Authentifikation und elektronische Unterschrift - Abschlußbericht

Kurzbericht des Arbeitskreises „Authentifikation“

Der Arbeitskreis Authentifikation behandelte Aspekte der Identifikation mit elektronischen Mitteln. Dabei kommen insbesondere biometrische Verfahren in Betracht. Aus der Kriminalistik ist bekannt, daß jeder Mensch individuelle, unveränderliche Merkmale hat, beispielsweise Fingerabdruck oder Stimme, wie auch charakteristische Verhaltensweisen, z.B. Tastaturanschlag oder Unterschrift. Es liegt nun nahe, diese individuellen Eigenschaften, die man sich nicht merken muß und die jeder mit sich herumträgt, zur Zugangskontrolle auch in Netzwerken heranzuziehen. Im Vorjahr (EDV-GT 98) wurden dafür verschiedene biometrische Systeme vorgestellt: Fingerabdruck, allgemeine körperliche Merkmale (Kontur, Iris, Stimme) Anschlagcharakteristik an der Tastatur. Daran wurde beim EDV GT 99 angeknüpft.

Üblicherweise erfolgt die Authentifikation eines Dokuments durch die eigenhändige Unterschrift. Zunächst wurden daher die Genauigkeit und Überprüfbarkeit des klassischen Authentifikationsmittels Unterschrift dargestellt. Dazu hat Herr Dr. Hecker vom Bundeskriminalamt ausgeführt:

Im Zeitalter der elektronischen Signatur behalte die manuell geleistete Unterschrift wahrscheinlich noch für viele Jahrzehnte ihre Bedeutung als individuelle Willenserklärung im Rechtsverkehr. Damit werde sie – und die anderen Formen der Handschrift (Textschrift/ Druckschrift) – auch weiterhin eine herausragende Rolle in der Forensik spielen, eben wegen ihrer Personenidentifizierungseigenschaft.

Zwar spielten auch in der kriminalistischen Schriftuntersuchung Aspekte der Mustererkennung zunehmend eine Rolle, jedoch vollziehe sich das Gros der Urheberidentifizierungen nach wie vor auf der Ebene des klassischen Methodenspektrums.

Neben einer Darstellung dieser Vorgehensweisen und einem Blick auf die nahe Zukunft unter dem Gesichtspunkt des aktuellen Forschungsstandes sollten insbesondere auch die Grenzen der Urheberidentifizierung über die Handschrift aufgezeigt werden. An einer Reihe von Falldarstellungen wurde darüber hinaus versucht, dem Benutzer von Schriftgutachten einige Kriterien an die Hand zu geben, die ihm die Unterscheidung von methodisch korrekten und unseriösen Gutachten erleichtern.

Natürlich kann auch das klassische Mittel der Authentifikation, nämlich die eigenhändige Unterschrift, elektronisch umgesetzt werden. Herr Baltus hat ein dafür geeignetes, marktreifes System "Hesy" im Arbeitskreis vorgestellt. Dabei wird der mit der Abgabe der Unterschrift verbundene Druckverlauf an einem beliebigen Stift über Wägezellen piezoelektrisch in Echtzeit erfaßt, abgespeichert und mit einem hinterlegten entsprechenden Referenzmuster verglichen. Innerhalb einer vorgebbaren Toleranzschwelle wird die Unterschrift akzeptiert, bei Überschreitung wird sie verworfen.

Neben individuell-strukturellen und biologischen Merkmalen können auch auf technischem Weg charakteristische Merkmale aus einem Dokument ermittelt und umkehrbar eindeutig zugeordnet werden. Die Bezeichnung elektronische oder digitale Unterschrift wird für unterschiedliche Vorgänge verwendet. Es kann darunter einerseits die in üblicher Weise geleistete Unterschrift mit elektronischer Meßwerterfassung und digitaler Umsetzung verstanden werden, wie sie dem Verfahren HESY zugrunde liegen. Unter elektronischer Unterschrift kann aber auch die elektronische Signatur verstanden werden. Dabei handelt es sich um die Verschlüsselung eines gehashten Dokuments. Der Hash-Vorgang erzeugt aus einem Dokument beliebiger Länge ein Unterdokument bestimmter, einheitlicher Länge. Dieses so definierte Unterdokument wird in üblicher Weise asymmetrisch ver- und entschlüsselt (je ein öffentlicher und privater Schlüssel, mit dem privaten Schlüssel wird ver-, mit dem öffentlichen Schlüssel wird entschlüsselt). Bei Identität des gehashten Unterdokuments gilt die Echtheit des Dokumentinhalts als bestätigt. Das System erfordert die Vergabe und Verwaltung von individuell vergebenen Schlüsselpaaren durch sog. „Trust Center“.

Die Bezeichnung „Unterschrift“ für diesen Vorgang erscheint unglücklich gewählt, denn „unterschrieben“ im vertrauten Sinn des Wortes wird dabei nichts. Es handelt sich vielmehr um einen rein technisch erzeugten, entindividualisierten Vorgang, der nur über einen privaten Schlüssel eine persönliche Zuordnung erhält. Der Schlüssel ist in der Regel auf einem Datenträger (z.B. einer Chipkarte), gespeichert, der Zugang erfolgt üblicherweise durch eine PIN (mit den bekannten Unsicherheiten). Dies erfolgt ebenso automatisch wie beispielsweise das Einscannen einer Unterschrift, was vom Oberlandesgericht Karlsruhe als ungenügend für das Einlegen eines Rechtsmittels erachtet wurde.

Abschließend hat Prof. Rüßmann rechtliche Aspekte bei der Umsetzung der Unterschrift in digitaler oder elektronischer Form dargelegt und dabei die Frage aufgeworfen, ob dort, wo rechtliche Regelungen heute die Schriftform verlangen, auch elektronische Dokumente zur Formwahrung geeignet sein können. Das hält man in der deutschen Doktrin im allgemeinen für ausgeschlossen und ruft nach dem Gesetzgeber zur Schließung der Regelungslücke. Tatsächlich bereitet das Bundesjustizministerium eine gesetzliche Regelung zur sog. Textform vor. Der Referentenentwurf ist dabei bemüht, bei jedem Schriftformerfordernis des materiellen Rechts und des Verfahrensrechts festzuschreiben, ob seinem Zweck nicht auch durch die Textform genügt werden könne. Auf internationaler Ebene ist man da weniger zurückhaltend.

Prof. Rüßmann berichtete von einer Diskussionsrunde, die die Haager Konferenz für Internationales Privatrecht in Genf zu Fragen des elektronischen Geschäftsverkehrs kurz vor dem EDV-Gerichtstag veranstaltet hatte. Die dortige Empfehlung zur Behandlung der Schriftformerfordernisse in Sonderheit in der internationalen Handelsschiedsgerichtsbarkeit ging dahin, dass der Rechtsanwender entscheiden möge, ob die elektronischen Möglichkeiten zur Sicherung der Authentizität elektronischer Dokumente den traditionellen Schriftformerfordernissen funktional äquivalent seien, und bejahendenfalls die elektronischen Dokumente als zur Schriftformwahrung ausreichend ansehen möge.

Mit eben diesem Ansatz der funktionalen Äquivalenz untersuchte alsdann Prof. Rüßmann die Wahrung der der traditionellen Unterschrift zugeschriebenen Funktionen des Abschlusses der rechtsgeschäftlichen Erklärung, des Beweises des Inhalts und der Urheberschaft einer Erklärung sowie der Warnung vor dem übereilten Abschuss eines wichtigen oder gefährlichen Geschäfts durch die vorgestellten elektronischen Möglichkeiten. Sein Fazit: Mit Blick auf die Abschluss- und die inhaltsbezogene Beweisfunktion sei die elektronische Signatur dem unterschriebenen Schriftstück überlegen. Die urheberbezogene Beweisfunktion erreiche die elektronische Signatur dann, wenn der Zugang zur Signatur über biometrische Verfahren erfolge. Das Erreichen der Warnfunktion setzte psychologische Vergleiche der Wirkung einer handschriftlichen Unterzeichnung mit der Wirkung des bei der elektronischen Signatur zu beobachtenden Verfahrens voraus. Er jedenfalls fühle sich schon durch die Eingabe einer relativ komplizierten Passphrase bei PGP hinreichend gewarnt. Mit HESY als biometrischem Zugangsverfahren zur elektronischen Signatur sei schließlich die handschriftliche Unterzeichnung 1 zu 1 abgebildet, so dass bei diesem Verfahren die funktionale Äquivalenz mit Blick auf alle Funktionen der Schriftform vollständig gegeben sei.