Gajus - Fotolia

Mehr Sicherheit dank elektronischer Signaturen

Rechnungen oder Verträge werden häufig papierlos abgewickelt. Um diese geschäftlichen Dokumente rechtskräftig zu unterzeichnen, kann die elektronische Signatur herangezogen werden.

Rechtssicherheit bietet die qualifizierte elektronische Signatur, häufig reicht aber auch eine eingescannte Signatur oder nur eine E-Mail, sofern sich die Parteien über den Willen zur Signatur nicht streiten. Geprägt durch die Technologie der Vergangenheit und auch die Gesetzgebung der Anfangsjahre der elektronischen Signatur hat diese immer noch das Image einer schwerfälligen Technologie mit komplizierten Prozessen.

Diese Hürden gibt es aber jetzt dank einfachstem Onboarding und beispielsweise Signaturbestätigung per Fingerabdruck am Handy immer weniger. Dabei sind die Einsparungen durch wegfallende Prozesse (Postversand, Einscannen, Unterschriften einsammeln, etc.) signifikant.

Mussten Verträge und weitere Willenserklärungen früher noch ausgedruckt, an den Adressaten versendet von diesem unterzeichnet und wieder an den Absender zurückgeschickt werden, woraufhin sie firmenintern gescannt und archiviert wurden, eröffnen sich Unternehmen heute mit der qualifizierten elektronischen Signatur ganz neue Möglichkeiten: Indem Vertragsprozesse vollständig digitalisiert werden, lassen sie sich weitaus effizienter, kostengünstiger und nutzerfreundlicher gestalten.

Kunden haben die Möglichkeit, die elektronische Willensbekundung ortsunabhängig und auf dem Endgerät ihrer Wahl zu tätigen, da zwischen dem Entschluss und der Bestätigung nur wenige Klicks liegen. Unternehmen wiederum können die ihnen digital zur Verfügung gestellten Daten umgehend weiterverarbeiten, was sich positiv auf ihre Produktivität beziehungsweise ihre Abschlussraten auswirkt.

Identifikation und Sicherheit

Mit dem Einsatz der qualifizierten elektronischen Signatur muss kein Anwender mehr persönlich vorstellig werden, um Verträge in seinem Namen unterzeichnen zu dürfen. Doch wie funktioniert der Identifikationsprozess und wie steht es im Zuge dessen um die nötige Sicherheit?

Zunächst darf man sich die elektronische Signatur nicht einfach als handschriftliche Unterschrift in digitaler Form vorstellen, denn diese wäre in der Tat recht einfach zu kopieren. Vielmehr handelt es sich um ein kryptografisches Verfahren: So werden die persönlichen Informationen sowie eine einmalige mathematische Quersumme, der Hash-Wert des Dokumentes, mithilfe eines Algorithmus mit einem privaten Schlüssel verschlüsselt, der dem Dokument zusammen mit einem auf seine Identität ausgestelltes Signaturzertifikat beigefügt wird.

In dem Signaturzertifikat befindet sich der öffentliche Schlüssel zum privaten Schlüssel. Ein Empfänger hat nun die Möglichkeit, ebenfalls einen Hash-Wert zu ermitteln und den verschlüsselten Hash des Signierenden mit dem öffentlichen Schlüssel im Zertifikat zu entschlüsseln.

Sind beide Hashwerte dann gleich, ist das Dokument nach der Signatur nicht mehr verändert worden und mit der Person verbunden, deren Identitätsdaten im Zertifikat vorhanden waren. Mit diesem Public-Key- Verfahren wird die ermittelte Signatur untrennbar mit dem elektronischen Dokument verknüpft, so dass die Integrität des Schriftstückes gewahrt ist. Nachträgliche Veränderungen am Dokument können so erkannt und nachvollzogen werden.

Marco Schmid, Swisscom Trust Services

„Mit dem Einsatz der qualifizierten elektronischen Signatur muss kein Anwender mehr persönlich vorstellig werden, um Verträge in seinem Namen unterzeichnen zu dürfen.“

Marco Schmid, Swisscom Trust Services

Um eine qualifizierte elektronische Signatur auslösen zu können, bedarf es eines Signaturzertifikates. Für dieses Signaturzertifikat muss der Signierende einmalig identifiziert werden.

Die Europäische Verordnung zur elektronischen Signatur (eIDAS) sieht vor, dass zugelassene Vertrauensdiensteanbieter diese Zertifikate ausstellen dürfen und hierzu die Personen entsprechend identifizieren können.

Diese Identitätsfeststellung ist beispielsweise über das VideoIdent-Verfahren möglich, bei der ein fachkundiger Agent via Webcam unter Vorlage eines gültigen Ausweisdokumentes eine eindeutige Identifikation vornehmen kann, oder mittels der Online-Ausweis-Funktion des Personalausweises.

Darüber hinaus kann auch ein Identifikationsverfahren über ein Standard-Login in einem bestehenden Bankkonto dem Nutzer einen unkomplizierten und nutzerfreundlichen Identitätsnachweis über das Finanzinstitut des Vertrauens bieten. Damit unabhängig von der einmaligen Identifikation beliebig oft signiert werden kann, bieten Vertrauensdiensteanbieter qualifizierte elektronische Signaturen als Fernsignaturen an.

Diese können mit einer Zwei-Faktor-Authentifizierung beispielsweise mittels Besitz (Mobilnummer) und Biometrie (Fingerabdruck) oder Wissen (Passwort) ausgelöst werden, die sogenannte Willensbekundung zur Signatur. Die Mobilnummer wird hierzu während der Identifikation mit einer SMS-TAN ebenfalls überprüft und registriert.

Weniger Komplexität

Mit Inkrafttreten der eIDAS-Verordnung wurde der gesamte Vorgang rund um die elektronische Signatur um einiges einfacher. So sehen die Regularien vor, dass Anwender den gesamten Prozess der Schlüsselerstellung, Schlüsselverwaltung und Erstellung der elektronischen Unterschrift an einen Vertrauensdienstleister (Trust Service Provider) im Rahmen einer Fernsignatur auslagern dürfen. Dieser verwahrt treuhänderisch den Schlüssel und das Zertifikat des Anwenders und signiert das Dokument in seinem Auftrag.

Dieser Prozess lässt sich beispielsweise ganz flexibel via Smartphone-App anstoßen. Der Trust Service Provider benötigt hierfür eine qualifizierte Signatur- und Siegelerstellungseinheit. Diese setzt sich aus einem Hardware-Sicherheitsmodul als Kryptographieeinheit und einem Signatur-Aktivierungsmodul zusammen.

Während das Sicherheitsmodul die Schlüssel generiert, speichert und verwaltet sowie den eigentlichen Signaturvorgang durchführt, autorisiert das Aktivierungsmodul den Signaturprozess und löst ihn aus. Es verifiziert die Daten und aktiviert den entsprechenden Schlüssel. Beide Komponenten müssen in einer manipulationssicheren Umgebung betrieben werden. Der Vertrauensanbieter wird hierbei strengstens durch regelmäßige Audits überwacht.

Fazit

Mit der eIDAS-Verordnung wurde der Weg geebnet für eine sichere Signaturerstellung, die die vormalig zwingend erforderliche und kostspielige Hardware in Form von Smartcard und Kartenlesegerät überflüssig macht.

Mit den geringeren Hürden im Identifikationsprozess wird es für Organisationen aller Branchen einfacher, ihre Geschäftsprozesse zu digitalisieren und ihren Kunden die qualifizierte elektronische Signatur bereitzustellen oder anhand von diesen Signaturen die Identität im Rahmen der Geldwäscheüberprüfung sicherzustellen. Auf diese Weise profitieren sie von sicheren und effizienteren Geschäftsabläufen und sind gleichzeitig in der Lage, die Kundenzufriedenheit durch ein Plus an Nutzerfreundlichkeit zu erhöhen.

Über den Autor:
Marco Schmid ist Head of International Expansion Strategy bei Swisscom Trust Services. Marco Schmid begann seine Karriere bei BMW in der Schweiz als Projektmanager und Systemadministrator und wurde daraufhin IT-Manager im Testteam des deutschen Formel-1-Rennstalls BMW Sauber F1. Seit 2017 arbeitet Marco Schmid bei Swisscom, dem führenden Schweizer Telekommunikationsunternehmen. Er startete als Sales Strategy Manager und verantwortet nun die Trusted Services als Head of International Expansion Strategy.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de

Close