Elektronische Signatur

Unter einer elektronischen Signatur versteht man Daten, mit denen man den Unterzeichner (EU-Begriff für den Signaturersteller) identifizieren kann und sich die Integrität der signierten, elektronischen Daten prüfen lässt. Die elektronische Signatur erfüllt somit technisch gesehen den gleichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten.

Für bestimmte Bereiche stellen die nationalen Gesetzgeber zusätzliche Anforderungen an elektronische Signaturen, um neben der Identifizierung auch eine Ermittlung der bürgerlichen Identität des Signaturerstellers zu ermöglichen. So erfüllen in Deutschland nur qualifizierte elektronische Signaturen die Anforderungen an die elektronische Form, die die gesetzlich vorgeschriebene Schriftform ersetzen kann (§ 126a BGB). Auch gelten nur mit einer qualifizierten elektronischen Signatur versehene elektronische Dokumente als Privaturkunden im Sinne der ZPO. Unter bestimmten Voraussetzungen wird eine elektronische Signatur vom Gesetzgeber sogar als Äquivalent zur handgeschriebenen Unterschrift angesehen (in Östrerreich: § 4 Abs. 1 SigG).

In Fällen, in denen eine qualifizierte elektronische Signatur nicht gesetzlich vorgeschrieben ist, können Dokumente, die "nur" mit einer fortgeschrittenen elektronischen Signatur versehen wurden, jedoch ebenfalls als Beweismittel vor Gericht verwendet werden (Augenscheinsbeweis).

Oftmals werden die Begriffe „digitale Signatur“ und „elektronische Signatur“ synonym verwendet. Dies ist jedoch nicht korrekt. Der Begriff „digitale Signatur“ bezeichnet eine Klasse von kryptografischen (d.h. mathematischen) Verfahren, während „elektronische Signatur“ ein rein rechtlicher Begriff ist. Der Terminus „elektronische Signatur“ wurde zuerst von der Europäischen Kommission in einem überarbeiteten Entwurf der EU-Richtlinie 1999/93/EG verwendet, um die rechtlichen Regelungen nicht an eine bestimmte Technologie zu koppeln; in einem früheren Entwurf war noch der Begriff „digitale Signatur“ verwendet worden [1]. Die Richtlinie (und ebenso die darauf basierenden nationalen Signaturgesetze der Mitgliedsstaaten) fassen den Begriff bewusst sehr weit: „‚Elektronische Signaturen‘ sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die der Authentifizierung dienen.“ Diese Definition umfasst neben digitalen Signaturen auch andere, weniger sichere Verfahren.

Der Ausgangspunkt für die aktuelle Signaturgesetzgebung in der Europäische Union ist die EG-Richtlinie 1999/93/EG („Signaturrichtlinie“). Diese definiert die Vorgaben für die Regelungen elektronischer Signaturen, die durch die Mitgliedstaaten und die anderen Staaten des Europäischen Wirtschaftsraumes in nationalen Gesetzen umgesetzt wurden.

Elektronische Signaturen, die es ermöglichen, die Authentizität und Unverfälschtheit der durch sie geschützten Daten sicher zu prüfen, werden in der Signaturrichtlinie als fortgeschrittene elektronische Signaturen bezeichnet. Artikel 2 Nr.2 fordert für fortgeschrittene elektronische Signaturen, dass diese:

