Nach vielen Jahren nimmt Herr Vollmer nochmal einen Anlauf, um mit qualifizierten elektronischen Zertifikaten zu arbeiten. Das Ziel ist die verbindliche Signatur von elektronischen Dokumenten (z.B. PDF), die einer handschriftlichen Unterzeichnung gleich kommen.

Weil dieses Thema in der Dezember-Ausgabe des PrivazyPlan® aufgegriffen wurde, hat Herr Vollmer diesen Weg ebenfalls selbst bestritten.

Die ersten Experimente im Jahr 2008 mit einer Karte und einem Reader der Telekom hatten einen gewissen Frustfaktor, aber sie waren letztlich doch erfolgreich. Doch gab es außer Herrn Vollmer niemanden, der sich für diese Technologie interessierte. (In einer PPT-Präsentation hat Herr Vollmer seine Erfahrung konkret zusammengefasst.)

Im Jahr 2012 wurde eine qualifizierte Signaturkarte der Deutschen Post mit einem Cherry-Reader probiert. Auch hier waren verschiedene Schwierigkeiten zu überwinden. Doch letztlich gab es keine wirklich interessante Anwendung für diese Technologie. Für Verträge war immer noch die handschriftliche Unterschrift das Maß aller Dinge.

Jetzt im Jahr 2019 probiert es Herr Vollmer erneut. Das Zertifikat und die Software stammen von www.secrypt.de (Bundesdruckerei). Der Reader ist der ReinerSCT® cyberJack® RFID comfort. Die Installation aller Komponenten war weitgehend frustfrei. (Die Installation des elektronischen Personalausweises hingegen war skurril komplex und nur für Menschen geschaffen, die außerordentlich leidensfähig sind.)

Doch was macht man mit einem qualifiziert signierten Dokument? Man validiert es in einer geeigneten Software, um festzustellen, ob z.B. das betroffene PDF wirklich von Hr. Vollmer unterschrieben wurde. Und dann wurde es nochmal richtig spannend.

• Der digiSeal-Reader erkennt die Signatur sofort und erkennt sie auch an. Perfekt!
• Der Foxit PhantomPDF Reader hingegen sieht die Signatur als ungültig an!
• Eine Prüfung über den Windows-Zertifikats-Speicher akzeptiert das Zertifikat ebenfalls nur teilweise.

Was ist hier los?

Eine erste Analyse zeigt auf, dass das Stammzertifikat der Bundesdruckerei die Ursache ist, weil es im System nicht eingebunden wurde.

Also erkundigt sich Herr Vollmer beim Support von Secrypt und erhält einen Hinweis auf https://www.bundesdruckerei.de/de/2833-repository, wo die Zertifikate der Bundesdruckerei erhältlich sind. Abgesehen davon, dass es nicht gerade trivial ist das richtige Zertifikat zu finden: Jeder Webbrowser reagiert unterschiedlich. Der eine ignoriert die Dateien, der andere lädt sie offensichtlich nur in den eigenen Webbrowser-Zertifikatsspeicher, der letzte bietet immerhin einen ordentlichen Download an.

Doch auch im letzten Fall liegt die Tücke im Detail, denn das Bundesdruckerei-Zertifikat wird nicht in die Rubrik "Vertrauenswürdige Stammzertifizierungsstellen" gespeichert und ist daher in gewisser Hinsicht unsichtbar und wirkungslos. Das ließ sich aber per Drag&Drop beheben.

Nun - endlich - erkennt auch Windows das qualifiziert signierte Dokument.

Aber der Foxit PhantomPDF ist davon nicht beeindruckt. Offensichtlich hat er einen eigenen Zertifikatsspeicher, der aber nur mit US-Amerikanischen Unternehmen gefüllt ist. Zwar kann man manuell die Bundesdruckerei hinzufügen, aber die erhält den Status "not trusted". Schade aber auch!

Fazit: Die qualifizierte elektronische Signatur ist noch immer schwierig anzuwenden. Die beteiligten Hersteller (Bundesdrucker, Microsoft, Reiner, Foxit) machen keine nennenswerten Anstrengungen, um einem normalsterblichen IT-Anwender die Nutzung zu ermöglichen. So wird das nix!

Jetzt gilt es noch die letzte Hürde zu nehmen: Die qualifizierten Zeitstempel sollen dafür sorgen, dass das Datum der Signatur beweisbar korrekt ist (und nicht von der lokalen PC-Zeit abgeleitet wird). Die Bestellung hakt noch etwas, aber vermutlich wird auch das bald funktionieren.

Und wenn das alles funktioniert, dann kann Herr Vollmer seine Datenschutz-Dokumentation mit einem verbindlichen Zeitstempel signieren und somit beweisen, dass diese Dokumentation zum angegebenen Zeitpunkt wirklich in genau dieser Form existierte.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.