IT-Security

Digital ausweisen: Die digitale Signatur

13. Januar 2022 von PSW GROUP Redaktion
digitale-signatur-2022
©kebox - stock.adobe.com

5
(3)

Nachdem wir uns im Rahmen unserer Serie „Digital ausweisen“ jüngst mit dem digitalen Zertifikat auseinandergesetzt haben, dreht sich im heutigen Blogbeitrag alles um die digitale Signatur. Wir erklären Ihnen, was digitale Signaturen überhaupt sind, wo sie eingesetzt werden und wie diese digitale Unterschrift funktioniert. Darüber hinaus gehen wir darauf ein, weshalb die digitale Signatur im Geschäftsumfeld immer wichtiger wird – vor allem in Hinblick auf vertrauensvolle Kommunikation. In unserem Beitrag ordnen wir alles Wesentliche ein, was Sie zu der digitalen Signatur wissen müssen.

Digitale Signatur – was ist das?

In Zeiten, in denen Fake und Fiktion kaum von Fakten unterschieden werden können, ist es hilfreich, etwas zu haben, was Authentizität und Integrität belegt: Phishing beispielsweise gehört zu den größten cyberkriminellen Bedrohungen unserer Zeit. Täuschend echt aussehende E-Mails verführen unzählige Anwendende dazu, wertvolle Informationen wie Login-Daten oder andere sensible Details preiszugeben. Vielen in der IT-Sicherheit ungeschulten Mitarbeitenden fällt es schwer, eine solche Phishing-E-Mail von echten Mails zu unterscheiden, weil sich die Cyberkriminellen immer mehr professionalisieren und Phishing-Mails häufig mit bekannten Labels versehen sind, die die Täuschung perfekt machen. Eines fehlt Phishing- und anderen betrügerischen E-Mails jedoch: Eine qualifizierte elektronische Signatur.

Die Bezeichnung „elektronische Signatur“ ist dabei als Rechtsbegriff zu verstehen: Mithilfe dieses Überbegriffs lassen sich elektronische Verfahren beschreiben, die dazu dienen, die Identität eines Urhebers zu prüfen sowie die Integrität von Informationen zu gewährleisten. Spricht man von der „digitalen Signatur“, meint das das kryptografische Implementieren der elektronischen Signatur: Mithilfe von Kryptografie einschließlich privatem und öffentlichem Schlüssel wird eine Nachricht signiert.

Die digitale Signatur erlaubt das digitale Unterzeichnen von Dokumenten, sodass sich eigenhändige Unterschriften von Papierdokumenten so ersetzen lassen. Je nach Einsatz der digitalen Signatur unterscheidet man verschiedene Arten, auf die wir im nächsten Absatz eingehen. Typische Anwendungsszenarien für digitale Signaturen sind beispielsweise:

  • Abwickeln von Ausschreibungen im Internet,
  • Online-Banking,
  • rechtssicheres Austauschen elektronischer Informationen, etwa beim E-Mail-Versand oder
  • das Sicherstellen von Authentizität sowie Integrität bei Software.

Digitale Signatur: Einsatz & Arten

Rechtliche Basis zur elektronischen Signatur im Allgemeinen oder zur digitalen Signatur im Besonderen bildet die europäische eIDAS-Verordnung („Verordnung der Europäischen Union zu elektronischen Identifizierungs-, Authentifizierungs- und Vertrauensdiensten“). Hier sind auch die Arten der digitalen Signatur definiert:

  • Einfache oder allgemeine elektronische Signatur,
  • fortgeschrittene elektronische Signatur sowie
  • qualifizierte elektronische Signatur.

Jede Art der digitalen Signatur setzt und erfüllt gewisse Anforderungen. Welche das sind, haben wir bereits in unserem Beitrag „Elektronische Signatur: Wir räumen auf mit Mythen“ dargelegt. Unter „Mythos 1: Es gibt nur eine Art der digitalen Signatur“ finden Sie neben den Signatur-Arten auch weitere Informationen zur eIDAS-Verordnung.

