Im Blog finden sich Beiträge zu Themen, wie Elektronsiche Akten (eAkte), Electronic Government (eGovernment bzw. E-Government), Elektronsiche Signatur und Data Warehouse in der öffentlichen Verwaltung.
Für die Massensigntur (z.B. von Ausgangsrechnungen oder von Eingangsdokumenten) ist es nicht praktikabel, wenn für die Sigantur jedes einzelnen Dokumentes die PIN am Kartenlesegerät eingegeben werden muss. Es haben sich verschiedene Verfahren entwickelt, die ein Zwischenspeichern der Authentifikationsinformationen ermöglichen (siehe auch
http://egov-blog.blogspot.com/2005/09/fr-massensignatur-muss-die.html).
Es gibt dazu mehrere Lösungsansätze.
Ein Ansatz schreibt beispielsweise die PIN dauerhaft in Windows-Registrierung. Damit reduziert sich die Qualität einer qualifizierten elektronischen Signatur erheblich und hat – sofern überhaupt – nur noch das Niveu einer fortgeschrittenen elektronischen Sigantur, da der Sigantur-Anwender nicht mehr alle Mittel zu Sigantur-Erzeugung unter seiner alleinigen Kontrolle hat. Von einem solchen Verfahren ist daher prinzipiell abzuraten bzw. zum Einsatz von echten fortgeschrittenen Signaturen anstelle der qualifizierten Signatur zu raten, wenn diese für den konkreten Einsatzzweck ausreicht.
Bei anderen Lösungsansätzen über ein Caching der Software wird die PIN nicht auf dem Tastenfeld des Kartenlesers eingegeben, sondern über die Tastatur des Computers. Sie wird dann von der Software ausgelesen und zwischengespeichert. Auch dieses Verfahren reduziert kann die Sicherheit stark reduzieren. Muss man doch durch andere technische Maßnahmen sichergestellen, dass nicht andere Programme, die ebenfalls auf dem Computer installiert sind die Erfassung der PIN und deren Zwischenspeichern abhören und somit unbemerkt im Hintergrund Siganturen erzeugen, sobald der Benutzer seine Karte in den Kartenleser einsteckt. Vor dem Hintergrund der zunehmenden Bedrohung durch Malware und Rootkits ist diese Sicherheit auf Computern, die im normalen Bürobetrieb verwendet werden, nur mit entsprechendem Spezialistenwissen sicherzustellen. Ob dann aber ein Prüfer diese Absicherung als gleichwertig anerkennen kann, bleibt offen. Zu Bedenken ist hier das Risiko, das in einer nachträglichen Beanstandung des Verfahrens liegt! Im Falle der Signatur im Rechnungsverfahren müssten vielleicht alle Rechnungsempfänger die Vorsteuer noch nachträglich an das Finanzamt abführen, was zu einem erheblichen finanziellen Schaden führen kann.
Empfehlenswert wäre vielmehr der Ansatz, dass per PIN-Eingabe am Tastenfeld des Kartenlesegerätes die Signatur-Karte für mehrere Signaturvorgänge freigeschaltet wird. (Es gibt auch den Ansatz, die Siganturkarte für eine gewisse Zeitdauer freizuschalten.) Bei einem solchen Verfahren besteht nicht die Möglichkeit, die PIN auszuspähen und mit dieser unbemerkt Signaturen zu erzeugen. Da der Kartenleser bei diesem Verfahren exklusiv gesperrt wird, ist es auch nicht möglich dass eine andere Software auf die freigeschalteten Signaturvorgänge zugreift. Dies ist erst dann wieder möglich, wenn die Signaturvorgänge beendet oder abgebrochen wurden.