Digitale Signatur in der Sackgasse [Update]
Praxisfremd und unsicher:

Hannover, 15. August 2001 - Die elektronische Unterschrift ist im Kommen. Doch ob das Konzept für den geplanten Masseneinsatz digital signierter Dokumente tragfähig ist, erscheint angesichts begrenzt möglicher Nutzerzahlen und Sicherheitslücken fragwürdig. So das Urteil des IT-Profimagazins iX in seiner Ausgabe 9/2001.

Seit dem 1. August erfüllt die elektronische Unterschrift in den meisten Fällen die im Bürgerlichen Gesetzbuch festgelegte Schriftform-Erfordernis. Diese Rechtsverbindlichkeit der digitalen Signatur ist für den Verbraucher problematisch: Bestreitet er die Urheberschaft einer elektronischen Signatur, so trägt er die Beweislast: Er muss nachweisen, dass es einem anderen möglich war, seine Signatur zum Beispiel unter der elektronischen Steuererklärung zu fälschen.

Die neue Regelung ist alles andere als verbraucherfreundlich, denn erst vor wenigen Monaten war publik geworden, dass ein Großteil der Software zur Erzeugung digitaler Signaturen durch Hacker missbraucht werden kann.

Zur Verwaltung der digitalen Unterschriften dienen Trustcenter, die in so genannten Public-Key-Infrastrukturen eingebunden sind. Diese haben sich zwar in speziellen Bereichen mit überschaubarer Teilnehmeranzahl als praxistauglich erwiesen. Die Verifizierung der "elektronischen Ausweise" ist jedoch technisch aufwendig, die Abfrage auf ungültig gewordene Signaturen umständlich. Eine millionenfache Nutzung würde nach Ansicht von Sicherheitsfachleuten die Trustcenter überfordern. Obendrein sind von verschiedenen Trustcentern herausgegebene Schlüssel und die zugehörige Software nicht untereinander kompatibel.

"Insgesamt," so Roos weiter, "wirkt das Modell PKI in vielen Aspekten unausgereift. Es gibt interessante Alternativen, die aber wegen des PKI-Hypes zu Unrecht unberücksichtigt bleiben. Die massenhafte Nutzung der digitalen Signatur etwa bei Wahlen ist deswegen nichts als Zukunftsmusik." (ur)

Nachtrag: Der in der ursprünglichen Fassung der Meldung gezogene Schluss, das Fernabsatzgesetz (FAG) gelte bei Bestellungen mit digitaler Signatur nicht mehr, ist falsch. Die Vorschriften des FAG bleiben davon unberührt.