Skip to main content

We have a tailored site for international audiences

Blog
Beatrice von der Brüggen

Regional Marketing Manager

Eine papierlose Zukunft dank digitaler Unterschrift

Aber das ist noch nicht alles, mittlerweile ist sie auch noch sicherer denn je. Hier finden Sie alles, was Sie über digitale Signaturen wissen müssen.

# 1. Was ist eine digitale Signatur?

Eine digitale Signatur ist eine spezielle technische Umsetzung einer elektronischen Signatur (eSignature). Anstelle von Stift und Papier verwendet eine digitale Signatur mathematische Algorithmen und Verschlüsselungstechniken, um die Authentizität eines Dokuments, einer Datei oder Software zu signieren und zu validieren. Es handelt sich um eine innovative und sichere elektronische Lösung, die gewährleistet, dass die Identität des Unterzeichners und der Inhalt eines Dokuments gültig ist.

Eine digitale Signatur enthält Informationen darüber, wer ein Dokument unterzeichnet hat und wie das Dokument zum Zeitpunkt der Unterzeichnung aussah. Als Ergebnis stellt die digitale Signatur sicher:

  • Herkunft - Wer hat die Signatur hinzugefügt
  • Zeitpunkt - Der Zeitpunkt der Unterzeichnung des Dokuments
  • Integrität - Das Dokument wurde nicht geändert. Dazu gehören auch die Herkunft und der Zeitpunkt.
  • Anerkennung - Der Absender kann nicht leugnen, es digital unterschrieben zu haben.

In gewisser Weise funktioniert eine digitale Signatur wie ein Siegel auf einem Briefumschlag. Stellen Sie sich vor, Sie möchten ein Dokument, das physisch unterzeichnet wurde, von einem Land in ein anderes versenden. Dazu müssten Sie das Dokument auf dem Postweg oder per Kurier verschicken, was natürlich zeitaufwändig und mit viel Papierkram verbunden ist. Beinhaltet das Dokument eine digitale Signatur, kann es sofort und in Sekundenschnelle elektronisch versandt werden. Das spart Zeit und Geld!

# 2. Warum eine digitale Signatur verwenden?

Es gibt eine Vielzahl von Gründen für die Verwendung einer digitalen Signatur. Zunächst einmal hat eine digitale Signatur den Vorteil, dass sie weniger zeitaufwändig ist und damit den Unterzeichnungsprozess beschleunigt. Dadurch erhöhen sich die Konvertierungsraten insbesondere bei einem hohen Aufkommen. Für den Unterzeichner ist es nicht nur einfacher digital zu unterschreiben, er kann auch zusätzlich sowohl Papier- als auch Verwaltungskosten sparen.

Ein weiterer Vorteil für Unternehmen ist die Gewinnung von Kunden über eine größere geografische Reichweite, unterstützt durch ein sicheres Verfahren!

In einer Zeit, in der Datenmanipulation und -fälschung immer häufiger vorkommen, ist es unerlässlich, alle online gesendeten Daten zu schützen. Eine digitale Signatur eignet sich dazu, die Authentizität eines elektronischen Dokuments, einer Datei oder einer Nachricht in der digitalen Kommunikation zu bestätigen.

Aus diesem Grunde ist es sinnvoll eine digitale Signatur zu nutzen, wenn Sie sich Sicherheit über die Identität eines Unterzeichners und die Integrität eines Dokuments wünschen. In viele Branchen werden daher digitale Signaturtechnologien zur Rationalisierung von Prozessen verwendet. Digitale Signaturen werden z. B. im Gesundheitswesen eingesetzt, um die Effizienz von Behandlungs- und Verwaltungsprozessen zu verbessern. Sie werden von Regierungen auf der ganzen Welt für viele Zwecke eingesetzt, z. B. für die Bearbeitung von Steuererklärungen, die Verwaltung von Verträgen für Sicherheitspersonal aber auch für verschiedene andere Dokumente zwischen Regierungsbehörden und der Öffentlichkeit. Im Finanzsektor verwenden Banken digitale Unterschriften für Verträge, papierloses Bankwesen, Hypotheken, Kreditverarbeitung und vieles mehr. Digitale Signaturen werden auch häufig im E-Commerce, beim Softwarevertrieb, der Fertigung und in vielen anderen Situationen verwendet, die auf Fälschungs- oder Manipulationserkennungstechniken beruhen.

# 3. Ist eine digitale Signatur dasselbe wie eine elektronische Signatur?

Digitale Signaturen und elektronische Signaturen sind Begriffe, die oft austauschbar verwendet werden können. Aber es gibt auch einige Verwirrung bei der richtigen Nutzung. Dabei gibt es einen wichtigen Unterschied zwischen den beiden Begriffen.

