In Zeiten digitaler Transitionen setzt alle Welt auf elektronische Formate: Das fängt bei E-Mails an und hört bei elektronischen Rechnungen längst nicht auf. Durch die digitale Signatur und der seit 2016 geltenden eIDAS-Verordnung bekommen wir nun die Werkzeuge an die Hand, um in digitalen Kommunikationen Dokumente, E-Mails etc. digital zu unterschreiben und damit auf der rechtlich sicheren Seite zu stehen.

Der folgende Artikel gibt dem interessierten Leser einen Überblick auf das grundsätzliche Problem und wie man diesem mit digitalen Signaturen begegnet und schließlich löst.  Übrigens: Was hier etwas länglich erklärt wird, löst man im Arbeitsalltag ohne Interaktion oder nur mit wenigen Mausklicks. Es ist einfacher, eine elektronische Unterschrift zu setzen, als zum Stift zu greifen.

Prägnant zusammengefasst: Welche Herausforderung löst die digitale Signatur?

Eine der großen Herausforderungen, die sich in der digitalen Welt stellt, besteht darin, dass sich die agierenden Personen in den meisten Fällen nicht kennen – jedenfalls nicht in dem Sinne, wie z.B. zwei Personen, die sich vis-à-vis gegenüberstehend eine Vereinbarung treffen, z.B. einen Vertrag unterzeichnen und so Tatsachen schaffen. Online „kennt“ man sich vielleicht durch eine Skype-Session oder eine E-Mail-Konversation. Insbesondere letztere ist ohne große Anstrengungen fälschbar (Mail-Spoofing). Man kann sich also nicht sicher sein, ob z.B. eine E-Mail tatsächlich vom Absender stammt, den das E-Mail-Programm anzeigt. Gleiches gilt für die übermittelten Inhalte.  Leider fällt dies in der Regel nicht oder nicht sofort auf. Frohe Kunde: Um dieses Problem zu lösen, hat sich das „Internet“ etwas einfallen lassen – nämlich digitale Signaturen, basierend auf X.509-Zertifikaten. Durch den Einsatz signierter E-Mails oder mit digitalen Signaturen versehenen Dokumenten fällt so etwas hingegen sofort auf.

Digitale Signaturen machen’s möglich – Ihre elektronische Unterschrift

Allerdings: Nur weil Ihnen etwas auf den Monitor gemalt wird – hier die digitale Signatur –, heißt das noch längst nicht, dass dies auch den Tatsachen entspricht.

Definition: Was ist eine digitale Signatur?

Eine digitale Signatur stellt das Gegenstück zur handschriftlichen Unterschrift dar. Die Besonderheit liegt in deren Basis: dem asymmetrischen Kryptografiesystem. Grundsätzlich existieren drei verschiedene Arten digitaler Signaturen, die jeweils unterschiedlichen Anforderungen genügen, siehe auch: Formen der digitalen/elektronischen Signatur – eIDAS-Verordnung.

Dennoch stellt sich die Frage, woher nun das Vertrauen in die digitale Signatur stammt? Schließlich wird einem auch diese Signatur ja nur auf den Monitor „gemalt“.

Digitale Signaturen sichern Integrität und Urheberschaft eines Dokuments

  • Wie können Sie also sicherstellen, dass z.B. eine E-Mail noch immer dieselbe ist, wie zum Zeitpunkt des Versendens, und während der Übermittlung nicht verändert wurde? Hierbei geht es um die Integrität der ursprünglichen Nachricht. Auch dies sichert die digitale Signatur ab.
  • Wie stellen Sie sicher, dass die E-Mail tatsächlich von der Person gesendet wurde? Allein eine „Unterschrift“, die der Absender in die E-Mail eingetippt hat, und dessen Absenderadresse reichen mit Sicherheit nicht. Erst mit einer digitalen Signatur verschaffen Sie sich Gewissheit darüber. Hierbei geht es um die Urheberschaft der ursprünglichen Nachricht.

In aller Kürze: Aus sich selbst heraus beantwortet eine Anwendung (ein E-Mail-Programm, ein PDF-Betrachter etc.)  diese Fragen nach Urheberschaft und Integrität von Dokumenten nicht. Um diesen Fragen mit triftigen, nachvollziehbaren Antworten zu begegnen, benötigt es eben digitale Signaturen.

Wie funktioniert die digitale Signatur?

