Erfolgsmodell digitale Signatur?

1
Erfolgsmodell digitale Signatur?
- Rahmenbedingungen und Gestaltungsanforderungen
Martin Wind1
1.
Auf Euphorie folgte Ernüchterung
Als eines der ersten Länder hat Deutschland mit dem 1997 vom Bundestag verabschiedeten Signaturgesetz die juristischen Vo raussetzungen für rechtsverbindliche
Transaktionen übers Internet und damit für neuartige elektronische Dienstleistungen
der öffentlichen Verwaltung geschaffen. Es mag an einer gewissen Anfangseuphorie
über die damit eröffneten Möglichkeiten gelegen haben, dass die Diffusionsgeschwindigkeit digitaler Signaturen in der nachfolgenden Zeit gelegentlich über- und
der Aufwand bei der Einrichtung von Zertifzierungsstellen und der Realisierung signaturbasierter Dienstleistungen unterschätzt worden sind. So verging beispielsweise
allein über ein Jahr, bis das erste genehmigte Trust Center, das Produktzentrum TeleSec der Deutschen Telekom, Anfang 1999 den Betrieb aufnehmen konnte. Und während unternehmensintern angeblich mit 30.000 ausgegebenen Signaturkarten im ersten Jahr kalkuliert worden war (Hillebrand/Büllingen 2000, 80), weist das Zertifikatsverzeichnis dieses Anbieters anderthalb Jahre später noch immer nur einige hundert
Kunden auf.
Einmal mehr zeigt sich am Beispiel digitaler Signaturen, dass der Erfolg technischer
Innovationen nicht allein von der Verfügbarkeit einer technischen Lösung – und in
diesem Fall auch den erforderlichen Anpassungen des juristischen Regelwerks – abhängt. Die Kunden öffentlicher und privater Dienstleister werden sich nämlich erst
dann eine Signaturkarte beschaffen, wenn ein möglichst umfangreiches OnlineAngebot den damit verbundenen Aufwand und die anfallenden Kosten rechtfertigt.
Umgekehrt gibt es für potentielle Anbieter kaum Anlass zur Entwicklung signaturbasierter Online-Dienste, solange nicht eine als ausreichend empfundene Anzahl von
Signaturkarten im Umlauf ist. Die Trust Center wiederum müssen möglichst schnell
eine möglichst große Kundenzahl gewinnen, um die hohen Fixkosten auf viele Schultern verteilen und die eigenen Dienste attraktiver gestalten zu können. Die Auflösung
dieses ökonomischen „Bermuda-Dreiecks“ wird neben kulturellen und organisatori1
Universität Bremen, FB 3, Technologie -Zentrum Informatik, Institut für Software Ergonomie und Informationsmanagement, Postfach 33 04 40, 28334 Bremen
email: [email protected], Internet: http://infosoc.informatik.uni-bremen.de
10.08.00, wind
2
schen Anpassungen auf Anbieter- und Anwenderseite entscheidenden Einfluss auf
das Schicksal digitaler Signaturen nehmen.
Um die zukünftige Entwicklung zuverlässig einschätzen zu können, sind sowohl
die allgemeinen Rahmenbedingungen für die Verbreitung und Nutzung digitaler Signaturen als auch die Erfahrungen aus laufenden Projekten zu würdigen. Der Stand bei
der Entwicklung von Signaturdiensten und -anwendungen sowie der Fortschreibung
der rechtlichen Bestimmungen wird in Kapitel 2 dargestellt. Kapitel 3 berichtet aus der
Werkstatt-Perspektive von ersten Erfahrungen bei der Entwicklung signaturbasierter
Dienstleistungen für Studierende. Zusammenfassend werden in Kapitel 4 jene Faktoren benannt, die darüber entscheiden werden, ob die Diffusion und Nutzung digitaler
Signaturen eine Erfolgsgeschichte wird.
2.
Digitale Signaturen – Stand der Entwicklung
2.1 Signaturdienste und -anwendungen
Die drei Sieger des von der damaligen Bundesregierung 1998 ausgeschriebenen Städtewettbewerbs MEDIA@Komm, die Städte Bremen und Esslingen sowie ein Verbund
unter der Federführung Nürnbergs, arbeiten gegenwärtig unter Hochdruck an der Realisierung signaturbasierter Online-Angebote ihrer Verwaltungen. Noch in diesem
Jahr werden beispielsweise in Bremen Pilotanwendungen realisiert, die es Signaturkarten-Inhabern ermöglichen, online Urkunden beim Standesamt anzufordern,
Nahverkehrs-Abonnements zu ändern, typische Vorfälle mit dem örtlichen Energieversorger und der Sparkasse abzuwickeln und Nachsendeanträge bei der Post zu stellen. Parallel dazu wird in Bremen intensiv an der Realisierung weiterer Anwendungsbündel gearbeitet, die sich an den Lebenslagen der Bürger und den dabei anfallenden
Kontakten mit öffentlichen und privaten Dienstleistern orientieren. Wer zum Beispiel
eine neue Wohnung bezogen hat, muss sich ummelden, bei der Post einen Nachsendeantrag stellen und die neue Adresse einer Vielzahl weiterer Dienstleister mitteilen.
Je mehr der in einer Lebenslage anfallenden Vo rgänge, die zuvor persönliches Erscheinen oder die Unterschrift unter ein Formular erforderten, zukünftig online erledigt werden können, desto größer ist der Nutzen einer Signaturkarte. Die Anwendungen, die im Rahmen von MEDIA@Komm noch bis August 2002 entwickelt und nachfolgend über die Siegerstädte hinaus eingesetzt werden können, stellen diesbezüglich
wichtige Meilensteine dar.
