Blütenträume

Als der deutsche Gesetzgeber 1997 mit dem Signaturgesetz einen rechtlichen Rahmen für digitale Signaturen schaffte, waren die Erwartungen an ihre Verbreitung noch hoch. Die Strategen fühlten sich in ihrer Analyse der Sicherheitslücken elektronischer Kommunikation unangefochten. Das eine Problem war das der Authentizität, wonach der Empfänger eines elektronischen Dokumentes erkennen können muss, ob das Dokument wirklich von demjenigen stammt, der als Urheber genannt ist. Das andere Problem hieß Integrität, wonach der Empfänger erkennen können muss, ob das elektronische Dokument unverändert bei ihm angekommen ist. Gleichzeitig wurde diese beiden Probleme auch als Ursache für das fehlende Vertrauen der Nutzer in das Medium Internet verantwortlich gemacht. Vor diesem Hintergrund erschienen elektronische Signaturen in Verbindung mit einer Infrastruktur elektronischer Zertifikate die Lösung zu sein, um das theoretische Beweisproblem und das praktische Vertrauensproblem zu lösen.

Voraussetzungen

Unabdingbare Voraussetzung dieser Signaturen ist allerdings die Entwicklung einer Sicherheitsinfrastruktur öffentlich verfügbarer Zertifikate. Eine anspruchsvolle Aufgabe, weil mit der Infrastruktur eine Reihe von Funktionen der Schlüsselverwaltung und der technischen und organisatorischen Interoperabilität erfüllt werden müssen. Vielleicht hätte dies eine Aufgabe der Wirtschaft sein können, jedoch war Mitte der 90er Jahre eine ausreichende Kompetenz und Bereitschaft zur Selbstregulierung nicht erkennbar: Die Banken wollten ihre eigenen Standards und andere Anbieter scharrten bereits hoffnungsfroh mit den Füßen. Vor diesem Hintergrund schlüpfte der deutsche Gesetzgeber 1997 in die Rolle eines „Geburtshelfers“, indem er die Rahmenbedingungen für Zertifizierungsdienstleistungen festlegte, um auf diese Weise einen „Beitrag zur Akzeptanz“ des Internet zu leisten (BT-Drs. 13/7385, S. 17). Eine Signaturverordnung wurde erlassen, eine Behörde eingerichtet, Anforderungskataloge verabschiedet und mit den ersten Arbeiten an interoperablen Strukturen begonnen. Getragen von der Euphorie der Gründerzeit der Informationsgesellschaft schien es nur eine Frage der Zeit zu sein, bis die ersten Nutzer mit Hilfe elektronischer Signaturen rechtsverbindlich bestellen würden
.

Bitteres Erwachen

Nun, nach 6 Jahren deutscher Signaturregulierung ist festzustellen, dass eine nennenswerte Nachfrage nach gesetzeskonformen Signaturen (qualifizierte bzw. akkreditierte elektronische Signaturen) im Gegensatz zu allen Beteuerungen nicht bestanden hat. Wörtlich verstanden war jene Formulierung aus dem Evaluierungsbericht der Bundesregierung zum Signaturgesetz vom 18. Juni 1999 nicht falsch, in dem die als feststehend bezeichnet wurde, dass „das Signaturgesetz den breiten Aufbau einer IT-Sicherheitsinfrastruktur in Form von Zertifizierungsstellen und technischen Komponenten ermöglicht“ habe (BT-Drs. 14/1191, S. 31). Nur wollte sie keiner nutzen! Gleichwohl konnte man 1 ½ Jahre später in der Regierungsbegründung zum Novellierungsentwurf des Signaturgesetzes vom 16. November 2000 lesen, Deutschland verfüge inzwischen „über eine flächendeckende IT-Sicherheitsinfrastruktur“. Unerwähnt blieb wiederum, dass bereits damals – ebenso wie heute – die Zahl der Kunden dieser Zertifizierungsstellen verschwindend gering war, sondern dass praktisch kein Unternehmer im E-Commerce, seinen Kunden eine elektronische Bestellung mit Hilfe gesetzeskonformer Signaturen anbot. Warum auch? Die fehlende Nachfrage ließ sich schließlich nicht mehr leugnen, nachdem im Frühjahr 2002 die Deutsche Post AG die Aktivitäten ihrer Tochterfirma SignTrust als Anbieter für den Massenmarkt einstellte. Andere Anbieter bereuten öffentlich, auf den PKI-Zug aufgesprungen zu sein. Tatsächlich beschränkt sich die Bedeutung elektronischer Signaturen sich bis heute auf das Angebot fortgeschrittener Signaturen für geschlossene Benutzergruppen.

