Prozessoptimierungen mit Signaturen - Huerdenlauf mit Hindernissen.
Bonn. Der Arbeitskreis „Elektronische Signaturen“ des VOI – Verband Organisations- und Informationstechnologie e.V. in Bonn befuerchtet wegen schleppender Einfuehrung von elektronischen Signaturen einen Investitionsstau bei Prozessoptimierungen.
Der Markt und der Einsatz von elektronischen Signaturen bewegt sich nach Ansicht des am 2. Dezember 2002 zu seiner Sitzung zusammengekommenen VOI-Arbeitskreises „Elektronische Signaturen“ weiterhin nur sehr langsam. Die vorhandenen Potentiale elektronischer Signaturen, die darin liegen, Medienbrueche zu ueberwinden, bessere Nachweisbarkeit zu haben und somit Prozesse im und zwischen Unternehmen zu optimieren, bleiben oft aus Unkenntnis ueber deren Einsetzbarkeit brach liegen und damit auch wichtige Projekte fuer die mittelfristige Kostensenkung in den Unternehmen.
Der Gesetzgeber hat die Huerden im weltweiten Vergleich ungewoehnlich hoch gesetzt – insbesondere was die akkreditierte qualifizierte Signatur betrifft, welche der eigenhaendigen Unterschrift ohne weitere Beweisfuehrung juristisch gleich gesetzt ist.
Dabei sieht das Signaturgesetz vier Stufen vor: die „einfache“ elektronische Signatur, die fortgeschrittene Signatur, die qualifizierte Signatur und die qualifizierte Signatur mit Anbieter-Akkreditierung. Jede dieser Signaturen hat ihren sinnvollen Einsatzbereich.
Leider wird aber oft unnoetig in einem uebertriebenen deutschen Sicherheitsbeduerfnis nur die hoechste Stufe, also die qualifizierte Signatur mit Anbieterakkreditierung gefordert. Ausgeloest wird dies meist durch die nicht begruendete Befuerchtung, dass einfache und fortgeschrittene elektronische Signaturen nicht als Beweismittel in einem Gerichtsverfahren verwendet werden koennen.
Der hohe Aufwand fuer die Realisierung qualifizierter elektronischer Signaturen trifft nicht nur die uebrig gebliebenen Trust-Center, die diese Aufwaende mit entsprechenden Kosten vielleicht noch tragen moegen, sondern ebenso die Anwender bzw. die Industrie, die sich bei der aktuellen Investitionszurueckhaltung vor den Einfuehrungs- und Betriebskosten komplexer Infrastrukturen scheut, zumal weitere Fragen bisher offen bleiben.
Die Banken, von denen sich viele ueber die Ausgabe von Signaturkarten einen Impuls erhofft haben, agieren zoegerlich. Insbesondere sehen auch sie fuer ihre Anwendungen nicht die Notwendigkeit fuer akkreditierte qualifizierte Karten und den damit verbundenen hohen Aufwand der erneuten Kundenregistrierung. Ihnen reichen in den meisten Faellen fortgeschrittene Signaturen. Dazu ist unklar, ob die von ihnen angebotenen – per Sondervereinbarung nicht qualifizierten – Signaturen auch noch nach 2005 z.B. fuer ELSTER, die elektronische Steuererklaerung, einsetzbar sind und ob sich die derzeit notwendigen Investitionen dann ueberhaupt lohnen. Der oeffentliche Dienst und die Behoerden ueben sich ueberwiegend in rein interner Nutzung. Die Finanzbehoerden haben mit den Vorgaben fuer elektronische Rechnungen statt deren Einsatz zu stimulieren den Einsatz praktisch zu Erliegen gebracht. Sehr hoch wurde mit der Forderung nach der akkreditierten, qualifizierten Signatur die Messlatte gelegt.
Nur wenige Loesungsanbieter wie AuthentiDate sind hierfuer am Markt und zahlreiche Fragen sind noch offen und bleiben unbeantwortet – etwa die des Formates und der notwendigen Zertifizierung. So laesst sich bisher die Anzahl der Projekte, in denen in Deutschland elektronische Rechnungen entsprechend §14 Abs. 4 UStG erstellt werden, an einer Hand abzaehlen.
Das durchaus gut gemeinte, Mitte 2002 vom Innen- und Wirtschaftsministerium aufgesetzte Buendnis fuer elektronische Signaturen hat bisher wenig Verbesserungen erbracht. Hier sitzen primaer Regierungsstellen, akkreditierte Trust-Center und Banken an einem Tisch. Die Anwender und potentielle Projektabwickler aber, die das Ganze erst wirklich umsetzen koennten, sind wie auch bei den im Mai 2002 in Berlin veranstalteten „Signaturtage“ bisher aussen vor. Hier ist ein Korrekturbedarf vorhanden, moechte man nicht, dass sich das Projekt totlaeuft.
Doch auch die Anwender in der Industrie muessten die eigenen Anforderungen genauer definieren und staerker differenzieren. So tauchen inzwischen berechtigte Fragen auf, ob die gemeinsame Verschluesselung von Signatur und Dokument nicht grundsaetzlich zu trennen ist, was den Erwerb eines Schluesselpaares zur reinen Email- und Dokumentenverschluesselung ohne aufwendige Registrierung des Inhabers ermoeglichen wuerde.
Macht man sich diese Muehe, so erkennt man, dass sich nicht alles pauschalisieren bzw. mit einer Technik und einer Loesung bewerkstelligen laesst. Fuer einen grossen Teil der Anwendungen reichen auch beweisfaehige einfache und fortgeschrittene Signaturen vollstaendig aus, ja machen einzelne Anwendungen ueberhaupt erst praktikabel.
Oft besteht die Loesung darin, elektronische Signaturen nach einer Online-Authentifizierung durch PIN oder eigenhaendige Unterschrift zentral von einem Online Signaturdienst wie Signature Perfect statt lokal beim Benutzer zu erzeugen. Dies ist in vielen Faellen wirtschaftlich und besser handhabbar.
Fuer andere Aufgaben wie Verschluesselung reichen kleinere interne Public-Key-Infrastrukturen (PKI) oder die Nutzung eines externen Dienstleisters fuer deren Betrieb. Zahlreiche geschlossene Loesungen lassen sich heute bereits wirtschaftlich realisieren und erlauben die notwendigen Erfahrungen zu sammeln.
Projektbeispiele dafuer sind u.a. das TrustCenter der ITSG fuer die Verschluesselung von Abrechnungsdaten und Arbeitgebermeldungen im deutschem Gesundheitswesen sowie die SPHINX Email Verschluesselung der oeffentlichen Hand, fuer die von der SchlumbergerSema CCI GmbH ein TrustCenter mit entsprechender Public Key Infrastruktur betrieben wird.
Dazu gibt es eine wachsende Anzahl von Anbietern fuer Verschluesselungstechnologie im Markt und selbst Zeitstempel der hoechsten Qualitaet, relevant in der produzierenden Industrie und im Finanzwesen, sind inzwischen ueber das Internet zu beziehen.
Und schliesslich fehlt es an der Aufklaerung bei allen Parteien – am dringendsten beim potentiellen Anwender. Hier haben die anderen Beteiligten – Staat, Trust-Center, Projekt-Partner und die betreffende Industrie noch kraeftig Arbeit zu leisten.
Darin sieht auch der Arbeitskreis Elektronische Signaturen des VOI seine Hauptaufgabe. Die Informationen der VOI Mitglieder, die sich ueberwiegend aus dem Bereich Dokumenten Management rekrutieren, entstammen den direkten Gespraechen mit den interessierten Kunden. Bereits zur CeBIT 2003 soll die ueberarbeitete dritte Auflage der Broschuere „Elektronische Signaturen“ (zu beziehen im VOI-Shop unter www.voi.de) verfuegbar sein.
