Diskussion:Qualifizierte elektronische Signatur
Verfügbarkeit quelloffener Lösungen
Nach allen auf der Liste der zugelassenen Lösungen bei der Bundesnetzagentur zu recherchieren, war aufwändig, und das Ergebnis sollte anderen zugute kommen, damit sie nicht selbst alle Programme nochmal extra recherchieren müssen. Wenn sich der beschriebene Zustand ändert (es wurde, um Unklarheiten zu vermeiden, der Zeitpunkt angegeben), kann der Abschnitt selbstverständlich unter Angabe des dazugekommenen Softwareprodukts entfernt werden. --82.249.80.108 20:42, 24. Mai 2007 (CEST)
- Wieso war das denn aufwändig? Die bestätigten Komponenten werden von der BNetzA komplett aufgelistet, der Link steht im Artikel. --08-15 20:46, 24. Mai 2007 (CEST)
- Auf der Seite der Bundesnetzagentur sind nur Programme aufgelistet, nicht aber die Verfügbarkeit des Quellcodes, so dass man bei Interesse erst alle Programme bei den Herstellern heraussuchen muss. Wenn sich jemand die Mühe macht, diese Arbeit für die Wikipedia-Community auf sich zu nehmen, ist Vandalismus wie in der vorliegenden Form mehr als ungerechtfertigt. --85.179.28.48 21:06, 24. Mai 2007 (CEST)
- Bitte informiere dich über die Wikipedia-Regeln zum neutralen Standpunkt und Quellenangaben. (Deine Anmerkungen über "bewährte Lösungen" und "Sicherheit der IT" entsprechen dem nicht und werden deshalb gelöscht, auch wenn du hier versuchst einen Editwar anzuzetteln und jedesmal mit einer anderen IP-Adresse schreibst.) Da für eine qualifizierte Signatur spezielle Hardware erforderlich ist, wird wohl auch niemand erwarten, dass der Quellcode verfügbar ist.
- Im übrigen unterlasse bitte die Beleidigungen. --08-15 21:14, 24. Mai 2007 (CEST)
- @08-15: Bitte informiere dich über die Thematik genauer, bevor du Fakten gedankenlos herauslöschst. Dass nicht quelloffene Software sich nicht unabhängig auf Schwachpunkte analysieren lässt, so dass man auf oftmals schwammig realisierte Produkthaftung des Softwareherstellers angewiesen ist, liegt wohl auf der Hand. Daher ist es nicht möglich, die Sicherheit der IT als Gesamtsystem zu gewährleisten, wenn derartig riskanter Code eingespielt wird. Etwas anderes zu behaupten ist mehr als nur unneutral. Und es gibt, ohne hier Werbung für bestimmte Hersteller machen zu wollen, Anbieter von zertifizierter Smartcard-Reader-Hardware, die mit quelloffenen Treibern verwendet werden kann. Dein Argument ist damit nichtig. Wenn du dir den Einsatz des BSI für quelloffene Crypto-Software ansiehst, der auch im Artikel verlinkt ist, sollte auch dir klarwerden, dass es sich hier um einen Missstand handelt, bei dem die deutschen Behörden durchaus Handlungsbedarf sehen. Deine Motivation, das ganze zu vertuschen, muss ich daher entweder auf Unwissenheit schieben, oder als sehr dubios betrachten. --70.238.179.89 21:29, 24. Mai 2007 (CEST)
- Quelloffenheit ist eine Möglichkeit von mehreren, die zur Sicherheit von Software beitragen kann (es gibt allerdings auch in Open Source Software Sicherheitslücken, die teilweise lange unentdecktbleiben). Eine unabhängige Analyse ist die Voraussetzung für eine Bestätigung durch die BNetzA. Da von "riskantem Code" zu sprechen, wird dem enzyklopädischen Anspruch der Wikipedia nicht gerecht. --08-15 21:52, 24. Mai 2007 (CEST)
