Der Informationsquellen und Definitionen von Begrifflichkeiten rund um die elektronische Signatur gibt es viele im Internet, sei es in Wikipedia, dem ESIGN Act, eIDAS und anderer Quellen. Mit einem Grundverständnis der Besonderheiten der verschiedenen Prozesse der elektrischen Signatur, auch E-Signatur genannt, lassen sich ihre Einsatzbereiche besser bestimmen. In diesem Blog wollen wir die wichtigsten Aspekte der E-Signatur beleuchten, um Ihnen so eine Hilfestellung zu bieten, die für Ihre Bedürfnisse passende E-Signatur Lösung zu finden.

So stellt die elektronische Signatur die Identität des Unterzeichnenden sicher:

Die Einteilung der elektronischen Signatur hängt vom Authentifizierungsgrad hinsichtlich der Identität des Unterzeichners ab. Außerdem muss der Wert der zu genehmigenden Transaktion berücksichtigt werden, sowie technische Aspekte.

Bevor wir nun fortfahren, wollen wir zunächst die beiden Hauptkategorien der elektronischen Signatur vorstellen:

Die einfachste Form der elektronischen Signatur bestätigt die Absicht des Unterzeichnenden, zu unterschreiben. Diese bringt er zum Ausdruck, indem er den Erhalt der Anfrage bestätigt. Dieser Vorgang wird im endgültigen Dokument gespeichert. Demgegenüber verwendet die digitale Unterschrift(1) ein digitales Zertifikat(2), um den Unterzeichnenden zu authentifizieren. Die digitale Unterschrift ist also per se schon eine Art elektronischer Signatur, denn sie beinhaltet die Zeichnungsabsicht. Umgekehrt gilt dies jedoch nicht.

Verwendet meine elektronische Signatur ein digitales Zertifikat?

Mit dieser einfachen Frage lassen sich die beiden großen Hauptkategorien der elektronischen Signatur gut auseinanderhalten.  Schauen wir uns genauer an, was die Antworten über den jeweiligen Prozess der E-Signatur aussagen könnten:

„Nein, meine elektronische Unterschrift verwendet kein digitales Zertifikat“: Die Identifizierung des Unterzeichnenden beruht auf Kriterien des Signaturprozesses, mit denen die E-Signatur authentifiziert wird. Wie zuverlässig diese Identifikation ist hängt also von der Anzahl der Kriterien und ihrer Eignung ab. Solche Kriterien können z.B. die E-Mailadresse des Eigentümers sein, um die URL eines Dokuments zu erhalten, oder die Handynummer des Geräts, an das ein besonderer Code geschickt wird. Es kann auch die IP-Adresse des Geräts sein, mit dem ein Dokument abgerufen werden soll oder auch die GPS-Koordinaten des elektronisch Unterzeichnenden. All diese Elemente eignen sich, um die Einwilligung zu beweisen, sofern sie in einer Beweisdatei abgespeichert werden. Diese Datei wird anschließend an das elektronisch signierte Dokument angehängt, das mit einem digitalen Stempel und einem Zeitstempel abgeschlossen wird. Damit ist die Identität des Unterzeichnenden sichergestellt.

„Ja, meine elektronische Unterschrift verwendet ein digitales Zertifikat“: Hier würde man von einer digitalen Signatur sprechen. Dementsprechend hängt die Identität des Unterzeichnenden von der Qualität des Zertifikats ab, genauer gesagt davon, ob es sich um ein selbst-erstelltes (3) oder um ein qualifiziertes (4) Zertifikat handelt.

Wodurch wird das Sicherheitsniveau der E-Unterschrift bestimmt?

Lassen Sie uns die vier wichtigsten Unterschriftsarten beschreiben. Bedenken Sie dabei, dass das Sicherheitsniveau mit zunehmender Anreicherung des E-Unterschriftenprozesses steigt. Daher ist nachvollziehbar, dass ein Workflow für digitale Unterschrift den entscheidenden Unterschied machen kann.
   

Die „Einfache elektronische Signatur“ bedeutet lediglich, dass man eine Absichtserklärung abgibt, ein Dokument zu unterzeichnen. Hierbei spielt es keine Rolle, ob die Unterschrift mit der Maus oder einem Stift handschriftlich erfolgt, ob sie über Tastatur eingegeben wurde oder ein Bild ist. Die Unterschrift  wird als valide erachtet, sofern die Absicht des Unterzeichnenden nachvollziehbar aufgezeichnet wurde.

