Irrungen und Verwirrungen : Warum ist Signieren eigentlich so schwer?
Es war einmal die digitale Signatur ... So könnte eine wenig märchenhafte Erzählung beginnen, die von „das Richtige zur falschen Zeit“ über „Wer zu viel will, kriegt gar nichts“ hin zu einem offenen Ende führt, bei dem noch niemand wirklich weiß, ob der Cliffhanger nun ein furioses Sequel vorbereitet oder die Protagonisten einfach im Treibsand der Zeit dem Vergessen anheimfallen – eine Bestandsaufnahme.
Das erste Signaturgesetz (SigG, [1]) gab es in Deutschland schon 1997: Es sollte die Rahmenbedingungen für digitale Signaturen schaffen, „unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Fälschungen von signierten Daten zuverlässig festgestellt werden“ konnten. Damit machte sich eine wahre Aufbruchstimmung breit, versprach doch der Betrieb einer Zertifizierungsstelle eine Lizenz zum Gelddrucken zu sein. Die Digitalisierung war Ende der Neunzigerjahre des vorherigen Jahrhunderts zwar am Horizont sichtbar, aber in Unternehmen und vor allem auch in Behörden noch nicht wirklich angekommen. Ohne Digitalisierung ist die Relevanz elektronischer Signaturen jedoch nicht groß. Das Signaturgesetz war seiner Zeit voraus und bot eine Lösung an, ohne dass klar war, welches Problem man damit lösen sollte – zur Lösung passende Anwendungen wurden verzweifelt gesucht.
Wesentliche Änderungen gab es 2001 aufgrund von Erfordernissen der ersten Signatur-Richtlinie der EU (1999/93/EG), wodurch unter anderem die sogenannte Anbieter-Akkreditierung eingeführt wurde (siehe [2,3]) – doch schon ein Jahr später machte sich Katerstimmung breit, als mit der Deutschen Post Signtrust einer der ganz großen akkreditierten Anbieter qualifizierter elektronischer Signaturen aufgab [4]. 2004/2005 sollten Anpassungen nicht zuletzt den Weg für Signaturfunktionen auf Bankkarten bereiten, was allerdings in der Breite nie ankam.
Schließlich hat das Vertrauensdienstegesetz (VDG, [5]) im Jahr 2017 das Signaturgesetz abgelöst. Es war einmal die digitale Signatur … So könnte eine wenig märchenhafte Erzählung beginnen, die von „das Richtige zur falschen Zeit“ über „Wer zu viel will, kriegt gar nichts“ hin zu einem offenen Ende führt, bei dem noch niemand wirklich weiß, ob der Cliffhanger nun ein furioses Sequel vorbereitet oder die Protagonisten einfach im Treibsand der Zeit dem Vergessen anheimfallen – eine Bestandsaufnahme. Quelle: IT-Sicherheit für Dummies [7]
Mit dem VDG wurde die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung) von 2014 [6] durch nationale Regeln konkretisiert.
Warum wurde der Rahmen, den Juristen nunmehr schon seit 25 Jahren akribisch abstecken, eigentlich nie wirklich mit Leben gefüllt? Was bestimmt nicht hilfreich war und ist: Schon begrifflich ist hier längst nicht alles intuitiv verständlich. Darüber hinaus gibt es aber auch weitere Problemfelder, die im Folgenden kurz umrissen werden.
Abbildung 1: Schematische Darstellung der Signaturerzeugung und -prüfung – wäre alles so klar und akzeptiert, wie der technische Ablauf, würde vermutlich deutlich mehr signiert.
Elektronisch vs. digital
Nach der aktuellen Rechtslage in Deutschland ist eine elektronische Signatur ein rechtliches Konstrukt aus der eIDAS-Verordnung. Digitale Signatur bezeichnet hingegen ein technisches Verfahren, um eine Signatur zu erstellen: Abbildung 1 zeigt den altbekannten schematischen Ablauf der Signaturerstellung aus dem Hashwert einer Nachricht mithilfe des geheimen Schlüssels (Private Key) des Signaturerstellers – die Verifikation benötigt den auf Empfängerseite neu berechneten Hashwert der Nachricht und den öffentlichen Schlüssel des Signaturerstellers.
Nach der Begriffsdefinition in Art. 3 Nr. 10 eIDAS-Verordnung besteht eine elektronische Signatur aus „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“.
Die einfachste Form einer elektronischen Signatur lässt sich demnach auch ohne (!) die Verwendung kryptografischer Verfahren erstellen. Bereits eine E-Mail, die mit einer Grußformel, dem Namen des Absenders und den Kontaktdaten (Anschrift, Telefon oder E-Mail) versehen ist, erfüllt die Anforderungen an eine solche „[einfache] elektronische Signatur“ und entfaltet damit bereits eine Rechtswirkung. Art. 25 der eIDAS-Verordnung regelt: „Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt“!
Jede Anwendung einer digitalen Signatur (kryptografisches Verfahren) unabhängig von der Art der Speicherung geheimer Schlüssel (z. B. in einer passwortgeschützten Datei oder Chipkarte) [über-]erfüllt alle Voraussetzungen der „[einfachen] elektronischen Signatur“ – aus technischer Sicht ist auf dieser Stufe keine besondere Manipulationssicherheit gefordert.
Fortgeschrittene Signatur
Eine fortgeschrittene elektronische Signatur muss nach Art. 26 der eIDAS-Verordnung hingegen vier Voraussetzungen erfüllen:
- Sie ist eindeutig dem Unterzeichner zugeordnet: Die fortgeschrittene elektronische Signatur enthält Daten, die nur der Unterzeichner erzeugt haben kann.
- Sie ermöglicht die Identifizierung des Unterzeichners: Die Daten ermöglichen direkt oder indirekt eine eindeutige Zuordnung zum Unterzeichner. Damit muss auch im zugehörigen Zertifikat – also der Verknüpfung des Schlüssels mit der Identität des Schlüsselinhabers – die überprüfte Identität des Unterzeichners enthalten sein. Damit Nutzer sich ohne eigenen Prüfaufwand auf die Identität in einem Zertifikat verlassen können, muss es von einer Zertifizierungsstelle ausgestellt sein.
- Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann: Hierunter fällt die Verwendung des geheimen Schlüssels (elektronische Signaturerstellungsdaten) und dieser geheime Schlüssel muss zumindest durch ein Passwort geschützt sein, das nur der Unterzeichner kennt („unter seiner alleinigen Kontrolle“).
- Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann: Die Hashfunktion, die bei der Erstellung der digitalen Signatur zum Einsatz kommt, stellt sicher, dass eine Veränderung der signierten Daten oder der Signatur erkennbar ist.
Qualifizierte Signatur
Die qualifizierte elektronische Signatur entspricht weitgehend einer fortgeschrittenen elektronischen Signatur – allerdings mit erhöhten Sicherheitsanforderungen. Die hier geforderte sichere Signaturerstellungseinheit wird meist als Chipkarte realisiert: In ihr ist der geheime Schlüssel sicher gespeichert und die digitale Signatur wird in der Chipkarte erstellt, indem man den Hashwert der Nachricht an die Chipkarte schickt und die Signatur nach der Berechnung zurückgeliefert bekommt.
Auch die technisch-organisatorischen Anforderungen an die Zertifizierungsstelle sind erheblich: Zertifizierungsstellen sind Vertrauensdiensteanbieter. Ein „qualifizierter“ Vertrauensdiensteanbieter muss sich registrieren und überprüfen lassen – ist er zugelassen, unterliegt er Meldepflichten über Sicherheitsvorfälle und einer regelmäßigen erneuten Überprüfung (Konformitätsbewertung).
Der Sonderweg der Elster
Die Finanzbehörden akzeptierten zur Abgabe einer elektronischen Steuererklärung (Elster) sehr früh eine dem damaligen Signaturgesetz entsprechende Signatur unter der Steuererklärung. Der Autor erinnert sich an ein zufälliges Gespräch mit Elster-Entwicklern auf einer Zugfahrt zur CeBiT: Sie erzählten, dass kaum jemand die digitale Signatur benutzt habe. Elster ging deswegen einen Sonderweg, ignorierte das Signaturgesetz und hat eine „authentifizierte Steuererklärung“ eingeführt.
Auf Nachfrage wurde dem Autor bestätigt, dass dies der Abgabe einer nicht-unterschriebenen Steuererklärung auf Papier unter Vorlage eines Ausweises entsprechen würde: Die Finanzbeamtin notiere beim Empfang auf der Steuererklärung, dass sich der Steuerpflichtige bei Abgabe ausgewiesen (sich authentisiert) habe. Noch heute heißt es im Steuerbescheid: „Der Festsetzung liegen Ihre (am …) in authentifizierter Form übermittelten Daten zugrunde.“
Bei der Zuordnung des Signaturschlüssels (Elster-Zertifikat) zur Identität des Steuerpflichtigen gehen die Finanzbehörden ebenfalls einen eigenen Weg: Bei der Registrierung werden zwei Codes verschickt – einmal an die angegebene E-Mail-Adresse und einmal per Brief an die beim Finanzamt für die Steuernummer bekannte Postanschrift. Nach der Eingabe dieser beiden Codes ist die Identität dem Schlüssel zugeordnet. Technisch wird die abgegebene Steuererklärung digital signiert, aber die Signatur genügte nicht den Anforderungen des damaligen Signaturgesetzes – heute dürfte es sich bei der digitalen Signatur bei der Steuererklärung um eine fortgeschrittene elektronische Signatur nach eIDAS-Verordnung handeln.
Vielleicht machte gerade dieser Sonderweg zur Vermeidung der Anforderungen des Signaturgesetzes „die Elster“ so erfolgreich.
Eigene oder offizielle Zertifizierungsstelle
Als Alternative zu „offiziellen“ Zertifizierungsstellen, also solchen Zertifizierungsstellen, deren Wurzelzertifikat in den Betriebssystemen und Browsern vorinstalliert ist, lässt sich auch eine eigene interne Zertifizierungsstelle betreiben. Immer wenn Ressourcen ausschließlich intern von firmeneigenen Geräten genutzt werden, ist dies der bessere Weg. Das Wurzelzertifikat der eigenen Zertifizierungsstelle muss dann auf allen IT-Systemen des Unternehmens oder der Behörde eingerichtet werden – das ist aber bei der Installation eigener Geräte kein Problem.
So betreiben beispielsweise sowohl die Bundesregierung (sog. Verwaltungs-PKI seit 2002, vgl. www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Moderner-Staat/Verwaltungs-PKI/verwaltungs-pki_node.html) als auch einige Landesregierungen eigene Zertifizierungsstellen nach diesem Muster (z. B. die Bayern-PKI, www.pki.bayern.de). Die entsprechenden Wurzelzertifikate sind überdies öffentlich zugänglich, sodass Partnereinrichtungen diese auf ihren IT-Geräten – falls nötig – ebenfalls ausrollen können.
Ein Vorteil ist, dass diese Zertifikate nicht in den Zertifikat-Transparenzregistern auftauchen (durchsuchbar z. B. über https://crt.sh). Mit „offiziellen“ Zertifikaten für die interne Unternehmensinfrastruktur erscheinen hingegen auch alle internen IT-Systeme mit eigenen Zertifikaten (z. B. Intranet-Server) in den öffentlichen Zertifikat-Transparenzregistern – diese sind daher gegebenenfalls eine gute Informationsbasis für Phishing-Angriffe.
Mit der Volksverschlüsselung betreibt zudem das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) seit 2016 eine eigene kostenfreie Zertifizierungsstelle für private Anwender zum Einsatz bei E-Mail-Signaturen und -Verschlüsselung auf Basis von X.509-Zertifikaten (https://volksverschluesselung.de). Seit 2017 gibt es auch von SIT eine kommerzielle Lösung für kleine und mittlere Unternehmen (KMU, siehe https://key2b.de).
Siegel vs. Signatur
Wenn eine natürliche Person eine (kryptografische) digitale Signatur erstellt, ist dies eine „elektronische Signatur“ – erstellt jedoch eine juristische Person eine (kryptografische) digitale Signatur, heißt diese elektronisches Siegel. Diese Sichtweise korrespondiert damit, dass in der „analogen Welt“ ein Mensch unterschreibt (signiert) und für eine Behörde Dienstsiegel genutzt werden. Da eine juristische Person nicht eigenständig Siegel erstellen kann, wird in der Regel aber auch ein Siegel unter die Kontrolle einer natürlichen Person gestellt.
Wer kontrolliert was?
Überdies sind häufig Sicherheitsniveau und Semantik einer Signatur (bzw. der hierzu genutzten Schlüssel/Zertifikate) nicht ohne Weiteres erkennbar oder überhaupt nicht definiert.
Um etwa die Ausstellung von Zertifikaten für Websites kostengünstig und effizient zu gestalten, werden solche Zertifikate überwiegend nur „Domain-validiert“: Dabei überprüft der Zertifikataussteller, ob der Antragsteller Kontrolle über die angefragte Domain hat. Let’s Encrypt verwendet hierzu beispielsweise eine Zufallszahl, die man entweder in eine eigene Webseite oder den zugehörigen DNS-Server eintragen muss.
Damit verlässt sich der Aussteller des Zertifikats aber letztlich in Sachen „Identifizierung“ darauf, dass der Registrar bei der Registrierung der Domain die Identität des Domaininhabers belastbar geprüft hat – der Autor hat erhebliche Zweifel, dass diese Annahme immer korrekt ist. Die neue NIS-2-Verordnung der EU schreibt in Art. 28 allerdings vor, dass Registrare neben dem Namen der Domain auch „den Namen des Domäneninhabers, seine E-Mail-Adresse und Telefonnummer“ erheben müssen. Bei der Umsetzung der Richtlinie in nationales Recht sollen dann Überprüfungsverfahren obligatorisch werden, mit denen sich sicherstellen lässt, dass die erhobenen Daten richtig und vollständig sind.
Persönliche Zertifikate bleiben in der Diskussion oft außen vor. Auch hier ist der einfachste Standard eine Validierung der E-Mail-Adresse im Zertifikat (häufig als „Class 1“-Zertifikat bezeichnet). Gerade die großen Mail-Provider sind aber nicht darauf vorbereitet, dass die E-Mail-Adresse zur verlässlichen Identifizierung ihres Inhabers in einem anderen Kontext verwendet wird.
Namensvalidierte persönliche Zertifikate verlangen hingegen eine Identitätsprüfung des Antragstellers („Class 2“-Zertifikat): Dies geschieht meist über Varianten von VideoIdent-Verfahren. Ein derartiges Zertifikat lässt sich daran erkennen, dass neben der E-Mail-Adresse auch der Name im Zertifikat eingetragen wird. Ob dieser Unterschied einem unbedarften Nutzer auffällt, ist allerdings fraglich – zumal viele E-Mail-Adressen bereits Vor- und Nachname enthalten.
Innerhalb eines Unternehmens oder einer Behörde funktionieren E-Mail-validierte Zertifikate für die Beschäftigten hingegen gut: Deren Identität wird schließlich bei der Einstellung sorgfältig geprüft und die Zuordnung der E-Mail-Adressen zu den Beschäftigten erfolgt im Unternehmen. Bei der Kommunikation mit Partnern lässt sich eine gegenseitige Anerkennung solcher Zertifikate leicht vereinbaren (auch wenn sie nicht „qualifiziert“ sind).
OpenPGP vs. S/MIME
Das Vertrauen in eine Zertifizierungsstelle hängt bei S/MIME und TLS technisch betrachtet vom lokalen Massenspeicher ab: Ist das Wurzelzertifikat der ausgebenden Zertifizierungsstelle im Zertifikatspeicher des Betriebssystems oder Browsers gespeichert, ist „Vertrauen“ gegeben. So können Einrichtungen eigene vertrauenswürdige Zertifizierungsstellen ausrollen. Andererseits können jedoch auch Attacken relativ leicht in diese Vertrauensbasis „hineingrätschen“.
In der OpenPGP-Welt vertraut ein Nutzer zu Beginn nur dem eigenen Schlüssel – das Vertrauen in eine Zertifizierungsstelle muss (wie bei jedem beliebigen Schlüssel Dritter) durch eine Signatur des Wurzelzertifikats der Zertifizierungsstelle mit dem eigenen Schlüssel kryptografisch festgeschrieben werden. Das verlangt die aktive Mitarbeit des Nutzers – und macht ein Ausrollen von „Wurzelzertifikaten“ aufwendiger.
Auch wenn es komisch klingen mag, im Zusammenhang mit OpenPGP von Zertifizierungsstellen zu sprechen, sind doch Strukturen analog zur S/MIME-Welt problemlos möglich und in Unternehmen und Behörden auch empfehlenswert! Warum Behörden, die Bürgern OpenPGP-Schlüssel zum Download anbieten (z. B. alle 18 Datenschutzaufsichtsbehörden in Deutschland), nicht auf eine Zertifizierungsinfrastruktur setzen, ist dem Autor unverständlich. Der oft zur Absicherung beim Download angebotene Fingerprint des Schlüssels sichert jedenfalls nicht die Authentizität eines heruntergeladenen Schlüssels, weil ein Angreifer, der dort den Schlüssel austauschen kann, auch den Fingerprint anpassen kann.
Das Signieren einer Nachricht oder eines Dokuments ist einfach – es gibt zahlreiche Software, die dies ermöglicht: Man braucht ein Zertifikat und das Signieren kann beginnen – und in der Regel muss man dieses Zertifikat dann alle drei Jahre erneuern.
Zur Prüfung einer Signatur benötigt man das Zertifikat (d. h. den öffentlichen Schlüssel) des Signaturerstellers. Während S/MIME es ermöglicht, dieses Zertifikat in der Datenstruktur der digitalen Signatur unterzubringen, müssen OpenPGP-Schlüssel über einen Schlüsselserver oder eine individuelle Anfrage aktiv beschafft werden. Da es – wie angesprochen – üblich ist, persönliche Schlüssel maximal drei Jahre zu verwenden, ist die Aktualisierung der Zertifikate von Kommunikationspartnern ein ständiger Prozess, der oft frustrierend ist.
