Stand: online seit 02/01


Wiss. Mitarb. Dipl.-Kfm. Markus Zuber*, Frankfurt am Main

Zertifizierungsstellen


Inhalt

Abkürzungen

ID-Card Identification Card
IKT Informations- und Kommunikationstechnologie
PKI Public Key Infrastructure
RegTP Regulierungsbehörde für Telekommunikation und Post
SigG Signaturgesetz
SigV Signaturverordnung
SIM-Karte Subscriber Identity Modul Karte
TKG Telekommunikationsgesetz

1. Problemstellung

Durch die weitreichenden Entwicklungen in der Informations- und Kommunikationstechnologie (IKT) der letzten Jahre und der damit zusammenhängenden steigenden Nutzung des Internets für kommerzielle Zwecke werden immer mehr ökonomische Prozesse durch elektronische Märkte koordiniert.1 Diese Entwicklung resultiert aus den geringeren Transaktionskosten, die mit der Koordinationsform Markt verbunden sind. Durch den Einsatz moderner IKT können Such-, Informations- und Verhandlungskosten, die im Laufe einer Transaktion entstehen, gesenkt werden.

Allerdings können auch elektronische Märkte nicht als vollkommene Märkte im neo-klassischen Sinn bezeichnet werden.2 Trotz der Fülle an erhältlichen Informationen und der sinkenden Informationskosten bestehen immer noch Informationsasymmetrien. Bspw. kennen Käufer nicht die Qualität der für sie in Frage kommenden Angebote und Anbieter besitzen nur selten genügend Informationen über die Bonität potenzieller Käufer.


Da des Weiteren im Internet keine Sicherheitsmechanismen implementiert sind, kann prinzipiell jede Information, die über das Internet übertragen wird, mitgelesen, kopiert, vernichtet oder manipuliert werden.3 Manipulationen elektronischer Dokumente können grundsätzlich spurlos durchgeführt werden, weshalb sich Geschäftspartner weder der Integrität der übermittelten Informationen noch der Identität des Urhebers sicher sein können und elektronische Willenserklärungen anfechtbar sind.

Vielfach handelt es sich hierbei um subjektiv empfundene Unsicherheiten, die auch von den Medien gefördert werden, aber keinesfalls außer Acht gelassen werden dürfen, da sie sich negativ auf die Entwicklung des Electronic Commerce auswirken. Weil es an Vertrauen in die Sicherheit des Netzes, die Identität des Transaktionspartners und die Rechtsverbindlichkeit der abgeschlossenen Geschäfte mangelt, können die ökonomischen Potenziale des Internets noch nicht voll ausgeschöpft werden. Ziel muss es deshalb sein, diese Probleme zu lösen und weltweit Handel zwischen Unbekannten zu ermöglichen.

Eine Möglichkeit das nötige Vertrauen zu schaffen und die genannten Probleme zu lösen sind Zertifizierungsstellen. Ihre Ausgestaltung und die an sie gestellten gesetzlichen Anforderungen stehen im Mittelpunkt dieses Artikels.

2. Institutionelle Absicherung

Da im Internet i.d.R. weder vollständige noch vollkommene Informationen vorliegen, besteht Unsicherheit in Form von hidden information und hidden action. Charakteristisch für eine Situation mit hidden information ist, dass eine Transaktionspartei Informationen besitzt, die für einen Geschäftsabschluss bedeutsam sind, der Gegenpartei diese Informationen aber nicht bekannt sind. Situationen mit hidden action sind dagegen durch Handlungen gekennzeichnet, die eine der Vertragsparteien in Bezug auf die Transaktion durchführen kann, wobei die Handlungen für die Gegenpartei nicht vollständig beobachtbar sind.

Um diese Unsicherheiten zu kompensieren muss Vertrauen geschaffen werden. Geschehen kann dies durch eine institutionelle Absicherung der Transaktionen. Aus funktionsorientierter Sichtweise kann man das Ziel von Institutionen darin sehen, Vorkehrungen gegen negative Auswirkungen asymmetrisch verteilter Informationen auf wirtschaftliche Beziehungen zu treffen.4 Grundsätzlich stehen hierfür zwei Institutionen zur Verfügung. Es handelt sich dabei um die Institution des Vertrags und um die Institution der Zertifizierungsstelle.