Stolpersteine

Die Gründe für die geringe Bedeutung gesetzeskonformer elektronischer Signaturen sind vielfältig. Sie lassen sich zum Teil auf endogene Fehler in der Einführungsphase zurückführen wie bspw. das Angebot proprietärer SmartCard-Systeme und Protokolle durch die ersten Anbieter oder die fehlende Bereitschaft der Banken, den HBCI-Standard interbankenfähig flächendeckend zu implementieren und ihre SmartCards als Trägermedium für gesetzeskonforme Signaturen anzubieten. Als weiteres Entwicklungshemmnis erwies sich zumindest in der Anfangsphase, dass gesetzeskonform evaluierte technische Komponenten noch nicht zur Verfügung standen. Schließlich wurde die Verbreitung der Signaturen bereits auch durch eine prohibitive Preisgestaltung zu Beginn der Einführungsphase gebremst, so dass qualifizierte Signaturen das Image eines Premiumproduktes bekamen, auf das man auch gut verzichten kann. Im Rückblick waren diese Faktoren aber nur Stolpersteine, die für die Zukunft bspw. mit Hilfe des Signaturbündnisses aus dem Weg gerollt werden können. Der Wirklichkeit näher kommt der Erklärungsversuch mit dem „Henne-Ei-Vergleich“: Ohne Signaturanwendungen keine Nachfrage – ohne Nachfrage keine Signaturanwendungen. Allerdings ist auch dies nur ein halbherziger, weil naiver Erklärungsversuch. Wenn in sechs Jahren noch keiner trotz Unterstützung des Gesetzgebers durch die Einführung einer elektronischen Form und Beweiserleichterungen die Killerapplikation für elektronische Signaturen gefunden hat, dann spricht vieles für die Annahme, dass es diese gar nicht gibt. Das Signaturbündnis konzentriert sich daher aus guten Gründen auf eine Politik der koordinierten Durchsetzung der Infrastrukturvoraussetzungen, insbesondere der erforderlichen interoperablen Chipkarten.

Wie funktioniert der eCommerce ?

Um die Gründe für die Krise der Hochsicherheitssignaturen zu verstehen, muss man die bereits funktionierenden Sicherheitsfunktionen des E-Commerce analysieren: Zentraler Ausgangspunkt für die Lösung des Vertrauensproblems mit Hilfe qualifizierter Signaturen war die Vorstellung von einer prinzipiell offenen Kommunikationsstruktur, bei der sich die Kommunikationspartner vorher nicht kennen. Betrachtet man die Wirklichkeit des eCommerce dann gilt diese Annahme zwar für die Phase der Kundengewinnung, nicht aber für die innerhalb einer bestehenden Kundenbeziehung abgewickelte Kommunikation. Quantitativ ist allein die zweite von erheblicher Bedeutung, aber auch die Kundengewinnung darf unter wirtschaftlichen Gesichtspunkten nicht unterschätzt werden. Nur gelten für die Kundengewinnung die Kommunikationsbedingungen des Kunden und nicht die des Anbieters: Kein Kunde wird sich für eine elektronische Bestellung im E-Commerce gewinnen lassen, wenn ihm zunächst einmal der Erwerb eines Chipkartenlesers, die Beantragung einer Chipkarte, die Beantragung eines qualifizierten Zertifikates, die Lektüre zahlreicher Verhaltenspflichten, die (erfolgreiche) Installation von Hard- und Software und dies alles auf eigene Kosten abverlangt wird.

