Zuverlässigkeit der digitalen Signatur

Das niederländische Recht kennt 3 Arten von digitalen Signaturen, von denen eine zuverlässiger ist als die andere

Startseite > Wissensbasis > Digitale Unterschrift > Zuverlässigkeit der digitalen Signatur

Wie zuverlässig ist eine digitale Signatur wirklich? Die europäischen Rechtsvorschriften enthalten sechs Anforderungen an eine hinreichend zuverlässige digitale Signatur oder, allgemeiner, an eine hinreichend zuverlässige elektronische Signatur.

Die niederländischen Rechtsvorschriften über elektronische Signaturen sind seit dem 21. Mai 2003 in Artikel 3:15a des Bürgerlichen Gesetzbuchs verankert. Dieses Gesetz geht noch auf die europäische Richtlinie 1999/93/EG zurück. Artikel 3:15a des Zivilgesetzbuches legt die folgenden Anforderungen an eine elektronische Signatur fest, wobei die Absätze 2e und 2f nur für qualifizierte digitale Signaturen uneingeschränkt gelten.

Artikel 3:15a des Zivilgesetzbuches

  • 2a. Sie ist eindeutig mit dem Unterzeichner verbunden;
  • 2b. sie die Identifizierung des Unterzeichners ermöglicht;
  • 2c. sie durch Mittel zustande kommt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann;
  • 2d. sie mit der elektronischen Akte, auf die sie sich bezieht, so verknüpft ist, dass jede spätere Änderung der Daten erkannt werden kann;
  • 2e. sie auf einem qualifizierten Zertifikat im Sinne von Artikel 1 Absatz 1 Buchstabe s des Telekommunikationsgesetzes beruht;
  • 2f. sie von einer sicheren elektronischen Signaturerstellungseinheit im Sinne von Artikel 1 Absatz 1 Buchstabe vv des Telekommunikationsgesetzes erstellt wurde.

Technische Anforderungen

Neben den rechtlichen Rahmenbedingungen für digitale Signaturen, die auf europäischer und nationaler Ebene festgelegt sind, wurde auch ein technischer Standard für digitale Signaturen festgelegt. Diese sind auch in eIDAS (Elektronische Identifizierung und Vertrauensdienste) festgelegt. So muss beispielsweise die Möglichkeit zur Authentifizierung ständig verfügbar sein. Den Parteien, die auf eine solche Authentifizierung angewiesen sind, können jedoch keine spezifischen technischen Anforderungen wie Hardware oder Software auferlegt werden.

Zum Signieren von Dokumenten wird hauptsächlich die PDF-Signatur verwendet. Für das Signieren von PDF gibt es den von ETSI entwickelten PAdES-Standard. Neben PAdES wurden auch die Standards XAdES (für XML) und CAdES (für Code Signing) für das Signieren entwickelt.

Verlässlichkeit in der Praxis

Die Rechtsgültigkeit sagt viel über die Zuverlässigkeit von digitalen Signaturen aus. Die fortgeschrittene digitale Signatur und die qualifizierte digitale Signatur können als zuverlässig angesehen werden. Bei beiden Arten der digitalen Signatur können Sie davon ausgehen, dass der Unterzeichner derjenige ist, der unterschreibt. Und dass die unterzeichneten Dokumente nach der Unterzeichnung nicht mehr geändert werden können. Leider gilt dies nicht für die gewöhnliche digitale Signatur (z. B. eine Maussignatur oder ein gescanntes Bild). Sie kann daher nicht als zuverlässig angesehen werden.

Neben der Rechtsgültigkeit der digitalen Signatur ist der Grad der Zuverlässigkeit des für die digitale Signatur verwendeten Authentifizierungsmittels ebenso wichtig. Das Gesetz (Art. 3:15 des Bürgerlichen Gesetzbuchs) besagt dazu Folgendes: "Eine elektronische Signatur hat die gleichen Rechtswirkungen wie eine handschriftliche Unterschrift, wenn das dabei verwendete Verfahren zur Authentifizierung unter Berücksichtigung des Zwecks, für den die elektronischen Daten verwendet werden, und aller sonstigen Umstände des Falles hinreichend zuverlässig ist.

Zur Bestimmung des Zuverlässigkeitsgrads eines Authentifizierungsmittels können die in der ISO-Norm 29115 enthaltenen Zuverlässigkeitsgrade (LoA) verwendet werden. Um zu bestimmen, welches Zuverlässigkeitsniveau für einen bestimmten Prozess angemessen ist, kann auch das europäische STORK-Modell verwendet werden; dies wird unter anderem im Handreiking betrouwbaarheidsniveaus voor authenticatie bij elektronische overheidsdiensten (Leitfaden zu Zuverlässigkeitsniveaus für die Authentifizierung in elektronischen Behördendiensten ) dargestellt. Wichtig ist dabei, dass der Leitfaden eine Orientierungshilfe und keinen rechtlichen Rahmen darstellt. Bei der Wahl einer Authentifizierungsmethode sollte daher darauf geachtet werden, dass sie für den Prozess, für den sie eingesetzt werden soll, praktikabel ist und nicht als Bremse wirkt.