Annette Hillebrand, Franz Büllingen
Durch Sicherungsinfrastruktur zur Vertrauenskultur: Kritische Erfolgsfaktoren und regulatorische Aspekte der digitalen Signatur
Nr. 188 / Oktober 1998
Zusammenfassung
Offene Datennetze wie das Internet werden zunehmend für die Abwicklung von Kommunikations- und Transaktionsbeziehungen genutzt. Damit steigen die Anforderungen an die Authentifikation der Absender und die Unverfälschtheit der übermittelten Daten. Über den technischen Schutz vor Manipulationen hinaus wächst gleichzeitig der Bedarf an einem elektronischen Äquivalent für die eigenhändige Unterschrift. Die Übertragung dieses universellen und weltweit kulturalisierten Mediums mit seinen spezifischen rechtlichen und sozialen Funktionen von der "Papierwelt" in die "virtuelle Welt" ist ein wichtiger Schritt für die Erschließung weiterer Nutzenpotentiale in der Online-Kommunikation.
In Deutschland wurden im Herbst 1997 mit dem Gesetz zur digitalen Signatur (SigG) dazu die regulatorischen Rahmenbedingungen geschaffen. Die auf maximale Sicherheit zielende Sicherungsinfrastruktur erfordert jedoch einen hohen Einsatz von Ressourcen. Vor dem Hintergrund des technikoffenen und wettbewerbsorientierten Empfehlungscharakters des Gesetzes stellt die digitale Signatur eine Lösung dar, deren Einsatzbereiche primär auf hoheitliche Aufgaben sowie auf sicherheitssensitive kommerzielle Anwendungen zielen.
Erste Pilotprojekte deuten darauf hin, daß Bedarf für digitale Signaturen vor allem in der behördeninternen Kommunikation besteht. Auf dem Gebiet des Electronic Commerce dagegen konkurriert das Verfahren mit branchenspezifischen Lösungen und elektronischen Zahlungssystemen, so daß hier abzuwarten bleibt, inwieweit bestehende Verfahren ergänzt bzw. ersetzt werden. Erste Umfragen zu dem geplanten Einsatz von digitalen Signaturen zeigen, daß die Haupteinsatzgebiete zunächst in der Business-to-Business-Kommunikation und weniger in den Business-to-Customer-Beziehungen liegen werden. Mit der allgemeinen Verbreitung digitaler Signaturen im Sinne des SigG wird auch für die User-to-User-Kommunikation ein höheres Sicherheitsniveau erschlossen, indem digitale Signaturen beispielsweise zu einem verbesserten Schutz des Urheberrechts beitragen.
Da bei der Einführung digitaler Signaturen nicht nur eine neue Technik implementiert, sondern diese auch zu einem integrierten Bestandteil von Handlungsroutinen werden muß, ist abzusehen, daß es sich um einen zeitintensiven Diffusionsprozeß handeln wird. Mit welcher Geschwindigkeit diese Kulturalisierung fortschreitet, hängt erheblich davon ab, inwieweit es den Marktakteuren gelingt, die technische Interoperabilität, das Erreichen einer kritischen Masse, eine hohe Rechtsverbindlichkeit, die Generierung von Vertrauen in die Sicherheit und die Habitualisierung der Nutzung positiv zu beeinflussen. Dazu gehören auch eine frühzeitige internationale Harmonisierung und Standardisierung.
Es ist zu erwarten, daß sich die digitale Signatur zunächst in begrenzten Anwendungsbereichen durchsetzen wird, da Kosten-Nutzen-Abwägungen bei Anbietern und kommerziellen Anwendern sowie eine unterschiedliche Perzeption von IT-Sicherheitsrisiken auf Seiten der Nutzer erwarten lassen, daß auch alternative Verfahren hohe Marktanteile erzielen werden. Es ist nicht auszuschließen, daß sich auch weitere marktmäßig organisierte Lösungen durchsetzen, die niedrigere Sicherheitsniveaus aufweisen.
Ein wichtiger Erfolgsfaktor für die Einführung der digitalen Signatur im Sinne des SigG ist nicht zuletzt die länderübergreifende Akzeptanz. Von der Europäischen Kommission wird derzeit ein wettbewerbsorientierter Ansatz vorgeschlagen, der eine Vielfalt von Verfahren, welche mit der handschriftlichen Unterschrift gleichgestellt sind, zuläßt. Als Qualitätssicherungsinstrument ist eine weitreichende Haftungsregelung vorgesehen. Diese ist jedoch nicht mit dem deutschen Haftungsrecht kompatibel.
Vor dem Hintergrund der erforderlichen internationalen Abstimmungsprozesse auf Ebene der EU oder der WTO ergeben sich im wesentlichen zwei politisch-regulatorische Optionen, mit deren Hilfe sich das Dilemma zwischen hohen Sicherheitsanforderungen des deutschen SigG bei gleichzeitiger Technikoffenheit und Marktorientierung auflösen lassen könnte. Erstens sollte der internationale Vorbildcharakter der digitalen Signatur durch eine längerfristige begleitende Evaluation gesichert werden, wenn Markt- und Nutzungshemmnisse frühzeitig abgebaut und Marktanteile gesichert werden sollen. Zweitens sollte in den Verhandlungen auf eine Standardisierung abgestufter Sicherheitsniveaus hingearbeitet werden, um Anwendern eine individuelle Kosten-Risiko-Abschätzung zu ermöglichen. Intransparenz und daraus resultierende Mißbrauchsfälle sind geeignet, die Nutzung der digitalen Signatur zu beeinträchtigen oder zu verzögern. Es zeichnet sich ab, daß in diesem Zusammenhang die Sensibilisierung der Anwender für die Implikationen unterschiedlicher Sicherheitsstufen im Rahmen von Kunden- und Verbraucherschutzmaßnahmen zu einer zentralen Herausforderung wird.