Auch sind weitere Aktivitaeten wie Workshops in Zusammenarbeit mit dem msc Multimedia Support Center in Bonn, dem TeleTrusT e.V. sowie dem BITKOM geplant.
Infos, Kontakt zum Arbeitskreis:
Rolf Schmoldt
Signature Perfect KG
Zeilweg 13a
60439 Frankfurt am Main
Phone 069-587 006 – 0
Email RSchmoldt@Signature-Perfect.com
Der Verband Organisations- und Informationssysteme (VOI)
Der Verband Organisations- und Informationssysteme (VOI) repraesentiert zur Zeit fast 200 Mitgliedsfirmen des deutschen Anbietermarktes fuer Dokumenten Management Systeme (DMS). Mit der Positionierung als der in Deutschland fuehrende unabhaengige Verband der zukunfts- und wachstumstraechtigen eBusiness - Branche verdeutlicht der VOI die steigende wirtschaftliche und technologische Bedeutung seiner Mitgliedsunternehmen in den europaeischen und internationalen Maerkten. Das VOI Credo lautet: Unsere Mitglieder bieten Technologien zur Informationslogistik an, die es jedem ueberall und zur richtigen Zeit ermoeglichen, Informationen in der gewuenschten Qualitaet aus Dokumenten oder dem Internet bereitstellen und aus diesen Informationen nutzbringendes Wissen herzuleiten. Damit gestaltet der Verband den weltweiten Wandel zur Wissensgesellschaft aktiv mit. VOI – Voice-of-Information (http://www.voice-of-information.org)
Ihre Redaktionskontakte:
VOI - Verband Organisations- und Informationssysteme e.V. Henner von der Banck Postfach 180160, 53031 Bonn
Telefon: +49-(0)228 - 9082090
Telefax: +49-(0)228 - 9082091
E-Mail: voi@voi.de
http://www.voi.de
Bonn. Der Arbeitskreis „Elektronische Signaturen“ des VOI – Verband Organisations- und Informationstechnologie e.V. in Bonn befuerchtet wegen schleppender Einfuehrung von elektronischen Signaturen einen Investitionsstau bei Prozessoptimierungen.
Der Markt und der Einsatz von elektronischen Signaturen bewegt sich nach Ansicht des am 2. Dezember 2002 zu seiner Sitzung zusammengekommenen VOI-Arbeitskreises „Elektronische Signaturen“ weiterhin nur sehr langsam. Die vorhandenen Potentiale elektronischer Signaturen, die darin liegen, Medienbrueche zu ueberwinden, bessere Nachweisbarkeit zu haben und somit Prozesse im und zwischen Unternehmen zu optimieren, bleiben oft aus Unkenntnis ueber deren Einsetzbarkeit brach liegen und damit auch wichtige Projekte fuer die mittelfristige Kostensenkung in den Unternehmen.
Der Gesetzgeber hat die Huerden im weltweiten Vergleich ungewoehnlich hoch gesetzt – insbesondere was die akkreditierte qualifizierte Signatur betrifft, welche der eigenhaendigen Unterschrift ohne weitere Beweisfuehrung juristisch gleich gesetzt ist.
Dabei sieht das Signaturgesetz vier Stufen vor: die „einfache“ elektronische Signatur, die fortgeschrittene Signatur, die qualifizierte Signatur und die qualifizierte Signatur mit Anbieter-Akkreditierung. Jede dieser Signaturen hat ihren sinnvollen Einsatzbereich.
Leider wird aber oft unnoetig in einem uebertriebenen deutschen Sicherheitsbeduerfnis nur die hoechste Stufe, also die qualifizierte Signatur mit Anbieterakkreditierung gefordert. Ausgeloest wird dies meist durch die nicht begruendete Befuerchtung, dass einfache und fortgeschrittene elektronische Signaturen nicht als Beweismittel in einem Gerichtsverfahren verwendet werden koennen.
