Elektronische Signaturen in modernen Geschäftsprozessen (eBook)

Prof. Dr. Volker Gruhn ist Inhaber des Lehrstuhls für Angewandte Telematik/e-Business, Universität Leipzig. Vincent Wolff-Marting (Wertorientierte Softwareentwicklung) und André Köhler (Mobile Geschäftsprozesse) sind wissenschaftliche Mitarbeiter am Lehrstuhl für Angewandte Telematik/e-Business, Universität Leipzig. Christian Haase, Softwareentwickler, und Torsten Kresse, Berater, sind tätig bei der Steria Mummert Consulting AG.

Vorwort 6
Inhaltsverzeichnis 8
1 Einführung und Überblick 12
1.1 Ziel des Buches 12
1.2 Wer soll dieses Buch lesen? 12
1.3 Aufbau des Buches 13
2 Rechtliche Grundlagen der elektronischen Signatur 16
2.1 Die Unterschrift als Teil gesetzlicher Formvorschriften 16
2.2 Kategorien der Sicherheit mit elektronischen Signaturen 18
2.2.1 Die einfache elektronische Signatur 18
2.2.2 Die fortgeschrittene elektronische Signatur 18
2.2.3 Die quali.zierte elektronische Signatur 19
2.2.4 Akkreditierte Zerti.zierungsdienstanbieter 21
2.2.5 Akkreditierung und Zerti.zierung von Systemen 21
2.2.6 Elektronische Zeitstempel 22
2.3 Das deutsche Recht im internationalen Vergleich 23
2.4 Die manuelle Unterschrift im Vergleich zu elektronischen Signaturen 24
2.4.1 Funktionen einer Unterschrift 24
2.4.2 Ersatz der manuellen Unterschrift durch die elektronische Signatur 28
2.5 Beweisqualität elektronisch signierter Dokumente 29
2.5.1 Beweiskraft einfacher und fortgeschrittener Signaturen 29
2.5.2 Beweiskraft quali.zierter Signaturen 30
2.5.3 Staatlich geprüfte Algorithmen 31
2.5.4 Beweisqualität des biometrischen Merkmales „Unterschrift“ 32
2.5.5 Schutz der biometrischen Daten 33
2.6 Zusammenfassung der rechtlichen Situation für elektronische Signaturen 34
3 Technische Realisierung elektronischer Signaturen 38
3.1 Informationstechnische Grundlagen 38
3.1.1 Verfahren zur Verschlüsselung 38
3.1.2 Hashverfahren 40
3.1.3 Elektronisch signierte Zeitstempel 43
3.2 Ablauf des elektronischen Signierens und Veri.zierens 44
3.2.1 Austausch mit fortgeschrittener Signatur 44
3.2.2 Austausch mit fortgeschrittener Signatur und Zerti.katen 47
3.2.3 Austausch mit quali.zierter Signatur 49
3.3 Schutz der Signaturschlüssel 51
3.3.1 Passwörter – Schutz durch Wissen 51
3.3.2 Sichere Verwahrung – Schutz durch Besitz 52
3.3.3 Untrennbare Eigenschaften – Schutz durch Biometrie 53
3.4 Biometrische Merkmale in elektronischen Signaturen 55
3.4.1 Die Einbeziehung biometrischer Merkmale in elektronische Signaturen 55
3.4.2 Biometrische Merkmale in fortgeschrittenen elektronischen Signaturen 58
3.4.3 Automatische Veri.kation einer Unterschrift 61
3.4.4 Veri.kation einer Unterschrift durch einen Schriftsachverständigen 63
3.4.5 Biometrische Merkmale in einfachen und quali.zierten Signaturen 63
4 Die elektronische Signatur in Geschäftsprozessen 66
4.1 Nutzenpotenziale elektronischer Signaturen in Geschäftsprozessen 66
4.2 Einsatzszenarien in der Unternehmenskommunikation 67
4.2.1 Unternehmensexterne Kommunikation 67
4.2.2 Unternehmensinterne Kommunikation 70
4.3 Ausgewählte Realisierungsaspekte 71
4.3.1 Mehrfache Signatur 72
4.3.2 Gemeinsame Signatur 72
4.3.3 Zeitstempelsignatur 74
4.3.4 Zeitspannensignatur 77
4.3.5 Loginersatz 80
4.3.6 Automatisierte Massensignaturen 80