2.1 Die Institution des Vertrags

Die Informationsökonomie betrachtet Verträge zur Schaffung von Anreizen als Lösungsmöglichkeiten der Probleme aus hidden information und hidden action. Im Falle eines Gebrauchtwagenmarkts kann bspw. eine vertragliche Anreizgestaltung das Problem aus hidden information lösen, indem der Verkäufer mit der besseren Information bzgl. der Qualität des Wagens eine Garantie in den Kaufvertrag aufnimmt, um so die Qualität seines Fahrzeuges zu signalisieren.5 Informationsasymmetrien werden beseitigt und somit auch das daraus resultierende Problem der hidden information.

Dadurch wird für den Verkäufer ein Anreiz geschaffen, die Qualität seines Fahrzeuges richtig anzugeben, weil er an den Vertrag und damit an die Garantieübernahme gebunden ist. Diese Lösungsmöglichkeit kann auf das Internet übertragen werden. Auch dort kann die Qualität eines Produktes durch eine vertragliche Garantieübernahme signalisiert werden.


Im Fall von hidden action wird ebenfalls durch vertragliche Leistungsanreize versucht opportunistisches Verhalten auszuschließen.6 Das gelingt, wenn die Vertragspartei, die eine hidden action begeht, die vollen Konsequenzen ihres Verhaltens tragen muss. Das Tragen der Konsequenzen wird sie von opportunistischem Verhalten abhalten wodurch es keine Rolle mehr spielt, dass eine perfekte Überwachung der entsprechenden Partei nicht möglich ist. übertragen auf das Internet könnte ein möglicher Anreiz, die vereinbarte Leistung zu erfüllen, die Androhung von gerichtlichen Schritten sein.

Damit Verträge die auf elektronischen Märkten auftretenden Probleme aus hidden information und hidden action durch Anreizgestaltung lösen können, ist es essenziell, dass rechtswirksame Willenserklärungen über das Internet ausgetauscht werden.7 Die größte Unsicherheit bei Verträgen, die im Internet geschlossen werden, besteht in der Frage, wem eine Willenserklärung nachweisbar zuzurechnen ist.8 Sie entsteht immer dann, wenn eine vertraglich geregelte Leistung eines Vertragspartners unter der Begründung, die elektronische Willenserklärung stamme nicht von ihm, ausbleibt.

Auf das Internet bezogen werden Willenserklärungen mit einem Mausklick oder einer Tastaturtaste abgegeben. Da eine als digitales Dokument vorliegende elektronische Willenserklärung aber nicht die gesetzliche Schriftform erfüllt, ergeben sich zwei Probleme.9 Erstens können Geschäfte, die eine Einhaltung der gesetzlichen Schriftform erfordern, nicht online abgeschlossen werden (z.B. Grundstückskäufe, Bürgschaften usw.). Zweitens ergibt sich vor Gericht daraus das Problem, dass eine Willenserklärung, die in Form eines elektronischen Dokuments vorliegt, der freien Beweiswürdigung des Richters unterliegt. In diesem Fall kann der Richter bei Bedenken hinsichtlich der Fälschungssicherheit des Dokuments dieses als Beweis ablehnen.

Um diese Unsicherheit zu umgehen, besteht die Möglichkeit sich den Abschluss von Verträgen in Papierform bestätigen zu lassen.10 Dies ist allerdings nur über einen Medienbruch möglich, was dazu führen kann, dass Transaktionskostenvorteile, die durch den Einsatz von IKT entstehen, zunichte gemacht werden. Eine Lösung der Probleme aus hidden information und hidden action durch Verträge ist demnach mit Problemen behaftet.

2.2 Die Institution der Zertifizierungsstelle

Die zweite Institution, die eine Lösung der Probleme aus hidden information und hidden action anbieten kann, ist eine Zertifizierungsstelle. Da es sich in beiden Situationen um versteckte Probleme handelt, also Unsicherheit besteht, muss für Vertrauen in die Gegenpartei gesorgt werden.

