Authentifikation und elektronische Unterschrift — Abschlußbericht

Kurzbericht des Arbeit­skreis­es „Authen­tifika­tion“

 

Der Arbeit­skreis Authen­tifika­tion behan­delte Aspek­te der Iden­ti­fika­tion mit elek­tro­n­is­chen Mit­teln. Dabei kom­men ins­beson­dere bio­metrische Ver­fahren in Betra­cht. Aus der Krim­i­nal­is­tik ist bekan­nt, daß jed­er Men­sch indi­vidu­elle, unverän­der­liche Merk­male hat, beispiel­sweise Fin­ger­ab­druck oder Stimme, wie auch charak­ter­is­tis­che Ver­hal­tensweisen, z.B. Tas­tat­u­ran­schlag oder Unter­schrift. Es liegt nun nahe, diese indi­vidu­ellen Eigen­schaften, die man sich nicht merken muß und die jed­er mit sich herumträgt, zur Zugangskon­trolle auch in Net­zw­erken her­anzuziehen. Im Vor­jahr (EDV-GT 98) wur­den dafür ver­schiedene bio­metrische Sys­teme vorgestellt: Fin­ger­ab­druck, all­ge­meine kör­per­liche Merk­male (Kon­tur, Iris, Stimme) Anschlagcharak­ter­is­tik an der Tas­tatur. Daran wurde beim EDV GT 99 angeknüpft.

Üblicher­weise erfol­gt die Authen­tifika­tion eines Doku­ments durch die eigen­händi­ge Unter­schrift. Zunächst wur­den daher die Genauigkeit und Über­prüf­barkeit des klas­sis­chen Authen­tifika­tion­s­mit­tels Unter­schrift dargestellt. Dazu hat Herr Dr. Heck­er vom Bun­deskrim­i­nalamt aus­ge­führt:

Im Zeital­ter der elek­tro­n­is­chen Sig­natur behalte die manuell geleis­tete Unter­schrift wahrschein­lich noch für viele Jahrzehnte ihre Bedeu­tung als indi­vidu­elle Wil­lenserk­lärung im Rechtsverkehr. Damit werde sie – und die anderen For­men der Hand­schrift (Textschrift/ Druckschrift) – auch weit­er­hin eine her­aus­ra­gende Rolle in der Foren­sik spie­len, eben wegen ihrer Per­so­n­eniden­ti­fizierung­seigen­schaft.

Zwar spiel­ten auch in der krim­i­nal­is­tis­chen Schrif­tun­ter­suchung Aspek­te der Mus­ter­erken­nung zunehmend eine Rolle, jedoch vol­lziehe sich das Gros der Urhe­beri­den­ti­fizierun­gen nach wie vor auf der Ebene des klas­sis­chen Meth­o­d­en­spek­trums.

Neben ein­er Darstel­lung dieser Vorge­hensweisen und einem Blick auf die nahe Zukun­ft unter dem Gesicht­spunkt des aktuellen Forschungs­standes soll­ten ins­beson­dere auch die Gren­zen der Urhe­beri­den­ti­fizierung über die Hand­schrift aufgezeigt wer­den. An ein­er Rei­he von Fall­darstel­lun­gen wurde darüber hin­aus ver­sucht, dem Benutzer von Schriftgutacht­en einige Kri­te­rien an die Hand zu geben, die ihm die Unter­schei­dung von method­isch kor­rek­ten und unser­iösen Gutacht­en erle­ichtern.

Natür­lich kann auch das klas­sis­che Mit­tel der Authen­tifika­tion, näm­lich die eigen­händi­ge Unter­schrift, elek­tro­n­isch umge­set­zt wer­den. Herr Bal­tus hat ein dafür geeignetes, mark­treifes Sys­tem “Hesy” im Arbeit­skreis vorgestellt. Dabei wird der mit der Abgabe der Unter­schrift ver­bun­dene Druck­ver­lauf an einem beliebi­gen Stift über Wägezellen piezoelek­trisch in Echtzeit erfaßt, abge­spe­ichert und mit einem hin­ter­legten entsprechen­den Ref­erenz­muster ver­glichen. Inner­halb ein­er vorgeb­baren Tol­er­anzschwelle wird die Unter­schrift akzep­tiert, bei Über­schre­itung wird sie ver­wor­fen.

Neben indi­vidu­ell-struk­turellen und biol­o­gis­chen Merk­malen kön­nen auch auf tech­nis­chem Weg charak­ter­is­tis­che Merk­male aus einem Doku­ment ermit­telt und umkehrbar ein­deutig zuge­ord­net wer­den. Die Beze­ich­nung elek­tro­n­is­che oder dig­i­tale Unter­schrift wird für unter­schiedliche Vorgänge ver­wen­det. Es kann darunter ein­er­seits die in üblich­er Weise geleis­tete Unter­schrift mit elek­tro­n­is­ch­er Meßw­ert­er­fas­sung und dig­i­taler Umset­zung ver­standen wer­den, wie sie dem Ver­fahren HESY zugrunde liegen. Unter elek­tro­n­is­ch­er Unter­schrift kann aber auch die elek­tro­n­is­che Sig­natur ver­standen wer­den. Dabei han­delt es sich um die Ver­schlüs­selung eines gehasht­en Doku­ments. Der Hash-Vor­gang erzeugt aus einem Doku­ment beliebiger Länge ein Unter­doku­ment bes­timmter, ein­heitlich­er Länge. Dieses so definierte Unter­doku­ment wird in üblich­er Weise asym­metrisch ver- und entschlüs­selt (je ein öffentlich­er und pri­vater Schlüs­sel, mit dem pri­vat­en Schlüs­sel wird ver‑, mit dem öffentlichen Schlüs­sel wird entschlüs­selt). Bei Iden­tität des gehasht­en Unter­doku­ments gilt die Echtheit des Doku­mentin­halts als bestätigt. Das Sys­tem erfordert die Ver­gabe und Ver­wal­tung von indi­vidu­ell vergebe­nen Schlüs­sel­paaren durch sog. „Trust Cen­ter“.