- Meines Wissens war nicht die Rede von "riskantem Code", sondern davon, dass der Unternehmer die Sicherheit nicht gewährleisten kann. Und das kann er nicht, er kann sich nur darauf verlassen, dass sie von den "unabhängigen Analysten" der BNetzA gewährleistet wird, die aber vielleicht gar nicht darauf achten, sondern aus Zeitgründen nur den Aspekt der Signierung betrachten. Übrig bleibt eine Situation, in der oft unklar ist, wer bei Sicherheitsproblemen wie umfangreich für Schäden haftet. Natürlich kann jede Software Fehler enthalten, aber man wünscht sich oft die Möglichkeit, das Risiko durch eigenen Einsatz von Analysten kalkulierbar zu machen. Und man wünscht sich vielleicht auch, wenn man in einer Enzyklopädie zum Thema digitale Signaturen recherchiert, ohne große Suche zu erkennen, dass der Einsatz dieser Technologie das momentan noch unmöglich macht. --85.214.71.55 23:07, 24. Mai 2007 (CEST)
- Gib doch bitte zuverlässige Quellenangaben für deine Thesen an. --08-15 23:18, 24. Mai 2007 (CEST)
- Nun, dass man den Code als Lizenznehmer nicht rückentwickeln oder anderweitig analysieren darf, kannst du den Lizenzbedingungen der Programme, die auf der BNetzA-Seite aufgelistet sind, entnehmen. Dass man wegen dieses Verbots die Programme nicht herstellerunabhängig auf Schwachstellen untersuchen kann, sollte eigentlich auf der Hand liegen, könnte aber auch nochmal in einschlägigen Gerichtsurteilen nachgelesen werden. Es ist wohl etwas übertrieben, zusätzliche Quellen zu benötigen, um die Bedeutung öffentlich zugänglicher Lizenzvertragstexte als Faktum annehmen zu können. In dem Falle könntest du dich auf einen Feldzug begeben, die halbe Wikipedia zu löschen, statt gezielt bestimmte Thematiken unter den Tisch zu kehren. --192.108.114.19 23:59, 24. Mai 2007 (CEST)
- Das kannst du gerne mit Urteilen belegen, laut Reverse Engineering#Rechtliche Aspekte liegt es nämlich gar nicht auf der Hand. Hauptsächlich geht es aber darum, ob das von dir propagierte Vorgehen sicherheitstechnisch und betriebswirtschaftlich sinnvoll ist. Da du dich ja eingangs auf das BSI berufen hast, kannst du ja vielleicht eine BSI-Veröffentlichung benennen, in der das so empfohlen wird? --08-15 00:12, 25. Mai 2007 (CEST)
- Nun, dass man den Code als Lizenznehmer nicht rückentwickeln oder anderweitig analysieren darf, kannst du den Lizenzbedingungen der Programme, die auf der BNetzA-Seite aufgelistet sind, entnehmen. Dass man wegen dieses Verbots die Programme nicht herstellerunabhängig auf Schwachstellen untersuchen kann, sollte eigentlich auf der Hand liegen, könnte aber auch nochmal in einschlägigen Gerichtsurteilen nachgelesen werden. Es ist wohl etwas übertrieben, zusätzliche Quellen zu benötigen, um die Bedeutung öffentlich zugänglicher Lizenzvertragstexte als Faktum annehmen zu können. In dem Falle könntest du dich auf einen Feldzug begeben, die halbe Wikipedia zu löschen, statt gezielt bestimmte Thematiken unter den Tisch zu kehren. --192.108.114.19 23:59, 24. Mai 2007 (CEST)
- Gib doch bitte zuverlässige Quellenangaben für deine Thesen an. --08-15 23:18, 24. Mai 2007 (CEST)
- Meines Wissens war nicht die Rede von "riskantem Code", sondern davon, dass der Unternehmer die Sicherheit nicht gewährleisten kann. Und das kann er nicht, er kann sich nur darauf verlassen, dass sie von den "unabhängigen Analysten" der BNetzA gewährleistet wird, die aber vielleicht gar nicht darauf achten, sondern aus Zeitgründen nur den Aspekt der Signierung betrachten. Übrig bleibt eine Situation, in der oft unklar ist, wer bei Sicherheitsproblemen wie umfangreich für Schäden haftet. Natürlich kann jede Software Fehler enthalten, aber man wünscht sich oft die Möglichkeit, das Risiko durch eigenen Einsatz von Analysten kalkulierbar zu machen. Und man wünscht sich vielleicht auch, wenn man in einer Enzyklopädie zum Thema digitale Signaturen recherchiert, ohne große Suche zu erkennen, dass der Einsatz dieser Technologie das momentan noch unmöglich macht. --85.214.71.55 23:07, 24. Mai 2007 (CEST)
- Quelloffenheit ist eine Möglichkeit von mehreren, die zur Sicherheit von Software beitragen kann (es gibt allerdings auch in Open Source Software Sicherheitslücken, die teilweise lange unentdecktbleiben). Eine unabhängige Analyse ist die Voraussetzung für eine Bestätigung durch die BNetzA. Da von "riskantem Code" zu sprechen, wird dem enzyklopädischen Anspruch der Wikipedia nicht gerecht. --08-15 21:52, 24. Mai 2007 (CEST)
- Dagegen, dass bestimmte Nutzer, die die Wikipedia missbrauchen, um gezielt bestimmte Informationen zu vertuschen, gute Kontakte zu den Administratoren pflegen, kann der gemeine Nutzer natürlich nicht viel tun. Es bleibt zu hoffen, dass genug Beobachter erkannt haben, was hier vor sich geht, und genug Kritikfähigkeit dem Artikel gegenüber pflegen, solange er unter Kontrolle dieser Interessensgruppen ist. --82.249.80.108 21:36, 24. Mai 2007 (CEST)
- @08-15: Bitte informiere dich über die Thematik genauer, bevor du Fakten gedankenlos herauslöschst. Dass nicht quelloffene Software sich nicht unabhängig auf Schwachpunkte analysieren lässt, so dass man auf oftmals schwammig realisierte Produkthaftung des Softwareherstellers angewiesen ist, liegt wohl auf der Hand. Daher ist es nicht möglich, die Sicherheit der IT als Gesamtsystem zu gewährleisten, wenn derartig riskanter Code eingespielt wird. Etwas anderes zu behaupten ist mehr als nur unneutral. Und es gibt, ohne hier Werbung für bestimmte Hersteller machen zu wollen, Anbieter von zertifizierter Smartcard-Reader-Hardware, die mit quelloffenen Treibern verwendet werden kann. Dein Argument ist damit nichtig. Wenn du dir den Einsatz des BSI für quelloffene Crypto-Software ansiehst, der auch im Artikel verlinkt ist, sollte auch dir klarwerden, dass es sich hier um einen Missstand handelt, bei dem die deutschen Behörden durchaus Handlungsbedarf sehen. Deine Motivation, das ganze zu vertuschen, muss ich daher entweder auf Unwissenheit schieben, oder als sehr dubios betrachten. --70.238.179.89 21:29, 24. Mai 2007 (CEST)
- Auf der Seite der Bundesnetzagentur sind nur Programme aufgelistet, nicht aber die Verfügbarkeit des Quellcodes, so dass man bei Interesse erst alle Programme bei den Herstellern heraussuchen muss. Wenn sich jemand die Mühe macht, diese Arbeit für die Wikipedia-Community auf sich zu nehmen, ist Vandalismus wie in der vorliegenden Form mehr als ungerechtfertigt. --85.179.28.48 21:06, 24. Mai 2007 (CEST)
Liste akkreditierter Anbieter
Hallo,
da die Liste nicht vollständig ist, würde ich sie entweder a) komplett löschen und nur auf de BNetzA verweisen, oder b) sie komplettieren. Bitte um comments.
--Perry Maison 13:57, 19. Apr. 2008 (CEST)
- Ich habe den neu dazugekommenen Anbieter ergänzt. --08-15 14:22, 19. Apr. 2008 (CEST)
Akkreditierung notwendig?