Der hohe Aufwand fuer die Realisierung qualifizierter elektronischer Signaturen trifft nicht nur die uebrig gebliebenen Trust-Center, die diese Aufwaende mit entsprechenden Kosten vielleicht noch tragen moegen, sondern ebenso die Anwender bzw. die Industrie, die sich bei der aktuellen Investitionszurueckhaltung vor den Einfuehrungs- und Betriebskosten komplexer Infrastrukturen scheut, zumal weitere Fragen bisher offen bleiben.
Die Banken, von denen sich viele ueber die Ausgabe von Signaturkarten einen Impuls erhofft haben, agieren zoegerlich. Insbesondere sehen auch sie fuer ihre Anwendungen nicht die Notwendigkeit fuer akkreditierte qualifizierte Karten und den damit verbundenen hohen Aufwand der erneuten Kundenregistrierung. Ihnen reichen in den meisten Faellen fortgeschrittene Signaturen. Dazu ist unklar, ob die von ihnen angebotenen – per Sondervereinbarung nicht qualifizierten – Signaturen auch noch nach 2005 z.B. fuer ELSTER, die elektronische Steuererklaerung, einsetzbar sind und ob sich die derzeit notwendigen Investitionen dann ueberhaupt lohnen. Der oeffentliche Dienst und die Behoerden ueben sich ueberwiegend in rein interner Nutzung. Die Finanzbehoerden haben mit den Vorgaben fuer elektronische Rechnungen statt deren Einsatz zu stimulieren den Einsatz praktisch zu Erliegen gebracht. Sehr hoch wurde mit der Forderung nach der akkreditierten, qualifizierten Signatur die Messlatte gelegt.
Nur wenige Loesungsanbieter wie AuthentiDate sind hierfuer am Markt und zahlreiche Fragen sind noch offen und bleiben unbeantwortet – etwa die des Formates und der notwendigen Zertifizierung. So laesst sich bisher die Anzahl der Projekte, in denen in Deutschland elektronische Rechnungen entsprechend §14 Abs. 4 UStG erstellt werden, an einer Hand abzaehlen.
Das durchaus gut gemeinte, Mitte 2002 vom Innen- und Wirtschaftsministerium aufgesetzte Buendnis fuer elektronische Signaturen hat bisher wenig Verbesserungen erbracht. Hier sitzen primaer Regierungsstellen, akkreditierte Trust-Center und Banken an einem Tisch. Die Anwender und potentielle Projektabwickler aber, die das Ganze erst wirklich umsetzen koennten, sind wie auch bei den im Mai 2002 in Berlin veranstalteten „Signaturtage“ bisher aussen vor. Hier ist ein Korrekturbedarf vorhanden, moechte man nicht, dass sich das Projekt totlaeuft.
Doch auch die Anwender in der Industrie muessten die eigenen Anforderungen genauer definieren und staerker differenzieren. So tauchen inzwischen berechtigte Fragen auf, ob die gemeinsame Verschluesselung von Signatur und Dokument nicht grundsaetzlich zu trennen ist, was den Erwerb eines Schluesselpaares zur reinen Email- und Dokumentenverschluesselung ohne aufwendige Registrierung des Inhabers ermoeglichen wuerde.
Macht man sich diese Muehe, so erkennt man, dass sich nicht alles pauschalisieren bzw. mit einer Technik und einer Loesung bewerkstelligen laesst. Fuer einen grossen Teil der Anwendungen reichen auch beweisfaehige einfache und fortgeschrittene Signaturen vollstaendig aus, ja machen einzelne Anwendungen ueberhaupt erst praktikabel.
Oft besteht die Loesung darin, elektronische Signaturen nach einer Online-Authentifizierung durch PIN oder eigenhaendige Unterschrift zentral von einem Online Signaturdienst wie Signature Perfect statt lokal beim Benutzer zu erzeugen. Dies ist in vielen Faellen wirtschaftlich und besser handhabbar.
Fuer andere Aufgaben wie Verschluesselung reichen kleinere interne Public-Key-Infrastrukturen (PKI) oder die Nutzung eines externen Dienstleisters fuer deren Betrieb. Zahlreiche geschlossene Loesungen lassen sich heute bereits wirtschaftlich realisieren und erlauben die notwendigen Erfahrungen zu sammeln.
Projektbeispiele dafuer sind u.a. das TrustCenter der ITSG fuer die Verschluesselung von Abrechnungsdaten und Arbeitgebermeldungen im deutschem Gesundheitswesen sowie die SPHINX Email Verschluesselung der oeffentlichen Hand, fuer die von der SchlumbergerSema CCI GmbH ein TrustCenter mit entsprechender Public Key Infrastruktur betrieben wird.
Dazu gibt es eine wachsende Anzahl von Anbietern fuer Verschluesselungstechnologie im Markt und selbst Zeitstempel der hoechsten Qualitaet, relevant in der produzierenden Industrie und im Finanzwesen, sind inzwischen ueber das Internet zu beziehen.
Und schliesslich fehlt es an der Aufklaerung bei allen Parteien – am dringendsten beim potentiellen Anwender. Hier haben die anderen Beteiligten – Staat, Trust-Center, Projekt-Partner und die betreffende Industrie noch kraeftig Arbeit zu leisten.
Darin sieht auch der Arbeitskreis Elektronische Signaturen des VOI seine Hauptaufgabe. Die Informationen der VOI Mitglieder, die sich ueberwiegend aus dem Bereich Dokumenten Management rekrutieren, entstammen den direkten Gespraechen mit den interessierten Kunden. Bereits zur CeBIT 2003 soll die ueberarbeitete dritte Auflage der Broschuere „Elektronische Signaturen“ (zu beziehen im VOI-Shop unter www.voi.de) verfuegbar sein.
Auch sind weitere Aktivitaeten wie Workshops in Zusammenarbeit mit dem msc Multimedia Support Center in Bonn, dem TeleTrusT e.V. sowie dem BITKOM geplant.
Infos, Kontakt zum Arbeitskreis:
Rolf Schmoldt
Signature Perfect KG
Zeilweg 13a
60439 Frankfurt am Main
Phone 069-587 006 – 0
Email RSchmoldt@Signature-Perfect.com
Der Verband Organisations- und Informationssysteme (VOI)
Der Verband Organisations- und Informationssysteme (VOI) repraesentiert zur Zeit fast 200 Mitgliedsfirmen des deutschen Anbietermarktes fuer Dokumenten Management Systeme (DMS). Mit der Positionierung als der in Deutschland fuehrende unabhaengige Verband der zukunfts- und wachstumstraechtigen eBusiness - Branche verdeutlicht der VOI die steigende wirtschaftliche und technologische Bedeutung seiner Mitgliedsunternehmen in den europaeischen und internationalen Maerkten. Das VOI Credo lautet: Unsere Mitglieder bieten Technologien zur Informationslogistik an, die es jedem ueberall und zur richtigen Zeit ermoeglichen, Informationen in der gewuenschten Qualitaet aus Dokumenten oder dem Internet bereitstellen und aus diesen Informationen nutzbringendes Wissen herzuleiten. Damit gestaltet der Verband den weltweiten Wandel zur Wissensgesellschaft aktiv mit. VOI – Voice-of-Information (http://www.voice-of-information.org)
Ihre Redaktionskontakte:
VOI - Verband Organisations- und Informationssysteme e.V. Henner von der Banck Postfach 180160, 53031 Bonn
Telefon: +49-(0)228 - 9082090
Telefax: +49-(0)228 - 9082091
E-Mail: voi@voi.de
http://www.voi.de
