Auswirkung der Umsetzung der EU-Richtlinie "Digitale Signatur" auf Geschäftsprozesse im Rechnungswesen
©2001
Diplomarbeit
136 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
Im heutigen Geschäftsleben gewinnt der Bereich eBusiness immer mehr an Bedeutung. Nach einer Studie der KPMG und der Bundesvereinigung der Arbeitgeberverbände sind heute mehr als 90% aller befragten Unternehmen Online. 1999 wurden weltweit Onlineumsätze in Höhe von 180 Mrd. Euro getätigt. Dies verlangt allerdings eine sichere Abwicklung aller Transaktionen. Die sichere Identifizierung des Geschäftspartners und die Integrität der abgeschlossenen Willenserklärung bzw. der übermittelten Daten müssen zweifelsfrei gewährleistet sein.
Es genügt allerdings nicht, dass ein Verfahren technisch sicher ist, es muss auch vom Gesetzgeber als sicher erachtet werden. Nur ein vom Gesetzgeber anerkanntes Verfahren bietet die im Geschäftsleben erforderliche Rechtssicherheit. Am 13.12.1999 wurde vom Europäischen Parlament die Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen verabschiedet. Sie soll deren Verwendung erleichtern und zu ihrer rechtlichen Anerkennung beitragen. Die geänderte nationale (Signaturgesetz) und internationale (EU Richtlinie 1999/93/EG) rechtliche Situation macht es notwendig, die vom Gesetz unterschiedenen elektronischen Signaturen klar zu definieren. Die so identifizierten Signaturen müssen auf ihre Rechtssicherheit geprüft werden, denn es können für den Außenverkehr (Kommunikation mit der Unternehmens- bzw. Konzernumwelt) nur Signaturen eingesetzt werden, bei denen Rechtssicherheit festgestellt wurde.
Als Einsatzgebiet elektronischer Signaturen bieten sich Schnittstellen an Prozess- oder Kompetenzgrenzen an. Für die Implementierung der Signaturen in Geschäftsprozesse eines Unternehmens ist es nötig, die davon betroffenen Geschäftsprozesse den neuen Anforderungen anzupassen.
Gerade im Bereich der Geschäftsprozessoptimierung existiert ein hohes Potential, Kosten zu reduzieren und Prozesslaufzeiten zu senken. Es soll eine klare Aussage getroffen werden, ob zum jetzigen Zeitpunkt bzw. in naher Zukunft der Einsatz elektronischer Signaturen in Geschäftsprozessen des Rechnungswesen wirtschaftlich sinnvoll ist, und welche Auswirkungen eine solche Umstellung hat. Diese Arbeit soll Auswirkungen auf die Geschäftsprozesse darstellen.
Ziel ist es, eine Handlungsempfehlung für Unternehmen zu geben, welche die heutigen Möglichkeiten moderner Signaturverfahren zur Optimierung ihrer Geschäftsprozesse oder Erschließung neuer Geschäftsfelder, wie Onlinehandel, nutzen wollen. Die mit der […]
Im heutigen Geschäftsleben gewinnt der Bereich eBusiness immer mehr an Bedeutung. Nach einer Studie der KPMG und der Bundesvereinigung der Arbeitgeberverbände sind heute mehr als 90% aller befragten Unternehmen Online. 1999 wurden weltweit Onlineumsätze in Höhe von 180 Mrd. Euro getätigt. Dies verlangt allerdings eine sichere Abwicklung aller Transaktionen. Die sichere Identifizierung des Geschäftspartners und die Integrität der abgeschlossenen Willenserklärung bzw. der übermittelten Daten müssen zweifelsfrei gewährleistet sein.
Es genügt allerdings nicht, dass ein Verfahren technisch sicher ist, es muss auch vom Gesetzgeber als sicher erachtet werden. Nur ein vom Gesetzgeber anerkanntes Verfahren bietet die im Geschäftsleben erforderliche Rechtssicherheit. Am 13.12.1999 wurde vom Europäischen Parlament die Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen verabschiedet. Sie soll deren Verwendung erleichtern und zu ihrer rechtlichen Anerkennung beitragen. Die geänderte nationale (Signaturgesetz) und internationale (EU Richtlinie 1999/93/EG) rechtliche Situation macht es notwendig, die vom Gesetz unterschiedenen elektronischen Signaturen klar zu definieren. Die so identifizierten Signaturen müssen auf ihre Rechtssicherheit geprüft werden, denn es können für den Außenverkehr (Kommunikation mit der Unternehmens- bzw. Konzernumwelt) nur Signaturen eingesetzt werden, bei denen Rechtssicherheit festgestellt wurde.
Als Einsatzgebiet elektronischer Signaturen bieten sich Schnittstellen an Prozess- oder Kompetenzgrenzen an. Für die Implementierung der Signaturen in Geschäftsprozesse eines Unternehmens ist es nötig, die davon betroffenen Geschäftsprozesse den neuen Anforderungen anzupassen.
Gerade im Bereich der Geschäftsprozessoptimierung existiert ein hohes Potential, Kosten zu reduzieren und Prozesslaufzeiten zu senken. Es soll eine klare Aussage getroffen werden, ob zum jetzigen Zeitpunkt bzw. in naher Zukunft der Einsatz elektronischer Signaturen in Geschäftsprozessen des Rechnungswesen wirtschaftlich sinnvoll ist, und welche Auswirkungen eine solche Umstellung hat. Diese Arbeit soll Auswirkungen auf die Geschäftsprozesse darstellen.
Ziel ist es, eine Handlungsempfehlung für Unternehmen zu geben, welche die heutigen Möglichkeiten moderner Signaturverfahren zur Optimierung ihrer Geschäftsprozesse oder Erschließung neuer Geschäftsfelder, wie Onlinehandel, nutzen wollen. Die mit der […]
Leseprobe
Inhaltsverzeichnis
ID 4509
Pfeiffer, Marko: Auswirkung der Umsetzung der EU-Richtlinie "Digitale Signatur" auf
Geschäftsprozesse im Rechnungswesen / Marko Pfeiffer -
Hamburg: Diplomica GmbH, 2001
Zugl.: Schmalkalden, Fachhochschule, Diplom, 2001
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die
der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen,
der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der
Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung,
vorbehalten. Eine Vervielfältigung dieses Werkes oder von Teilen dieses Werkes ist auch im
Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der
Bundesrepublik Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem
Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche
Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten
wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können Fehler nicht
vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die Autoren oder
Übersetzer übernehmen keine juristische Verantwortung oder irgendeine Haftung für evtl.
verbliebene fehlerhafte Angaben und deren Folgen.
Diplomica GmbH
http://www.diplom.de, Hamburg 2001
Printed in Germany
Wissensquellen gewinnbringend nutzen
Qualität, Praxisrelevanz und Aktualität zeichnen unsere Studien aus. Wir
bieten Ihnen im Auftrag unserer Autorinnen und Autoren Wirtschafts-
studien und wissenschaftliche Abschlussarbeiten Dissertationen,
Diplomarbeiten, Magisterarbeiten, Staatsexamensarbeiten und Studien-
arbeiten zum Kauf. Sie wurden an deutschen Universitäten, Fachhoch-
schulen, Akademien oder vergleichbaren Institutionen der Europäischen
Union geschrieben. Der Notendurchschnitt liegt bei 1,5.
Wettbewerbsvorteile verschaffen Vergleichen Sie den Preis unserer
Studien mit den Honoraren externer Berater. Um dieses Wissen selbst
zusammenzutragen, müssten Sie viel Zeit und Geld aufbringen.
http://www.diplom.de bietet Ihnen unser vollständiges Lieferprogramm
mit mehreren tausend Studien im Internet. Neben dem Online-Katalog und
der Online-Suchmaschine für Ihre Recherche steht Ihnen auch eine Online-
Bestellfunktion zur Verfügung. Inhaltliche Zusammenfassungen und
Inhaltsverzeichnisse zu jeder Studie sind im Internet einsehbar.