Bitte Prüfen:
Die Akkreditierung ist für die "qualifizierte elektronische Signatur" nicht notwenig, es genügt den Dienst bei der Bundesnetzagentur anzuzeigen (wie S-Trust). Es handelt sich dabei trotzdem dann um "qualifizierte elektronische Signaturen". Gruß --Thomas Maierhofer 15:50, 28. Okt. 2008 (CET)
Ich hab es nachgeschaut:
Nach §4 SigG ist der Betrieb der Zertifizierungsstelle genehmigungsfrei, muss aber bei der zuständigen Behörde (Bundesnetzagentur) anzezeigt werden. Die Akkreditierung ist nach §15 SigG freiwillig und berechtigt zur Bezeichnung als "akkreditierter Zertifizierungsdiensteanbieter". Gruß --Thomas Maierhofer 16:15, 28. Okt. 2008 (CET)
Gültigkeitsmodell
Laut |Bundesnetzagentur wird in Deutschland ein anderes Gültigkeitsmodell (nämlich das Kettenmodel) anstatt dem mehr verbreitetem Schalenmodell verwendet. Wird dies auch in den entsprechenden Signaturgesetzen in Östereich, Schweiz und Lichtenstein vorgeschrieben? Wenn nein könnte man dies noch im Artikel erwähnen, insbesondere da dies zu Konflikten kommen könnte, da qualifizierte Signaturen nach dem einen Gesetz gültig sein könnte und nach dem anderen Gesetzen nicht, widerum wegen der EG Richtlinie eventuell trotzdem Anerkannt werden müssen... Dazu sei auch noch anzumerken, dass die Bundesnetzagentur selber schreibt '..bisher gibt es u.W. kein einziges Land, in dem die qualifizierten Signaturen eines anderen Landes wirklich (insbes. technisch funktionsfähig) „anerkannt“ werden..' Schönen Gruß "Wohingenau" 02:41, 30. Jul. 2009 (CEST)
Deutschlandlastig
Was haltet ihr davon, diesen deutschlandlastigen Artikel in "Qualifizierte elektronische Signatur (Deutschland)" umzubenennen? Oder waere es besser, Abschnitte fuer Deutschland und Oesterreich zu machen? Darsie 09:34, 7. Okt. 2009 (CEST)
Signatur für Rechnungen
Entgegen der Behauptung im Artikel ist lt. §14 UStG die Signatur einer elektronischen Rechnung weiterhin zwingend notwendig:
"[...] (3) Unbeschadet anderer nach Absatz 1 zulässiger Verfahren gelten bei einer elektronischen Rechnung die Echtheit der Herkunft und die Unversehrtheit des Inhalts als gewährleistet durch
1. eine qualifizierte elektronische Signatur oder eine qualifizierte elektronische Signatur mit Anbieter-Akkreditierung nach dem Signaturgesetz vom 16. Mai 2001 (BGBl. I S. 876), das zuletzt durch Artikel 4 des Gesetzes vom 17. Juli 2009 (BGBl. I S. 2091) geändert worden ist, in der jeweils geltenden Fassung oder 2. elektronischen Datenaustausch (EDI) nach Artikel 2 der Empfehlung 94/820/EG der Kommission vom 19. Oktober 1994 über die rechtlichen Aspekte des elektronischen Datenaustausches (ABl. L 338 vom 28.12.1994, S. 98), wenn in der Vereinbarung über diesen Datenaustausch der Einsatz von Verfahren vorgesehen ist, die die Echtheit der Herkunft und die Unversehrtheit der Daten gewährleisten."
M.W.n. hat der Bundestag eine Vereinfachung vorgelegt, die allerdings vom BR abgelehnt wurde.
Toepler (nicht signierter Beitrag von 82.210.243.243 (Diskussion) 11:18, 22. Mär. 2012 (CET))
- ich habe die aenderung wieder zurueckgesetzt, die fragliche quelle war nicht angegeben. --Mario d 14:09, 22. Mär. 2012 (CET)
nach ustg keine elektronische Signatur mehr zwingend notwendig
Laut ustg ist keine elektronische Signatur mehr zwingend notwendig!
http://www.gesetze-im-internet.de/ustg_1980/__14.html
--134.245.231.89 19:03, 8. Jun. 2012 (CEST)
Leider doch, nämlich gemäß § 14 Abs. 3 Nr. 1 UStG. In der Praxis, d.h. im Rahmen einer Steuerprüfung (Betriebsprüfung), wird dem Finanzamt aber wohl kaum der Unterscheid auffallen. Nämlich der Unterschied zwischen einer Rechnung, die der Sendung beilag, und einer Rechnung, die als PDF übersandt und vom Rechnungsempfänger ausgedruckt wurde. Letztere dürfte nämlich dieselbe Qualität haben. Nur bei Rechnungsausstellern, die zur Wirksamkeit der Rechnung diese auch noch unterschreiben müssen (Z. Bsp. Rechtsanwälte, Notare) würde man es bemerken. Diese werden aber sowieso ihre Rechnung in Papierform oder mit einer qualifizierten Signatur übersenden.
