert“ – typischerweise mit einem Zeitstempel - das Gesamtkonstrukt
      ein.

Warum ist das Zertifikat nun begrenzt gültig? Dies ist durch die Verbindung zu den
mathematischen Verschlüsselungsverfahren begründet, mit denen die Signatur
erstellt wird. Durch die Fortschritte der Informationstechnologie wird befürchtet, dass
die Algorithmen gebrochen werden und damit unentdeckte Manipulationen der
Originaldaten möglich werden könnten. In der Praxis wäre die Vertuschung einer
gezielten Manipulation auch mit einem gebrochenen Verschlüsselungsalgorithmus
bei weitem nicht trivial, aber eben möglich.

Damit dies nicht passiert, beobachtet das Bundesamt für Sicherheit in der
Informationstechnik (BSI) kontinuierlich die Entwicklung und macht bei Bedarf die
Vorgaben für längere Schlüssel oder neue Algorithmen, die dann auch die Grundlage
für neu ausgestellte Zertifikate sind. Veröffentlicht werden die Vorgaben auf der
Internet-Seite der Bundesnetzagentur. „Bei Bedarf“ heißt aber auch, dass neue
Zertifikate mit dem gleichen Algorithmus und der gleichen Schlüssellänge
ausgegeben werden, wenn es keinen Grund für eine Veränderung gibt.

Auf die bereits geleisteten Signaturen hat der Zertifikatablauf keinen Einfluss, so wie
traditionell unterschriebene Verpflichtungen und Willenserklärungen auch nicht
deshalb ungültig werden, weil der Personalausweis mit dem man sich ursprünglich
identifiziert hat, durch ein neues Exemplar ersetzt wurde.

Die Signaturverordnung spricht davon, dass der „Sicherheitswert der vorhandenen
Signatur“ geringer wird. Dies ist vergleichbar mit dem Vergilben eines
Thermopapierfax. Die Aussage des Faxes ist klar, so lange das Fax gut lesbar ist. So
lange wird auch kaum jemand die Inhalte anzweifeln. Fängt es jedoch an zu
                                                        Oliver Berndt, B&L Management Consulting GmbH


vergilben sind Text und Unterschrift schwer zu erkennen und schon ergeben sich
erste Zweifel an den Aussagen, so dass Diskussionen entstehen können. Ähnliche
Diskussionen können sich ergeben, wenn jemand feststellt, dass eine elektronische
Signtur mit einem Algorithmus erstellt wurde, der mittlerweile gebrochen wurde.
Prinzipiell gilt die Signatur nach wie vor, aber man muss evtl. darlegen warum das
Ergebnis nicht manipuliert worden sein kann.

Dabei ist zu bedenken, dass auch bisher Manipulationen möglich waren und
dennoch - laut erfahrener Rechtsanwälte - nur extrem selten die Integrität eines
Beweisdokumentes angezweifelt wird.

Woher kommt also die Aussage, dass Signaturen begrenzt gültig wären und alle
zwei bis drei Jahre eine Nachsignatur erorderlich wäre?

Weil der §17 der Signaturverordnung eine Nachsignatur mitsamt einem Zeitstempel
empfiehlt, „wenn diese [Daten] für längere Zeit in signierter Form benötigt werden,
als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen
Parameter als geeignet beurteilt sind.“ Dabei ist dieser §17 der Signaturverordnung
eine sehr offensive Interpretation des §6 des Signaturgesetzes, bei dem es eigentlich
um die Unterrichtungsverpflichtung der Trust Center gegenüber ihren Kunden geht.
Darin heißt es, das Trust Center „hat den Antragsteller darauf hinzuweisen, dass
Daten mit einer qualifizierten elektronischen Signatur bei Bedarf neu zu signieren
sind, bevor der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer
wird.“

 „Bei Bedarf“ ist in den 1 ½ Seiten Kommentar, die Bröhl&Tettenborn1 dem §6
widmen mit keinem Wort erläutert. Der Kommentar zu §17 Signaturverordnung weißt
hingegen darauf hin, dass damit eine Anpassung an die Signaturverordnung von
1997 erfolgte. Die EU-Richtlinie, die eigentliche Grundlage für das Signaturgesetz
von 2001, kennt nämlich kein Nachsignieren und in anderen Ländern2 ist dies auch
kein Diskussionspunkt.