Individueller Service
Gerne senden wir Ihnen auch unseren Papier-
katalog zu. Bitte fordern Sie Ihr individuelles Exemplar bei uns an. Für
Fragen, Anregungen und individuelle Anfragen stehen wir Ihnen gerne zur
Verfügung. Wir freuen uns auf eine gute Zusammenarbeit.
Ihr Team der Diplomarbeiten Agentur
Inhaltsverzeichnis
II
Inhaltsverzeichnis
Inhaltsverzeichnis ... II
Abkürzungsverzeichnis ...IV
Abbildungs- und Tabellenverzeichnis...VI
1 Einleitung... 2
2 Ist Analyse... 4
2.1 Technische Situation ... 4
2.1.1 Grundlagen - Digitale Signatur und Signaturverfahren... 4
2.1.2 Realisierung und Implementierung... 9
2.2 Rechtliche Situation ... 11
2.2.1 EU Richtlinie ... 11
2.2.2 Novellierung des Signaturgesetz und der Signaturverordnung ... 13
2.2.3 Änderung des Bürgerlichen Gesetzbuches (BGB) ... 17
2.2.4 Zivilprozessordnung (ZPO) ... 17
2.2.5 Zusammenfassung ... 18
3 Auswirkung der elektronischen Signatur auf Geschäftsprozesse ... 20
3.1 Merkmale von Geschäftsprozessen... 20
3.2 Beschreibung des Mustergeschäftsprozesses ... 23
3.3 Implementierung der Digitalen Signatur... 24
3.3.1 Der Subprozess ,,Angebotsversand"... 26
3.3.2 Der Subprozess ,,Angebotsprüfung"... 27
3.3.3 Der Subprozess ,,Archivierung" ... 28
3.3.4 Weitere Anwendungsmöglichkeiten... 30
3.4 Auswirkungen der Implementierung... 30
3.4.1 Eigenhändige Unterschrift auf Papier... 31
3.4.2 Qualifizierte elektronische Signaturen angemeldeter Zertifizierungsstellen
... ...................................................................................................... 33
3.4.3 Qualifizierte elektronische Signaturen freiwillig akkreditierter
Zertifizierungsstellen ... 36
Inhaltsverzeichnis
III
4 Nutzwertanalyse ... 37
4.1 Einleitung ... 37
4.2 Beurteilungskriterien... 39
4.3 Durchführung und Ergebnisse der Nutzwertanalyse... 43
5 Chancen und Risiken ... 51
5.1 Rationalisierungspotentiale... 51
5.2 Risiken ... 53
5.2.1 Organisatorische und wirtschaftliche Risiken ... 53
5.2.2 IT-Risiken und Sicherheit... 54
6 Ergebnisse der Arbeit ... 58
7 Ausblicke... 61
Literaturverzeichnis ...VI
Anhang... XII
7.1 Richtlinie 1999/93/EG des Europäische Parlamentes und des Rates...XIII
7.2 Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz -
SigG) ... XXVII
7.3 Arbeitspapier zur Vorbereitung einer Verordnung zur elektr. Signatur und zur
Umstellung der Gebühren auf Euro ...L
7.4 Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer
Vorschriften an den modernen Rechtsgeschäftsverkehr ... LXVIII
Ehrenwörtliche Erklärung...LXX
Abkürzungsverzeichnis
IV
Abkürzungsverzeichnis
AO -
Abgabenordnung
API -
Application Programming Interface
BGB -
Bürgerliches Gesetzbuch
BSI -
Bundesministerium für Sicherheit in der Informationstechnik
CD - Compact
Disk
CDR -
Compact Disk Recordable
CT -
Card Terminal
DES -
Data Encryption Standard
DV - Datenverarbeitung
EDI -
Electronic Data Interchange
ERP -
Enterprise Resource Planning
ISIS -
Industrial Signature Interoperability Specification
ITU -
International Telecommunication Union
HGB -
Handelsgesetzbuch
KMU -
Kleine und mittelständische Unternehmen
MKT -
Multifunktionale Kartenterminals
PC - Personal
Computer
PDA -
Personal Digital Assistant
PGP -
Pretty Good Privacy
Abkürzungsverzeichnis
V
PIN -
Personal Identification Number
PKS -
Public Key Service
RegTP-
Regulierungsbehörde für Telekommunikation und Post
RSA -
Verschlüsselungsverfahren nach Rivest, Shamir und Adleman
SigG -
Signaturgesetz
SigV -
Signaturverordnung
StPO -
Strafprozessordnung
TTP -
Trusted Third Party
USB -
Universal Serial Bus
UStG -
Umsatzsteuergesetz
WORM-
Write Once Read Many
XML -
Extended Markup Language
ZPO -
Zivilprozessordnung
Abbildungs- und Tabellenverzeichnis
VI
Abbildungs- und Tabellenverzeichnis
Abbildung 1 - Prinzip Digitaler Signaturen ... 6
Abbildung 2 - Funktionsweise des Signierens ... 7
Abbildung 3 - Informationsbeziehungen im Rechnungswesen... 21
Abbildung 4 - Modellierung der Geschäftsprozesse ohne Medienbruch ... 22
Abbildung 5 - Beispiel Hauptprozess... 25
Abbildung 6 - Subprozess ,,Angebotsversand" ... 26
Abbildung 7 - Subprozess ,,Angebotsprüfung"... 28
Abbildung 8 - Subprozess ,,Archivierung" ... 29
Abbildung 9 - Entwicklung mCommerce... 62
Tabelle 1 - Gewichtung der Entscheidungskriterien...41
Tabelle 2 - Bewertungsschlüssel...42
Tabelle 3 - Nutzwertanalyse...50
Tabelle 4 - Rechenaufwand...56
Einleitung
2
1 Einleitung
Im heutigen Geschäftsleben gewinnt der Bereich eBusiness immer mehr an
Bedeutung. Nach einer Studie der KPMG und der Bundesvereinigung der
Arbeitgeberverbände sind heute mehr als 90% aller befragten Unternehmen
Online. 1999 wurden weltweit Onlineumsätze in Höhe von 180 Mrd. Euro
getätigt
1
. Dies verlangt allerdings eine sichere Abwicklung aller Transaktionen.
Die sichere Identifizierung des Geschäftspartners und die Integrität der
abgeschlossenen Willenserklärung bzw. der übermittelten Daten müssen
zweifelsfrei gewährleistet sein. Es genügt allerdings nicht, dass ein Verfahren
technisch sicher ist, es muss auch vom Gesetzgeber als sicher erachtet
werden. Nur ein vom Gesetzgeber anerkanntes Verfahren bietet die im
Geschäftsleben erforderliche Rechtssicherheit. Am 13.12.1999 wurde vom
Europäischen Parlament die Richtlinie 1999/93/EG über gemeinschaftliche
Rahmenbedingungen für elektronische Signaturen verabschiedet. Sie soll
deren Verwendung erleichtern und zu ihrer rechtlichen Anerkennung beitragen.
Die geänderte nationale (Signaturgesetz) und internationale (EU Richtlinie
1999/93/EG) rechtliche Situation macht es notwendig, die vom Gesetz
unterschiedenen elektronischen Signaturen klar zu definieren. Die so
identifizierten Signaturen müssen auf ihre Rechtssicherheit geprüft werden,
denn es können für den Außenverkehr (Kommunikation mit der Unternehmens-
bzw. Konzernumwelt) nur Signaturen eingesetzt werden, bei denen
Rechtssicherheit festgestellt wurde.
Als Einsatzgebiet elektronischer Signaturen bieten sich Schnittstellen an
Prozess- oder Kompetenzgrenzen an. Für die Implementierung der Signaturen
in Geschäftsprozesse eines Unternehmens ist es nötig, die davon betroffenen
Geschäftsprozesse den neuen Anforderungen anzupassen.