Auch in den Markt der Anbieter von Signaturdiensten is t Bewegung gekommen:
Nach der TeleSec hat Anfang 2000 ein zweites Trust Center, die Post-Tochter
Signtrust, die Arbeit aufgenommen, weitere Anbieter stehen in den Startlöchern. Die
entstehende Konkurrenz wird sich nicht nur positiv auf das Preisniveau auswirken,
sondern im Wettbewerb um die Kundengunst auch die Entwicklung nutzerfreundlicher Lösungen begünstigen. Beispielsweise ermöglicht erst die in weiten Teilen noch
ausstehende Einbindung der Signaturfunktion in handelsübliche Standard-Software
10.08.00, wind
3
wie E-Mail- oder Textverarbeitungsprogramme die komfortable Nutzung von Signatur- und Verschlüsselungsfunktionen.
Ein regelrechter Schub für die Verbreitung digitaler Signaturen ist zu erwarten,
wenn Banken und Sparkassen wie geplant die Chips der ab 2002 ausgegebenen ECKarten mit einer Signaturfunktion ausstatten werden. Die Besitzer einer neuen ECKarte können dann mit geringem Aufwand eine persönliche Signatur erhalten und die
bei elektronischen Transaktionen anfallenden Signier- und Zahlungsvorgänge mit ein
und derselben Karte durchführen.
Doch je mehr Anbieter auf dem Markt der Signaturdienste aktiv sind, desto drängender stellt sich die Frage nach der Interoperabilität der jeweiligen Verfahren. Um
digitale Signaturen in der Breite nutzen zu können, ist es unverzichtbar, dass der
Kunde des Trust Centers X problemlos die Signatur eines Kunden vom Trust Center
Y überprüfen und eine Mail an den Kunden des Trust Centers Z mit dessen öffentlichem Schlüssel verschlüsseln kann. Die in der „Arbeitsgemeinschaft der Trust Center-Betreiber“ mitwirkenden Anbieter, darunter auch die Deutsche Telekom und die
Deutsche Post, haben zu diesem Zweck im Oktober 1999 die „Industrial Signature Interoperability Specification“ (ISIS) verabschiedet (Belke 2000, 74). Realistischerweise
sollte allerdings davon ausgegangen werden, dass noch einige Abstimmungsrunden
und Entwicklungsarbeiten erforderlich sind, bis die Kunden unterschiedlicher Signaturdienste-Anbieter ohne größere Probleme Signatur- und Verschlüsselungsverfahren in der gegenseitigen Kommunikation einsetzen können.
2.2 Weiterentwicklung des Rechtsrahmens
Das Europäische Parlament und der Rat der EU haben Ende 1999 eine Richtlinie über
gemeinschaftliche Rahmenbedingungen für elektronische Signaturen erlassen, die bis
Mitte Juli 2001 in nationales Recht umzusetzen ist (zum Überblick: Roßnagel 2000). In
Deutschland ist geplant, das bestehende Signaturgesetz ab 1. Januar 2001 durch das
„Gesetz über Rahmenbedingungen für elektronische Signaturen“ abzulösen, das neben den Vorschriften der europäischen Richtlinie auch den Empfehlungen aus der
Evaluierung des Signaturgesetzes Rechnung tragen wird. Bedeutsam sind unter anderem folgende Neuerungen:
•
Der Terminus „digitale Signatur“ wird durch „elektronische Signatur“ ersetzt.
Darunter werden nach Artikel 2 der europäischen Richtlinie „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit
ihnen verknüpft sind und die zur Authentifizierung dienen“, verstanden.
Weitere Anforderungen werden nicht benannt. Von dieser einfachen Variante
zu unterscheiden sind „fortgeschrittene elektronische Signaturen“, die im
wesentlichen dem im bisherigen deutschen Signaturgesetz festgelegten Sicherheitsniveau entsprechen. Im deutschen Gesetzesentwurf ist von „qualifizierten elektronischen Signaturen“ die Rede, die auf qualifizierten Zertifikaten beruhen müssen.
10.08.00, wind
4
•
Zum Betrieb einer Zertifizierungsstelle ist nach europäischem Recht zukünftig
keine vorherige Genehmigung mehr erforderlich, allerdings müssen die Mitgliedsstaaten die in ihrem Bereich niedergelassenen Anbieter qualifizierter
Zertifikate kontrollieren (Artikel 3). Roßnagel (2000) sieht als Folge des Ve rzichts auf eine den Regelungen des SigG entsprechende Vorabkontrolle Beweisprobleme und -kosten auf Nutzer und Justiz zukommen, die sich nachteilig auf die Akzeptanz digitaler Signaturen auswirken könnten. Aufzufangen
ist dies seiner Ansicht nach allenfalls durch die in der Richtlinie eröffnete
Möglichkeit, dass „Mitgliedsstaaten freiwillige Akkreditierungssysteme einführen bzw. beibehalten, die auf die Steigerung des Niveaus der erbrachten
Zertifizierungsdienste abzielen.“ (Artikel 3 Absatz 2).
•
Die Mitgliedsstaaten können an den Einsatz elektronischer Signaturen im öffentlichen Bereich besondere Anforderungen stellen, die aber „objektiv,
transparent, verhältnismäßig und nichtdiskriminierend sein“ müssen und „für
grenzüberschreitende Dienste für den Bürger kein Hindernis darstellen“ dürfen (Artikel 3 Absatz 7).
•
Eine Neuerung stellt die in Artikel 6 der Richtlinie formulierte Anforderung
nach einer Haftungsregelung für Anbieter qualifizierter Zertifikate dar. In § 12
des deutschen Gesetzesentwurfs ist eine Deckungsvorsorge in Höhe von
mindestens 250.000 € vorgesehen.