--Roland Kuckhoff (Diskussion) 20:44, 25. Sep. 2012 (CEST)
Elster benötigt QES
Wie im Artikel beschrieben soll Elster ab 1.1.2013 die Umsatzsteuervoranmeldungen ausschließlich mit einer qualifizierten Signatur erfolgen können. Leider konnte ich keinerlei Hinweis bei Elster oder einem Amt finden. Elster gibt aktuell nur fortgeschrittene Signaturen aus. Kann da jemand nachfragen?
Ab dem 1. Januar 2013 können beispielsweise Umsatzsteuervoranmeldungen ausschließlich mit einer qualifizierten Signatur an das zuständige Finanzamt übermittelt werden, über die die beauftragten Steuerberater aber nahezu ausnahmslos bereits verfügen, jedoch wohl noch nicht die meisten kleineren Unternehmer, die ihre Voranmeldungen selber erstellen und abgeben.
(nicht signierter Beitrag von 88.64.8.232 (Diskussion) 10:00, 29. Nov. 2012 (CET))
- Das ist definitiv falsch. Ich gebe meine UStVA seit Anfang des Jahres zwar signiert ab, aber mit einem von ELSTER selbst erstellten (kostenlosen!) Zertifikat. Es ist keine QES nötig. Man kann aber wohl optional eine Signaturkarte bzw. einen Signatur-USB-Stick verwenden. Benutzer:MaxWeller 79.217.27.231 22:52, 2. Nov. 2013 (CET)
Sorry, ist das keinem aufgefallen
Zitat aus dem Text: Eine qualifizierte elektronische Signatur (QES) ist nach dem deutschen Signaturgesetz eine fortgeschrittene elektronische Signatur
Ja was denn, ist es nun eine qualifizierte elektronische Signatur oder eine fortgeschrittene elektronische Signatur.
Qualifizierte oder fortgeschrittene elektronische Signaturen in dem Sinne existieren nicht. Es existieren ausschließlich qualifizierte, fortgeschrittene oder einfache Zertifikate, welche für eine Signatur verwendet werden.
Der Unterschied zwischen qualifizierte, fortgeschrittene oder einfache Zertifikate liegt in der Authentifizierung des Antragstellers beim Zertifikateaussteller und wie das Zertifikat selbst gesichert ist. Rein umgangssprachlich werden Signaturen, welche mit einem qualifizierten Zertifikat erstellt wurden, qualifizierte elektronische Signatur genannt. Das ist aber technisch falsch, da eine Signatur eine Signatur ist, egal mit welchem Zertifikat erstellt. Der technische Prozess ist bei allen Signaturen gleich.
Beispiel: Du lässt einen Schrank (Signatur) von einem Meister herstellen (qualifiziertes Zertifikat). Dann hast Du ein Schrank (Signatur) dass Du Meisterprodukt (qualifizierte Signatur) nennen kannst, aber es ist noch immer ein Schrank (Signatur).
Ein gleichartiger Schrank (Signatur), von einem Gesellen (fortgeschrittenes Zertifikate) hergestellt, ist ein Gesellen-Stück (fortgeschrittene Signatur), aber trotzdem ein gleichwertiger Schrank (Signatur). In der Nutzungs-Praxis, selbst in der Qualität kein Unterschied.
Für ein einfaches Zertifikat genügt, dass der Antragsteller eine eMail-Adresse, z.B. durch einen an die eMail-Adresse geschickten Link bestätigt.
Für qualifizierte und fortgeschrittene Zertifikate ist eine persönliche Authentifizierung des Antragstellers mittels Personalausweis (evtl. auch über das Post-Identverfahren) erforderlich.
Dann unterscheiden sich qualifizierte und fortgeschrittene Zertifikate in der Form, dass fortgeschrittene Zertifikate (insbesondere die privaten Schlüssel) als Datei vorliegen und auf jeden Computer gespeichert werden können.