  • Genauso wie in der Offline-Welt bestimmte Behörden mit der Ausstellung und Überprüfung von z.B. Personalausweisen betraut sind, existieren in der digitalen Welt bestimmte Organisationen und Verfahren zur Ausstellung und Überprüfung von digitalen Zertifikaten, aus denen sich digitale Signaturen generieren lassen.
  • In der digitalen Welt nennt man diese Institutionen  Ceritificate Authorities (CA) und Trust Service Provider (TSP) – die Vertrauensdienste-Anbieter.

Um in den Besitz einer elektronischen Signatur zu kommen, sucht man den eben erwähnten Vertrauensdienste-Anbieter auf. Dort findet in der Regel im ersten Schritt eine digitale persönliche Identifizierung statt, beispielsweise via Video-Ident, einem Verfahren, indem die Identifizierung zur Bestätigung Ihrer Identität stattfindet. Dieses Vorgehen eignet sich für qualifizierte digitale Signaturen.

Das Ergebnis dieses Verfahrens ist ein digitales Zertifikat, aus dem sich eine fortgeschrittene elektronische Signatur erzeugen lässt. Folgendes steht in einem solchen digitalen Zertifikat:

Das digitale Zertifikat. Basis für die digitale Signatur.

Das digitale Endzertifikat – fast wie Ihr Personalausweis

Auf dem Zertifikat findet man also alle notwendigen Bestandteile, die Ihre Identität bestätigen. Ebenso wird die Echtheit Ihres Zertifikats durch die Signatur des Ausstellers, der CA bzw. des Anbieters der Vertrauensdienste, bestätigt. Insofern lässt sich das digitale Zertifikat, aus und mit dem Sie digital signieren, in eine Analogie zum Personalausweis stellen.

Die fortgeschrittene digitale Signatur in der Praxis

Nach der Ausstellung eines digitalen Zertifikats verfügen Sie auch über ein Public-Private-Key-Paar. Dieses Schlüsselpaar lässt sich mit zwei zueinander gehörenden Puzzlestücken vergleichen: Eines passt ins andere.

  • Der öffentliche Schlüssel ist an das digitale Zertifikat gebunden und steht der Welt zur Verfügung. Er dient zum Überprüfen der digitalen Signatur.
  • Den privaten Schlüssel behandeln Sie streng geheim. Er dient zum Erzeugen einer digitalen Signatur, also zum Signieren, für Ihre „digitale Unterschrift“.

Schematischer Ablauf des Signierens und Überprüfens

  • Im ersten Schritt wird die Prüfsumme (Hash) des Dokuments, der E-Mail etc. ermittelt
  • Im zweiten Schritt wird die Prüfsumme mit dem privaten Schlüssel signiert, gewissermaßen „verschlüsselt“
  • Beim Empfänger angekommen, wird die Prüfsumme (Hash) mit dem öffentlichen Schlüssel „entschlüsselt“
  • Funktioniert dies, belegt dies die Urheberschaft
  • Anschließend wird die „entschlüsselte“ Prüfsumme mit der ermittelten Prüfsumme des Dokuments, der E-Mail etc. verglichen
  • Sind beide Prüfsummen (Hash-Werte) identisch, gilt das Dokument, die E-Mail etc. als nicht verändert. Damit ist die Integrität des übermittelten Inhalts bewiesen.

Mehr Informationen zum Thema Hash-Werte, asymmetrische Kryptographie findet man hier und audiovisuell an dieser Stelle (letzteres Beispiel erläutert den mathematischen Hintergrund der asymmetrischen Verschlüsselung am Beispiel des RSA-Verfahrens).

Digitale Signaturen/Zertifikate und die Chain-of-Trust

Was wir bis hierhin nicht wissen, ist die Frage nach der Gültigkeit der „Ausweisdokumente“, also der digitalen Zertifikate.  Und natürlich darf man sich den „Prüfer“ einer digitalen Signatur nicht wie im obigen Bild als Person vorstellen. Stattdessen kommt hier der sogenannte Vertrauenspfad (Chain-of-Trust) ins Spiel. Mit dessen Hilfe lassen sich digitale Zertifikate und damit digitale Signaturen hinsichtlich ihrer Gültigkeit überprüfen. Sowohl End-, Zwischen- als auch  Wurzelzertifikat verweisen durch die jeweilige digitale Signatur aufeinander. Das Endzertifikat gilt als gültig, da durch die Zwischen-CA signiert und mit deren öffentlichen Schlüssel überprüfbar bleibt; das Zwischenzertifikat gilt als gültig, da die Signatur des Zwischenzertifikats über den öffentlichen Schlüssel des Wurzelzertikats überprüfbar bleibt. Zwischen- wie auch Wurzelzertikate gehören den „Ausweisbehörden“.