•
Der Evaluationsbericht zum Infomations- und Kommunikationsdienste-Gesetz
weist auf Unsicherheiten in der Frage, ob und in welchem Umfang Aufgaben
der Zertifizierungsstelle an andere Stellen delegiert werden können, hin (IuKDG-Bericht 1999, 36). Im deutschen Gesetzesentwurf stellt § 4 Absatz 5
klar, dass Aufgaben an Dritte übertragen werden können, sofern diese ins Sicherheitskonzept der Zertifizierungsstelle einbezogen werden. Diese Vo rschrift ist so allgemein gehalten, dass sie auch die dezentrale Personalisierung von Signaturkarten, also das Aufbringen des privaten Schlüssels auf
die Chipkarte am Ort der Antragstellung, realisiert über eine gesicherte Datenverbindung zwischen dem Rechenzentrum einer Zertifizierungsstelle und
einem örtlichen Dienstleister, nicht ausschließt.
In der Begründung zur Notwendigkeit einer europäischen Richtlinie wird unter anderem angeführt, dass der freie Warenverkehr im Binnenmarkt auch für Zertifizierungsdienste gelten solle und es den Bürgern ermöglicht werden müsse, Signaturen grenzüberschreitend zu nutzen. Damit potenziert sich das bereits beschriebene Problem der
Interoperabilität, ist doch völlig offen, wie etwa ein in Frankreich ausgestelltes Zertifikat durch eine deutsche Behörde zuverlässig geprüft werden kann.
Wie schon das Signaturgesetz wird auch dessen Nachfolger lediglich den Rahmen
für den Einsatz elektronischer Signaturen regeln, aber nicht als eine Art Generalklausel die elektronische Signatur mit der in zahlreichen Normen geforderten handschriftlichen Unterschrift gleichstellen. Signalcharakter ist diesbezüglich von der geplanten
10.08.00, wind
5
Ergänzung des BGB um den § 126a zu erwarten, der für weite Bereiche des Zivilrechts
die Verwendung elektronischer Signaturen erlauben wird. Ähnliche Änderungen sind
für Normen des öffentlichen Rechts geplant oder sogar schon realisiert. In Bremen
gilt seit dem 1. Juni 1999 ein Erprobungsgesetz, das es den Senatoren erlaubt, in ihrem Zuständigkeitsbereich durch Rechtsverordnung „abweichend von der Schriftform auch eine Übermittlung in elektronischer Form“ zuzulassen. Diesem Vorbild folgend hat der Landtag von Baden-Württemberg im Juli 2000 mit dem „eBürgerdienste-Gesetz“ ebenfalls den Weg zur Erprobung digitaler Signaturen freigemacht. Vereinzelt wird inzwischen auch schon bezweifelt, dass die Schriftformerfordernisse im Verwaltungsrecht dem Einsatz elektronischer Signaturen generell entgegenstehen (Eifert 2000).
2.3 Fazit: positive Signale für die Online -Verwaltung
Nach den unvermeidlichen Startschwierigkeiten und trotz sicherlich berechtigter Kritik an einzelnen Regelungen der europäischen Signatur-Richtlinie sind positive
Signale für die Realisierung rechtsverbindlicher Online-Transaktionen zwischen
Verwaltungen und Bürgern unverkennbar:
•
Im Rahmen von MEDIA@Komm werden prototypische Anwendungen entwickelt und wertvolle Erfahrungen bei Aufbau und Betrieb von Public KeyInfrastrukturen im öffentlichen Bereich gesammelt.
•
Die zunehmende Anbieterzahl von Zertifizierungsdiensten senkt die Kosten
für die Kunden und fördert den Wettbewerb um nutzerfreundliche Produkte.
•
Die geplante Integration von Signatur- und EC-Karten macht Millionen Kunden der Kreditwirtschaft zu potentiellen Inhabern einer digitalen Signatur und
erleichtert das Kartenhandling ungemein.
•
Die europäische Richtlinie schafft Rechtsicherheit im EU-Binnenmarkt, im
Zuge ihrer Umsetzung in deutsches Recht kann den seit 1997 gewonnenen
Erfahrungen Rechnung getragen werden.
•
Es ist absehbar, dass in absehbarer Zeit das Schriftformerfordernis in vielen
Gesetzen und Vorschriften gelockert oder abgeschafft wird, wodurch sich
neue Einsatzfelder für digitale Signaturen eröffnen.
Nachdem die Rahmenbedingungen für den Einsatz digitaler Signaturen durchaus optimistisch stimmen, bleibt zu fragen, welche Erfahrungen gegenwärtig in Projekten zur
Entwicklung signaturbasierter Online-Dienste gesammelt werden und welcher Gestaltungsbedarf in den einzelnen Anwenderorganisationen zu bewältigen ist.
10.08.00, wind
6
3.
Aus der Projektwerkstatt: Entwicklung signaturbasierter
Online -Dienste für Studierende
Im Rahmen der Bremer MEDIA@Komm-Aktivitäten entstehen gegenwärtig auch Online-Angebote für Studierende der Universität Bremen sowie der (Fach)Hochschulen
Bremen und Bremerhaven. Damit wird einer überschaubaren Zielgruppe mit überdurchschnittlichen Medienkompetenzen angeboten, Signaturkarten zur Erledigung
der studiumsbegleitenden Verwaltungsangelegenheiten zu nutzen. Ausgehend von
vergleichsweise einfachen Vorgängen wie der Mitteilung einer Adressänderung oder
der Beantragung eines Urlaubssemesters werden im Projektverlauf komplexere Anwendungen wie die An- und Abmeldung zu Prüfungen oder der selbsttätig veranlasste Ausdruck von Leistungsnachweisen realisiert.
