INTERVIEW TEIL 2 MIT STEPHAN VANBERG, PROJEKTLEITUNG GLOBAL FP SIGN
Elektronische Signaturen vereinfachen und beschleunigen Arbeitsprozesse und revolutionieren so aktuell Stück für Stück die Geschäftspraxis vieler Unternehmen. Trotz der vielen Vorteile elektronischer Signaturen, herrscht jedoch auch Skepsis und Sorge aufgrund der Sicherheit und Handhabung dieser digitalen Lösung, sodass vor allem Traditionsunternehmen weiterhin an Stift und Papier festhalten wollen.
Stephan Vanberg ist globaler Projektleiter von FP Sign, der elektronischen Signaturlösung von FP, dem Experten für sicheres Mailbusiness und sichere digitale Kommunikationsprozesse. Im folgenden Interviewteil klärt er die wichtigsten Fragen zur elektronischen Signatur und dem Thema Sicherheit.
1. Wer sich noch nicht mit der elektronischen Signatur befasst hat, nimmt vielleicht an, dass sie weniger sicher ist, als eine händische Unterschrift – stimmt das?
SVA:
Im Gegenteil – sie ist sogar sicherer, als die Unterschrift mit Stift und Papier, denn sie kommt durch hochwertige, asymmetrische kryptografische Verfahren zustande.
Kurz erklärt: Für das zu signierende Dokument wird eine einmalige mathematische Quersumme berechnet, die dann mit dem privaten Teil eines Schlüsselpaares signiert bzw. verschlüsselt wird. Dieser private Teil des Schlüssels ist nur dem Signierer zugänglich und meist durch zusätzliche Sicherheitsmaßnahmen geschützt (z.B. Passwörter, Zwei-Faktor-Authentifikation). Das Schlüsselpaar kann zudem eindeutig mit einer natürlichen oder juristischen Person verknüpft werden.
Ob eine Fälschung der Signatur oder das signierte Dokument nachträglich manipuliert wurde, lässt sich anhand der elektronisch erzeugten Daten sogar eindeutiger nachweisen als bei Papierdokumenten.
Bei FP Sign können Nutzer den Sicherheitsgrad ihrer Kommunikationsprozesse selbst bestimmen und durch die zusätzliche Aktivierung einer Zwei-Faktor-Authentifizierung steigern (z.B. Mobile-TAN).
Zudem sind die einzelnen Schritte des digitalen Signaturprozesses besser dokumentiert und daher auch nachvollziehbarer – ein entscheidender Vorteil gegenüber der Signatur auf Papier. Auch rechtlich ist sie der händischen Unterschrift in nahezu allen Bereichen des Geschäftsbetriebes gleichgestellt – sie ist jedoch viel einfacher und schneller umzusetzen.
2. Können digital signierte Dokumente oder sogar die eigene Unterschrift gehackt, entwendet oder missbraucht werden?
SVA:
Es wird oft irrtümlich angenommen, dass die Signatur auf elektronischen Dokumenten aus einer optischen Unterschrift besteht – tatsächlich besteht sie aber aus einer digitalen Signatur, in der der sogenannte Hash-Wert (einmalige, mathematische Quersumme eines Dokuments) verschlüsselt gespeichert wird. Die Besonderheit ist, dass der private Schlüssel zur Verschlüsselung nicht auf das Dokument selbst, sondern auf dessen Hash-Wert angewendet wird. Manipulationen lassen sich so zweifelsfrei nachweisen, da auch die dazugehörige Quersumme eindeutig ist. Die digitale Signatur könnte zwar aus einem Dokument entwendet und in ein anderes eingebaut werden, das hätte aber zur Folge, dass die Signatur ungültig wird und nicht korrekt verifiziert werden kann. Die Erzeugung von Signaturen findet abgeschottet von der restlichen Applikation, z.B. einer Cloud, statt. Somit sind Manipulationen während des Signaturvorgangs ausgeschlossen.
Natürlich ist beim Einsatz erheblicher krimineller Energien in der digitalen Welt vieles möglich - Das gilt aber ganz sicher noch mehr für papiergebundene Prozesse. Von daher erhöht die elektronische Signatur keinesfalls das Risiko von Missbrauch und ist im Vergleich zur Unterschrift auf Papier sicherer.
INTERVIEWPARTNER STEPHAN VANBERG, PROJEKTLEITER FP SIGN GLOBAL
3. Wer zertifiziert elektronische Signaturen und über welche Zertifizierung verfügt FP Sign?
SVA:
In Deutschland ist die Bundesnetzagentur die zuständige Aufsichtsbehörde für Vertrauensdiensteanbieter, die qualifizierte Zertifikate für elektronische Signaturen ausstellen. Dazu gehört zum Beispiel D-Trust, der Vertrauensdiensteanbieter der Bundesdruckerei, Kooperationspartner von FP. Die Bundesnetzagentur hat die Aufgabe, eine sichere und zuverlässige Infrastruktur für qualifizierte elektronische Signaturen auf- und auszubauen. FP Sign erfüllt die Anforderungen der europäischen Verordnung eIDAS und des Vertrauensdienstegesetzes, das das bis 29.07.2017 geltende Signaturgesetz abgelöst hat.
Elektronische Signaturen unterliegen der Verwendung kryptografischer Verfahren, die von europäischen und nationalen Sicherheitsbehörden vorgegeben werden. Mit der Einführung von eIDAS und der damit verbundenen Aufhebung des deutschen Signaturgesetzes und der Signaturverordnung entfällt die bisherige gesetzliche Grundlage für den Algorithmenkatalog, der zuletzt von der Bundesnetzagentur im Bundesanzeiger veröffentlicht wurde.
4. Ist vorgeschriebene Hardware zum Schutz privater Schlüssel für elektronische Signaturen zwingend erforderlich?
SVA:
Um das höchste Signaturlevel der qualifizierten elektronischen Signatur (QES) und damit einer rechtlich geforderten Schriftform zu entsprechen, war früher Hardware notwendig - eine Signaturkarte war das einzig zugelassene Medium für die qualifizierte elektronische Signatur, für das ein Kartenlesegerät nötig war. Seit Einführung der eIDAS ist das anders.
Derlei Hardware ist mit FP Sign nicht mehr notwendig. Durch die Anbindung an die Fernsignatur der Bundesdruckerei kann die qualifizierte Signatur auch ohne Signaturkarte oder Kartenlesegerät genutzt werden, sogar mobil. Zur Nutzung der QES muss ein einmaliger Registrierungsprozess über den zertifizierten Vertrauensdiensteanbieter D-TRUST der Bundesdruckerei durchgeführt werden. Eine digitale Identität wird beispielsweise per Personalausweis mit der Online-Ausweisfunktion oder VideoIdent-Verfahren erfasst, als Zertifikat gespeichert und kann dann über FP Sign jederzeit für die QES eingesetzt werden. Die elektronische Signatur wird anschließend über das FP Sign-Konto ausgelöst. Bestehen bereits ein FP Sign-Konto und ein sign-me-Konto, können beide aus FP Sign heraus miteinander verknüpft werden.
Das klingt interessant? Dann testen Sie FP Sign für 30 Tage einfach kostenlos und unverbindlich - der Test endet nach 30 Tagen automatisch.
