Im Jahr 1999 wurde in Österreich das Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) erlassen. Dieses Gesetz stützt sich primär auf eine Richtlinie der Europäischen Kommission.

Dieses Bundesgesetz regelt den rechtlichen Rahmen für die Erstellung und Verwendung elektronischer Signaturen sowie für die Erbringung von Signatur- und Zertifizierungsdiensten.

Was ist eine sichere elektronische Signatur?
- ist ausschließlich dem Signator zugeordnet;
- ermöglicht die Identifizierung des Signators,
- wird mit Mitteln erstellt, die der Signator unter seiner alleinigen Kontrolle halten kann,
- ist mit den Daten, auf die sie sich bezieht, so verknüpft, daß jede nachträgliche Veränderung der Daten festgestellt werden kann, sowie auf einem qualifizierten Zertifikat beruht und unter
- Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt wird.

Die digitale Signatur beruht auf der Verschlüsselung, einer für den Dokumentinhalt entsprechenden Datenkombination.
Der Anwender bekommt von einer staatlich zugelassenen Zertifizierungsstelle zwei Datensätze = Schlüssel zugeordnet. Bei dieser asymmetrischen Verschlüsselung entsprich ein Schlüssel einem privaten und ein Schlüssel einem dazupassenden, öffentlichen Schlüssel.

Der private Schlüssel muss vor dem Zugriff Unberechtigter gesichert sein (zB mit Passwort, Pin-Code), der öffentliche hingegen, wird über das Internet frei zugänglich gemacht, er dient der Überprüfung der digitalen Signatur.

Mittels mathematischer Verfahren entsteht ein "elektronischer Fingerabdruck", der mit dem privaten Schlüssel kodiert wird.

Auf dem PC des Empfängers wird mit Hilfe des öffentlichen Schlüssels, der übers Internet besorgt wird, eine Kontrolle durchgeführt. Sind die vor dem Versand und nach dem Erhalt der Nachricht errechneten mathematischen Daten (Hash-Wert) ident, ist das Dokument im Originalzustand.

"Es gibt in der Praxis viele unterschiedliche Einsatzgebiete sowie qualitative Unterschiede bei elektronischen Signaturen. Einige der derzeitigen Szenarien bzw. Entwicklungen kann man vereinfacht wie folgt beschreiben:
Mit entsprechenden Anwendungen werden Dokumente erstellt, Formulare ausgefüllt u.s.w. Dann wird die Signatur (durch eine bewusste Aktion des Signators, z.B. Stecken einer Chipkarte und Eingabe einer PIN) ausgelöst und mit den zuvor erstellten Daten verknüpft. Die Daten plus Signatur können dann an einen Adressaten gesendet werden.

Jeder, der die Signatur überprüfen will oder muss, benötigt dafür das auf den Signator ausgestellte Zertifikat, das ist im Grunde ein vom ausstellenden Zertifizierungsdiensteanbieter signierter Datensatz, der vom Signator selbst mitgeschickt oder aus einem öffentlich zugänglichen Verzeichnis abgerufen wird. Der zugehörige Mechanismus erlaubt festzustellen:
a) ob sich die Daten seit der Signierung verändert haben
b) ob sie tatsächlich vom Signator stammen
c) im Falle der qualifizierten Zertifikate - die Identität des Signators

Soferne sichere elektronische Signaturen (bewusste Auslösung unter Verwendung als sicher nachgewiesener Komponenten) und qualifizierte Zertifikate (nachweislich auf eine bestimmte natürliche Person ausgestellt) verwendet und geeignete Widerrufsdienste angeboten werden, ist dieser Mechanismus äquivalent mit einer händischen Unterschrift." (Quelle: http://www.a-sit.at/signatur/bedeut_prakt/bedeut_prakt.htm, am 24.11.04)

"Elektronische Signaturen werden mit anderen elektronischen Daten (z.B. Dokumenten, Formularen, etc) verknüpft und dienen zur Feststellung der Identität des Signators, also derjenigen Person, die diese Verknüpfung bewirkt hat. Zugleich kann von jedermann nachgeprüft werden, ob die mit der Signatur verknüpften Daten unverändert geblieben sind. Grundlage dafür sind mathematische Verfahren, die in den letzten Jahren in ausgereiften Produkten auf Basis internationaler Standards implementiert wurden." (Quelle: http://www.a-sit.at/signatur/index.html, am 24.11.04)

Können sich Unternehmen wirklich immer sicher sein, dass die Person, wirklich die Person ist, für die sie sich im Internet ausgibt?

Können Sie sich wirklich immer sich sein, dass das Mail, dass Sie von einer Person bekommen haben, wirklich von dieser Person verfasst wurde?

Die Antwort lautet in beiden Fällen - eigentlich nicht. Gute Hacker sind in der Lage sich als andere Personen auszugeben und damit Schaden anzurichten. Sei es durch falsche Nachrichten, durch Ein- oder Verkäufe oder durch falsche Informationen.

Dies alles soll mit Hilfe der digitalen Signatur, ein Mittel zur Verifizierung des Internetusers, bekämpft werden.

In diesem Thema werden wir uns vor allem mit der aktuellen Rechtslage digitaler Signaturen in Österreich beschäftigen.


Eine andere gute Arbeit zu diesem Thema verfasste mein Kollege Peter Kaar, erreichbar unter /DigiSig/

Weiters finden sich wertvolle Informationen unter http://newmedia.idv.edu/thema/kryptographie/anwendung.htm#2