Die „Fortgeschrittene elektronische Signatur“ entsteht, wenn beim Prozess der elektronischen Unterschrift zusätzliche Angaben (5) gesammelt werden, die die Identität des Unterzeichnenden belegen. Diese Angaben werden so abgespeichert, dass sie die Integrität des Dokuments sicherstellen (6). Alles zusammen dient als Beweis für die Identität des Unterzeichnenden.

Die „Qualifizierte elektronische Signatur“ verwendet ein digitales Zertifikat. Für diese Klasse gibt es keinerlei Anforderung an die Qualität des Zertifikats. Selbst wenn ein Unterzeichnender ein Zertifikat verwendet, dass er sich selbst ausgestellt hat, bedeutet das keinerlei Garantie für die Identität des Unterzeichnenden.

Die „Qualifizierte elektronische Signatur mit Anbieter-Akkreditierung“ schließlich, die auf einem Datenträger gespeichert ist, garantiert die Identität des elektronisch Unterzeichnenden, indem sie auf einen vertrauenswürdigen Drittanbieter zurückgreift, der das Zertifikat verifiziert (7). Diese Art der Unterschrift bietet die höchste Sicherheit in Bezug auf die Identität des elektronisch Unterzeichnenden und ist rechtlich gleichwertig mit der handschriftlichen Unterschrift.

Symtrax unterstützt die Verwendung elektronischer bzw. digitaler Unterschriften mit Compleo Hybrid. Setzten Sie sich mit uns in Verbindung, um mehr zu erfahren.


Anmerkungen :

(1) Die elektronische Unterschrift basiert auf einem digitalen Zertifikat. Damit wird die Integrität eines  digital signierten PDF- Dokuments sichergestellt, indem Informationen zur Identifizierung des Unterzeichnenden sowie der verschlüsselten Daten eingebunden werden. Die digitale Unterschrift lässt sich im Acrobat Reader anzeigen.  Sobald das PDF geöffnet wird, wird die Unterschrift automatisch validiert, sofern sie in der Vertrauensliste von Adobe („AATL“) enthalten ist.

(2) Diese Datei umfasst die Identität des Unterzeichnenden, den Namen der Zertifizierungsstelle und des Krypto-Schlüssels. Das Zertifikat lässt sich in einer Datei (z.B. pfx) speichern, einem Zertifikatsspeicher, einem Hardware-Sicherheitsmodul (HSM) oder einem USB-Stick.

(3) Jeder kann sich mit individuellen Informationen sein eigenes Zertifikat erstellen. Allerdings kann ein solches Zertifikat nicht als Beleg für die Identität des Unterzeichnenden gelten.

(4) Das bedeutet, dass ein Dokument über einen Drittanbieter übermittelt wird, der als Vertrauensstelle die Echtheit der Identität des Unterzeichnenden garantiert. Ein qualifiziertes digitales Zertifikat muss auf einem USB-Stick gespeichert sein, auf einer Karte oder einem Sicherheitsmodul (HSM), um valide zu sein. Mit einem HSM lassen sich mehrere digitale Zertifikate im selben geschützten Bereich verwalten.

(5) Die Beispiele schließen die E-Mailadresse de Unterzeichnenden ein, die Handynummer für die Zustellung eines einmaligen Bestätigungscodes, die IP-Adresse und GPS-Koordinaten. Diese Angaben werden von allen E-Unterzeichnern des  gleichen Dokuments nacheinander gespeichert.  

(6) Normalerweise werden alle Arbeitsgänge und Angaben der elektronischen Unterschrift aufgezeichnet und dem Dokument angehängt, das anschließend mit einem Zertifikat und einem Datumsstempel versiegelt wird.

(7) Ein vertrauenswürdiger Drittanbieter oder eine Regierungsbehörde kann eine Liveaufzeichnung durchführen, der der Unterzeichnende beiwohnt und sich mit seinem Personalausweis oder dem Reisepass ausweisen muss.  


Nachweise :

Die oben getroffene Unterscheidung der Unterschriften basiert auf der Klassifikation der Electronic Identification Authentication and trust Services (eIDAS); s. dazu:  https://ec.europa.eu/digital-single-market/en/policies/trust-services-and-eidentification

Einige Erklärungen verwenden die Terminologie der Electronic Signatures in Global and National Commerce Act (ESIGN act); s. dazu hier:  https://www.fdic.gov/resources/supervision-and-examinations/consumer-compliance-examination-manual/documents/10/x-3-1.pdf

Eine gute Übersicht in Deutsch finden sich beispielsweise in „IT Beratung & Entwicklung“ von Gerald Steffens: „Digitale Signatur – Elektronische Unterschrift in Bits & Bites“ (https://www.signaturrecht.de/rechtlicher-rahmen/unterscheidungen-der-signaturenarten/)