nicht angemeldet
qualifizierte Signatur gemäß SigG in Webanwendungen
Hallo!
Ich bin gerade auf der Suche nach Informationen über qualifizierte Signaturen die sich im Web-Umfeld anwenden lassen, und zwar konform zum Signaturgesetzt(SigG).
Prinzipiell braucht man ja für eine qualifizierte Signatur einen privaten Schlüssel, mit der man z.B. eine Email signiert, was dann anhand des öffentlichen Schlüssels verifiziert werden kann.
(btw. gelten GPG/PGP eigentlich als Signaturgesetz konforme, qualifizierte Signaturen?)
Soweit ist das ja alles klar. Aber angenommen ich fülle ein HTML-Formular aus, und will dass dessen Daten signiert werden, so dass sie den Anforderungen des Signaturgesetzes genügen - ist das überhaupt möglich? Aber warum nicht?
Bei SSL gibt es ja auch Client-Zertifikate, die Sache ist ja nur, dass dies eine Authentifizierung/Signatur auf der Protokoll-Ebene garantiert, aber gilt somit alles was ich dann in ein Formular eingebe als "qualifiziert signiert"?
Das Problem ist ja, dass hier nicht z.B. ein Dokument signiert wird, sondern ein Request komplett. Außerdem weiß ich nicht ob man an diese Signatur überhaupt so einfach in einer Applikation drankommt, denn die braucht man ja um später verifizieren zu können ob sich was an den Daten gändert hat.
Im Fall von "qualifizierten Signaturen" kommt noch erschwerend hinzu, dass sich der private Schlüssel nicht dublizieren lassen darf, und auch den Zugiff auf den Besitzer beschränken muss.
Somit fällt der alleinige Einsatz von SSL IMHO schonmal aus. Die hohen Anforderungen machen soweit ich das gelesen habe sogar den Einsatz von zusätzlicher Hardware notwendig, also Chipkartenleser...
Aber das verstehe ich nicht. Im Fall von PGP/GPG kann man den privaten Schlüssel ja per Passwort verschlüsseln, so dass niemand was damit anfangen kann. Ist das jetzt eien "ualifizierte Signatur" oder nicht? Habe dazu irgendwie keine endeutige Aussage gefunden.
Mal angenommen dies sei eine qualifizierte Signatur gemäß SigG. Soweit ich weiß gibt es keine Möglichkeit das Client-Zertifikat bei SSL zusätzlich mit einem Passwort zu verschlüsseln, das ist ja auch in der Praxis Schwachsinn wenn man bei jedem Request ein Passwort eingeben müsste. Und alles andere (einmalig Passwort eingeben und im Cache speichern...) ist zum einen nicht implementiert, und darüber hinaus würde es vermutlich erst recht nicht den Anforderungen des Gesetzes genügen.
Aber was gibt es dann für Möglichkeiten die Nutzdaten bei HTTP-Requests zu signieren? Prinzipiell müsste das ja z.B. über ein GPG-Plugin im Browser möglich sein, das heißt, der die Daten würden mit dem privaten Schlüssel signiert, und dann samt Signatur an den Server geschickt, die Signatur kann dann entweder hinten angehängt werden, oder besser als Zusatzparameter übertragen werden, um den Umgang hiermit zu erleichtern.
Und die Alternative - mit Chipkartenleser? Aus dem Browser heraus so ein Gerät anzusprechen ist ja mit Sicherheit recht aussichtslos, über Java dürfte es ja eigentlich auch nicht gehen, das heißt man bräuchte wieder ein extra Plugin, welches sich um das Signieren und den Zugriff auf das Kartenlesegerät kümmert.
Ein weiteres Problem ist ja, dass wenn der HTTP-Request signiert wird, dürfen die Daten ja nicht mehr verändert werden. Und davon hat man ja dann herzlich wenig, da sich die Daten so nur unzureichend darstellen lassen. Man könnte vielleicht jedes Formularfeld einzelnd signieren, aber dass ist ja auch nicht wirklich praktikabel.
Sehe ich das also richtig dass digitale Signaturen wirklich nur bei Dokumenten wie Word-Dateien, Emails oder vergleichbaren Formaten Sinn machen?
Viele Grüße
Andreas
-
Hallo Andreas.
Ich bin gerade auf der Suche nach Informationen über qualifizierte Signaturen die sich im Web-Umfeld anwenden lassen, und zwar konform zum Signaturgesetzt(SigG).
Meines Wissens nach regelt das Signaturgesetz jede Form der Signatur. Worauf du vermutlich abzielst, ist die nach § 4 SigG ff. vorgeschriebene Zulassung von qualifizierten Signaturen, für die die RegTP (http://www.regtp.de/) zuständig ist.
Prinzipiell braucht man ja für eine qualifizierte Signatur einen privaten Schlüssel, mit der man z.B. eine Email signiert, was dann anhand des öffentlichen Schlüssels verifiziert werden kann.
Soweit mir bekannt ist, gilt dieses Verfahren für alle Arten von denkbaren elektronischen Signaturen, also sowohl für einfache, fortgeschrittene und qualifizierte Signaturen.
(btw. gelten GPG/PGP eigentlich als Signaturgesetz konforme, qualifizierte Signaturen?)
PGP ist m.E. als fortgeschrittene Signatur konform mit dem SigG, stellt allerdings keine qualifizierte Signatur dar. Eine qualifizierte Signatur ist eine "höhere" Form der fortgeschrittenen Signatur, die lt. EU-Richtlinie "mit einer sicheren Signaturerstellungseinheit erstellt wurden, die sich in der alleinigen Verfügung des Inhabers befindet".
Soweit ist das ja alles klar. Aber angenommen ich fülle ein HTML-Formular aus, und will dass dessen Daten signiert werden, so dass sie den Anforderungen des Signaturgesetzes genügen - ist das überhaupt möglich?
Natürlich. So, wie ich es bisher verstanden habe, geht es bei der qualifizierten Signatur darum, dass die Signatur eindeutig einer Person zugeordnet und dies bestätigt werden kann. Zu diesem Zweck muss es ein qualifiziertes Zertifikat geben, nur dann hast du eine qualifizierte Signatur (siehe § 2 Nr. 3 SigG). Um ein solches Zertifikat ausstellen zu können, braucht der Anbieter zwar nicht geprüft ("akkreditiert") werden, er muss sich aber an die Auflagen des SigG halten. Aber "signieren" im Sinne des SigG bedeutet eben nicht nur das Anhängen einer qualifizierten Signatur. Da das SigG auch - wie oben schon geschrieben - für einfache und fortgeschrittene Signaturen gilt, kannst du die Formulareingaben selbstverständlich SigG-konform signieren.
Bei SSL gibt es ja auch Client-Zertifikate, die Sache ist ja nur, dass dies eine Authentifizierung/Signatur auf der Protokoll-Ebene garantiert, aber gilt somit alles was ich dann in ein Formular eingebe als "qualifiziert signiert"?
Hm, ich weiß eigentlich zu wenig über SSL. Allerdings dürfte hier keine qualifizierte sondern allenfalls eine fortgeschrittene Signatur vorliegen. Zwar ist der Session Key eindeutig einem Client zuordenbar, aber ob es ein qualifiziertes Zertifikat im Sinne des SigG gibt, wage ich zu bezweifeln, denn der SSL-Server verwendet ja ein Zertifikat, das jedoch meiner bescheidenen Meinung nach kein Zertifikat im Sinne des § 2 Nr. 7 SigG darstellt.
Aber das verstehe ich nicht. Im Fall von PGP/GPG kann man den privaten Schlüssel ja per Passwort verschlüsseln, so dass niemand was damit anfangen kann. Ist das jetzt eien "qualifizierte Signatur" oder nicht? Habe dazu irgendwie keine endeutige Aussage gefunden.
Nein, "nur" eine fortgeschrittene Signatur.
Aber was gibt es dann für Möglichkeiten die Nutzdaten bei HTTP-Requests zu signieren?
Eine Möglichkeit ist das von dir bereits genannte PGP.
Und die Alternative - mit Chipkartenleser? Aus dem Browser heraus so ein Gerät anzusprechen ist ja mit Sicherheit recht aussichtslos, über Java dürfte es ja eigentlich auch nicht gehen, das heißt man bräuchte wieder ein extra Plugin, welches sich um das Signieren und den Zugriff auf das Kartenlesegerät kümmert.
Ja, eine Übersicht über die verfügbaren Hardware- und Softwareprodukte findest du auf der Seite der RegTP (Link weiter oben).
Sehe ich das also richtig dass digitale Signaturen wirklich nur bei Dokumenten wie Word-Dateien, Emails oder vergleichbaren Formaten Sinn machen?
Nun, die qualifizierten Signaturen sollen doch nur dazu da sein, rechtswirksame Unterschriften auch auf elektronischem Wege leisten zu können (z.B. bei Steuererklärungen). Willst du also deine per Formular übermittelten Daten mit einer eigenhändigen Unterschrift versehen lassen, brauchst du dafür eine qualifizierte elektronische Signatur, die es m.E. für diesen Anwendungsfall (noch?) nicht gibt. Ansonsten steht es dir frei, die Daten bspw. mit Hilfe von PGP oder SSL signieren zu lassen, du hast halt nur keine rechtsverbindliche Unterschrift.
Meine 0,02 EUR ;-)
Siechfred-
Hallo Siechfred!
Meines Wissens nach regelt das Signaturgesetz jede Form der Signatur. Worauf du vermutlich abzielst, ist die nach § 4 SigG ff. vorgeschriebene Zulassung von qualifizierten Signaturen, für die die RegTP (http://www.regtp.de/) zuständig ist.
Genau, mich interessiert ob es
a) grundsätzlich/technisch möglich eine qualifizierte, also einer Unterschrift gleichgestellten Signatur auf in einen Webbrower eingegebene Daten anzuwenden, und
b) wie genau das praktisch machbar ist - ob es heute überhaupt schon entsprechende Software gibt, und mit wieviel Aufwand sich sowas sonst entwickeln ließe.Es gibt viele neue Anwendungsbereiche, wie e-gouvernment, was nur möglich ist mit qualifizierten Signaturen, wo man wieder zu "Fat Clients" übergeht, also weg von Web-Oberflächen, eben vor allem Aufgrund des Signatur-Problems.
Das Problem an der Sache ist, dass man um eine Signatur zu erstellen Client-seitige Software braucht, und auf die muss man aus dem Client heraus auch zugreifen können, was bei Browsern das Problem ist.
PGP ist m.E. als fortgeschrittene Signatur konform mit dem SigG, stellt allerdings keine qualifizierte Signatur dar.
Vielen Dank für die Information!
Eine qualifizierte Signatur ist eine "höhere" Form der fortgeschrittenen Signatur, die lt. EU-Richtlinie "mit einer sicheren Signaturerstellungseinheit erstellt wurden, die sich in der alleinigen Verfügung des Inhabers befindet".
Also so ein Chipkartengerät?
Soweit ist das ja alles klar. Aber angenommen ich fülle ein HTML-Formular aus, und will dass dessen Daten signiert werden, so dass sie den Anforderungen des Signaturgesetzes genügen - ist das überhaupt möglich?
Natürlich. So, wie ich es bisher verstanden habe, geht es bei der qualifizierten Signatur darum, dass die Signatur eindeutig einer Person zugeordnet und dies bestätigt werden kann. Zu diesem Zweck muss es ein qualifiziertes Zertifikat geben, nur dann hast du eine qualifizierte Signatur (siehe § 2 Nr. 3 SigG). Um ein solches Zertifikat ausstellen zu können, braucht der Anbieter zwar nicht geprüft ("akkreditiert") werden, er muss sich aber an die Auflagen des SigG halten. Aber "signieren" im Sinne des SigG bedeutet eben nicht nur das Anhängen einer qualifizierten Signatur. Da das SigG auch - wie oben schon geschrieben - für einfache und fortgeschrittene Signaturen gilt, kannst du die Formulareingaben selbstverständlich SigG-konform signieren.
Ja, aber leider hat nur die qualifizierte Signatur eine entsprechende rechtliche Bedeutung, und das ist dann ja wohl nicht so einfach. Denn wie genau läuft die Kommunikation zwischen den verschiedenen Browsern und der "sicheren Signaturerstellungseinheit"? Das geht IMHO nur über entsprechende Plugins. Aber sowas gibt es wohl nicht.
Bei SSL gibt es ja auch Client-Zertifikate, die Sache ist ja nur, dass dies eine Authentifizierung/Signatur auf der Protokoll-Ebene garantiert, aber gilt somit alles was ich dann in ein Formular eingebe als "qualifiziert signiert"?
denn der SSL-Server verwendet ja ein Zertifikat, das jedoch meiner bescheidenen Meinung nach kein Zertifikat im Sinne des § 2 Nr. 7 SigG darstellt.
Es gibt ja auch Client-Zertifikate, das heißt der Client bekommt ein von einer CA signiertes Zertifikat. Und das kann man auf dem Server auch überprüfen. Nur gibt es hier das angesprochene Problem, dass SSL auf der Protokoll-Ebene unter HTTP arbeitet, und so HTTP-Nutzdaten und HTTP-Header nicht unterscheiden kann, außerdem liegen die Nutzdaten bei einem normalen POST-Request in einer sehr unvorteilhaften Form vor. Und diese Form darf man ja nicht ändern, da sich somit die Signatur ändert.
Daher ist es IMHO der einige Weg, man bastelt ein Plugin, welches eine qualifizierte Signatur erstellen kann, mit Chipkartenleser... und alles was das Herz begehrt, und dann kann man damit den Inhalte einer Textarea signieren, wie auch immer man das dann macht, so was richtig nett benutzbares fällt mir nicht wirklich ein.
Aber was gibt es dann für Möglichkeiten die Nutzdaten bei HTTP-Requests zu signieren?
Eine Möglichkeit ist das von dir bereits genannte PGP.
Aber nicht "qualifiziert" wie Du sagst und das ist der Knackpunkt. Außerdem gibt es AFAIK auch kein PGP/GPG-Plugin für den Internet Explorer. Ich wüßte im Moment auch nicht wie ich sowas genau implementieren würde, ist nicht einfach, weil PGP/GPG eigentlich weniger für Protokolle, eher für richtige Dateien/Texte gedacht sind.
Ja, eine Übersicht über die verfügbaren Hardware- und Softwareprodukte findest du auf der Seite der RegTP (Link weiter oben).
Danke!
Sehe ich das also richtig dass digitale Signaturen wirklich nur bei Dokumenten wie Word-Dateien, Emails oder vergleichbaren Formaten Sinn machen?
Nun, die qualifizierten Signaturen sollen doch nur dazu da sein, rechtswirksame Unterschriften auch auf elektronischem Wege leisten zu können (z.B. bei Steuererklärungen). Willst du also deine per Formular übermittelten Daten mit einer eigenhändigen Unterschrift versehen lassen, brauchst du dafür eine qualifizierte elektronische Signatur, die es m.E. für diesen Anwendungsfall (noch?) nicht gibt. Ansonsten steht es dir frei, die Daten bspw. mit Hilfe von PGP oder SSL signieren zu lassen, du hast halt nur keine rechtsverbindliche Unterschrift.
Jo, und davon hab ich dann am Ende auch nicht viel ;-)
Vielen Dank für Deine Antworten, hast mir schonmal weitergeholfen!
Grüße
Andreas-
Hallo Andreas.
Eine qualifizierte Signatur ist eine "höhere" Form der fortgeschrittenen Signatur, die lt. EU-Richtlinie "mit einer sicheren Signaturerstellungseinheit erstellt wurden, die sich in der alleinigen Verfügung des Inhabers befindet".
Also so ein Chipkartengerät?IMHO ja, ob hier aber auch eine Softwarelösung denkbar ist, weiß ich nicht. Bisher sind mir nur Hardwarelösungen (Chipkartengeräte) über den Weg gelaufen.
Ja, aber leider hat nur die qualifizierte Signatur eine entsprechende rechtliche Bedeutung, und das ist dann ja wohl nicht so einfach.
Das dürfte der Knackpunkt sein: ist die qualifizierte Signatur unerlässlich oder reicht eine fortgeschrittene Signatur vielleicht aus. Dazu muss man sich die Frage stellen und natürlich auch beantworten, ob für die rechtliche Verbindlichkeit eine eigenhändige Unterschrift unabdingbar ist, oder ob es "nur" um die Sicherstellung der Identität des Clients geht.
Denn wie genau läuft die Kommunikation zwischen den verschiedenen Browsern und der "sicheren Signaturerstellungseinheit"? Das geht IMHO nur über entsprechende Plugins. Aber sowas gibt es wohl nicht.
Offenbar bisher nicht, was aber denke ich daran liegt, dass sich darüber noch keiner Gedanken gemacht hat. Die qualifizierte Signatur findet meines Wissens nach auch (noch?) nicht die Akzeptanz, die man vielleicht erwartet hat.
denn der SSL-Server verwendet ja ein Zertifikat, das jedoch meiner bescheidenen Meinung nach kein Zertifikat im Sinne des § 2 Nr. 7 SigG darstellt.
Es gibt ja auch Client-Zertifikate, das heißt der Client bekommt ein von einer CA signiertes Zertifikat. Und das kann man auf dem Server auch überprüfen. Nur gibt es hier das angesprochene Problem, dass SSL auf der Protokoll-Ebene unter HTTP arbeitet, und so HTTP-Nutzdaten und HTTP-Header nicht unterscheiden kann, außerdem liegen die Nutzdaten bei einem normalen POST-Request in einer sehr unvorteilhaften Form vor. Und diese Form darf man ja nicht ändern, da sich somit die Signatur ändert.Ein weiteres Problem: die Signaturerstellungseinheit. Diese muss sich ja im Besitz und der alleinigen Verfügungsgewalt der Person befinden, für die die Signatur erstellt werden soll. Ob die Erstellung eines Clientzertifikats bei SSL dieser Anforderung genügt, weiß ich wie gesagt nicht.
Nun, die qualifizierten Signaturen sollen doch nur dazu da sein, rechtswirksame Unterschriften auch auf elektronischem Wege leisten zu können (z.B. bei Steuererklärungen). Willst du also deine per Formular übermittelten Daten mit einer eigenhändigen Unterschrift versehen lassen, brauchst du dafür eine qualifizierte elektronische Signatur, die es m.E. für diesen Anwendungsfall (noch?) nicht gibt. Ansonsten steht es dir frei, die Daten bspw. mit Hilfe von PGP oder SSL signieren zu lassen, du hast halt nur keine rechtsverbindliche Unterschrift.
Jo, und davon hab ich dann am Ende auch nicht viel ;-)Kommt drauf an, zu welchem Zweck du die Signatur brauchst. Bei einem Antrag auf Volksentscheid lt. Thüringer Verfassung muss bspw. die Identität der Unterzeichner eindeutig feststellbar sein, damit die erforderliche Unterschriftenzahl erreicht werden kann. Hier wäre ein Anwendungsfall des Formularversands mit qualifizierter Signatur denkbar (so es denn irgendwann technisch möglich ist).
Grüße
Siechfred-
Hallo Siechfred!
IMHO ja, ob hier aber auch eine Softwarelösung denkbar ist, weiß ich nicht. Bisher sind mir nur Hardwarelösungen (Chipkartengeräte) über den Weg gelaufen.
ich denke eine Software kann die gesetzlich geforderten Auflagen nicht erfüllen, ist nur die Frage wer einem diese Frage sicher beantworten kann :)
Ja, aber leider hat nur die qualifizierte Signatur eine entsprechende rechtliche Bedeutung, und das ist dann ja wohl nicht so einfach.
Das dürfte der Knackpunkt sein: ist die qualifizierte Signatur unerlässlich oder reicht eine fortgeschrittene Signatur vielleicht aus.
Es geht mir nur um die Fälle wo qualifizierte Signaturen gefordert sind, Fälle wo fortgeschrittene Signaturen im e-gouvernment rechtlich irgendwas bringen sind mir nicht bekannt (was nichts heißen muss :)).
Dazu muss man sich die Frage stellen und natürlich auch beantworten, ob für die rechtliche Verbindlichkeit eine eigenhändige Unterschrift unabdingbar ist, oder ob es "nur" um die Sicherstellung der Identität des Clients geht.
Das Gesetz fordert in vielen Fällen nunmal eine qualifizierte Signatur. Durch Verwendung von qualifizierten Signaturen lassen sich viele Anwendungs-Fälle, die heute nur auf dem Papier funktionieren, da Unterschrift erforderlich, online abwickeln. Und das ist das Ziel. Wie gesagt, entsprechende Anwendungsfälle für fortgeschrittene Signaturen sind mir nicht bekannt.
Denn wie genau läuft die Kommunikation zwischen den verschiedenen Browsern und der "sicheren Signaturerstellungseinheit"? Das geht IMHO nur über entsprechende Plugins. Aber sowas gibt es wohl nicht.
Offenbar bisher nicht,
"offenbar" weil es da nix bei der Regulierungsbehörde gibt? Ich habe mir einige Dinge da angesehen, naja, noch fehlt mir ein bisschen der Durchblick wie man das im Detail anwendet, aber ich bin noch dran ;-)
was aber denke ich daran liegt, dass sich darüber noch keiner Gedanken gemacht hat.
das kann ich mir wiederum nicht vorstellen. Es gibt z.B. Lösungen, öffentliche Ausschreibung komplett online abzuwickeln, aber eben nicht online im technischen Sinn, denn man verwendet hierfür keinen Webbrowser sondern eine eigens hierfür programmierte Software, die mit einem Web-Service kommuniziert, und in der Lage ist Ausschreibungsunterlagen qualifiziert zu signieren.
Die qualifizierte Signatur findet meines Wissens nach auch (noch?) nicht die Akzeptanz, die man vielleicht erwartet hat.
Ja, aber ich bin davon überzeugt dass e-gouvernment dieser früher oder später zum Durchbruch verhelfen wird.
Ein weiteres Problem: die Signaturerstellungseinheit. Diese muss sich ja im Besitz und der alleinigen Verfügungsgewalt der Person befinden, für die die Signatur erstellt werden soll. Ob die Erstellung eines Clientzertifikats bei SSL dieser Anforderung genügt, weiß ich wie gesagt nicht.
Ich auch nicht, aber SSL würde ich aus diversen Gründen schonmal außen vor lassen, denn dabei geht es nicht darum Dokumente zu signieren, sondern darum einen bestimmten Benutzer oder einen bestimmten Server sicher zu erkennen. Und Signieren geht ja noch etwas weiter, zumindest dass ist mit inzwischen klar. Es geht darum Daten in irgendeiner Form nachprüfbar zu signieren, um spätere Manipulation feststellen zu können, und den Urheber feststellen zu können.
Dazu kommen dann noch die diversen Mängel dass der private Schlüssel nicht nur unzureichend geschützt ist...Kommt drauf an, zu welchem Zweck du die Signatur brauchst. Bei einem Antrag auf Volksentscheid lt. Thüringer Verfassung muss bspw. die Identität der Unterzeichner eindeutig feststellbar sein, damit die erforderliche Unterschriftenzahl erreicht werden kann. Hier wäre ein Anwendungsfall des Formularversands mit qualifizierter Signatur denkbar (so es denn irgendwann technisch möglich ist).
Ja, in diese Richtung geht mein Interesse. E geht mir vor allem um die Beantwortung der Frage ob es möglich ist über ein HTML-Formular - und sei es nur ein großes Textfeld - ob es eben möglich ist diese Informationen qualifiziert signieren, so dass man auf dem Server am Ende ein "Dokument" erhält welches einem Fax/Brief mit Unterschrift gleichgestellt ist. Und der Knackpunkt hier ist der dem Signaturgesetz entsprechende Signiervorgang. Wie es aussieht gibt es das noch nicht, mich würde aber mal interessieren warum nicht, und ob es denn technisch nicht doch möglich ist, und am Ende auch praktikabel.
Viele Grüße,
Andreas-
Hallo Andreas.
IMHO ja, ob hier aber auch eine Softwarelösung denkbar ist, weiß ich nicht. Bisher sind mir nur Hardwarelösungen (Chipkartengeräte) über den Weg gelaufen.
ich denke eine Software kann die gesetzlich geforderten Auflagen nicht erfüllen, ist nur die Frage wer einem diese Frage sicher beantworten kann :)Einer meiner ehemaligen Dozenten an der FH sagte immer: "Ein Blick ins Gesetz erleichtert die Rechtsfindung" ;-)
§ 2 Nr. 10 SigG:
"sichere Signaturerstellungseinheiten" [sind] Software- oder Hardwareeinheiten
zur Speicherung und Anwendung des jeweiligen Signaturschlüssels, die
mindestens die Anforderungen nach § 17 oder § 23 dieses Gesetzes und der
sich darauf beziehenden Vorschriften der Rechtsverordnung nach § 24
erfüllen und die für qualifizierte elektronische Signaturen bestimmt sind,Darüber hinaus sind die Nummern 11, 12 und 13 lesenswert:
http://bundesrecht.juris.de/bundesrecht/sigg_2001/index.htmlEs gibt z.B. Lösungen, öffentliche Ausschreibung komplett online abzuwickeln, aber eben nicht online im technischen Sinn, denn man verwendet hierfür keinen Webbrowser sondern eine eigens hierfür programmierte Software, die mit einem Web-Service kommuniziert, und in der Lage ist Ausschreibungsunterlagen qualifiziert zu signieren.
Ja, hierin dürfte die eigentliche Schwierigkeit liegen. Du musst clientseitig etwas voraussetzen, worauf du normalerweise keinen oder nur unzureichenden Einfluss hast. Denkbar wäre es, die clientseitigen Voraussetzungen mit einer clientseitigen Programmiertechnik zu prüfen (dass man hier mit serverseitigen Mechanismen nicht zum Ziel kommt, dürfte IMHO klar sein). Damit hättest du den nächsten Unsicherheitsfaktor, nämlich den, wenn der Client mit der Programmiersprache nichts anzufangen weiß (z.B. fehlende JS-Unterstützung).
Jetzt könnte man mal ein wenig spinnen. Was wäre, wenn man ähnlich des SSL-Protokolls ein Protokoll für qualifizierte elektronische Signaturen entwickeln würde, mit dem dann natürlich die Browser umzugehen wissen müssten. Das könnte ja dann ähnlich wie SSL funktionieren. Oder man "erfindet" einen MIME-Typen für Formulare mit elektronischer Signatur. Die entscheidende Frage ist jedoch, wer dies einführen und insbesondere vermarkten soll.
Es geht mir vor allem um die Beantwortung der Frage ob es möglich ist über ein HTML-Formular - und sei es nur ein großes Textfeld - ob es eben möglich ist diese Informationen qualifiziert signieren, so dass man auf dem Server am Ende ein "Dokument" erhält welches einem Fax/Brief mit Unterschrift gleichgestellt ist. Und der Knackpunkt hier ist der dem Signaturgesetz entsprechende Signiervorgang. Wie es aussieht gibt es das noch nicht, mich würde aber mal interessieren warum nicht, und ob es denn technisch nicht doch möglich ist, und am Ende auch praktikabel.
Wie gesagt, ich denke, dass es derzeit nicht bzw. nur über den wenig aussichtsreichen Weg über das clientseitige E-Mail-Programm geht. Solltest du dennoch bei deiner Suche nach einer Lösung fündig werden - ich bin auf jeden Fall interessiert :-)
Grüße
Siechfred
-
-
-
-