Gerade im Bereich der Geschäftsprozessoptimierung existiert ein hohes
Potential, Kosten zu reduzieren und Prozesslaufzeiten zu senken. Es soll eine
klare Aussage getroffen werden, ob zum jetzigen Zeitpunkt bzw. in naher
1
Vgl. Studie KPMG ,,eBusiness in der deutschen Wirtschaft - Status quo und Perspektiven 2001"
Einleitung
3
Zukunft der Einsatz elektronischer Signaturen in Geschäftsprozessen des
Rechnungswesen wirtschaftlich sinnvoll ist, und welche Auswirkungen eine
solche Umstellung hat. Diese Arbeit soll Auswirkungen auf die
Geschäftsprozesse darstellen.
Ziel ist es, eine Handlungsempfehlung für Unternehmen zu geben, welche die
heutigen Möglichkeiten moderner Signaturverfahren zur Optimierung ihrer
Geschäftsprozesse oder Erschließung neuer Geschäftsfelder, wie
Onlinehandel, nutzen wollen. Die mit der Entscheidung verbundenen
wirtschaftlichen, technischen und rechtlichen Risiken, aber auch Chancen
werden identifiziert und bewertet. Dazu wird eine Analyse der technischen und
rechtlichen Situation durchgeführt und die so festgestellten Fakten in einer
Nutzwertanalyse ausgewertet und die vorteilhafteste Handlungsalternative
festgestellt.
Die technische und rechtliche IstSituation wird in Kapitel 2 dargestellt. Da die
EU Richtlinie 1999/93/EG in Deutschland keine unmittelbare Gesetzeskraft hat,
muss die nationale Gesetzgebung mit in diese Untersuchung eingeschlossen
werden. In Kapitel 3 werden die Geschäftsprozesse des Rechnungswesen wie
sie üblicherweise heute ablaufen dargestellt und untersucht, welche Prozess-
änderungen für den Integration elektronischer Signaturen notwendig sind und
welche Auswirkungen diese haben. Anhand eines Beispielprozesses wird
dargestellt, an welchen Stellen die Geschäftsprozessänderungen in den Sub-
prozessen durchgeführt werden müssen. Subprozesse wie Angebotsversand,
Angebotsprüfung und Archivierung der Belege werden in Strukturplänen
definiert und näher erläutert. In der folgenden Nutzwertanalyse (Kapitel 4)
werden die vom Gesetz unterschiedenen Signaturen dahingehend untersucht,
ob deren Einsatz sinnvoll bzw. welche der untersuchten Alternativen für die
Einsatz in Geschäftsprozesse des Rechnungswesen geeignet ist. In Kapitel 5
werden die mit der Einführung von Signaturen verbundenen Risiken aufgezeigt
und Rationalisierungspotentiale dargestellt. In den Kapiteln 6 und 7 werden die
Ergebnisse der Arbeit zusammengefasst und ein Ausblick auf die zukünftige
Entwicklung der Anwendung der Digitaler Signatur gegeben.
Situationsanalyse
4
2 Ist
Analyse
2.1 Technische
Situation
2.1.1 Grundlagen - Digitale Signatur und Signaturverfahren
Elektronische Daten können nicht wie Papierdokumente eigenhändig
unterschrieben werden. Sie benötigen eine elektronische Unterschrift. Diese
kann in Form einer Namensnennung am Ende des Dokumentes oder mit Hilfe
eines eingescannten Unterschriftsbildes realisiert werden. Eine weitere
Möglichkeit ist die Digitale Signatur. Dabei handelt es sich um eine Art
elektronisches Siegel, welches das Dokument umschließt und bei Manipulation
zerstört wird. Es kann also jede Manipulation eindeutig nachgewiesen werden.
Ziel
2
ist es, den elektronischen Geschäftsverkehr für Anbieter und Verbraucher
sicherer zu machen und eine Technologie anzubieten, die leicht zu handhaben
und technisch auf höchstem Stand ist. Mit Hilfe eines vertrauenswürdigen
Dritten (Trusted Third Party) kann sowohl eine Art Zeitstempel als auch eine
Empfangsbestätigung in das Dokument eingefügt werden. Mit diesem
Zeitstempel ist es z. B. möglich, die Einhaltung von Fristen zweifelsfrei zu
belegen. Die Digitale Signatur ist also eine gute Möglichkeit die Authentizität,
Integrität und Terminierung elektronischer Dokumente nachzuweisen. Zum
besseren Verständnis kann man an dieser Stelle auf Bitzer/Brisch verweisen,
die die Begriffe - Authentizität, Integrität und Terminierung wie folgt definieren:
3
Authentizität: Der Datenursprung eines Dokumentes ist zweifelsfrei zu
identifizieren; damit ist der Autor und/oder Absender sicher
festzustellen.
Integrität
:
Veränderungen und Manipulationen werden erkannt,
unabhängig davon, ob sie nachträglich beim Absender, auf
dem Übertragungsweg oder beim Empfänger vorgenommen
wurden.
2
Vgl. Bitzer Frank / Brisch Klaus; ,,Digitale Signaturen" S.2-6
3
Vgl. Bitzer Frank / Brisch Klaus; ,,Digitale Signaturen" S.15
Situationsanalyse
5
Terminierung: Die Fertigstellung eines Dokumentes oder die Einbringung in
ein Archiv können mit einem Zeitstempel nachgewiesen
werden.
Es gibt prinzipiell zwei Möglichkeiten, Dokumente digital zu verschlüsseln und
zwar mit Hilfe von symmetrische und asymmetrische Verfahren.
Symmetrische Verfahren verwenden nur einen Schlüssel, mit dem die Daten
sowohl verschlüsselt als auch entschlüsselt werden können. Der Schlüssel
muss allerdings auch zum Kommunikationspartner übertragen werden, was die
Datensicherheit gefährdet. Den Beweis, ein bestimmtes Dokument verschickt
zu haben, hat man bei diesem Verfahren nicht, da der Kommunikationspartner
über den gleichen Schlüssel verfügt und das Dokument ändern kann. Es ist
somit nur die Authentizität gewährleistet. Das meinst verwendete DES (Data
Encryption Standard) Verfahren gilt aufgrund der hohen Leistung heutiger
Computer nicht mehr als sicher
4
.
Bei der asymmetrischen Verschlüsselung existiert im Gegensatz zur
symmetrischen Verschlüsselung nicht nur ein einzelner Schlüssel, sondern ein
Schlüsselpaar. Dieses Schlüsselpaar besteht aus einem sogenannten
"öffentlichen" (public key) und einem "privaten" Schlüssel (private key), wobei
der öffentliche Schlüssel für jedermann zugänglich sein muss (siehe Abbildung
1 ,,Prinzip Digitaler Signaturen"). Ein solches ,,Schlüsselbrett" befindet sich bei
den Zertifizierungsstellen, die das Schlüsselpaar ausgegeben haben. Eine
andere Methode benötigt ein solches Schlüsselbrett nicht; hier werden die
public keys nur unter den jeweiligen Kommunikationspartnern ausgetauscht.
Der ,,private" Schlüssel befindet sich, z. B. bei qualifizierten elektronischen
Signaturen nach Signaturgesetz, auf einer Sicherheitskomponente wie einer
Smartcard, die er aus Sicherheitsgründen nie verlässt. Aufgrund des
mathematischen Zusammenhangs zwischen den beiden Schlüsseln eines
Paars, kann eine Nachricht, die mit einem der beiden Schlüssel verschlüsselt
4
Vgl. Bitzer Frank / Brisch Klaus; ,,Digitale Signaturen" S.84
Situationsanalyse
6
Abbildung
5
1 - Prinzip Digitaler Signaturen
wurde, nur mit dem jeweils anderen Schlüssel eines Paars wieder entschlüsselt
werden. Der Vorteil bei dem Schlüsselpaar ist, dass kein ,,geheimer" Schlüssel
übertragen werden muss, wie es bei dem symmetrischen Verfahren notwendig
ist. Will nun ein Anwender ein Dokument signieren, wird das Dokument mit
Hilfe das privaten Schlüssels codiert. Dies hat allerdings den Nachteil, dass es
langsam ist und eine gewaltige Datenmenge (mindestens das Doppelte der
ursprünglichen Daten) produziert. Eine Datenmengenreduzierung wird durch
Hinzufügen einer einseitigen HASH-Funktion erzielt. Bei einer Einweg-HASH-
Funktion wird eine Information beliebiger Länge eingegeben, beispielsweise
eine Nachricht von tausend oder mehreren Millionen Bit, und es wird eine
Ausgabe fester Länge erzeugt (z. B. 128 Bit beim MD4 Verfahren oder 512 Bit
beim MD5 Verfahren
6
). Mit der HASH-Funktion wird gewährleistet, dass auch
bei geringfügiger Änderung der Eingangsinformation eine völlig anderer
Ausgabewert erzeugt wird
7
. Der so entstandene ,,Fingerabdruck" des zu
signierenden Dokumentes wird anschließend mit dem public key verschlüsselt.
