IT-Security

Elektronische Signatur: Wir räumen auf mit Mythen

7. Mai 2020 von Bianca Wellbrock

elektronische-signatur
© kebox - Adobe Stock

4.3
(4)

Bei elektronischen Dokumenten ersetzt die elektronische Signatur die handschriftliche Unterschrift. Das macht Sinn, lässt sich doch durch eine solche Signatur die Herkunft, die Echtheit und die Unversehrtheit des betreffenden Dokuments prüfen. Anfang Januar wiesen wir in unserem Artikel „Sicherheitskatalog für digitale Identitäten vom BSI“ bereits auf das neue eID Security Framework des BSI hin. Heute möchten wir mit diversen Irrtümern und Mythen rund um die elektronische Signatur aufräumen.

E-Signatur: Fakt statt Fake

Die elektronische Signatur schafft Fakten statt Fakes. Dennoch: Es kursieren verschiedene Annahmen, die die E-Signatur fast schon mystisch erscheinen lassen. So glauben beispielsweise einige, die elektronische Signatur sei ein optischer Platzhalter für die Stelle, an der eigentlich die handschriftliche Signatur steht. Andere meinen, die E-Signatur sei nicht rechtsgültig. Es halten sich hartnäckig verschiedene Gerüchte, mit denen wir nun aufräumen wollen:

Mythos 1: Es gibt nur eine Art der digitalen Signatur

Um mit Mythen aufzuräumen, ist es zunächst sinnvoll, sich mit der elektronischen Signatur selbst zu befassen. Die EU-weite Verordnung eIDAS ist seit 2016 in Kraft und betrifft neben den 28 EU-Mitgliedsstaaten auch den Europäischen Wirtschaftsraum (EWR). Hinter eIDAS verbirgt sich die Verordnung über elektronische Identifizierung und Vertrauensdienste. Hier wurden nicht nur elektronische Signaturen neu geregelt, sondern auch Dienste, die sich um elektronische Siegel sowie Zeitstempel oder Website-Zertifikate drehen. Die eIDAS-Verordnung inkludiert europaweit verbindliche Regelungen für die Bereiche „Elektronische Identifizierung“ und „Elektronische Vertrauensdienste“. Die elektronische Signatur wird im Rahmen der eIDAS-Verordnung unterschieden in einfache, fortgeschrittene sowie qualifizierte elektronische Signaturen.

Für jede Art gelten bestimmte Anforderungen an die Signatur. Bei qualifizierten elektronischen Signaturen sind die Anforderungen am höchsten, bei einer einfachen elektronischen Signatur hingegen existieren keine besonderen Anforderungen. Sie ist jedoch rechtlich auch nicht beweiswürdig. Als einfache elektronische Signatur gilt beispielsweise der Name des Verfassers am Ende einer E-Mail.

Fortgeschrittene elektronische Signaturen erlauben es, den Unterzeichner eindeutig zu identifizieren. Aus rechtlicher Sicht steht dann die sich auf die Signatur berufende Partei in Beweispflicht: Sie muss belegen können, dass die digitale Signatur sowie die Identifizierungsmerkmale Echtheit besitzen.

Die höchste Form, nämlich die qualifizierte elektronische Signatur, basiert ihrerseits auf einem qualifizierten Zertifikat. Hinzu kommt, dass die Signatur mit einer sicheren Signaturerstellungseinheit (SSEE) zu erstellen ist. In rechtlicher Sicht ersetzt die qualifizierte elektronische Signatur die Unterschrift in Schriftform auf dem Papier.

Mit diesem Verständnis über die verschiedenen Arten elektronischer Signaturen ist es einfacher, Mythen von Tatsachen abzugrenzen. Werfen wir nun also einen Blick auf die Mythen der elektronischen Signatur.

