Hier finden Sie die häufigen Fragen zur elektronischen Signatur.
- Was sind die Aufgaben der RTR im Zusammenhang mit Telekommunikations-, Post- oder Vertrauensdiensten?
Der Fachbereich Telekommunikation und Post der RTR ist in unterschiedlichen Bereichen regulatorisch tätig und unterstützt auch die Telekom-Control-Kommission als Geschäftsstelle. Auf unseren „Wer wir sind“-Seiten können Sie sich einen Überblick verschaffen.
- Sind Zertifikate ausländischer Zertifizierungsdiensteanbieter in Österreich gültig?
Zertifikate aus der Europäischen Union bzw. dem Europäischen Wirtschaftsraums sind Zertifikaten österreichischer Vertrauensdiensteanbieter generell gleichgestellt. Dies gilt insbesondere für qualifizierte Zertifikate. Für die Aufsicht ist gemäß Art. 17 Abs. 1 eIDAS-VO jener Mitgliedstaat zuständig, in dessen Hoheitsgebiet der Vertrauensdiensteanbieter niedergelassen ist.
Zertifikate aus Drittstaaten können in der Europäischen Union bzw. im Europäischen Wirtschaftsraum jedenfalls für nichtqualifizierte elektronische Signaturen oder Siegel herangezogen werden (vgl. Art. 25 Abs. 1 und Art. 35 Abs. 1 eIDAS-VO). Als qualifizierte Zertifikate gelten sie jedoch nur, sofern sie im Rahmen eines Vertrauensdienstes ausgestellt sind, der im Rahmen einer gemäß Artikel 218 AEUV geschlossenen Vereinbarung zwischen der Union und dem betreffenden Drittland oder einer internationalen Organisation anerkannt ist.
Unabhängig von der rechtlichen Gültigkeit der Zertifikate ist die Frage zu sehen, ob der Empfänger einer signierten Nachricht dem Zertifikat vertraut und es akzeptiert. Private werden inländische Zertifikate häufig einfach deshalb bevorzugen, weil sie den inländischen Vertrauensdiensteanbieter besser kennen oder die Sprache seines Konzepts (z. B. Certificate Policy und Certification Practice Statement) besser verstehen. Staatliche Stellen dürfen ausländische Zertifikate aber (zumindest im Rahmen des EU-Binnenmarktes) nicht diskriminieren. - Was benötige ich, um elektronische Signaturen erstellen zu können?
Für die Signatur selbst benötigen Sie bloß eine geeignete Software, die beispielsweise schon in viele Mailprogramme integriert ist. Zum wichtigsten Standard für elektronisch signierte E-Mails entwickelt sich S/MIME. Ein weiterer de-facto-Standard im Internet sind die Datenformate der Software Pretty Good Privacy (PGP).
Damit ihre Signatur von einem Empfänger, der Sie nicht kennt, nachgeprüft werden kann, benötigen sie ein Zertifikat, ihren "Ausweis" im Internet. Dazu wenden Sie sich an einen der Vertrauensdiensteanbieter, der Sie auch bei der Softwareauswahl unterstützen und beraten wird.
Um qualifizierte elektronische Signaturen erzeugen zu können, benötigen sie eine sichere Signaturerstellungseinheit.
Weitere Informationen finden Sie unter folgendem Link:Zertifizierungsdiensteanbieter
bzw. unter folgender Frage:
- Was ist der Unterschied zwischen einer Signatur und einem Zertifikat?
Eine elektronische Signatur wird an ein Dokument angefügt. Bei Verwendung kryptographischer Verfahren trägt jede einzelne Signatur Informationen über das signierte Dokument und über den privaten Schlüssel (die Signaturerstellungsdaten) des Unterzeichners in sich. Es sieht also jede einzelne Signatur anders aus. Um eine Signatur zu erzeugen, benötigt man an sich kein Zertifikat.
Das Zertifikat ist der "Ausweis" im Internet. Mit den Signaturvalidierungsdaten (dem öffentlichen Schlüssel des Unterzeichners) im Zertifikat kann der Empfänger einer signierten Nachricht prüfen, ob die Signatur mit Hilfe des korrespondierenden privaten Schlüssels erzeugt wurde. Aus dem Zertifikat kann er dann auch den Namen des Unterzeichners entnehmen.
Weitere Informationen finden Sie unter folgenden Fragen:Was ist ein Zertifikat?
Was ist ein "qualifiziertes Zertifikat"? - Was ist ein "qualifiziertes Zertifikat"?