Am Beispiel der Lebenslage Studium lassen sich Besonderheiten und Anforderungen signaturbasierter Dienstleistungen diskutieren, die in ähnlicher Form auch bei
anderen Anwendungsbündeln auftreten. Dies betrifft unter anderem die technische
Infrastruktur und das ökonomische Geschäftsmodell (3.1), die Authentifizierung gegenüber den Anwendungssystemen (3.2), den verwaltungsinternen Workflow (3.3),
das dortige Key-Management (3.4) sowie Hilfestellungen und Zugangsmö glichkeiten
für die Anwender (3.5).
3.1 Infrastruktur und Geschäftsmodell
Schon seit einigen Jahren offerieren einige Universitäten und Fachhochschulen ihren
Studierenden Selbstbedienungsangebote. Diese Dienste basieren in der Regel auf
hochschulspezifischen Kartensystemen, mit denen an Selbstbedienungsstationen
auf dem Campus Verwaltungsangelegenheiten erledigt werden können. Im Unterschied dazu kommen in Bremen gesetzeskonforme digitale Signaturen, ausgegeben
von einem externen Trust Center, zum Einsatz. Die derzeit in Entwicklung befindlichen
Online-Dienste werden nicht nur über vereinzelte Terminals, sondern von jedem PC
mit Internet-Zugang und angeschlossenem Kartenleser aus zu nutzen sein.
Die Entwicklung elektronischer Dienstleistungen an Universität und Hochschulen
ist eingebettet in die gesamtstädtischen Online-Aktivitäten Bremens und integraler
Bestandteil des Bremer MEDIA@Komm-Vorhabens. Erleichtert wurde diese Kooperation durch den Status als Stadtstaat, der umständliche Abstimmungsprozeduren
zwischen Kommune und staatlicher Kultusbürokratie erübrigt. Wesentliche Teile der
Online-Anwendungen für Studierende sind auf der für den „bremer-online-service“
eigens entwickelten technischen Plattform angesiedelt. Die Plattform fungiert als
technische Infrastruktur für alle im Rahmen von MEDIA@Komm entstehenden
Dienstleistungen, hält die für die Anwendungen erforderlichen Online-Formulare vor
und prüft die Gültigkeit der Signaturzertifikate der Nutzer. Die Anwender haben es
also zunächst mit der zentralen Plattform zu tun und werden von dieser an das jewei-
10.08.00, wind
7
lige Hochschulsystem weitervermittelt. Die Daten der Studierenden bleiben geschützt
auf den Servern der Hochschulen.
Der Zugriff auf externe Infrastruktur-Leistungen erspart es Universität und Hochschulen, die für Online-Dienste erforderlichen Investitionen in Technik und Personal
alleine schultern zu müssen. Durch die Verwendung marktüblicher Signaturkarten
kann auch auf hochschuleigene Infrastrukturen zur Erstellung, Personalisierung und
Verwaltung von Chipkarten verzichtet werden. Angeboten wird statt dessen ein offenes System, das perspektivisch auch vom zugezogenen Neustudenten genutzt werden kann, der sich bereits an seinem früheren Wohnort eine Signaturkarte besorgt
hat.
Neben Studierenden, Trust Center und Hochschulen ist in diesem Organisationsmodell eine vierte Instanz, nämlich der Betreiber der technischen Plattform, beteiligt.
Dieser wird sich nach Ablauf der Projektförderung mit seinen Kunden über die Finanzierung der angebotenen Dienstleistungen auseinandersetzen müssen. Vorstellbar
sind transaktionsbezogene Gebühren oder Festpreise, die um so günstiger gestaltet
werden können, je mehr Abnehmer für die eigenen Leistungen gefunden werden. Da
die deutschen Hochschulen über leistungsfähige Wege zur Datenübertragung verfügen und die sensiblen personenbezogenen Daten vor Ort gehalten werden können,
ist dieses Geschäftsmodell über Bremens Grenzen hinaus tragfähig.
3.2 Authentifizierung per Signaturkarte
Anders als die vielerorts verwendeten „Uni-Karten“ beinhalten Signaturkarten keine
Angaben darüber, dass der Inhaber im laufenden Semester an der betreffenden
Hochschule eingeschrieben und somit berechtigt ist, die elektronischen Dienstleistungen in Anspruch zu nehmen. Nachdem im ersten Schritt die Gültigkeit des Signaturzertifikats festgestellt worden ist, muss folglich in einem zweiten Schritt die Zugangsberechtigung der betreffenden Person zum System der Hochschule überprüft
werden.
Ein komfortabler Weg könnte wie folgt aussehen: Vor der erstmaligen Inanspruchnahme der Dienste füllt der Nutzer ein Anmeldeformular aus und signiert es digital.
Der eingegebene Name wird mit den entsprechenden Angaben des auf der Karte gespeicherten Signaturzertifikats abgeglichen, anschließend wird in der HochschulDatenbank überprüft, ob ein(e) Student(in) dieses Namens mit der zuvor (zur Vermeidung von Verwechslungen bei Namensgleichheit) eingetippten Matrikelnummer existiert. Ist dies der Fall, kann ein auf der Karte befindliches Merkmal, beispielsweise der
öffentliche Schlüssel, in einem Extrafeld der Hochschul-Datenbank abgelegt werden,
über das bei nachfolgenden Nutzungen die Ve rbindung zwischen Karte und den im
System befindlichen personenbezogenen Daten hergestellt wird.
