Hinter dem Begriff Signatur verbirgt sich ein kompliziertes mathematisches Verfahren, mit dem digitale Dokumente gegen Manipulationen geschützt werden. Wird zum Beispiel eine elektronische Rechnung signiert, dann wird von der Rechnung erst einmal ein so genannter Hash-Code errechnet, eine Art Fingerabdruck des Originals. Der Hash, und nur der, wird so verschlüsselt, dass er nicht mehr geändert werden und außerdem dem Absender eindeutig zugeordnet werden kann. Die Rechnung selbst bleibt unverschlüsselt und offen lesbar. Manipulationen allerdings fielen sofort auf, weil dann der Hash nicht mehr stimmen würde.
Hier liegt auch die Motivation des Gesetzgebers. Er möchte bei späteren Prüfungen feststellen können, von wem die elektronische Rechnung kam und ob der Inhalt noch dem Ursprung entspricht, denn gefälschte elektronische Dokumente sind sonst nicht von den echten zu unterscheiden. Das klingt umständlich, hat aber für Firmen, die sehr viele Rechnungen ausstellen, große Vorteile: es entfällt Ausdrucken, Kuvertieren, Porto und Versand. So versuchen beispielsweise die großen Telefonfirmen in Deutschland, ihren Kunden die elektronische Rechnung mit Rabatten auf die Telefonrechnung schmackhaft zu machen. Auch für den Rechnungsempfänger wird die Arbeit erleichtert. Die Rechnung muss nicht manuell in die elektronische Buchhaltung eingegeben werden
Durch diesen hohen Automatisierungsgrad, den ich mit Signaturen erreichen kann, dass ich’s automatisch verifizieren kann, bei Rechnungseingang beispielsweise, kann ich diesen ganzen Prozess wesentlich vereinfachen und abkürzen...
...so Judith Balfanz, Marketingchefin bei Authentidate. Allerdings erkennt der Gesetzgeber nicht alle Zertifikate an, erklärt Jan Wendenburg, Vorstandsvorsitzender der Authentidate AG:
Jeder kann ein Zertifikat ausgeben, aber die Zertifikate die eine rechtliche Bindung nach Signaturgesetz haben, die Ausgabe ist nur geprüften - oder nach offiziellem Amtsdeutsch: akkreditierten – Anbietern vorbehalten.
Zu diesen Anbietern gehören zum Beispiel die Telekom, die Datev, TC-Trust, Authentidate, D-Trust und die Deutsche Post AG. Für den Empfänger einer elektronischen Rechnung bleibt die Mühe, zu überprüfen, ob das E-Dokument gesetzeskonform ist oder nicht - für Privatleute sicher eine Überforderung. Bei den Anbietern von Signaturdienstleistungen kann man ein Zertifikat beantragen, das immer auf einer SmartCard gespeichert ist. Wie bei einer Bankkarte werden die persönlichen Daten erfasst und man bekommt dann die Karte und getrennt seinen PIN-Code zugeschickt. Stattet man den Computer mit einem Katenleser aus, so steht dem elektronischen Unterschreiben fast nichts mehr im Wege, so Wendenburg:
De facto läuft das so ab: ich habe ein Dokument vor mir, im PC oder irgend einem anderen Computer und wenn ich dieses unterzeichen will, stecke ich meine Karte in den dazugehörenden Kartenleser. Dann kriege ich eine Aufforderung, meine Pin-Nummer, so wie beim Geldautomaten einzugeben.
Für Microsoft Word zum Beispiel kann man kostenfrei eine Erweiterung herunterladen, mit der man Dokumente per Doppelklick signieren und auch verifizieren kann. Das ist nützlich für einzelne Dateien, aber beim Massenversand will man ja nicht für jede Rechnung die Karte einstecken und den PIN-Code eingeben.
Es gibt natürlich Technologien, wir haben so was schon vor zwei Jahren entwickelt, einen Unterschriftenautomaten für die elektronische Signatur.
... berichtet Jan Wendenburg. Hier werden an einer zentralen Stelle die Signaturkarten angeschlossen und Dokumente werden automatisch signiert und verschickt. Und das geht auch mit bestehenden Softwarelösungen. Dazu Balfanz:
Niemand wird ein SAP System, seine Workflowlösung oder sein Archivsystem austauschen, nur weil er sagt, ich möchte jetzt auch mit Signaturen arbeiten. Signaturtechnologien, das sind eigentlich nur kleine, aber sehr wesentliches Addons, die eine Bestandstechnologie im Grunde ergänzt und dadurch die Kostenreduktion und Prozessoptimierung ermöglicht.
Jetzt spielt nur noch die Zeit mit. Im Gegensatz zur Handschrift könnte die Karte samt Pin-Code in falsche Hände geraten. Dem Missbrauch wären dann keine Grenzen gesetzt. Der Eigner sperrt dann die Karte natürlich sofort. Nur mit einem so genannte qualifizierten Zeitstempel, der verschlüsselt über das Netz geliefert wird, kann rechtssicher festgestellt werden, ob die Unterschrift nach dem Verlust geleistet wurde, also gefälscht ist. In der Industrie setzt sich, trotz der zahlreichen Vorteile, die digitale Signatur langsam durch - für den privaten Bedarf ist die Technik allerdings noch nicht relevant.
Hier liegt auch die Motivation des Gesetzgebers. Er möchte bei späteren Prüfungen feststellen können, von wem die elektronische Rechnung kam und ob der Inhalt noch dem Ursprung entspricht, denn gefälschte elektronische Dokumente sind sonst nicht von den echten zu unterscheiden. Das klingt umständlich, hat aber für Firmen, die sehr viele Rechnungen ausstellen, große Vorteile: es entfällt Ausdrucken, Kuvertieren, Porto und Versand. So versuchen beispielsweise die großen Telefonfirmen in Deutschland, ihren Kunden die elektronische Rechnung mit Rabatten auf die Telefonrechnung schmackhaft zu machen. Auch für den Rechnungsempfänger wird die Arbeit erleichtert. Die Rechnung muss nicht manuell in die elektronische Buchhaltung eingegeben werden
Durch diesen hohen Automatisierungsgrad, den ich mit Signaturen erreichen kann, dass ich’s automatisch verifizieren kann, bei Rechnungseingang beispielsweise, kann ich diesen ganzen Prozess wesentlich vereinfachen und abkürzen...
...so Judith Balfanz, Marketingchefin bei Authentidate. Allerdings erkennt der Gesetzgeber nicht alle Zertifikate an, erklärt Jan Wendenburg, Vorstandsvorsitzender der Authentidate AG:
Jeder kann ein Zertifikat ausgeben, aber die Zertifikate die eine rechtliche Bindung nach Signaturgesetz haben, die Ausgabe ist nur geprüften - oder nach offiziellem Amtsdeutsch: akkreditierten – Anbietern vorbehalten.
Zu diesen Anbietern gehören zum Beispiel die Telekom, die Datev, TC-Trust, Authentidate, D-Trust und die Deutsche Post AG. Für den Empfänger einer elektronischen Rechnung bleibt die Mühe, zu überprüfen, ob das E-Dokument gesetzeskonform ist oder nicht - für Privatleute sicher eine Überforderung. Bei den Anbietern von Signaturdienstleistungen kann man ein Zertifikat beantragen, das immer auf einer SmartCard gespeichert ist. Wie bei einer Bankkarte werden die persönlichen Daten erfasst und man bekommt dann die Karte und getrennt seinen PIN-Code zugeschickt. Stattet man den Computer mit einem Katenleser aus, so steht dem elektronischen Unterschreiben fast nichts mehr im Wege, so Wendenburg:
De facto läuft das so ab: ich habe ein Dokument vor mir, im PC oder irgend einem anderen Computer und wenn ich dieses unterzeichen will, stecke ich meine Karte in den dazugehörenden Kartenleser. Dann kriege ich eine Aufforderung, meine Pin-Nummer, so wie beim Geldautomaten einzugeben.
Für Microsoft Word zum Beispiel kann man kostenfrei eine Erweiterung herunterladen, mit der man Dokumente per Doppelklick signieren und auch verifizieren kann. Das ist nützlich für einzelne Dateien, aber beim Massenversand will man ja nicht für jede Rechnung die Karte einstecken und den PIN-Code eingeben.
Es gibt natürlich Technologien, wir haben so was schon vor zwei Jahren entwickelt, einen Unterschriftenautomaten für die elektronische Signatur.
... berichtet Jan Wendenburg. Hier werden an einer zentralen Stelle die Signaturkarten angeschlossen und Dokumente werden automatisch signiert und verschickt. Und das geht auch mit bestehenden Softwarelösungen. Dazu Balfanz:
Niemand wird ein SAP System, seine Workflowlösung oder sein Archivsystem austauschen, nur weil er sagt, ich möchte jetzt auch mit Signaturen arbeiten. Signaturtechnologien, das sind eigentlich nur kleine, aber sehr wesentliches Addons, die eine Bestandstechnologie im Grunde ergänzt und dadurch die Kostenreduktion und Prozessoptimierung ermöglicht.
Jetzt spielt nur noch die Zeit mit. Im Gegensatz zur Handschrift könnte die Karte samt Pin-Code in falsche Hände geraten. Dem Missbrauch wären dann keine Grenzen gesetzt. Der Eigner sperrt dann die Karte natürlich sofort. Nur mit einem so genannte qualifizierten Zeitstempel, der verschlüsselt über das Netz geliefert wird, kann rechtssicher festgestellt werden, ob die Unterschrift nach dem Verlust geleistet wurde, also gefälscht ist. In der Industrie setzt sich, trotz der zahlreichen Vorteile, die digitale Signatur langsam durch - für den privaten Bedarf ist die Technik allerdings noch nicht relevant.