Der Vertrauenspfad - digitale Zertifikate - Illustratiion

Digitale Signaturen: Funktionsweise am praktischen Beispiel

Zum Beispiel bekommen Sie von Ihrer Kollegin ein digital signiertes Dokument. Wie stellen Sie nun sicher, dass das Dokument nun tatsächlich von Ihrer Kollegin digital signiert, also elektronisch unterschrieben wurde?

  • Sie öffnen die digital signierte E-Mail, das Dokument etc. mit der jeweiligen Anwendung. Eine Subroutine der Anwendung betrachtet das Zertifikat Ihrer Kollegin und vergleicht dort sowohl Namen als auch die digitale Signatur der ausstellenden CA (Vertrauensdienste) und schaut, ob das Zertifikat gültig ist. Nur womit wird hier verglichen?
  • Zwei Optionen: Mit den Inhalten des sogenannten „Trust Stores“ auf Ihrem Rechner. Im Trust Store befinden sich digitale Zertifikate von anerkannten Certificate Authorities, den Vertrauensdiensten. Entweder wird der Trust Store vom Betriebssystem oder der jeweiligen Anwendung mitgeliefert. Im Erfolgsfall findet die Anwendung dort das digitale Zertifikat der ausstellenden CA, darin deren öffentlicher Schlüssel. Mit diesem kann nun das digitale Zertifikat auf Gültigkeit/Echtheit überprüft werden. Möglich ist auch eine Abfrage des Validierungsdienstes der Public-Key-Infrastuktur (PKI) des Vertrauensdiensteanbieters über das Certificate Status Protocol (OCSP) oder via Server-based Certificate Validation Protocol (SCVP).

Public Key Infrastruktur (PKI)

Eine Public-Key-Infrastruktur zählt zum zentralen Systembaustein asymmetrischer Kryptografie: Sie stellt digitale Zertifikate aus, verwaltet, verteilt und überprüft diese Zertifikate. Zu den gebräuchlichen Elementen einer PKI gehören eine Zertifizierungsstelle (Certificate Authority, CA), eine Registrierungsstelle (Registration Authority, RA), eine Zertifikatssperrliste (Certificate Revocation List, CRL), ein Verzeichnisdienst (Directory Service) und ein Validierungsdienst.

  • Da nun die Gültigkeit/Echtheit des digitalen Zertifikats überprüft wurde, kann mit dem öffentlichen Schlüssel Ihrer Kollegin der Inhalt des Dokuments – genauer: der Hashwert (siehe oben) – „entschlüsselt“ werden. Der öffentliche Schlüssel liegt auf deren Zertifikat. Lässt sich der Hashwert damit „entschlüsseln“, wird das Dokument als unverändert angesehen. Gleiches gilt für die digitale Signatur des Unterzeichners, die in diesem Schritt verifiziert wird.

Soviel zum Funktionsprinzip digitaler Signaturen als elektronischen Unterschrift. Natürlich konnte der Text die Funktionsweise nur in groben Zügen beschreiben – allemal genug für einen ersten Überblick.

Rechtlicher Hintergrund: die eIDAS-Verordnung und die elektronische Signatur

Auch von rechtlicher Seite hat man die Herausforderung von digitalen Signaturen seit geraumer Zeit  erkannt und dementsprechend reagiert. So trat die EU-Verordnung Nr. 910/2014, auch bezeichnet als „eIDAS-Verordnung“ (electronic IDentification, Authentication and trust Services),  am 1. Juli 2016 in Kraft. Die eIDAS-Verordnung ist für alle EU-Mitgliedstaaten verbindlich, soll vollständige Umsetzung finden und genießt dabei Vorrang vor allen mit ihr kollidierenden nationalen Gesetzen. Als solches ersetzt sie die Richtlinie 1999/93/EG zu elektronischen Signaturen. Damit ermöglicht die eIDAS-Verordnung EU-weit einheitliche Rechtsgrundlagen für digitale Signaturen sowie neu definierte elektronische „Vertrauensdienste“ (Trust Service Provider). Einen Überblick auf EU-weit bereits vorhandene Anbieter von Vertrauensdiensten erhalten Sie in der eIDAS-Map.