Ein qualifiziertes Zertifikat ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat, das bestimmte Angaben enthält, die in Anh. I, III und IV eIDAS-VO festgelegt sind. Die wesentlichsten Qualitätsmerkmale, die ein qualifiziertes Zertifikat ausmachen, sind:
1. dass die Identität jener natürlichen oder juristischen Person, der das Zertifikat ausgestellt wird, in zuverlässiger Weise geprüft wird, und dass
2. für den Vertrauensdiensteanbieter und insbesondere für die von ihm eingesetzten technischen Komponenten strenge Anforderungen gelten.
Weitere Informationen finden Sie unter folgenden Fragen:Was ist ein Zertifikat?
Was ist ein "qualifiziertes Zertifikat"? - Was ist ein Zertifikat?
Vereinfacht ausgedrückt ist ein Zertifikat ein "Ausweis" im Internet. Das Zertifikat enthält Informationen über die Identität einer natürlichen oder juristischen Person und Prüfdaten, mit deren Hilfe elektronische Signaturen oder Siegel dieser Person zugeordnet werden können. Das Zertifikat ist durch die elektronische Signatur oder das elektronische Siegel seines Ausstellers vor Veränderungen geschützt.
Die rechtlichen Definitionen unterscheiden Zertifikate für elektronische Signaturen, elektronische Siegel und Website-Authentifizierung. Nach Art. 3 Z 14 eIDAS-VO ist ein „Zertifikat für elektronische Signaturen“ eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt. Nach Art. 3 Z 29 eIDAS-VO ist ein „Zertifikat für elektronische Siegel“ eine elektronische Bescheinigung, die elektronische Siegelvalidierungsdaten mit einer juristischen Person verknüpft und den Namen dieser Person bestätigt. Nach Art. 3 Z 38 eIDAS-VO ist ein „Zertifikat für die Website-Authentifizierung“ ein Zertifikat, das die Authentifizierung einer Website ermöglicht und die Website mit der natürlichen oder juristischen Person verknüpft, der das Zertifikat ausgestellt wurde. Diese Definitionen sind technologieneutral.
Im technischen Sprachgebrauch wird mit Zertifikaten meist eine bestimmtes Datenformat angesprochen. X.509v3-Zertifikate verknüpfen öffentliche Schlüssel mit dem Namen einer Person oder auch eines Servers. In X.509v3-Zertifikate können auch zahlreiche andere Angaben aufgenommen werden.
Es gibt zwei wesentliche Unterschiede zwischen dem rechtlichen und dem technischen Zertifikatsbegriff:
1. Der rechtliche Zertifikatsbegriff ist technologieneutral und umfasst theoretisch auch solche Zertifikate, deren Prüfdaten keine öffentlichen Schlüssel eines kryptographischen Verfahrens sind. Der Begriff ist damit offen für zukünftige technische Entwicklungen.
2. Der rechtliche Zertifikatsbegriff umfasst nur solche Zertifikate, die Prüfdaten enthalten, also (auch) für das Überprüfen von elektronischer Signaturen oder Siegel oder für die Website-Authentifizierung gewidmet sind. Zertifikate im technischen Sinne können aber auch für andere Zwecke wie z. B. für Verschlüsselung vorgesehen sein. Zertifikate, die ausschließlich zur Verschlüsselung dienen, fallen nicht unter den rechtlichen Zertifikatsbegriff.
Weitere Informationen finden Sie unter folgenden Fragen:Was ist ein "qualifiziertes Zertifikat"?
Was ist der Unterschied zwischen einer Signatur und einem Zertifikat?
- Was ist eine "qualifizierte elektronische Signatur"?
Die rechtliche Definition einer qualifizierten elektronischen Signatur findet sich in Art. 3 Z 12 eIDAS-VO.
Die eIDAS-VO und die auf ihr beruhenden Durchführungsvorschriften stellen an eine qualifizierte elektronische Signatur zahlreiche technische Anforderungen. Um eine qualifizierte elektronische Signatur zu erzeugen, benötigt der Unterzeichner nicht nur ein qualifiziertes Zertifikat, sondern auch eine qualifizierte Signaturerstellungseinheit, wie z. B. eine Chipkarte mit der entsprechenden Signatursoftware.
Die qualifizierte elektronische Signatur erfüllt gemäß Art. 25 Abs. 2 eIDAS-VO das rechtliche Erfordernis einer handschriftlichen Unterschrift (vgl. auch § 4 SVG).
Weitere Informationen finden Sie unter den folgenden Links:
- Was ist eine "qualifizierte Signaturerstellungseinheit"?
Eine qualifizierte Signaturerstellungseinheit ist eine Signaturerstellungseinheit, die den Anforderungen von Art. 29 und 30 sowie Anh. II eIDAS-VO entspricht. Der Durchführungsbeschluss (EU) 2016/650 und die darin festgelegten technischen Normen konkretisieren diese Anforderungen. Deren wesentlicher Inhalt besteht darin, dem Signator die alleinige Verfügungsmöglichkeit über die Signaturerstellungsdaten zu sichern.
Am einfachsten lassen sich die Anforderungen erfüllen, indem man die Signaturerstellungsdaten (die privaten Schlüssel) in einem Gerät speichert, das ausschließlich diesem Zweck dient. Daher werden qualifizierte Signaturerstellungseinheiten häufig als Chipkarten realisiert. Die privaten Schlüssel befinden sich ausschließlich in der Chipkarte und verlassen diese nie. (Bei manchen Karten werden die Schlüssel auf der Chipkarte selbst generiert, bei anderen Karten in einer sicheren Umgebung generiert und auf die Chipkarte eingebracht, wobei die außerhalb der Chipkarte befindlichen Schlüssel gleichzeitig gelöscht werden). Die Signatur wird in der Chipkarte erstellt, nachdem diese beispielsweise durch einen PIN-Code entriegelt wurde. - Welche Folgearbeiten sind zur Aufrechterhaltung dieser Umgebung erforderlich?
Die Gültigkeitsdauer von Zertifikaten ist begrenzt (bei qualifizierten Zertifikaten beträgt sie maximal fünf Jahre). Vor Ablauf des Zertifikats muss ein neues Zertifikat beschafft und in das System des Anwenders integriert werden.
Das Sicherheits- und Zertifizierungskonzept eines Vertrauensdienstes kann überdies vorschreiben, dass bestimmte Software-Komponenten (z. B. Treiber für Chipkarten-Lesegeräte) regelmäßig aktualisiert werden und dass zur Sicherheit der Systemumgebung Betriebssystem-Updates bei Verfügbarkeit eingespielt werden.
Weitere Informationen finden Sie unter den folgenden Fragen:
Welche Umgebung ist beim Anwender der elektronischen Signatur aufzubauen?
Welche Kosten entstehen durch den Aufbau der Umgebung beim Anwender? - Welche Kosten entstehen durch den Aufbau der Umgebung beim Anwender?
Allgemein lässt sich die Frage nicht beantworten.
Viele Zertifikate (auch qualifizierte Zertifikate) sind kostenlos oder für ein geringes Entgelt erhältlich. Je nach Vertrauensdienst können für das Zertifikat auch periodische Kosten anfallen.
Chipkarten-Lesegeräte sind um einen geringen Betrag erhältlich. Elementare Software-Komponenten sind kostenlos verfügbar. Für spezielle Anwendungen, beispielsweise zur elektronischen Rechnungs- oder Angebotslegung, ist allerdings mit zusätzlichen Kosten zu rechnen, über die der Software-Hersteller Auskunft erteilt.
Weitere Informationen finden Sie unter den folgenden Fragen:
Welche Umgebung ist beim Anwender der elektronischen Signatur aufzubauen?
Welche Folgearbeiten sind zur Aufrechterhaltung dieser Umgebung erforderlich? - Welche Umgebung ist beim Anwender der elektronischen Signatur aufzubauen?
Welche Umgebung aufzubauen ist, hängt in erster Linie davon ab, ob die elektronische Signatur vom Rechner, von einer Chipkarte oder von einem Hardware-Sicherheitsmodul erstellt werden soll.
In jedem Fall benötigt man einen Rechner mit Betriebssystem und mindestens eine signaturfähige Anwendung (z. B. Microsoft Outlook, Mozilla Thunderbird, OpenOffice.org, Adobe Acrobat). Darüber hinaus benötigt man Signaturerstellungsdaten (einen privaten Schlüssel für die Signaturerstellung) und ein von einem Vertrauensdiensteanbieter ausgestelltes Zertifikat. Wie man die Signaturerstellungsdaten und das zugehörige Zertifikat erhält, hängt vom jeweiligen Vertrauensdienst ab. Nähere Informationen sind dem Konzept (z. B. Certificate Policy und Certification Practice Statement) des jeweiligen Vertrauensdienstes zu entnehmen.
Für die Signaturerstellung mittels Chipkarte benötigt man zunächst ein geeignetes Chipkarten-Lesegerät. Bei welchem Händler dieses erworben werden kann, erfährt man auf der Website des Vertrauensdienstes. Weiters ist zusätzliche Software zu installieren und gemäß Anleitung des Herstellers zu konfigurieren:
- Treiber für das Chipkarten-Lesegerät (wird mitgeliefert bzw. ist auf der Website des Herstellers verfügbar)
- ggf. Komponenten für die Integration der Chipkarte in signaturfähige Anwendungen
- Secure Viewer und/oder Bürgerkartenumgebung
Für die Prüfung elektronischer Signaturen (etwa durch Empfänger elektronisch übermittelter Rechnungen) ist kein Chipkarten-Lesegerät erforderlich. In vielen Fällen kann die Signaturprüfung durch Standard-Software (z. B. diverse Mail-Clients oder Adobe Reader) vorgenommen werden.
Weitere Informationen finden Sie auch unter folgenden Fragen:
Welche Folgearbeiten sind zur Aufrechterhaltung dieser Umgebung erforderlich?
Welche Kosten entstehen durch den Aufbau der Umgebung beim Anwender? - Wie können elektronische Signaturen trotz begrenzter Gültigkeitsdauer der Zertifikate langfristig genutzt werden?
Elektronische Signaturen können innerhalb der Gültigkeitsdauer des zugehörigen Zertifikats erstellt werden. Sie können aber auch nach Ablauf der Gültigkeit geprüft werden. Sogar nach einem Widerruf des Zertifikats ist die Signaturprüfung noch möglich, sofern der Zeitpunkt der Signaturerstellung aufgrund eines Zeitstempels oder aufgrund anderer Merkmale der signierten Daten bekannt oder zumindest eingrenzbar ist.
Rechtlich ist die Erneuerung eines Zertifikats vor Ablauf seiner Gültigkeit zulässig. So können Signaturerstellungsdaten über den Ablauf des ursprünglichen Zertifikats hinaus genutzt werden. Ob Zertifikate zu bestehenden Signaturerstellungsdaten tatsächlich erneuert werden, hängt auch vom Konzept (z. B. Certificate Policy und Certification Practice Statement) des jeweiligen Vertrauensdienstes ab. Ein Wechsel der Signaturerstellungsdaten stellt jedoch in der Regel kein besonderes Problem dar. - Worauf beruht die Sicherheit einer elektronischen Signatur?
Die Sicherheit elektronischer Signaturen hängt von verschiedensten Faktoren ab.
Das für die Erstellung der Signatur verwendete kryptographische Verfahren ist entscheidend dafür, ob die signierte Nachricht auf ihrem Weg durch das Netz oder vom Empfänger der Nachricht verändert werden kann. Die von qualifizierten Signaturerstellungseinheiten unterstützten Verfahren bieten in der Regel hinreichenden Schutz vor nachträglicher Veränderung.
Damit kein Fremder im Namen des Unterzeichners signieren kann, ist es wichtig, dass der Unterzeichner seine Signaturerstellungsdaten (seine privaten Schlüssel) sicher verwahrt. Üblich sind die verschlüsselte Verwahrung auf der Festplatte oder die Speicherung in einer Chipkarte. Werden die Daten auf der Festplatte abgelegt, dann kann z. B. ein Hacker, der über das Internet in den Rechner eindringt, darauf zugreifen. Signatur-Chipkarten werden so konstruiert, dass die Signaturerstellungsdaten die Chipkarte niemals verlassen können. Die Signatur wird in der Chipkarte selbst errechnet, wenn die Chipkarte durch einen Autorisierungsmechanismus (etwa die Eingabe eines PIN-Codes) entriegelt wurde. Für qualifizierte elektronische Signaturen stellen die eIDAS-VO und der Durchführungsbeschluss (EU) 2016/650 strenge Anforderungen an die Speicherung der Signaturerstellungsdaten.
Wesentlich ist auch das Programm, mit dem die Signatur ausgelöst wird, und das Datenformat des signierten Dokuments. Bei manchen E-Mail-Programmen kann der Benutzer z. B. "Alle ausgehenden Nachrichten signieren" einstellen. In diesem Fall könnte der Signator leicht versehentlich Nachrichten signieren oder ein Kollege könnte signierte Nachrichten versenden, wenn der Signator kurzzeitig seinen Arbeitsplatz verlässt.