Europa: Noch keine "sicheren" Digi-Signaturen
Die Anbieter für so genannte sichere elektronische Signaturen [das sind jene digitalen Unterschriften, die eigenhändigen Unterschriften per Gesetz gleichgestellt werden] scharren bereits in den Startlöchern. Die Signaturprodukte sind rein technisch gesehen großteils fertig, allein die gesetzlich vorgesehene Aufsichtsstelle [Telekom-Control-Kommission] hat ihren Betrieb noch nicht aufgenommen.
Und auch die Evaluierungsstellen für qualifizierte Zertifikate, auf denen sichere elektronische Signaturen beruhen müssen, stehen noch nicht. Sie müssen nämlich erst selbst evaluiert werden. "In ganz Europa gibt es aus diesem Grund auch noch kein qualifiziertes Zertifikat gemäß der EU-Signaturrichtlinie", sagt Josef Ferstl, Geschäftsführer der österreichischen Zertifizierungsstelle A-Trust.
Was sind digitale Signaturen und Zertifikate:
Ebenso wie handschriftliche Unterschriften haben auch digitale
Signaturen den Zweck, die Identität des Gegenübers eindeutig
festzustellen. Zu dieser Funktion, die eine Unterschrift auch im
normalen Schriftverkehr leistet, können mit einer elektronischen
Unterschrift auch nachträgliche Veränderungen an E-Mails oder
Transaktionen festgestellt werden. Somit wird nicht nur
klargestellt, wer der Urheber einer elektronischen Nachricht ist,
sondern auch, ob vielleicht irgendwelche Manipulationen nachträglich
vorgenommen worden sind. Bei digitalen Signaturen besitzt jeder
Unterzeichner ein Signier-Schlüsselpaar, das aus einem geheimen,
privaten und einem der Allgemeinheit zugänglichen, öffentlichen
Schlüssel besteht. Diese Schlüssel sind Buchstaben- und
Zahlenkombinationen, die von Computerprogrammen unter Verwendung
mathematischer Algorithmen erstellt werden. Den privaten Schlüssel
verwendet der Signator, um seine Nachricht zu signieren. Mit dem
öffentlichen Schlüssel können die Nachrichten des Unterzeichners
verifiziert werden. Um nun auch sicherzustellen, dass sich hinter
der elektronischen Signatur tatsächlich der Unterzeichner verbirgt,
wird die Zuordnung des Schlüsselpaares von einer vertrauenwürdigen
Zertifizierungsstelle in einem Zertifikat bezeugt.
BegriffserklärungenLaut dem österreichischen Signaturgesetz erfüllen nur so genannte "sichere elektronische Signaturen", die eine Reihe von Sicherheitsvoraussetzungen erfüllen müssen und auf einem "qualifizierten Zertifikat beruhen", die gesetzlichen Schriftlichkeitserfordernisse. Das heißt allerdings nicht, dass andere Signaturen [die bereits auf dem Markt erhältlich sind] wertlos wären - im Vertragsrecht herrscht nämlich weitgehend Formfreiheit.
Fuzo-Bericht zur "sicheren elektronsichen Signatur" gem. SignaturgesetzEigentlich ist das österreichische Signaturgesetz [SigG] bereits seit 1.1.2000 in Kraft, und auch die Signaturverordnung, die unter anderem festlegt, über welche finanzielle Ausstattung die Anbieter von qualifizierten Zertifikaten verfügen müssen [300.000 Euro Mindestkapital, Haftpflichtversicherung mit Mindestversicherungssumme von einer Mill. Euro je Versicherungsfall] wurde bereits vor geraumer Zeit erlassen.
Während die Zertifikatsanbieter auf das Tätigwerden der Telekom-Control-Kommission als Aufsichtsstelle warten, kommt jetzt eine Novelle zum Signaturgesetz. Kern dieser Gesetzesänderung ist - neben einigen eher formalen Anpassungen an die inzwischen ergangene EU-Signaturrichtlinie - die Regelung der Abdeckung der Anlaufkosten besagter Aufsichtsstelle.
Aus dem Entwurf der Novelle zum SigG:
"Für die ersten drei Jahre der operativen Tätigkeit der
Aufsichtsstelle kann der Bundesminister für Verkehr, Innovation und
Technologie im Einvernehmen mit dem Bundesminister für Finanzen
einen Zuschuss aus Bundesmitteln im Wege einer Kapitalerhöhung bei
der Telekom Control GmbH in Höhe von bis zu insgesamt 24 Millionen
Schilling für den laufenden Betrieb und in Höhe von einmalig bis zu
fünf Millionen Schilling für Investitionen gewähren."
Signaturgesetz & -verordnung im Volltext [Suchwort "Signaturgesetz][Die Aufgaben der Aufsichtsstelle sind in § 13 geregelt.]
Ursprünglich sollten laut Signaturgesetz [§ 13 Abs. 4] die Kosten für die Tätigkeit der Telekom-Control-Kommission als Aufsichtsstelle von den Zertifizierungsdiensteanbietern in Form einer kostendeckenden Gebühr für konkret erbrachte Leistungen abgedeckt werden.
Diese Gebühren wurden in der Signaturverordnung festgelegt, ebenso eine von den Anbietern vehement als nicht gesetzeskonform kritisierte "Zertifikats-Steuer", die unabhängig von einer konkreten Leistung der Aufsichtsstelle für jedes qualifizierte Zertifikat abgeführt werden sollte [zwei Euro pro qualifiziertes Zertifikat].
Mittlerweile hat sich allerdings gezeigt, dass bereits die Aufbringung der Anlaufkosten der Aufsichtsstelle Probleme aufwirft. Die ursprünglich im Gesetz fehlende gesetzliche Ermächtigung für einen Zuschuss aus Bundesmitteln soll jetzt per Novelle eingefügt werden.