Digitale Unterschrift

Papierbasierte Dokumente#

Die immer wieder auftretenden Fragen in dem Zusammenhang sind:

1. Ist die Person, die das Dokument unterschrieben hat, diejenige, die sie vorgibt zu sein? 
2. Wie kann ich überprüfen, ob die Unterschrift gültig und nicht gefälscht ist? 
3. Wie validiere ich, ob das Dokument nicht manipuliert wurde?

Diese Aufgaben übernehmen im Normalfall Notare. Sie sichern den beteiligten Parteien zu, dass das Dokument authentisch ist und man ihm vertrauen kann. Die papierbasierte Workflow erfordert den Ausdruck, die handschriftliche Unterschrift und die Archivierung der Papierdokumenten.

Normen und Verordnungen#

 eIDAS Verordnung#

Electronic Identification And Trust Services.

eIDAS ist eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen in den 28 Mitgliedstaaten der Europäischen Gemeinschaft.

Formen von elektronischen Signaturen#

Die EIDAS Verordnung definiert in Art. 3 Nr. 10–12 folgende Formen von elektronischen Signaturen:

1. elektronische Signatur
2. fortgeschrittene elektronische Signatur - AdES
3. qualifizierte elektronische Signatur - QES 

• https://www.cio.de/a/digitale-unterschrift-das-muessen-sie-wissen,3625930 
• https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/eIDAS_node.html 
• https://docbox.etsi.org/Workshop/2018/201803_eIDASmeetsPSD2/BACKGROUNDtoPSD2_eIDASandCERTIFICATEPROFILE/ETSI_TC%20ESI_Pope.pdf 

Elektronische Signatur#

Eine elektronische Signatur das Äquivalent zur digitalisierten handschriftlichen Unterschrift. Diese elektronische Signatur dient dazu, Inhalte in einem Dokument oder Bestimmungen in genau einem Dokument zu bestätigen. <— Das ist nicht rechtssicher?

Die Faksimile Signatur sollte nicht mit einer einmal gescannten Version der Unterschrift erfolgen, sondern jedesmal aktuell mit einem Stift und einem Tablet geleistet werden.

——

Eine elektronische Signatur / Unterschrift ist wie ein elektronischer Fingerabdruck. Sie muss gewährleisten:

1. Die Authentifizierung der unterzeichnenden Parteien
2. Der Nachweis der Zustimmung
3. Eine elektronische Versiegelung der unterzeichneten Dokumente

Eine elektronische Signatur verbindet einen Unterzeichner sicher mit einem Dokument im Rahmen einer gespeicherten Transaktion. Gespeichert wird die Signatur in Form einer kodierten/verschlüsselten? Nachricht.

Hinweis 1: Es werden verschiede Begriffe benutzt: Digitale Signatur, Elektronische Unterschrift, elektronische Signatur, E-Signatur, eSignaturen.

Hinweis 2: Es gibt weltweit / regionale Unterschiede hinsichtlich des Zwecks, der technischen Implementierung, der geografischen Nutzung sowie der rechtlichen und kulturellen Akzeptanz elektronischer Signaturen.

Fortgeschrittene Elektronische Signatur  - AdES#

Advanced Electronic Signatures 

AdES ist eine elektronische Signatur, die es ermöglicht, die Authentizität und Unverfälschtheit der durch sie signierten Daten zu prüfen. Die Verordnung (EU)  Nr. 910/2014 (hebt Richtlinie 1999/93/EG auf) fordert für fortgeschrittene elektronische Signaturen, dass diese:

1. eindeutig dem Unterzeichner zugeordnet sind,
2. die Identifizierung des Unterzeichners ermöglichen,
3. unter Verwendung elektronischer Signaturerstellungsdaten erzeugt werden, „die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann“, und
4. mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Diese Definition wurde sinngemäß in die nationalen Signaturgesetze der meisten Mitgliedstaaten der Europäischen Gemeinschaft und des Europäischen Wirtschaftsraumes  , insbesondere in das deutsche Signaturgesetz  , das österreichische Signaturgesetz  und das liechtensteinische Signaturgesetz  , übernommen.

• en.wikipedia.org  , cryptomathic.com  !, …

Qualifizierte Elektronische Signatur - QES#

Qualified Electronic Signatures

Die QES ist die sicherste Variante mit dem höchsten Beweiswert - Schriftform gemäß §126a BGB Sie wird von einem  Qualified Electronic Signature Creation Device (QSCD) erstellt. Sie umfasst alle sicheren Funktionen, die eine fortgeschrittene elektronische Signatur (AdES) bietet:

1. Die Fähigkeit, ihren Unterzeichner eindeutig zu identifizieren und mit der elektronischen Signatur zu verknüpfen.
2. Dem Unterzeichner die alleinige Kontrolle über die zur Erstellung der elektronischen Signatur verwendeten Schlüssel ermöglicht.
3. Identifizierung, ob die Daten manipuliert wurden, nachdem die begleitende Nachricht signiert wurde.
4. Ungültigerklärung der Signatur, wenn die signierten Daten in irgendeiner Weise verändert wurden.