Qualifizierte Zertifikate müssen auf einer Chip-Karte gespeichert werden. Es muß sichergestellt werden, dass diese Zertifikate (insbesondere die privaten Schlüssel) die Chip-Karte nicht verlassen können bzw. nicht heruntergeladen werden können und das Verschlüsselung und Signierung nur auf der Karte durchgeführt werden.
--93.198.104.222 13:27, 25. Apr. 2014 (CEST)
Nahendes Lebensende des Signaturgesetzes??
Folgende Artikel zeichnen ein düsteres Bild für die QES - wegen des europäischen eIDAS: Heise1 Heise 2 Das hört sich nicht gut an für die QES und sollte vielleicht in den Artikel? Signtrust bietet seit August keine Signaturdienste mehr an,siehe Signtrust-Homepage. Daher habe ich Sie aus der Liste im Artikel entfernt Christoph --77.181.86.43 20:46, 2. Dez. 2014 (CET)
Baustein "unvollständig"
Die als fehlend bemängelte CVCA hat mit QES nichts zu tun sondern gehört wie in dem referenzierten PDF nachlesbar zum Themenkomplex "eID".
Die Frage nach "kontaktlos" oder "kontaktbehaftet" ist von QES ebenfalls unabhängig und lediglich von der Implementierung der Signaturerstellungseinheit abhängig. Es gibt sowohl kontaktlose als auch kontaktabhängige...
Ich würde daher vorschlagen den entsprechenden Baustein zu entfernen. (nicht signierter Beitrag von 93.217.34.183 (Diskussion) 11:27, 14. Nov. 2017)
Ablöse SigG durch eIDAS
Siehe dazu auch Diskussion "Nahendes Lebensende des Signaturgesetzes??" von Christoph der es bereits 2014 angekündigt hat. Das SigG ist außer Kraft gesetzt. Griffig ist das ganze durch Bundesgesetzblatt 52/2017 - Teil eIDAS-Durchführungsgesetz vom 28.07.20017 geworden. Die genannte EU Verordnung auf die sich berufen wird ist die Nr. 910/2014. Gerade keine Zeit mir das ganze genau anzuschauen, aber wer Lust hat ... ;-) --AcKawa (Diskussion) 10:52, 8. Feb. 2019 (CET)
- QS Baustein übersehen, lasse veraltet Baustein dennoch drin, damit Leser direkt auf den veralteten Stand hingewiesen werden --AcKawa (Diskussion) 10:57, 8. Feb. 2019 (CET)
- Insbesondere ist wohl die Forderung einer SSEE heute überholt. Gerne darf es heute auch ein Anbieter einer Fernsignatur sein. --B-greift (Diskussion) 21:40, 18. Okt. 2020 (CEST)
Verbraucher
"Die Einsatzgebiete für qualifizierte Signaturen könnten sich zukünftig noch erweitern, wenngleich diese mehr im geschäftlichen und im dienstlichen/behördlichen Bereich bleiben werden. Das Erfordernis einer qualifizierten Signatur für Verbraucher ist derzeit nur in Einzelfällen gegeben. Die Zukunft wird zeigen, ob sich das Einsatzgebiet vergrößern wird. Vorstellbar ist z. B., dass zukünftig Onlineshops zunächst die Möglichkeit der qualifizierten Signatur einer im Internet getätigten Bestellung und/oder eines Kundenkontos anbieten. So ist in jedem Falle gewährleistet, dass der Kunde eine existente Person ist, wenngleich natürlich das Personenzertifikat noch nicht die Wohnanschrift bestätigt."
Bitte? Wer hat denn diesen Mist verfasst? Wir "Verbraucher" dürfen munter unsere Krankenkassenformulare und zahlreichen sonstigen unterschriftbedürftigen Formulare per Fax in der Gegend rumschicken oder ausdrucken, unterschreiben und wieder einscannen! "Die Zukunft wird zeigen, ob sich das Einsatzgebiet vergrößern wird." Gott. Selten so einen inhaltslosen Quark gelesen.
Fernsignatur
Weiterer Link zur Erhellung des Ganzen: https://www.bundesdruckerei.de/de/innovation-hub/die-fernsignatur-der-praxis-anwendungsszenarien --91.36.255.124 08:29, 22. Sep. 2022 (CEST)