Motivationen

Unterschätzt wird schließlich die Motivationslage des Kunden: Warum sollte sich der Kunde auf eigene Kosten – vom Installationsaufwand ganz zu schweigen – eine qualifizierte Signatur zulegen? Nur damit der Empfänger – also der Anbieter im E-Commerce weiß, mit wem er es zu tun hat. Die sich ökonomisch rational verhaltenden Kunden haben diese Erwartung bereits intuitiv nicht erfüllt. Denn warum sollte sich ein Kunde auf eigene Kosten ein Sicherheitswerkzeug zulegen, dass seine Beweissituation gegenüber dem Anbieter verschlechtert, aber die des Anbieters verbessert?


Erhellens ist aber auch die Frage nach den Motiven der Anbieter von Waren und Dienstleistungen. Solange diese nicht bereit sind, sich an den Kosten für die Signaturverfahren ihrer Kunden zumindest zu beteiligen, kann die zuverlässige Identifikation des Kunden auch kein wirkliches Problem zu sein. Eine Subventionierung qualifizierter elektronischer Signaturen durch einen Anbieter würde im übrigen auch nicht ihrer wirtschaftlichen Interessenlage entsprechen. Mit der Förderung qualifizierter Signaturen würde der Anbieter nicht die Kundenbindung vertiefen, sondern im Gegenteil die Mobilität seiner Kunden gegenüber anderen Anbietern erhöhen, denn qualifizierte Zertifikate können als elektronischer Nachweis der Identität gegenüber jedermann/frau verwendet werden.

Medienbrüche erwünscht


In Wirklichkeit beruht das Sicherheitsmodell im Internet auch nicht auf qualifizierten Signaturen, sondern auf einer rechtlich ermöglichten und zum Teil auch technisch konfigurierten Interaktion zwischen Anbieter und Kunden, die zwischen den Phasen der Kundengewinnung und Kundenbindung unterscheidet. Die Kundenbindung erfolgt über eindeutige, vorher vereinbarten „Kennzeichen“ (Passwörter), die den Kunden gegenüber dem Anbieter authentifizieren. Die Phase der Kundengewinnung wird hingegen offen unter Verwendung verschiedener Elemente gestaltet. Hierzu gehören die Bestellung unter Angabe einer Kreditkartennummer (widerruflich), die Erteilung einer elektronischen Lastschrift (widerruflich) oder bei hochpreisigen Artikeln auch das Angebot einer telefonischen Kontaktaufnahme seitens des Anbieters. Wichtig für eine erfolgreiche Gestaltung der Phase der Kundengewinnung scheint es, sich vom Postulat der medienbruchfreien Kommunikation zu verabschieden. Oder umgekehrt formuliert: Kalkulierte Medienbrüche können auf Seiten der Kunden Sicherheit generieren. Das Interaktionsmodell folgt im Übrigen einer sozialen Erfahrung, dass die Kontaktaufnahme zu anderen immer ein riskantes, aber auch reizvolles Unterfangen ist.

Die Wirklichkeit des eGovernment

Das Modell aus Kundengewinnung und Kundenbindung gilt leicht abgewandelt auch für Anwendungen im eGovernment mit der Unterscheidung zwischen Erst? und Folgekontakt. Das spezifische im eGovernment ist, dass die Verwaltung ihren Bürger in der Regel vor einem ersten elektronischen Kommunikationsakt bereits kennt (Anmeldung bei der Verwaltung) und damit über ausreichende Informationen zur Identifizierung für den Fall einer elektronischen Kontaktaufnahme verfügt. Bürger und Verwaltung kommunizieren also regelmäßig in einer geschlossenen Benutzergruppe. Die Authentifizierung erfolgt über einschlägige Nummern wie bspw. die Steuernummer gegenüber dem Finanzamt, die Kundennummer aus einem Gebührenbescheid, Name, Geburtsdatum, Anschrift etc. aus dem Melderegister oder aber einem spezifischen Browserzertifikat der Verwaltung.