Während Sicherheit weitestgehend technisch realisiert werden kann, ist für die Schaffung von Vertrauen die Integration technischer und organisatorischer Maßnahmen nötig. 11 Der Einbezug einer neutralen dritten Instanz, einer Zertifizierungsstelle, wäre eine solche organisatorische Maßnahme. ,,A Trusted Third Party is an impartial organization delivering business confidence, through commercial and technical security features, to an electronic transaction. It supplies technically and legally reliable means of carrying out, facilitating, producing independent evidence about and/or arbitrating on an electronic transaction. Its services are provided and underwritten by technical, legal, financial and/or structural means``.12

3. Ausgestaltung von Zertifizierungsstellen

Zertifizierungsstellen bieten Beglaubigungsleistungen an, die im Internet für Sicherheit, auch im Sinne von Rechtsverbindlichkeit, und Vertrauen sorgen. Darunter sind allgemeine Bestätigungsleistungen auch in Anlehnung an Dienste eines Notars zu subsumieren.13

In Deutschland ist die Ausgestaltung von Zertifizierungsstellen gesetzlich geregelt, wobei es sich nicht bei allen am Markt befindlichen Stellen um gesetzeskonforme Zertifizierungsstellen handelt. Man findet die Regelungen im ,,Gesetz zur Digitalen Signatur`` (Signaturgesetz - SigG) und in der ,,Verordnung zur digitalen Signatur`` (Signaturverordnung - SigV). Das SigG sieht zur Erstellung einer digitalen Signatur eine PKI vor.14 Es können aber auch andere Verfahren zum Einsatz kommen, die allerdings ohne rechtliche Wirkung bleiben. Aus diesem Grund sollen hier nur Stellen betrachtet werden, die Bestandteil einer PKI sind und an deren Dienste rechtliche Wirkungen geknüpft sind.

3.1 Signaturgesetzeskonforme Zertifizierungsstellen

Bei signaturgesetzeskonformen Zertifizierungsstellen handelt es sich um Institutionen, die als staatlich anerkannte Stellen ihre Dienste anbieten, wobei nicht ausgeschlossen wird, dass weitere Dienste angeboten werden, die nicht im SigG geregelt sind.15

Zertifizierungsstelle nach dem SigG kann eine natürliche oder juristische Person sein, die eine Genehmigung zur Zertifizierung von öffentlichen Schlüsseln, also der Zuordnung eines solchen Schlüssels zu einer Person, besitzt.16 Zertifizierungsstellen werden häufig auch als Vertrauensinstanzen bezeichnet.17 Das Vertrauen in sie entsteht durch die Erfüllung der hohen technischen und personellen Zulassungsanforderungen, die an eine Zertifizierungsstelle nach dem SigG gestellt werden. Dieses Vertrauen ist die Basis für das gesamte System der digitalen Signatur. Auf die Anerkennung eines digital signierten Dokuments als Urkunde hat dies allerdings keine Auswirkung.

Trotz einer PKI mit signaturgesetzeskonformen Zertifizierungsstellen unterliegen auch digital signierte Dokumente im Zuge des Augenscheinbeweises der freien richterlichen Beweiswürdigung, d.h. einer fallweisen Beurteilung der Umstände durch den Richter.18 Die Beweiskraft eines elektronischen Dokumentes kann jedoch durch eine digitale Signatur erhöht werden. Dass Geschäfte, die nach der ,,gesetzlichen Schriftform`` verlangen, selbst unter Einbeziehung einer gesetzeskonformen Zertifizierungsstelle nicht mit digital signierten Verträgen abgeschlossen werden können, ist für den Handel auf elektronischen Märkten allerdings relativ unproblematisch, weil gerade in Geschäftsbereichen, in denen die Abwicklung immer mehr durch IKT unterstützt wird, die ,,gewillkürte Schriftform`` zum Einsatz kommt.19

Ziel des SigG ist bis heute nur die Schaffung von Rahmenbedingungen für die digitale Signatur.20 Unter den Regelungsbereich des SigG fallen bspw. das Genehmigungsverfahren für Zertifizierungsstellen, ihre Pflichtdienste und die geforderte Sicherungsinfrastruktur.