• a) ausschließlich dem Unterzeichner zugeordnet sind,
• b) die Identifizierung des Unterzeichners ermöglichen,
• c) mit Mitteln erzeugt werden, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann, und
• d) mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Die Signaturrichtline definiert Anforderungen für die Ausstellung von Zertifikaten und andere Zertifizierungsdienste. Nach Artikel 2 Nr.9 ist ein Zertifikat "eine elektronische Bescheinigung, mit der Signaturprüfdaten einer Person zugeordnet werden und die Identität dieser Person bestätigt wird". Zertifizierungsdienste umfassen nach Artikel 2 Nr.11 auch "anderweitige Dienste im Zusammenhang mit elektronischen Signaturen", also z.B. Auskunftsdienste für Zertifikate, Identifizierungs- und Registrierungsdienste für die Ausstellung von Zertifikaten oder Zeitstempeldienste. Besondere Anforderungen stellt die Signaturrichtlinie an ein qualifiziertes Zertifikat. Zum Einen muss es den Aussteller, den Schlüsselinhaber und den Geltungsbereich des Zertifikates spezifizieren und die fortgeschrittene elektronische Signatur des Ausstellers tragen ^[1], zum Anderen muss der Aussteller umfangreiche und weitgehende Anforderungen bezüglich der Sicherheit und Nachvollziehbarkeit der Ausgabe der Zertifikate erfüllen ^[2].

Die wichtigsten Regelungen der Signaturrichtlinie waren, dass

1. eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit erstellt wurde, die gleiche Wirkung hat, wie eine handschriftliche Unterschrift. Eine solche Signatur wird in Deutschland als qualifizierte elektronische Signatur und in Österreich als sichere elektronische Signatur bezeichnet.
2. ein Aussteller von qualifizierten Zertifikaten gegenüber einer Person, die auf ein Zertifikat vertraut, dafür haftet.
3. die in einem Mitgliedsstaat ausgestellten qualifizierten Zertifikate und die darauf basierenden Signaturen in allen Mitgliedstaaten gegenseitig anerkannt werden,
4. Signaturen, die nicht auf einem qualifizierten Zertifikat beruhen, ebenfalls als Beweismittel vor Gericht eingesetzt werden können. Die konkreten Rechtsfolgen einer solchen „einfachen“ oder fortgeschrittenen elektronischen Signatur (im Unterschied zur qualifizierten elektronischen Signatur) werden jedoch nicht weiter geregelt und liegen somit bei einem Streitfall im Ermessen des Gerichtes (Objekte des Augenscheins).

Die elektronische Signatur ist durch mehrere Rechtsvorschriften geregelt:

• Signaturgesetz (SigG)
• Signaturverordnung (SigV)
• Bürgerliches Gesetzbuch (BGB), hier vor allem die Paragraphen 125 ff. über die Formen von Rechtsgeschäften
• Verwaltungsverfahrensgesetz (VwVfG), hier vor allem die Paragraphen 3a zur elektronischen Kommunikation und 37 zum elektronischen Verwaltungsakt.
• Unzählige weitere Rechtsvorschriften, die 2001 durch das Formanpassungsgesetz geändert wurden.
• Daneben gelten Vorschriften der Europäischen Union.
• 1. Gesetz zur Änderung des Signaturgesetzes (1. SigÄndG)

Das bürgerliche Gesetzbuch erlaubt den Ersatz der per Gesetz vorgeschriebenen – also nicht freiwilligen – schriftlichen Form (max. 5% aller unterzeichneten Vereinbarungen bzw. Erklärungen) durch die elektronische Form, soweit durch Gesetz nichts anderes bestimmt ist (§ 126 BGB). Die elektronische Form ist gewahrt, wenn dem elektronischen Dokument der Name des Unterzeichners / Signierenden hinzugefügt und mit einer qualifizierten elektronischen Signatur versehen wird (§ 126a BGB). Die qualifizierte elektronische Signatur stellt zusätzliche Anforderungen, z. B. die Zuweisung des zur Verschlüsselung der Prüfsumme (Hash-Funktion) genutzten asymmetrischen Schlüsselpaares (geheimer und öffentlicher Schlüssel) zu einer Person, die mit einem elektronischen Zertifikat bestätigt wird.

Für formfreie Vereinbarungen, die nicht per Gesetz der Schriftform benötigen, jedoch aus Beweisgründen freiwillig schriftlich verfasst und unterzeichnet bzw. signiert werden, können die Vertragspartner für elektronische Dokumente eine andere Signaturform vereinbaren, also entweder eine „einfache“ oder fortgeschrittene elektronische Signatur wählen (§ 127 BGB).