Das Missbrauchsrisiko ist geringer als es auf den ersten Blick erscheinen mag: Natürlich ist es möglich, dass sich bei Namensgleichheit eine Person für die andere ausgibt und in deren Namen unbefugt die Dienste in Anspruch nimmt. Die Nutzung der
10.08.00, wind
8
eigenen Signaturkarte macht ihn (oder sie) aber zweifelsfrei identifizier- und haftbar.
Die Beweislast für eine mis sbräuchliche Verwendung der Signaturkarte durch andere
Personen liegt beim Inhaber der Signaturkarte. Daher muss den Nutzern die absolute
Vertraulichkeit der zur Signaturerzeugung erforderlichen PIN zu jeder Zeit bewusst
sein. Online-Dienste bieten an diesem Punkt einen deutlichen Sicherheitsvorteil gegenüber der heute praktizierten Verwendung von Formularen, die in der Regel ohne
zusätzliche Identitätsüberprüfung entgegengenommen und bearbeitet werden.
3.3 Papierloser Workflow in der Verwaltung
Online-Dienste bringen nicht nur Erleichterungen für die Verwaltungskunden, in unserem Fall also die Studierenden, mit sich, sondern ermöglichen auch weitreichende
Vereinfachungen der nachfolgenden Vorgangsbearbeitung. Die Daten der Antragsteller gehen bereits in digitaler Form ein und können ohne Medienbrüche weiterbearbeitet werden. Voraussetzung dafür ist allerdings, dass überhaupt entsprechende
Fachsysteme vorhanden sind und Kompatibilität zu den Online-Verfahren hergestellt
wird.
Die am Bremer MEDIA@Komm-Projekt beteiligten Hochschulen nutzen für Geschäftsvorfälle der Studierendenverwaltung Systeme desselben Anbieters, allerdings
in unterschiedlichen Versionen. Und während am einen Standort ein Update geplant
ist, wird an einer anderen Hochschule bereits der Komplettumstieg auf Systeme eines
anderen Herstellers vorbereitet. Die Heterogenität der Systemumwelt nimmt damit
tendenziell zu. Online-Dienste sind also so zu gestalten, dass sie mit Hintergrundsystemen unterschiedlicher Anbieter zusammenwirken können. Umgekehrt mü ssen die
jeweiligen Fachsysteme an die mit elektronischen Dienstleistungen einhergehenden
Erfordernisse angepasst werden können. Beispielsweise ist es erforderlich, ein
zusätzliches Feld einzurichten, in dem der öffentliche Schlüssel zur Authentifizierung
des Nutzers (s.o.) hinterlegt werden kann.
Die zu Beginn des Projektes an Universität und Hochschulen durchgeführten Geschäftsprozessanalysen haben gezeigt, dass Online-Angebote vor allem bei Geschäftsvorfällen aus der Prüfungsverwaltung für alle Beteiligten erheblichen Mehrwert mit sich bringen. Besonders deutlich wird dies bei Saisongeschäften wie Anund Abmeldungen zu Prüfungen am Semesterende und der Ausgabe von Leistungsnachweisen zu Beginn des folgenden Semesters. Obwohl der Einsatz digitaler Signaturen in der Prüfungsverwaltung einen hohen Nutzen verspricht, werden entsprechende Dienste in Bremen und an vielen anderen deutschen Hochschulen erst dann
realisiert werden können, wenn in Prüfungsämtern und Fachbereichssekretariaten ein
der Studierendenverwaltung vergleichbarer Grad an technischer Unterstützung erreicht ist. Moderne Prüfungsverwaltungssysteme sind die technische Basis, damit
sich Studierende ihre Leistungsnachweise an hochschulöffentlichen Terminals ausdrucken oder Prüfungsan- und -abmeldungen online vorgenommen und automatisch
an die Prüfer weitergeleitet werden können.
10.08.00, wind
9
Der Übergang von der papiergebundenen zur papierlosen Vorgangsbearbeitung
setzt aber nicht nur eine entsprechende technische Infrastruktur voraus, sondern erfordert auch die Anpassung jener rechtlicher Bestimmungen, die persönliches Erscheinen eines Antragstellers oder die Vorlage bestimmter Dokumente verlangen. In
vielen Fällen haben sich solche Vorschriften überlebt, so dass die Einführung elektronischer Dienstleistungen einen willkommenen Anlass zum Abschneiden alter Zöpfe bietet. In anderen Fällen werden Belege oder Leistungsnachweise auch zukünftig
beigebracht werden müssen. Hier setzt eine durchgängig elektronische Beantragung
und Bearbeitung voraus, dass auch die erforderlichen Dokumente in elektronischer,
von den zuständigen Stellen digital signierter Form vorliegen. Den vollen Komfort
von Online-Diensten der Prüfungsverwaltung beispielsweise werden erst diejenigen
nutzen können, deren Leistungen vom ersten Semester an elektronisch dokumentiert
worden sind.
Digitale Signaturen ermöglichen eine gegenüber der heutigen Praxis effektivere
und effizientere Gestaltung von Verwaltungsabläufen. Um das Potential der Technik
aber wirklich auszuschöpfen, muss der Abschied vom papiergebundenen Verwaltungshandeln über die Organisationsgrenzen einzelner Vorreiter hinaus möglichst
den gesamten öffentlichen Sektor erfassen. Weitere Anwendungsfelder für OnlineDienste werden sich ergeben, wenn elektronische Bescheinigungen der einen Stelle
an eine andere weitergereicht werden können, also z.B. eine digital signierte Bescheinigung über die Geburt eines Kindes dem Online-Antrag auf Beurlaubung vom Studium beigefügt werden kann. Ebenso wäre denkbar, dass elektronische Belege auf
Veranlassung des Betroffenen direkt von einer Verwaltung zur anderen übermittelt
werden. Die momentan durchgeführten Projekte stellen insofern bestenfalls die Spitze
eines Eisbergs dar, dessen wirkliche Größe sich erst langsam zeigt.
3.4 Key-Management in der Verwaltung
Ebenso wie die Verwaltungen haben auch deren Transaktionspartner großes Interesse daran, dass Mitteilungen und Bescheide rechtsverbindlich und unverfälscht bei
ihnen ankommen. Innerhalb der Verwaltung ist daher festzulegen, welche Mitarbeiter
eine Signaturkarte benötigen und welche Angelegenheiten von welchem Personenkreis bearbeitet und signiert werden dürfen. Dies lässt sich in Anlehnung an bestehende Regelungen und Verfahren vergleichsweise einfach regeln. Größere Probleme
wirft die Frage auf, wie Organisationszugehörigkeit und Befugnisse des Absenders
gegenüber dem Empfänger zuverlässig nachgewiesen werden können, wenn es keine
offiziellen Briefköpfe mehr gibt bzw. deren Pendants im elektronischen Geschäftsverkehr sehr einfach zu fälschen sind. Zudem werden digitale Signaturen ausschließlich
für natürliche und nicht für juristische Personen ausgestellt.
Der Gesetzgeber hat für diese Fälle die Vergabe sogenannter Attributzertifikate
vorgesehen, mit denen die Zugehörigkeit zu einem Berufsstand (Rechtsanwälte, Notare usw.) oder Zeichnungsbefugnisse zuverlässig nachgewiesen werden können.
10.08.00, wind
10
Diese durch eine Signatur des ausstellenden Trust Centers geschützten Zertifikate
können bei Bedarf einer Mitteilung beigefügt und vom Empfänger auf ihre Richtigkeit
überprüft werden. Ihre Beantragung gestaltet sich allerdings äußerst umständlich, die
TeleSec besteht beispielsweise auf Hinzuziehung eines Notars. Zudem verursachen
Attributzertifikate zusätzliche Kosten, da die notarielle Tätigkeit gebührenpflichtig ist
und sich auch das Trust Center die Ausstellung dieser zusätzlichen Zertifikate bezahlen lässt. Da Attributzertifikate personenbezogen ausgestellt werden, sollten die darin
aufgenommenen Angaben nicht zu eng gefasst sein. Andernfalls müsste bei einem
Wechsel des Arbeitsplatzes ein neues kostenpflichtiges Zertifikat beantragt werden,
auch bei vertretungsweise wahrgenommenen Aufgaben könnten sich Probleme ergeben.
Angesichts der mit Attributzertifikaten verbundenen Umstände und Kosten ist zu
überlegen, ob diese oder ähnliche Lösungen nicht gänzlich verzichtbar sind. Ähnlich
wie bei der Authentifizierung der Nutzer gegenüber dem Hintergrundsystem kann
schließlich davon ausgegangen werden, dass die persönliche Zurechenbarkeit von
signierten Mitteilungen vor Amtsanmaßung und Betrug schützt. Mitteilungen und
Bescheide sollten die Funktion des Unterzeichners wiedergeben, so dass sich der
Empfänger telefonisch von der Richtigkeit der Angaben überzeugen kann. Dies wird
in all jenen Fällen ausreichen, in denen Verwaltungskunden ein verschlüsseltes Formular übermittelt und damit einen Vorgang selbst angestoßen haben, wie dies in nahezu allen Angelegenheiten der Studierenden- und Prüfungsverwaltung der Fall ist.
Wer sonst, wenn nicht das dafür zuständige Sekretariat für Studierende sollte beispielsweise auf einen Beurlaubungsantrag reagieren? Anders sieht dies aus, wenn
Vorgänge nicht durch den Bürger selbst angestoßen wurden und unerwartete Mitteilungen einer Behörde eintreffen. Selbst in diesen Fällen kann die Signatur aber überprüft und die Zuständigkeit des Unterzeichners in Zweifelsfällen erfragt werden.
Der Versand elektronischer Post an die Verwaltungskunden ist das eine, die Entschlüsselung eingegangener Mitteilungen das andere. Es muss sichergestellt werden, dass eingegangene Anträge und Briefe von mehr als einer Person entschlüsselt
werden können, ohne die Vertraulichkeit der Korrespondenz zu gefährden. Andernfalls könnten elektronische Mitteilungen nicht bearbeitet werden, wenn der Mitarbeiter, dessen öffentlicher Schlüssel benutzt wurde, nicht (mehr) am Arbeitsplatz erscheint oder seine Signaturkarte verliert. Abhilfe bieten Hybridverfahren, bei denen
sich die Verwaltungsmitarbeiter zwar mittels persönlicher digitaler Signatur authentifizieren, die Verschlüsselungsmechanismen der Online-Dienste aber nicht in gleichem
Maße personengebunden gestaltet werden, so dass eingegangene Mitteilungen notfalls auch von befugten Kollegen entschlüsselt werden können.
10.08.00, wind
11
3.5 Informationen und Hilfe für die Anwender
Über all die Bemühungen um organisatorisch und technisch überzeugende Lösungen
darf der Blick für die Kundinnen und Kunden der Online-Dienste nicht verloren gehen. Im wesentlichen lassen sich gegenwärtig vier Gruppen unterscheiden:
1. Der überwiegende Teil der Bevölkerung hat von digitalen Signaturen bestenfalls
am Rande etwas gehört, ohne sich näher damit zu beschäftigen. Selbst in technikbegeisterten Kreisen ist das Wissen über Sinn und Funktionsweise digitaler Signaturen noch immer eher spärlich gestreut.