Der mit dem ,,privaten" Schlüssel codierte HASH-Wert bzw. das codierte
5
Quelle: Digitale Signaturen -Anwendung und Sicherungsinfrastruktur, Andre Reisen, BSI Seite 3
6
Quelle: http://www.ztt.fh-worms.de/de/sem/unsorted/cryptix/Arithmen.html
7
Vgl. ,,Einführung in die Kryptographie" Network Associates, Inc. Seite 11
Situationsanalyse
7
Dokument, stellt die Digitale Signatur dar. Will der Empfänger oder ein Gericht
dieses Dokument prüfen, so muss die Signatur mit Hilfe des öffentlichen
Schlüssels dechiffriert, und mit dem Originaldokument bzw. dem HASH-Wert
des Originals verglichen werden. Stimmen beide Werte überein, handelt es sich
um das Originaldokument. Abbildung 2 ,,Funktionsweise des Signierens" stellt
das Verfahren unter Nutzung des HASH-Verfahren schematisch dar.
Abbildung
8
2 - Funktionsweise des Signierens
Asymmetrische Verfahren gelten als sicherer als symmetrische Verfahren. Es
ist zwar theoretisch nicht ausgeschlossen
9
, dass aus einem (öffentlichen)
Schlüssel der private Schlüssel abgeleitet werden kann; bisher ist jedoch kein
Verfahren bekannt, das dies in sinnvollen Zeiträumen (kleiner 100 Jahre)
leistet. Eine ausführliche Sicherheitsanalyse befindet sich im Kapitel 5
,,Chancen und Risiken". Die Sicherheit dieser Verfahren wird regelmäßig vom
Bundesministerium für Sicherheit in der Informationstechnik (BSI) untersucht
und mindestens für die kommenden sechs Jahre als geeignet beurteilt. Ein
Verfahren, das heute für die nächsten sechs Jahre als sicher beurteilt wurde,
kann demnach nach Ablauf dieses Zeitraums als nicht mehr geeignet gelten. In
einem solchen Fall müsste die Chipkarte, und damit das Verschlüsselungs-
verfahren ausgetauscht werden. Ein entsprechendes Softwareupdate der
8
Vgl. Homepage Teletrust e.V.
http://212.185.192.36/themen.asp?id=80810,3
(verändert)
9
Vgl. Hammer Volker; ,,Sicherungsinfrastruktur"; S.12
Situationsanalyse
8
Signiersoftware muss außerdem durchgeführt werden. Asymmetrische
Schlüsselverfahren gelten bei entsprechenden Schlüssellängen als praktisch
sicher. Ein Beispiel ist das heute am häufigsten angewandte RSA Verfahren.
Dies stammt von dem Unternehmen ,,RSA Security" und stellt den
Industriestandard dar (spezifiziert in PKCS#xx
10
).
Um Digitale Signaturen (nach SigG) nutzen zu können, muss man über ein
Zertifikat eines Zertifizierungsdienstanbieters verfügen. Ein Zertifikat beinhaltet
unter anderem den Namen des Zertifikatsinhabers, Zertifikatsnummer,
Gültigkeitszeitraum und den öffentlichen Schlüssel.
Da Zertifikate zwischen vielen Instanzen ausgetauscht und geprüft werden, ist
die Normung von Zertifikaten für den praktischen Gebrauch zwingend
notwendig. Je nach Anwendungskontext gibt es verschiedene Standards:
·
Pretty Good Privacy (PGP)-Zertifikate
·
X.509v3-Schlüsselzertifikate
·
Attributzertifikate
PGP baut auf einer individuell erworbene Vertrauensbeziehung auf. Das heißt:
Die Kommunikationspartner tauschen ihre öffentlichen Schlüssel untereinander
aus. Eine Kontrollinstanz ist hier nicht vorhanden. PGP soll in erster Linie E-
Mails durch Verschlüsselung und/oder Digitale Signatur sichern. Die
verwendeten Zertifikate unterscheiden sich geringfügig von X.509v3-Zertifikaten
und sie sind nicht mit ihnen kompatibel.
X.509v3-Zertifikate haben sich in hierarchischen Vertrauensmodellen
durchgesetzt. Der Standard (ITU-T Recommendation) X.509v3 der International
Telecommunication Union (ITU) definiert, welche Werte in welchen Formaten in
einem Zertifikat enthalten sein müssen und dürfen. Mit der 1997
veröffentlichten Version 3 ist dieser Standard so flexibel, dass er von vielen
Organisationen übernommen wurde. Oft werden nur noch spezielle Profile
(syntaktische und semantische Einschränkungen) des Standards definiert.
10
Public-Key Cryptography Standards
http://www.rsasecurity.com/rsalabs/pkcs/index.html
Situationsanalyse
9
X.509v3 erlaubt jedoch auch weit reichende Anpassungen an spezielle
Bedürfnisse. Der X.509v3 Standard legt nicht fest, dass ein bestimmtes
Verschlüsselungsverfahren oder eine bestimmte Schlüssellänge verwendet
werden sollen, die aber für den Sicherheitsgrad ausschlaggebend sind. Dies
stellt ein erhebliches Problem für die Kompatibilität der Zertifikate
unterschiedlicher Zertifizierungsdienstanbieter dar. Die ISIS-
11
Spezifikationen,
auf die zu einem späteren Zeitpunkt noch genauer eingegangen wird, sollen
dieses Problem beseitigen.
Auch Attributzertifikate sind im Standard X.509v3 definiert. Sie sind keine
Schlüsselzertifikate. Sie sind dafür gedacht, zusätzliche Attribute für eine
Person, einen Rechner oder eine andere digitale Identität zu definieren.
Typischerweise sind Attributzertifikate auch kurzlebiger und werden oft für die
Autorisierung benutzt. Meist beziehen sie sich auf eine durch ein
Schlüsselzertifikat definierte digitale Identität
12
. In Attributzertifikaten können
beispielsweise Vermerke über Vertretungsvollmacht oder berufliche Zulassung
notiert werden
13
.
2.1.2 Realisierung und Implementierung
Um Digitale Signaturen anwenden zu können, benötigt man grundsätzlich einen
Computer (PC, PDA oder Ähnliches) und je nach Signaturtyp zusätzlich einen
Kartenleser mit Smartcard. Softwarelösungen zum Anwenden der
elektronischen Signatur existieren sehr viele am Markt. Die Anbieter nutzen
eigene Standards und sind untereinander nicht kompatibel. So teilte die
Deutsche Post SignTrust nach telefonischer Anfrage
14
mit, dass die verwendete
Software (Plug-In) nur Outlook und Lotos Notes unterstützt. Die Signatur kann
nur von Kunden der Deutschen Post SignTrust geprüft werden, da die Software
nur in Verbindung mit einem Zertifikat verfügbar ist. Die Deutsche Telekom
TeleSec
15
bietet auf ihrer Homepage kostenlos eine Software zum Signieren
11
Industrial Signature Interoperability Specification
12
Vgl. Homepage D Trust
www.d-trust.de
13
Vgl. Bitzer Frank / Brisch Klaus; ,,Digitale Signaturen" S.54
14
Tel. Anfrage vom 13.06.01 unter 0800 74468 7878 SignTrust - Hotline
15
Tel. Anfrage vom 13.06.01 unter 0800 835 3732 Telekom - Hotline
Situationsanalyse
10
(TCrypt) und zur Signaturprüfung (TTP Viewer) an. Dadurch ist es auch Nicht-
TeleSec-Kunden möglich, empfangene Dokumente auf ihre Echtheit zu prüfen.
Diese Software unterstützt allerdings keine Standardsoftware und kann nicht in
Mail-Clients integriert werden, da sie ein eigenes Dateiformat nutzt.
Zum Zeitpunkt der Erstellung dieser Arbeit (August 2001) versuchen sich die
meisten der in Deutschland angemeldeten Trustcenter und das BSI auf einen
einheitlichen Standard, den ISIS-MTT-Standard, zu einigen. Nach Etablierung
dieses Standards wird es möglich sein, eine Software zu nutzen, die Zertifikate
(Smartcards) aller Trustcenter verwenden und überprüfen kann. Es können
Hardwarelösungen zum Einsatz kommen, die ein höheres Maß an Sicherheit
bieten. Die ersten Tastatur mit Kartenleser erhielt bereits eine Zulassung
16
nach
dem neuen Signaturgesetz. Weiterhin kann die Integration biometrischer Daten
(z. B. Fingerabdruck) zum Einsatz kommen. Erste Produkte existieren bereits
am Markt, können sich aber wegen der mangelnden Interoperabilität nicht
durchsetzen. Kartenleser mit integriertem Fingerabdrucksensor könnten z. B.
die notwendige PIN ersetzen.
Neben Smartcard basierenden Anwendungen gibt es weitere Lösungsansätze
wie z. B. einen USB-Token
17
. Dabei handelt es sich um einen Chip (ähnlich
dem einer Smartcard), der in ein Plastikgehäuse eingegossen wurde. Durch
seine integrierte USB-Schnittstelle wird weitere Hardware und damit
verbundene Investitionen nicht notwendig. Die kleine Bauform (ca. 1x4 cm) ist
ein weiterer Vorteil. In wieweit sich solche Lösungen durchsetzen, bleibt
abzuwarten, da Smartcards bzw. Chipkarten eine erheblich höhere Verbreitung
am Markt haben (z. B. in Form von ec-Karten, Krankenkassenkarten oder
Telefonkarten).
Browser und Webserver nutzen derzeit nur Softwarelösungen, die Schlüssel-
paare erzeugen, (auf Festplatte) speichern und vor unbefugtem Zugriff
schützen. Nach Signaturgesetz, welches im Kapitel 2.2.2 noch genauer
16
Bericht FOCUS 12. März 2001
17
Produkte der Firma Aladdin; www.aladdin.de
Situationsanalyse
11
erläutert wird, werden in Zukunft nur PIN- kontrollierte Chipkarten (Smart
Cards) rechtsverbindlich genutzt werden können, um private Schlüssel zu
speichern. Die Vorteile liegen in der größeren Mobilität und Sicherheit.
2.2
Rechtliche Situation
2.2.1 EU Richtlinie
Am 13. Dezember 1999 wurde vom Europäischen Parlament die Richtlinie
,,1999/93/EG (siehe Anlage 7.1) über gemeinschaftliche Rahmenbedingung für
elektronische Signaturen" verabschiedet. Die Richtlinie trat mit dem Tag der
Veröffentlichung im Amtsblatt der Europäischen Gemeinschaft, am 19. Januar
1999, in Kraft. Ziel war es, klare gemeinschaftliche Rahmenbedingungen in
allen Mitgliedsstaaten zu schaffen und das Vertrauen und die allgemeine
Akzeptanz hinsichtlich neuer Technologien zu stärken. Die Rechtsvorschriften
sollten den freien Waren- und Dienstleistungsverkehr nicht behindern
18
. Alle
Mitgliedsstaaten waren nach Artikel 13 gehalten, bis zum 19. Juli 2001 die
dafür nötigen Rechtsvorschriften zu erlassen und die Kommission davon in
Kenntnis zu setzen.
Die Richtlinie unterscheidet zwischen der "elektronischen Signatur" und der
"fortgeschrittenen elektronischen Signatur". Elektronische Signaturen sind
Signaturen, die ausschließlich der Authentifizierung dienen und elektronischen
Dokumenten beigefügt bzw. logisch mit ihnen verknüpft sind. Für etwa 90%
aller Verträge gilt Formfreiheit, sie können also mündlich, per Telefon, Fax oder
E-Mail abgeschlossen werden. Die einzige Voraussetzung sind zwei
übereinstimmende Willenserklärungen; nur die Authentizität der
Willenserklärungen muss gewährleistet sein. Eine Signatur, die also "lediglich"
der Ausstellersicherheit dient, wird nach der EU-Richtlinie als elektronische
Signatur bezeichnet.
Fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat
beruhen, müssen nach Artikel 2 weitere Anforderungen erfüllen. Demnach
muss die Signatur so mit dem zu signierenden Dokument verknüpft sein, das
18
Vgl. Gemeinsamer Standpunkt 28/1999 vom Rat 28. Juni 1999
Situationsanalyse
12
eine nachträgliche Veränderung der Daten erkannt werden kann. Es muss die
Signatur mit Mitteln erstellt sein, die der Unterzeichner unter seiner alleinigen
Kontrolle halten kann und die ausschließlich ihm zugeordnet sind.
Fortgeschrittene elektronische Signaturen werden, gemäss Artikel 5 Abs.1b
EU-Richtlinie 1999/93/EG, in Zukunft der eigenhändigen Unterschrift gleich
gestellt sein. Dazu sind Gesetzesänderungen in der deutschen Gesetzgebung
notwendig. In den Abschnitten 2.2.2 ,,Novellierung des Signaturgesetz und der
Signaturverordnung" und 2.2.3 ,,Änderung des Bürgerlichen Gesetzbuches
(BGB)" wird auf diesen Punkt noch genauer eingegangen. Nach den
Gesetzesänderungen können fortgeschrittene elektronische Signaturen in
Bereichen eingesetzt werden, in denen in Verträgen die Schriftform
vorgeschrieben ist. Dies sind zum Beispiel Verträge in den Bereichen
Bürgschaften, Immobilienkäufen und Kreditverträgen mit einem Volumen von
>200 oder auch KFZ-Anmeldungen bei der Zulassungsstelle. Das
Schriftformerfordernis hat nach geltendem deutschen Recht nicht nur den
Zweck, den Unterzeichner sicher zu identifizieren; es dient auch dazu, ihm die
besondere rechtliche Relevanz seiner Handlung vor Augen zu führen, hat also
eine gewollte Warnfunktion.
In ihrer Rechtswirkung sollen fortgeschrittene elektronische Signaturen als
Beweismittel in Gerichtsverfahren zugelassen sein und den gleichen
Beweiswert wie eine eigenhändige Unterschrift auf Papier erhalten. Die
Rechtswirkung der elektronischen Signaturen, die nicht auf einem qualifizierten
Zertifikat beruhen, sind nicht ausdrücklich geregelt und werden vor Gericht im
Rahmen der freien Beweisführung gewürdigt. Eine einfache elektronische
Signatur darf allerdings nicht aufgrund ihres elektronischen Charakters von
vornherein von der Beweisaufnahme ausgeschlossen sein.
Die Richtlinie sieht in Art. 6 Abs. 2 eine Schadensersatzpflicht zulasten der
Zertifizierungsstelle vor, wenn Dritte auf die Richtigkeit einer Digitalen Signatur
vertrauen und dadurch einen Schaden erleiden. Da es sich um einen
Gefährdungshaftungstatbestand handelt, ist ein Verschulden nicht erforderlich.
Die Zertifizierungsstellen haben nur die Möglichkeit der Führung eines
Situationsanalyse
13
Gegenbeweises
19
. D. h. nur wenn die Zertifizierungsstelle nachweisen kann,
dass der Anwender grob fahrlässig gehandelt hat (z. B. seinen privaten
Schlüssel absichtlich veröffentlicht), muss sie nicht für den Schaden haften.