Letztlich richten sich die Anforderung an die Authentifizierung und den Integritätsschutz nach den Sicherheitsanforderungen des jeweiligen Fachverfahrens sowie ihrer wirtschaftlichen Rentabilität. Es mag für die öffentliche Verwaltung vorteilhaft sein, wenn alle Bürger über ein qualifiziertes elektronisches Zertifikat verfügen. Aber die entscheidende Frage lautet, ob die dadurch erzielten Kosteneinsparungen im workflow der öffentlichen Verwaltung hoch genug sind, um jedem Bürger die erforderliche Infrastruktur zur Verfügung zu stellen. Wer die Antwort sucht, wird sich gleichzeitig auch der Frage nach einfacheren und billigeren Verfahren der Authentifizierung stellen müssen.

Die Chancen des Signaturbündnisses

Nach sechs Jahren Signaturregulierung gilt es von den Blütenträumen einer offenen Kommunikation Abschied zu nehmen: Die Realität orientiert sich an dem Paradigma eines relativ unsicheren Erstkontaktes und relativ sichereren Folgekontakten, die auf diesem Erstkontakt beruhen. Der Erstkontakt dient zur Anbahnung der Kommunikationsbeziehung, ist tendenziell riskant, kann aber – wie die Praxis zeigt – durch Medienbrüche relativ sicher gestaltet werden. Die Sicherheit der Folgekontakte beruht auf Merkmalen, die im Erstkontakt ausgehandelt wurden und zusätzlich durch Kontextwissen abgesichert werden.

Die Bedeutung des Signaturbündnisses besteht erstens in der Öffnung fortgeschrittener elektronischer Signaturen mit und ohne zusätzliche Sicherheitsanforderungen und ihrer Standardisierung. Auf diese Weise wird das Instrument für Anwendungen in geschlossenen Benutzergruppen interessant. Das Signaturbündnis kann zweitens für die Ausgabe und Verbreitung von Chipkarten von Bedeutung werden, wenn auf diese Weise die Ausgabekosten auf Seiten der Anbieter und die Einstiegkosten für die Nutzer signifikant gesenkt werden können.

Die Bedeutung des Signaturbündnisses wird allerdings überschätzt, wenn ihm auch die Entwicklung und Förderung von „Killerapplikationen“ zugetraut wird, für die der Einsatz von qualifizierten und akkreditieren Signaturen unabdingbare Voraussetzung ist. Die Sicherheitsbedürfnisse zahlreicher Anwendungen des E-Commerce und des E-Government können offensichtlich durch ein auf die jeweiligen Geschäftsmodelle und Fachverfahren abgestimmtes Setting aus „technischen Werkzeugen“ wie bspw. elektronischen Signaturen und organisatorischen und rechtlichen Umgebungsbedingungen ausreichend und kostengünstig befriedigt werden. Die Notwendigkeit, Hochsicherheit in einzelne Anwendungen zu implementieren, wird sich letztlich nur auf wenige Verfahren beschränken.

Der Autor Dr. Johann Bizer ist Herausgeber der Fachzeitschrift Datenschutz und Datensicherheit (
www.dud.de)

Kernstück zur Förderung dieses Vertrauens, ist die elektronische Signatur, die bestimmte Sicherheitsanforderungen erfüllt. Elektronische Signaturverfahren garantieren in der elektronischen Welt die Authentizität des Absenders einer Nachricht und die Integrität der Daten in Hinblick auf ihre Unverfälschtheit.

