Digitale Signatur

Der Begriff „digitale Signatur“ bezeichnet ein kryptografisches Verfahren zur Signierung elektronischer Dokumente. So lassen sich elektronische Unterschriften erzeugen, die das Pendant zur handschriftlichen Signatur darstellen. Sie dienen zur eindeutigen Identifizierung des Verfassers elektronischer Dokumente oder Nachrichten. Der Einsatz digitaler Signaturverfahren und die Gültigkeit elektronischer Signaturen sind in Deutschland gesetzlich geregelt.

Das Wichtigste in Kürze

  • Der Begriff "digitale Signatur" bezeichnet die verschiedenen kryptografischen Verfahren zur Erzeugung von elektronischen Unterschriften.
  • Das Signieren einer Nachricht oder eines Dokuments und die Verschlüsselung sind nicht dasselbe.
  • Man unterscheidet zwischen einfachen, fortgeschrittenen und qualifizierten elektronischen Signaturen.

Unterschied zwischen digital und elektronisch

Die Begriffe „digitale Signatur“ und „elektronische Signatur“ werden oft synonym verwendet. Das ist jedoch nicht ganz richtig. Der Begriff „digitale Signatur“ ist rein mathematisch. Er bezeichnet die verschiedenen kryptografischen Verfahren zur Erzeugung von elektronischen Unterschriften. „Elektronische Signatur“ ist ein juristischer Begriff, der verschiedene Methoden zur Authentifizierung und Integritätssicherung elektronischer Dokumente umfasst. Die digitale Signatur basiert also auf einem Verschlüsselungsverfahren, das die Sicherheit der elektronischen Signatur nach gesetzlichen Vorgaben gewährleistet.

Eines der bekanntesten digitalen Signaturverfahren ist RSA, benannt nach seinen Erfindern Rivest, Shamir und Adleman. Das kryptografische Verfahren wurde 1977 entwickelt und kann neben der Erzeugung von digitalen Signaturen auch zur Verschlüsselung von ganzen Nachrichten verwendet werden. Weit verbreitet ist auch das Programm Pretty Good Privacy (PGP), das ebenfalls zum Unterschreiben und zur Verschlüsselung von Daten verwendet wird. Beide Verfahren beruhen auf dem „Public Key“-Prinzip: Sie verwenden ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel.

Verschlüsselung bietet zusätzlichen Schutz

Das Signieren einer Nachricht oder eines Dokuments und die Verschlüsselung sind nicht dasselbe. Beim Signieren versehen Sie eine Nachricht mit einer Art persönlichem Siegel, das Sie als Absender ausweist und eine nachträgliche Verfälschung der Daten ausschließt. Aber: Durch die digitale Signatur wird Ihr Dokument nicht vor unbefugter Einsicht geschützt - eine handschriftliche Unterschrift auf einem Papierdokument schützt ja auch nicht vor der Einsichtnahme Dritter. Dazu müssen Sie das Dokument zusätzlich verschlüsseln.

Signaturgesetz und Signaturverordnung

In Deutschland regeln sowohl das Bürgerliche Gesetzbuch als auch ein spezielles Signaturgesetz sowie die Signaturverordnung die Rahmenbedingungen für den Einsatz elektronischer Unterschriften. Man unterscheidet zwischen einfachen, fortgeschrittenen und qualifizierten elektronischen Signaturen. Die Bundesnetzagentur veröffentlicht jedes Jahr eine Liste mit Mindestanforderungen für kryptografische Algorithmen für die Erzeugung qualifizierter elektronischer Signaturen.

Die einfache elektronische Signatur erfüllt keine besonderen Sicherheitsanforderungen, ihr liegt auch nicht zwingend ein digitales Signaturverfahren zugrunde. Vor allem kann sie nicht eindeutig einer Person zugeordnet werden, daher eignet sie sich lediglich für formfreie Verträge. Die fortgeschrittene elektronische Signatur dagegen ist schon deutlich sicherer. Sie wird mit einem einmaligen Signaturschlüssel erzeugt und ist daher ausschließlich dem Signaturschlüssel-Inhaber zuzuordnen.

Die qualifizierte elektronische Signatur verhält sich wie die fortgeschrittene, allerdings wird diese mit einer sicheren Signaturerstellungseinheit erzeugt (zum Beispiel mit dem Chip einer Chipkarte). Gleichzeitig wird dem Dokument zum Zeitpunkt seiner Erzeugung ein qualifiziertes Zertifikat von einem Zertifizierungsdiensteanbieter (Trust Center) ausgestellt. Mit dieser Methode wird gewährleistet, dass kein Dritter auf den persönlichen Schlüssel zugreifen kann.