Dokumente mit Digitalen Signaturen sichern – Teil 1
Das webPDF-Portal bietet die Funktion zum digitalen Signieren von PDF-Dokumenten an. Mit dem Dienst Digitale Signatur basierend auf dem Webservice „Signature“ können Dokumente digital mit Unterschrift, Signatur und Zertifikat versehen und gesichert werden. Interne und externe Kommunikationsvorgänge können somit optimal auf elektronischem Wege abgewickelt werden.
Was ist eine Digitale Signatur?
Inzwischen werden viele Dokumente digital versendet. Dazu zählen auch: Bewerbungsunterlagen, Zahlungsanweisungen, Anträge bei Behörden, Rechnungen, Steuererklärungen oder Verträge. Eine qualifizierte, digitale Signatur ersetzt bei solchen Dokumenten die handschriftliche Unterschrift und es sollte dann technisch möglich sein, Vertrauenswürdigkeit, Herkunft und Unversehrtheit des Dokuments zu prüfen.
Welche Formen von digitalen Signaturen gibt es?
- Digitale Signatur: Von einer digitalen Signatur spricht man, wenn eine Nachricht oder ein Dokument durch eine Art „Verschlüsselung“ (Kombination einer Prüfsumme mit einem Schlüssel) gesichert bzw. „signiert“ ist. Diese Form der Signatur wirkt wie eine Unterschrift auf einer Nachricht oder einem Dokument. Diese Form der „Unterschrift“ bürgt für die Echtheit des Dokuments und des Urhebers. Ob die Signatur zweifelsfrei vertrauenswürdig ist, kann elektronisch überprüft werden. Zusätzlich sollte die Signatur mit einem vertrauenswürdigem Zeitstempel/timestamp versehen sein, denn eine Systemuhr am Computer kann jederzeit leicht manipuliert werden.
- Davon abzugrenzen ist die digitalisierte, handschriftliche Unterschrift. Es handelt sich in der Regel um ein Bild/Scan der Unterschrift oder ein Unternehmenssiegel bzw. Stempel. Wichtig: Diese digitale Unterschrift kann rein theoretisch nachträglich verändert werden. Deswegen gilt eine Unterschrift auf einem Dokument, die man per Scan oder Foto angebracht hat, nicht als ausreichend sicher. Ein Dokument, das eindeutig rechtssicher sein muss, sollte in digitaler Form mit einer qualifizierten, elektronischen Signatur versehen sein.
Wie funktioniert die Verschlüsselungstechnik der Digitalen Signatur?
Als Grundlage für Digitale Signaturen dient das Prinzip der Kryptographie bzw. das asymmetrische Krypto-Verfahren (der Begriff erlangte in jüngster Vergangenheit Bekanntheit durch den Begriff der Krypto-Währung, hier am bekanntesten Bitcoin). Unter Kryptographie versteht man die Wissenschaft der Verschlüsselung von Informationen.
Wenn ein Dokument mit einer digitalen Signatur geschützt werden soll, wird ein Schlüsselpaar gebildet. Dieses besteht aus einem privaten Schlüssel und einem öffentlichen Schlüssel. Beide Schlüssel funktionieren nur zusammen. Dafür muss der öffentliche Schlüssel durch ein elektronisches Zertifikat (oder digitales Zertifikat) einer Person eindeutig zugeordnet werden. Dabei wird ein öffentliches Verzeichnis eines Zertifizierungsanbieters benutzt, wodurch die Identität des Signaturherstellers zweifelsfrei überprüft werden kann. Solche digitalen Zertifikate, die bei dieser Schlüssel-Technik benötigt werden, müssen also von vertrauenswürdigen Organisationen (Liste der Bundesnetzagentur) herausgegeben werden.
Hinweis: In den kommenden Beiträgen Teil 2 und Teil 3 über Digitale Signaturen wird die Funktionsweise noch etwas weiterführend beschrieben: Wie funktioniert die Verschlüsselungstechnik genau und wie kann man eine Digitale Signatur mit dem webPDF-Portal anbringen.
Ist ein Dokument mit einer Digitalen Signatur rechtskräftig?
Laut deutschen Signaturgesetz gibt es drei Formen der Signatur mit unterschiedlichen Sicherheitsanforderungen: einfache, fortgeschrittene und qualifizierte digitale Signatur. Seit dem 01.07.2016 gilt dahingehend die eIDAS-Verordnung (electronic IDentification, Authentication and trust Services). Generell sind alle drei Formen vor EU-Gerichten zugelassen. Elektronisch signierten Dokumenten dürfen nicht generell die Wirksamkeit abgesprochen werden.
ABER: Nur die qualifizierte, elektronische Signatur hat automatisch dieselbe Rechtsgültigkeit wie eine handgeschriebene Unterschrift. Eine QES (qualifizierte, elektronische Signatur) gilt laut der eIDAS-Verordnung als sicherste Form der Signatur, ist aber somit auch die, die mit dem meisten Aufwand verbunden ist in der Umsetzung. Man muss also immer im Einzelfall prüfen und abwägen, welche Relevanz das zu signierende Dokument hat. Die Benutzerfreundlichkeit sollte bei der Abwägung auch eine Rolle spielen.
Das Einfügen von qualifizierten, elektronischen Signaturen ist nur möglich, wenn man folgende Voraussetzungen erfüllen kann. In der Regel wird eine Signaturkarte, ein Kartenlesegerät (oder auch Chipkarte oder Chipkarten-Lesegerät genannt) und eine geeignete Software benötigt. Wichtig: Seit der eIDAS-Verordnung können nun deutsche Unternehmen auch vollständig cloudbasierte Lösungen einsetzen.
einfach | fortgeschritten | qualifiziert |
Einfachste Form der (elektronischen) Signatur: Ein Bild/Scan der Unterschrift oder ein Unternehmenssiegel bzw. Stempel | Von einer fortgeschrittenen, digitalen Signatur spricht man, wenn eine Nachricht oder ein Dokument durch eine Verschlüsselungstechnik gesichert wurde. Ob die Signatur zweifelsfrei vertrauenswürdig ist, kann elektronisch überprüft werden. Wichtig ist, dass der Unterzeichner die alleinige Kontrolle über die Erzeugung der Signatur hat. | Eine qualifizierte Signatur ist eine fortgeschrittene Signatur, die auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde. Im Gegensatz zu fortgeschrittenen, digitalen Signaturen, ist hier ein Zertifikat sowie eine Signaturkarte und ein Kartenlesegerät zwingend erforderlich (wenn keine cloud-basierte Technik verwendet wird). |
Anwendungsbereiche: Online-Bewerbungen, interne Dokumente, alle Transaktionen mit keinem rechtlichen Risiko | Anwendungsbereiche könnten unbefristete Verträge, B2B-Handelsverträge o.ä. sein | Anwendungsbereiche: Anmeldungen durch Notare beim Handelsregister, Steuerportal Elster, manche öffentliche Vergabeverfahren, Personenstandsregister der Standesämter, Vertragsentwürfe und Übermittlung von Dokumenten von Rechtsanwälten, allg. steigt die Bedeutung für Unternehmer und Behörden |
Diese digitale Unterschrift kann rein theoretisch nachträglich verändert werden und gilt deshalb nicht als ausreichend sicher. | Diese digitale Signatur gilt zwar als ausreichend sicher, ist aber nicht geeignet für Dokumente, die absolut rechtkräftig sein müssen. | Nur die Digitale Signatur ist absolut rechtskräftig und entspricht der eigenhändigen Unterschrift. |
Es bestehen im Gegensatz zur fortgeschrittenen und qualifizierten Form keine besonderen Anforderungen | Manipulation der Daten muss erkennbar sein. Die Signatur muss mit einer Person verknüpft sein.
Ein digitales Zertifikat muss nicht unbedingt dazugehören. |
Die Signatur muss strengen Anforderungen genügen und muss zertifikatsbasiert sein. |
Rechtliche Vorgaben – Zu beachten sind:
- Datenschutzstandards des Europäischen Instituts für Telekommunikationsnormen (ETSI)
- PAdES-Norm (PDF Advanced Electronic Signature)
- CAdES-Format (CMS Advanced Electronic Signatures)
- Deutsches Signaturgesetz (SigG) eIDAS (electronic IDentification, Authentication and trust Services) – Alle Infos über die eIDAS Verordnung und elektronische Vertrauensdienste gibt es von offizieller Stelle bei der Bundesnetzagentur
- Eine digitale Signatur sollte auch immer den gesetzlichen Anforderungen an eine Langzeitarchivierung entsprechen: GoBD