Da die Signaturverordnung das Signaturgesetz detailliert, ist zunächst die Frage
nach dem Bedarf (§6 SigG) prinzipiell zu klären und dann zu prüfen, ob die
Signaturfür „längere Zeit in signierter Form“ (§17 SigV) benötigt werden. Dabei geht
es also einerseits um die Zeitspanne zwischen Signatur und Signaturprüfung und
andererseits um die Frage, ob danach die Signatur noch zur Prüfung der Integrität
erforderlich ist.

Typischerweise wird eine Signatur beim Eingang eines Dokumentes in das
Unternehmen geprüft und typischerweise ist die Signatur kurz vorher erstellt worden.
Die Signatur dient somit der „Verkehrssicherheit“ über ungesicherte Netze und ist zu
diesem Zweck unzweifelhaft sehr sinnvoll.

Was ist aber mit der Archivierung der Unterlagen innerhalb der Unternehmen?

Viele Firmen verfügen bereits über so genannte „revisionssichere“ elektronische
Archive (DMS oder ECM). „Revisionssicher“ heißt dabei, dass Veränderungen
vermieden - nicht nur erkannt – werden. Warum sollen die Inhalte dieser Archive

1
  Bröhl&Tettenborn, Das neue Recht der elektronischen Signaturen, Kommentierende Darstellung von
Signaturgesetz und Signaturverordnung, Bundesanzeiger Verlag, 2001
2
  Ausnahme Österreich
                                               Oliver Berndt, B&L Management Consulting GmbH


zusätzlich noch nachsigniert werden? Dies entspricht dem Umschnallen eines
Gürtels, obwohl die Hosenträger schon gut halten.

Lediglich wenn Dokumente die Unternehmensgrenzen verlassen, ist wieder die
Verkehrsfähigkeit gefordert, bei der die Signatur die bevorzugte Technologie
darstellt. Wenn kein revisionssicheres Archiv vorhanden ist, ist natürlich ebenfalls die
Signatur eine interessante Alternative zur Verifizierung der Integrität. Allerdings muss
nochmals betont werden, dass die Signatur Veränderung erkennbar macht, aber
nicht verhindert. Insofern kann sie ein revisionssicheres Archiv nicht wirklich
ersetzen.

Das kontinuierliche Nachsignieren großer revisionssicherer Archivbestände ist aber
nicht sinnvoll und nicht wirtschaftlich, weil kein Mehrwert generiert, sondern lediglich
der Status Quo erhalten wird. Auch wenn das viel diskutierte ArchiSig-Verfahren die
Aufgabe unzweifelhaft relativ elegant löst, so sind der Aufwand und die
Gesamtkosten in der Praxis bei großen Beständen und regelmäßigem Nachsignieren
nicht zu unterschätzen. Hat man keine großen Bestände, sondern ist ein kleines
mittelständisches Unternehmen, ist der Aufwand erst recht nicht zu rechtfertigen.
Zumindest bei den elektronischen Rechnungen haben die Behörden Einsicht walten
lassen und verlangen keine Nachsignatur.

Fazit: So wie wir uns nicht auf die Veränderung des Schriftzugs unserer Unterschrift
seit der Volljährigkeit zurückziehen können, sondern für gezeichneten Kredite,
Bürgschaften und beliebige Verträge bis zum Zeitungsabonemment gerade stehen
müssen, so gilt auch die qualifizierte elektronische Unterschrift zunächst mal
unbegrenzt. Ob Nachsignieren Pflicht oder Kür oder überflüssig ist, darf und muss
jedes Unternehmen selbst entscheiden.