Elektronische Signaturen – Ein Crashkurs

Was ist der Unterschied zwischen einer elektronischen Signatur und einer digitalen Signatur?

Die beiden Begriffe sind eng miteinander verwandt und werden oft synonym verwendet. Der Begriff elektronische Signatur ist ein juristischer Begriff und kann eine handschriftliche Unterschrift ersetzen, zum Beispiel um einen Vertrag zu unterzeichnen. Im Gegensatz zu einer handschriftlichen Unterschrift hat eine elektronische Signatur kein visuelles Erscheinungsbild. Sie besteht aus einer Menge elektronischer Daten, die es ermöglichen, andere Daten, wie z. B. ein PDF, überprüfbar und authentifizierbar zu machen.

Eine digitale Signatur hingegen bezieht sich auf einen kryptografischen Prozess zur Erstellung einer elektronischen Signatur mithilfe eines geheimen Signaturschlüssels. Durch die Verwendung des zugehörigen öffentlichen Schlüssels kann der Empfänger des unterzeichneten Dokuments eine Signaturverifikation durchführen.

Bitte beachten Sie, dass es länderspezifische Unterschiede in der Übersetzung und Interpretation dieser Begriffe gibt.

Welche Arten von Signaturen werden in der Praxis verwendet?

Für eine einfache elektronische Signatur (SES), reicht ein auf irgendeine Weise erstellter geheimer Schlüssel aus. Ein selbstsigniertes Zertifikat kann beispielsweise für diesen Zweck verwendet werden. Selbstsigniert bedeutet, dass der Aussteller, Prüfer der Legitimität und Eigentümer dieselbe Person sind.

Die fortgeschrittene elektronische Signatur (AES) authentifiziert den Unterzeichner und gewährleistet die Integrität eines Dokuments. Sie ist nicht gleichbedeutend mit einer handschriftlichen Unterschrift und besonders geeignet für die Unterzeichnung digitaler Dokumente, bei denen gesetzliche Vorschriften keine qualifizierte elektronische Signatur (QES) erfordern. Beispiele sind automatisierte Massensignaturen von Quittungen, Kontoauszügen oder anderen Geschäftsunterlagen.

Eine AES wird normalerweise unter Verwendung eines fortgeschrittenen Zertifikats erstellt, das einer natürlichen oder juristischen Person ausgestellt ist. Fortgeschritten bedeutet, dass es von einer rechtlich anerkannten Zertifizierungsstelle (CA) ausgestellt wurde, bei der sich der Unterzeichner einmal authentifizieren muss. Der Zugang zu dem Zertifikat und damit zur Erstellung der Signatur ist durch ein Passwort oder eine PIN geschützt.

Die qualifizierte elektronische Signatur (QES) muss im Vergleich zur AES zusätzliche formale Anforderungen erfüllen, da sie in vielen Ländern der handschriftlichen Unterschrift gleichwertig und daher rechtlich bindend ist, z. B. in der Schweiz, der EU, den USA. Der "Inhaber" ist stets eine natürliche Person. Das Signaturzertifikat einer QES muss ebenfalls von einer staatlich anerkannten CA ausgestellt werden.

Qualifizierte Zertifikate müssen in der Regel physisch übergeben werden (SmartCard, USB-Stick, HSM). Im Gegensatz zur AES muss das Passwort oder die PIN der QES für jede einzelne Signatur eingegeben werden. Dies stellt sicher, dass eine Signatur tatsächlich von ihrem Eigentümer stammt. Bei einer qualifizierten Signatur kann ein Zeitstempel verwendet werden, um zu überprüfen, ob das Zertifikat zum Zeitpunkt seiner Erstellung gültig oder nicht widerrufen war – bei einer AES ist dies optional.

Was nicht obligatorisch, aber empfohlen wird, ist ebenfalls die Einbeziehung eines Zeitstempels bei QES. Dies erhöht den Wert oder den Beweiswert der Signatur.

Wofür wird eine elektronische Signatur verwendet?

Um eine handschriftliche Unterschrift zu ersetzen. Die elektronische Signatur kann die Anforderungen an eine handschriftliche Unterschrift in gleicher Weise erfüllen wie die handschriftliche Unterschrift selbst, vorausgesetzt, die gesetzlichen Anforderungen sind erfüllt (siehe Frage 2).

Die Verwendung einer digitalen Signatur trägt zur Zeit- und Ressourcenschonung bei. Zum einen erfordert sie nicht die physische Anwesenheit des Unterzeichners. Zum anderen muss das Dokument nicht spezifisch zum Unterzeichnen ausgedruckt werden.

Prozesse, bei denen viele Dokumente unterzeichnet werden müssen oder die Unterzeichner an verschiedenen Standorten sind, können viel Zeit und Portokosten in Anspruch nehmen. Digitale Signaturen machen dies viel schneller und kostengünstiger.

Warum werden Dokumente elektronisch unterzeichnet?

Elektronische Signaturen haben einen "Versiegelungseffekt" für digitale Dokumente. Sie bieten die Möglichkeit, die Authentizität des Unterzeichners und die Integrität des Dokuments sowie den Zeitpunkt der Unterzeichnung, falls erforderlich, zu überprüfen. Authentizität bedeutet, dass eine Signatur eindeutig einer Person zugeordnet werden kann. Ein Dokument gilt als intakt, wenn es nicht nachträglich verändert wurde. Die elektronische Signatur kann daher verwendet werden, um nachzuvollziehen, wer ein Dokument erstellt hat, es zuletzt bearbeitet oder im Archiv eingereicht hat und dass es seitdem nicht verändert wurde.

Wie überprüfen Sie eine digitale Signatur?

Grundsätzlich wird diese Aufgabe von einer Signaturüberprüfungssoftware durchgeführt, z. B. 3-Heights® PDF Security. Die Integrität des Dokuments ist gewährleistet, wenn die Signatur nicht gebrochen ist. Zu diesem Zweck werden ein öffentlicher Schlüssel und ein kryptografisches Verfahren verwendet, ähnlich dem, das zur Erstellung der Signatur verwendet wurde. Zur Überprüfung der Authentizität werden die Gültigkeit des Zertifikats und eine Vertrauenskettenüberprüfung durchgeführt. Die Software überprüft auch, ob das Zertifikat zum Zeitpunkt der Signatur gültig war.

Wie merkt die Signatur, dass das Dokument nachträglich verändert wurde?

Wie beim Signieren wird während der Überprüfung ein Hash-Wert aus dem Inhalt des Dokuments berechnet. Der Hash-Wert ist eine Art "Summenwert" des Dokuments, aber es ist nicht möglich, den Inhalt daraus abzuleiten. Jede Änderung des Dokuments verändert den Hash-Wert erheblich. Der Hash-Wert des Dokuments wird in der Signatur gespeichert. Wenn das Dokument geändert wird, stimmen die Hash-Werte nicht mehr überein. Dies bricht die Signatur.