eIDAS-Verordnung

Wie sicher sind Handy-Signatur und E-Siegel?

| Autor / Redakteur: Tatami Michalek* / Stephan Augsten

Unterschriftsprozesse sind sensible Vorgänge, das Erstellen elektronischer Signaturen erfordert dementsprechend eine sichere Umgebung.
Unterschriftsprozesse sind sensible Vorgänge, das Erstellen elektronischer Signaturen erfordert dementsprechend eine sichere Umgebung. (Bild: denisismagilov - Fotolia.com)

Handy-Signatur und elektronisches Siegel oder auch eSiegel stehen dank der eIDAS-Verordnung vor der Tür. Doch bereits jetzt hat die Handy-Signatur mit Phishing-Vorwürfen zu kämpfen. Und das eSiegel? Bietet es ausreichende Sicherheit für digitale Dokumentenprozesse?

Seit 1. Juli 2016 gilt europaweit die neue „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ (eIDAS-VO). Sie schafft einen einheitlichen rechtlichen und technischen Rahmen für elektronische Signaturen, Siegel und Zeitstempel und ersetzt zum Teil das deutsche Signaturgesetz. Zudem lässt die Verordnung neue Verfahren zu, wie die Fernsignatur mittels Handy und das elektronische Siegel.

Fernsignatur – Die Unterschrift mit dem Mobilgerät

Die Fernsignatur, die eine digitale Unterschrift zum Beispiel mittels Smartphone erlaubt, macht eine Signaturkarte obsolet. Denn der private Signaturschlüssel muss sich nicht länger im unmittelbaren Besitz und damit auf der Karte des Signierenden befinden. Stattdessen wird er zentral beim Vertrauensdiensteanbieter (VDA; Trustcenter) in einem Hardware Security Module (HSM) gespeichert.

In Österreich wurde die Handy-Signatur bereits vor längerer Zeit umgesetzt. Allerdings wurde diese bereits aufgrund einer möglichen Anfälligkeit für Phishing-Attacken kritisiert. Beim Phishing gibt ein unachtsamer Nutzer seine Login-Daten auf einer Fake-Webseite ein und lädt dort ein zu signierendes Dokument hoch. Hierfür wird eine individuelle Prüfnummer erzeugt („Vergleichswert“).

Ein Angreifer fängt die Daten ab und nutzt sie, um sich seinerseits auf einer offiziellen Service-Webseite anzumelden und zum Beispiel einen Vertrag zu signieren. Der Nutzer erhält eine TAN-SMS mit dem Vergleichswert für die Transaktion. Bemerkt er nicht, dass der Vergleichswert von seinem Wert abweicht, gibt er die TAN auf der gefälschten Seite ein und das vom Angreifer hochgeladene Dokument wird signiert.

Obwohl dieses Angriffsszenario nicht neu ist, wird es trotzdem immer noch erfolgreich und gern verwendet, insbesondere in Verbindung mit Online-Banking-Angeboten. Dem Nutzer ist zu raten, stets die Internetadresse in der Browserzeile zu kontrollieren und Aufforderungen zur Eingabe persönlicher Daten oder zum Aufrufen unbekannter Links, die er per eMail erhält, nicht zu folgen.

Phishing-Versuche unterbinden

Da es sich bei Unterschriftsprozessen jedoch stets um sensible Vorgänge handelt, ist grundsätzlich die Signaturerstellung in einer sicheren Umgebung zu empfehlen. Statt einer webbasierten Lösung kann beispielsweise eine Signatursoftware mit eigenem User-Interface genutzt werden.

Hier entfällt die Möglichkeit des Online-Datenklaus. Die Signatursoftware kann dabei entweder als Stand-Alone-Komponente eingesetzt werden oder ist in das dokumentenführende System, zum Beispiel das Dokumentenmanagementsystem (DMS), integriert. So lässt sich die Handy-Signatur einfach und sicher nutzen.

Die konkrete Ausgestaltung der Handy-Signatur wird derzeit noch auf europäischer Ebene disktuiert. Das Europäische Komitee für Normung (CEN: Comité Européen de Normalisation) sieht in seinem ersten Normentwurf eine Authentifizierung des Unterzeichners durch zwei Faktoren vor; etwa durch Besitz, Wissen oder Biometrie.

Die Übertragung der beiden Faktoren muss über zwei Interfaces und Kanäle erfolgen, zum Beispiel über den Arbeitsplatzrechner und das Smartphone. Erst nach der Authentifizierung kann der Signaturschlüsselinhaber dann auf seinen privaten Schlüssel zugreifen. Eine Umsetzung nach diesem Entwurf sähe zum Beispiel wie folgt aus:

Fernsignatur mittels Smartphone nach eIDAS-VO.
Fernsignatur mittels Smartphone nach eIDAS-VO. (Bild: secrypt HmbH)

  • Der Anwender öffnet zum Beispiel die in sein Dokumenten-Management-System integrierte Signatursoftware an seinem Arbeitsplatz (Kanal 1) und meldet sich mit Benutzername und Passwort (Faktor 1) an.
  • Er wählt ein Dokument und anschließend „Signieren“.
  • Das Dokument wird an den Vertrauensdiensteanbieter (VDA) gesendet.
  • Der VDA bittet den Anwender, sich zu authentisieren, zum Beispiel mittels Fingerabdruck (Faktor 2) über eine App auf seinem Smartphone (Kanal 2).
  • Bei erfolgreicher Authentifizierung wird das Dokument mit dem beim VDA hinterlegten Signaturschlüssel signiert und an die Signaturanwendung gesendet.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44224006 / Kommunikation)