Weil Signaturen zudem nach dem Ablauf eines Zertifikats als ungültig angezeigt werden, ist der Umgang mit älteren signierten Dokumenten manchmal verwirrend bis schwierig. An dieser Stelle bedarf es besserer Konzepte zur Darstellung der Gültigkeit von Signaturen, die mit abgelaufenen Schlüsseln erstellt wurden.
Das Browser-Forum versus eIDAS
Das Browser-Forum ist ein Zusammenschluss von Browser- und Betriebssystem-Herstellern sowie „offiziellen“ PKI-Betreibern (https://cabforum.org). Dieses Gremium legt die Regeln fest, die „offizielle“ PKI-Betreiber einhalten müssen, um ihre Wurzelzertifikate in den Zertifikatspeichern der Browser und Betriebssysteme vorinstalliert zu bekommen.
Für das automatische und (zumindest vorgeblich) benutzerfreundliche Funktionieren der TLS-Verschlüsselung sowie von E-Mail-Signaturen und -Verschlüsselung ist eine Vorinstallation essenziell. Allerdings führt diese Vorinstallation auch dazu, dass sich kaum noch jemand Gedanken darüber macht, woher das „Vertrauen“ in die vorinstallierten Zertifizierungsstellen kommt.
Da die eIDAS-Verordnung Anforderungen an qualifizierte Zertifikate für die Website-Authentifizierung festlegt, kollidieren die Interessen des Browser-Forums mit dem aktuellen Entwurf der eIDAS2-Verordnung [8]: Denn dieser Entwurf fordert, dass qualifizierte Zertifikate für die Website-Authentifizierung von den Webbrowsern anerkannt werden müssen.
Dieser Konflikt gipfelt in einen offenen Brief von Wissenschaftlern und IT-Sicherheitsexperten, die durch die kommende EU-Regulierung nicht weniger als die Sicherheit des Internets gefährdet sehen: Die Verordnung verlangt, dass Browser-Hersteller die Wurzelzertifikate der Herausgeber von „qualifizierten Zertifikaten für die Website-Authentifizierung“ in den Zertifikatsspeichern der Browser vorinstallieren. Dass die Browser-Hersteller ein derartiges Wurzelzertifikat bei Sicherheitsmängeln einer zugelassenen Zertifizierungsstelle nicht einfach entfernen dürfen, sondern auf den Entzug der Zulassung warten müssten, liefert die Begründung der genannten Sicherheitsbedenken. Diese Bedenken sind ausführlich auf der Website der Electronic Frontier Foundation (EFF) nachzulesen (siehe www.eff.org/search/site/eidas).
Fazit
Unterm Strich haben die gesetzlichen Vorgaben die Nutzung digitaler Signaturen nicht in die Fläche gebracht: Die Sicherheits-Vorgaben waren vielen zu hoch und zu kostspielig.
Qualifizierte elektronische Signaturen sind bei der Kommunikation mit Gerichten durch Notare und Anwälte (elektronisches Gerichts- und Verwaltungspostfach sowie bei Eintragungen ins Handelsregister oder Grundbuch), bei der E-Vergabe, bei der Online-Abrechnung der Kassenärzte und im elektronischen Abfallnachweisverfahren üblich.
Zwischen Unternehmen und Privatleuten ist relevant, dass eine qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche Unterschrift hat (Art. 25 Abs. 2 eIDAS-Verordnung). Schade ist es, dass der neue Personalausweis (nPA) zwar ursprünglich Schlüssel für qualifizierte Signaturen speichern konnte, diese Funktion jedoch „nie“ genutzt wurde – und diese Funktionalität nunmehr entfallen ist. Andererseits unterstreicht Art. 25 Abs. 1 eIDAS-Verordnung mittlerweile, dass auch eine einfache oder fortgeschrittene Signatur nicht ohne Rechtswirkung bleibt (siehe oben). Doch wie viele Unternehmen lassen sich hierauf ein?
Digitale und elektronische Signaturen müssen in der Anwendung einfacher werden. Das heißt auch: Der Umgang mit Zertifikaten der Kommunikationspartner muss einfacher werden. Das digitale Signieren jeder E-Mail in der geschäftlichen Kommunikation sollte heute eigentlich selbstverständlich sein – ist es aber nicht. Auch daran müssen wir noch arbeiten.
Prof. Dr. Rainer W. Gerling ist freiberuflicher Trainer und Berater für Datenschutz und IT-Sicherheit, Honorarprofessor für das Fachgebiet „IT-Sicherheit“ an der Fakultät für Informatik und Mathematik der Hochschule München sowie stellvertretender Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.