Obwohl in diesem Kontext gern von elektronischen Signaturen gesprochen wird, steht der Begriff digitale Signaturen synonym dazu – so jedenfalls im alltäglichen Sprachgebrauch. Dennoch entstammt der Begriff der elektronischen Signaturen der juristischen Domaine, eben aus der eIDAS-Verordnung und deren Vorgängern. In diesem Kontext werden die Anforderungen an elektronische Signaturen technologieneutral beschrieben, wohingegen die digitale Signatur ein konkretes kryp­to­gra­fisches Verfahren beschreibt.  An dieser Stelle bleibt jedoch festzuhalten: Die eIDAS-Verordnung stellt sicher, dass jede Art der elektronischen Signatur als Beweismittel vor EU-Gerichten zulässig ist. Elektronischen Signaturen darf also nicht die Rechtswirkung abgesprochen werden, nur weil sie in elektronischer Form vorliegen. Konkret: „Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift“.

Die drei Formen digitaler Signaturen

Verschaffen wir uns zunächst einen Überblick auf drei gängige Formen der digitalen Signaturen. Jene werden im Kontext der eIDAS-Verordnung elektronische Signaturen genannt.

Disclaimer: Bei alledem ist klar, dass an dieser Stelle keine Rechtsberatung erfolgt; es soll nur für die umfangreiche Situation sensibilisiert werden.

Die einfache elektronische Signatur (eeS)

Der Name deutet es bereits an: Sie gehört zur einfachsten Form der digitalen Signatur. Einfach meint an dieser Stelle, dass sie in Form und Inhalt keinen strengen gesetzlichen Regeln folgen muss. Ihr Zweck ist es, den Urheber einer Mitteilung, einer Nachricht kenntlich zu machen. Und zwar dadurch, dass einem elektronischen Dokument Daten beigefügt werden, um die Unterzeichnung dieses Dokuments zu bestätigen; mehr dazu an dieser Stelle.

Einsatzbeispiele für die einfache elektronische Signatur

Eine eingescannte Unterschrift, die unterhalb eines Dokuments eingefügt wurde, stellt ein gutes Beispiel für eine elektronische Signatur dar. Aber auch die Signatur, die man am Ende einer E-Mail anfügt, zählt dazu. Die einfache elektronische Signatur eignet sich im unternehmensinternen Schriftverkehr und reicht für formfreie Vereinbarungen aus. Praktisch bedeutet dies: interne Dokumente wie Bedarfsmeldungen, Anordnungen zu Dienstreisen, Protokolle, Dokumentationen etc. eignen sich für die einfache elektronische Signatur.

Disclaimer: Bei alledem ist klar, dass an dieser Stelle keine Rechtsberatung erfolgt; es soll nur für die umfangreiche Situation sensibilisiert werden.

Die fortgeschrittene elektronische Signatur (feS)

Hier gelangen wir zu den digitalen Signaturen im oben beschriebenen Sinne: Die fortgeschrittene elektronische Signatur muss strengeren Vorschriften entsprechen. Folgt man der eIDAS-Verordnung, so muss die fortgeschrittene elektronische Signatur vier Voraussetzungen erbringen:

  • sie muss eindeutig dem Unterzeichner zuzuordnen sein
  • die digitale Signatur muss die Identifizierung des Unterzeichners ermöglichen
  • die fortgeschrittene elektronische Signatur ist mithilfe von Signaturerstellungsdaten erzeugt. Die Erstellungsdaten verwendet der Unterzeichner unter seiner alleinigen Kontrolle.
  • die fortgeschrittene digitale Signatur muss mit den auf diese Weise unterzeichneten Daten verknüpft sein, damit eine nachträgliche Veränderung der Daten erkannt werden kann

Lesen Sie mehr dazu an diesem Ort.

Einsatzbeispiele für die fortgeschrittene elektronische Signatur

Mit der fortgeschrittenen digitalen Signatur liegt eine Signatur vor, bei der die Überprüfung im Falle eines Streites vereinfacht wird. Signaturen dieser Art eigenen sich für Transaktionen, mit denen ein mittleres rechtliches Risiko eingeht. Diese Signaturart eignet sich für B2B-Transaktionen verschiedener Art.

Disclaimer: Bei alledem ist klar, dass an dieser Stelle keine Rechtsberatung erfolgt; es soll nur für die umfangreiche Situation sensibilisiert werden.