Das Signaturgesetz unterscheidet zwischen der elektronischen Signatur an sich, die daher häufig als einfache elektronische Signatur bezeichnet wird, der fortgeschrittenen elektronischen Signatur und der qualifizierten elektronischen Signatur. Letztere erfordert ein zum Zeitpunkt der Signaturerstellung gültiges qualifiziertes Zertifikat und die Erzeugung mit einer sicheren Signaturerstellungseinheit (SSEE). Bei den Anforderungen an qualifizierte Zertifikate geht das Signaturgesetz über die Vorgaben der Signaturrichtlinie hinaus, indem es es nicht nur eine fortgeschrittene sondern eine qualifizierte elektronische Signatur des Zertifikatausstellers fordert.

Die für qualifizierte elektronische Signaturen zugelassenen Kryptoalgorithmen werden von der Bundesnetzagentur genehmigt und veröffentlicht. Dort sind auch die für eine qualifizierte elektronische Signatur zugelassenen Produkte aufgelistet.

Zertifizierungsdienste sind genehmigungsfrei, aber anzeigepflichtig. Bei der Anzeige ist darzulegen, dass und wie die gesetzlichen Anforderungen (finanzielle Deckungsvorsorge, Zuverlässigkeit, Fachkunde) erfüllt sind.

In der Praxis wird für gewöhnlich nur noch zwischen fortgeschrittenen und qualifizierten Signaturen unterschieden. Hier gibt es eine einheitliche Definition für qualifizierte Signaturen (SigG) jedoch nicht für fortgeschrittene Signaturen. So kommt es, dass eine bestimmte Art forgeschrittener Signaturen für ELSTER verwendet wird und eine andere Art für die eVergabe des Bundes. Beide sind nicht kompatibel miteinander.

Die elektronische Signatur ist durch das Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) sowie durch die Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (VZertES) geregelt. Das Obligationenrecht (OR) sieht in Art. 14 Abs. 2 bis bzw. Art. 59a eine Gleichstellung von ZertES-konformer elektronischer Signatur und Handunterschrift im Bereich gesetzlicher Formvorschriften sowie eine Haftung des Inhabers des Signierschlüssels für den sorgfältigen Umgang mit dem Schlüssel vor. ZertES, VZertES und die entsprechende OR-Novelle sind am 1. Januar 2005 in Kraft getreten.

Ein wesentlicher Unterschied zur Regelung in der deutschen Gesetzgebung (und in der EU-Signaturrichtlinie) liegt darin, dass für eine Rechtswirkung der erwähnten obligationenrechtlichen Normen jeweils die Anerkennung (EU-Terminologie: Akkreditierung) des jeweiligen Zertifizierungsdienstes durch eine Anerkennungsstelle vorausgesetzt wird. Es braucht also in der Schweiz die gesetzeskonforme elektronische Signatur eines anerkannten Zertifizierungsdienstes, während in der EU nur eine gesetzeskonforme Signatur vorausgesetzt wird und die Akkreditierung damit freiwillig bleibt. Die Anerkennung bzw. Akkreditierung ist eine Bestätigung dafür, dass der Zertifizierungsdienst die Anforderungen des Gesetzes erfüllt.

Das Bundesamt für Metrologie und Akkreditierung publiziert eine Liste der anerkannten Zertifizierungsdienste. Derzeit (Dezember 2006) sind Swisscom Solutions AG, QuoVadis Trustlink Schweiz AG und die Schweizerische Post anerkannte Anbieter von Zertifizierungsdiensten.

Österreich war das erste Land, das die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen umgesetzt hat.

Die Grundlage für die Anerkennung elektronischer Signaturen im österreichischen Recht bildet das 190. Bundesgesetz: Signaturgesetz – SigG, BGBl. I Nr. 190/1999. Das Signaturgesetz wird durch die Signaturverordnung näher ausgeführt. Das Signaturgesetz unterscheidet zwischen der (einfachen) elektronischen Signatur, der fortgeschrittenen elektronischen Signatur und der sicheren elektronischen Signatur, welche im Wesentlichen der qualifizierten elektronischen Signatur in Deutschland entspricht. Daneben definiert die Verwaltungssignaturverordnung eine Verwaltungssignatur, die gemäß § 25 des E-Government-Gesetzes bis zum 31. Dezember 2007 für E-Government mit der Bürgerkarte gleichgestellt mit sicheren Signaturen verwendet werden können.

Die Bestätigungsstellenverordnung legt Kriterien für die Feststellung der Eignung von Bestätigungsstellen fest. Mit der Verordnung BGBl II 2000/31 wurde die Eignung des Vereins „Zentrum für sichere Informationstechnologie – Austria (A-SIT)“ als Bestätigungsstelle festgestellt. Die Aufsicht über die Anbieter von Zertifizierungsdiensten und die Einhaltung der gesetzlichen Regelungen zur elektronischen Signatur ist die Telekom-Control-Kommission (Rundfunk und Telekom Regulierungs-GmbH).

Die rechtlichen Grundlagen können im Detail unter folgenden Verweisen gefunden werden:

• A-SIT – Rechtsrahmen elektronische Signatur
• Rundfunk und Telekom Regulierungs GmbH – Signaturrecht
• Liste der Zertifizierungsdiensteanbieter
• A-Trust derzeit (11/2005) einziger akkreditierter Zertifizierungsdiensteanbieter in Österreich

Aufgrund der weiten und technologie-neutralen Definition lassen sich elektronische Signaturen durch völlig verschiedene technische Verfahren umsetzen. So stellt auch die Angabe des Absenders in einer E-Mail bereits eine elektronische Signatur dar. Auch ein über das Internet geschlossener Vertrag enthält eine elektronische Signatur, sofern geeignete Verfahren, etwa eine Passwortabfrage, den Vertragsabschluss durch eine bestimmte Person hinreichend belegen.

Fortgeschrittene oder gar qualifizierte elektronische Signaturen, die eine zuverlässige Identifizierung des Unterzeichners ermöglichen und eine nachträgliche Veränderung der Daten erkennen lassen müssen, können technisch mit digitalen Signaturen in Verbindung mit Zertifikaten von einer Public-Key-Infrastruktur (PKI) realisiert werden. Bei diesen Verfahren wird ein Schlüsselpaar verwendet. Ein Schlüssel wird für die Erzeugung der Signatur verwendet (Signaturschlüssel) und ein Schlüssel für die Prüfung (Signaturprüfschlüssel). Bei qualifizierten Signaturen ist die Zuordnung der asymmetrischen Schlüsselpaare gemäß deutschem Signaturgesetz zwingend erforderlich. Bei fortgeschrittenen Signaturen können auch dem Signaturersteller nicht zugeordnete Schlüsselpaare verwendet werden.

Ablauf einer elektronischen Signierung mit einer digitalen Signatur:

1. Der Absender (im Beispiel: Alice) wählt die zu signierende Nutzdatei aus
2. Die Signatur-Software bildet über die Nutzdatei einen Hash-Wert
3. Der Absender bildet aus dem Hash-Wert mit Hilfe des geheimen Schlüssels die elektronische Signatur
4. Der Absender verschickt die Nutzdatei und die Signaturdatei (Alternativen sind: a) Dateien getrennt; b) Containerdatei mit beiden Dateien; c) Signatur in Nutzdatei enthalten (z. B. bei PDF oder XML))
5. Der Empfänger (im Beispiel: Bob) erhält die Nutzdatei und die Signaturdatei
6. Der Empfänger verifiziert mit einer Prüf-Software die Signatur mit Hilfe des öffentlichen Schlüssels und der Nutzdatei (viele Hersteller bieten hierfür kostenlose Prüf-Editionen ihrer Signatur-Software an, teils auch Online-Prüfung via Internet)
7. Ist die Prüfung erfolgreich, dann wurde die Datei vom richtigen Absender verschickt (Identifizierung) und nicht verändert (Integrität, Authentifizierung, Authentizität). Dies setzt voraus, dass nur der gewünschte Absender im Besitz des privaten geheimen Schlüssels ist.

Hinweis : Der Inhalt einer Datei wird durch eine Signatur nicht verschlüsselt. Die signierte Datei ist weiter lesbar und auch veränderbar. Eine digitale Signatur dient lediglich zur Erkennung, ob die Datei nach der Signierung verändert wurde.

Für qualifizierte Signaturen ohne Anbieterakkreditierung gilt für den ZDA (Zertifizierungsdiensteanbieter) die Anforderung für fünf Jahre die Zertifikate vorzuhalten und somit eine Identitätsermittlung des Signaturerstellers zu ermöglichen.

Für Dokumente, die über fünf Jahre aufbewahrt werden müssen (z. B. Rechnungen), sollten qualifizierte Zertifikate mit Anbieterakkreditierung genutzt werden. Dort besteht die rechtliche Anforderung, dass der ZDA die Zertifikate für 30 Jahre vorhalten und bereitstellen muss.

Die langfristige Sicherheit der asymmetrischen Verfahren wie RSA ist fraglich. Durch verbesserte Verfahren oder leistungsfähigere Rechner könnte der geheime Signaturschlüssel im Laufe der Zeit aus dem öffentlichen Zertifikat berechnet werden.

Aus diesem Grund sind die heute ausgestellten Zertifikate in der Regel nicht länger als 3 Jahre gültig, was bedeutet, dass der zugewiesene Signaturschlüssel nach Ablauf des Zertifikats nicht mehr benutzt werden darf (manche Signiersoftware verweigert das Setzen einer Signatur mit einem ungültigen Zertifikat). Das Alter elektronischer Daten ist jedoch praktisch nicht bestimmbar. Dokumente könnten folglich ohne weiteres um Jahre oder gar Jahrzehnte vordatiert werden, ohne dass dies nachweisbar wäre. Eine Vordatierung kann etwa durch Verstellen der Systemzeit des verwendeten Rechners erfolgen. Gelingt es einem Fälscher nach Jahren, den Signaturschlüssel aus dem öffentlichen Zertifikat zu berechnen, kann er damit ein vordatiertes Dokument mit einer gefälschten qualifizierten elektronischen Signatur versehen.

Auch wenn ein Zertifikat bereits lange ungültig ist bzw. der damit verknüpfte Signaturschlüssel nicht mehr verwendet werden darf, sind Dokumente, die innerhalb des Gültigkeitszeitraums signiert wurden, aber nach wie vor rechtsgültig.

Die Problematik besteht in der Beweiseignung elektronischer Signaturen nach dem Ablauf des Zertifikats. In der Literatur wird die Meinung vertreten, dass der Anscheinsbeweis (eine Beweislastumkehr) für die Echtheit einer elektronischen Signatur mit Anbieterakkreditierung nicht die Tatsache betreffen kann, dass die Signatur vor dem Ablauf des Zertifikats erstellt wurde (Schlauri, N 748). Dies daher, weil der Nachweis des Signierzeitpunkts für denjenigen, der sich auf die Signatur stützt, leicht möglich ist und daher keiner Beweiserleichterung bedarf. Mit dem Ablauf des Zertifikats muss daher derjenige, der sich auf eine Signatur stützt, voll beweisen, dass die Signatur vor diesem Zeitpunkt gesetzt wurde. Dies kann durch eine Nachsignierung (vgl. den folgenden Abschnitt) geschehen oder insbesondere durch einen Zeitstempel (zu letzteren auch Schlauri, N. 172 ff.).

