Digitale Identität ohne Hürden Die technischen Anforderungen für eine reibungslose eSignatur

Ein Gastbeitrag von Peter Fuhrmann

Anbieter zum Thema

Durch die steigende Nutzung der elektronischen Signatur infolge der eIDAS-Verordnung wird ein Schub für den elektronischen Geschäftsverkehrs unter anderem im eGovernment erwartet. Bei der Umsetzung müssen Unternehmen und Behörden jedoch einige technische Faktoren berücksichtigen.

Mit dem zunehmenden Einzug elektronischer Kommunikation in den privaten und geschäftlichen Alltag wird ein digitaler Ersatz für die manuelle Signatur benötigt
Mit dem zunehmenden Einzug elektronischer Kommunikation in den privaten und geschäftlichen Alltag wird ein digitaler Ersatz für die manuelle Signatur benötigt
(Bild: © meeboonstudio – stock.adobe.com)

Bis September 2023 wird es Bürgern, Behörden und Unternehmen in der Europäischen Union ermöglicht, sichere und nahtlose elektronische Transaktionen mit nur „einem Klick“ durchzuführen. Dies wird anhand der digitalen Brieftasche der EU, die EUid-Brieftasche, umgesetzt. Die Initiative wurde von der Europäischen Kommission vorgeschlagen, um den paneuropäischen Rahmen für digitale Identitäten, bekannt als eIDAS (electronic IDentification, Authentic and trust Services), zu erweitern. Die Umsetzung der eIDAS 2.0 wird unter anderem durch den Einsatz elektronischer Signaturen ermöglicht. Dafür müssen Behörden jedoch einige technische Faktoren berücksichtigen.

Warum der Wechsel zur eSignatur?

Wenn Geschäftszyklen von einer Unterschrift auf Papier abhängen, drohen Unternehmen, Behörden, in manchen Fällen aber auch Bürgern beträchtliche Nachteile:

  • Compliance: Eine Studie von Docuware ergab, dass 75,9 Prozent der befragten Unternehmen aufgrund schwerfälliger, papierbasierter Prozesse ernsthafte Geschäftsrisiken und Compliance-Probleme hatten. Dadurch werden die Durchlaufzeiten erheblich verlangsamt und der Erfolg von Projekten eingeschränkt.
  • Security: Bei sensiblen Dokumenten ist die Gefahr größer, dass sie auf einem Drucker oder einem Scanner liegen bleiben oder sogar auf dem Postweg verloren gehen. Ganz zu schweigen von der Gefahr, dass eine Unterschrift gefälscht, kopiert und missbraucht wird.
  • Sichtbarkeit: Sobald sich ein Papierdokument im Signaturprozess befindet, ist der Status nicht mehr nachvollziehbar: ob es empfangen und unterzeichnet wurde, ob der Empfänger es abgezeichnet und zurückgeschickt hat oder ob er die Signatur verweigert.

Mit elektronischen Signaturen können diese Herausforderungen bewältigt werden, jedoch gibt es eine Fülle von technischen Faktoren, die Unternehmen für eine erfolgreiche Umsetzung berücksichtigen müssen.

3 Arten von e-Signaturen und deren technische Anforderungen

Die eIDAS-Verordnung unterscheidet zwischen drei Arten von digitalen Signaturen:

  • 1. Standard Electronic Signature (SES)
  • 2. Advanced Electronic Signature (AES)
  • 3. Qualified Electronic Signature (QES)

Gemäß eIDAS hat ausschließlich eine QES die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Allerdings bleiben eine SES oder AES für viele Anwendungszwecke eine effektive und praktisch nutzbare Unterschriftsform, zum Beispiel bei der Ankündigung oder Kündigung einer Garantiegewährung oder Übertragung einer kostenfreien Rücktrittsbekanntgabe nach Anschluss eines Kreditvertrags. Da immer mehr Unternehmen Lösungen für elektronische Signaturen einführen, müssen sie die folgenden technischen Anforderungen berücksichtigen, um die Rechtswirksamkeit der Signaturen im Rahmen der eIDAS zu gewährleisten.