So funktioniert die digitale Unterschrift

Damit eine digitale Signatur Identifikation und Integrität sicherstellen und darüber hinaus – wenn es sich um fortgeschrittene oder qualifizierte E-Signaturen handelt – gerichtlich anerkannt werden kann, muss die Funktionsweise ein hohes Maß an Sicherheit mitbringen. Damit ist eine der Grundvoraussetzungen, dass die digitale Signatur einzigartig für jede:n Benutzer:in ist – ähnlich der händischen Unterschrift jedes Menschen. Basis der digitalen Signatur ist deshalb das PKI-Ökosystem – also die Public Key Infrastructure. Die PKI setzt auf mathematische Algorithmen, sodass die privaten und öffentlichen Schlüssel erzeugt werden können. Denn Grundvoraussetzungen für die digitale Unterschrift sind öffentliche Schlüssel, die eindeutig den Unterzeichnenden zugeordnet werden können, und dass ausschließlich die Unterzeichnenden im Besitz ihrer privaten Schlüssel sind.

Möchte die beispielhafte Frau Müller nun ein Dokument elektronisch signieren, nutzt sie ihren privaten Schlüssel, um die Signatur zu erzeugen. Frau Müller hält ihren privaten Schlüssel geheim. Der Algorithmus erzeugt nun Daten zu dem zu signierenden Dokument: Durch die Datenverschlüsselung entsteht ein mathematischer Wert, Hash genannt. Hashwerte sind immer eindeutig und nicht mehr umkehrbar. Den Hashwert verschlüsselt Frau Müller mit ihrem privaten Schlüssel und ergänzt die Nachricht durch eine erhaltene Zeichenfolge – nämlich mit der Signatur, die mit einem Zeitstempel versehen wird. Frau Müller hat ihr Dokument nun digital signiert und sendet es an Herrn Meier. Dieser kann durch den öffentlichen Schlüssel von Frau Müller die Signatur entschlüsseln, um den dann erhaltenen Hashwert mit dem aus der Nachricht kalkulierten Hash zu vergleichen.

Sind beide Werte identisch, so konnte Frau Müller als Absenderin eindeutig identifiziert und die Integrität der Nachricht gewährleistet werden. Sollte die Nachricht jedoch nach dem Signieren verändert worden sein, so hätte Herr Meiers Prüfung Fehler gezeigt. Dasselbe wäre passiert, wenn die Nachricht mit einem anderen privaten Schlüssel signiert worden wäre.

Digitale Signatur: Für das Plus an Authentizität und Integrität

Der Transfer von Daten und Informationen geschieht immer seltener auf nicht-elektronischem Wege: Verträge mit Dienstleistenden oder Mitarbeitenden werden genauso auf elektronischem Wege versandt wie Angebote oder Rechnungen. Dass sich Geschäftspartner untereinander nicht persönlich kennen, ist keine Seltenheit. Genau deshalb ist ein rechtssicherer Rahmen umso wichtiger.

Es ist einfach essenziell, zu wissen, ob die Person, mit der wir glauben zu kommunizieren, tatsächlich diejenige ist, für die wir sie halten. Nicht minder relevant ist, dass Informationen genau so bei Empfangenden ankommen, wie sie versendet wurden: Frei von Manipulationen, unverfälscht, weder verkürzt noch verlängert – kurz: integer. Die digitale Signatur stellt beides sicher: Die Identität von Kommunikationspartnern und die Integrität der Inhalte.

Wir, die PSW GROUP, sind auch in Bezug auf die digitale Signatur Ihr Ansprechpartner! Haben Sie Fragen rund um die Sicherheit Ihrer Kommunikation oder konkret zur elektronischen Signatur, freuen wir uns auf den Kontakt mit Ihnen!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 3

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu