Bereits im letzten Jahr habe ich mich in einem Blogbeitrag mit dem Thema der digitalen Archivierung steuerrechtlicher Daten beschäftigt. Heute soll es um digitale Lösungen für eine rechtsverbindliche Unterschrift gehen: die elektronische bzw. digitale Signatur. Wobei die elektronische Signatur ein Rechtsbegriff ist, während die digitale Signatur den technischen Begriff für die Verschlüsselung darstellt.
Die Entwicklung der Informations- und Kommunikationstechnik eröffnet zahlreiche neue Möglichkeiten: Warenbestellungen, Zahlungsanweisungen an Banken oder Anträge bei Behörden lassen sich inzwischen online erledigen. Die Übermittlung sensibler Daten, die früher über Papier abgewickelt wurden, erfolgt ebenfalls immer öfter auf elektronischem Weg. Aber ist dabei eine Rechtsverbindlichkeit garantiert? Das Signaturgesetz unterscheidet – aufsteigend nach Sicherheitsanforderungen – zwischen einer einfachen, einer fortgeschrittenen und einer qualifizierten elektronischen Signatur. Bei qualifizierten elektronischen Signaturen können der Urheber und die Integrität von Daten zuverlässig festgestellt werden. Dadurch stellt sie einen gleichwertigen Ersatz der handschriftlichen Unterschrift dar und kann eine entsprechende Rechtswirkung entfalten. Erforderlich ist dafür ein Signaturzertifikat, das von einem akkreditierten Zertifizierungsdienstanbieter ausgestellt wurde.
Die digitale Signatur erleichtert Unternehmen die sichere und vertrauliche Abwicklung von Rechtsgeschäften. So haben sie die Möglichkeit, vom Finanzamt anerkannte elektronische Rechnungen zu erstellen, eine elektronische Steuererklärung abzugeben, sich an Ausschreibungen im Internet zu beteiligen, das Online-Mahnverfahren zu nutzen und Dokumente revisionssicher elektronisch zu archivieren. Dadurch entfallen Postlaufzeiten und Portokosten, denn die entsprechenden Dokumente können unmittelbar am Rechner bearbeitet und weitergeleitet werden.
Funktionsweise und Praxis
Eine qualifizierte digitale Signatur beruht auf kryptographischen Verschlüsselungstechniken und ist eine Art Siegel für digitale Daten. Nach heutigem Wissensstand sind asymmetrische Kryptographieverfahren die einzige Technologie, die die im deutschen Signaturgesetz geforderte Sicherheit gewährleistet. Dabei wird unter Einsatz mathematischer Verfahren ein privater Schlüssel erzeugt. Durch den dazugehörigen öffentlichen Schlüssel kann die Signatur jederzeit überprüft und damit der Signaturschlüssel-Inhaber und die Unverfälschtheit der Daten festgestellt werden. Die weltweit jeweils einmaligen Schlüsselpaare werden natürlichen Personen fest zugeordnet und durch ein qualifiziertes Signaturschlüssel-Zertifikat beglaubigt. Das signierte digitale Dokument enthält den jeweiligen öffentlichen Schlüssel sowie ein Pseudonym oder den Realnamen der Person, der er zugeordnet ist. Der Signaturschlüssel-Inhaber erhält das Zertifikat, so dass er die signierten Daten für deren Überprüfung beifügen kann.
Die Gesamtheit der technischen Infrastruktur, mit der die Zertifikate und Informationen zu ihrer Gültigkeit erzeugt und öffentlich bereitgestellt werden, wird als PKI (Public Key Infrastructure) bezeichnet. Für ein größeres Unternehmen kann sich der Aufbau einer eigenen PKI lohnen, kleinere Organisationen beziehen ihre Zertifikate dagegen meist von speziellen Dienstleistern. Zertifikate für Mitarbeiter werden in der Regel auf Chipkarten gespeichert ausgegeben, die dadurch zum Unternehmensausweis werden und für verschiedene Anmeldeprozesse verwendet werden können.
Bei der Bundesnetzagentur finden Sie eine Liste der für eine qualifizierte digitale Signatur zugelassenen Produkte und Dienstleister, die anerkannte Zertifikate anbieten.
Nutzen Sie bereits digitale Signaturverfahren? Wenn ja, wie sind Ihre Praxiserfahrungen? Ich freue mich über Ihr Feedback.
Urheber des Bildes: © Tobias Kaltenbach – Fotolia.com
Kommentarfunktion ist geschlossen.