Authen­ti­fi­ka­ti­on und elek­tro­ni­sche Unter­schrift – Abschluß­be­richt

Kurz­be­richt des Arbeits­krei­ses „Authen­ti­fi­ka­ti­on“

Der Arbeits­kreis Authen­ti­fi­ka­ti­on behan­del­te Aspek­te der Iden­ti­fi­ka­ti­on mit elek­tro­ni­schen Mit­teln. Dabei kom­men ins­be­son­de­re bio­me­tri­sche Ver­fah­ren in Betracht. Aus der Kri­mi­na­lis­tik ist bekannt, daß jeder Mensch indi­vi­du­el­le, unver­än­der­li­che Merk­ma­le hat, bei­spiels­wei­se Fin­ger­ab­druck oder Stim­me, wie auch cha­rak­te­ris­ti­sche Ver­hal­tens­wei­sen, z.B. Tas­ta­tur­an­schlag oder Unter­schrift. Es liegt nun nahe, die­se indi­vi­du­el­len Eigen­schaf­ten, die man sich nicht mer­ken muß und die jeder mit sich her­um­trägt, zur Zugangs­kon­trol­le auch in Netz­wer­ken her­an­zu­zie­hen. Im Vor­jahr (EDV-GT 98) wur­den dafür ver­schie­de­ne bio­me­tri­sche Sys­te­me vor­ge­stellt: Fin­ger­ab­druck, all­ge­mei­ne kör­per­li­che Merk­ma­le (Kon­tur, Iris, Stim­me) Anschlag­cha­rak­te­ris­tik an der Tas­ta­tur. Dar­an wur­de beim EDV GT 99 ange­knüpft.

Übli­cher­wei­se erfolgt die Authen­ti­fi­ka­ti­on eines Doku­ments durch die eigen­hän­di­ge Unter­schrift. Zunächst wur­den daher die Genau­ig­keit und Über­prüf­bar­keit des klas­si­schen Authen­ti­fi­ka­ti­ons­mit­tels Unter­schrift dar­ge­stellt. Dazu hat Herr Dr. Hecker vom Bun­des­kri­mi­nal­amt aus­ge­führt:

Im Zeit­al­ter der elek­tro­ni­schen Signa­tur behal­te die manu­ell geleis­te­te Unter­schrift wahr­schein­lich noch für vie­le Jahr­zehn­te ihre Bedeu­tung als indi­vi­du­el­le Wil­lens­er­klä­rung im Rechts­ver­kehr. Damit wer­de sie – und die ande­ren For­men der Hand­schrift (Textschrift/ Druck­schrift) – auch wei­ter­hin eine her­aus­ra­gen­de Rol­le in der Foren­sik spie­len, eben wegen ihrer Per­so­nen­iden­ti­fi­zie­rungs­ei­gen­schaft.

Zwar spiel­ten auch in der kri­mi­na­lis­ti­schen Schrift­un­ter­su­chung Aspek­te der Mus­ter­er­ken­nung zuneh­mend eine Rol­le, jedoch voll­zie­he sich das Gros der Urhe­ber­iden­ti­fi­zie­run­gen nach wie vor auf der Ebe­ne des klas­si­schen Metho­den­spek­trums.

Neben einer Dar­stel­lung die­ser Vor­ge­hens­wei­sen und einem Blick auf die nahe Zukunft unter dem Gesichts­punkt des aktu­el­len For­schungs­stan­des soll­ten ins­be­son­de­re auch die Gren­zen der Urhe­ber­iden­ti­fi­zie­rung über die Hand­schrift auf­ge­zeigt wer­den. An einer Rei­he von Fall­dar­stel­lun­gen wur­de dar­über hin­aus ver­sucht, dem Benut­zer von Schrift­gut­ach­ten eini­ge Kri­te­ri­en an die Hand zu geben, die ihm die Unter­schei­dung von metho­disch kor­rek­ten und unse­riö­sen Gut­ach­ten erleich­tern.

