Die Hürden einer Signaturkarte.

Ich bin verschlüsselungstechnisch nun nicht unbedingt gänzlich auf die Nase gefallen. Okay, ich gebe zu, dass ich nicht weiß, auf welche mathematische Weisen Verschlüsselungsalgorithmen arbeiten (allein dieser Umstand genügt genügend so genannten Experten dazu, einen als kompletten Vollidioten abzustempeln), allerdings bin ich mir dem Sinn und Unsinn von Verschlüsselung und Authentizität in der elektronischen Kommunikation bewusst und versuche das bekanntlicherweise auch ein Stück weit in netplanet zu vermitteln (übrigens auch ohne mathematische Tiefgänge, was ebenfalls wieder genügend so genannte Experten dazu verleitet, mir zu empfehlen, das Thema lieber erst gar nicht anzuschneiden, was nun wirklich der absolut falsche Weg ist).

Der Weg war also nicht weit zu einer Signaturkarte, mit der ich mich dann doch tatsächlich nach hiesigem Signaturengesetz im Internet eindeutig authentifizieren und mit Gegenstellen verschlüsselt kommunizieren kann. Das ist schon mal ganz nett für die ganzen Rechnungen, die ich als PDF-Datei per E-Mail versende und die ohne vernünftige Signatur rein rechtlich gesehen nicht zum Vorsteuerabzug berechtigen.

Entschieden habe ich mich für Signtrust der Deutschen Post AG, einfach, weil sie die günstigsten derzeit sind. Dass der Markt der Elektronischen Signatur jedoch offenkundig nicht sonderlich groß ist, habe ich sehr schnell an der Dokumentation gemerkt. Die ist zwar nicht wirklich schlecht, aber auch nicht wirklich gut, weil das doch alles recht komplex ist:

  1. Online den Auftrag ausfüllen. Das ist noch das einfachste an der ganzen Geschichte. Name, Anschrift, Geburtstag ist weitgehend schon alles. Beim Absenden muss bestätigt werden, eine so genannte Unterrichtungsbroschüre heruntergeladen und gelesen zu haben, die FAQ-mäßig weitgehend die Elektronische Signatur und das hybride Verschlüsselungsverfahren erklärt. Das Dokument ist nicht vollkommen daneben, allerdings didaktisch auch nicht sonderlich ausgefeilt. Ob Otto Normalverbraucher das versteht, wage ich schwer zu bezweifeln.
  2. Den generierten Auftrag ausdrucken, zur Post wackeln und ein Postident-Verfahren machen. Auch das geht noch, denn dazu halte ich der Postangestellten lediglich meinen Ausweis unter die Nase und unterschreibe das Ding, das sie am Schalter ausdruckt und als Identifikation meiner Person zusätzlich zum Antrag an Signtrust sendet.
  3. Warten. Drei Wochen. Ohne Auftragsbestätigung.
  4. Schließlich kommt die Signaturkarte. Mit dem Hinweis, dass aus dem Anschreiben der untere Teil ausgeschnitten werden und unterschrieben als Empfangsbestätigung an Signtrust zurückgesendet werden muss. Die beiden PIN stehen übrigens auf dem Anschreiben ebenfalls drauf, eine für das „qualifizierte Signaturzertifikat“ und eine für „Verschlüsselung und Authentisierung“. Beide müssen umgehend auf eigene Nummern geändert werden. Würde das nicht gehen, „liegt der Verdacht nahe, dass die Karte manipuliert wurde“. Ach! Wo bleibt eigentlich der Kartenleser und die Software?
  5. Vier Tage später bringt der Paketbote ein Paket von Signtrust, handgeklebt. Mit dem endlich bestellten Kartenleser und der Software Openlimit. Beides lässt sich installieren und sollte es auch, denn Signtrust macht Support für alles, nur für Kartenleser und Software nicht und die Hotline für letzteres kostet schlappe 1,99 Euro pro Minute.
  6. Als erstes will ich die PIN der Karte ändern. Geht aber mit der Software nicht, denn die meldet, dass die PIN ungültig seien. Super. Irgendeine Meldung, mit der man etwas anfangen könnte? Nein. Aus der Installation von der Openlimit-Software geht aber heraus, dass diese vor dem ersten Einsatz die Eingabe der Lizenznummer erfordert und diese Lizenznummer dann mit der eigenen Signaturkarte signiert werden muss. Mir dämmert es, dass das eventuell damit zusammenhängen könnte, dass meine Signaturkarte mit den noch nicht geänderten PIN das vielleicht nicht kann.
  7. Das bestätigt sich dann, nachdem ich auf Seite zwei des Begleitschreibens einen Hinweis im vierten Absatz herauslese, dass meine Beobachtung möglicherweise tatsächlich auftreten könnte und man in so einem Falle eine gesonderte Software zur PIN-Änderung einer neuen Signaturkarte von der Signtrust-Homepage herunterladen könne. Super Sache. Kann man da nicht einfach eine CD beilegen oder sowas einfach als normale Vorgehensweise in eine Anleitung packen?
  8. Diese PIN-Änderungssoftware ist in der Tat nur ein einfaches Programm und auch nicht sonderlich schwer zu bedienen, allerdings variieren hier die Bezeichnungen für die PIN: Die PIN für das „qualifizierte Signaturzertifikat“ ist wohl die „globale PIN“, weil ich annehmen kann, dass die PIN für „Verschlüsselung und Authentisierung“ die „Verschlüsselungs-PIN“ sein müsste. Dito.

Schade, dass der Benutzer offenkundig mit dem Produkt etwas allein gelassen wird. Man hätte sicherlich alles noch viel komplizierter machen können und hat sich durchaus an einigen Stellen viel Mühen gegeben, aber man kann das alles auch didaktisch einheitlich erläutern und eine wirkliche Hilfestellung für die Kundschaft erstellen. So muss sich keiner wundern, wieso die Elektronische Signatur nicht bis in die Niederungen der elektronisch kommunizierenden Gesellschaft ankommt und das ist sehr bedauerlich.

Fairerweise sei angemerkt, dass Signtrust nicht alleine dasteht. Mein Chef hat seine Signaturkarte von D-Trust und hat mit ähnlichen Erfahrungen gestartet. Wenn wir in unserer Firma nicht mit dem unnachahmlichen Gespür für etwas Herumspielen und Ausprobieren ausgestattet wären, wäre das alles ein wirklich teurer Spaß.

3 Gedanken zu „Die Hürden einer Signaturkarte.

  1. In erster Linie online authentifizieren. Das macht Sinn bei den ganzen Elster-Aktivitäten in Richtung Finanzamt und eben bei per E-Mail versendeten Rechnungen. Den Privatmenschen, der gelegentlich eine Rechnung stellt und nicht vorsteuerabzugsberechtigt ist, stört das nicht, aber eben die Empfänger meiner Rechnungen, in denen ich die Mehrwertsteuer ausweise.

    Kosten tut der Spaß einmalig 159 Euro (zuzügl. MwSt.) für das Set aus Karte, einem Jahr Freischaltung, Kartenleser und Software. Danach kostet es 39 Euro jährlich. Einsparen tue ich damit ein Kleinwenig Porto pro Jahr und fröne dem Effekt des „Early Adopters“ – macht Sinn, durchaus die Dinge auch mal auszuprobieren, über die ich schreibe. 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *