Qualifizierte Signatur

Eine qualifizierte Signatur stellt die höchste Qualitätsstufe dar und ist vom Gesetz her bis auf wenige Ausnahmen (z.B. Familien- und Erbrecht) der eigenhändigen Unterschrift gleichzusetzen. Insbesondere erfüllt sie die Schriftlichkeit nach dem Allgemeinen Bürgerlichen Gesetzbuch.

Dementsprechend hoch sind die qualitativen Anforderungen aus Signaturgesetz und -verordnung (Links zur konsolidierten Fassung im Rechtsinformationssystem (RIS) des Bundeskanzleramtes):

(1) Sie ist ausschließlich dem Signator zugeordnet, ermöglicht seine Identifizierung und wird mit Mitteln erstellt, die er unter seiner alleinigen Kontrolle halten kann. Das bedeutet, dass die entscheidenden Komponenten, nämlich privater Schlüssel und Auslösemechanismus besonders vor Schadprogrammen geschützt sein müssen. In der Praxis wird das derzeit durch Chipkartentechnologie realisiert. Die Sicherheit solcher Komponenten und Verfahren muss nachgewiesen (durch eine Bestätigungsstelle bescheinigt) sein.

(2) Es muss jede nachträgliche Veränderung der signierten Daten festgestellt werden können. Im Prinzip erfüllt das jede Signatur, jedoch hängt auch das wie bei (1) von der Sicherheit der Komponenten ab.

(3) Sie muss auf einem qualifizierten Zertifikat beruhen, d.h. ein Zertifizierungsdiensteanbieter haftet für die Richtigkeit des öffentlichen Schlüssels und zugehörigem Namen. Daher muss sich der Signator ausweisen, bevor er das qualifizierte Zertifikat erhält. Es muss jederzeit möglich sein, das Zertifikat zu widerrufen bzw. Zertifikate auf allfälligen Widerruf zu prüfen. Das erfordert leistungsfähige und ständig verfügbare Online-Dienste.

In der Praxis benötigt man kein Detailwissen über Signaturen. Relevant ist das, was benötigt wird:

(1) Eine Chipkarte, die für qualifizierte Signaturen geeignet und bescheinigt ist (dzt. z.B. Signatur-, Maestrokarte oder e-card) sowie passenden Kartenleser samt Treibersoftware. Kartenleser lassen sich heute über gängige PC-Schnittstellen (USB, seriell) einfach anschließen.
Hinweise für den sicheren Umgang mit Kartenlesern

(2) Ein qualifiziertes Zertifikat ( das man sich als "elektronischen Ausweis" vorstellen kann ). Es enthält vor allem den Namen des Signators sowie den für die Signaturprüfung notwendigen öffentlichen Schlüssel, ist nur über einen bestimmten Zeitraum gültig und   vom ausstellenden Zertifizierungsdiensteanbieter signiert. Man erhält es bei den sog. Registrierungsstellen (dzt. Banken, Postämter sowie Elektrofachhändler) gegen persönliche Ausweisleistung.

(3) Die Signatur-PIN, die man selbst vergeben (mindestens 6-stellig) und sich dann merken muss.

(4) Software, um die qualifizierte Signatur zu bestimmten Dokumenten auszulösen. Für E-Government gibt es dazu eine kostenlose Download-Version.