Für den Fall elektronischer Rechnungen und anderer Unternehmensdokumente gilt gemäß der Grundsätze ordnungsgemäßer Buchhaltung (GoB) die Verpflichtung, Rechnungen für 10 Jahre revisionssicher zu archivieren. Wenn diese Bedingung durch ein entsprechendes elektronisches Archiv sichergestellt ist, ist eine erneute Signierung der einzelnen Dokumente nicht notwendig, da das revisionssichere Archiv die Unveränderbarkeit der im Archiv gehaltenen Dokumente garantiert.

Im Fall archivierter, signierter Dokumente kann die Signierung auch das Archiv selbst oder Teile davon umfassen und somit die darin enthaltenen Dokumente absichern. Die Verwendung von revisionssicheren Archiven kann eine Nachsignierung auch vollständig überflüssig machen. Dies ist jedoch im Einzelfall zu prüfen.

Zur Prüfung einer qualifizierten elektronischen Signatur wird ein öffentlich verfügbarer Signaturprüfschlüssel (Public Key) benutzt. Diesem Prüfschlüssel ist jedoch nicht anzusehen, ob er möglicherweise von einer nichtautorisierten Person stammt. Eine nichtautorisierte Person könnte einen Signaturschlüssel zur Erstellung einer Signatur und einen zugehörenden Prüfschlüssel z. B. mit einer Software wie PGP selbst erstellen und anschließend Signaturen mit dieser Software unter falschem Namen erstellen und als qualifizierte elektronische Signaturen einer anderen Person ausgeben.

Daher wird ein Nachweis der Echtheit des Prüfschlüssels benötigt. Zu diesem Zweck sieht das SigG für qualifizierte elektronische Signaturen ein qualifiziertes elektronisches Zertifikat vor, das eine qualifizierte elektronische Signatur des Ausstellers, dem Zertifizierungsdiensteanbieter, enthält.

Dies bedeutet für qualifizierte Zertifikate mit freiwilliger Anbieterakkreditierung (§15 SigG): Zertifizierungsdiensteanbieter erhalten ein Zertifikat vom Betreiber der obersten deutschen Root. Dieser Betreiber ist die Bundesnetzagentur. Sie ist auch gleichzeitig Aufsichtsstelle für alle Anbieter von qualifizierten Zertifikaten sowie Soft- und Hardware für qualifizierte Signaturen im Markt. Der jeweilige Zertifizierungsdiensteanbieter erstellt nun seinerseits ein Zertifikat für eine Person, womit bestätigt wird, dass ein bestimmter Signaturprüfschlüssel (und damit der korrespondierende Signaturschlüssel) der Person zugeordnet wurde. Somit kann nun jeder jede Signatur nachprüfen, da alle Zertifikatsketten auf die Bundesnetzagentur zurückzuführen sind.

Der zur Erstellung der Signatur verwendete Signaturschlüssel, umgangssprachlich auch als privater Schlüssel bezeichnet, darf selbstverständlich nicht in die Hände einer nichtautorisierten Person gelangen. Diese könnte ansonsten Signaturen im Namen des rechtmässigen Schlüsselinhabers setzen.

Für den Schutz des privaten Schlüssels gibt es im Wesentlichen zwei Möglichkeiten: Zum einen mittels Software-„Sicherheitscontainer“ (Soft Personal Security Environment, z. B. entsprechend dem Standard PKCS#12) und zum anderen durch ein Stück Hardware (Chipkarte, USB-Stick o.dgl.), in dem bzw. auf dem der Signaturschlüssel gespeichert wird. Sowohl Soft-PSE als auch Chipkarte sind regelmässig mit Passwort oder PIN geschützt. Soft-PSEs bleiben indessen prinzipbedingt deutlich weniger sicher als Hardwarelösungen. Dies weil ein Soft-PSE im Gegensatz zu Chipkarten beliebig viele Angriffsversuche erlaubt (Brute-Force-Methode), und vor allem weil Soft-PSEs mangels Bindung an eine Chipkarte sehr einfach kopiert werden können (etwa durch bösartige Software).

Eine weitere Problematik liegt darin, dass eine Weitergabe mit Täuschungsabsicht bei Lösungen ohne biometrischen Schutz kaum wirksam zu verhindern ist: Ein Signaturschlüsselinhaber könnte seinen Signaturschlüssel an Komplizen weitergeben, die dann Fälschungen seiner elektronischen Signatur erstellen. Dies kann zu dem Zweck erfolgen, dass der Signaturschlüsselinhaber die Echtheit einer Signatur mit dem Argument bestreiten kann, sein Schlüssel sei kompromittiert worden.

Daher ist für ein höheres Maß an Sicherheit, wie etwa vom SigG gefordert, die Verwendung einer sicheren Signaturerstellungseinheit (Chipkarte oder andere tokenbasierte Geräte) erforderlich, die das Auslesen des Schlüssels auch für den Inhaber selbst sicher verhindert, was jedoch im nachhinein nicht überprüft werden kann und zudem ein Soll-Bestimmung ist. Der Signaturersteller müsste sich im Grunde jedesmal davon überzeugen, dass er tatsächlich mit einer SSEE (sicheren Signaturerstellungseinheit) signiert.

Eine Fälschung der Signatur kann nur zuverlässig ausgeschlossen werden, falls geeignete Software zur Erstellung und zur Prüfung der Signatur verwendet wird. Die große Schwierigkeit dabei ist, dass kaum feststellbar ist, ob diese Voraussetzung tatsächlich erfüllt ist. Die gleichen mathematischen Operationen, die auf einer Chipkarte, der sicheren Signaturerstellungseinheit, ausgeführt werden, können auch mittels eines handelsüblichen Rechners und einer Software ähnlich PGP ausgeführt werden. Allein der Signatur kann daher nicht angesehen werden, ob sie tatsächlich mit sicheren technischen Komponenten erstellt wurde. Das Signaturgesetz definiert daher in §17 auch noch Anforderungen an Produkte für qualifizierte elektronische Signaturen.

Generell ist zur Prüfung der Signatur eine Software erforderlich. Die Software auf einem PC kann praktisch immer auch so genannte Malware enthalten. Eine tatsächlich zuverlässige Prüfung, ob die Software tatsächlich den Spezifikationen entspricht und nicht manipuliert wurde ist sehr aufwändig. Hier werden normalerweise Sicherheitsmechanismen des Betriebssystems und/oder Signaturen an der Software verwendet.

Trotz der diesbezüglicher Vorgaben der Signaturrichtlinie hat eine elektronische Unterschrift nicht in allen Ländern die gleiche rechtliche Relevanz. Zwar ist eine qualifizierte Signatur in allen Ländern als rechtlich äquivalent zu einer handgeschriebenen Unterschrift definiert, doch variiert die rechtliche Relevanz einer handgeschriebenen Unterschrift unter den Staaten erheblich. Daher wird ein Benutzer die rechtliche Relevanz einer qualifizierten elektronischen Signatur aus einem anderen Mitgliedsstaat nicht einschätzen können, solange er nicht die dortigen Regelungen zur handgeschriebenen Unterschrift kennt.

Ein extremes Beispiel ist Großbritannien, in dem eine handgeschriebene Unterschrift keinen über ein Indiz hinausgehenden Status besitzt; sie stellt lediglich ein Beweismittel dar, dessen Beweiswert von Fall zu Fall zu entscheiden ist. Aus diesem Grund sah die britische Regierung auch keine Notwendigkeit, die Regelung zur Gleichstellung qualifizierter elektronischer Signaturen zu handgeschriebenen Unterschriften in die nationalen Gesetze aufzunehmen. Nicht einmal die Konzepte der sicheren Signaturerstellungseinheit und der qualifizierten elektronischen Signatur wurden in die britische Gesetzgebung aufgenommen.

Unterschiede zeigen sich auch in der Frage, ob qualifizierte Zertifkate und fortgeschrittene elektronische Signaturen nur natürlichen Personen oder auch Organisationen zugeordnet sein können. Da die EG-Richtlinie in diesem Punkt nicht eindeutig ist, wird diese Frage in den einzelnen Mitgliedsstaaten unterschiedlich geregelt[2]. Es stellt sich somit die Frage, inwieweit z.B. ein in Belgien für ein Unternehmen ausgestelltes qualifiziertes Zertifikat und die darauf basierenden Signaturen in Deutschland anerkannt werden.

Ein weiteres Problem ist, dass die einzelnen Länder in vielen Bereichen (in Deutschland z.B. in der Sozialgesetzgebung) nur qualifizierte Signaturen zulassen, deren Zertifikate von einem akkreditieren Zertifizierungsdiensteanbieter ausgestellt wurden. Da die Anforderungen und Verfahren für eine Akkreditierung auf nationaler Ebene sehr unterschiedlich geregelt sind, erschwert diese Anforderung nach einer Anbieter-Akkreditierung den Marktzugang für ausländische Zertifizierungsdiensteanbieter.

• Balfanz/Wendenburg: Digitale Signaturen in der Praxis, AWV-Verlag 2003 ISBN 3-931-19347-0,
• Eßer, Martin: Der strafrechtliche Schutz des qualifizierten elektronischen Signaturverfahrens; Nomos Verlag, Baden-Baden 2006, ISBN 3-832-91991-0,
• Lenz/Schmidt; Elektronische Signatur – eine Analogie zur eigenhändigen Unterschrift? ausführliches Fachbuch, Oktober 2004 ISBN 3-093-05705-1
• Simon Schlauri, Elektronische Signaturen, Diss. Zürich 2002 (Juristische Dissertation zum Thema; PDF 3.8 MB)
• Kunstein, Florian: Die elektronische Signatur als Baustein der elektronischen Verwaltung – Analyse des rechtlichen Rahmens elektronischer Kommunikation unter besonderer Berücksichtigung der Kommunalverwaltung – Tenea-Verlag, Berlin 2005, ISBN 3-86504-123-X, PDF-Download
• Langweg, Hanno; Malware Attacks on Electronic Signatures Revisited. In: J. Dittmann (Hrsg.): Sicherheit 2006. Konferenzband der 3. Jahrestagung Fachbereich Sicherheit der Gesellschaft für Informatik. S. 244-255. Gesellschaft für Informatik, 2006. (http://www2.hig.no/~hannol/research/gi06p.pdf PDF-Download: nicht verfügbar)

• Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG Deutschland)
• Österreichisches Signaturgesetz Stammfassung, Änderungen im Rechtsinformationssystem des Bundes RIS
• Faltblatt des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur elektronischen Signatur
• Verein zur Förderung der elektronischen Signatur e. V.
• Signaturbündnis – Initiative von Staat und Wirtschaft in Deutschland
• Telefonbuch der Akzeptanzstellen für die qualifizierte elektronische Signatur und Signaturkarten
• Liste mit zertifizierten Signaturanwendungskomponenten für qualifizierte digitale Signaturen (TÜV-IT)
• Datenbank mit über 200 Anwendungen der qualifizierten elektronischen Signatur
• Rahmenwerk für die einheitliche Spezifizierung der Einsatzbedingungen für Signaturanwendungskomponenten (Hrsg. Bundesnetzagentur)
• ArchiSig: Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente
• ArchiSafe: Projekt der Physikalisch-Technischen Bundesanstalt zur rechtssicheren Langzeitarchivierung (Beruhend auf ArchiSig)

1. ↑ Signaturrichtlinie, Anhang I: Anforderungen an qualifizierte Zertifikate
2. ↑ Signaturrichtline, Anhang II Anforderungen an Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen