Digitale Signatur erstellen

So unterschreiben Sie sicher elektronisch

21.07.2022
Von 
Mario Galatovic ist Vice President Products & Alliances bei utimaco.
Wie sicher sind elektronische Signaturen und wann ist welche der verschiedenen Formen angebracht? Wir erklären die unterschiedlichen Arten der digitalen Signatur.
Es gibt drei Arten, ein Dokument elektronisch zu unterschreiben. Die drei Varianten bieten eine unterschiedliche Rechtssicherheit.
Es gibt drei Arten, ein Dokument elektronisch zu unterschreiben. Die drei Varianten bieten eine unterschiedliche Rechtssicherheit.
Foto: ronstik - shutterstock.com

Signatur ist nicht gleich Signatur. Es wird zwischen drei Typen, beziehungsweise Abstufungen von Signaturen unterschieden, sowohl in der Praxis als auch von Seiten des Gesetzgebers:

  • (Einfache) elektronische Signatur oder "Simple Electronic Signature (SES)",

  • Fortgeschrittene elektronische Signatur (FES) oder "Advanced Electronic Signature (AES)",

  • Qualifizierte elektronische Signatur oder "Qualified Electronic Signature (QES)".

die Unterschiede zwischen diesen drei Varianten sollte jeder Nutzer einer elektronischen Signatur kennen, denn sie können große rechtliche Konsequenzen haben - bis hin zur Ungültigkeit von Verträgen.

Die (einfache) elektronische Signatur

Der Begriff "einfache elektronische Signatur" wird im Gesetzeskontext selbst nicht verwendet, er dient in der Praxis lediglich zur besseren Unterscheidung. Laut der eIDAS-Verordnung (electronic IDentification, Authentication and trust Services) der EU ist die "elektronische Signatur" definiert als "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet."

Weitere Anforderungen sind an diese Ausprägung nicht gestellt. Das heißt, unter diesen Typ fallen der eigene Name oder gestaltete Abbinder unter E-Mails genauso wie Scans der manuellen Unterschrift oder ein Foto des Absenders. Allen gemein ist, dass sie leicht digital kopiert werden können und somit keinen Fälschungsschutz bieten.

Die fortgeschrittene elektronische Signatur

Für die FES kennt eIDAS weitere Spezifikationen (zitiert nach Artikel 26 eIDAS):

  • Sie ist eindeutig dem Unterzeichner zugeordnet.

  • Sie ermöglicht die Identifizierung des Unterzeichners.

  • Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

  • Sie ist so mit den unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Die Umsetzung dieser Anforderungen unterliegt allerdings dem Anbieter der Signaturlösung, es findet vorab keine (verpflichtende) Kontrolle durch eine Aufsichtsstelle statt. Erst wenn der Verdacht aufkommt, dass eine fortgeschrittene Signatur nicht korrekt oder gefälscht ist, kann eine Prüfung gerichtlich angeordnet werden.

Die qualifizierte elektronische Signatur

Dieser Typ ist definiert als "eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht." Die genauen Vorgaben für qualifizierte Zertifikate und qualifizierte elektronische Signaturerstellungseinheiten sind in den Anhängen I und II der eIDAS-Verordnung im Detail geregelt. Ohne hier näher darauf einzugehen: Es ist wichtig zu wissen, dass es detaillierte Vorgaben gibt, die auch geprüft werden.

Überall, wo das Gesetz die Schriftform vorsieht, sollte mit der qualifizierten elektronischen Signatur unterschrieben werden.
Überall, wo das Gesetz die Schriftform vorsieht, sollte mit der qualifizierten elektronischen Signatur unterschrieben werden.
Foto: djile - shutterstock.com

Für Vertrauensdiensteanbieter, auch Trust Service Provider genannt, gelten hohe Anforderungen hinsichtlich ihrer ausgestellten Zertifikate und der eingesetzten Hardware. Bevor sie als Anbieter anerkannt werden, müssen sie ein komplexes Audit- und Zertifizierungsverfahren durchlaufen. Aufgrund dieser hohen Komplexität ist allein die qualifizierte elektronische Signatur in den allermeisten Fällen der händischen Unterschrift gleichgestellt. Die Trust Service Provider erhalten keinen Einblick in die Dokumente selbst, sodass der Datenschutz gewahrt wird. Ansonsten sind signierte Dokumente in DSGVO-Fragen genauso zu behandeln, wie alle anderen Daten auch.

Digitale Signatur erstellen: Wann welche Form?

Wann immer Dokumente, Urkunden oder andere Schriftstücke digitalisiert werden sollen, die der gesetzlichen Schriftform unterliegen, muss die QES eingesetzt werden, da nur sie der Unterschrift auf Papier gleichgestellt ist. Zu dieser Art von Dokumenten zählen beispielsweise befristete Arbeitsverträge.

Die Verwendung der QES kann auch an anderer Stelle sinnvoll sein, selbst wenn sie dort nicht explizit gesetzlich vorgeschrieben ist. Denn bei der QES gilt in der Regel die Beweisumkehr: Wer behauptet, eine Signatur sei gefälscht, muss dies nachweisen. Bei einfacher und fortgeschrittener Signatur ist es im Streitfall andersherum. Wenn Unternehmen sich in kritischen Fällen absichern wollen oder gerichtliche Auseinandersetzungen nicht auszuschließen sind, sollten sie auf jeden Fall auf die QES setzen.

Ist ein mittleres Sicherheitsniveau gefordert, kann auch die FES eine gute Wahl sein. Allerdings sollten Anwender darauf achten, dass der entsprechende Anbieter freiwillig gewissen Standards für fortgeschrittene Signaturen folgt, wie beispielsweise den Vorgaben der europäischen Normungsorganisation ETSI.

Auch auf Basis der einfachen elektronischen Signatur können gültige Verträge zustande kommen, wenn weitere Komponenten wie regelmäßige Zahlungen den Vertragscharakter untermauern.

Wie wird die QES abgesichert?

Hinter der QES steckt eine Public-Key-Infrastruktur, beziehungsweise asymmetrische Kryptografie. Dadurch werden die Signaturen praktisch fälschungssicher und können einfach geprüft werden. Für die Erstellung einer Signatur (Verschlüsselung) wird ein privater Schlüssel benötigt. Zum Prüfen dieses Nachweises (Entschlüsseln) dient ein öffentlicher Schlüssel. Der Zusammenhang zwischen den Schlüsselpaaren wird über eine schwer umkehrbare mathematische Operation wie etwa der Primfaktorzerlegung großer Zahlen hergestellt. Das Knacken dieser Verschlüsselung wäre bei heutiger Technik mit einem nicht lohnenden Rechenaufwand verbunden.

Um die Schlüssel der elektronischen Unterschrift zu schützen, sollten Hardware-basierte Sicherheitsmodule verwendet werden.
Um die Schlüssel der elektronischen Unterschrift zu schützen, sollten Hardware-basierte Sicherheitsmodule verwendet werden.
Foto: Anatoly Vartanov - shutterstock.com

Für die Integrität des Verfahrens ist allerdings von zentraler Bedeutung, dass die privaten Schlüssel geheim bleiben. Daher werden diese in einem zertifizierten Hardware-Sicherheitsmodul (HSM) erzeugt und verwahrt. Im Gegensatz zu Software-Lösungen bieten HSM-Ansätze eine physische Trennung zu anderen IT-Systemen und somit besseren starken Schutz von Angriffen von außen.

In Zukunft werden die Vertrauensdienste allerdings aufrüsten müssen. Mit der überlegenen Rechenleistung von Quantencomputern könnte es bald möglich sein, die heutigen Algorithmen zu knacken. Daher gewinnen HSM-Verfahren, die auf die sogenannte Post-Quanten-Kryptographie vorbereitet sind, an Bedeutung. Sie können mit Algorithmen arbeiten, die so komplex sind, dass auch die Rechenleistung der Quantencomputer für sie keine Gefahr darstellt.

Immer wenn es auf zweifelsfreie Beweisbarkeit und höchste Rechtssicherheit ankommt, sollte die QES genutzt werden. Nur hinter diesem Verfahren stehen belastbare und geprüfte kryprografische Methoden. Für weniger sensible Bereiche können auch die anderen Signaturarten zum Einsatz kommen - doch das ist immer im Einzelfall zu entscheiden.

Zumindest bei der QES sind auch Bedenken hinsichtlich Datenschutz und Zukunftssicherheit unbegründet. Da die Stakeholder, die beim Signaturprozess zusätzlich ins Spiel kommen, keinen Einblick in die Dokumente selbst erhalten, verhalten sich diese Dokumente wie andere Schriftstücke. (hi)