Nach Artikel 7 werden alle Signaturen europaweit anerkannt, wenn der
Zertifizierungsdienstanbieter die gesetzlichen Vorgaben erfüllt und in einem
Mitgliedsstaat freiwillig akkreditiert ist. Auf Vorgabe technischer Standards, wie
z. B. asymmetrische Verschlüsselungsverfahren wird in der Richtlinie bewusst
verzichtet,
20
da eine Überregulierung an dieser Stelle die Marktentwicklung
negativ beeinflussen könnte.
2.2.2 Novellierung des Signaturgesetz und der Signaturverordnung
Da die Richtlinie eine Handlungsanweisung für die Mitgliedsstaaten ist, ihre
Gesetzgebung den Anforderungen der Richtlinie anzupassen, wird die
deutsche Gesetzgebung in diese Untersuchung mit eingeschlossen.
Die Anforderungen der EU-Richtlinie an fortgeschrittene elektronische
Signaturen stimmt weitgehend mit den Anforderungen des SigG und der SigV
von 1997 überein
21
. Allerdings hat das SigG Handlungsbedarf in den Punkten
Haftung, freiwilliges Akkreditierungssystem
22
und notwendige staatliche
Zertifizierung gezeigt und musste an die EU-Richtlinie angepasst werden. Am
15.02.2001 wurde vom Bundesrat die Novelle des Signaturgesetz (siehe
Anlage 7.2) verabschiedet. Ab dem 22. Mai 2001, dem Tag nach der
Verkündung im Bundesgesetzblatt, ist die rechtliche Basis für den Einsatz der
elektronischen Signatur gegeben.
Das SigG führt zusätzlich noch einen weiteren Signaturtyp ein, die qualifizierte
elektronische Signatur. Dies sind nach EU-Richtlinie fortgeschrittene
elektronische Signaturen, die auf einem zum Zeitpunkt ihrer Erzeugung gültigen
qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellung-
seinheit erzeugt wurden. Nach SigG sind Signaturerstellungseinheiten
19
Vgl. Homepage Rechtsanwalt Sakowski
http://www.sakowski.de/onl-r/onl-r54.html#europa
20
Vgl. Bitzer Frank / Brisch Klaus; ,,Digitale Signaturen" S.151
21
Vgl. Bieser Wendelin / Kersten Heinrich Seite 47
22
Vgl. Bieser Wendelin / Kersten Heinrich Seite 47
Situationsanalyse
14
Komponenten, die bei Erzeugung und Übertragung von Signaturschlüsseln die
Einmaligkeit und Geheimhaltung der Signaturschlüssel gewährleisten und eine
Speicherung außerhalb der sicheren Signaturerstellungseinheit ausschließen.
Qualifizierte Zertifikate müssen vor unbefugter Veränderung und unbefugtem
Abruf geschützt werden. Bei der Erzeugung von Zeitstempeln müssen, gemäß
§ 17 Abs.3 SigG, die technischen Komponenten Vorkehrungen enthalten, die
Fälschungen bzw. das Verfälschen ausschließen.
Weiterhin führt das neue Signaturgesetz eine freiwillige Akkreditierung für
Zertifizierungsdienstanbieter (Trustcenter) ein, um den anerkannten
Sicherheitsstandard nach geltendem Recht zu erhalten. Zertifizierungsstellen
und ihre Produkte für elektronische Signaturen werden dabei durch
unabhängige, fachkundige Dritte auf die Erfüllung der gesetzlichen
Anforderungen überprüft und die Prüfergebnisse dokumentiert. Produkte
akkreditierter Zertifizierungsdienstanbieter unterscheiden sich von denen nicht
akkreditierter Anbieter in diesem wesentlichen Punkt. Man kann sagen, dass
qualifizierte elektronische Signaturen freiwillig akkreditierter Zertifizierungs-
stellen eine "nachgewiesene Sicherheit" darstellen. Qualifizierte elektronische
Signaturen angemeldeter Zertifizierungsstellen hingegen repräsentieren nur
eine "behauptete Sicherheit".
23
Erstmals werden auch Haftungsfragen in § 11 des SigG geregelt. Wenn ein
Zertifizierungsdienstanbieter die Anforderungen dieses Gesetzes verletzt, so
muss er einem Dritten den Schaden ersetzen, den dieser dadurch erleidet,
wenn er auf die Angaben in einem qualifizierten Zertifikat, einem qualifizierten
Zeitstempel oder einer Auskunft nach § 5 Abs. 1 Satz 2 SigG vertraut.
24
Der
Inhaber des Zertifikats seinerseits muss gewährleisten, dass die Zugangsdaten
zu seinem privaten Schlüssel (z. B. PIN) geheim bleiben und er das
Signaturverfahren richtig angewandt hat.
23
Vgl. Referat DR. Ivo Geis
http://www.ivo-geis.de/documents/rahmenbedingungenecommerce.php3
24
Vgl. SigG §11 Abs. 1-4
Situationsanalyse
15
Inhaber eines Zertifikats können nur natürliche Personen sein (§ 2 Abs.9 SigG).
Juristische Personen können sich nicht durch natürliche Personen vertreten
lassen. Beispiel: Ein Geschäftsführer einer GmbH kann nur mit seinem
persönlichen Zertifikat unterzeichnen, also als natürliche Person. Es gibt
allerdings die Möglichkeit, mit Hilfe von Attributzertifikaten (§ 5 Abs.2 SigG)
zwischen den Rollen Geschäftsführer und Privatperson zu unterscheiden.
Diese Vertretungsvollmacht muss beim entsprechenden Zertifizierungsdienst-
anbieter nachgewiesen und zusätzlich beantragt werden.
Eine nach dem SigG anerkannte Signatur liegt dann vor, wenn mit einem
öffentlichen Schlüssel überprüft werden kann, ob ein Zertifikat einer
angemeldeten oder akkreditierten Zertifizierungsstelle vorliegt
25
. Das Zertifikat
muss zum Zeitpunkt der Erzeugung der Signatur gültig und nicht gesperrt, und
das im Zertifikat angegebene mathematische Verfahren muss zum Zeitpunkt
der Prüfung der Signatur noch geeignet sein.
Ausländische elektronische Signaturen sind nach § 23 Abs.1 SigG qualifizierten
elektronischen Signaturen gleichgestellt, wenn sie aus einem Mitgliedsstaat der
EU oder einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum kommen und der EU-Richtlinie 1999/93/EG entsprechen.
Signaturen aus Drittstaaten sind qualifizierten elektronischen Signaturen nur
gleichgestellt, wenn ,, . . . das Zertifikat von einem dortigen Zertifizierungsdienst-
anbieter öffentlich als qualifiziertes Zertifikat ausgestellt und für eine
elektronische Signatur im Sinne von Artikel 5 Abs. 1 der Richtlinie 1999/93/EG
bestimmt ist und wenn . . ."
26
der Zertifizierungsdienstanbieter den weiteren
Anforderungen der Richtlinie genügt.
Der gesamte Bereich Signaturrecht befindet sich im Moment im Umbruch und
die Gesetze, die in diesen Bereich fallen, wurden bzw. werden noch an die EU-
Richtlinie angepasst, so auch die Signaturverordnung vom 1. 11. 1997. Seit
Anfang 2000 wird bei der Regulierungsbehörde für Telekommunikation und
25
Vgl. Bieser Wendelin / Kersten Heinrich Seite 27
26
SigG §23 Abs. 1 2.Satz
Situationsanalyse
16
Post sowie im Bundesministerium für Wirtschaft und Technologie an der
Novelle der Signaturverordnung gearbeitet. Erste Arbeitspapiere zur
Vorbereitung (siehe Anlage 7.3) wurden am 30.11.2000 veröffentlicht.
Demnach soll die SigV neu strukturiert und an Gesetzesänderungen (SigG und
BGB) angepasst werden.
Es werden erstmals konkrete Anweisungen zur Führung eines
Zertifikatsverzeichnisses gegeben. So soll ein akkreditierter Zertifizierungs-
dienstanbieter verpflichtet werden, Zertifikate mindestens 30 Jahre ab dem
Ende der Gültigkeit des Zertifikates in einem Verzeichnis weiter zu führen
27
.
Zertifikate von nicht akkreditierten Zertifizierungsdienstanbietern brauchen nur
2 Jahre geführt werden. Es muss geprüft werden, ob letztgenannte Signaturen
im Bereich Rechnungswesen genutzt werden können, da nach AO Belege in
der Regel mindestens 10 Jahre bzw. nach §257 Abs. 4 HGB Handelsbriefe
sechs Jahre archiviert werden müssen.
Zertifizierungsdienstanbieter müssen in Zukunft nach § 9 SigV eine Deckungs-
vorsorge für Schäden vorweisen, für die sie nach §§ 278, 831 BGB oder nach §
11 Abs. 4 SigG einzustehen haben. Die Höhe der Sicherheitsleistung richtet
sich nach Umfang und Charakter der Tätigkeiten, die der Zertifizierungsdienst-
anbieter ausübt. Die maximalen Gültigkeitsdauer eines qualifizierten Zertifikates
von höchstens 5 Jahren wird auch in der neuen SigV beibehalten werden.
Weiterhin dürfen neben den heute schon eingesetzten PIN in Zukunft auch
biometrische Daten wie Fingerabdrücke zur Identifizierung und damit zur
Freigabe des Zertifikates genutzt werden.
Archivierte Daten müssen nach § 16 SigV neu signiert werden, bevor die ,,alte"
Signatur ausläuft bzw. ungültig wird. Die neue Signatur muss frühere
Signaturen einschließen und einen qualifizierten Zeitstempel tragen.
27
SigV §4 Abs. 2
Situationsanalyse
17
2.2.3 Änderung des Bürgerlichen Gesetzbuches (BGB)
Seit 100 Jahren gilt im BGB der Grundsatz der Formfreiheit, außer für die Arten
von Verträgen (derzeit über 3800)
28
, für die zwingende Formvorschriften
vorgesehen sind. Dies sind z. B. notarielle Beurkundungen oder öffentliche
Beglaubigungen. Massenvorgänge haben im modernen Rechtsverkehr
erheblich an Bedeutung gewonnen. Ein Vertrag wird heutzutage nicht mehr
ausschließlich zwischen zwei einander persönlich bekannten Parteien
abgeschlossen. Die Anwendung zeitgemäßer Technologien wie die Digitale
Signatur wird durch die alte Gesetzgebung massiv behindert. Es können zwar
Verträge, die Formvorschriften unterliegen, auf dem Computer erstellt, aber
nicht direkt auf telekommunikativem Wege übermittelt werden. Jeder formbe-
dürftige Vorgang muss ausgedruckt und unterschrieben werden. Das ,,Gesetz
zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften
den modernen Rechtsgeschäftsverkehr" (siehe Anlage 7.4) hat das BGB an die
heutige Rechtsprechung angepasst. Das Bundeskabinett hat am 6. 9. 2000 den
Entwurf des Gesetzes dem Bundesrat und dem Deutschen Bundestag
zugeteilt. Nach wiederholten Nachbesserungen des Vermittlungsaus-
schusses
29
wurde der Gesetzesentwurf am 22. Juni 2001 zur BGB Änderung (§
126 bzw. §127) vom Bundestag verabschiedet
30
. Die qualifizierte elektronische
Signatur ist nun nach § 126b BGB in solchen Fällen, in denen die Textform
vorgesehen ist, eigenhändigen Unterschriften weitgehend gleichgestellt.
2.2.4 Zivilprozessordnung (ZPO)
Im Unterschied zum Recht anderer Staaten kennt das deutsche Prozessrecht
keine Einschränkungen, die eine Beweisführung auf Basis elektronischer
Dokumente behindern. Eine solche Beweisführung entspricht dem Beweis
durch Augenschein, der als besonders zuverlässiges Beweismittel bewertet und
empfohlen wird.
31
Damit entspricht das deutsche Prozessrecht weitgehend dem
Artikel 5 der EU Richtlinie, so dass es keiner Gesetzesänderung der ZPO
28
Vgl. Bieser Wendelin / Kersten Heinrich Seite 37
29
dpa Meldung 11.05.2001
30
Beschluss des Bundestages Drucksache 14/6353
31
Vgl. Stein-Jonas/Schumann, ,,Kommentar zur Zivilprozessordnung" § 371
Situationsanalyse
18
bedarf. Der Beweiswert qualifizierter elektronischer Signaturen ist gesichert: Es
gilt eine Sicherheitsvermutung, d. h. Gerichte werten signierte Dokumente als
Anscheinsbeweis, der einem Strengbeweis nahe kommt
32
. Als Strengbeweis
bezeichnet
33
man einen Beweis, bei dem das Gericht an eine bestimmte Form
der Aufnahme gebunden ist (gem. §§ 355-455 ZPO, §§ 244-256 StPO). Anders
sieht es bei nicht gesetzlich anerkannten Digitalen Signaturen aus, deren
Beweiswert grundsätzlich fraglich ist. Ein Urteil kann je nach Gutachter oder
Gericht unterschiedlich ausfallen
34
(Freie richterliche Beweiswürdigung - Indiz
nach § 286 ZPO)
35
.
2.2.5 Zusammenfassung
Nach Verabschiedung des Signaturgesetzes und Änderung des UStG (§ 14
Abs. 4) vom 9.6.2000 können qualifizierte elektronische Signaturen in allen
formfreien Bereichen grundsätzlich eingesetzt werden. Die UStG-Änderung
ermöglicht es Unternehmen, Rechnungen in Form von signierten
elektronischen Dokumenten bei den zuständigen Finanzämtern als Beleg
einzureichen, wenn diese mit qualifizierten elektronischen Signaturen versehen
sind. Mit dem ,,Gesetz zur Anpassung der Formvorschriften des Privatrechts
und anderer Vorschriften den modernen Rechtsgeschäftsverkehr" und der
damit verbundenen BGB-Änderung ist die qualifizierte elektronische Signatur
nun auch der eigenhändigen Unterschrift gleichgestellt. Dies ermöglicht den
Einsatz auch in nicht formfreien Bereichen.
Das SigG unterscheidet Zertifizierungsstellen in angemeldete und freiwillig
akkreditierte Zertifizierungsstellen. Bei freiwillig akkreditierten Zertifizierungs-
stellen wurden die Sicherheitskonzepte und Vorkehrungen von der RegTP
(Regulierungsbehörde für Telekommunikation und Post) geprüft. Bei
angemeldeten Zertifizierungsstellen wird eine Sicherheit vermutet aber nicht
nachgewiesen
36
. Die Rechtsunsicherheit ist mit Inkrafttreten der Gesetzes-
32
Vgl. Bitzer Frank / Brisch Klaus; ,,Digitale Signaturen" S.130
33
Vgl. Creifelt, C./Weber K.; ,,Rechtswörterbuch"; Seite 66
34
Vgl. Bieser Wendelin / Kersten Heinrich Seite 32
35
Vgl. Bitzer Frank / Brisch Klaus; ,,Digitale Signaturen" S.124
36
Roßnagel, Dr. Hermann; Aufsatz ,,Das Neue Recht elektronischer Signaturen" Seite 1822
Situationsanalyse
19
änderungen (UStG, BGB und SigG) beseitigt. Mit Verabschiedung der
novellierten SigV wird die deutsche Gesetzgebung den Anforderungen der EU-
Richtlinie 1999/93/EG umfänglich gerecht werden.
Man kann elektronische Signaturen in folgende Gruppen einteilen:
37
·
Qualifizierte elektronische Signaturen freiwillig akkreditierter
Zertifizierungsstellen, die höchste Beweissicherheit bieten
·
Qualifizierte elektronische Signaturen angemeldeter
Zertifizierungsstellen
·
Andere elektronische Signaturen, für die keine gesetzlichen
Sicherheitsanforderungen bestehen
Die in diesem Kapitel getroffenen Aussagen sind nur gültig, solange im
Bearbeitungs und Archivierungsprozess keine Medienbrüche (Überführung
elektronischer Dokumente in Papierform oder umgekehrt) vorkommen. Sollten
Medienbrüche unvermeidbar sein, müssen alle den Vorgang betreffend
Originalurkunden archiviert werden, um die Rechtssicherheit zu gewährleisten.
