Im Blog finden sich Beiträge zu Themen, wie Elektronsiche Akten (eAkte), Electronic Government (eGovernment bzw. E-Government), Elektronsiche Signatur und Data Warehouse in der öffentlichen Verwaltung.
Über den Artikel "Signaturen durch elektronische Agenten" (Bergfelder, Nitsche, Sorge) im Informatik-Spektrum (Band 28, Heft 3, Juni 2005) habe ich nicht schlecht gestaunt. Die Autoren sehen realistische Chancen für etwas das aus meiner Sicht auf den ersten Blick unmöglich scheint: elektronische Agenten signieren Kaufverträge, Banküberweisungen, Behördenanträge und keiner merkt was.
Wie soll das gehen, wo qualifizierte elektronische Signaturen immer nur natürlichen Personen zugeordnet werden können und deren Einsatz an besondere Sicherheitsvorkehrungen gebunden ist. Ein Agent kann keine eigene Signatur haben und das aus guten Gründen, die zur vorliegenden Gesetzgebung geführt haben. Um in dieser "misslichen Lage" eine Lösung zu finden, berufen Sie sich auf § 15 I SigV, der die Möglichkeit von Massensignaturen eröffnet. Dadurch kann vom Benutzer (der natürlichen Person, die Inhaber eines Zertifikates ist) für eine gewisse Zeit oder eine gewisse Anzahl die Freigabe zur Signatur erfolgen. (Normalerweise muss für jede durchzuführende Signatur die Freigabe erfolgen.)
Von diesem Mechanismus der Massensignatur wird beispielsweise in der Verwaltung gebrauch gemacht, wenn Altakten in elektronische Archive überführt werden müssen. Dann wird jede Papierseite gescannt und die Übereinstimmung des Bildes mit dem Original von einer Person durch deren qualifizierte, elektronische Signatur bestätigt. Für die Durchführung der Signatur wird jedes Dokument einzeln signiert, nachdem eine Stichprobe über jeweils einen Stapel (z.B. 100 Dokumente) gebildet wurde (z.B. 2% also 2 Dokumente - das unterste und obererste im Stapel) und diese Stichprobe geprüft wurde.
Beim Versand von Rechnungen wird ebenfalls die Massensignatur eingesetzt. Dabei bescheinigt die Person (z.B. der EDV-Operator), dass die erzeugten elektronischen Rechnungen aus der Organisation stammen, die der EDV-Operator repräsentiert. Die fachliche Richtigkeit des Rechnungsinhaltes wird dadurch nicht bestätigt.
Beide Verfahren werden von aufwendigen organisatorischen Regelungen begeleitet, um die Sicherheit der Signaturerzeugung nachweislich sicherzustellen.
Nimmt man diese beiden Beispiele als Bezugspunkt, bleibt die Frage nach dem Wert einer Signatur, die über das Massensignatur-Prinzip von einem Agenten erzeugt wurde.
Was wird eigentlich bestätigt? Meiner Meinung nach, dass der Agent Kontakt mit dem Benutzer hatte und vermutlich von ihm ausgesendet wurde. Der Zweck bleibt aber unklar. Außerdem ist der organisatorische Rahmen ungeklärt, in dem die Freigabe zur Massensignatur durchgeführt wurde. Was ist eine solche Signatur wert?