Natür­lich kann auch das klas­si­sche Mit­tel der Authen­ti­fi­ka­ti­on, näm­lich die eigen­hän­di­ge Unter­schrift, elek­tro­nisch umge­setzt wer­den. Herr Bal­tus hat ein dafür geeig­ne­tes, markt­rei­fes Sys­tem „Hesy“ im Arbeits­kreis vor­ge­stellt. Dabei wird der mit der Abga­be der Unter­schrift ver­bun­de­ne Druck­ver­lauf an einem belie­bi­gen Stift über Wäge­zel­len pie­zo­elek­trisch in Echt­zeit erfaßt, abge­spei­chert und mit einem hin­ter­leg­ten ent­spre­chen­den Refe­renz­mus­ter ver­gli­chen. Inner­halb einer vor­geb­ba­ren Tole­ranz­schwel­le wird die Unter­schrift akzep­tiert, bei Über­schrei­tung wird sie ver­wor­fen.

Neben indi­vi­du­ell-struk­tu­rel­len und bio­lo­gi­schen Merk­ma­len kön­nen auch auf tech­ni­schem Weg cha­rak­te­ris­ti­sche Merk­ma­le aus einem Doku­ment ermit­telt und umkehr­bar ein­deu­tig zuge­ord­net wer­den. Die Bezeich­nung elek­tro­ni­sche oder digi­ta­le Unter­schrift wird für unter­schied­li­che Vor­gän­ge ver­wen­det. Es kann dar­un­ter einer­seits die in übli­cher Wei­se geleis­te­te Unter­schrift mit elek­tro­ni­scher Meß­wert­erfas­sung und digi­ta­ler Umset­zung ver­stan­den wer­den, wie sie dem Ver­fah­ren HESY zugrun­de lie­gen. Unter elek­tro­ni­scher Unter­schrift kann aber auch die elek­tro­ni­sche Signa­tur ver­stan­den wer­den. Dabei han­delt es sich um die Ver­schlüs­se­lung eines gehash­ten Doku­ments. Der Hash-Vor­gang erzeugt aus einem Doku­ment belie­bi­ger Län­ge ein Unter­do­ku­ment bestimm­ter, ein­heit­li­cher Län­ge. Die­ses so defi­nier­te Unter­do­ku­ment wird in übli­cher Wei­se asym­me­trisch ver- und ent­schlüs­selt (je ein öffent­li­cher und pri­va­ter Schlüs­sel, mit dem pri­va­ten Schlüs­sel wird ver‑, mit dem öffent­li­chen Schlüs­sel wird ent­schlüs­selt). Bei Iden­ti­tät des gehash­ten Unter­do­ku­ments gilt die Echt­heit des Doku­ment­in­halts als bestä­tigt. Das Sys­tem erfor­dert die Ver­ga­be und Ver­wal­tung von indi­vi­du­ell ver­ge­be­nen Schlüs­sel­paa­ren durch sog. „Trust Cen­ter“.

Die Bezeich­nung „Unter­schrift“ für die­sen Vor­gang erscheint unglück­lich gewählt, denn „unter­schrie­ben“ im ver­trau­ten Sinn des Wor­tes wird dabei nichts. Es han­delt sich viel­mehr um einen rein tech­nisch erzeug­ten, ent­in­di­vi­dua­li­sier­ten Vor­gang, der nur über einen pri­va­ten Schlüs­sel eine per­sön­li­che Zuord­nung erhält. Der Schlüs­sel ist in der Regel auf einem Daten­trä­ger (z.B. einer Chip­kar­te), gespei­chert, der Zugang erfolgt übli­cher­wei­se durch eine PIN (mit den bekann­ten Unsi­cher­hei­ten). Dies erfolgt eben­so auto­ma­tisch wie bei­spiels­wei­se das Ein­scan­nen einer Unter­schrift, was vom Ober­lan­des­ge­richt Karls­ru­he als unge­nü­gend für das Ein­le­gen eines Rechts­mit­tels erach­tet wur­de.