International wird die elektronische Signatur ihren Einsatz nicht nur im Business
to Business Bereich finden, sondern in fast allen Geschäftsbereichen. Die EU-
Richtlinie 1999/93/EG und das in den USA verabschiedete Gesetz "Millenium
Digital Commerce Act" schaffen hierfür den rechtlichen Rahmen. Es ist
absehbar, dass in naher Zukunft nahezu alle Geschäfte rechtswirksam über
das Internet abgeschlossen werden könnten, z. B. Hauskäufe, Versicherungs-
und Kreditverträge. Lediglich in Bereichen, in denen der persönliche Kontakt
der Vertragspartner erforderlich ist, wie Adoption und Erbangelegenheiten,
bleibt der Einsatz Elektronischer Signaturen ausgeschlossen
38
.
Um ein so großes Einsatzspektrum effizient zu nutzen, ist es notwendig, die im
Unternehmen anfallenden Geschäftsprozesse genau zu analysieren und sie
den neuen rechtlichen und technischen Anforderungen anzupassen.
37
Vgl. Referat Dr. Ivo Geis
http://www.ivo-geis.de/documents/rahmenbedingungenecommerce.php3
38
Vgl. Dr. Jürgen Weinknecht ,,Digitale Signatur-Gegenwärtige Bedeutung und zukünftige Entwicklung"
Auswirkungen der elektronischen Signatur auf Geschäftsprozesse
20
3
Auswirkung der elektronischen Signatur auf
Geschäftsprozesse
3.1
Merkmale von Geschäftsprozessen
Geschäftsprozesse bilden die Grundlage jeder Unternehmensorganisation. Sie
werden durch das Eintreten eines definierten Zustandes (Geschäftsereignis)
angestoßen und enden mit dem Erreichen eines wirtschaftlichen Ziels
(Ergebnis) oder Erzeugen eines neuen Geschäftsereignisses (Übergabe eines
Ergebnis)
39
. Dabei wird jeder Prozess als logische, sich aneinanderreihende
Folge wiederkehrender Tätigkeiten verstanden.
40
Geschäftsprozesse sind auf
konkrete, marktrelevante Ergebnisse der Geschäftstätigkeit ausgerichtet, die
einen wesentlichen Beitrag zur Wertschöpfung in der Unternehmung beitragen.
Sie enden nicht an der Unternehmensgrenze sondern beziehen Kunden und
Lieferanten mit ein
41
. Innerhalb eines Geschäftsprozesses werden Daten durch
Funktionen transformiert und von verschiedenen Organisationseinheiten
bearbeitet. Durch die Verbesserung der Organisation kann die Prozessleistung
erhöht werden. Dies kommt in Form von Zeitersparnis, Kostenreduzierung oder
Materialersparnis zum Ausdruck. Eventuell auftretende Schnittstellenprobleme
werden durch einheitliche Leistungsvereinbarungen an den Prozessgrenzen
(bei der Ergebnisübergabe) beseitigt.
Die Komplexität der Informationsbeziehung und damit auch der
Geschäftsprozesse im Rechnungswesen wird in Abbildung 3 deutlich. Hier
fließen Informationen aus allen Unternehmensbereichen zusammen. Zusätzlich
müssen externe Ereignisse und Daten, wie Lieferanten- und Kundendaten
berücksichtigt werden. Diese treten beispielsweise beim Einkauf/Verkauf von
Waren oder Dienstleistungen auf oder in Form von Informationsaustausch
(Preismitteilungen oder Produktbeschreibungen). Aber auch Dienstleistungen
und Informationen des öffentlichen Bereich, wie Ausschreibungen oder die
Anmeldung eines Fahrzeugs fallen hierunter. Die Finanzbehörden sind heute
schon stark mit dem Rechnungswesen eines Unternehmens verbunden, und in
39
Vgl. Abts/ Mülder; ,,Grundlagen Wirtschaftsinformatik" Seite 259
40
Vgl. Becker Jörg; 1994; ,,Informationsmanagement und controlling" Seite 45
41
Vgl. Abts/ Mülder; ,,Grundlagen Wirtschaftsinformatik" Seite 258
Auswirkungen der elektronischen Signatur auf Geschäftsprozesse
21
Zukunft wird diese Zusammenarbeit noch enger werden. Durch das
Steuersenkungsgesetz (StSenkG) wird die Abgabenordnung (AO) mit Wirkung
zum 01.01.2002 geändert. Im neuen Absatz 6 des § 147 AO wurde
ausdrücklich das Recht der Finanzbehörden verankert, im Rahmen einer
Außenprüfung, Einsicht in die gespeicherten Daten zu nehmen und diese
Daten maschinell auszuwerten bzw. das Unternehmenseigene DV-System zu
nutzen. Ein "Online-Zugriff" vom Schreibtisch des Veranlagungssach-
bearbeiters im Finanzamt ist allerdings noch nicht zulässig.
Abbildung 3
42
- Informationsbeziehungen im Rechnungswesen
Das Hauptanwendungsgebiet elektronischer Signaturen liegt jeweils an den
Schnittstellen von Geschäftsprozessen, Grenzen von Organisationseinheiten
oder an Kompetenzgrenzen. Geschäftsprozesse erfordern vertrauenswürdige
Signaturen, die vom Markt auch als diese akzeptiert werden. Weiterhin müssen
42
Quelle Schwarze, J.; ,,Einführung in die Wirtschaftsinformatik" Seite 315
Auswirkungen der elektronischen Signatur auf Geschäftsprozesse
22
sie in bestehende Anwendungen (Mailbrowser, DMS o. ä.) integrierbar sein.
Einzige Bedingung ist: In den Geschäftsprozessen sollten Medienbrüche
vermieden werden. Da dies aber nicht vom ersten Moment der Nutzung an
möglich sein wird, sollten alle als geeignet identifizierten Prozesse und
Subprozesse, so wie sie später ideal ablaufen sollen (Medienbruchfrei), neu
modelliert werden. Als Übergangslösung (bis Digitale Signaturen
flächendeckend genutzt werden) müssen Parallelwege eingerichtet werden.
Nachdem auch der letzte Kunde/ Lieferant Signaturen verarbeiten kann,
können diese Parallelwege entfernt werden. Diese drei Modellierungs/
Realisationsphasen sind in der folgenden Abbildung 4 schematisch dargestellt.
Abbildung 4
43
- Modellierung der Geschäftsprozesse ohne Medienbruch
Bei der Verwendung elektronischer Signaturen kann man grundsätzlich die
Subprozesse Signaturerstellung (mit oder ohne Zeitstempel) und Signatur-
prüfung unterscheiden. Bei der Implementierung dieser Prozesse muss darauf
geachtet werden, dass weitergehende Prozesse elektronische Signaturen
grundsätzlich verarbeiten können. Kunden oder Lieferanten, die keine
elektronischen Signaturen nutzen bzw. nicht mit E-Mails oder EDI arbeiten,
müssen auch zukünftig Dokumente in Papierform erhalten. Es muss weiterhin
43
Vgl. Projektbeschreibung "RegioSignCard"; Media@komm; http://www.mkon.de/ (Abb. Verändert)
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2001
- ISBN (eBook)
- 9783832445096
- ISBN (Paperback)
- 9783838645094
- DOI
- 10.3239/9783832445096
- Dateigröße
- 1007 KB
- Sprache
- Deutsch
- Institution / Hochschule
- Hochschule Schmalkalden, ehem. Fachhochschule Schmalkalden – Elektrotechnik
- Erscheinungsdatum
- 2001 (September)
- Note
- 1,8
- Schlagworte
- digitale signatur unterschrift geschäftsprozesse
