Was passiert, wenn missbräuchlich digitale Signaturen erstellt wurden?

1. August 2015

Wie jede andere technische Lösung kann auch die digitale Signatur verfälscht bzw. der private Schlüssel gestohlen oder sonst wie missbräuchlich verwendet (korrumpiert) werden.

Der Vertrauensdiensteanbieter GLOBALTRUST einen Widerrufsdienst eingerichtet, der es erlaubt innerhalb kurzer Frist ein Zertifikat, mit dem missbräuchlich eine Signatur erstellt wurde, zu widerrufen.

Die widerrufenen Zertifikate stehen in einer Certificate Revocation List (CRL) und können jederzeit über das Internet abgerufen werden. Die zu einem Zertifikat gültige Widerrufsliste ist im Zertifikat angeführt bzw. kann auf der GLOBALTRUST Website abgerufen werden.

Bestimmte Programme und Betriebssysteme rufen automatisch innerhalb einer bestimmten Zeit (etwa 30 Tage) diese Liste ab, bei anderen Programmen muss der Abruf manuell erfolgen.

Wir empfehlen bei sensiblen Rechtsgeschäften oder wenn einem ein Zertifikat oder ein Dokument ungewöhnlich vorkommt, die Widerrufsliste jedenfalls manuell abzurufen.

Widerruf bezieht sich nur auf die Zukunft

Dokumente, die in der Vergangenheit gültig unterschrieben wurden, behalten auch bei widerrufenen Zertifikaten ihre Gültigkeit. Ein Signator kann daher nicht nachträglich ein signiertes Dokument durch Widerruf des Zertifikats ungültig machen. Er kann jedoch, wie bei normaler Korrespondenz bei einem irrtümlich ausgestellten und signierten Dokument ein neues, signiertes Dokument nachschicken und den vorherigen Inhalt widerrufen. Ob der Widerruf akzeptiert wird oder nicht, hängt vom Inhalt und den Rechtsfolgen des ursprünglichen Dokuments ab. Die digitale Signatur verändert nicht die Rechtsfolgen und den Ablauf bei der Gültigkeit von Dokumenten.

Es ist daher die besondere Verantwortung des Signators – ähnlich wie bei Bankomatkarte und Passwort – seinen privaten Schlüssel für das Signaturverfahren sorgfältig zu verwahren und darauf zu achten, dass er nicht missbräuchlich verwendet wird.

Das theoretisch mögliche “Knacken” der Signaturverfahren und das damit verbundene unsicher werden aller dazu ausgestellter privater Schlüssel wird vom Vertrauensdiensteanbieter und der Registrierungsbehörde überwacht. Sollte ein derartiger Fall eintreten, dann muss der Dienstanbieter alle unsicheren Schlüssel durch neue, sichere Schlüssel, austauschen. Der Austausch ist kostenlos. Aber auch in diesem Fall behalten bisher unterschriebene Dokumente ihre Gültigkeit.