Freier Marktzugang für Zertifikatsanbieter in AT
[Im ersten Teil der FuturezoneSerie zum neuen Entwurf des österreichischen Signaturgesetzes ging es um die rechtliche Anerkennung von elektronischen Unterschriften.]
Teil 1 mit Basisinformationen und LinksEin Schwergewicht des österreichischen Signaturgesetzentwurfs bildet die Regelung der Zertifizierungsdiensteanbieter. Zertifizierungsstellen sind natürliche oder juristische Personen oder sonstige rechtsfähige Einrichtungen, die Zertifikate ausstellen, mit denen elektronische Signaturdaten [genauer gesagt der öffentliche Schlüssel] einer bestimmten Person zugeordnet und deren Identität bestätigt werden kann.
Neben dieser Kerntätigkeit werden Zertifizierungsstellen auch andere Leistungen, wie die Führung von Signaturverzeichnissen, anbieten. Die Aufnahme und Ausübung der Tätigkeit eines Zertifizierungsdiensteanbieters bedarf laut § 6 Signaturgesetzentwurf keiner gesonderten Genehmigung.
Zertifikate
Digitale Signaturen können als das elektronische Gegenstück von
handgeschriebenen Unterschriften angesehen werden. Jeder
Unterzeichner besitzt ein Signier-Schlüsselpaar, das aus einem
privaten und einem öffentlichen Schlüssel besteht [asymmetrische
Verschlüsselung]. Den privaten Schlüssel verwendet der Unterzeichner
zur Erzeugung seiner Signatur. Mit Hilfe des öffentlichen Schlüssels
kann die Signatur überprüft werden. Zertifizierungsstellen ordnen
dem Unterzeichner einen öffentlichen Schlüssel zu, mit dem seine
Nachrichten oder Transaktionen decodiert und verifiziert werden
können.
FAQ & Links zum Thema Verschlüsselung und ZertifizierungIn der Praxis werden Zertifikate unterschiedlicher Sicherheitsstufen vergeben. Ein Zertifikat niedrigster Sicherheitsstufe erhält man einfach per E-Mail. Mittlere Zertifikate bekommt man nach telefonischer Identitätsüberprüfung oder Übermittlung einer Kopie eines Personalausweises via Fax. Für Zertifikate höchster Sicherheitsstufe wird man zur Zertifizierungsstelle gehen und einen Lichtbildausweis vorlegen müssen.
Weitere BegriffserklärungenTelekom-Control wird Aufsichtsstelle
Um die Vertrauenswürdigkeit der Zertifizierungsdiensteanbieter zu gewährleisten und Missbräuchen vorzubeugen sieht der Signaturgesetzentwurf [dem EU-Richtlinienentwurf folgend] die Einrichtung einer Aufsichtsstelle vor.
Diese Aufsichtsstelle wird in Österreich die Telekom-Control Kommission sein, die die Einhaltung der gesetzlichen Bestimmungen durch die Zertifizierungsanbieter überwacht. Die Finanzierung dieser Aufsichtsstelle wird durch die Zertifizierungsdiensteanbieter erfolgen, die regelmässige Beiträge leisten sollen.
Zertifizierungsstellen in AT
Die ersten Anbieter von Zertifikaten sind schon am Markt. A-sign
heisst das Zertifikat der PTA-Tochter Datakom, das in vier
Varianten, von "Light" über "Medium" bis hin zu "Strong" und
"Premium" angeboten wird. Seit 30. Mai bietet die Datakom auch
gratis Demozertifikate zum Ausprobieren an.
a-signe:sign ist ein Zertifikat, das die österreichischen Geldinstitute, die Nationalbank, die PTA, die Notariatskammer und der Österreichische Rechtsanwaltskammertag entwickelt haben. Die Banken und Postämter fungieren als Lizensierungsstellen und geben Smart Cards aus, auf denen der private Schlüssel des Signators gespeichert ist.
e:signQualitätssiegel
In Verbindung mit dem Angebot sicherer elektronischer Signaturen, die eine ganze Reihe von Erfordernissen erfüllen müssen, können sich die Zertifizierungsdiensteanbieter auch bei der Aufsichtsstelle akkreditieren lassen [§ 17 Signaturgesetzentwurf].
Diese Akkreditierung kommt nur bei besonders hochwertigen Signaturen in Betracht. Mit der Akkreditierung sollen für die Zertifizierungsstelle besondere Rechte verbunden sein [zB besondere Werbe- und Marketingmassnahmen].
5,5 Millionen für SIT
Ausserdem sieht der Gesetzesentwurf die Einrichtung einer oder mehrerer Bestätigungsstellen vor, die die Einhaltung der Sicherheitsanforderungen überwachen. So eine Bestätigungsstelle hat den Zertifizierungsdiensteanbietern für ihre Tätigkeit ein per Verordnung festgelegtes Entgelt vorzuschreiben. In den Erläuterungen zum Gesetzesentwurf wird ausdrücklich festgehalten, dass jedenfalls kein eigenes Amt als Bestätigungsstelle geschaffen wird. Vorerst soll auf Vereinsbasis ein "Zentrum für sichere Informationstechnologie" [SIT] eingerichtet werden.
SIT soll aus dem Bundeshaushalt finanziert werden [für 1999 wird das Budget auf rund 5,5 Mio. ATS geschätzt] und wird neben den Aufgaben einer Bestätigungsstelle auch noch andere Agenden wahrnehmen.
Deutsches Gesetz
In Deutschland gibt es bereits seit 1997 ein Signaturgesetz. § 4
dieses deutschen Gesetzes sieht - im Unterschied zum
österreichischen Entwurf - für den Betrieb einer
Zertifizierungsstelle eine behördliche Genehmigung vor. Diese
Regelung wird fallen: In Artikel 3 des Signaturrichtlinienentwurfs
der EU heisst es nämlich: "Die Mitgliedstaaten machen die
Bereitstellung von Zertifizierungsdiensten nicht von einer
voerherigen Genehmigung abhängig.
Deutsches Regelung für ZertifizierungsstellenIm 3. Teil der Serie [morgen in der Futurezone] wird es um die Haftung der Zertifizierungsstellen gehen.