Eine digitale Signatur ist eine spezifische technische Umsetzung einer elektronischen Signatur (eSignature) oder eines elektronischen Siegels (eSeal). Eine elektronische Signatur ist vergleichbar mit einer handschriftlichen Unterschrift, da sie von einem Menschen ausgeführt wird und ist, wie ihr Papieräquivalent, ein Rechtsbegriff. Bei einem eSeal hingegen unterschreiben juristische Organisationen, zum Beispiel von einer Universität die Diplome ausstellt. Beide beweisen Herkunft, Integrität, Zeitpunkt und Anerkennung. Sie ermöglichen juristischen Personen, die Authentizität von elektronischen Dokumenten und Daten zu schützen. Beide sind Bestandteil von eIDAS (Electronic Identification, Authentication and Trust Services), der EU-Verordnung (910/2014) über elektronische Identifikations- und Vertrauensdienste für elektronische Transaktionen im europäischen Binnenmarkt.

Eine digitale Signatur hingegen ist mehr als nur eine elektronische Unterschrift auf einem Bildschirm. Sie ist eine praktische Umsetzung und basiert auf Ver-/Entschlüsselungstechnologien, auf der elektronische Lösungen aufgebaut sind. Die Verschlüsselung der digitalen Signatur gewährleistet, dass die Daten, die mit dem signierten Dokument verbunden sind, sicher sind. Ferner prüft sie die Identität des Urhebers und die Integrität des Dokuments.

Elektronische Signaturen enthalten wenige oder keinen Beweis für die Identität des Unterzeichners. Auf der Suche nach einer geeigneten Signaturlösung ist es daher wichtig sicherzustellen, dass diese auf digitalen Signaturen basiert und darüber hinaus die Identität des Unterzeichners verifiziert werden kann.

Die Identität des Unterzeichners steht bei digitalen Signaturen im Mittelunkt. Signicat Sign verfügt über verschiedene Methoden zur Identifizierung des Unterzeichners, wie z. B. die elektronische Identität (eID) und die digitale Verifizierung von Papier-IDs, kombiniert mit anderen Technologien einschließlich der Gesichtserkennung. Eine eID (verifizierte elektronische Identität) ist mittlerweile eine bequemere und sicherere Form der Identifizierung als herkömmliche ID-Alternativen, wie z. B. der Nachweis der Adressdokumentation. In Ländern, in denen eIDs (z. B. BankID, NemID, iDIN) bereits weit verbreitet sind, ist es für den Benutzer ein einfaches und vertrautes Verfahren, welches er immer wieder verwenden kann. Für den Fall, dass keine eID verfügbar ist, muss der Benutzer seine Identität auf anderen Wegen überprüfen lassen, z. B. durch das Hochladen eines Ausweispapiers. Mit dem elektronischen Signieren eröffnen sich eine ganze Reihe von neuen Vorgehensweisen. Während Sie jetzt Dokumente einfach elektronisch unterschreiben können, war es bisher nur durch ein persönliches Treffen und mittels der Vorlage Ihres Reisepasses oder eines anderen Ausweises möglich.

Sobald sich der Benutzer durch das Hochladen eines Ausweispapiers identifiziert, wird eine digitale Signatur von einem vertrauenswürdigen Dritten autorisiert und von einer Zertifizierungsbehörde (CA) geregelt. Diese ist für die Bereitstellung zertifikatsbasierter digitaler IDs zuständig und vergleicht Informationen mit vertrauenswürdigen Authentifizierungsdokumenten wie Pässen oder Lizenzen. Eine vertrauenswürdige Instanz ist erforderlich, um sicherzustellen, dass die Verarbeitung den Vorschriften entspricht. Darüber hinaus ist es wichtig, dass Ihre elektronischen Signaturen von einem Anbieter von Vertrauensdiensten zur Verfügung gestellt werden. Damit ist gewährleistet, dass sie rechtsverbindlich sind und es wird vermieden, dass Sie und Ihre Organisation im Falle einer Einhaltung der Vorschriften oder eines Rechtsstreits einem Risiko ausgesetzt sind.

Signicat verfügt über den Status eines Qualified Trust Service Providers (QTSP).

# 4. Ist eine elektronische Signatur rechtsverbindlich?

Eine digitale Signatur ist rechtsverbindlich, dies kann jedoch von der Rechtsprechung abhängen. Solange bestimmte Anforderungen an die Art der Signatur (z. B. können einige Vorschriften eine QES Signatur verlangen) und die Gesetzgebung erfüllt sind, haben digitale Signaturen die gleiche rechtliche Wirkung und das gleiche Gewicht wie ihre schriftlichen Äquivalente mit Tinte und Papier. Die meisten Länder haben Gesetze nach dem Vorbild der Vereinigten Staaten erlassen, währenddessen die europäischen Länder der eIDAS-Verordnung folgen. Viele Unternehmen richten sich im Bezug auf digitale Signaturtechnologien nach den festgelegten Vorschriften ihrer jeweiligen Branche, z. B. die Biowissenschaften und der Finanzsektor.

# 5. Wie genau funktioniert der Prozess der digitalen Signatur?

Digitale Signaturen verwenden mathematische Algorithmen, um Dokumente zu unterzeichnen und deren Authentizität zu überprüfen. Um etwas technischer zu werden: Anbieter digitaler Signaturen nutzen das Standartformat PKI (Public Key Infrastructure). PKI bildet die Basis für die Verschlüsselung und Cybersicherheit, wodurch die Kommunikation zwischen dem Server und Ihrem Client schützt wird.

Normalerweise stellt die PKI den Benutzern zwei Schlüssel zur Verfügung, einen öffentlichen und einen privaten. Wenn eine Person ein Dokument digital signiert, wird die Signatur unter Verwendung des privaten Schlüssels des Unterzeichners erstellt, um signaturbezogene Daten zu verschlüsseln. Die einzige Möglichkeit, diese Daten zu entschlüsseln, ist mit dem öffentlichen Schlüssel des Unterzeichners. Auf diese Weise werden digitale Signaturen authentifiziert.

Allerdings vergessen oder verlieren Menschen Sachen - einschließlich Passwörter - daher besteht Bedarf an einem Wiederherstellungsmechanismus. Aus diesem Grund sind eIDs so einzigartig; die Benutzer müssen sich keine Schlüsselpaare merken. Signicat verwendet authentifizierte Signaturen, bei denen sich der Benutzer mittels verschiedenster Verfahren authentifizieren kann. Es wird dann ein Siegel hinzugefügt, bei dem der private Schlüssel von Signicat verwendet wird.

Die eIDs in den nordischen Ländern (z. B. BankID) verwenden elektronische Schlüsselpaare, aber dies ist für den Benutzer nicht sichtbar. Im Falle eines vergessenen Passworts und eines verlorenen Geräts kann der Benutzer sich jederzeit an den Aussteller der eID wenden. Fast jeder Nachweis zur Identifizierung wer Sie sind, kann zum Unterschreiben verwendet werden. Zum Beispiel bei der Durchführung einer BankID-Authentifizierung durch das Hochladen eines Ausweispapiers oder sogar die Bereitstellung eines einmaligen Codes per SMS (als Nachweis für den Zugang zu Ihrem Telefon, in einem Szenario mit geringem Risiko).

Um eine digitale Signatur zu erzeugen, erstellt die Signatursoftware einen Einweg-Hash der zu signierenden elektronischen Daten. Eine Einweg-Hash-Funktion verwandelt Eingangsnachrichten unterschiedlicher Länge in einen in der Regel kürzeren Wert fester Länge um. Der private Schlüssel wird dann zur Verschlüsselung des Hashs verwendet. Der verschlüsselte Hash ist die digitale Signatur.

Der Wert eines Hashs ist für die darin enthaltenen Daten eindeutig. Wird irgendein Teil der gehashten Daten geändert, auch nur ein einziges Zeichen, führt dies zu einem anderen Wert. Dieses Attribut ermöglicht es, die Integrität der Daten zu validieren. Dies passiert indem der öffentliche Schlüssel des Unterzeichners zum Entschlüsseln des Hashs verwendet wird.

Wenn der entschlüsselte Hash mit einem zweiten berechneten Hash derselben Daten übereinstimmt, beweist dies, dass sich die Daten seit ihrer Signierung nicht geändert haben. Wenn die beiden Hashs nicht übereinstimmen, wurden die Daten entweder in irgendeiner Weise manipuliert oder die Signatur wurde mit einem privaten Schlüssel erstellt, der nicht mit dem vom Unterzeichner vorgelegten öffentlichen Schlüssel übereinstimmt. Ändert sich das Dokument nach dem Signieren, wird die digitale Signatur ungültig.

Ein konkretes Beispiel für die obige Erläuterung macht den Ablauf sicher klarer. Nehmen wir einmal an, dass Kevin einen Finanzvertrag online mit seinem privaten Schlüssel unterzeichnet und die Bank das Dokument anschließend erhält. Die Bank erhält auch eine Kopie des öffentlichen Schlüssels von Kevin. Wenn der öffentliche Schlüssel die Unterschrift von Kevin nicht entschlüsseln kann (über die Chiffre, aus der die Schlüssel erstellt wurden), bedeutet das, dass entweder die Unterschrift nicht wirklich von Kevin stammt oder, dass die Unterschrift seit der Unterzeichnung geändert wurde. Die Signatur wird dann als ungültig betrachtet.

Anbieter von Lösungen für digitale Signaturen wie Signicat Sign erfüllen die PKI-Anforderungen für sicheres digitales Signieren. Diese Anforderungen besagen, dass Schlüssel auf sichere Weise erstellt, durchgeführt und gespeichert werden müssen und benennen darüber hinaus die Dienste einer zuverlässigen Zertifizierungsstelle (Certificate Authority, CA).

# 6. Wie startet ein Unternehmen die Verwendung elektronischer Signaturen?

Wenn es um digitale Signaturen geht, gibt es eine Vielzahl von Optionen, aus denen Sie wählen können. Es hängt immer davon ab welche Aspekte der digitalen Signatur Sie benötigen. Es gibt kostenlose Basis-Anwendungen, Abonnementdienste mit Premium-Funktionen und Cloud-basierte Lösungen für das Signieren auch von unterwegs. Doch leider haben die meisten dieser Lösungen eine schlechte Benutzerauthentifizierung und dadurch ist das Vertrauen in die Identität des Unterzeichners in vielen Fällen sehr gering.

Eine Geschäftsbeziehung mit einem Anbieter von Signaturen starten Sie mit einer Signaturanforderung. Ihr Unternehmen erhält ein Zertifikat, dass die Identität Ihrer Organisation belegt. Um eine digitale Unterschrift auf einem Dokument zu erstellen, muss zuerst eine Signaturanforderung erstellt werden. Eine Signaturanforderung bedeutet, dass Sie ein Dokument vorbereiten, es an jemanden zum Unterschreiben senden und es digital zurückerhalten. Sie erhalten Statusaktualisierungen zu der Anforderung und erhalten eine erneute Aktualisierung, wenn die Unterschrift abgeschlossen ist. Im Anschluss können Sie das signierte Dokument herunterladen.

Wenn ein Benutzer ein Dokument unter Verwendung einer eID digital signiert, wird der Nachweis, dass der Endbenutzer sich mit der angegebenen eID authentifiziert hat, im Dokument gespeichert. Dieser Beweis wird dann mit Hilfe des privaten Signicat-Schlüssels versiegelt und mit dem Zeitpunkt der Signierung des Dokuments versehen (so genannter Zeitstempel - siehe unten). Wenn das Dokument nach dem Signieren verändert wird (z. B. als Betrugsversuch), wird die digitale Signatur ungültig gemacht und der Status wird auch beim Betrachten des Dokuments angezeigt.

# 7. Gewährleistet eine digitale Signatur die langfristige Verfügbarkeit von Validierungsdaten?

Um ein signiertes Dokument zu validieren, benötigen Sie von den Zertifizierungsstellen (CA) die Information, dass alle verwendeten Zertifikate gültig sind. Eine CA führt eine Sperrliste von Zertifikaten, die aus irgendeinem Grund nicht mehr gültig sind und diese Liste wird (für alle beteiligten CAs) bei der Validierung einer Signatur gegengeprüft.

Während dies in der Regel für den kurzfristigen Gebrauch ausreicht, wird es umso schwieriger, je mehr Zeit zwischen dem Zeitpunkt der Unterzeichnung und dem Zeitpunkt der Validierung vergeht. Das Problem liegt in der Zeitverschiebung und dem damit verbundenen Zugang zu zuverlässigen Zertifizierungsdaten. Um diese Herausforderung zu lösen, sammelt Signicat Sign alle Validierungsdaten und bettet diese in die digitale Signatur ein.

Eine weitere Herausforderung ist der Fortschritt in der Kryptologie und Technologie, die es möglich machen, Algorithmen zu brechen und Daten zu fälschen. Alle signierten oder verschlüsselten Daten werden irgendwann in der Zukunft gebrochen werden. Daher sollte ein signiertes Dokument in regelmäßigen Abständen (normalerweise alle zwei bis fünf Jahre) neu versiegelt werden, um die Langlebigkeit der Signatur zu gewährleisten. Dies wird als „Preservation“ (Bewahrung) bezeichnet, die auch von eIDAS abgedeckt wird. Signicat Sign integriert den Validierungsnachweis in die digitale Signatur und gewährleistet dadurch, dass Validierungsdaten verfügbar und den Bestimmungen entsprechend sind, solange das Dokument periodisch aufbewahrt wird. Dieser Vorgang ist unabhängig davon, wie viel Zeit zwischen dem Signieren und dem Zeitpunkt der Validierung verstreicht.

# 8. Was ist ein Zeitstempel und warum wird er für eine digitale Signatur benötigt?

Der Zeitstempel ist ein weiterer wesentlicher Faktor bei der Langzeit-Validierung. Um sicherzustellen, dass die digitale Signatur gültig ist, muss ihr Zertifikat zum Zeitpunkt ihrer Erstellung validiert werden. Obwohl dies im ersten Moment schwierig erscheint, wäre es für Angreifer trotzdem möglich, einen privaten Schlüssel zu stehlen, eine Signatur zu fälschen um sie auf einen Zeitpunkt vor dem Diebstahl zurückdatieren, so dass man glauben könnte, die Signatur ist legitim.

Die aktuelle Uhrzeit in Erfahrung zu bringen ist sehr einfach. Schwerer ist es einer Zeitangabe zu glauben, die ein in der Vergangenheit liegenden Ereignisses betrifft. Signicat ist eine QTSA (Quality Time Stamping Authority), die Zeitstempel ausstellt, denen man vertrauen kann. TSA-produzierte Zeitstempel kombinieren digitale Signaturen mit vertrauenswürdigen Zeitquellen, um kryptographisch starke Nachweise zu erstellen, die belegen, dass bestimmte Daten zu einer bestimmten Zeit existierten.

# 9. Wie verifiziert ein Benutzer seine Identität beim Signieren?

Wenn der Unterzeichner bereits eine eID hat, vereinfacht dies den Prozess deutlich. Signicat unterstützt eine große Anzahl von eIDs, wie z. B. Yes®, Verimi, BankID, NemID, ItsMe, iDIN, und viele andere. Bei einer bestehenden eID ist die Identität des Benutzers bereits validiert, sodass der Benutzer zum Unterschreiben nur noch die eID-Berechtigungsnachweise bereitstellen muss.

Wenn der Unterzeichner KEINE eID hat, können Identitätsinformationen durch Hochladen von ID-Dokumenten bereitstellt werden. Dies wird mit einem Verfahren kombiniert, bei dem ein Selbstporträt (mit Live-Chat) aufgenommen wird, um zu zeigen, dass der Benutzer tatsächlich anwesend ist und nicht eine andere Person, die das ID-Dokument des Benutzers verwendet. Ein höheres Level an Sicherheit kann erreicht werden, wenn der NFC-Chip des ID-Dokuments gelesen wird.

Wenn die Anforderungen an die Sicherheit gering sind oder Sie bereits auf andere Weise bekannt sind, kann eine einfache Unterschrift auf dem Bildschirm und die SMS OTP (One Time Password)-Authentifizierungsmethode verwendet werden. Dabei wird ein Zahlen- oder Buchstabencode an ein Mobiltelefon gesendet, den der Benutzer autorisieren muss.

Die Möglichkeit mittels einer elektronischen Unterschrift einen Vertrag oder eine Vereinbarung digital zu unterzeichnen ist sehr beeindruckend, weil es bedeutet, dass Sie sich dazu nicht einmal persönlich treffen müssen.

Dies spart natürlich eine Menge Zeit, sowohl für den Benutzer als auch für den Dienstleister. Der Unterzeichner wird sofort überprüft und Sie können sicher sein, dass die Unterschrift vollständig autorisiert ist. Sie wissen damit auch zuverlässig wer unterschrieben hat. Somit ist Ihr Dokument rechtssicher und es gibt weniger Bedenken hinsichtlich der Anerkennung.

# 10. Was bedeutet es, wenn mein Dokument digital signiert ist?

Sobald das Dokument digital signiert ist, kann es zugestellt werden. Alle Daten, die mit dem signierten Dokument verbunden sind, werden durch die online Verschlüsselung der digitalen Signatur automatisch gesichert.
Sie stellt Informationen über die Herkunft, Integrität und Anerkennung zur Verfügung, sodass der Unterzeichner nicht behaupten kann er habe das Dokument nicht signiert. Der Benutzer hat durch die Prüfung seiner Identität den notwendigen Nachweis erbracht, dass es sich um seine Unterschrift handelt und somit ist das Dokument rechtlich durchsetzbar.

Wenn Sie zu dem Thema gerne weitere Informationen hätten, dann lesen Sie weiterhin unseren Blog oder sprechen Sie uns an unter (Kurt.Rindle@signicat.com) oder info.de@signicat.com