Die ersten genehmigten Zertifizierungsstellen in Deutschland sind das T-Tele Sec Trust Center der Deutschen Telekom21 und das Signtrust Trust Center der Deutschen Post22 .23

3.1.1 Sicherungsinfrastruktur und Genehmigung

Aufbau und Betrieb der Sicherungsinfrastruktur, d.h. mehrerer Zertifizierungsstellen, kann durch private Unternehmen unter staatlicher Kontrolle erfolgen. Ziel der Zulassung privater Zertifizierungsstellen ist eine schnelle Verfügbarkeit von Sicherheitsdienstleistungen und das Erzeugen von Wettbewerb in diesem Bereich.24

Nach dem SigG handelt es sich um eine bundeseinheitliche, aus zwei Stufen bestehende Sicherungsinfrastruktur mit der Regulierungsbehörde für Telekommunikation und Post (RegTP) als oberste Instanz (Wurzelinstanz), die Zertifikate für die genehmigten Zertifizierungsstellen ausgibt. Zuständig für die Zulassung einer Zertifizierungsstelle ist demnach die RegTP.25 Eine Genehmigung muss schriftlich bei ihr beantragt werden und der Antragsteller hat gewisse Voraussetzungen zu erfüllen, die im SigG geregelt sind.26 Er hat die erforderliche Zuverlässigkeit zu besitzen, d.h. die Gewähr zu bieten, die Rechtsvorschriften für den Betrieb einzuhalten. Des Weiteren muss der Antragsteller die erforderliche Fachkunde aufweisen, wovon ausgegangen wird, wenn die in der Zertifizierungsstelle angestellten Personen unter anderem die nötigen Fertigkeiten besitzen.

Darüber hinaus muss er alle weiteren Maßnahmen zur Erfüllung der Sicherheitsanforderungen des SigG und der SigV in einem Sicherheitskonzept darlegen. Zu diesen Maßnahmen gehören neben dem Einsatz von technischen Komponenten mit Sicherheitsvorkehrungen auch bauliche Vorkehrungen. Außer der Akkreditierung der Zertifizierungsstellen hat die RegTP auch die Aufgabe der regelmäßigen Kontrolle der Stellen und die Überprüfung der technischen Komponenten.

3.1.2 Pflichtdienste

Abbildung 1: Pflichtdienste einer signaturgesetzeskonformen Zertifizierungsstelle. Quelle: In Anlehnung an Fox, D./Horster, P./Kraaibeek, P. (1995), S. 3.
\framebox {\includegraphics*[width=12cm]{zertifizierung.eps}}

Die Pflichtdienste einer Zertifizierungsstelle lassen sich in drei Bereiche einteilen: Beglaubigungsleistungen, Schlüsselmanagement und Serverfunktionen (siehe Abbildung 1 ).27 Ihre gesetzliche Grundlage findet sich wie bereits erwähnt im SigG und in der SigV.28

3.1.2.1 Beglaubigungsleistungen

Die Beglaubigungsleistungen einer Zertifizierungsstelle umfassen die Identifikation des Antragstellers, die Zertifizierung des öffentlichen Schlüssels einer natürlichen Person, die Registrierung der zur Identifikation erhobenen Daten und die Erstellung eines Zeitstempels:

3.1.2.2 Schlüsselmanagement

Der Bereich des Schlüsselmanagements lässt sich in die Teilbereiche Schlüsselgenerierung, Schlüsselübergabe und Schlüsselsperrung unterteilen:

3.1.2.3 Serverfunktion

Eine Zertifizierungsstelle hat nach dem SigG und der SigV einen Verzeichnis- und Sperrdienst zu unterhalten:

3.1.3 Haftung

Haftungsansprüche gegenüber einer Zertifizierungsstelle können beim direkten Vertragspartner, d.h. bei einer von der Zertifizierungsstelle zertifizierten Person oder einer dritten Partei, die sich auf die Richtigkeit der ausgegebenen Zertifikate verlassen hat, entstehen. Spezielle Haftungsregelungen sind im Signaturgesetz nicht enthalten.35 Demnach gelten für nicht-gesetzeskonforme (siehe Kap. 3.2) und gesetzeskonforme Zertifizierungsstellen die gleichen Haftungsregelungen.

Haftungsansprüche werden nach dem allgemeinen deutschen Haftungsrecht geregelt. Im Vergleich zur Regelung von Haftungsansprüchen von Vertragspartnern existieren im allgemeinen Haftungsrecht allerdings Lücken in Bezug auf Haftungsansprüche von Dritten. Ein Teilnehmer am elektronischen Rechtsverkehr, der kein Vertragspartner der Zertifizierungsstelle ist und sich auf ihre fehlerfreie Leistungen wie z.B. Identifikation, Zertifizierung, Zeitstempel- und Verzeichnisdienste verlässt, geht bei Vermögensschäden, die aus Fehlern der Zertifizierungsstelle resultieren, leer aus. Von besonderem Interesse sind im Bereich Electronic Commerce aber gerade Vermögensschäden, die durch Verträge entstehen, die mit Hilfe von falschen Schlüsseln abgeschlossen wurden.36


