Elektronische Signaturen – Ein Crash-Kurs

Was ist der Unterschied zwischen einer elektronischen Signatur und einer digitalen Signatur?

Die beiden Begriffe sind eng miteinander verbunden und werden oft austauschbar verwendet. Der Begriff elektronische Signatur ist ein juristischer Begriff und kann beispielsweise eine handschriftliche Unterschrift ersetzen, um einen Vertrag zu unterzeichnen. Im Gegensatz zu einer handschriftlichen Unterschrift hat eine elektronische Signatur kein visuelles Erscheinungsbild. Sie besteht aus einer Reihe von elektronischen Daten, die es ermöglichen, andere Daten, wie ein PDF, verifiable und authentifizierbar zu machen.

Eine digitale Signatur hingegen bezieht sich auf einen kryptografischen Prozess zur Erstellung einer elektronischen Signatur unter Verwendung eines geheimen Signaturschlüssels. Durch die Verwendung des zugehörigen öffentlichen Schlüssels kann der Empfänger des unterzeichneten Dokuments eine Signaturprüfung durchführen.

Bitte beachten Sie, dass es länderspezifische Unterschiede in der Übersetzung und Interpretation dieser Begriffe gibt.

Welche Arten von Signaturen werden in der Praxis verwendet?

Für eine einfache elektronische Signatur (SES), ist ein geheimer Schlüssel, der auf irgendeine Weise erstellt wurde, ausreichend. Zum Beispiel kann ein selbstsigniertes Zertifikat dafür verwendet werden. Selbstsigniert bedeutet, dass der Aussteller, der Überprüfer der Legitimierung und der Eigentümer dieselbe Person sind.

Die fortgeschrittene elektronische Signatur (AES) authentifiziert den Unterzeichner und gewährleistet die Integrität eines Dokuments. Es ist nicht gleichwertig mit einer handschriftlichen Unterschrift und eignet sich besonders gut für die Unterzeichnung digitaler Dokumente, bei denen die gesetzlichen Vorschriften keine qualifizierte elektronische Signatur (QES) verlangen. Beispiele sind automatisierte Massensignaturen von Quittungen, Kontoauszügen oder anderen Geschäftsdokumenten.

Eine AES wird normalerweise unter Verwendung eines fortgeschrittenen Zertifikats erstellt, das an eine natürliche oder juristische Person ausgestellt wurde. Fortgeschritten bedeutet, dass es von einer rechtlich anerkannten Zertifizierungsstelle (CA) ausgestellt wurde, bei der sich der Unterzeichner einmal authentifizieren muss. Der Zugang zum Zertifikat und damit zur Erstellung der Signatur ist durch ein Passwort oder eine PIN geschützt.

Die qualifizierte elektronische Signatur (QES) muss im Vergleich zur AES zusätzliche formale Anforderungen erfüllen, da sie in vielen Ländern der handschriftlichen Unterschrift gleichwertig ist und daher rechtlich bindend ist, z.B. in der Schweiz, der EU, den USA. Der "Inhaber" ist immer eine natürliche Person. Das Signaturzertifikat einer QES muss ebenfalls von einer staatlich anerkannten CA ausgestellt werden.

Qualifizierte Zertifikate müssen im Allgemeinen physisch übergeben werden (SmartCard, USB-Stick, HSM). Im Gegensatz zur AES muss das Passwort oder die PIN der QES für jede einzelne Signatur eingegeben werden. Dies gewährleistet, dass eine Signatur tatsächlich von ihrem Besitzer stammt. Mit einer qualifizierten Signatur kann ein Zeitstempel verwendet werden, um zu überprüfen, ob das Zertifikat zum Zeitpunkt der Erstellung gültig oder nicht widerrufen war – bei einer AES ist dies optional.

Was nicht obligatorisch, sondern empfohlen ist, ist auch ein Zeitstempel mit QES einzuschließen. Dies erhöht den Wert oder den Beweiswert der Signatur.

Wofür wird eine elektronische Signatur verwendet?

Um eine handschriftliche Unterschrift zu ersetzen. Die elektronische Signatur kann die Anforderung an eine handschriftliche Unterschrift in gleicher Weise erfüllen wie die handschriftliche Unterschrift selbst, vorausgesetzt, die gesetzlichen Anforderungen sind erfüllt (siehe Frage 2).

Die Verwendung einer digitalen Signatur hilft, Zeit und Ressourcen zu sparen. Einerseits erfordert dies nicht die physische Anwesenheit des Unterzeichners. Andererseits muss das Dokument nicht speziell zum Unterzeichnen ausgedruckt werden.

Prozesse, in denen viele Dokumente unterzeichnet werden müssen oder die Unterzeichner an verschiedenen Standorten sind, können viel Zeit und Portokosten in Anspruch nehmen. Digitale Signaturen machen dies viel schneller und kostengünstiger.

Warum werden Dokumente elektronisch signiert?

Elektronische Signaturen haben einen "Dichtungs-" Effekt für digitale Dokumente. Sie bieten die Möglichkeit, die Authentizität des Unterzeichners und die Integrität des Dokuments sowie den Zeitpunkt der Unterzeichnung gegebenenfalls zu überprüfen. Authentizität bedeutet, dass eine Signatur eindeutig einer Person zugeordnet werden kann. Ein Dokument hat Integrität, wenn es nicht anschließend verändert wurde. Die elektronische Signatur kann daher verwendet werden, um nachzuvollziehen, wer ein Dokument erstellt, es zuletzt bearbeitet oder es im Archiv eingereicht hat, und dass es seitdem nicht geändert wurde.

Wie überprüft man eine digitale Signatur?

Grundsätzlich wird diese Aufgabe von einer Software zur Überprüfung von Signaturen ausgeführt, z.B. 3-Heights® PDF Security. Die Integrität des Dokuments ist gewährleistet, wenn die Signatur nicht gebrochen ist. Zu diesem Zweck werden ein öffentlicher Schlüssel und ein kryptografisches Verfahren verwendet, ähnlich dem, das zur Erstellung der Signatur verwendet wurde. Um die Authentizität zu überprüfen, wird die Gültigkeit des Zertifikats und eine Vertrauenskettenüberprüfung durchgeführt. Die Software überprüft auch, ob das Zertifikat zum Zeitpunkt der Signatur gültig war.

Wie "merkt" die Signatur, dass das Dokument nachträglich geändert wurde?

Wie bei der Unterzeichnung wird während der Überprüfung ein Hashwert aus dem Inhalt des Dokuments berechnet. Der Hashwert ist eine Art "Summe der Ziffern" des Dokuments, aber es ist nicht möglich, den Inhalt daraus abzuleiten. Jede Änderung am Dokument verändert signifikant den Hashwert. Der Hashwert des Dokuments wird in der Signatur gespeichert. Wenn das Dokument geändert wird, stimmen die Hashwerte nicht mehr überein. Das bricht die Signatur.