Mythos 2: Elektronische Signaturen sind nur ein Abbild eigenhändiger Unterschriften

Oft herrscht der Irrglaube, elektronische Signaturen seien lediglich ein optischer Platzhalter für die handschriftliche Unterschrift auf Digital-Dokumenten. Woher dieser Irrglaube kommt, wird leicht verständlich, wenn man sich die Arten elektronischer Signaturen zu Gemüte führt: die einfache elektronische Signatur ohne gerichtliche Beweiskraft scheint die Annahme zu begünstigen, dass jede elektronische Signatur lediglich als Ersatz der handschriftlichen fungiert. Doch ist die elektronische Signatur eben keine Bilddatei, kein Platzhalter, sondern sie wird durch ein kryptografisches Verfahren gebildet.

Neben Informationen zur Person wird auch der sogenannte Hashwert (eine einmalige mathematische Quersumme) mithilfe eines digitalen Zertifikats kalkuliert und verschlüsselt. Die Signatur verbindet sich somit untrennbar mit dem elektronischen Dokument, was die Integrität dieses Dokuments sichert. Sowohl die fortgeschrittene als auch die qualifizierte elektronische Signatur (QES) funktionieren nach diesem Prinzip.

Werden Dokumente hingegen durch eine gescannte Unterschrift ohne dieses Verschlüsselungsverfahren getätigt, handelt es sich um eine einfache Signatur. Weder Beweiskraft noch eine Integrität-gebende Sicherheit wohnen diesem Signierprozess bei. Beweiskräftige Kommunikationen müssen mindestens mit fortgeschrittener, besser noch mit qualifizierter elektronischer Signatur gezeichnet sein.

Mythos 3: Die elektronische Signatur setzt ein Kartenlesegerät voraus

Die eIDAS-Verordnung bringt den großen Vorteil mit sich, dass Hardware-Applikationen nicht unbedingt benötigt werden, so auch der Kartenleser. Bei E-Signaturen kommen sogenannte Fernsignaturen ins Spiel: Private Signaturschlüssel lassen sich auf den Servern des Vertrauensanbieters generieren. So sind Signaturen in mobiler Form auch vom Smartphone aus möglich. Kartenlesegeräte sowie zusätzliche Software oder auch Signatur- bzw. Chipkarten sind vollkommen überflüssig.

Mythos 4: Beliebige Personen können mit beliebigen Namen unterschreiben

Wie im Absatz über die Arten der E-Signatur dargelegt, werden Signaturen in einfache, fortgeschrittene und qualifizierte elektronische Signaturen unterschieden. Je höher die Signaturstufe ausfällt, umso höher sind auch die Anforderungen, die der Unterzeichner in die Identifizierung investieren muss. Eine webbasierte Signaturlösung etwa, die für die QES Einsatz finden soll, setzt ein einmaliges Identifizieren des Signaturinhabers durch Vertrauensdienstanbieter voraus. Video-Ident-Verfahren sind dabei genauso denkbar wie die Online-Ausweisfunktion des Personalausweises. Bei jeder weiteren Anwendung der QES wird die Identität zudem über eine Zwei-Faktor-Authentifizierung bestätigt, die aus einem Login mit Usernamen/ E-Mail-Adresse sowie Passwort, außerdem SMS-TAN bestehen kann.

Eine Alternative bietet die QES mittels Signaturkarte. Eine einmalige Identifizierung des Signaturinhabers ist auch hier notwendig. Bei jeder Anwendung muss sich der Signaturinhaber mit einer 6-stelligen PIN authentifizieren.

Diese strengen Authentifizierungsverfahren machen es nahezu unmöglich, eine elektronische Signatur zu fälschen und unbefugt im Namen anderer Personen zu unterzeichnen. Nachträgliche Änderungen betreffender Dokumente werden zudem sichtbar.

Mythos 5: Elektronische Unterschriften werden vor Gericht nicht anerkannt

Die eIDAS-Verordnung gibt vor, Dokumenten oder Dateien mit fortgeschrittener oder qualifizierter E-Signatur höhere Beweislast zuzuschreiben als der einfachen Signatur. Damit sind digitale Signaturen grundsätzlich rechtsgültig und von Gerichten beweiskräftig anerkannt. § 371a ZPO erklärt darüber hinaus, dass private elektronische Dokumente, die mit der QES versehen sind, genauso zu behandeln sind wie private Urkunden.