4.3.7 Bestimmter Veri.zierer 82
4.3.8 Signatur von Datenströmen 84
4.4 Archivierung elektronisch signierter Dokumente 86
4.4.1 Dokumentations- und Aufbewahrungsvorschriften 87
4.4.2 Verlust der Sicherheitseignung von Algorithmen 90
4.4.3 Gesetzliche Anforderungen an die Langzeitarchivierung elektronischer Signaturen 91
4.4.4 ArchiSig - Konzept zur Langzeitarchivierung elektronisch signierter Dokumente 93
4.4.5 Nutzdatenformate 94
4.4.6 Archivierung erforderlicher Veri.kationsdaten 96
4.4.7 Signaturerneuerung 98
4.4.8 Transformation elektronisch signierter Dokumente 101
4.4.9 Erneuerung der Datenträger in einem Archivsystem 102
5 Fallstudie 106
5.1 Rechtliche Grundlagen 106
5.1.1 Gesetzliche Schriftformerfordernisse für Versicherungsverträge 106
5.1.2 Pragmatische Anforderungen an die Form von Anträgen 109
5.1.3 Eignung von biometrischen Merkmalen in elektronisch signierten Dokumenten 110
5.2 Fachliche und technische Realisierung 111
5.2.1 Ausgangszustand, Zielstellung und Voraussetzungen 111
5.2.2 Anforderungen an den elektronischen Antragsprozess 112
5.2.3 Modell des elektronischen Antragsprozesses mit elektronischen Unterschriften 114
5.2.4 Hardware-Komponenten zur Erfassung der Unterschrift 117
5.2.5 Übermittlung elektronisch signierter Dokumente an den Kunden 119
5.3 Angriffsszenarien 120
5.3.1 Technische Angriffsszenarien im Überblick 120
5.3.2 Der Kunde als Angreifer im Versicherungsantragsprozess 125
5.3.3 Der Vermittler als Angreifer im Versicherungsantragsprozess 127
5.3.4 Die Vertriebsorganisation als Angreifer im Versicherungsantragsprozess 129
5.3.5 Das Versicherungsunternehmen als Angreifer des Versicherungsantragsprozesses 130
5.3.6 Außenstehende als Angreifer des Versicherungsantragsprozesses 132
5.4 Maßnahmen zum Schutz des Antrags 132
5.4.1 Schutz durch Kryptographie 132
5.4.2 Starke Kryptographie und staatlich geprüfte Algorithmen 133
5.4.3 Schutz durch das Signieren strukturierter Daten 134
5.4.4 Zusätzlicher Schutz durch den Einsatz von Biometrie 135
5.4.5 Vergleich symmetrischer und asymmetrischer Verfahren 136
5.4.6 Schutz durch Gegenzeichnung des Vermittlers 139
5.4.7 Schutz durch sichere Hardware 140
5.4.8 Schutz durch einen Zeitstempel 142
5.4.9 Einbindung der biometrischen Daten in eine Referenzdatenbank 144
5.4.10 Das Zusammenwirken der Maßnahmen zum umfassenden Schutz des Prozesses 144
6 Zusammenfassung und Ausblick 152
Glossar 154
Abkürzungsverzeichnis 158
Abbildungs- und Tabellenverzeichnis 160
Abbildungen 160
Literatur 162
Autorenverzeichnis 176
Index 178

5 Fallstudie (S. 95-96)

In diesem Kapitel wird der Einsatz elektronischer Signaturen anhand einer konkreten Fallstudie erläutert. Als fachliches Beispiel dient dazu der Prozess zur Erstellung von elektronischen signierten Versicherungsanträgen am Point of Sale. Dieser Prozess zeichnet sich dadurch aus, dass sich mit ihm exemplarisch eine ganze Reihe verschiedener Einsatzmöglichkeiten elektronischer Signaturen sowie der damit verbundenen Problemstellungen erläutern lassen. Diese lassen sich natürlich auch auf Prozesse anderer Branchen übertragen. Ein solcher Prozess läuft üblicherweise wie folgt ab. Ein Interessent nimmt Kontakt mit einem Vertriebsmitarbeiter der Versicherung auf.

