Vollständige Digitalisierung

Vollständige Digitalisierung

1. März 2013 - Von Reto Fankhauser und Jean-Marc Bost

Die «Signature as a Service» ermöglicht es, Prozesse, die eine Unterschrift bedingen, erstmals komplett papierlos und auf dem System eines Dienstleisters abzuwickeln.
Artikel erschienen in IT Magazine 2013/03
Beispiel eines integrierten Signaturdienstes nach Art eines Online-Zahlungssystems. (Quelle: Elca Informatik)
Unternehmen und Behörden möchten von den Vorteilen der globalen Vernetzung profitieren. Das papierlose Büro bietet Chancen, um Zeit und Geld zu sparen und erhöht die Verfügbarkeit der angebotenen Dienstleistungen drastisch – der virtuelle Schalter ist 24 Stunden geöffnet und von überall her erreichbar. Das Streben nach vollständig digitalisierten Prozessen ist daher nicht neu. Oft ist die Dematerialisierung aber am Umstand gescheitert, dass es Prozessschritte gibt, die eine verbindliche «Zeichnung» erfordern.
Solche Prozessschritte sind allgegenwärtig: In Abläufen zur Qualitätssicherung müssen Prüfprotokolle unterschrieben werden, bei Online-Diensten sind Nutzungsbedingungen verbindlich zu akzeptieren, Verträge mit Dienstleistern oder Kunden müssen abgeschlossen werden, Steuerdeklarationen müssen unterschrieben werden.

Die Unterschrift erfolgt bei solchen Prozessen in der Regel auch heute noch auf Papier. Dabei wird bei der weit-, jedoch nicht durchgehenden Dematerialisierung nur ein Bruchteil der Vorteile ausgeschöpft, die möglich wären. Selbst wenn das Gesetz in vielen Fällen nicht zwingend eine qualifizierte Unterschrift erfordert, lässt sich praktisch niemand auf eine Lösung ohne qualifizierte Unterschrift ein – das rechtliche Terrain scheint zu unsicher. Zuweilen wird auch gänzlich auf den Prozessschritt zur Unterschrift verzichtet, was in der Folge eine noch grössere rechtliche Unsicherheit schafft.

Probleme beim «lokalen» Erstellen der Signatur


In der Schweiz ist die qualifizierte elektronische Signatur bereits seit 2003 der handschriftlichen Unterschrift rechtlich gleichgestellt. Geregelt wird dies im ZertES, dem Bundesgesetz über die elektronische Signatur (ZertES; SR 943.03) und der zugehörigen Verordnung (VZertES; SR 943.032).
Die Bestimmungen stellen dabei eng gesteckte Anforderungen, damit eine erstellte Signatur als qualifiziert gilt. Es bestehen Anforderungen an die Identifikation des Benutzers: Er muss sich persönlich und mit entsprechenden Papieren bei einer Registrationsstelle ausweisen. Weiter muss der Aussteller der Zertifikate auch offiziell berechtigt sein, dies zu tun. Die erstellten Schlüssel zur Unterschrift müssen elektronisch auf einem sicheren Chip (Smartcard) aufbewahrt werden. Und schliesslich darf zur Signatur auch nur beglaubigte Software eingesetzt werden.
Die grösste Einschränkung war in der Vergangenheit jedoch, dass sich die zur Unterschrift genutzten Zertifikate ausschliesslich im Besitz des Benutzers befinden dürfen. Diese Einschränkung liess aus technischer Perspektive nur den Ansatz zu, die Signaturen auf dem lokalen Rechner des Benutzers zu erstellen, was jedoch eine Fülle an Problemen mit sich bringt: Wie werden die Benutzer bezüglich der Signatur-Software geschult? Wie wird die Kompatibilität der Software und der Abläufe auf den Rechnern der Endbenutzer sichergestellt? Wie bindet man den Signaturschritt in den serverseitigen Businessprozess ein? Wie wird die Sicherheit gewährleistet, wenn der Vorgang auf Systemen ausserhalb des eigenen Einflussbereichs stattfindet? Wie lassen sich Geräte ohne Smartcard-Schnittstelle wie Tablets und Smartphones verwenden? Soll man sich tatsächlich all diesen Widrigkeiten stellen, nur um eine Unterschrift zu erhalten, deren Echtheit vom Endbenutzer dann auch nur aufwändig zu überprüfen ist?
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER