Elektronische Signatur und eIDAS
Unser Leben wird immer digitaler. Angefangen bei Saugrobotern und ChatGPT über E-Rezepte bis hin zu elektronischen Tickets.
Selbst Unterschriften sind bereits im digitalen Wandel. Wie die elektronische Signatur funktioniert und wie sicher diese ist, erklären wir in diesem Artikel.
Die Signatur kurz erklärt
Für das Wort Signatur existieren Synonyme wie “Namenszeichen” oder “Unterschrift”. Eine Unterschrift bildet die Grundlage aller Rechtsgeschäfte, für die eine Schriftform erforderlich ist.
Somit dienen sie als
- Echtheitsnachweis,
- Urheberrechtsnachweise für Werke Kunstschaffender,
- zum Nachweis der Identität und
- zur Kenntnisnahme bestimmter Sachverhalte.
Im Allgemeinen gelten auch für Signaturen bestimmte Vorschriften, beispielsweise muss die Wiedergabe des Familiennamens und einzelner Buchstaben erkennbar sein.
Wie funktioniert eine digitale Signatur?
Digitale Signaturen können normal als handschriftliche Unterschriften auf einem Vertrag, digital als Namenseingabe in der Grußformel oder als automatisch hinterlegte Unterschriften in Dokumenten mit einhergehender Identifizierung oder Authentifizierung durch eine Chipkarte erfolgen.
Um die Sicherheitsstandards der elektronischen Signaturen entsprechend erfüllen und erklären zu können, gibt es drei wichtige Arten der digitalen Unterschriften.
Die einfache, die fortgeschrittene und die qualifizierte elektronische Signatur.
Abhängig vom Anwendungsfall sollten Sie die richtige Art der elektronischen Signatur wählen, um Dokumente und Verträge vor Missbrauch und Fälschungen zu schützen.
Die Arten der elektronischen Unterschrift
Einfache elektronische Signatur (EES)
Bei dieser Signatur werden elektronische Daten anderen elektronischen Daten hinzugefügt oder logisch miteinander verknüpft. Durch die fehlende Identifizierung der eigenen Persönlichkeit sind die Sicherheitsanforderungen hier sehr gering und eine eindeutige Zuordnung zu einer bestimmten Person nicht möglich. Dadurch kommt diese Unterschrift nur in formfreien Verträgen infrage.
Solche Beispiele treten unter anderem
- beim Namen in der Grußformel von E-Mails,
- bei eingescannten Unterschriften oder
- beim Klick in einer “Ich stimme zu” Checkbox auf.
Fortgeschrittene elektronische Signatur (FES)
Diese Art der Unterschrift ist sicherer als die einfache elektronische Signatur. Die im System abgespeicherten digitalen Unterschriften sind ausschließlich nur dem Signaturschlüsselinhaber zugeordnet. So werden die Authentifizierung und die Integrität der Daten gewährleistet.
Eine FES wird mithilfe einer Zertifizierungsstelle und des Public-Key-Verfahrens erstellt. Diese Zertifizierungsstelle authentifiziert Sie als Unterzeichner und wirkt einer Manipulation der Unterschrift entgegen.
Dabei wird die von Ihnen in der Zertifizierungsstelle hinterlegte Unterschrift einem generierten Hashwert zugewiesen. Der private Schlüssel verschlüsselt dann den Hashwert und ist gemeinsam für den Integritätsnachweis zuständig und bildet die Signatur.
Soll die Signatur entschlüsselt werden, entschlüsselt man den Hashwert mit dem öffentlichen Schlüssel. Funktioniert diese Entschlüsselung, wurde der passende Secret Key verwendet. Auf den Secret Key haben nur Sie als Inhaber zugriff. Um die Echtheit der public Keys zu garantieren, dient die Zertifizierungsstelle.
Somit vergleicht man den entschlüsselten Hashwert mit dem aktuellen. Eine Übereinstimmung sagt aus, dass Dokumente mit der Signatur seit der Signaturerstellung nicht mehr verändert wurden und noch gültig sind.
Laut eIDAS-Verordnung müssen für das elektronische Signum folgende Anforderungen erfüllt werden
- die E-Signatur muss dem Unterzeichner eindeutig zugeordnet werden können,
- die Identifizierung des Unterzeichners muss ermöglicht werden,
- sie ist mit den unterzeichneten Daten so verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann und
- solch eine Signatur wird mit Verwendung elektronischer Signaturerstellungsdaten erstellt, welche vom Unterzeichner mit einem hohen Maß an Vertrauen unter der alleinigen Kontrolle verwendet werden können.
Weitere Infos über eIDAS folgen im Verlauf des Beitrags.
Da Sie mit der Signatur in PDF-Dokumenten unterschreiben, werden diese nach der Unterschrift versiegelt und Änderungen können im Nachgang ausgeschlossen werden.
Eine fortgeschrittene elektronische Signatur ist meist in Datenschutzerklärungen, unbefristeten Arbeitsverträgen, Haftungsausschlüssen und weiteren ähnlichen Dokumenten zu finden.
Qualifizierte elektronische Signatur (QES)
Dieses Signum ist ähnlich zu der fortgeschrittenen und wird mit einer sicheren Signaturerstellungseinheit (SSEE), wie ein Chip oder eine Chipkarte erzeugt und benötigt zudem eine 2-Faktor-Authentifizierung per Smartphone oder E-Mail. Ein solcher Chip oder Chipkarte kann im medizinischen Bereich der Heilberufsausweis (HBA) darstellen. Durch das Einlesen des Ausweises identifiziert sich der Besitzer der Chipkarte als dieser und kann nun seine elektronische Unterschrift leisten.
Identifizieren Sie sich mit Ihrem Chip oder einer Karte, erstellt sich zeitgleich zum Zeitpunkt der Dokumentenerzeugung ein qualifiziertes Zertifikat. Das Zertifikat gewährleistet, dass kein Dritter auf den persönlichen Schlüssel zugreifen kann.
Aufgrund der expliziteren Prüfung der Identität, kostet diese Signatur, anders als die FES, Geld. Die Höhe des Betrages pro Unterschrift ist von Anbieter zu Anbieter unterschiedlich.
Mithilfe des Post-Ident-Verfahrens, Video-Ident-Verfahrens oder des elektronischen Ausweises erfolgt eine Identifizierung. Vor der Leistung Ihrer Unterschrift wird Ihre Identität geprüft. Können Sie sich ausweisen, erstellt ein zertifiziertes Trust Center ein elektrisches Zertifikat mit Ihrem Namen.
Solche Unterschriften sind in
- befristeten Arbeitsverträgen,
- Bürgschaften,
- E-Rezepten
und weiteren Verträgen und ähnlichen Sachverhalten.
Die eIDAS
Die Abkürzung “eIDAS” steht für Electronic Identification, Authentication and Trust Services.
Sie bildet die rechtliche Grundlage für elektronische Identifizierung und Vertrauensdienste in der EU und im Binnenmarkt.
Sie ermöglicht Unternehmen, unabhängig vom europäischen Land, sicherer, schneller als auch effizienter ihrer elektronischen Interaktionen abzuschließen.
Der Verwaltungsaufwand elektronischer Transaktionen wird durch die eIDAS und der damit einhergehenden Signaturen gesenkt und Geschäftsprozesse lassen sich effizienter gestalten. Damit können höhere Gewinne einhergehen.
Zudem wird durch die wesentlichen Rahmenbedingungen und Anforderungen an die elektronische Signatur das Vertrauen der Kunden wesentlich gestärkt.
Die Anforderungen kann man in 3 grobe Bereiche unterteilen:
- Verbesserte Benutzererfahrung
- Gewährleistung eines reibungslosen Service und
Produktlieferung durch direkte Leistung der Unterschrift.
- Mehr Fokus auf den Aufbau einer gesunden Kundenbeziehung.
- Gewährleistung eines reibungslosen Service und
- Höhere Sicherheit und Haftung
- Mehr Sicherheit zwischen den Parteien durch bestimmte
Vorschriften und Anforderungen von der eIDAS.
- Mehr Sicherheit zwischen den Parteien durch bestimmte
- Erhöhung der Effizienzgewinne
- Vereinfachte und schnellere Aufgabenausführung sowie
Gesamtkostensenkung bei zeitgleicher Aufrechterhaltung der
Produktqualität, Dienstleistungen und Support.
- Vereinfachte und schnellere Aufgabenausführung sowie
Fazit
So klein die Signatur manchmal auch wirkt, desto größer ist ihr Einfluss auf unser Handeln.
Die eIDAS-Verordnung erfordert zwar explizites Ausweisen und Bestätigen der Identität, ermöglicht jedoch im Nachgang einen problemlosen, schnellen und rechtskräftigen Kauf im Internet.
So können Kunden und Verkäufer einen Vertrag oder eine Vereinbarung schnell und digital unterzeichnen oder bestätigen und sparen sich den Weg, die Zeit als auch das Papier.
Verkäufer können sich mehr auf die Betreuung des Kunden, das Aussehen und die Funktion der Nutzeroberfläche als auch auf das Optimieren von Geschäftsprozessen konzentrieren.
Ihnen bleibt der Weg in die Filiale oder ein hin und her schicken von Briefen oder Dokumenten erspart und der Verbrauch von Papier nimmt ebenso deutlich ab.