Cryptoshop Help! Cryptoshop Contact! Cryptoshop Memo! Cryptoshop Shopping Cart! Place your order! Change to german site!
+ Products
· · · · · · · · · · · · · · · · · · · · · · ·
+ Solution
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Security Targets  
  Security Governance  
  Cryptography  
  Technology  
  Smart Card applications  
  Authentication  
  PKI  
  Certificates  
  Digital Signature  
  Signature Law  
  PKI-Planning  
  How to  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

German signature legislation

Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

austrian signature legislation
 
LEGAL
 
Das im Sommer 1999 beschlossene und am 01.01.2000 in Kraft getretene österreichische Signaturgesetz (öSigG.) schafft die Rechtsgrundlage für elektronische Signaturen und für das Aufsichtssystem in Österreich. 3 Novellen brachten bisher kleinere Anpassungen. Aufgrund der Formfreiheit konnten auch schon früher Signaturen verwendet werden. Die Signaturverordnung konkretisiert die technischen und organisatorischen Anforderungen.

Signaturen im öSigG.
Das öSigG. definiert die Voraussetzungen für die „sichere elektronische Signatur“ und welche Rechtswirkungen dieser Form der elektronischen Signatur zuerkannt werden. Die sichere elektronische Signatur erfüllt, mit Ausnahmen, das Erfordernis der eigenhändigen Unterschrift. Der Unterzeichner (Signator) muss dabei eine natürliche Person sein.

Eine sichere elektronische Signatur

a) ist ausschließlich dem Signator zugeordnet,
b) ermöglicht die Identifizierung des Signators,
c) wird mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann,
d) ist mit den Daten, auf die sie sich bezieht, verknüpft, dass jede nachträgliche Veränderung der Daten festgestellt werden kann,
e) beruht auf einem qualifizierten Zertifikat und wird unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt.

Zur Abgrenzung von sicheren Signaturen spricht man von Signaturen, die diese Anforderungen nicht erfüllen von einfachen Signaturen. In diese Kategorie fallen natürlich viele unterschiedliche Arten und Sicherheitsstufen. Die Rechtswirkung darf diesen Signaturen nicht abgesprochen werden, doch wird im Streitfall die Sicherheit und somit die Beweiskraft bewertet werden müssen. In Verordnungen wo keine sichere elektronische Signatur gefordert wird, müssten die Anforderungen deshalb explizit definiert werden. In der Verordnung über "elektronisch übermittelte Rechnungen" wird z.B. auf obige Definition a. bis d. verwiesen, und damit praktisch das Niveau von "fortgeschrittenen Signaturen" spezifiziert, wobei die das öSigG. "fortgeschrittene Signaturen" nicht kennt.

qualifiziertes Zertifikat
Aus dem Anhang zur EU-Richtlinie übernommen muss ein qualifiziertes Zertifikat enthalten:

- den Hinweis darauf, dass es sich um ein qualifiziertes Zertifikat handelt
- den unverwechselbaren Namen des Zertifizierungsdiensteanbieters und den Staat seiner Niederlassung (und damit ist erkennbar, wer für die Aufsicht zuständig ist)
- den Namen des Signators (oder ein Pseudonym, das als solches gekennzeichnet sein muss),
- die dem Signator zugeordneten Signaturprüfdaten, also den öffentlichen Schlüssel,
- Beginn und Ende der Gültigkeit des Zertifikates,
- eine eindeutige Kennung des Zertifikates (z. B. eine Seriennummer),
- gegebenenfalls eine Einschränkung des Anwendungsbereiches oder eine Begrenzung des Transaktionswertes.

Insgesamt sollen diese Anforderungen gewährleisten, dass der Zertifikatsinhaber zuverlässig identifiziert werden kann. Vor der Ausstellung muss die Identität des Signators anhand eines amtlichen Lichtbildausweises geprüft werden, während die technischen und organisatorischen Vorkehrungen die Unfälschbarkeit garantieren sollen.

Für jemanden, der einen Inhaber eines Zertifikates eindeutig identifizieren will, reicht der Name alleine nicht aus. Das kann er nur mithilfe des Zertifizierungsdiensteanbieters. Will man die Identifikation, z.B. eines Kunden, mit dessen Zertifikat bewerkstelligen, muss man ebendieses Zertifikat, sprich Seriennummer und Aussteller, einmal dem Kunden zuordnen. Für die Kommunikation mit Behörden soll das E-Government-Gesetz, respektive die Bürgerkarte, Abhilfe schaffen.

Aus rechtlicher Sicht muss ein qualifiziertes Zertifikat nicht zwangsläufig in Kombination mit einer sicheren Signaturerstellungseinheit verwendet werden. Es könnte auch qualifizierte Zertifikate geben, die für die einfache elektronische Signatur verwendet werden.

Es können auch weitere Angaben in das Zertifikat aufgenommen werden, etwa Angaben über die Vertretungsmacht oder andere rechtlich erhebliche Eigenschaften. Solche Angaben werden aber häufig nicht in das qualifizierte Zertifikat selbst aufgenommen, damit der Nutzer sie nicht bei jedem Kommunikationsvorgang offen legen muss. Sondern in andere elektronische Bestätigungen, etwa Attributzertifikate, die nach Wahl des Nutzers beigelegt werden können oder auch nicht. Attributzertifikate sind im Gegensatz zum Deutschen Signaturgesetz, wo es qualifizierte Attributzertifikate gibt, im öSigG. nicht geregelt.

In der Signaturverordnung wird die Gültigkeitsdauer eines qualifizierten Zertifikats, sowie der ausstellenden Stammzertifikate und Cross-Zertifikate auf 3 Jahre beschränkt.

SSCD
Meist wird unter einer Secure Signature Creation Device (SSCD) eine Smart Card verstanden, wobei in Österreich die Einheit auch die Anzeige der zu signierenden Daten sicherstellen muss, und deshalb nicht bloß die Karte als sichere Signaturerstellungseinheit verstanden werden kann. Sondern die Chipkarte muss durch geeignete Software zur Anzeige („Secure Viewer“) und im Regelfall auch durch einen geeigneten Chipkartenleser mit eigener PIN-Eingabe ergänzt, als SSCD verstanden werden.

Anzeige und Akkreditierung
Als Aufsichtsbehörde ist die Telekom Kontroll Kommission (TKK) bestimmt, wobei die RTR-GmbH als Geschäftstelle fungiert und somit deren Aufgaben übernimmt. Als Bestätigungsstelle fungiert der Verein A-Sit (Verein für Sicherheit in der Informationstechnik)

Anzeige: Bei der Aufnahme von Zertifizierungsdienstleistungen ist ein Sicherheits- und Zertifizierungskonzept vorzulegen, welches die Tätigkeit näher beschreibt. Anzeigepflichtig sind auch Änderungen des Konzepts und die Einstellung des Dienstes. Die Prüfung erfolgt dabei im Nachhinein.

Akkreditierung: Für Zertifizierungsdiensteanbieter, welche qualifizierte Zertifikate ausstellen, besteht die Möglichkeit einer Akkreditierung, wobei die Prüfung im Vorhinein erfolgt, die Anforderungen aber die gleichen wie bei der Anzeige sind.
PRACTICE
 

Signaturverordnung
Die Signaturverordnung klärt administrative Fragen und konkretisiert die technischen und organisatorischen Anforderungen des Signaturgesetzes,

- Anforderungen an die finanzielle Ausstattung der Anbieter qualifizierter Zertifikate sowie an deren Haftpflichtversicherung;

- Anforderungen an die Signaturerstellungsdaten (private Schlüssel) für sichere elektronische Signaturen;

- Anforderungen an technische Komponenten und Verfahren der Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen;

- Anforderungen an technische Komponenten und Verfahren der Anwender sicherer elektronischer Signaturen – hier ist insbesondere auf die Anforderungen an die sichere Anzeige und an die PIN-Eingabe hinzuweisen;

- Anforderungen an die Prüfung der technischen Komponenten und Verfahren durch eine Bestätigungsstelle;

- organisatorische Anforderungen zur Ausstellung qualifizierter Zertifikate, insbesondere zur Qualifikation und Zuverlässigkeit des Personals, zur Identitätsprüfung, zu den Verzeichnis- und Widerrufsdiensten, zu den Inhalten des Sicherheits- und Zertifizierungskonzepts und zur Dokumentation;

Dem Signator soll möglichst wenig Sorgfaltspflichten zukommen. Es hat sich aber gezeigt, dass es – zumindest bei den heute üblicherweise verwendeten Betriebssystemen und Dokumentenformaten – nicht ausreicht, dass man dem Signator eine sichere Chipkarte ausfolgt. Wenn der Computer des Signators mit Viren und Trojanern verseucht ist oder wenn der Signator Dokumente signiert, die sich dynamisch verändern können, dann ergibt sich daraus die Gefahr, dass der Signator etwas signiert, was ihm in dieser Form nicht angezeigt wurde. Um diesen Risken zu begegnen wurden auch Bestimmungen vorgesehen, welche sich auf die zu verwendenden Dokumentenformate und die Möglichkeit der sicheren Anzeige des zu signierenden Dokuments und auf die sichere PIN-Eingabe beziehen.

Die von den Signatoren eingesetzten Komponenten für die sichere Signierung müssen die vollständige Anzeige der zu signierenden Daten ermöglichen. Der Signator darf nur die vom Zertifizierungsdiensteanbieter empfohlenen Formate und einem entsprechenden "Secure Viewer" verwenden. Können dynamische Inhalte oder unsichtbare Daten in einem Format vorhanden sein, dürfen diese vom "Secure Viewer" nicht mitsigniert werden.

Die Auslösung darf nur durch Eingabe von Autorisierungscodes (z. B. durch PIN-Eingabe, Fingerabdruck) geschehen. Wenn mehrere Dokumente zusammen zu signierten sind, ist dies anzuzeigen. Diese Bestimmung soll sicherstellen, dass die sichere elektronische Signatur nur willentlich ausgelöst wird und nicht abstreitbar ist. Automatisch ausgelöste sichere Signaturen, etwa für Zeitstempel, sind mit dieser Regelung nicht möglich.

Man beachte bei Fingerabdruckauthentisierung aber die Diskussion über den Willensakt, in der österreichischen Signaturverordnung ist diese Möglichkeit lediglich beispielhaft aufgeführt, in der deutschen Signaturverordnung ist explizit von biometrischer Authentifizierung die Rede und es wird dasselbe Sicherheitsniveau wie bei einem wissensbasierten System gefordert.

Eine Sperre ist von vorübergehender Dauer und kann aufgehoben werden, nach 3 Tagen ist eine Sperre in einen Widerruf umzuwandeln und kann nicht mehr rückgängig gemacht werden.

In den Anhängen der Verordnung werden Dienste, technische Verfahren, Zufallsqualität, Formate, sowie Kryptographische Algorithmen und Schlüssellängen für die Sicherheitsperiode (bis 31.12.2005) spezifiziert. Für erneuerte elektronische Signaturen (Nachsignieren) sind Zeitstempel verpflichtend gefordert. Für qualifizierte Zertifikate sind Verzeichnis- und Widerrufsinformationen bis 33 Jahre nach der erforderlichen Nachsignierung aufzubewahren und im Einzelfall die Prüfung zu ermöglichen.

weitere Verordnungen
Es existieren weitere Verordnungen und Gesetze wo die Verwendung von elektronischen Signaturen explizit ermöglicht, spezifiziert oder verlangt wird.

Wenn Sie auf elektronischem Weg übermittelte Rechnungen oder elektronische Kontoauszüge mit Rechnungsdaten bekommen, achten Sie darauf, dass diese den Anforderungen gemäß der Verordnung für elektronische übermittelte Rechnungen entsprechen, wenn Sie diese für Vorsteuerabzug geltend machen wollen. Gemäß Umsatzsteuergesetz sind auch auf elektronischem Wege übermittelte Rechnungen gültig, wenn der Empfänger zustimmt und die Echtheit der Herkunft sowie die Unversehrtheit des Inhalts gewährleistet sind. Mit oben genannter Verordnung werden die Anforderungen an die Signatur bestimmt, mit derer diese Voraussetzungen erfüllt werden.

In Serverumgebungen muss der Administrator des Signaturservers als Signator im Zertifikat angegeben werden, da der Signator eine natürliche Person sein muss.

Im E-Government-Gesetz wird der Einsatz von Signaturen für Transaktionen mit der Bürgerkarte gefordert. Das komplexe Konzept der Bürgerkarte besteht eigentlich aus der Personenbindung, die eine per Signatur bestätigte, für jeden eindeutige Kennung darstellt. Diese Kennung (Stammzahl) ist von der ZMR-Zahl, der zentralen Melderegisterzahl, (einweg)abgeleitet. Behörden oder Organisationen, welche die Bürgerkarte zur eindeutigen Identifizierung verwenden wollen, dürfen diese Stammzahl aus Datenschutzgründen nicht direkt verwenden, sondern müssen diese zusammen mit ihrer eigenen Kennung (Behörden) oder eigenen Stammzahl (private Organisationen) "einwegableiten". Erst diese "bereichspezifische Personenkennung" bzw. "wirtschaftsbereichspezifische Personenkennung" darf verwendet werden, ansonsten könnten mit der Stammzahl erst recht alle Daten eines Bürgers verknüpft werden.

Linktipps
Einsatzmöglichkeiten der digitalen Signatur in Österreich - PDF Dokument der OCG



Secure signature creation unit


Time stamps


certification service provider


Certification guidelines


Back to previous page!Top of page!To the startpage of Cryptoshop.com!
  Time stamps  
  Secure signature creation unit  
  certification service provider  
  Certification guidelines  
 
  German signature legislation  
  Long time signatures  
  Publishing of revocation information  
  Compliance  
  certificate formats  
  CA - certificate compromise  
  Knowing - Passwords  
  Having - Token  
  Being - Biometrics  
 
Legal notice Terms and Condtitions Consumer notice Privacy Newsletter Copyright © 2004 CRYPTAS. All rights reserved