2. Eine kleine Gruppe nutzt digitale Signaturen beruflich, ein Beispiel dafür ist der
breitflächige Einsatz digitaler Signaturen im Haushalts- und Kassenwesen der
Landesverwaltung Niedersachsens. Unverständlicherweise ist es den dort tätigen
Mitarbeitern übrigens nicht gestattet, ihre Signaturkarten auch privat zu nutzen,
dies mag in anderen Anwendungsfeldern aber weniger restriktiv geregelt sein.
3. Eine vermutlich noch kleinere Gruppe bildet den Kern jener Erstanwender, die jeder technischen Neuerung erst einmal positiv gegenüberstehen und diese im
praktischen Einsatz testen wollen. Ergänzt wird dieser Kreis der Technikbegeisterten durch die Personen, die gegenwärtig, insbesondere im Zusammenhang mit
MEDIA@Komm, in die Entwicklung signaturbezogener Dienstleistungen einbezogen sind. Dies sind allein beim Bremer Teilprojekt zur Entwicklung von OnlineDiensten für Studierende etwa 80 Personen, Tendenz steigend.
4. Schließlich gibt es auch im Zusammenhang mit der Entwicklung signaturbasierter
Online-Dienste warnende Stimmen, die darin einen weiteren Schritt zum gläsernen
Menschen sehen. Im speziellen Fall des Projektes an den Bremer Hochschulen
richtet sich die Kritik insbesondere auf die Verwendung von Chipkarten, wobei
digitale Signaturen beharrlich mit digital gespeicherten Persönlichkeitsprofilen
verwechselt werden. Diese Diskussionen sind allerdings eher bildungs- und
hochschulpolitisch motiviert, während die tatsächlichen Planungen kaum zur
Kenntnis genommen werden.
Da bislang erst ein verschwindend kleiner Personenkreis Kenntnisse über Funktionsweise und Einsatzmöglichkeiten digitaler Signaturen besitzt, ist eine offensive
und umfassende Informationspolitik über Ziele und Vorgehen entsprechender Projekte unverzichtbar. Bedenken bezüglich Datenschutz und Datensicherheit dürfen nicht
vorschnell mit dem Hinweis auf technische Features oder positive Statements von
Datenschützern beiseite geschoben werden. Entscheidend ist, dass die zu Datenschutz und -sicherheit getroffenen Vorkehrungen auch subjektiv wahrgenommen
werden. Ohne Vertrauen in die Zuverlässigkeit von Anbietern und Angeboten wird
auch der bürgerfreundlichste Online-Dienst keinen Zuspruch finden. Die Anwendungen selbst mü ssen so gestaltet werden, dass die Nutzer zu jedem Zeitpunkt wissen, an welcher Stelle des Online-Ablaufs sie sich gerade befinden, welche Daten an
welche Stelle weitergeleitet werden, wie Hilfe oder Zusatzinformationen angefordert
10.08.00, wind
12
werden können und was als nächstes zu tun ist. Die gestalterischen Ansprüche sind
dementsprechend hoch.
Zu überlegen ist ferner, wie es auch wenig technikerfahrenen Personen ermö glicht
werden kann, die Online-Dienste zu nutzen. Im Rahmen des Bremer MEDIA@KommProjekts ist zu diesem Zweck die Einrichtung betreuter Nutzerplätze geplant. Geschultes Personal soll hier das Spektrum der verfügbaren Dienste demonstrieren und Unterstützung bei ihrer Inanspruchnahme anbieten. Solche betreuten Zugangsplätze
machen die elektronischen Dienstleistungen einem größeren Nutzerkreis zugänglich
und sind damit zugleich ein Beitrag, dem „digital divide“ einer Gesellschaft entgegenzuwirken (Kubicek 1999).
Obwohl Studierende über vergleichsweise hohe Medienkompetenzen verfügen,
sind derartige Betreuungsangebote auch an den Hochschulen vorgesehen. Zum einen zeigt die Erfahrung, dass sich selbst bei technikgeübten Anwendern gelegentlich
Klärungsbedarf zum Ablauf elektronischer Transaktionen ergibt, zum anderen sollen
in begrenztem Maße Auskünfte zu Details der einzelnen Geschäftsvorfälle gegeben
werden, die für alle Anwendergruppen gleichermaßen relevant sind. Da über die
Hochschulanwendungen hinaus ein Zugang zu den übrigen Online-Diensten privater
und öffentlicher Stellen in Bremen angeboten wird, besteht die Herausforderung darin, häufig auftauchende Probleme zu identifizieren und es den Betreuern zu ermöglichen, auch bei jenen Geschäftsvorfällen behilflich zu sein, die außerhalb ihres eigentlichen Tätigkeitsspektrums liegen. Vom Anspruch her sollte also der an einer Hochschule tätige Betreuer durchaus in der Lage sein, einem Studierenden das OnlineFormular der Meldebehörde zu erläutern.