Die qualifizierte elektronische Signatur (qeS)

In der digitalen Welt stellt die qualifizierte elektronische Signatur das Pendant zur handschriftlichen Unterschrift dar. Mit dieser digitalen Signatur wird es möglich, auch auf lange Sicht die Urheberschaft eines Dokuments zu überprüfen. „Die qualifizierte elektronische Signatur kann im elektronischen Rechtsverkehr überall dort Verwendung finden, wo herkömmlicherweise eine handschriftliche Unterschrift verwandt wird.“ Diese Spielart der digitalen Signatur erfüllt vier Voraussetzungen:

  • Die qualifizierte digitale Signatur lässt sich eindeutig dem Unterzeichner zuordnen
  • Die qualifizierte digitale Signatur ermöglicht die Identifizierung des Unterzeichners
  • Durch die qualifizierte elektronische Signatur lässt sich eine nachträgliche Veränderung des Dokuments erkennen
  • Die qualifizierte digitale Signatur muss durch den Einsatz von elektronischen Signaturerstellungsdaten erzeugt worden sein, die der Unterzeichner unter seiner alleinigen Kontrolle hat und die ausschließlich der Unterzeichner unter Einhaltung höchster Vertraulichkeit verwenden kann

Weitere Informationen finden Sie an dieser Stelle.

Einsatzbeispiele für qualifizierte elektronische Signatur

Digitale Signaturen – und die Praxis im ECM-Bereich?

Wenn Sie bis hierhin durchgehalten haben, liegt offensichtlich das Interesse am Thema der digitalen Signaturen vor. Damit stehen Sie nicht alleine. Laut einer von Web.de und 1und1 in Auftrag gegebenen und von Convios Consulting im Jahre 2017 durchgeführten Studie, stufen 74,9 % der Befragten das Thema Verschlüsselung von E-Mails, das eng mit der digitalen Signatur zusammenhängt, als wichtig ein. Praktisch nutzen es aber die Wenigsten (16 %). Über die Gründe lässt sich vortrefflich spekulieren – zum einen ist es ein recht umfangreiches Thema, zum anderen liegt es wohl auch an der aus Anwendersicht nicht gerade vorteilhaften Implementierung der digitalen Signatur.  Mit anderen Worten: Die Client-Programme machen es dem Anwender nicht leicht, überhaupt erst die Voraussetzungen zu schaffen, um E-Mails oder andere Dokumente zu signieren und zu verschlüsseln – gleich ob es nun über X.509-Zertifikate oder aber PGP-basierte Technologien (Web-of-Trust-Modell) handelt.

Wir von EASY SOFTWARE haben verstanden und planen die Option zur digitalen Signatur nun in der  EASY ECM Produktpalette bereitzustellen – über eine Schnittstelle zu einem Anbieter von Vertrauensdiensten. Bereits jetzt kommen Sie mit nur wenigen Mausklicks Sie zur elektronischen Unterschrift und zum digital signierten Dokument, z.B. einem Vertrag in EASY Contract – unserer Vertragsmanagement Software.

Artikel jetzt teilen

Erleben Sie die elektronische Signatur im Einsatz unserer Vertragsmanagement-Software

Der ganze Prozess in einer Software – digitales Vertragsmanagement leichtgemacht.

Neueste Beiträge

Einen Kommentar hinterlassen

Über Thorsten Schmidt
Thorsten Schmidt

Studie "When Data Drives Experience"

Wie digitalisiert sind 400 Unternehmen aus Deutschland? Laden Sie sich die Ergebnisse der repräsentative Befragung zum Digitalisierungsgrad und dem Einsatz von Experience Management herunter und erfahren Sie, warum der Experience Management Trend sich durchsetzen wird.

Die Studie anfordern
Das könnte Sie auch interessieren:
Digitale Personalakte SAP SuccessFactors
Dokumente und Daten zentral abbilden mit der elektronischen Personalakte für SAP SuccessFactors
SAP Master Data Management ROI
So berechnen Sie den ROI für die Optimierung des SAP Master Data Management
EASY for Dynmics Nav – sorgt für DMS-Funktionalität
5 Wege, wie sich das Dokumentenmanagement in Microsoft Dynamics NAV optimieren lässt
Zurück zur Übersicht Nächster Artikel
SAP Master Data Management ROIDigitale Personalakte SAP SuccessFactors