E-Commerce, M-Commerce

E-Commerce (electronic commerce) ist der Überbegriff für elektronisch durchgeführte Transaktionen, wie sie z. B. bei Online-Bestellungen, elektronisch ausgestellten Angeboten und Ausschreibungen gemacht werden.

M-Commerce (mobile commerce) meint Transaktionen per Smartphone, wie sie beispielsweise beim Buchen von Parkscheinen, beim Zigarettenkauf, beim Kauf von Handywertkarten, Zugkarten und beim Bezahlen am Snack-Automaten anfallen.

Alle diese Transaktionen können bequemer und sicherer mit einer elektronischen Signatur (Unterschrift) durchgeführt werden, manche Funktionen sind nur damit möglich. Im Bankbereich kommen meist Transaktionscodes (TANs) zur Erhöhung der Sicherheit zum Einsatz.

E- und M-Commerce

Beim Kauf von etwas kommt zwischen VerkäuferIn und KäuferIn ein Vertrag zustande. Der Vertrag beruht auf den übereinstimmenden Willen von VerkäuferIn und KäuferIn: Der Verkäufer/die Verkäuferin möchte etwas zu einem bestimmten Preis verkaufen (Angebot) und der Käufer/die Käuferin möchte es kaufen (Nachfrage).

Der Wille der Vertragsparteien muß nach aussen zum Ausdruck gebracht werden:

  • ausdrücklich: schriftlich oder mündlich
  • schlüssig: aus einer Handlung heraus (z. B. Einwurf einer Münze in den Automaten)

Beim Einkaufen im Geschäft ist die Situation meist eindeutig. Es ist klar,

  • welche Personen den Vertrag miteinander schließen
  • was der Inhalt des Vertrages ist.

Beim elektronischen Geschäftsverkehr zwischen Händlern und Kunden (E-Commerce) ist die Situation eine andere. Aber auch hier werden Bestellungen und Annahmeerklärungen ausgetauscht, aber auf elektronischem Wege. Die Identität der potentiellen Vertragspartner bleibt vorerst ungeklärt. Selbst aus welchem Land sie kommen, ist nicht geklärt, und damit, welches Recht gilt.

Verträge kommen grundsätzlich in Österreich auch mündlich zustande. In manchen Fällen ist aber ein schriftliche Vertrag mit eigenhändiger Unterschrift notwendig.

  • Ein Vertrag soll aus Beweisgründen schriftlich erstellt werden. Der Vertragsinhalt (wer, was, welche Rechte und Pflichten) wird so für die Zukunft festgeschrieben.
  • Ein Rechtsverkehr zwischen Abwesenden (z. B. schriftliche Bestellung) bedarf der Möglichkeit einer schriftlichen Niederlegung.
  • In manchen Fällen ist sogar eine besondere Form vorgeschrieben (eigenhändiges Testament: eigenhändig verfaßt und unterschrieben, Verpflichtungserklärung eines Bürgen etc.).

Die Unterschrift dient drei Zwecken:

  1. Feststellung der Identität des Unterschreibenden
  2. der Unterzeichner/die Unterzeichnerin bringt zum Ausdruck, dass sie sich mit dem Inhalt identifiziert und ihn akzeptiert
  3. der Unterzeichner/die Unterzeichnerin macht sich bewusst, dass durch die Unterschrift Rechtsfolgen entstehen (Warnfunktion)

Mit der technischen Entwicklung ist der Geschäfts- und Rechtsverkehr nicht mehr auf den mündlichen und schriftlichen Nachrichtenaustausch beschränkt. Daten können elektronisch (digital) übermittelt werden (Email, WWW). In diesen Fällen kann keine originale Unterschrift übermittelt werden. Ein weiteres Problem: Eine per Email übermittelt Rechnung gilt nicht als Beleg im Sinne des Umsatzsteuergesetzes.

Hier schafft die elektronische Signatur Abhilfe.




Sichere elektronische Signatur

Sinn und Zweck

Mit der elektronischen Signatur (früher auch: „digitale Signatur“) wird die Funktion der eigenhändigen Unterschrift in den elektronischen Bereich übertragen werden. Im Signaturgesetz (SigG) wird die elektronische Signatur folgendermaßen definiert:

„elektronische Daten, die anderen elektronischen Daten beigefügt werden oder mit diesen verknüpft werden und die der Authentifizierung, also der Feststellung der Identität des Signators, dienen“.

Dazu kommt aber auch noch der Zweck, die Integrität der Nachricht zu gewährleisten.

Eine wichtige Rolle spielt auch die Unbestreitbarkeit des Vorgangs: Es kann später überprüft werden, dass es eine Transaktion stattgefunden hat und wer daran als Sender oder Empfänger beteiligt war.

Die elektronische Signatur dient also (Funktionen)

  • der Feststellbarkeit der Identität des Absenders
    ► geschieht durch die asymmetrische Verschlüsselung
  • der Gewährleistung der Integrität der Nachricht und
    ► wird durch das Bilden und den Vergleich zweier Hashwerte gewährleistet
  • der Feststellbarkeit der Unbestreitbarkeit des Vorgangs
    ► durch die Stelle, die den privaten Schlüssel ausgestellt hat

Die Technik

Der elektronischen Signatur liegt die asymmetrische Verschlüsselung zu Grunde, die gegenüber der symmetrischen Vorteile hat. Bei der Verschlüsselung wird „Klartext“ (lesbarer Text) in „Geheimtext“ (unverständliche Zeichenfolgen) umgewandelt. Nur mit dem Schlüssel kann der Geheimtext wieder in Klartext rückgewandelt werden.

  • Symmetrische Verschlüsselung: Die Verschlüsselung und Entschlüsselung erfolgt mit demselben Schlüssel. Der Absender verschlüsselt die Nachricht mit seinem Schlüssel, gibt den Schlüssel an den/die Empfänger, der/die die Nachricht damit entschlüsseln. Es besteht die Gefahr, dass der Schlüssel weiteren Personen bekannt wird (die ihn auch verwenden könnten). Ausserdem kann die Identität des Absender nicht eindeutig festgestellt werden.
  • Asymmetrische Verschlüsselung generell (Prinzip):

    Asymmetrische Verschlüsselungsverfahren arbeiten mit Schlüsselpaaren, dem öffentliche Schlüssel (Public Key) und dem privaten Schlüssel (Private Key). Dieses Schlüsselpaar hängt über einen mathematischen Algorithmus eng zusammen. Daten, die mit dem öffentlichen Schlüssel verschlüsselt werden, können nur mit dem privaten Schlüssel entschlüsselt werden. Der private Schlüssel muss vom Besitzer des Schlüsselpaares geheim gehalten werden.

     

    Konkret: Will der Sender Daten verschlüsselt an den Empfänger senden, benötigt er den öffentlichen Schlüssel des Empfängers. Mit dem öffentlichen Schlüssel können die Daten verschlüsselt, aber nicht mehr entschlüsselt werden (Einwegfunktion). Nur noch der Besitzer des privaten Schlüssels, also der richtige Empfänger kann die Daten entschlüsseln.

  • Asymmetrische Verschlüsselung bei der elektronischen Signatur:

    Bei der Signatur wird das asymmetrtische Verfahren umgekehrt: Der Sender verschlüsselt mit seinem privaten Schlüssel. Der Empfänger entschlüsselt mit dem öffentlichen Schlüssel des Senders.

    Der private Schlüssel gehört nur dem Anwender und muss von diesem geheimgehalten werden. Die Weitergabe des privaten Schlüssels zu verhindern ist eine Grundvoraussetzung für das Funktionieren des Systems. Gesichert vor Zugriffen Unberechtigter wird dieser Private Key entweder mit einem Passwort, einem PIN-Code (wie bei der Bankomat-Karte) oder durch Verwendung von eigens dafür vorgesehenen SmartCards mit Lesegeräten bzw. mithilfe von Smartphones.

    Der öffentliche Schlüssel ist für alle anderen Teilnehmer gedacht, die mit dem Anwender kommunizieren wollen bzw. sollen. Dieser Public Key wird öffentlich – etwa über das Internet – verbreitet und steht jedermann frei zugänglich zur Verfügung. Da aus dem öffentlichen Schlüssel nicht auf den privaten Schlüssel geschlossen werden kann, kann der öffentliche Schlüssel risikolos offengelegt werden.
    Mit diesem Verfahren kann die Identität eines Senders/Unterzeichners einwandfrei festgestellt werden.

Das Verfahren

Signieren und Signatur überprüfen

PrivatanwenderInnen, die gelegentlich ein Dokument signieren oder ein signiertes Dokument überprüfen wollen, können dies auf ► https://www.buergerkarte.at/pdf-signatur-karte.html tun. Dafür muss das Dokument hochgeladen werden, signiert und wieder runtergeladen werden, was etwas umständlich ist.

Firmen und Behörden verwenden dafür ergänzende Software, z. B. zu MS Office, Emailclients, Adobe Acrobat usw., was weniger umständlich ist.

Austellen einer Signatur

Viele Stellen (Banken, Versicherungen, Gemeindeämter usw.) sind berechtigt, eine Signatur auszustellen. Dabei muss man sich ausweisen, weil es wichtig ist, die Identität festzustellen. Die Handy-Signatur, die für PrivatanwenderInnen am praktischsten ist, ist an die Telefonnummer gebunden.