Logo O.P.P. - Beratung

Die eSignatur beseitigt Unsicherheiten

Was ist eine eSignatur:

Eine eSignatur besteht aus einem digitalen Identitätsnachweis (Zertifikat), der einem elektronischen Dokument beigefügt und mit diesem logisch verknüpft wird.

Sicherheit durch eSignaturen

Wer sind die Vertragspartner? (zivilrechtlich)

Zeitpunkt des Vertragsabschlusses? (zivilrechtlich) - es kommt idR auf den Zugang der Erklärung an, spielt allenfalls bei gleichzeitiger Übermittlung inkl. Zeitstempeldienst eine Rolle. zB bei Abgabe einer Ausschreibung.

Ist der Inhalt des Dokumentes (Angebot, Annahme, etc.) unverändert? (zivilrechtlich)

Die besondere Rechtswirkung qualifizierter eSignaturen wird durch § 4 SigG bestimmt, nachdem diese das rechtliche Erfordernis einer eigenhändigen Unterschrift, insbesondere der Schriftlichkeit im Sinne des § 886 ABGB erfüllt.

Authentifizierung ein Antragsstellers im Sinne der Verwaltung (verwaltungsrechtlich)

Ordnungsmäßigkeit eines Antrags (verwaltungsrechtlich)

Die Identifikation und Authentifizierung von Personen im Bereich der öffentlichen Verwaltung Österreichs erfolgt durch qualifizierte Zertifikate in Verbindung mit der Funktion „Bürgerkarte“ und ist im E-Government-Gesetz (E-GovG) geregelt.

Derzeit gültige gemeinschaftsrechtliche Vorgaben zur elektronischen Signatu

Grundlage des österr. Signaturgesetzes (SigG) ist die RICHTLINIE 1999/93/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (Signatur-RL).

Auf Grundlage des österr. SigG wird die Ausstellung, Anwendung und Rechtswirksamkeit elektronischer Zertifikate und Signaturen in Österreich definiert.

In Umsetzung des Artikel 7 der Signatur-RL bestimmt § 24 Abs 1 SigG über die Anerkennung ausländischer Zertifikate:
Zertifikate, die von einem in der Europäischen Gemeinschaft oder im Europäischen Wirtschaftsraum niedergelassenen Zertifizierungsdiensteanbieter (ZDA) ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, sind inländischen Zertifikaten gleichgestellt. Qualifizierte Zertifikate solcher ZDA entfalten dieselben Rechtswirkungen wie inländische qualifizierte Zertifikate. (gleichlautende Bestimmungen müssen auch in den jeweiligen Signaturgesetzen anderer Mitgliedstaaten enthalten sein).

elektronische Signatur: Prinzip

Es werden an eine elektronische Signatur zumindest drei Anforderungen gestellt:

Authentisch:
Der Empfänger eines signierten Dokuments kann die Identität des Erstellers überprüfen.
Integer:
Es kann sichergestellt werden, dass das Dokument auf dem Weg vom Ersteller zum Empfänger nicht verändert wurde.
Unbestreitbar:
Es gilt die rechtliche Vermutung, dass eine elektronische Signatur vom berechtigten Signator erstellt wurde.

Um diese Anforderungen zu erfüllen, werden Werkzeuge und Methoden der Kryptographie, namentlich Hashes und asymmetrische Kryptographie, angewandt.

Die Eigenschaft der Vertraulichkeit, also dass es keinem unbefugten Dritten möglich sein darf, den Inhalt des Dokuments zu verstehen, wird nicht von einer digitalen Signatur gefordert. Eine digitale Signatur kann aber leicht um diese Eigenschaft erweitert werden.

Die eSignatur beseitigt Unsicherheiten

Was muss sichergestellt werden?

Authentizität:
Sicherheit über den Absender
Integrität:
Sicherheit über die Korrektheit des Inhalts
eventuell Verschlüsselung:
Vertraulichkeit

Sicherstellung durch:

  • Sender unterschreibt Daten mit seinem privaten Schlüssel
  • Der Empfänger verifiziert die Unterschrift und die Daten mit dem öffentlichen Schlüssel des Senders
  • Benutzerauthentifizierung & Datenintegrität

Die eSignatur beseitigt Unsicherheiten: die Funktionsweise

Um eine gültige Signatur zu erstellen, reicht es nicht, einfach den Hashwert des Dokuments zu berechnen und diesen mitzuschicken. Der Hash eines Dokuments ändert sich zwar, wenn das Dokument verändert wird, jedoch kann vom veränderten Dokument der Hashwert einfach neu berechnet und mitgeschickt werden. Die Eigenschaft der Integrität wäre also nicht erfüllt. Deshalb sind noch weitere Schritte nötig, die im Folgenden erklärt werden:

Bevor mit dem Signieren begonnen werden kann, ist es nötig eine Public Key Infrastructure (PKI) einzurichten. Diese erstellt für jede Person ein Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel, die miteinander verknüpft sind. Der öffentliche Schlüssel kann bedenkenlos veröffentlicht werden, der private Schlüssel muss geheim gehalten werden (z.B.: auf einer SmartCard). Mit diesen Schlüsseln ist es nun möglich, Dokumente zu signieren und/oder zu verschlüsseln, wobei unterschiedliche Szenarien möglich sind.