Er lässt sich von ihm beraten und stellt anschließend einen Versicherungsantrag. Dieser Antrag soll nun mit dem tragbaren Computer des Vertriebsmitarbeiters erstellt und später medienbruchfrei elektronisch an das Versicherungsunternehmen übermittelt werden können. Eine Vorbereitung auf Kundenseite soll nicht erforderlich sein. Es wird vielmehr davon ausgegangen, dass der Kunde weder über die erforderliche Technik, noch über das Wissen verfügt, um elektronische Signaturen zu erstellen. Die Erstellung des Antrages sowie die anschließende Signierung soll für ihn nicht aufwändiger sein, als ein vergleichbarer papierbasierter Vorgang. Dennoch soll das Versicherungsunternehmen am Ende ein elektronisches Dokument erhalten, das eine ausreichend hohe Sicherheit bietet, um Ansprüche bei Bedarf auch in einem Rechtsstreit durchsetzen zu können.

5.1 Rechtliche Grundlagen

5.1.1 Gesetzliche Schriftformerfordernisse für Versicherungsverträge

Ein Versicherungsantrag enthält mehrere Willenserklärungen, für die zum Teil gesetzliche Formvorschriften existieren. Dabei kommen nicht nur die im bürgerlichen Gesetzbuch de.nierten Formen (siehe Kapitel 2.1) zur Anwendung, sondern auch weitere, die einer Auslegung bedürfen. Zum Zeitpunkt der Drucklegung dieses Buches be.ndet sich das Versicherungsvertragsrecht in einem grundlegenden Reformprozess (siehe [Bun06a]). Ein geändertes Versicherungsvertragsgesetz soll zum 1. Januar 2008 in Kraft treten. Soweit möglich, werden die künftigen Regelungen im folgenden Text berücksichtigt.

Zuallererst ist der eigentliche Antrag zu nennen. Unter Umständen betri.t er neben dem Versicherungsnehmer auch weitere Personen, wie den Begünstigten, den Ehepartner, die Erziehungsberechtigten und andere. Grundsätzlich ist die Form freigestellt [RMBA+04, § 8 Rn 12], es gibt jedoch Ausnahmen: Die Versicherung des Todes eines anderen bedarf dessen „schriftliche" Einwilligung, sofern die vereinbarten Leistungen im Todesfall die gewöhnlichen Beerdigungskosten überschreiten [Bund, § 159] (zukünftig [Bun06a, § 150] sowie analog für Berufsunfähigkeitsversicherungen [Bun06a, § 176]).

Gleiches gilt für Unfallversicherungen, bei denen der Versicherungsnehmer auf eigene Rechnung die Unfälle eines anderen absichert [Bund, § 179]. „Schriftlich" ist nicht unbedingt mit der gesetzlichen Schriftform gleichzusetzen. Römer vertritt die Au.assung, dass eine „Verkörperung des Textes" [RL03, § 159 Rdn 15, § 179 Rdn 31] unumgänglich sei und ein Ausweichen auf die elektronische Form [Bunc, § 126a] unzulässig ist. Zweck der Vorschrift sei es, „Spekulationen mit dem Leben [oder der Gesundheit] eines anderen zu unterbinden." [RL03, § 159 Rdn 15] Geschützt werden soll folglich der Dritte.

Er ist es, der durch eine dingliche Verkörperung seiner Erklärung auf mögliche nachteilige Folgen hingewiesen werden soll. Da im Entwurf des zukünftigen Gesetzes die Formulierung bewußt beibehalten wurde, ist auch zukünftig davon auszugehen, dass an dieser Stelle ein physisches Dokument erforderlich bleibt. Die ,schriftliche’ Erklärung des Dritten braucht allerdings nicht unbedingt gegenüber der Versicherungsgesellschaft getätigt zu werden, sondern kann auch dem Versicherungsnehmer gegenüber erfolgen [Bunc, § 182 Abs. 1], [RL03, § 159 Rdn 18].