Fahrlässiges Fehlverhalten einer Zertifizierungsstelle, das zu Vermögensschäden bei Dritten führt, zieht demnach keine Haftungsansprüche gegen die Zertifizierungsstelle nach sich. Dieser Umstand erhöht nicht gerade das Vertrauen in eine Zertifizierungsstelle, welches durch eine Kombination aus einem Höchstmaß an Sicherheit und einer umfassenden Haftungsübernahme im Schadensfall entstehen kann. Gerade durch spezifische Regelungen zur Haftung und Deckungsvorsorge könnte Vertrauen in die Sicherungsinfrastruktur gewonnen werden.

Eine vertrauensbildende Maßnahme wäre deshalb die freiwillige Bindung einer Zertifizierungsstelle gegenüber Dritten um für Fehler zu haften. Dies kann zu erhöhtem Vertrauen und erhöhter Akzeptanz der Zertifizierungsstelle führen.

Insgesamt kann die Haftung von Zertifizierungsstellen gegenüber ihren Vertragspartnern als ausreichend und gegenüber Dritten als nicht befriedigend bezeichnet werden. Aus diesem Grund wird im neuen Gesetzentwurf der Bundesregierung für Zertifizierungsstellen eine Haftpflichtversicherung in Höhe von 500.000 DM vorgesehen.

3.1.4 Länderübergreifende Gesetze

Viele Staaten haben bereits Gesetze zur Regelung der digitalen Signatur verabschiedet. Staatenübergreifende Gesetze konnten bis heute weder von der EU noch von den USA verabschiedet werden.37 Sowohl die EU wie auch die UN haben aber Initiativen zur Harmonisierung der nationalen Regelungen gestartet. Die Hauptunterschiede der einzelnen nationalen Gesetzgebungen liegen in den einsetzbaren Verschlüsselungstechniken, der Gleichstellung der digitalen Signatur mit der eigenhändigen Unterschrift, der Lizenzierung der Zertifizierungsstellen und der jeweiligen Haftung dieser Stellen.38

Die momentan bestehenden Unterschiede können den Einsatz der digitalen Signatur im Electronic Commerce hemmen. Wenn Länder unterschiedliche gesetzliche und technische Anforderungen an digitale Signaturen und Zertifizierungsstellen haben, ist der Einsatz von Signaturen in länderübergreifenden Transaktionen schwierig, weil die Bedingungen in beiden Ländern gemeinsam nur schwer zu erfüllen sind. Signaturen, für deren Überprüfung ein öffentlicher Schlüssel mit einem ausländischen Zertifikat benötigt wird, sind digitalen Signaturen nach dem SigG gleichgestellt, wenn sie eine gleichwertige Sicherheit aufweisen.39

Diese Regelung ist sinnvoll und erforderlich, um internationalen Handel über das Internet sicherer zu gestalten. Es stellt sich aber die Frage, wann gleichwertige Sicherheit gegeben ist, wenn man bedenkt, dass die Sicherheitsanforderungen in Deutschland besonders hoch sind.40

3.2 Nicht-signaturgesetzeskonforme Zertifizierungsstellen

Auf elektronischen Märkten können natürlich auch nicht-gesetzeskonforme Zertifizierungsstellen auftreten, da die staatliche Genehmigung als freiwillig anzusehen ist. Allerdings besteht für Stellen, die Verfahren zur Erstellung einer SigG-konformen Signatur anbieten wollen, eine Genehmigungspflicht.41

Das Hauptproblem in Verbindung mit der Genehmigung dürften die hohen Investitionen zur Erfüllung der Sicherheitsanforderungen sein.42 Nicht-gesetzeskonforme Zertifizierungsstellen bieten zwar weitestgehend die gleichen Dienste wie eine gesetzeskonforme Zertifizierungsstelle an, erfüllen i.d.R. aber nur geringere Sicherheitsanforderungen. Das kann eine ausschlaggebende Rolle im Zuge des richterlichen Augenscheinbeweises spielen, da der Beweiswert eines signierten elektronischen Dokumentes von der Sicherheit der Sicherungsinfrastruktur und der eingesetzten Verfahren und Komponenten abhängt.43 Ist die Sicherheit gering, so ist auch der Beweiswert gering.

Für die Zukunft bleibt aber die Umsetzung der ,,Richtlinie der Europäischen Union über gemeinsame Rahmenbedingungen für elektronische Signaturen`` abzuwarten. Sie sieht für Mitgliedsstaaten die Lizenzierung nur noch auf freiwilliger Basis vor und erkennt digitale Signaturen, die auf einem Signaturschlüsselzertifikat beruhen, welches besondere Anforderungen erfüllt, in gleicher Weise an wie eigenhändige Unterschriften.44

Die Richtlinie ist am 19. Januar 2000 durch die Veröffentlichung im Amtsblatt der EU in Kraft getreten. Die Mitgliedsstaaten haben eineinhalb Jahre Zeit, um die Richtlinie in ihrer Gesetzgebung umzusetzen. Inwieweit dann noch ein Unterschied zu signaturgesetzeskonformen Zertifizierungsstellen besteht bleibt abzuwarten.

Ein Beispiel für eine nicht-signaturgesetzeskonforme Zertifizierungsstelle ist das TC TrustCenter45 , das aber eine Genehmigung durch die Regulierungsbehörde anstrebt. Durch die Richtlinie der Europäischen Union ist eine solche Akkreditierung in erster Linie noch als eine vertrauenswirksame Maßnahme zu sehen, da so die Erfüllung hoher Sicherheitsanforderungen glaubwürdig kommuniziert werden kann.

4. Ausblick

Ob die Identifikation von Privatpersonen in Zukunft weiter von kommerziellen Zertifizierungsstellen vorgenommen wird, ist fraglich. Der Staat und seine Behörden scheinen dafür geeigneter zu sein, da sie diese Aufgabe schon seit langem durch die Ausgaben von Personalausweisen usw. wahrnehmen. Aus diesem Grund sollten sich private Zertifizierungsstellen auf Dienste ausrichten, die nicht auf die Identifikation von Privatpersonen zielen.46

Die Tendenz, dass der Staat die Identifizierung und Schlüsselvergabe an Privatpersonen übernimmt, kann in Finnland verfolgt werden. Dort können seit kurzem Bürger in Polizeidienststellen eine digitale ID-Card anfordern.47 Mit dieser Karte ist eine sichere Identifikation in und außerhalb des Internets möglich. Darüber hinaus arbeiten finnische Einwohnermeldebehörden bereits an einer Identifizierung über mobile Netze. Die notwendigen Schlüssel für die digitale Signatur werden in SIM-Karten von Handys integriert.

Für private Zertifizierungsstellen werden allerdings genügend Bereiche bleiben, in denen sie tätig sein können. Bspw. wird weiterhin eine Zertifizierung von Personengruppen benötigt und es werden sich neue Bedürfnisse am Markt bilden, die Dienste einer privaten Zertifizierungsstelle voraussetzen, weil nur sie sich flexibel an diese Bedürfnisse anpassen können.

Auch in Verbindung mit der Entwicklung von biometrischen Verfahren zur Identifizierung sind weiterhin Zertifizierungsstellen gefragt. Bei diesen Verfahren werden physiologische Merkmale oder Verhaltensmerkmale von Personen zur Identifikation verwendet.48 Um diese biometrischen Eigenschaften sinnvoll nutzen zu können, braucht man Zertifizierungsdienste, die eine Zugehörigkeit von Merkmalen zu einer Person bestätigen. Außerdem müssen die Merkmalsausprägungen gespeichert werden, z.B. auf einer Smart Card, um einen Vergleich zu ermöglichen, denn ein Fingerabdruck kann nur erkannt werden, wenn er bekannt ist.49 Dies ist allerdings wieder ein Bereich, in dem es um die Zertifizierung von Privatpersonen geht und demnach wohl hauptsächlich der Staat tätig sein wird.

Im Bereich der Zertifizierungsstellen muss allerdings auch abgewartet werden, welche Auswirkungen die EU Richtlinie mit sich bringt und wie sich die bestehende Key Recovery Debatte fortsetzen wird. Bei dieser Debatte geht es um Zugriffsmöglichkeiten des Staates auf verschlüsselte Informationen. Zu diesem Zweck sollen private Schlüssel bei Zertifizierungsstellen hinterlegt werden.50 Das würde noch mehr Vertrauen in die Zertifizierungsstellen voraussetzen, das nur durch noch höhere Sicherheitsanforderungen und eine spezielle Haftungsübernahme geschaffen werden könnte.

5. Literaturverzeichnis



Fußnoten
*
Wissenschaftlicher Mitarbeiter am Lehrstuhl für Marketing I
Johann Wolfgang Goethe-Universität
Mertonstr. 17
60054 Frankfurt am Main
Tel.: 069/798-28504
email: mailto:m.zuber@marketing.uni-frankfurt.de
URL: http://www.wiwi.uni-frankfurt.de/Professoren/kaas/ , Frankfurt am Main
1
Vgl. Malone, T. W./Yates, J./Benjamin, R. I. (1987), S. 489.
2
Vgl. Schmid, B./Lindemann, M. (1997), S. 1-2.
3
Vgl. Becker, L. (1999), S. 35 und Preißl, B./Haas, H. (1998), S. 37.
4
Vgl. Schmidt, R. H./Terberger, E. (1996), S. 390.
5
Vgl. Kreps, D. M. (1994), S. 566.
6
Vgl. Kreps, D. M. (1994), S. 523.
7
Vgl. Geis, I. (o.J.).
8
Vgl. Strömer, T. H./Roßenhövel, U. (1999), S. 190 und 192.
9
Vgl. Geis, I. (o.J.).
10
Vgl. Strömer, T. H./Roßenhövel, U. (1999), S. 193.
11
Vgl. Merz, M. (1999), S. 119.
12
Castell, S. (1993), S. 3.
13
Vgl. Schmid, B./Lindemann, M. (1997), S. 33.
14
Vgl. SigG (1997), § 2 I i. V. m. § 1 II.
15
Vgl. Allenstein, P. (1999), S. 39.
16
Vgl. SigG (1997), § 2 II.
17
Vgl. Büllesbach, A./Pooth, S./Stauder, J. (1999), S. 199.
18
Vgl. Geis, I. (o.J.).
19
Vgl. Erber-Faller, S. (1995), S. 118.
20
Vgl. SigG (1997), § 1.
21
http://www.telesec.de/
22
http://www.signtrust.deutschepost.de/
23
Vgl. Regulierungsbehörde für Telekommunikation und Post (2000).
24
Vgl. Rossnagel, A. (1997).
25
Vgl. SigG (1997), § 3 und TKG (1996), § 66.
26
Vgl. SigG (1997), §§ 4, 14 und SigV (1997), §§ 1, 10, 11, 12, 15, 16, 17.
27
Vgl. Fox, D./Horster, P./Kraaibeek, P. (1995), S. 2.
28
Vgl. SigG (1997), §§ 5, 6, 8, 9, 10, 12 und SigV (1997), §§ 3, 4, 5, 6, 8, 9, 13.
29
Vgl. Fox, D./Horster, P./Kraaibeek, P. (1995), S. 6.
30
Vgl. Allenstein, P. (1999), S. 32 und Rossnagel, A. (1997).
31
Vgl. Rossnagel, A. (1997).
32
Vgl. Begründung zur SigV (1997), zu § 13.
33
Vgl. Fox, D./Horster, P./Kraaibeek, P. (1995), S. 3.
34
Vgl. Fox, D./Horster, P./Kraaibeek, P. (1995), S. 5.
35
Vgl. Rossnagel, A. (1997).
36
Vgl. Büllesbach, A./Pooth, S./Stauder, J. (1999), S. 223, 230-231 und 236.
37
Vgl. van der Hof, S. (2000).
38
Vgl. Steptoe & Johnson LLP (o.J.).
39
Vgl. SigG (1997), § 15.
40
Vgl. Allenstein, P. (1999), S. 53.
41
Vgl. Allenstein, P. (1999), S. 34.
42
Vgl. Becker, L. (1999), S. 47-48.
43
Vgl. Rossnagel, A. (1997).
44
Vgl. European Union (2000), Art. 3, 5, 13 und 14.
45
http://www.tc-trustcenter.de/
46
Vgl. Choi, S.- Y./Stahl, D. O./Whinston, A. B. (1997), S. 396.
47
Vgl. Luckhardt, N. (2000), S. 44.
48
Vgl. Jain, A./Hong, L./Pankanti, S. (2000), S. 92.
49
Vgl. Schneier, B. (1999) und Steptoe & Johnson LLP (o.J.).
50
Vgl. Abelson, H. u. a. (1998).