Bei elektronischen Signaturen herrscht Unsicherheit. Die Sorgen um die Datensicherheit sind meist unberechtigt, argumentiert Ina Gellner, Partnermanagerin und Expertin für Rechts- und Datensicherheit elektronischer Signaturen beim Lösungsanbieter FP Sign, und klärt die häufigsten Irrtümer auf.
1. Elektronische Signaturen sind das Abbild von einer eigenhändigen Unterschrift
Ein Irrglaube behauptet, die elektronische Signatur sei ein optischer Platzhalter für die eigene handschriftliche Unterschrift auf digitalen Dokumenten. Das ist falsch. Die elektronische Signatur ist keinerlei Bilddatei, sondern vielmehr ein kryptografisches Verfahren: Die Information zur Person und der sogenannte Hash-Wert des Dokumentes (eine einmalige mathematische Quersumme) werden mithilfe eines digitalen Zertifikates berechnet und verschlüsselt. So wird die Signatur untrennbar mit dem elektronischen Dokument verbunden und die Integrität des Dokumentes gesichert. Dieses Verfahren begleitet das Unterschreiben mittels der sogenannten fortgeschrittenen Verschlüsselung (Advanced Encryption Standard/AES)) und der qualifizierten elektronischen Signatur (QES).
Beim elektronischen Signieren mit einer gescannten Unterschrift ohne Verschlüsselung ist dagegen die Rede von einer einfachen Signatur. Diese weist eine deutlich niedrigere Beweiskraft und Sicherheit des Signierprozesses auf und ist der fortgeschrittenen und der qualifizierten elektronischen Signatur keineswegs gleichgestellt.
Anzeige
IT-Matchmaker®.guide Digital Office Business Lösungen
Einkaufsführer & Standardreferenz für ECM/DMS-Lösungen
- Umfassende Marktübersicht ECM/DMS-Lösungen in tabellarischer Form
- Fachbeiträge
- Profile & Success Stories der Anbieter
Zum Download des Digital-Office-Guides
2. Für die elektronische Signatur braucht man ein Kartenlesegerät
Seit der Einführung der eIDAS-Verordnung (Electronic Identification, Authentication and trust Services) sind Hardware-Applikationen nicht mehr unbedingt notwendig. Die sogenannte Fernsignatur ist ein deutlich einfacheres Verfahren für die Erstellung einer Signatur: Die dafür benötigten privaten Signaturschlüssel werden auf den Servern eines Vertrauensdienstanbieters generiert. Das ermöglicht die sichere, mobile Signatur etwa vom Smartphone oder Tablet und macht Kartenlesegeräte, zusätzliche Software oder Signaturkarten beziehungsweise Chipkarten überflüssig.
3. Jeder kann in meinem Namen unterschreiben
Ein weiterer Irrtum. Je höher die gewünschte Signaturstufe – die EU-Verordnung eIDAS unterscheidet nach der einfachen, fortgeschrittenen und qualifizierten elektronischen Signatur –, desto höher die Anforderung an die Identifizierung des Unterzeichners. Würde man über eine webbasierte Signaturlösung, also ohne Einsatz einer Signaturkarte, elektronisch qualifiziert unterschreiben, so bedarf es beispielsweise für die qualifizierte elektronische Signatur einer einmaligen individuellen Identifizierung des Signaturinhabers durch einen qualifizierten Vertrauensdienstanbieter – zum Beispiel mittels eines Video-Ident-Verfahrens oder der Online-Ausweisfunktion des Personalausweises. Bei jeder Anwendung der QES ist zudem eine sogenannte Zwei-Faktor-Authentifizierung notwendig. Meist kommen dafür Username oder E-Mail-Adresse und Passwort sowie SMS-TAN zum Einsatz.
Beim qualifizierten Signieren mittels einer Signaturkarte muss sich der Signaturinhaber ebenfalls einmalig identifizieren lassen und bei jeder Anwendung mit einer 6-stelligen PIN authentifizieren. Die qualifizierte elektronische Signatur ist nur in Verbindung mit diesen Sicherheitsmaßnahmen möglich. Die verschiedenen Authentifizierungsverfahren machen es praktisch unmöglich, dass jemand mittels einer elektronischen Signatur unbefugt im Namen einer anderen Person unterschreibt. Zudem wird eine nachträgliche Veränderung des Dokumentes sichtbar.
4. Eine elektronische Unterschrift hält vor Gericht nicht stand
Das ist falsch. Die digitale Signatur ist rechtsgültig und wird vor Gericht anerkannt. Im Lichte der eIDAS-Verordnung ist mit Dokumenten beziehungsweise Dateien, die mit der fortgeschrittenen oder der qualifizierten elektronischen Signatur digital unterschrieben wurden, ein höherer Beweiswert verbunden, als mit der einfachen Signatur. Die Vermutung der Richtigkeit ist nur schwer zu erschüttern: Gemäß § 371a ZPO finden auf private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung.