Elektronische Signatur ersetzt Unterschrift

Die elektronische Signatur ersetzt bei Online-Geschäften und Online-Behördengängen die eigenhändige Unterschrift – zumindest rechtlich. Tatsächlich kommen elektronische Signaturen in der Praxis bislang kaum vor. Denn die elektronische Signatur ist eines der seltenen Beispiele, bei der eine technologische Innovation rechtlich gefasst wurde, bevor sie im Markt überhaupt nennenswert angekommen war. Das erste Signaturgesetz stammt von 1997, die EU-Richtlinie von 1999.

Seitdem haben sich Chipkarten mit elektronischer Signatur nicht durchsetzen können, weil niemand bereit ist, ihre Ausgabe zu bezahlen. Hermann-Josef Lamberti, IT-Vorstand der Deutschen Bank, vergleicht das Signaturgesetz mit der Straßenverkehrsordnung, die Signaturkarten mit den Straßen, der Infrastruktur des Verkehrswesens. Ohne Straßen kein Autoverkehr, selbst wenn die Verkehrsregeln klar sind.

Verkauf von Signaturkarten läuft schleppend

Woran liegt das? Die Zurückhaltung bei der Ausgabe und dem Erwerb von Signaturkarten hat zwei Ursachen: Zum einen das Wirrwarr unterschiedlicher Signaturen, zum anderen die vielzitierte Henne-Ei-Problematik.

Die elektronische Signatur als technische Innovation hat sich nach ihrer Entstehung in vielfältigen konkurrierenden Produkten niedergeschlagen. Zertifikate werden auf dem PC gespeichert oder in Chipkarten, letztere kontaktlos oder kontaktbehaftet. Spezialanwendungen für den Einsatz der Signatur finden sich als verbundener Teil von Fachanwendungen ebenso wie als Plug-In für Standard-Software. Unterschiedliche Zertifikatsformate und Verzeichnis-Strukturen verkomplizieren die Lage zusätzlich.

Signaturvielfalt hat Signaturgesetz befördert

Diese Produktvielfalt rund um die Signatur hat das Signaturgesetz nicht verhindert, sondern ein Stück weit befördert: Durch die Definition unterschiedlicher Arten von Signatur, gedacht als Leitlinie für verschiedene Verwendungszwecke, hat das Gesetz eine leidenschaftliche Diskussion über die “richtige” Signatur ausgelöst, die durch die technischen Inkompatibilitäten zusätzlich an Schärfe gewann. Als Folge kann niemand genau sagen, was gemeint ist, wenn eine Anwendung “die elektronische Signatur” integriert oder wenn ein Nutzer eine Chipkarte “mit Signatur” erwirbt. In vielen Fällen wird beides nicht zueinander passen.

Zum Wirrwarr der Signaturen kommt das Fehlen von Anwendungen. Anwendungen, die eine elektronische Signatur voraussetzen, gibt es bislang kaum. Das liegt zum einen daran, dass viele gewinnbringende Geschäftsideen im Internet ohne keine elektronische Signatur auskommen – Beispiel Amazon, Beispiel eBay. Auch bei den Behördendienstleistungen wird die eigenhändige Unterschrift respektive elektronische Signatur nicht so häufig benötigt, wie allgemein angenommen wird: Unter 100 der über 400 BundOnline-Dienstleistungen sind tatsächlich auf die elektronische Signatur angewiesen.

Signaturkarten könnten Sicherheit von verbessern

Der Mangel an Anwendungen liegt zum anderen daran, dass kaum ein Kunde eine Signatur besitzt. Zwar ließe sich mit der Signatur die Sicherheit von eCommerce- und eGovernment-Anwendungen deutlich erhöhen – auch da, wo die Signatur rechtlich nicht notwendig wäre. Doch das lohnt sich für Online-Händler oder Behörden nicht, solange die Karten kaum verbreitet sind. Und für den Kunden lohnt sich die Karte nicht, weil es keine Anwendungen gibt die Henne-Ei-Problematik.

