Digitale Unterschrift in der Sackgasse [Update]
Die elektronische Unterschrift ist im Kommen. Doch ob das Konzept einer Publik Key Infrastructure tragfähig ist, erscheint angesichts begrenzt möglicher Nutzerzahlen und Sicherheitslücken fragwürdig.
Die elektronische Unterschrift ist im Kommen. Doch ob das Konzept für den geplanten Masseneinsatz digital signierter Dokumente tragfähig ist, erscheint angesichts begrenzt möglicher Nutzerzahlen und Sicherheitslücken fragwürdig.
Seit dem 1. August erfüllt die elektronische Unterschrift in den meisten Fällen die im Bürgerlichen Gesetzbuch festgelegte Schriftform-Erfordernis. Diese Rechtsverbindlichkeit der digitalen Signatur ist für den Verbraucher problematisch: Bestreitet er die Urheberschaft einer elektronischen Signatur, so trägt er die Beweislast: Er muss nachweisen, dass es einem anderen möglich war, seine Signatur zum Beispiel unter der elektronischen Steuererklärung zu fälschen.
Die neue Regelung ist alles andere als verbraucherfreundlich, denn erst vor wenigen Monaten war publik geworden, dass ein Großteil der Software zur Erzeugung digitaler Signaturen durch Hacker missbraucht werden kann.
Zur Verwaltung der digitalen Unterschriften dienen Trustcenter, die in Public-Key-Infrastrukturen eingebunden sind. Diese haben sich zwar in speziellen Bereichen mit überschaubarer Teilnehmeranzahl als praxistauglich erwiesen. Die Verifizierung der "elektronischen Ausweise" ist jedoch technisch aufwendig, die Abfrage auf ungültig gewordene Signaturen umständlich. Eine millionenfache Nutzung würde nach Ansicht von Sicherheitsfachleuten die Trustcenter überfordern. Obendrein sind von verschiedenen Trustcentern herausgegebene Schlüssel und die zugehörige Software nicht untereinander kompatibel.
Insgesamt wirkt das Modell PKI in vielen Aspekten unausgereift. Es gibt interessante Alternativen, die aber wegen des PKI-Hypes zu Unrecht unberücksichtigt bleiben. Die massenhafte Nutzung der digitalen Signatur etwa bei Wahlen ist deswegen nichts als Zukunftsmusik.
iX 09/01, seit dem 15. August 2001 im Handel, hinterfragt das PKI-Konzept, stellt Anwendungen und Alternativen vor.
Nachtrag: der in der ursprünglichen Fassung der Meldung gezogene Schluss, das Fernabsatzgesetz (FAG) gelte bei Bestellungen mit digitaler Signatur nicht mehr, ist falsch. Die Vorschriften des FAG bleiben davon unberührt. (ur)