Standard Electronic Signatures (SES)

SES sind in digitaler Form vorliegende Daten. Diese Daten sind an andere in digitaler Form vorliegende Daten angehängt oder logisch damit verknüpft. Sie werden vom Unterzeichnenden zum Zweck der Unterzeichnung eingesetzt. Beispiele für eine SES sind das Anklicken eines Feldes, ein PIN-Code, ein Passwort, eine eingescannte Unterschrift, Authentifizierungsverfahren auf Basis symmetrischer und öffentlicher Kryptografie-Verfahren sowie biometrische Authentifizierungsverfahren. So kann das Signatur-Tool die Absicht des Unterzeichners erfassen, um den Inhalt des Dokuments zu genehmigen.

Für eine einfache SES ist keine besondere technische Implementierung erforderlich. Sie sollte jedoch mit dem Unterzeichner des Dokuments verbunden sein und die Möglichkeit bieten, die Identität zu überprüfen. Allerdings ist eine digitale Überprüfung oder ein Schutz vor Fälschungen nicht erforderlich. In rechtlicher Hinsicht kommt es letztlich darauf an, dass beide Parteien der Unterschrift zustimmen. eIDAS setzt voraus, dass einer SES die Rechtswirksamkeit nicht allein mit der Begründung verweigert werden darf, dass sie in digitaler Form vorliegt oder nicht die Anforderungen an eine AES oder QES erfüllt.

Advanced Electronic Signature (AES)

AES ist eine digitale Unterschrift, die folgende Anforderungen erfüllt:

  • Sie ist eindeutig mit den Unterzeichnenden verknüpft,
  • Sie kann den Unterzeichnenden identifizieren,
  • Sie wird mit Hilfe digitaler Unterschriftsdaten erzeugt, die der Unterzeichnende mit hoher Sicherheit unter eigener Kontrolle verwenden kann,
  • Sie ist mit den Unterschriftsdaten so verknüpft, dass jede spätere Veränderung der Daten nachweisbar ist.

Obwohl die rechtliche Definition einer AES technologieneutral formuliert wurde, werden in der Praxis häufig asymmetrische Public Key Cryptography (PKI)-Systeme als wichtigstes Verfahren genannt, um die Anforderungen der Definition zu erfüllen. Dabei werden zwei Schlüssel erstellt – ein öffentlicher und ein privater Schlüssel. Die AES wird unter Verwendung des privaten Schlüssels des Unterzeichners erstellt. Der private Schlüssel bleibt dabei immer beim Unterzeichner, während der Empfänger des signierten Dokuments den öffentlichen Schlüssel erhält. Wenn die Signatur nicht verändert wurde, sollte der Empfänger in der Lage sein, sie mit dem öffentlichen Schlüssel zu entschlüsseln. Wurde sie verändert, kann sie nicht korrekt entschlüsselt, und die Signatur kann als ungültig betrachtet werden.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Dennoch könnten neben PKI auch andere Technologien zur Erzeugung eines AES verwendet werden, sofern die vier oben beschriebenen grundlegenden Anforderungen erfüllt sind. So können beispielsweise Anbieter digitaler Unterschriftslösungen innerhalb der eIDAS eine AES erzeugen, indem sie bestimmte Management- und administrative Sicherheitsverfahren sowie zuverlässige Systeme und Produkte anwenden. Dabei könnte es sich um sichere digitale Kommunikationskanäle handeln, die gewährleisten, dass die Umgebung zur digitalen Unterschriftserzeugung zuverlässig ist und nur der Unterzeichner darauf zugreifen kann. Auf Basis dieser allgemeinen Definition könnte der Unterzeichner eine Cloud-basierende Unterschriftslösung einsetzen, die die genannten vier Punkte erfüllt, aber keine PKI verwendet.

