Cryptography Reference
In-Depth Information
Außerdem ist für die sicherheitskritischen Softwarebestandteile der CA eine Eva-
luierung nach Common Criteria oder ITSEC gefordert.
Anwendung des Signaturgesetzes
Das deutsche Signaturgesetz ist für sich genommen eine reine Kann-Bestimmung.
Es schreibt niemandem vor, dass er eine fortgeschrittene oder qualifizierte Signa-
tur (mit oder ohne Anbieterakkreditierung) zu verwenden hat. Im Falle eines
Rechtsstreits gilt nach wie vor die freie Beweiswürdigung. Dennoch ist es von
Vorteil, beispielsweise qualifizierte Signaturen einzusetzen, denn es ist nicht zu
erwarten, dass ein Richter einer solchen im Streitfall die Anerkennung versagt.
Wer auf qualifizierte Signaturen verzichtet, darf sich dagegen nicht wundern,
wenn er vor Gericht Schwierigkeiten mit der Anerkennung bekommt.
Seine eigentliche Wirkung erzielt das deutsche Signaturgesetz dadurch, dass
in den letzten Jahren zahlreiche andere Gesetze, die bis dahin eine Unterschrift
von Hand forderten, um digitale Signaturen erweitert wurden. So heißt es bei-
spielsweise in § 3a des Verwaltungsverfahrensgesetzes: »Eine durch Rechtsvor-
schrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas
anderes bestimmt ist, durch die elektronische Form ersetzt werden. In diesem Fall
ist das elektronische Dokument mit einer qualifizierten elektronischen Signatur
nach dem Signaturgesetz zu versehen.« Auch das Bundesgesetzbuch und das Pro-
zessrecht enthalten ähnliche Stellen. Dadurch ist es inzwischen in vielen Berei-
chen des täglichen Lebens möglich, eine Unterschrift durch eine digitale Signatur
zu ersetzen. Beispielsweise ist es für Unternehmen unter bestimmten Vorausset-
zungen erlaubt, Vorsteuerabzug auf digital signierten Rechnungen geltend zu
machen.
Die Signaturgesetz-PKI
Auf Grundlage des deutschen Signaturgesetzes und des Common-PKI-Standards
ist eine eigene Signaturgesetz-PKI entstanden. Es handelt sich dabei um eine zwei-
stufige CA-Hierarchie. An deren Wurzel steht die Wurzel-Zertifizierungsstelle der
Bundesnetzagentur. Diese hat für jedes akkreditierte deutsche Trust Center ein
CA-Zertifikat ausgestellt. Mitte 2012 waren folgende neun akkreditierte Trust
Center aktiv: Deutsche Post, Deutsche Telekom, Bundesnotarkammer, Deutsches
Gesundheitsnetz, TC TrustCenter, Deutscher Sparkassen Verlag, D-Trust (Bun-
desdruckerei), DATEV, Medisign und AuthentiDate (nur Zeitstempeldienstanbie-
ter). Es gibt zudem einige nichtakkreditierte Trust Center, die qualifizierte Zertifi-
kate nach Signaturgesetz anbieten. Deren öffentliche CA-Schlüssel sind nicht von
der Wurzel-CA der Bundesnetzagentur zertifiziert. Sie gehören daher nicht zur
Signaturgesetz-PKI.