Das Signaturbündnis ist angetreten, beides zu überwinden, den technischen Wirrwarr und die Henne-Ei-Problematik. Mit der deutschen Kreditwirtschaft und der öffentlichen Verwaltung haben sich zwei Partner zusammen getan, die beide ein Interesse am Erfolg der elektronischen Signatur haben. Banken und Behörden mit ihrer vielfältigen Kunden- und Anwendungsstruktur haben kein Interesse an der Diskussion über diese oder jene Art der Signatur. Sie brauchen eine Signatur, eine marktgängige, universell akzeptierte Lösung, mit der jeder Kunde alle Services der Banken und Behörden nutzen kann.

Bündnisziel: Alle Partner sollen alle Anwendungen erledigen können

Sie definiert das Signaturbündnis. In einem “Konvergenzpapier” wird festgelegt, welche Standards die Partner der elektronischen Signatur zugrunde legen, damit die Signaturkarten aller Partner für die Anwendungen aller Partner nutzbar sind: Alle Anwendungen mit allen Karten ist das große Ziel des Bündnisses. Wie man sich beim Geldautomaten gemeinhin keine Gedanken machen muss, ob die eigene ec-Karte interoperabel ist, so soll es auch bei den Signaturanwendungen sein. Mit den Standards des Signaturbündnisses im Rücken muss sich kein Anwendungsentwickler mehr Gedanken machen, ob er in die “richtige” Signatur investiert. Die Bundesregierung hat mit dem Signaturbündnis die klare Aussage verbunden, dass alle staatlichen Kartenprodukte, von der Jobcard über die Health Professional Card bis hin zu einem elektronischen Personalausweis die Standards des Signaturbündnisses berücksichtigen werden.

Daneben geht das Bündnis auch das Henne-Ei-Thema an: Die Kreditwirtschaft als wichtiger Partner im Bündnis gibt zahlreiche Karten aus, demnächst auch mit Chip. Sie sind allgemein akzeptiert und eignen sich hervorragend als Träger der elektronischen Signatur. Der Staat wird nach und nach auf allen Ebenen die Verwaltungsvorgänge ins Internet stellen und dabei auch auf die elektronische Signatur setzen. Was liegt näher, als diese Anwendungen so zu gestalten, dass sie mit Karten der Banken genutzt werden können? Erfolgreiche Beispiele wie die Elektronische Steuererklärung (ELSTER) und die Rentenauskunft der Bundesversicherungsanstalt für Angestellte zeigen, dass das machbar ist. Im Signaturbündnis arbeiten wir nun an einem Geschäftsmodell, mit dem die Kosten dieser Vorgehensweise zwischen den Partnern aufgeteilt werden – Henne und Ei entstehen gleichzeitig.

Deutschland hat als erstes Land eine Standard-Signatur eingeführt

Deutschland ist Marktführer bei der Chipkartentechnologie. Deutschland hat mit dem Signaturgesetz als eines der ersten Länder die Voraussetzung geschaffen, dass elektronische Signaturen rechtsverbindlich werden. Deutschland ist jetzt das erste Land, dass eine von Wirtschaft und Verwaltung breit akzeptierte Standard-Signatur einführt.

Dabei liegen die Vorteile von E-Commerce und E-Government auf der Hand: Online-Banking und elektronische Ausschreibungen sind wichtige B2C- bzw. B2B-E-Commerce Anwendungen. Auch im E-Government gibt es zahlreiche attraktive Angebote: könnte sich ein Bürger nach einem Wohnungswechsel zum Beispiel auf elektronischem Wege ummelden und über das Internet für sein Auto ein neues Kennzeichen beantragen, würde er oftmals lange Warteschlangen in den Behörden umgehen und Zeit sparen. In Bremen ist das schon möglich – allerdings bleibt diese Option von den meisten Bürgern ungenutzt. Denn zahlreiche E-Government Anwendungen erfordern, dass die Verwaltung ihren Kommunikationspartner eindeutig identifizieren kann und dass dieser auch im Internet eine rechtlich bindende Willenserklärung abgibt. Eine zuverlässige Authentifizierung ist mit Hilfe einer qualifizierten Digitalen Signatur möglich. Eine Karte, die qualifizierte digitale Signaturen erzeugen kann, besitzen allerdings nur wenige Bremer.

Anwendungen und Karten fehlen

Diese Situation charakterisiert das Grundproblem, dem sich E-Government und E-Commerce derzeit gegenübersehen. Dabei sind die rechtlichen Voraussetzungen gegeben: mit Signaturgesetz und der Gleichstellung von händischer Unterschrift und Digitaler Signatur besteht ein Rahmen, innerhalb dessen rechtlich bindende Willenserklärungen auf elektronischem Weg abgegeben werden können. Bisher fehlt es aber sowohl an einer ausreichenden Zahl interessanter Anwendungen als auch an einer kritischen Masse bei den Signaturkarten. Aus Sicht des Bürgers lohnt es sich in der Regel nicht, für einen Umzug oder eine Kfz-Ummeldung eine Signaturkarte und den dazu gehörigen Leser zu erwerben. Die relativ hohen Kosten für den Kauf einer Karte und des zugehörigen Lesegerätes schrecken mögliche Anwender ab, da ihnen nur vereinzelte nutzbringende Anwendungen gegenüberstehen. So interessant und zeitsparend E-Government ist – eine Killerapplikation ist es sicherlich nicht. Andererseits werden Unternehmen kaum attraktive Anwendungen zur Verfügung stellen, wenn keine ausreichende Zahl von Karten im Markt ist. In diesem Fall wird sich nämlich ihre Investition in die Online-Anwendung nicht amortisieren. Dieses sog. Henne-Ei Problem erschwert die weite Verbreitung und Nutzung der Digitalen Signatur: eine kritische Masse wird nicht erreicht.

Auch das Problem fehlender Standardisierung und Interoperabilität wirkt in die gleiche Richtung. Ziel muss es sein, dass ein Bürger mit einer Signaturkarte nicht nur seine Steuerklärung online durchführen kann oder bei der BfA eine Rentenauskunft erhält. Er sollte auch mit der gleichen Karte seine Adresse bei einer Versicherung ändern oder online ein Konto eröffnen können. Das bedeutet, dass alle Partner technisch in der Lage sein müssen, die von einem beliebigen Anbieter herausgegebenen Karten zu akzeptieren. Dies ist heute noch nicht der Fall: Insellösungen dominieren die Signaturlandschaft. Damit ist aber das Produkt „Signaturkarte“ eines bestimmten Kartenherausgebers für den Kunden nur sehr begrenzt einsetzbar und hat damit einen geringeren Nutzen als es potenziell haben könnte. Dies hemmt die Verbreitung von Signaturlösungen sowohl bei den Bürgern als auch bei den Unternehmen, die Anwendungen bereitstellen könnten.

Signaturbündnis schafft Abhilfe

Das Anfang April zwischen Vertretern von Staat und Wirtschaft geschaffene Signaturbündnis setzt genau an diesen Problemkreisen an: Es will sowohl die Ausgabe von interoperablen Karten als auch die Verbreitung von signaturfähigen Anwendungen fördern. Einer kritischen Masse von Signaturkarten soll damit der Weg bereitet werden. Dabei handelt es sich nicht nur um eine technisch motivierte Zielsetzung: die Nutzung von Digitalen Signaturen hat hohe praktische Relevanz, da sie die Fortentwicklung von E-Commerce und E-Government mitbestimmt.