Abschlie­ßend hat Prof. Rüß­mann recht­li­che Aspek­te bei der Umset­zung der Unter­schrift in digi­ta­ler oder elek­tro­ni­scher Form dar­ge­legt und dabei die Fra­ge auf­ge­wor­fen, ob dort, wo recht­li­che Rege­lun­gen heu­te die Schrift­form ver­lan­gen, auch elek­tro­ni­sche Doku­men­te zur Form­wa­h­rung geeig­net sein kön­nen. Das hält man in der deut­schen Dok­trin im all­ge­mei­nen für aus­ge­schlos­sen und ruft nach dem Gesetz­ge­ber zur Schlie­ßung der Rege­lungs­lü­cke. Tat­säch­lich berei­tet das Bun­des­jus­tiz­mi­nis­te­ri­um eine gesetz­li­che Rege­lung zur sog. Text­form vor. Der Refe­ren­ten­ent­wurf ist dabei bemüht, bei jedem Schrift­form­erfor­der­nis des mate­ri­el­len Rechts und des Ver­fah­rens­rechts fest­zu­schrei­ben, ob sei­nem Zweck nicht auch durch die Text­form genügt wer­den kön­ne. Auf inter­na­tio­na­ler Ebe­ne ist man da weni­ger zurück­hal­tend.

Prof. Rüß­mann berich­te­te von einer Dis­kus­si­ons­run­de, die die Haa­ger Kon­fe­renz für Inter­na­tio­na­les Pri­vat­recht in Genf zu Fra­gen des elek­tro­ni­schen Geschäfts­ver­kehrs kurz vor dem EDV-Gerichts­tag ver­an­stal­tet hat­te. Die dor­ti­ge Emp­feh­lung zur Behand­lung der Schrift­form­erfor­der­nis­se in Son­der­heit in der inter­na­tio­na­len Han­dels­schieds­ge­richts­bar­keit ging dahin, dass der Rechts­an­wen­der ent­schei­den möge, ob die elek­tro­ni­schen Mög­lich­kei­ten zur Siche­rung der Authen­ti­zi­tät elek­tro­ni­scher Doku­men­te den tra­di­tio­nel­len Schrift­form­erfor­der­nis­sen funk­tio­nal äqui­va­lent sei­en, und beja­hen­den­falls die elek­tro­ni­schen Doku­men­te als zur Schrift­form­wa­h­rung aus­rei­chend anse­hen möge.

Mit eben die­sem Ansatz der funk­tio­na­len Äqui­va­lenz unter­such­te als­dann Prof. Rüß­mann die Wah­rung der der tra­di­tio­nel­len Unter­schrift zuge­schrie­be­nen Funk­tio­nen des Abschlus­ses der rechts­ge­schäft­li­chen Erklä­rung, des Bewei­ses des Inhalts und der Urhe­ber­schaft einer Erklä­rung sowie der War­nung vor dem über­eil­ten Abschuss eines wich­ti­gen oder gefähr­li­chen Geschäfts durch die vor­ge­stell­ten elek­tro­ni­schen Mög­lich­kei­ten. Sein Fazit: Mit Blick auf die Abschluss- und die inhalts­be­zo­ge­ne Beweis­funk­ti­on sei die elek­tro­ni­sche Signa­tur dem unter­schrie­be­nen Schrift­stück über­le­gen. Die urhe­ber­be­zo­ge­ne Beweis­funk­ti­on errei­che die elek­tro­ni­sche Signa­tur dann, wenn der Zugang zur Signa­tur über bio­me­tri­sche Ver­fah­ren erfol­ge. Das Errei­chen der Warn­funk­ti­on setz­te psy­cho­lo­gi­sche Ver­glei­che der Wir­kung einer hand­schrift­li­chen Unter­zeich­nung mit der Wir­kung des bei der elek­tro­ni­schen Signa­tur zu beob­ach­ten­den Ver­fah­rens vor­aus. Er jeden­falls füh­le sich schon durch die Ein­ga­be einer rela­tiv kom­pli­zier­ten Pass­phra­se bei PGP hin­rei­chend gewarnt. Mit HESY als bio­me­tri­schem Zugangs­ver­fah­ren zur elek­tro­ni­schen Signa­tur sei schließ­lich die hand­schrift­li­che Unter­zeich­nung 1 zu 1 abge­bil­det, so dass bei die­sem Ver­fah­ren die funk­tio­na­le Äqui­va­lenz mit Blick auf alle Funk­tio­nen der Schrift­form voll­stän­dig gege­ben sei.