Stellungnahme vom April 1999

Signaturgesetz (SigG)

Vorschlag des Präsidiumsarbeitskreises Datenschutz und IT-Sicherheit

zu einer Stellungnahme der Gesellschaft für Informatik (GI)

zur Evaluation des Signaturgesetzes (SigG)

Da in den beinahe zwei Jahren seit Inkrafttreten des SigG am 1.8.1997 bisher nur eine Zertifizierungsstelle zugelassen worden ist und diese erst seit Februar 1999 Signaturverfahren nach dem SigG anbietet, konnten noch kaum Erfahrungen mit der Umsetzung des SigG gewonnen werden. Bevor solche Erfahrungen vorliegen, sollten keine tiefgreifenden Änderungen am SigG vorgenommen werden. Aufgrund der bisherigen Erfahrungen und aufgrund der Diskussionen der letzten zwei Jahre kann jedoch für die Evaluation des SigG festgehalten werden:

1. Die GI unterstützt das mit dem SigG verfolgte Ziel einer hohen faktischen Sicherheit von Signaturverfahren. Der elektronische Geschäftsverkehr und die elektronische Verwaltung benötigen verläßliche und geprüfte Signaturverfahren, wie sie das SigG anbietet.

2. Die GI begrüßt, daß digitale Signaturen nach dem hohen Standard des SigG nicht verbindlich vorgeschrieben sind. Dadurch können auch andere Signaturverfahren frei genutzt werden. Damit bleibt jedem Anwender die Freiheit, die ihm geeignet erscheinenden Signaturverfahren einzusetzen. Er kann selbst entscheiden, zu welchen Kosten, mit welchem organisatorischen Aufwand und mit welcher Sicherheit er seine Daten mit Signaturen sichern will – und welche Signaturverfahren seiner Kommunikationspartner er für welche Anwendungen akzeptiert.

3. Die GI unterstützt das Regelungskonzept des SigG, die hohe faktische Sicherheit des Signaturverfahrens durch Sicherheitsanforderungen an Zertifizierungsstellen und technische Komponenten, deren Vorabprüfung in Zulassungsverfahren und deren nachträgliche Kontrolle zu gewährleisten. Nur die vor dem Betrieb der Zertifizierungsstellen und vor dem Einsatz der technischen Komponenten durchgeführte Prüfung ermöglicht die Rechtsfolge des § 1 Abs. 1 SigG, die Sicherheit des Signaturverfahrens zu vermuten. Diese Sicherheitsvermutung sichert digital signierten Daten die erforderliche Beweiseignung in Gerichts- und Verwaltungsverfahren. Da eine solche Vorabprüfung nach der geplanten europäischen Richtlinie für digitale Signaturen für Zertifizierungsstellen fehlt, kann diesen keine Sicherheitsvermutung zukommen. Daher sollte die Bundesregierung das Konzept des SigG auch nach Erlaß der Richtlinie als "freiwilliges Akkreditierungsverfahren" beibehalten.

4. Die GI bedauert, daß das SigG keine explizite Möglichkeit vorsieht, Funktionen der Zertifizierungsstelle auf andere Dienstleister auszulagern. Damit führt das SigG zu Wettbewerbsverzerrungen, weil es Anbieter von Signaturverfahren mit einer eigenen Vertriebsstruktur in der Fläche einseitig bevorzugt. Die Dienstleistungen der Zertifizierungsstellen mit Kundenkontakt (Registrierung, Unterrichtung, Ausgabe der Chipkarten und Zertifikate) müssen in der Fläche angeboten werden können. Alle Regelungen des SigG (Genehmigung, Betreiberpflichten, Aufsicht, Datenschutz, Konkurs) sind jedoch ausschließlich auf Zertifizierungsstellen bezogen. Nach § 2 Abs. 2 SigG sind Zertifizierungsstellen nur die Stellen, die Zertifikate ausstellen. Eigenständige Registrierungsstellen kennt das Gesetz nicht. Zertifizierungsstellen ohne räumlich verteilte Struktur streben Kooperationen mit anderen Dienstleistern an. Um ihnen dies in rechtssicherer Weise zu ermöglichen und um die Sicherheit der Signaturverfahren auch in solchen Strukturen zu gewährleisten, sollten im SigG Registrierungsstellen sowie deren Anforderungen und Pflichten geregelt werden.

5. Die Regelung des § 2 Abs. 3 SigG, nach der Zertifikate nur für natürliche Personen ausgestellt werden dürfen, erscheint zu eng. Sie ist zu sehr an der eigenhändigen Unterschrift orientiert und wird zu wenig den Bedürfnissen des elektronischen Geschäftsverkehrs gerecht, bei dem sich auch Rechner gegenseitig identifizieren und untereinander beweisgeeignet Daten austauschen müssen. Auch besteht ein Bedarf an digitalen Signaturen für Gruppen oder Institutionen. Internationale Standards für Signaturverfahren sehen die Einschränkung auf natürliche Personen nicht vor.

6. Die Regelungen zur Zertfizierungshierarchie, nach denen es nur die Wurzel-Zertifizierungsstelle an der Spitze und darunter nur eine weitere Stufe von Zertifizierungsstellen gibt, erscheint als zu restriktiv. Sie wird den praktischen Anforderungen des Einsatzes von Signaturverfahren in und zwischen Unternehmen nicht gerecht. Dadurch besteht die Gefahr, daß diese auf andere, nicht gesetzeskonforme Signaturverfahren ausweichen.

7. Die Regelung des § 17 Abs. 1 SigV, wonach technische Komponenten an den ITSEC zu überprüfen sind, erscheint zu eng. Statt dessen sollte vorgesehen werden, die technischen Komponenten nach der jeweils neuesten Fassung der einschlägigen ISO-Normen zu überprüfen.

April 1999

siehe auch:

• Pressemitteilung der GI Signaturgesetz: Akzeptanz der Digitalen Signatur im Netz gefährdet (25.05.2000)

Sie möchten die Pressemitteilungen der Gesellschaft für Informatik immer aktuell per E-Mail erhalten?

Dann tragen Sie sich in den GI-Presseverteiler ein:

Mail

Bitte geben Sie Ihren Namen und Redaktion an.