Voraussetzung dafür ist, dass der digitale Prüfbericht in Form eines Workflows vorgelegt wird, der den elektronischen Signierverlauf zeigt. Für die einfache elektronische Signatur gilt zwar die freie richterliche Beweiswürdigung. Da die einfache Signatur aber leichter manipulierbar ist, wird dieser eine im Vergleich geringere Beweiskraft zuerkannt. Demnach kann der Richter die Integrität (Unversehrtheit) und die Authentizität (Urheber) des Dokuments dann anzweifeln, wenn die Gegenseite dazu substantiiert vorträgt, dass diese manipuliert wurde. Der bloße Einwand der Manipulierbarkeit reicht nicht aus. Beim digitalen Unterzeichnen wichtiger Geschäftsdokumente und Verträge sollte deshalb mindestens auf die fortgeschrittene elektronische Signatur gesetzt werden, und bei Dokumenten, welche die Schriftform erfordern, unbedingt auf die qualifizierte elektronische Signatur.
Öffentliche elektronische Dokumente von Behörden (§ 371a Abs. 3 ZPO) haben gemäß § 416 a ZPO in ausgedruckter Form die Beweiskraft öffentlicher Urkunden, wenn der Ausdruck mit Beglaubigungsvermerk versehen ist. Da es für private und geschäftliche elektronische Dokumente an einer entsprechenden Regelung in der Zivilprozessordnung fehlt, kommt dem Ausdruck eins elektronisch signierten Dokuments jedoch selbst in „beglaubigter“ Form keine entsprechende Beweiskraft zu. Solche Dokumente sind also nur in elektronischer Form rechtsgültig.
5. Dokumente können ungewollt in die Hände Dritter gelangen
Vertrauensdienstanbieter, die für die Ausstellung der Signaturzertifikate zuständig sind, müssen sich zertifizieren lassen, um die Sicherheitsanforderungen der Europäischen Union zu erfüllen. Obwohl sich die Anbieter elektronischer Signaturen mitunter unterscheiden, nutzt etwa FP Sign ausschließlich deutsche und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Rechenzentren – unabhängig davon, von wo die Signatur erstellt wird.
Die elektronisch übermittelten Daten werden zudem durch die Transportverschlüsselung, also die Authentifizierung des Unterzeichners mittels Username und Passwort (bei der qualifizierten elektronischen Signatur auch mit einer SMS-TAN) gesichert. Die Zwei-Faktor-Authentifizierung kann zusätzlich auch beim Signaturempfänger angefordert werden. Die Bedenken über Datensicherheit sind somit unberechtigt, solange Anwender auf eine eIDAS-konforme Signaturlösung setzen.
6. Ohne eigenen Account für elektronische Signaturen können Geschäftspartner nicht unterschreiben
Ein hartnäckiger Mythos, der nicht der Wahrheit entspricht. Die meisten digitalen, Cloud-basierten Signaturlösungen ermöglichen einen unkomplizierten Signaturprozess. Der Signaturempfänger braucht keinen eigenen Account, um ein Dokument elektronisch zu signieren. Es reicht aus, wenn der Initiator der Signatur einen Account beim Dienstanbieters seines Vertrauens besitzt.
Etwas anders verhält es sich, wenn beide Unterschriftsparteien auf höchstmöglicher Rechtsgültigkeit ihrer Vereinbarung bestehen oder das zu unterschreibende Dokument die Schriftform erfordert: Hierzu muss die qualifizierte elektronische Signatur zum Einsatz kommen. Dann müssen alle Unterzeichner im Besitz einer qualifizierten elektronischen Signatur sein und sich an deren Identifizierungs- und Authentifizierungsanforderungen halten. jf
Über die Autorin
Ina Gellner ist Partnermanagerin und Expertin für Rechts- und Datensicherheit elektronischer Signaturen beim Lösungsanbieter FP Sign.
Anzeige
Marktspiegel Business Software – ECM/DMS 2019/2020
Neuauflage des ECM/DMS Marktspiegels. Über 180 Systeme für das Dokumentenmanagement, zahlreiche Übersichtstabellen, Tipps und Empfehlungen. 4., überarbeitete Auflage, 2019, Autoren: Marc Müller, Berthold Lütticke, Gregor Josef Fuhs, Pit Heimes, Umfang: 313 Seiten, Lieferbar als: Ringbuch und lizenzierte PDF-Datei;
Preis Ringbuch: € 300,- (zzgl. MwSt. und Versand)
Preis PDF: € 270,- (zzgl. MwSt.)