Klaus Keuss
auf Panel "Digitale Signatur: (Rechts)Sicherheit oder Ende der Privatheit?"

Stefan Krempl: 
Wir haben jetzt schon eine ganze Menge erfahren. Wir haben einiges gehört über die grundlegende Technik hinter den digitalen Signaturen, die grundlegenden Prozesse. Wir haben schon einige Fragen aufgeworfen Richtung Haftung und Rechtsverbindlichkeit. Wie echt ist überhaupt diese Willenserklärung, wie gross ist die Sicherheit? Und wir haben auch, wo ich schon ein paar Stimmen habe aufklingen hören bei den Datenschutzthemen: wie anonym geht es überhaupt mit den Signaturen? Die ganzen Risiken und Nebenwirkungen haben Sie ja schon kurz aufgerissen. Ihr letzter Satz ging ein bisschen in die Richtung Signaturgesetz. Das haben wir ja jetzt schon eine Weile, aber es ist ein bisschen zu starr und zu teuer, wenn ich das noch mal aufgreifen darf. Wenn wir vielleicht jetzt Herrn Keuss dazu hören, er ist ja einer der Väter des deutschen Signaturgesetzes, wie er denn im Moment die Lage einschätzt und wie zufrieden er ist mit dem Kind?

Klaus Keuss: 
Vielen Dank, Herr Krempl. Ich denke, Herr Krempl, Sie haben am Anfang die Aspekte mangelnde Akzeptanz, Vertrauen einerseits, Marktproblematik, Sicherheit aufgerissen und damit eigentlich das Spektrum schon definiert. Und zu diesen Aspekten möchte ich also kurz eine Position seitens des BSI geben. Ich bedanke mich für die Möglichkeit, dass das BSI eine kurze Stellungnahme abgeben darf, wobei der Schwerpunkt der BSI Stellungnahme auf Grund seiner Expertise natürlich auf den Aspekten der IT-Sicherheit liegt. Ich erhebe nicht den Anspruch, und auch das BSI erhebt nicht den Anspruch, juristische Betrachtung oder die politische Seite zu ersetzen, respektive hier zu vertreten, damit wir uns positionieren. 

Ich denke, Frau Köhntopp hat uns sehr schön gezeigt, Deutschland kann als eine, wenn nicht die wegweisende Nation zur elektronischen Signatur gesehen werden. In Verbindung mit den umfassenden Evaluierungserfahrungen zum ersten Signaturgesetz 1997, also vor vier Jahre, gekoppelt mit den Vorgaben der europäischen Signaturrichtlinie vom Januar letzten Jahres, sind die rechtlichen Grundlagen für den Einsatz elektronischer Signaturen heute weitestgehend geschaffen. Signaturgesetz, das neue ist seit Mai in Kraft. Seit Mitte Juli haben wir die Veröffentlichung des Formanpassungsgesetzes, das zum 1. August in Kraft gesetzt worden ist, und damit die rechtliche Unsicherheit der Gleichstellung zur manuellen Unterschrift genommen. Die Signaturverordnung liegt zur Notifizierung in Brüssel vor. Herr Soquat hat in der Session vorher auch gesagt, und ich denke, dem kann ich mich anschliessen, mit ihrer Inkraftsetzung ist im Herbst zu rechnen. Das etwas komplexere Verwaltungsverfahrensgesetz befindet sich in der abschliessenden Diskussion, aber auch in diesem Jahr denke ich, werden wir das noch hinkriegen. Der Vorgabe hinsichtlich der Technikneutralität ist durch die teilweise international anerkannten Ergebnisse nationaler -- und hier möchte ich insbesondere auch die Gruppe der sogenannten T7 Trustcenter, unter anderem auch unter Mitwirkung von D-Trust erwähnen, -- und insbesondere auch europäischer Standarisierungsinitiativen Rechnung getragen. Erste Produkte sind verfügbar und die entsprechenden Dienstleistungen privater Zertifizierungsdiensteanbieter, sogenannte Trustcenter in unserem allgemeinen Sprachgebrauch, stehen auf Abruf bereit zur Verfügung. Damit wird in Deutschland im Prinzip ein technischer Standard geboten der international wegweisend ist. Das müssen wir einfach auch so anerkennen. 

Sowohl proprietäre Sicherheitsinfrastrukturen der Privatwirtschaft als auch übergreifende Initiativen wie die Bridge CA bieten eine breite Palette an Möglichkeiten und schöpfen die Möglichkeiten der durch das Signaturgesetz gegebenen, skalierbaren Qualitätsstufen elektronischer Signaturen, die in dem Signaturgesetz bereits vorgesehen sind, aus. Erste lokale, zur Zeit noch vorwiegend isolierte Pilotprojekte -- in der Tat muss ich das einräumen -- sind gestartet, beziehungsweise stehen kurz vor der Inbetriebnahme. 

Zugegebenermaßen sind die gemachten Erfahrungen weder preiswert noch allumfassend. Hatte man in erster Linie in der ersten Phase das Ziel einer angemessenen Vertrauenswürdigkeit priorisiert, -- und in der Tat war das in Deutschland relativ hoch gelagert, -- stellt sich aktuell das Problem der Interoperabilität als ein Kernproblem für die praktische Integrationsseite da. Ganz einfach, wenn ich eine Karte von Teleset habe und Frau Köhntopp hat eine Karte von Scientrust, Deutsche Post, dann werden wir uns wahrscheinlich schwer tun, uns gegenseitig unsere Signaturen verifizieren zu können. Das sind die praktischen Probleme. Dieses Problem geht man allerdings auch in verschiedenen nationalen und europäischen Initiativen verstärkt an. Stichwort ISESMTT, ich denke, wer aus der Szene ist, weiss was damit gemeint ist. Das heisst, der Aspekt der Interoperabilität ist die zentrale Voraussetzung für einen übergreifenden Ansatz zukünftiger vernetzer Anwendungen. Und das wollen wir ja erreichen. Zwar gibt es eine Vielzahl theoretischer als auch praktischer Einsatzfelder, leider fehlen zur Zeit noch die entsprechenden Umsetzungen, und gestatten Sie mir, vielleicht fehlt auch der Mut zur Realisierung. Hierbei sollte allerdings der Aspekt der Angemessenheit im Vordergrund stehen. 

Der Versuch einer isolierten Lösung wird scheitern, davon kann man ausgehen. Hingegen drängt sich eine Kooperation der öffentlichen Verwaltung mit der Wirtschaft auf, im Prinzip auch durch Herrn Soquat bereits angesprochen. Vergleichbar der D21 Initiative auf Bundesebene im Sinne einer Public-Privat-Partnership. Ein vernetztes Vorgehen zwischen dem Bund, den Ländern und den Kommunen und der Wirtschaft reduziert von Anbeginn das Risiko einer isolierten, nicht interoperablen Lösung und reduziert auch den monetären Einsatz um ein Vielfaches. Vorhandene, bereits getätigte Investitionen und gemachte Erfahrungen, z.B. im Rahmen der Initiative "Bund Online 2005" und bewährte Hilfsmittel wie das IT-Grundschutzhandbuch oder das E-Government Handbuch des BSI sollten von Beginn an berücksichtigt werden. 

Nun kommen wir zum Thema unseres Panels: Ich habe es mal etwas abgeändert überschrieben: Privatheit, Unsicherheit, beziehungsweise Datenschutz und Datensicherheit, ein Widerspruch? Ich möchte beginnen mit einem Verweis auf, beziehungsweise anknüpfen an die Rede von Professor Hasema, seines Zeichens Richter am Bundesverfassungsgericht beim siebten, deutschen IT-Sicherheitskongress im Mai diesen Jahres. Professor Hasema hat in seiner Eröffnungsrede "IT Sicherheit als Staatsaufgabe" genau das vermeintliche Spannungsfeld Privatheit versus IT-Sicherheit aufgezeigt. Und er kommt zum Ergebnis, dass beide Brennpunkte einer gemeinsamen Ellipse sind. Für die Mathematiker ist es klar, aber für die, die es vielleicht nicht kennen: Eine Ellipse hat immer zwei Brennpunkte. Eine ist dann in dem Sinne die Privatheit und das andere die IT-Sicherheit. Diese beiden Brennpunkte stehen nicht unbedingt im Widerspruch zueinander. Vielmehr hat der Staat auch gewisse Verpflichtungen zum Schutze und zur Sicherheit seiner Bürger, auch bezüglich der IT-Sicherheit. 

Und in der Tat, der Bürger, -- wenn nicht Sie, Sie sind mehr Experten, Sie erwarten es nicht, aber wir müssen auch die Leute draussen berücksichtigen, -- in der Tat, der Bürger erwartet dies auch vom Staat. Das spricht ihn, den Bürger natürlich nicht frei von jeglicher Eigenverantwortung, die er für seinen individuellen Bereich wahrnehmen sollte und wahrnehmen muss, beispielsweise den Bereich Zuhause. Dafür ist er verantwortlich. 

Das Grundrecht auf informelle Selbstbestimmung ist sowohl im Signaturgesetz, im Fernabsatzgesetz, im E-Commerce-Gesetz und insbesondere auch in der novellierten Fassung zum Bundesdatenschutzgesetz zum Ausdruck gebracht worden. Deutschland war und ist nicht nur einer der ersten Nationen mit einem geeigneten und umfassenden Bundesdatenschutzgesetz, sondern es wird nach wie vor dem Datenschutz in Deutschland eine Vorreiterfunktion und Stellung garantiert. Dies steht auch nicht im Widerspruch zum Signaturgesetz. Der Verbraucherschutz ist sowohl ein zentrales Element der europäischen Richtlinie zur elektronischen Signatur, als auch im deutschen Signaturgesetz, Beispiel Haftung. Hier hat man insbesondere durch die Möglichkeit der Verwendung von Pseudonymen -- ich denke Frau Köhntopp hat das schon angesprochen -- weitere Möglichkeiten zum Schutze des Bürgers eingebaut. Grundlegende Ziele der gesamten Gesetzgebung für elektronische Medien, insbesondere im Regelungsbereich des E-Commerce oder der Telekommunikation sind neben der Notwendigkeit und der dazugehörigen Umsetzung der Rechte des Interessenten natürlich auch die angemessene Berücksichtigung der Rechte des Anbieters, um so zu einer Akzeptanz aller beteiligten Rechtskreise, das heisst Anbieter und Verbraucher beizutragen. 

So sind in einem ausgewogenen Raum zwischen Rechten und Pflichten des Interessenten und Käufers auch die Rechte und Pflichten des Angebotgebers zu berücksichtigen. In seinem berechtigten Interesse ist es z.B. zu wissen, dass sein Gegenüber auch zahlungsbereit und zahlungsfähig ist, genauso wie auf der anderen Seite der Interessent wissen will, wer der Angebotsgeber in Wirklichkeit ist. Hierzu gehören z.B. Informationen zur Verwendung seiner Käuferdaten. Ich möchte wissen, wenn ich gewisse Käuferdaten verschicken muss, was macht der mit meinen Daten? Oder auch die Gewährleistung einer zugesicherten Leistung. Hält der seine vorgegebene AGB, allgemeine Geschäftsbedingung, auch ein? Ich denke, dass ist eine berechtigte Frage. 

Zusammengefasst müssen die verschiedenen Sicherheitsziele wie Authentizität des Käufers, aber auch des Anbieters, global gesagt insgesamt die Authentizität des Senders, die Integrationssicherheit des Bestellvorgangs und seines Inhalts, sowie die rechtliche Nichtabstreitbarkeit -- das war ein wesentlicher Aspekt, der uns vorgegeben war für das Signaturgesetz --, beider Seiten gewährleistet sein. Und ich denke, dies muss eindeutig getrennt werden von einer anonymisierten Kommunikation. Im Eckwertepapier zur Verwendung starker Kryptographie hat die Bundesregierung bereits 1999 deutlich den Rechten aller Beteiligten Rechnung getragen und Kryptographie in Deutschland nicht eingeschränkt. Damit ist der Grundstein für eine freie Kommunikation gegeben. 

Zusammenfassend kann man festhalten, dass die Grundlagen hinsichtlich der rechtlichen Aspekte geschaffen wurden, trotz Schwachstellenhinweise, Beispiel Troyaner -- ich denke, wir werden gleich noch mal in die Details gehen, wo das Problem wirklich liegt. Es liegt nämlich nicht bei der digitalen Signatur, sondern irgendwo anderes. Und dies ist meines Erachtens verständlich auch bei der Einführung neuer Technologien. -- und dass auch die technischen Rahmenbedingungen im Wesentlichen erledigt sind. Es fehlen die Anwendungen, insbesondere die übergreifenden Teleanwendungen. Es fehlt meines Erachtens auch an der Bereitschaft, einen Migrationsansatz, das heisst einen realitätsnahen bottom-up Ansatz zu wählen und damit alle Möglichkeiten in der Bandbreite der rechtlichen Gegebenheiten zu nutzen. Das Signaturgesetz qualifiziert eben nicht nur die qualifizierten, elektronischen Signaturen, sondern die Bandbreite, vorgegeben durch die EU-Richtlinie, ist wesentlich größer. Sie lässt wesentlich mehr Spielraum zu. 

Dies kann allerdings nur erfolgreich sein, wenn ein begleitendes Awareness-Programm das notwendige Wissen und Verständnis vermittelt. Dazu bedarf es eines entsprechenden Budgetansatzes. Ich denke, das muss auch jedem klar sein. Dies kann allerdings auch nur erfolgreich sein, wenn ein begleitendes Programm weiterhin gewährleistet, dass das beabsichtigte und geschaffene Grundrecht auf informationelle Selbstbestimmung aller Beteiligten sicher gestellt bleibt. Dies, denke ich, haben wir durch eine geeignete Gesetzgebung und Technologie realisiert, soweit Technologie dies kann. Ich denke, eine neue Definition des Begriffs "Privatheit" ist nur insofern notwendig, als dass die gesamte und gesamtheitliche Übertragung der bestehenden Rechte und Pflichten aller Beteiligten eins zu eins auf die neuen Medien und digitalen Anforderung aus juristischer, politischer und technischer Perspektive sicher zu stellen ist, auch hier gekoppelt mit der Vermittlung des notwendigen Wissens und Verständnisses. Zusammengefasst möchte ich behaupten, Privatheit und Sicherheit, beziehungsweise Datenschutz und Datensicherheit stehen nicht notwendigerweise im Widerspruch zueinander, sondern sind zwei Seiten, aber einer Medaille, die sich zu einem Gesamten und Ganzen ergänzen.

[Transkript: Katja Pratschke]