Das Signaturbündnis startet unter guten Voraussetzungen: sowohl Anbieter von Kartenlösungen, insbesondere aus der Kreditwirtschaft, als auch Unternehmen und die öffentliche Verwaltung, die Anwendungen bereitstellen, sind Mitglieder des Bündnisses. Ein solches Public-Private-Partnership bietet die Chance, übergreifende Lösungen zu erarbeiten, die alle Beteiligten in einem koordinierten Prozess an der Lösungsfindung beteiligen. Und es hat den entscheidenden Vorteil, dass an beiden Komponenten gearbeitet wird: mit Hilfe der beteiligten Partner wird sowohl die Zahl der Anwendungen als auch die der im Markt befindlichen Karten erhöht.

Zahlreiche Aufgaben zu lösen

Auf das Bündnis warten zahlreiche Aufgaben: In einer technischen Arbeitsgruppe müssen die Themen Standardisierung und Interoperabilität erarbeitet werden. Dabei geht es darum, die verschiedenen, am Markt angebotenen Karten und Anwendungen interoperabel zu gestalten. Ziel ist es, die bestehenden Insellösungen zu einer Public-Key Infrastruktur (PKI) zu integrieren. Dabei sollte das Bündnis auch europäisch denken: vor dem Hintergrund hoher wirtschaftlicher Integration in der Europäischen Union ist es unabdingbar, dass Signaturlösungen zumindest europaweit einsetzbar sind. Daher muss es auch darum gehen, darauf hinzuwirken, dass ein offenes, interoperables und praktikables System auf europäischer Ebene konzipiert wird.

In der Arbeitsgruppe Geschäftsmodelle sollen Konzepte für tragfähige Geschäftsmodelle entwickelt werden. Die Bereitstellung einer Signatur-Infrastruktur verursacht Kosten bei den Unternehmen, die Karten herausgeben. Diesen stehen Effizienzgewinne bei all den Unternehmen und Teilen der öffentlichen Verwaltung gegenüber, die mit Hilfe des Einsatzes von Digitalen Signaturen ihre Prozesse verschlanken. Für eine mittelfristig tragfähige Signaturlandschaft ist es daher unabdingbar, dass sich alle, die vom Einsatz digitaler Signaturen profitieren, auch an ihrer Finanzierung beteiligen. Es ist auch darüber nachzudenken, wie die Nutzung elektronischer Kanäle für den Bürger attraktiv gestaltet werden kann: denkbar ist zum Beispiel, dass Anwender von den Effizienzsteigerungen in den Behörden in Form von verminderten Verwaltungsgebühren partizipieren.

Neue Partner helfen, die kritische Masse zu erreichen

Um das Signaturbündnis zum Erfolg zu führen, kommt es entscheidend darauf an, neue Partner zu werben, die ebenfalls Anwendungen bereitstellen und/ oder Karten herausgeben. Dadurch wird das Bündnis auf eine breite Grundlage gestellt und das Ziel, eine kritische Masse bei der Verbreitung digitaler Signaturen zu erreichen, unterstützt. Die Digitale Signatur wird aber nur dann den Durchbruch erfahren, wenn sie in der breiten Öffentlichkeit Akzeptanz erfährt. Studien zeigen, dass vielen Bürgern der Nutzen der Digitalen Signatur unklar ist. Gezielte Öffentlichkeitsarbeit ist notwendig, um den Bürgern die Einsatzmöglichkeiten der Digitalen Signaturen zu verdeutlichen und das Vertrauen in Signaturlösungen zu erhöhen.

Ein Blick auf die bereits bestehenden Möglichkeiten zeigt, dass das Angebot sowohl für den Bürger als auch für Unternehmen attraktiv ist und sich der Ausbau von Signaturanwendungen lohnt. Die Chancen sind groß, mit Medienbruch-freien Prozessen die Effizienz von Unternehmen und öffentlicher Verwaltung zu steigern. Das Signaturbündnis wird auf einen Akzeptanzschub für die digitale Signatur hinwirken.