Die Beze­ich­nung „Unter­schrift“ für diesen Vor­gang erscheint unglück­lich gewählt, denn „unter­schrieben“ im ver­traut­en Sinn des Wortes wird dabei nichts. Es han­delt sich vielmehr um einen rein tech­nisch erzeugten, entin­di­vid­u­al­isierten Vor­gang, der nur über einen pri­vat­en Schlüs­sel eine per­sön­liche Zuord­nung erhält. Der Schlüs­sel ist in der Regel auf einem Daten­träger (z.B. ein­er Chip­karte), gespe­ichert, der Zugang erfol­gt üblicher­weise durch eine PIN (mit den bekan­nten Unsicher­heit­en). Dies erfol­gt eben­so automa­tisch wie beispiel­sweise das Ein­scan­nen ein­er Unter­schrift, was vom Ober­lan­des­gericht Karl­sruhe als ungenü­gend für das Ein­le­gen eines Rechtsmit­tels erachtet wurde.

Abschließend hat Prof. Rüß­mann rechtliche Aspek­te bei der Umset­zung der Unter­schrift in dig­i­taler oder elek­tro­n­is­ch­er Form dargelegt und dabei die Frage aufge­wor­fen, ob dort, wo rechtliche Regelun­gen heute die Schrift­form ver­lan­gen, auch elek­tro­n­is­che Doku­mente zur Formwahrung geeignet sein kön­nen. Das hält man in der deutschen Dok­trin im all­ge­meinen für aus­geschlossen und ruft nach dem Geset­zge­ber zur Schließung der Regelungslücke. Tat­säch­lich bere­it­et das Bun­desjus­tizmin­is­teri­um eine geset­zliche Regelung zur sog. Textform vor. Der Ref­er­ente­nen­twurf ist dabei bemüht, bei jedem Schrift­former­forder­nis des materiellen Rechts und des Ver­fahren­srechts festzuschreiben, ob seinem Zweck nicht auch durch die Textform genügt wer­den könne. Auf inter­na­tionaler Ebene ist man da weniger zurück­hal­tend.

Prof. Rüß­mann berichtete von ein­er Diskus­sion­srunde, die die Haager Kon­ferenz für Inter­na­tionales Pri­va­trecht in Genf zu Fra­gen des elek­tro­n­is­chen Geschäftsverkehrs kurz vor dem EDV-Gericht­stag ver­anstal­tet hat­te. Die dor­tige Empfehlung zur Behand­lung der Schrift­former­fordernisse in Son­der­heit in der inter­na­tionalen Han­delss­chieds­gerichts­barkeit ging dahin, dass der Recht­san­wen­der entschei­den möge, ob die elek­tro­n­is­chen Möglichkeit­en zur Sicherung der Authen­tiz­ität elek­tro­n­is­ch­er Doku­mente den tra­di­tionellen Schrift­former­fordernissen funk­tion­al äquiv­a­lent seien, und beja­hen­den­falls die elek­tro­n­is­chen Doku­mente als zur Schrift­formwahrung aus­re­ichend anse­hen möge.

Mit eben diesem Ansatz der funk­tionalen Äquiv­alenz unter­suchte als­dann Prof. Rüß­mann die Wahrung der der tra­di­tionellen Unter­schrift zugeschriebe­nen Funk­tio­nen des Abschlusses der rechts­geschäftlichen Erk­lärung, des Beweis­es des Inhalts und der Urhe­ber­schaft ein­er Erk­lärung sowie der War­nung vor dem übereil­ten Abschuss eines wichti­gen oder gefährlichen Geschäfts durch die vorgestell­ten elek­tro­n­is­chen Möglichkeit­en. Sein Faz­it: Mit Blick auf die Abschluss- und die inhalts­be­zo­gene Bewe­is­funk­tion sei die elek­tro­n­is­che Sig­natur dem unter­schriebe­nen Schrift­stück über­legen. Die urhe­ber­be­zo­gene Bewe­is­funk­tion erre­iche die elek­tro­n­is­che Sig­natur dann, wenn der Zugang zur Sig­natur über bio­metrische Ver­fahren erfolge. Das Erre­ichen der Warn­funk­tion set­zte psy­chol­o­gis­che Ver­gle­iche der Wirkung ein­er hand­schriftlichen Unterze­ich­nung mit der Wirkung des bei der elek­tro­n­is­chen Sig­natur zu beobach­t­en­den Ver­fahrens voraus. Er jeden­falls füh­le sich schon durch die Eingabe ein­er rel­a­tiv kom­plizierten Passphrase bei PGP hin­re­ichend gewarnt. Mit HESY als bio­metrischem Zugangsver­fahren zur elek­tro­n­is­chen Sig­natur sei schließlich die hand­schriftliche Unterze­ich­nung 1 zu 1 abge­bildet, so dass bei diesem Ver­fahren die funk­tionale Äquiv­alenz mit Blick auf alle Funk­tio­nen der Schrift­form voll­ständig gegeben sei.