Größter Unterschied zwischen einer SES und einer AES ist die Tatsache, dass Letztere allgemein als zuverlässiger gilt und dass ihr demzufolge vor Gericht möglicherweise mehr Beweiskraft zugemessen wird. Allerdings sind die zur Generierung einer AES verwendeten technischen Verfahren nur einer von den Gerichten betrachteten Faktoren. Daher könnte in einem bestimmten Fall die Zuverlässigkeit einer spezifischen AES-Methodik vom Gericht angezweifelt werden, während das Gericht in einem anderen Fall die gleiche Methodik als ausreichend beweiskräftig für die Zuordnung und die Gültigkeit der Unterschrift einstuft.

Qualified Electronic Signatures (QES)

Eine QES wird in der eIDAS als eine AES definiert, bietet aber zusätzliche Sicherheit. Als solche muss eine QES mit einer qualifizierten Signaturerstellungseinheit (Qualified Signature Creation Device, kurzform: QSCD) erstellt werden und ein qualifiziertes Zertifikat zur Signaturerstellung verwenden. Bei dieser QSCD handelt es sich in der Regel um ein spezielles Software- und Hardwaregerät, über das der Unterzeichner die Kontrolle hat (z. B. ein USB-Gerät oder ein Kartenlesegerät). Für das qualifizierte Zertifikat muss es von einem qualifizierten Vertrauensdienstanbieter (Trust Service Provider, kurzform: QTSP) ausgestellt werden. In der EU enthalten die eIDAS-Verordnungen die folgenden Mindestkriterien, um ein QTSP zu werden:

  • Der Dienstanbieter muss eine gültige Zeit und ein gültiges Datum für erstellte Zertifikate angeben
  • Signaturen mit abgelaufenen Zertifikaten müssen sofort widerrufen werden.
  • Das Personal des qualifizierten Vertrauensdienstanbieters muss entsprechend geschult sein.
  • Die vom Dienstanbieter eingesetzte Soft- und Hardware muss vertrauenswürdig sein und die Fälschung von Zertifikaten verhindern können.

Darüber hinaus erfordert eine QES eine Verifizierung des Unterzeichners, bevor dieser sein erstes Dokument signieren kann. Dies geschieht in der Regel durch ein persönliches Treffen oder einen Videoanruf. Bei jeder Unterzeichnung wird dann eine Multi-Faktor-Authentifizierung durchgeführt.

QES bietet zwar den höchsten Signaturschutz und die höchste rechtliche Durchsetzbarkeit, ist aber auch technisch am schwierigsten und am teuersten zu implementieren. Der Aufwand für die Validierung des Unterzeichners und die Multi-Faktor-Authentifizierung kann es auch umständlich und für einfache Anwendungen ungeeignet machen. Daher wird es in der Regel für Dokumente und Verträge mit hohem Wert verwendet. Dazu können große Handelsverträge, Kaufverträge oder Immobilienkäufe gehören.

Schlussfolgerung

Es wird immer mehr Wert daraufgelegt, schnelle und reibungslose Prozesse zu schaffen, um die hohen Kundenerwartungen zu erfüllen und die Mitarbeiter mit Aufgaben zu beschäftigen, die einen Mehrwert für die Organisation und zum Endergebnis beitragen. Wenn der Signaturprozess immer noch auf Papier basiert, schafft er Probleme und verlangsamt das Tempo der Geschäftsabläufe. Auch wenn sich die neue eIDAS-Verordnung noch in einem frühen Stadium des Gesetzgebungsverfahrens befindet und die EU-Staaten und die Kommission noch über etliche technische Faktoren entscheiden müssen, sollten Organisationen aus dem öffentlichen und privaten Sektor die digitalen Identitätsbrieftaschen bereits jetzt in ihre eigene Digitalisierungsstrategie integrieren. Indem sie die Vorlaufzeit bis zur endgültigen Unterzeichnung des Gesetzes zur Gewährleistung der technischen Anforderungen nutzen, haben sie langfristig klare Wettbewerbsvorteile.

Peter Fuhrmann
ist Regional Vice President South Europe & DACH bei Conga.

Bildquelle: Conga

(ID:48526634)