06.11.2024
|
Gültigkeit elektronischer SignaturenVon Oliver BerndtOliver Berndt ist Geschäftsführer der B&L Management Consulting GmbH. Er Immer wieder wird auch von so genannten Spezialisten behauptet, dass elektronische Signaturen nur begrenzt gültig wären. Z. T. ergänzt mit der Konkretisierung einer Gültigkeit von 5 Jahren laut Signaturgesetz. Somit müssten Signaturen kontinuierlich erneuert, d.h. nachsigniert werden. Diese Aussage ist gleich in mehrfacher Hinsicht falsch!
Warum ist das Zertifikat nun begrenzt gültig?Dies ist durch die Verbindung zu den mathematischen Verschlüsselungsverfahren begründet, mit denen die Signatur erstellt wird. Durch die Fortschritte der Informationstechnologie wird befürchtet, dass die Algorithmen gebrochen werden und damit unentdeckte Manipulationen der Originaldaten möglich werden könnten. In der Praxis wäre die Vertuschung einer gezielten Manipulation auch mit einem gebrochenen Verschlüsselungsalgorithmus bei weitem nicht trivial, aber eben möglich. Damit dies nicht passiert, beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) kontinuierlich die Entwicklung und macht bei Bedarf die Vorgaben für längere Schlüssel oder neue Algorithmen, die dann auch die Grundlage für neu ausgestellte Zertifikate sind. Veröffentlicht werden die Vorgaben auf der Internet-Seite der Bundesnetzagentur. Bei Bedarf heißt aber auch, dass neue Zertifikate mit dem gleichen Algorithmus und der gleichen Schlüssellänge ausgegeben werden, wenn es keinen Grund für eine Veränderung gibt. Auf die bereits geleisteten Signaturen hat der Zertifikatablauf keinen Einfluss, so wie traditionell unterschriebene Verpflichtungen und Willenserklärungen auch nicht deshalb ungültig werden, weil der Personalausweis mit dem man sich ursprünglich identifiziert hat, durch ein neues Exemplar ersetzt wurde. Die Signaturverordnung spricht davon, dass der Sicherheitswert der vorhandenen Signatur geringer wird. Dies ist vergleichbar mit dem Vergilben eines Thermopapierfax. Die Aussage des Faxes ist klar, so lange das Fax gut lesbar ist. So lange wird auch kaum jemand die Inhalte anzweifeln. Fängt es jedoch an zu vergilben sind Text und Unterschrift schwer zu erkennen und schon ergeben sich erste Zweifel an den Aussagen, so dass Diskussionen entstehen können. Ähnliche Diskussionen können sich ergeben, wenn jemand feststellt, dass eine elektronische Signtur mit einem Algorithmus erstellt wurde, der mittlerweile gebrochen wurde. Prinzipiell gilt die Signatur nach wie vor, aber man muss evtl. darlegen warum das Ergebnis nicht manipuliert worden sein kann. Dabei ist zu bedenken, dass auch bisher Manipulationen möglich waren und dennoch - laut erfahrener Rechtsanwälte - nur extrem selten die Integrität eines Beweisdokumentes angezweifelt wird. Woher kommt also die Aussage, dass Signaturen begrenzt gültig wären und alle zwei bis drei Jahre eine Nachsignatur erorderlich wäre?Weil der §17 der Signaturverordnung eine Nachsignatur mitsamt einem Zeitstempel empfiehlt, wenn diese [Daten] für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. Dabei ist dieser §17 der Signaturverordnung eine sehr offensive Interpretation des §6 des Signaturgesetzes, bei dem es eigentlich um die Unterrichtungsverpflichtung der Trust Center gegenüber ihren Kunden geht. Darin heißt es, das Trust Center hat den Antragsteller darauf hinzuweisen, dass Daten mit einer qualifizierten elektronischen Signatur bei Bedarf neu zu signieren sind, bevor der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer wird. Bei Bedarf ist in den 1 ½ Seiten Kommentar, die Bröhl&Tettenborn [1] dem §6 widmen mit keinem Wort erläutert. Der Kommentar zu §17 Signaturverordnung weißt hingegen darauf hin, dass damit eine Anpassung an die Signaturverordnung von 1997 erfolgte. Die EU-Richtlinie, die eigentliche Grundlage für das Signaturgesetz von 2001, kennt nämlich kein Nachsignieren und in anderen Ländern [2] ist dies auch kein Diskussionspunkt. Da die Signaturverordnung das Signaturgesetz detailliert, ist zunächst die Frage nach dem Bedarf (§6 SigG) prinzipiell zu klären und dann zu prüfen, ob die Signaturfür längere Zeit in signierter Form (§17 SigV) benötigt werden. Dabei geht es also einerseits um die Zeitspanne zwischen Signatur und Signaturprüfung und andererseits um die Frage, ob danach die Signatur noch zur Prüfung der Integrität erforderlich ist. Typischerweise wird eine Signatur beim Eingang eines Dokumentes in das Unternehmen geprüft und typischerweise ist die Signatur kurz vorher erstellt worden. Die Signatur dient somit der Verkehrssicherheit über ungesicherte Netze und ist zu diesem Zweck unzweifelhaft sehr sinnvoll. Was ist aber mit der Archivierung der Unterlagen innerhalb der Unternehmen?Viele Firmen verfügen bereits über so genannte revisionssichere elektronische Archive (DMS oder ECM). Revisionssicher heißt dabei, dass Veränderungen vermieden - nicht nur erkannt werden. Warum sollen die Inhalte dieser Archive zusätzlich noch nachsigniert werden? Dies entspricht dem Umschnallen eines Gürtels, obwohl die Hosenträger schon gut halten. Lediglich wenn Dokumente die Unternehmensgrenzen verlassen, ist wieder die Verkehrsfähigkeit gefordert, bei der die Signatur die bevorzugte Technologie darstellt. Wenn kein revisionssicheres Archiv vorhanden ist, ist natürlich ebenfalls die Signatur eine interessante Alternative zur Verifizierung der Integrität. Allerdings muss nochmals betont werden, dass die Signatur Veränderung erkennbar macht, aber nicht verhindert. Insofern kann sie ein revisionssicheres Archiv nicht wirklich ersetzen. Das kontinuierliche Nachsignieren großer revisionssicherer Archivbestände ist aber nicht sinnvoll und nicht wirtschaftlich, weil kein Mehrwert generiert, sondern lediglich der Status Quo erhalten wird. Auch wenn das viel diskutierte ArchiSig-Verfahren die Aufgabe unzweifelhaft relativ elegant löst, so sind der Aufwand und die Gesamtkosten in der Praxis bei großen Beständen und regelmäßigem Nachsignieren nicht zu unterschätzen. Hat man keine großen Bestände, sondern ist ein kleines mittelständisches Unternehmen, ist der Aufwand erst recht nicht zu rechtfertigen. Zumindest bei den elektronischen Rechnungen haben die Behörden Einsicht walten lassen und verlangen keine Nachsignatur. Fazit:So wie wir uns nicht auf die Veränderung des Schriftzugs unserer Unterschrift seit der Volljährigkeit zurückziehen können, sondern für gezeichneten Kredite, Bürgschaften und beliebige Verträge bis zum Zeitungsabonemment gerade stehen müssen, so gilt auch die qualifizierte elektronische Unterschrift zunächst mal unbegrenzt. Ob Nachsignieren Pflicht oder Kür oder überflüssig ist, darf und muss jedes Unternehmen selbst entscheiden.
[2] Ausnahme Österreich © Copyright Compario 2024, Autorenrechte bei den Autoren |
AktuellEditorialGeschenkidee„Tax Quiz“ – Lernkartenspiel zu den GoBD (Andrea Köchling) Aus dem BMFErgebnis der steuerlichen Betriebsprüfung 2023 Aus dem BMFVerfolgung von Steuerstraftaten und Steuerordnungswidrigkeiten im Jahr 2023 Aus dem BMF(IT-)ManagementRechtsprechungKeine ernstlichen Zweifel an der Richtsatzsammlung Elektronische RechnungenUmsetzungsstand der Einführung der E-Rechnung in Deutschland LiteraturVerfahrensdokumentation nach GoBD (Michael Bissinger, Elisa Lutz) Aus dem BMFRichtsatzsammlung für das Kalenderjahr 2023 veröffentlicht Partner-PortalVeranstalter |
06.11.2024