4. Ausblick: Ansatzpunkte für eine Erfolgsstory
Die Diffusion digitaler Signaturen ist kein Selbstläufer, sondern gehorcht denselben
Gesetzmäßigkeiten, die bereits bei anderen technischen Innovationen, etwa den Chipkartensystemen im Zahlungsverkehr, zu beobachten waren: „Eine neue Technik ist da
und sucht nun ihre Anwendungen. Die Techniker sind dabei etwas hilflos, weil die
Anwendungsentwicklung kein technisches Problem mehr ist, sondern organisatorische, rechtliche, soziale und psychologische Fragen aufwirft und es letztlich von
ökonomischen Faktoren abhängt, welche Anwendungen durchgesetzt werden können.“ (Kubicek/Klein 1995, 23)
Diese „Faktoren“ sind durchaus beeinflussbar. Gestaltungsbedarf ergibt sich im
Falle digitaler Signaturen sowohl hinsichtlich der übergeordneten technischen und
rechtlichen Rahmenbedingungen („Makroebene“) als auch auf der Ebene der jeweiligen Anwendungsbereiche („Mesoebene“) an Hochschulen, in Verwaltungen oder
bei privaten Dienstleistern. Nachfolgende Tabelle benennt zentrale Handlungsfelder.
Obwohl die elementaren technischen Entwicklungen vorliegen und die Anpassung des Rechts rahmens erfreulich weit fortgeschritten ist, dürfen die bis zum breitflächigen Einsatz digitaler Signaturen noch erforderlichen Arbeiten in Komplexität
10.08.00, wind
13
und Umfang nicht unterschätzt werden. In diesem Zusammenhang kann der Städtewettbewerb MEDIA@Komm schon jetzt als gelungene Initiative bezeichnet werden.
Nur durch die praktische Erprobung lässt sich weiterer Gestaltungsbedarf in den genannten Feldern erkennen und der für ein breitflächiges Online-Angebot erforderliche Erfahrungsschatz gewinnen.
Einflussfaktoren
technisch
„Makroebene“
•
•
juristisch
•
•
organisatorisch
•
•
ökonomisch
•
•
kulturell/
psychologisch
•
•
Interoperabilität der Produkte unterschiedlicher
Trust Ce nter
Einbindung der Signaturfunktion in Standard Software
Erfahrungsgeleitete Weiterentwicklung des Rechtsrahmens (SigG bzw. Nachfolgegesetz)
Gleichstellung Signatur und
Unterschrift in Gesetzen
und Verordnungen
Verfahren zur dezentralen
Registrierung und Personalisierung
Entwicklung neuer Organis ationsmodelle
kostengünstige Infras tru ktur und Hardware (z.B. Kartenleser)
Integration von Signaturund Zahlungsfunktion auf
einer Karte
Abschied von „Schriftku ltur“
Information üb er Funktion
und Einsatzmöglichkeiten
digitaler Signaturen
•
•
•
•
•
•
•
„Mesoebene“
Entwicklung von OnlineDiensten
Anpassung der Fachsysteme
Infrastruktur für Workflow
Gleichstellung von Signatur
und Unterschrift in internen
Regelwerken
Erarbeitung von Regeln für
Einsatz digitaler Signaturen
Übergang von papierg ebundener zu papierloser
Vorgangsbearbeitung
Key-Management
•
•
Kosten-Nutzen-Analysen
tragfähige Geschäftsbeziehungen mit SignaturDienstleistern
•
Information der Mitarbeiter
und Kunden
Konzept zum Zugang zu
Online-Diensten
•
Gestaltungsbedarf zur Etablierung signaturbasierter Online-Dienste
10.08.00, wind
14
Um digitalen Signaturen zum Durchbruch zu verhelfen bedarf es sicherlich weiterer
Fördermaßnahmen. Dringend erforderlich ist aber auch eine bessere und stärkere
Publicity. Alle Beteiligten, von den Trust Centern über private und öffentliche Anbieter von Online-Diensten bis hin zum Gesetzgeber, sind gefordert, die Bevölkerung
über Sinn und Funktionsweise digitaler Signaturen zu informieren und um Ve rtrauen
für diese noch verhältnismäßig neue Technik zu werben. Bill Clinton hat es vorgemacht, als er das amerikanische Gesetz zur Verwendung digitaler Signaturen erst unterschrieb und anschließend publikumsträchtig elektronisch signierte. Reflexartig
wurden anschließend Forderungen erhoben, dass es ein solches Gesetz auch in
Deutschland geben müsse, um den technologischen Anschluss nicht zu verlieren. So
geschehen im Sommer 2000.
Literaturverzeichnis
Belke, M. (2000): Die digitale Signatur kurz vor dem Start. Perspektive SigG-konformer
Trustcenter, in: Datenschutz und Datensicherheit 2/2000, S. 74-76
Bericht der Bundesregierung über die Erfahrungen und Entwicklungen bei den neuen
Info rmations- und Kommunikationsdiensten im Zusammenhang mit der Umsetzung des Informations- und Kommunikationsdienste-Gesetzes vom
18.06.1999
(IuKDG-Bericht
1999),
http://www.iid.de/iukdg/berichte/BERICHTiukdg-neu-2.html
Eifert, M. (2000): Online-Verwaltung und Schriftform, erscheint in: Kommunikation
und Recht 9/2000 (Beiheft)
Hillebrand, A., Büllingen, F. (2000): Erfolgsfaktoren digitaler Signaturen. Eine Analyse
aus sozio -ökonomischer Sicht, in: Datenschutz und Datensicherheit 2/2000, S.
80-84
Kubicek, H. (1999): Vor einer neuen Teilung der Gesellschaft: Chancengleichheit und
Multimedia, Vortrag auf dem Potsdamer Fachkongress „Chancengleichheit Leitbegriff für Politik und Gesellschaft im 21. Jahrhundert“, 12. November 1999
Kubicek, H., Klein, S. (1995): Wertkarten im Zahlungsverkehr, Trends und Perspekt iven auf dem Weg zur elektronischen Geldbörse. Wiesbaden
Roßnagel, A. (2000): Digitale Signaturen im europäischen Rechtsverkehr, in: Kommunikation und Recht 7/2000, S. 313-323
10.08.00, wind