Blog

Alles was Sie über digitale Signaturen wissen sollten

3 min Lesezeit

Die häufigsten Irrtümer über elektronische Signaturen - Teil I

Von FP Sign Team am 11.November 2020

Fakten sind immer besser als Mythen

Die elektronische Signatur wird spätestens seit der eIDAS-Verordnung von 2016 von vielen Unternehmen als sichere und rechtskonforme Lösung zur digitalen Unterzeichnung von Dokumenten genutzt.

Jedoch erschweren immer noch weit verbreitete Irrtümer den breiten Einsatz der E-Signatur. Vor allem die Aspekte Datensicherheit und Rechtsgültigkeit bereiten einigen Unternehmen immer noch Sorgen – meist zu Unrecht.

Wir räumen daher mit den häufigsten Mythen über die digitale Unterschrift auf.

Mythos 1: Elektronische Signaturen sind nur ein Abbild von einer eigenhändigen Unterschrift

Es herrscht oft der Irrglaube, die elektronische Signatur sei ein optischer Platzhalter für die eigene handschriftliche Unterschrift auf digitalen Dokumenten. Doch die elektronische Signatur ist keine Bilddatei, sondern vielmehr ein kryptografisches Verfahren: Die Information zur Person und der sogenannte Hash-Wert des Dokumentes (einmalige mathematische Quersumme) werden mithilfe eines digitalen Zertifikates berechnet und verschlüsselt. So wird die Signatur untrennbar mit dem elektronischen Dokument verbunden und die Integrität des Dokumentes gesichert. Dieses Verfahren begleitet das Unterschreiben mittels der sogenannten fortgeschrittenen (AES) und der qualifizierten elektronischen Signatur (QES).

Beim Integrieren einer gescannten Unterschrift, z. B. per Bild, in ein Dokument, spricht man von einer einfachen elektronischen Signatur. Eine E-Signatur erlangt eine hohe Beweiskraft jedoch nur durch spezielle Identifizierungs- und Authentifizierungsverfahren, die nur durch einen Vertrauensdienstanbieter ermöglicht werden. Daher weist die einfache Signatur – da diese im Prinzip von jedem erstellt werden kann – eine deutlich niedrigere Beweiskraft und Sicherheit des Unterschriftenprozesses auf. In diesem Sinne ist sie nicht der fortgeschrittenen und der qualifizierten elektronischen Signatur gleichgestellt.

Mythos 2: Für die elektronische Signatur braucht man ein Kartenlesegerät

Seit der Einführung der eIDAS-Verordnung sind Signaturvorgänge nicht mehr ausschließlich Hardware-gebundene Prozesse. Vielfache Erleichterungen, wie die sogenannte Fernsignatur, kommen mit der Verordnung ins Spiel und vereinfachen signifikant die Signaturerstellung: Die dafür benötigten privaten Signaturschlüssel werden auf den Servern eines Vertrauensdienstanbieters generiert – und sind somit an jedem beliebigen Ort der Welt abrufbar. Das ermöglicht die sichere, mobile Signatur etwa vom Smartphone oder Tablet und macht Kartenlesegeräte, zusätzliche Software oder Signaturkarten bzw. Chipkarten überflüssig.

Mythos 3: Jeder kann in meinem Namen unterschreiben

Das ist ein Irrtum. Je höher die gewünschte Signaturstufe – die EU-Verordnung eIDAS unterscheidet nach der einfachen, fortgeschrittenen und qualifizierten elektronischen Signatur –, desto höher die Anforderung an die Identifizierung des Unterzeichners. Wenn man über eine webbasierte Signaturlösung, also ohne Einsatz einer Signaturkarte, elektronisch qualifiziert unterschreibt, so bedarf es beispielsweise für die QES einer einmaligen individuellen Identifizierung des Signaturinhabers durch einen qualifizierten Vertrauensdienstanbieter – zum Beispiel mittels eines VideoIdent-Verfahrens oder der Online-Ausweisfunktion des Personalausweises. Bei jeder Anwendung der QES ist zudem eine sogenannte Zwei-Faktor-Authentifizierung (mit Username oder E-Mail-Adresse und Passwort sowie SMS-TAN) notwendig.

Beim qualifizierten Signieren mittels einer Signaturkarte muss sich der Signaturinhaber ebenfalls einmalig identifizieren lassen und bei jeder Anwendung mit einer 6-stelligen PIN authentifizieren. Die QES ist nur in Verbindung mit diesen Sicherheitsmaßnahmen, also Identitätsprüfung und Zwei-Faktor-Authentifizierung, möglich. So machen es die verschiedenen Authentifizierungsverfahren nahezu unmöglich, dass jemand mittels einer elektronischen Signatur unbefugt im Namen einer anderen Person unterschreibt. Zudem wird eine nachträgliche Veränderung des Dokumentes sichtbar.

To be continued...

FP Sign Team

Verfasst von FP Sign Team

 

MELDEN SIE SICH KOSTENLOS ZU UNSEREM NEWSLETTER AN, UM IMMER AUF DEM NEUESTEN STAND ZU BLEIBEN UND KEINE ANGEBOTE ZU VERPASSEN!

 

Sie erhalten alle zwei Wochen ein Update von uns per E-Mail.