Schwachstelle elektronische Unterschrift

21. August 2001, 13:10
posten

Die rechtlichen Grundlagen sind oft entweder nicht gegeben oder übergenau formuliert

Vor allem im rechtlichen Rahmen des E-Government ortete Standard-Mitarbeiter Walter Seböck im Gespräch mit dem IT- und Rechtsexperten Nikolaus Forgo noch diverse Schwachstellen. Einer der Schlüsselfaktoren ist dabei die elektronische Unterschrift.

Elektronische Steuererklärung, Fahrzeugregistrierung, E-Voting, elektronische Grundbuchauszüge, Amtswege über das Internet, Bescheide via E-Mail und vieles mehr wird über die Umsetzung des E-Government-Programms Realität werden. Die Umsetzung dieser Möglichkeiten bedeutet mehr als lediglich eine technische Aufrüstung der Amtsstuben. Die rechtlichen Grundlagen sind an vielen Eckpunkten entweder nicht gegeben oder übergenau formuliert.

Nikolaus Forgo, Leiter des Universitätslehrgangs für Informationsrecht und Rechtsinformation und EDV-Beauftragter der Juristischen Fakultät der Universität Wien, erläutert im Gespräch mit dem STANDARD die rechtlichen Schwachstellen.

Forgo ortet im Gesetz für elektronische Signaturen eine der wesentlichsten Schwachstellen, denn "ohne funktionierende elektronische Signaturen kann und wird das E-Government nicht funktionieren".

So gibt es, bedingt durch die hohen Sicherheitsanforderungen, die das österreichische Gesetz für elektronische Signaturen vorschreibt, noch keinen Anbieter, der gesetzeskonforme Signaturen anbietet.

In diesem Umfeld sind auch einige andere Missing Links zu finden, wie beispielsweise die Isolierung des Signaturgesetzes zum Verwaltungsverfahrensgesetz. Dieses sagt nichts darüber aus, ob der Einsatz elektronischer Signaturen im Verkehr mit Behörden zulässig ist, das wird den davon Betroffenen, nämlich den Bürgern, auch im Moment nicht als wichtig erscheinen, da noch keine Anstrengungen unternommen wurden, die Bevölkerung zu informieren, was eine elektronische Signatur ist und wofür man diese benötigt. Primär wurde aber im rechtlichen Umfang vergessen, sich die Technologie der Signatur genauer zu vergegenwärtigen.

Üblicherweise wird im Signaturbereich das asymmetrische Kryptographie-Verfahren verwendet. Dieses Verfahren stellt zwei wesentliche Punkte sicher. Zum einen die Vertraulichkeit - das bedeutet, niemand außer dem Sender und dem Adressaten kann die Nachricht lesen. Zum anderen werden Identität und Authentizität sichergestellt - das bedeutet, dass die Nachricht nur von einer bestimmten Person stammen kann und auf dem Übertragungsweg nicht verändert wurde. Ausschließlich der Teil über Identität und Authentizität ist im Signaturgesetz geregelt, nicht aber der Teil über Vertraulichkeit. Dieser Teil findet in Österreich keine Normierung.

Provider liest mit <7b>

Forgo: "Stellen Sie sich vor, Sie übermitteln Ihre Steuererklärung online. Es wird relativ wichtig sein, dass nur der Zuständige lesen kann, wie viel Sie verdient haben, und nicht der Provider. Dieser erste Teil ist durch das Signaturgesetz aber vollkommen ungeregelt. Es gibt keine Norm in Österreich, die diesen ersten Teil ,Herstellen von Vertraulichkeit' reguliert." Gleichzeitig sollte seitens des Staates die Kryptographie eine Förderung erfahren, um die Entwicklung dieser Schlüsseltechnologie nicht aus der Hand zu geben.

Zusammenfassend lässt sich also sagen, dass die wesentlichste Grundvoraussetzung, nämlich Vertraulichkeit, Identifizierung und Authentizierung, für ein funktionierendes E-Government in Österreich einerseits technisch, andererseits juristisch nicht zufrieden stellend entwickelt ist.

Das zweite Missing Link schließt hier nahtlos an. Im Bereich Datenschutz und Datensicherheit wurde Österreich im Jänner 2000 mit einem neuen EU-konformen Datenschutzgesetz ausgestattet, doch das Datenschutz- wie auch das Datensicherheitsbewusstsein erscheint realpolitisch und -ökonomisch stark unterentwickelt. Als Beispiel dient hier die Website der Datenschutzkommission, die erst seit März 2001 online ist und die als letzten und aktuellsten Datenschutzbericht den des Jahres 1997 präsentiert. Ein gut ausgeprägtes Datenschutz- und Datensicherheitsbewusstsein sind fundamentale Eckpfeiler des E-Government. In der momentanen Ausprägung ist hier weder eine Umsetzung der datenschutzpolitischen Zielsetzung und geltenden Rechts noch irgendeine Form der Informationspolitik erkennbar.

Weiters darf nicht vergessen werden, dass der Datenschutz und die Datensicherheit einen Mehrwert darstellen. Hier könnte man von staatlicher Seite her Anreize schaffen, wie beispielsweise über Gütezeichen für Unternehmen, die eine besonders adäquate Datenschutzpolitik erfüllen. Dieser Ansatz könnte konsequenterweise die Datenschutzrealverfassung verändern.

Die Schaffung von Anreizen im öffentlichen Recht ist das dritte Missing Link. So sieht das Allgemeine Verwaltungsverfahrensgesetz unverändert vor: "Schriftliche Anbringungen können nach Maßgabe der vorhandenen technischen Möglichkeiten auch (. . .) im Wege automationsgestützter Datenübertragung eingebracht werden." Diese Formulierung in Zusammenhang mit einer Behörde bedeutet, dass im Regelfall diese Einbringung auf dem herkömmlichen Weg zu erfolgen hat, da nur unzureichende technische Möglichkeiten vorhanden sind.

Die Einrichtung von Schnittstellen zu einer Website für jede Behörde, die Vernetzung zusammenhängender Abläufe im Sinne eines "one stop service", E-Mail-Adressen, an die rechtspolitisch wirksame Einbringungen getätigt werden können und die Information des Bürgers über diese Möglichkeiten stehen aus.

Das vierte Missing Link besteht innerhalb eines E-Government im Fehlen eines Gesetzes über die Zugängigkeit von Information. Hier existieren in Deutschland Bemühungen, die Informationen über die Verwaltung transparent zu machen. Dies bedeutet, die Möglichkeit einzuräumen, Verwaltungsakte einsehen zu können, egal ob man Partei ist oder nicht, sofern nicht berechtigte Interessen dagegen stehen. Abschließend streift Nikolaus Forgo noch das fünfte Missing Link: die schwach ausgeprägte Ausbildungs- und Informationspolitik. Alle Missing Links, die hier dargestellt wurden, sind nicht nur hinsichtlich einer technischen oder legistischen Umsetzung, sondern auch in puncto Investitionen in Ausbildung, Informationen und Infrastruktur zu betrachten. Kaum jemand in Österreich weiß, was eine elektronische Signatur ist und wie sie funktioniert, ein Fachmann benötigt mindestens eine Stunde, um dieses hochkomplexes Thema zu erklären, aber: In ein bis zwei Jahren werden diese Signaturen auf jeder "Bürger-Card" verfügbar sein; sobald es diese gibt, wird es in der konsequenten Umsetzung des E-Government auch einen Anspruch auf einen öffentlich zugänglichen, funktionierenden Internetanschluss geben müssen. Eine breitenwirksame Aufklärung und Information ist also dringend erforderlich, eine Sensibilisierung der Bevölkerung für Datenschutz und Datensicherheit wird die Akzeptanz des E-Government erhöhen.

Schlussendlich wird die legistische Ausformulierung der angesprochenen Missing Links, die aber nur die Spitze eines Eisberges darstellen, für die noch fehlende Rechtssicherheit sorgen und damit zusätzliches Vertrauen schaffen. (DER STANDARD, Print-Ausgabe, 21. 8. 2001)

Share if you care.