Mythos 6: Signierte Dokumente könnten leicht in die Hände Dritter gelangen

Einige Kritiker sind der Meinung, dass signierte Dokumente möglicherweise in die Hände von Dritten gelangen könnten. Die Signaturzertifikate werden allerdings von Vertrauensdienstanbietern vergeben. Vertrauensdienstanbieter haben wir nun schon häufiger angesprochen – nur, wie wird man als vertrauensvoll eingestuft? Hierfür sind Zertifizierungen notwendig, die beweisen, dass diese Anbieter den Sicherheitsanforderungen der EU genügen. Natürlich möchten derartige Anbieter das einmal in sie gesetzte Vertrauen nicht erschüttern, sodass sie sich an ihre durchaus strengen Richtlinien halten.

Hinzu kommt, dass elektronisch übermittelte Daten durch eine Transportverschlüsselung gesichert werden. Dafür ist die Authentifizierung des Unterzeichners notwendig, entweder per Usernamen und Passwort oder bei der QES auch zusätzlich mit SMS-TAN. Eine derartige Zwei-Faktor-Authentifizierung lässt sich auch beim Signaturempfänger anfordern. Setzen Anwender auf eIDAS-konforme Lösungen, sind Bedenken rund um den ungewollten Zugriff auf Dateien und deren Sicherheit unberechtigt.

Mythos 7: Ohne eigenen Account für E-Signaturen können Geschäftspartner nicht unterschreiben

Wieder ein sich hartnäckig haltender Mythos: Jeder benötigt einen eigenen Account zum digitalen Signieren. In aller Regel stellen Signaturlösungen einen unkomplizierten Signaturprozess bereit. Vom Signaturempfänger wird kein eigener Account verlangt, um Dokumente elektronisch zu signieren. Ausreichend ist es, wenn der Initiator einer Signatur einen Account beim Vertrauensdienstanbieter seiner Wahl besitzt.

Möchten beide Unterschriftsparteien auf höchstmögliche Rechtssicherheit setzen oder erfordert das zu zeichnende Dokument die Schriftform, gestaltet es sich etwas anders: Dann muss die qualifizierte elektronische Signatur gewählt werden. Alle Unterzeichner müssen in einem solchen Fall im Besitz der QES sein und sich an die jeweiligen Identifizierungs- sowie Authentifizierungsanforderungen halten.

Corona: Vorübergehend Hürden für elektronische Signaturen gesenkt

Im Rahmen der Corona-Pandemie hat sich der Bundesrat am 01.04.2020 für eine befristete Änderung der Verordnung über elektronische Signaturen (VZertES) ausgesprochen. Für eine Dauer von sechs Monaten werden die Hürden fürs Ausstellen einer digitalen Signatur gesenkt. Innerhalb dieser Zeit ist es möglich, die Identifizierung per Video vorzunehmen, um Reisetätigkeiten einzuschränken. So muss der Signierende nicht mehr persönlich bei der Registrierungsstelle vorsprechen, um die elektronische Signatur zu erhalten. Reisen und persönliche Kontakte möchte der Bundesrat eindämmen und verankert in der Verordnungsänderung eine allgemeine Möglichkeit der Videoidentifikation beim Ausstellen von Zertifikaten.

Entspannt sich die Lage innerhalb der 6-monatigen Geltungsdauer, können die Bestimmungen schon früher aufgehoben werden. Elektronische Signaturen, die in dieser Zeit gesetzt werden, behalten jedoch unbefristet Gültigkeit.

Qualifizierte elektronische Signatur anfragen

Wie hat Ihnen dieser Artikel gefallen?

Average rating 4.3 / 5. Vote count: 4



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu