“Die öffentlichen Verwaltungen sind derzeit Vorreiter bei der digitalen Signatur”

Feature | 15. August 2005 von admin 0

Michael Woitass

Michael Woitass

Herr Dr. Woitass, warum hatte das spanische Pilotprojekt Erfolg – und wie bewerten Sie die Zukunftschancen der digitalen Signatur?

Woitass: In dem Pilotprojekt ging es dem spanischen Verteidigungsministerium vor allem darum, nicht nur eine Public-Key-Infrastruktur (PKI) zu implementieren, sondern mehrere IT Sicherheits-Applikationen zu evaluieren, die den Einsatz einer PKI erst lohnenswert machen. So wird ein zertifikatsbasierter Logon an Windows mittels Smartcard durchgeführt, E-Mails sowie pdf-Dokumente werden verschlüsselt und signiert. Die digitale Signatur ist dabei in der Tat einer der schwierigen Punkte: In einem so großen Ministerium lassen sich damit jedoch künftig eine Reihe administrativer Vorgänge voll elektronisch abwickeln, die derzeit noch Ausdrucke und manuelle Unterschriften erfordern.

Da die gesetzlichen Rahmenbedingungen für den Einsatz der digitalen Signatur bereits geschaffen sind und auch die Technologie bereits entwickelt ist, eröffnen sich erstmals grosse Chancen, Geschäftsprozesse mit einer rein elektronischen Verarbeitung von Dokumenten zu realisieren. Die öffentlichen Verwaltungen sind momentan Vorreiter dieser Entwicklung. Die Argumente Prozessoptimierung und Kostenreduktion werden schliesslich auch die Unternehmen vom Einsatz der digitalen Signatur überzeugen. Das manuelle Bearbeiten von Dokumenten ist mit einem erheblichen Zeit- und Kostenaufwand verbunden und führt zu Medienbrüchen. Eine durchgängige elektronische Bearbeitung dagegen reduziert die Prozesskosten durch Automatisierung.

Wie signieren die Mitarbeiter im Verteidigungsministerium und wie werden sie authentifiziert?

Woitass: Die Mitarbeiter authentifizieren sich an ihrem Arbeitsplatzcomputer mit Hilfe eines speziellen Zertifikats, das auch zur Verschlüsselung und Signatur der E-Mails dient. Um höchsten Sicherheitsansprüchen zu genügen, werden die benutzerspezifischen Zertifikate und privaten Schlüssel auf einer Smartcard gespeichert, in diesem Falle die von der staatlichen spanischen Gelddruckerei (Fábrica Nacional de Moneda y Timbre, FNMT) ausgestellte Ceres-Karte. Diese Karte findet in Zukunft in den öffentlichen Verwaltungen auf überregionaler Ebene Verwendung. Mit dem eigentlichen Signaturzertifikat wird die rechtsverbindliche elektronische Unterschrift geleistet. Das Authentifizierungszertifikat hingegen gewährleistet nur die Identität des Anwenders und die Integrität der E-Mails.

Wie haben Sie den Widerspruch zwischen einem hohen Sicherheitsstandard und einer anwenderfreundlichen einfachen Prozedur gelöst?

Woitass: Unser Plug-in ist voll in die E-Mail Applikation und die PKI des Verteidigungsministeriums integriert. Es prüft die Zertifikatsliste und bindet die Zertifikation ein. Für den Anwender ist diese Integration transparent: Beim Versenden einer E-Mail gibt er lediglich an, dass diese verschlüsselt sein soll. Die sicherheitsrelevanten Funktionen werden dann automatisch durchgeführt.

Ist es sinnvoll, nur eine Behörde isoliert an die Sicherheitsinfrastruktur, die Public Key Infrastructure, anzuschließen? Auswärtige Mailpartner müssen sich doch auch authentifizieren?

Woitass: In diesem Projekt ging es in der Tat zunächst darum, den internen Mailverkehr zu verschlüsseln. Aufgrund der Größe des Ministeriums sind insgesamt mehrere Zehntausend Mitarbeiter beteiligt. In einer späteren Phase ist durchaus damit zu rechnen, dass weitere Ministerien miteinbezogen werden: Die PKIs der einzelnen Ministerien hingen dann unter eine übergeordneten staatliche Wurzel-PKI, um alle Sicherheitsfunktionen auch ministeriumsübergreifend zur Verfügung zu stellen. Man könnte auch Bürger oder andere Institutionen integrieren. So ließe sich für jeden Bürger ein individuelles Zertifikat auf Basis der Daten aus dem spanischen Personalausweis und der jeweiligen Steuernummer erstellen. Dieses benutzerspezifische Zertifikat könnte dann im Rahmen der elektronischen Steuererklärung genutzt werden, die bereits Praxis ist.

Damit sich die Bezahlung per elektronischer Unterschrift durchsetzt, müssten landesweite PKIs geschaffen werden. Wie lassen sich die Einrichtungskosten hierfür verbilligen, so dass sich Regierungen dies leisten können?

Woitass: Die staatliche Ausgabestelle fungiert als Trustcenter und betreut die landesweite Root-PKI. Die Kunden des Trustcenters benötigen keine hohen Investitionen zur Einrichtung und zum Betreiben der PKI, die Kosten werden verbrauchsorientiert abgerechnet, etwa pro ausgestelltem Zertifikat. Das Trustcenter finanziert sich seinerseits auf Basis des enormen Kundenpotenzials, wobei staatliche Stellen, Unternehmen und sogar Privatpersonen als Kunden in Frage kommen.

Wäre es für eine Behörde oder ein Unternehmen ein kostengünstigerer Weg zur digitalen Unterschrift, sich eine SAP-Lösung zu kaufen, in die bereits eine Benutzerauthentifizierung eingebaut ist?

Woitass: Die SAP AG bietet eine Reihe von Standardlösungen an, wie die elektronische Akte für das E-Government. Mit diesen Lösungen können Behörden ihre papierbezogenen Prozesse in EDV-gestützten Prozessen abbilden. Ein wichtiger Grund für die Verwendung der Papierform ist die Unterschrift unter Dokumenten und Urkunden. Diese händische Unterschrift muss in einem elektronischen Äquivalent abgebildet werden. Der Gesetzgeber hat inzwischen die rechtlichen Grundlagen für die Digitale Signatur geschaffen. SECUDE bietet mit ihrem Produkt SECUDE securedoc ein Plugin für die entsprechenden SAP-Lösungen an. Hiermit lassen sich Digitale Signaturen einfach und günstig in die SAP-Lösungen integrieren.

In welche SAP-Lösungen wurden Authentifizierungslösungen von SECUDE integriert?

Woitass: Die starke Benutzerauthentifizierung basierend auf digitalen Zertifikaten wurde über eine Entwicklungspartnerschaft zwischen der SECUDE GmbH und der SAP AG in die Basistechnologie von SAP integriert. Sie steht somit für nahezu alle SAP-Lösungen zur Verfügung. Die SAP-Lösungen bieten parallel zur internen passwortbasierenden Anmeldung einen weiteren externen Mechanismus an. Die SECUDE-Lösung implementiert solch eine externe Authentifizierung. Im Rahmen eines weiteren gemeinsamen Projekts wurde die Möglichkeit zur Digitalen Signatur auf Dokumente direkt in die SAP Anwendungen integriert. Die SECUDE GmbH liefert hierfür die nötigen kryptografischen Verfahren und die Anbindung der entsprechenden Signaturtoken. SECUDE und SAP implementierten darüber hinaus für den Deutschen Bundesgerichtshof ein Dokumentenverwaltungssystem, das es Richtern und Beamten ermöglicht, Dokumente digital zu signieren. Extern eingegangene Schriftstücke, etwa der Anwälte, können hiermit verifiziert werden. Die Einhaltung des deutschen Signaturgesetzes ist gewährleistet.

Wie weit existiert eine internationale Standardisierung digitaler Signaturen, beispielsweise durch die Bemühungen der UNO-Handelsorganisation UNCITRAL?

Woitass: Die UNCITRAL hat 1997 ein “Model Law” herausgebracht (Model Law on Electronic Commerce with Guide to Enactment). Es steht allen Ländern frei, sich an diesem zu orientieren. Hierdurch wird also leider international keine Standardisierung oder gar Anerkennung erreicht. Es gibt zahlreiche Standardisierungsbemühungen, nicht nur auf internationaler, sondern auch auf europäischer Ebene. In Deutschland existiert auch immer noch eine Tendenz zur Ausprägung deutscher Standards. Das deutsche Signaturgesetz ist ein solcher (rechtlicher) Standard. Das Problem liegt also nicht primär in der Neudefinition von Standards, sondern eher an der praktischen Umsetzung und der pragmatischen Anpassung an die gegebenen Randbedingungen einer wirtschaftlichen Nutzung.

Leave a Reply