Was ist der Unterschied zwischen fortgeschrittenen und qualifizierten elektronischen Signaturen?

Und wann sollten Sie welche einsetzen?

Der ehemalige FBI-Direktor Robert Mueller sagte einmal: "Es gibt nur zwei Arten von Unternehmen: diejenigen, die bereits gehackt wurden und diejenigen, die es noch werden.

Kein Unternehmen ist immun gegen Cyber-Angriffe oder Betrugsfälle. Umso wichtiger ist es, dass die richtigen Kontrollen zum Schutz vor Betrug vorhanden sind. Insbesondere bei der digitalen Unterzeichnung von Verträgen oder Dokumenten z. B. aus der Finanzbranche ist es wichtig sich vor Betrug mit elektronischen Unterschriften zu schützen. Allerdings wird Online-Betrug heutzutage sicherlich häufiger vorkommen, da Menschen während der Corona Virus-Pandemie verstärkt von zu Hause arbeiten, ohne dass der Schutz des Unternehmensnetzwerks verstärkt wurde.

Mit dem Anstieg von digitalen Betrugsvorfällen, bietet sich jetzt eine gute Gelegenheit für Unternehmen zusätzliche Verantwortung zu übernehmen. Eine Möglichkeit ist die Integration eines Unterschriftsprozesses, der die Sicherheit des Kunden priorisiert und dabei komplexe Identitätsprüfungen außen vor lässt.

Lesen Sie mehr über die Unterschiede von fortgeschrittenen elektronischen Signaturen (AES) und qualifizierten elektronischen Signaturen (QES).

Standard-Elektronische Signaturen vs. AES und QES

Unter der eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services) sind die drei Arten von elektronischen Signaturen geregelt - Standard, Advanced und Qualified - alle sind rechtsgültig.

Standard elektronische Signaturen sind bereits seit vielen Jahren verfügbar. Für komplexe, risikoreiche Transaktionen und Verträge, wie z. B. Darlehen oder Versicherungen, wurden sie jedoch in der Regel nicht verwendet. Dabei kann es sich um eine manuell auf einem Desktop-Bildschirm ausgeführte Unterschrift oder um eingescannte handschriftliche Unterschriften handeln. Bei dieser Art von Unterschrift können Sie allerdings nicht sicher sein, dass die Unterschrift auch wirklich von dem Unterzeichner ausgeführt wurde, denn eigentlich ist sie nicht mehr als ein "gekritzelter Name auf einem Bildschirm". Diese Tatsache wirft natürlich einige Fragen in Bezug auf die Sicherheit auf. Ist eine Person wirklich die Person, für die sie sich ausgibt?

Sowohl eine fortgeschrittene elektronische Signatur als auch eine qualifizierte elektronische Signatur bieten hingegen ein höheres Maß an Sicherheit. Dies liegt daran, dass eine digitale Signatur verwendet wird, d. h. das signierte Dokument ist durch kryptographische Mittel geschützt.

Beide Formate elektronischer Signaturen haben die folgenden Eigenschaften:

  • Beide sind fälschungssicher - Sowohl AES als auch QES sind mit den signierten Daten in der Form verknüpft, dass ein Dokument nach dem Signieren nicht unbemerkt verändert werden kann.
  • Identifikation der Signatur - Es besteht die Gewissheit, dass die Signatur eindeutig mit dem Unterzeichner verknüpft ist.

Beides erfordert die Einbeziehung eines Drittanbieters für elektronische Signaturen.

Ein QES ist ein Fortschritt gegenüber dem AES

Auf den Punkt gebracht: eine qualifizierte elektronische Signatur ist eine fortgeschrittene elektronische Signatur, die zusätzliche Anforderungen erfüllt.

Bei einer QES wird ein qualifiziertes Zertifikat benötigt, welches die Echtheit einer elektronischen Signatur bescheinigt und zudem als Nachweis der Identität dient. Darüber hinaus muss die Signatur selbst mit einer speziellen Hard- und Software erstellt werden. Er handelt sich dabei um ein Gerät (Qualified Signature Creation Device (QSCD)), das zum Erstellen elektronischer Signaturen verwendet wird.

Damit wird sichergestellt:

  • Der Unterzeichner ist der einzige, der die Kontrolle über den Schlüssel hat, welcher zur Erstellung der elektronischen Signatur benötigt wird.
  • Die Signaturdaten werden von einem Qualified Trust Service Provider (QTSP) verwaltet.
  • Die Signaturdaten sind eindeutig und vor Fälschung geschützt.

Während einfache elektronische Signaturen und fortgeschrittene elektronische Signaturen beide ihren Platz haben, liefert QES die stärksten juristischen Beweise, wenn es z. B. zu Streitigkeiten über digitale Transaktionen kommt. Damit schützt eine QES sowohl Verbraucher als auch Unternehmen vor Betrug.

Woher weiß man, ob die AES oder eine QES die richtige Wahl ist?

In einigen Ländern, wie z. B. Belgien, ist es obligatorisch zur Unterzeichnung von digitalen Dokumenten eine QES zu verwenden. Aber in anderen Ländern beruht die Wahl einer elektronischen Signatur hauptsächlich auf vorherrschenden legalen Bestimmungen und damit einhergehend einer Risikobewertung.

Wenn das Risiko gering ist oder es sich um ein akzeptables, überschaubares Risiko handelt, dann sollten Sie eine elektronische Standardsignatur oder AES in Betracht ziehen. Am Ende basiert alles auf Vertrauen. Zum Beispiel, wenn Sie Dokumente innerhalb eines Unternehmens intern unterzeichnen lassen, aber dennoch Personen identifizieren müssten. Wenn etwas schiefgelaufen ist, dann sollte es keine großen Auswirkungen haben, weil es innerhalb des Unternehmens geschieht.

Die Erstellung einer QES kann im Vergleich dazu kostspieliger und komplexer sein. Wenn das Risiko jedoch als hoch oder folgenschwer eingeschätzt wird, dann sollte eine QES eingesetzt werden. Zum Beispiel bei der Unterzeichnung von Dokumenten, die einen Zeugen erfordern oder bei Verträgen, die unter notarielle Aufsicht unterzeichnet werden. Es ist natürlich möglich, jeder der Unterschriften (SES/AES/QES) eine Langzeit-Validierung hinzuzufügen. Dies bedeutet, dass die Unterschrift auch in der Zukunft validiert werden kann.

Wenn Sie jedoch nicht wissen, mit welcher Person oder Firma Sie es zu tun haben, kann Ihnen eine QES die höchste Sicherheitsstufe bieten. Im Rahmen der eIDAS bietet diese Signatur-Methode "die höchste Stufe der Zulässigkeit vor den EU-Gerichten und hat die gleiche rechtliche Wirkung wie eine handschriftliche Unterschrift".

Sicherheit für Ihr Unternehmen durch AES und QES

Gemäß dem preisgekrönten Science-Fiction-Autor William Gibson "die Zukunft ist da, aber sie ist nicht gleichmäßig verteilt".

COVID-19 könnte genau der Anstoß gewesen sein, den Unternehmen gebraucht haben, um über Technologien nachzudenken, die ihnen das Leben leichter machen. Und genau diese Vorteile und Erleichterungen könnte Ihrem Unternehmen der Einsatz von AES oder QES bringen, einschließlich erhöhter Effizienz und Sicherheit.

John Erik Setsaas

John Erik Setsaas

VP of Identity and Innovation at Signicat

Juli 03 2020