th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Elektronische Signatur - allgemeiner Überblick

Kurzinformation

Im Rahmen des E-Business, E-Commerce und E-Government ergibt sich die Notwendigkeit, die Identität des Kommunikationspartners beweisbar festzustellen. Aus diesem Grund wurden unverfälschbare, nachweisbare und nachvollziehbare Unterschriften – sogenannte elektronische oder digitale Signaturen - entwickelt. 

Achtung!
Die Rechtswirkungen einer eigenhändigen Unterschrift werden nur durch die Verwendung einer qualifizierten Signatur erfüllt! 

Technische Grundlagen

Grundsätzlich werden bei der elektronischen Übermittlung alle Daten im Klartext, dh für jeden lesbar, übermittelt und sind dadurch auch technisch sehr leicht zu verändern oder zu verfälschen. Eine Voraussetzung der Sicherheit im elektronischen Verkehr ist deshalb die Verschlüsselung (Kryptographie). Bei der Kryptographie werden Informationen so verändert, dass sie für Dritte unlesbar werden und in vertretbarer Zeit auch nicht auf den Klartext rückgerechnet werden können.

Bei der sogenannten asymmetrischen Verschlüsselung (Public Key Verfahren) wird ein Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel verwendet. Es handelt sich daher um ein Zwei-Schlüsselverfahren (geheimer und öffentlicher Schlüssel).

Der geheime Schlüssel (Secret Key) ist meist auf einer Chipkarte gespeichert und nur maximal einer Person, nämlich dem zugeordneten Schlüsselinhaber bekannt. Den öffentlichen Schlüssel kann jeder kennen. Diese beiden Schlüssel werden von einer Zertifizierungsstelle erzeugt und einem Nutzer zugeordnet. Verschlüsseln bedeutet, dass ein Dokument mit dem öffentlichen Schlüssel verschlüsselt wird und nur der Besitzer des geheimen (privaten) Schlüssels das Dokument entschlüsseln kann. Mittels öffentlichem Schlüssel (Public Key) werden Nachrichten ver-, mittels privatem Schlüssel (private key) entschlüsselt.

Die Garantie, dass der Versender der Nachricht auch tatsächlich jener ist, der er vorgibt zu sein, bietet jedoch nicht die Verschlüsselung, sondern besondere Formen der  elektronischen Unterschrift (fortgeschrittene und qualifizierte Signatur).  In diesem Sinne elektronisch signiert bedeutet, dass die Nachricht weiterhin leserlich bleibt, jedoch mit einem besonderen Schutzmechanismus versehen wird. Solche elektronischen  Signaturen werden der Nachricht beigefügt, lassen jedoch den Inhalt eines elektronischen Dokuments unverändert. Signieren bedeutet in diesem Zusammenhang, dass ein Dokument mit dem geheimen Schlüssel verschlüsselt (signiert) wird und jeder mit Hilfe des öffentlichen Schlüssels die Signatur überprüfen kann. Das Signieren (elektronisches Unterschreiben) ist nichts anderes als die Umkehrung des Verschlüsselns. Freilich können auch beide Methoden auf eine Nachricht angewendet werden, sodass sie zuerst verschlüsselt und dann signiert wird. 

Einer der Signaturschlüssel bleibt privat, während der öffentliche Schlüssel - ein Signaturprüfschlüssel - veröffentlicht wird. Dabei wird sichergestellt, dass der private Schlüssel nicht aus dem öffentlichen Schlüssel berechnet werden kann. Mit dem öffentlichen Schlüssel des Senders kann der Empfänger herausfinden, ob die signierten Daten verändert wurden, ob der öffentliche und private Schlüssel des Senders ein komplementäres Schlüsselpaar bilden und ob Veränderungen der Daten vorliegen. Was sich hier wie ein komplizierter mathematischer Prozess anhört, geschieht in der Praxis in Sekundenschnelle im Rechner und der Empfänger bekommt angezeigt, ob die Signatur gültig ist oder nicht.

Damit kann der Empfänger sicher sein, dass die Nachricht vom richtigen Absender kommt, das Empfangene auch das ist, was der Sender unterschrieben hat und dass die Datei auf dem Weg vom Sender zum Empfänger nicht manipuliert wurde. Verschlüsselung garantiert daher Vertraulichkeit, indem nur berechtigte Personen Zugriff auf gespeicherte und über elektronische Netzwerke übertragenen Informationen haben, um so Daten gegen unbefugte Zugriffe von Dritten schützen zu können.

Rechtlicher Hintergrund

Durch das Signaturgesetz (SigG) und die Signaturverordnung werden die rechtlichen Grundlagen für digitale Signaturen entsprechend der EU-Signaturrichtlinie festgelegt.

Die EU-Signaturrichtlinie regelt unter anderem die Rechtswirkungen elektronischer Signaturen, die Haftung der Zertifizierungsdienstanbieter und auch die Anerkennung von Zertifizierungsdienstleistungen aus Drittstaaten.

Überwachungsbehörden

 Als Aufsichtsstelle ist in Österreich nach dem SigG die Telekom-Control-Kommission vorgesehen, die sich bei der Durchführung der Aufsicht der RTR GmbH bedienen kann. Ihr obliegt die Aufsicht über die Einhaltung der Bestimmungen des SigG und der auf Basis des SigG ergangenen Verordnungen, insbesondere die Umsetzung der Angaben im Sicherheits- und Zertifizierungskonzept, bei qualifizierten elektronischen Signaturen die Verwendung geeigneter technischer Komponenten, die Akkreditierung von Zertifizierungsstellen und die organisatorische Aufsicht über Bestätigungsstellen (http://www.rtr.at bzw http://www.signatur.rtr.at). 

Zertifizierungsdiensteanbieter

 Bei Verschlüsselungsverfahren besteht ein gewisses Zuordnungsrisiko, da jedermann ein Schlüsselpaar unter einem falschen Namen generieren könnte und daher ein Schlüssel­paar einer falschen Person zugeordnet werden könnte. Daher muss die Zuordnung eines Schlüsselpaares von einer Institution erfolgen, zu der die beteiligten Parteien Vertrauen haben. Unumgängliche Voraussetzung für die weite Verbreitung und die Garantie der Authentizität der elektronischen Signaturen ist daher die Einrichtung von Zertifizierungs­anstalten. Die Zertifizierungsanstalten, auch Certificate Authorities genannt, ermöglichen den Nachweis, dass der öffentliche Schlüssel wirklich mit dem des Senders übereinstimmt. Unter https://www.signatur.rtr.at/de/elsi/Anbieter.html findet sich eine Liste der Zertifizierungsdiensteanbieter, die der Aufsichtsstelle die Erbringung eines Zertifizierungsdienstes angezeigt haben. 
Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.