BESTÄTIGUNGSSTELLE UND ELEKTRONISCHE SIGNATUR

 

VERZEICHNISSE UND WIDERRUF - FRAGEN UND ANTWORTEN:

Wann und wo müssen die Verzeichnisse verfügbar sein?

In vielen Fällen wird der Signator die Zertifikatskette, die die Prüfung der elektronischen Signatur ermöglicht, dem Dokument anfügen. Dies wird vor allem dann der Fall sein, wenn der Signator an einer sicheren und raschen Überprüfung der angebrachten Signatur interessiert ist.

Dennoch muss sichergestellt sein, dass die Prüfung der Signatur nicht durch den Signator wirksam verhindert werden kann. Um dies zu erreichen, wird durch Gesetz und Verordnung  als notwendige Voraussetzung für die Anerkennung festgelegt, dass unabhängig davon, wo das Zertifikat herstammt und wo der Zertifizierungsdiensteanbieter tätig ist, eine Prüfung von Österreich aus möglich sein muss (vgl. SigG § 24 (1)). Dies schließt die Verfügbarkeit der Verzeichnisdienste und die prompten und sicheren Widerrufsdienste mit ein.

zum Seitenbeginn

Wie kann der Widerruf rund um die Uhr stattfinden?

Der Widerruf wird besonders zeitkritisch, wenn die Signaturerstellungseinheit entwendet wird oder in anderer Weise abhanden kommt. In gleicher Weise ist Gefahr im Verzug, wenn die Authentisierungscodes ausgespäht wurden oder andere die Sicherheit der Signaturerstellungseinheit eines Signators beeinträchtigende Umstände eintreten.

In diesen Fällen ist immer die unverzügliche Sperre bzw. der Widerruf notwendig.  Dieser Widerruf, der vom Signator selbst ausgeht, kann auf verschiedene Arten bereits bei der Zertifikatserstellung vorbereitet werden. 

Derartig vorbereitete Widerrufsprozeduren benötigen nicht die Signaturerstellungseinheit und können automatisiert abgewickelt werden. Dadurch ist es dem Signator möglich, bei entsprechender Sorgfalt unmittelbar zu reagieren und drohende Schäden abzuwenden.

zum Seitenbeginn

Gibt es temporäre Sperren eines Zertifikates?

Zertifikate können bis maximal drei Tage gesperrt werden. Dabei gilt die Sperre, die nicht aufgehoben wird, bereits mit dem Zeitpunkt der Sperre als ein Widerruf. Wird eine Sperre aufgehoben, so hat diese Sperre auf keine geleistete Signatur einen Einfluss.

Da der Zertifizierungsdiensteanbieter durch einen (durch eine Prüfung des Widerrufsgrundes) verzögerten Widerruf, aber auch durch einen sich nachträglich als irrig herausstellenden Widerruf erheblichen Schaden anrichten könnte, könnte er dafür auch allenfalls haftbar gemacht werden. Die eingeräumte Dreitagesfrist ermöglicht dem Zertifizierungsdiensteanbieter, der laut Signaturverordnung rund um die Uhr und jederzeit Widerrufsanforderungen entgegennehmen muss, eine angemessene Reaktion.

Die Signaturprüfung kann im Falle der Sperre nicht gesichert durchgeführt werden und müsste gegebenenfalls diesen Unsicherheitszeitraum zuwarten.

zum Seitenbeginn

Können Dritte Zertifikate sperren lassen und unter welchen Umständen?

Zertifikate, die Angaben beinhalten, die in der Macht Dritter stehen, können von diesen auch widerrufen werden. Sofern Angaben in Zertifikaten unzutreffend sind (z.B. durch unrichtige Dokumente erwirkt wurden), kann jedermann den Widerruf eines derartigen Zertifikates begehren und damit erwirken.

zum Seitenbeginn

Dürfen auch andere Anwendungen auf den EDV-Systemen des ZDA vorhanden sein / verwendet werden?

Generell besteht kein Ausschluss für weitere Applikationen an den Geräten, die der Zertifizierungsdiensteanbieter bei der Erbringung der Dienste einsetzt. Es wird allerdings eine besondere Dokumentation und ein gesonderter Nachweis, dass es von diesen "anderen Anwendungen" keine Beeinträchtigung der Sicherheit geben kann, gefordert.

Ein Verstoß gegen diese Bestimmung zieht die Kompromittierung des Systems nach sich.

zum Seitenbeginn

Warum darf für die Widerrufsdienste vom Abrufenden kein Entgelt verlangt werden?

Das Signaturgesetz sieht vor, dass der Abruf von Widerrufsdiensten nicht entgeltlich für den Abrufer sein darf. Damit soll verhindert werden, dass die Kosten der elektronischen Signatur teilweise oder gänzlich auf den Empfänger signierter Dokumente abgewälzt werden.

Eine derartige Situation hätte möglicherweise zur Folge, dass bei der Überprüfung häufig oder generell aus Kostengründen auf die Konsultation eines Widerrufsdienstes verzichtet wird. Dieser Umstand würde aber die generelle Sicherheit der Signatur deutlich beeinflussen.

zum Seitenbeginn