Das Anzeigen einer Datenmanipulation kann man dadurch erreichen, dass man eine elektronische Nachricht oder auch eine Datei digital signiert. Hierbei wird aus den Daten der Originalnachricht zusammen mit einem speziellen Schlüssel eine Prüfsumme gebildet (Hash-Wert) und mit der E-Mail oder Datei abgespeichert. Wird nun die Nachricht nachträglich verändert, so passt der beim Empfang der E-Mail ebenfalls errechnete Hash-Wert nicht mehr mit der übermittelten Prüfsumme überein. Somit ist das Siegel „zerbrochen" und die Nachricht wird entsprechend als kompromittiert gekennzeichnet.

Nun hat der deutsche Gesetzgeber im Jahre 2002 das so genannte Signaturgesetz verabschiedet, in dem die digitale Signatur der natürlichen Unterschrift bis auf bestimmte Ausnahmefälle (zum Beispiel Grundstückskauf) rechtlich gleichgestellt wird. Auch wenn der technischen Umsetzung dieses Gesetzes in der Praxis bisher nicht die Bedeutung beigemessen worden ist, wie vielleicht gewünscht oder erwartet, so gibt es zwischenzeitlich jedoch Lösungen, um elektronisch zu signieren.

Man unterscheidet hierbei grundsätzlich zwei Formen der Signatur: eine un- oder nicht qualifizierte Signatur und eine qualifizierte Signatur jeweils mit zwei Unterformen. Eine nicht-qualifizierte Signatur genügt nur niedrigen Sicherheitsanforderungen bezüglich der Herausgabe und der Überwachung eines Zertifikates und ist daher für die meisten rechtlich relevanten Geschäftsprozesse vollkommen uninteressant. Der konzeptionell schwache Schutz einer unqualifizierten elektronischen Signatur schlägt sich in der Praxis durch die geringe Akzeptanz und die eingeschränkte Verwendbarkeit bei wirklich interessanten Transaktionen nieder. Darüber kann dann auch nicht das vergleichsweise einfache Verfahren zum Erwerb einer solchen Signatur hinwegtrösten (das ist ja gerade das Problem). Zum Erhalt einer qualifizierten Signatur bedarf es daher eines deutlich höheren administrativen Aufwand zur Prüfung der Legitimation des Beantragens eines Zertifikates und dies ist auch mit entsprechenden Kosten verbunden.

Ohne Zertifikatsgeber keine Verifikation

Grundsätzlich müssen sich alle Zertifikatsgeber (Trust-Center) bei der Regulierungsbehörde für Telekommunikation und Post (kurz RegTP) zertifizierten lassen. Über die RegTP erhält man daher auch eine aktuelle Liste der registrierten Zertifikatsgeber, ohne dass diese eine besondere Empfehlung für den einen oder anderen Anbieter ausspricht. Hat man sich für einen Anbieter entschieden, so beantragt man als natürliche Person oder Institution eine qualifizierte Signatur auf dem Schriftweg. Da im Falle einer natürlichen Person die elektronische Signatur eindeutig zugeordnet werden soll, muss der Herausgabe eine persönliche Identitätsprüfung vorausgehen. Dies erfolgt, je nach Anbieter, durch das persönliche Abholen der Signaturkarte und Legitimation per Ausweisdokument an zentralen Stellen (zum Beispiel teilnehmende IHK's) oder zum Beispiel per Post-Ident-Verfahren, bei dem der Antragsteller sich gegenüber einem Mitarbeiter der Deutschen Post am Schalter legitimiert. Somit soll sichergestellt werden, dass man nicht anonym in den Besitz einer qualifizierten Signatur gelangen kann.

Technische Realisation

Technisch wird das Signieren dann so gelöst, dass an den PC ein Kartenlesegerät angeschlossen wird, in das die Signaturkarte eingesteckt wird. Dann werden einmalig entsprechende Treiber und Anwendungsprogramme bzw. Plug-In's installiert, mit deren Hilfe man das auf der Karte enthaltene Zertifikat nutzen kann. Beim Versenden von Nachrichten zum Beispiel mit Outlook kann dann als Option die Nachricht mit diesem Zertifikat signiert werden. Der Empfänger erkennt eine signierte Nachricht  an einem speziellen Symbol, welches nach Anklicken entsprechende Informationen über die Signatur preisgibt. So lässt sich erkennen, ob die Signatur gültig und die Nachricht unverfälscht eingetroffen ist. Wurde auf dem Weg vom Sender zum Empfänger auch nur ein einziges Byte verändert, so ist die Signatur ähnlich wie bei einem klassischen Siegel zerbrochen. In der Praxis hat das Signieren von E-Mails einen gewissen Handling-Nachteil. So muss der Versender i.d.R. bei jedem Abschicken einer Nachricht eine PIN am Kartenterminal zur Freigabe eingeben und beim Empfänger muss das Zertifikat des verwendeten Trustcenters installiert sein. Sofern sich das Trust-Center nicht bei den betreffenden Herstellern bereits authentifiziert hat (zum Beispiel bei Microsoft), „kennt" das Empfängersystem das Zertifikat der eingehenden E-Mail nicht und es muss daher manuell installiert werden. Erst danach ist eine Online-Überprüfung automatisiert möglich, die es dem Empfänger erlaubt, die Gültigkeit der verwendeten Signatur zu überprüfen. Es liegt in der Natur der Sache, dass primär der Empfänger signierter Nachrichten einen Vorteil erhält (nämlich, dass er sich sicher sein kann, dass die empfangene E-Mail tatsächlich von dem angegebenen Sender stammt und diese nicht verfälscht wurde), der Sender jedoch den Aufwand und die Kosten trägt. Dies ist sicherlich ein Grund, warum die digitale Signatur bisher keine massenhafte Verbreitung erfahren hat. Es ist jedoch erstrebenswert, dass es sich zumindest im geschäftlichen Umfeld einbürgert, Nachrichten zu signieren, um neben der gewünschten Rechtssicherheit auch das Problem SPAM zu lösen.