Elektronisch signierte Dokumente werden mit dem private Schlüssel des Signators signiert. Der öffentliche Schlüssel des Signators dient zur Überprüfung der Unversehrtheit einer Nachricht und wird gemeinsam mit dem signierten Dokument übermittelt bzw. kann in öffentlichen Verzeichnissen abgerufen werden.

Alle mit dem öffentlichen Schlüssel verschlüsselten Dokumente können nur mit dem privaten Schlüssel wieder entschlüsselt werden. Also kann jeder, der den öffentlichen Schlüssel einer Person kennt, dieser vertrauliche Nachrichten schicken. Alle mit dem privaten Schlüssel verschlüsselten Dokumente können nur mit dem öffentlichen Schlüssel entschlüsselt werden. Solche Nachrichten kann jeder entschlüsseln. Man erhält also keine Vertraulichkeit, kann sich dafür aber der Herkunft der Nachricht sicher sein. ich kenne keinen derartigen Anwendungsfall (idR darf der private Schlüssel den Verfügungsbereich des Signators nicht verlassen – Spezifikation sicherer Signaturerstellungseinheiten)

EXKURS elektronische Signatur: die Funktionsweise

PKI

elektronische Signatur: Erstellen einer Signatur

eSignatur-Erstellung

Um eine digitale Signatur für eine Nachricht zu erstellen, wird zunächst der Hashwert (Fingerprint) der Nachricht berechnet. Dieser Schritt wird nur aus Gründen der Effektivität angewandt, da das asymmetrische Verschlüsseln von längeren Dokumenten sehr rechenintensiv ist. Der berechnete Hash wird nun mit dem privaten Schlüssel verschlüsselt. Das so entstandene Chiffrat wird der Nachricht angefügt.

EXKURS elektronische Signatur: Überprüfen einer Signatur

eSignatur-Prüfung

Um die Gültigkeit einer erhaltenen, signierten Nachricht zu überprüfen, trennt man zuerst die Nachricht von der digitalen Signatur und berechnet den Hashwert der Nachricht. Dann wird die Signatur mit dem öffentlichen Schlüssel des Erstellers entschlüsselt und man erhält den vom Ersteller errechneten Hashwert. Stimmen diese beiden Hashwerte überein, ist die digitale Signatur gültig. Andernfalls wurde entweder die Signatur gefälscht oder die Nachricht verändert.

Durch Verwendung von geeigneten Algorithmen ist die Erfüllung in der Praxis kein Problem.
Bedenke jedoch:

  • Prüfung gegen Sperrlisten
  • Relevanz des fehlenden Zeitstempels (Zeit in der Signatur von Rechnung)

Übersicht der Signaturarten

Art der SignaturMögliche Wirkungen
Qualifizierte Signatur §2 Z3a SigG Authentizität, Integrität, der eigenhändigen Unterschrift gleichgesetzt, eRechnung
Fortgeschrittene Signatur §2 Z3 lit. a-d SigG Authentizität, Integrität, Verschlüsselung, Hauptanwendung im Bereich der elektronischen Rechnungslegung (Serverlösung möglich)
Einfache Signatur Integrität, Verschlüsselung
Amtssignatur Behördensignatur, basierend auf fortgeschrittener Signatur

Aufsicht in Österreich

Relevant für eRechnung mit Signatur

TKK (Telekom-Controll-Kommission)

  • Aufsichtsstelle
  • Überprüfung des Zertifizierungskonzept der Zertifikatsanbieter
  • Akkreditierung und Überwachung der Zertifikatsanbieter

RTR (Rundfunk & Telekom Regulierung GmbH)

  • Unterstützt die Aufsichtsstelle
  • Registriert die Zertifizierungsdienstanbieter
  • Abgleich mit Drittstaaten
  • Führt die Liste der relevanten Zertifikate iSd UStR vom 19.12.2012 bzgl eRechnung inkl. einem entsprechenden Prüfdienst

Signaturgesetz

§ 2 Z3 fortgeschrittene elektronische Signatur

eine elektronische Signatur, die

  1. ausschließlich dem Signator zugeordnet ist,
  2. die Identifizierung des Signators ermöglicht,
  3. mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann,
  4. mit den Daten, auf die sie sich bezieht, so verknüpft ist, daß jede nachträgliche Veränderung der Daten festgestellt werden kann.

§ 2 Z 3a (= qualifizierte Signatur)

qualifizierte elektronische Signatur: eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und von einer sicheren Signaturerstellungseinheit erstellt wird