Unterschied zwischen AdES & QES besteht im Hinzufügen eines qualifizierten Zertifikats. Dieses Zertifikat wird von einem qualifizierten Anbieter von Vertrauensdiensten ausgestellt und bescheinigt die Authentizität der elektronischen Signatur, die als Beweis für die Identität des Unterzeichners dient.

Eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat  beruht und mit einer sicheren Signaturerstellungseinheit  (SSEE) erstellt wurde, wird als qualifizierte elektronische Signatur  bezeichnet.

Qualifizierte elektronische Signaturerstellungseinheit - QSCD #

Qualified Electronic Signature Creation Device

Diese Einheit ist verantwortlich für die Qualifizierung einer digitalen Signatur mit spezieller Software und Hardware, die dies gewährleistet:

1. Nur der Unterzeichner hat die Kontrolle über seinen privaten Schlüssel
2. Signaturerstellungsdaten, die erzeugt werden, werden von einem qualifizierten Vertrauensanbieter verwaltet
3. Signaturerstellungsdaten sind eindeutig, vertraulich und vor Fälschung geschützt.

Nach der eIDAS-Verordnung hat ein QES die gleiche rechtliche Wirkung wie eine handschriftliche Unterschrift. Sie ist in allen Mitgliedsstaaten der EU anerkannt.

• (cryptomathic.com  ,…
• https://www.tuvit.de/de/leistungen/eid-vertrauensdienste/qscd/ 
• https://www.docusign.de/blog/docusign-die-einzige-qscd-loesung-die-eidas-entspricht/ 

Zertifizierungsstelle (QTSP ?) #

Qualified Trust Service Provider

Eine Zertifizierungsstelle ist eine unabhängige Organisation - eine Art Trust-Service-Provider - die sich als zuverlässiges Organ für sichere Schlüssel etabliert hat. Sie stellt die erforderlichen digitalen Zertifikate bereit.

Digitale Signaturen beruhen auf öffentlichen und privaten Schlüsseln. Diese Schlüssel müssen geschützt werden, um Sicherheit zu garantieren und Betrug oder böswillige Nutzung zu verhindern. 

Wenn ein Dokument unterzeichnet / versendet wird muss garantiert sein, dass das Dokument und der Schlüssel sicher erzeugt und gültige Schlüssel eingesetzt wurden. 

Sowohl der Absender eines Dokuments als auch der Empfänger müssen eine bestimmte Zertifizierungsstelle nutzen.    ???Die Selbe??? 

Digitales Zertifikat#

Ein elektronisches Dokument, das von einer Zertifizierungsstelle herausgegeben wird.  Es enthält den öffentlichen Schlüssel einer digitalen Signatur, und spezifiziert die Identität in Verbindung mit dem Schlüssel, wie etwa den Namen der Organisation. Das Zertifikat bestätigt, dass der öffentliche Schlüssel zu der spezifischen Organisation gehört. Die Zertifizierungsstelle tritt als Garant auf. Digitale Zertifikate müssen von vertrauenswürdigen Organisationen herausgegeben werden und sind lediglich für eine bestimmte Zeit gültig.

Vertrauens - Anbieterliste der EU Kommission für Zertifikate#

Die EU-Kommission stellt eine stets aktuelle Ansicht der Vertrauenslisten aller EU-Mitgliedsstaaten bereit:

• AnbieterListe: https://www.bundesnetzagentur.de/EVD/DE/Verbraucher/Anbieterliste/Anbieterliste-start.html 
• Trusted List Browser: https://webgate.ec.europa.eu/tl-browser/#/ 
• Trusted Service Providers Deutschland: https://webgate.ec.europa.eu/tl-browser/#/tl/DE 

Lifecycle Management#

Eine eine einzelne Mitzeichnung ist relativ problemlos zu handhaben. Man verschickt das Dokument per Mail und erhält das unterzeichnete Dokument zurück. Mehrere Mitzeichnungen zu organisieren ist aufwändiger, vor allem wenn Teile der Vertragspartner extern sind. Das Unternehmensweit einheitlich zu organisieren erfordert weitergehende Maßnahmen.

Genehmigungsablauf definieren#

Kontakte angeben und die Reihenfolge festlegen, in der die unterzeichnenden Parteien nacheinander um die elektronische Signatur eines Dokumentes gebeten werden sollen.

Unterschriften routen und nachverfolgen#

1. Das zu unterzeichnende Dokument über SSL 3.0 oder besser den Nachfolger TSL in der definierten Reihenfolge an die Unterzeichner versenden. Das ist ein klassisches Workflow Thema.
2. Das unterzeichnet zurückerhaltene Dokument zum nächsten Mitzeichner weiter leiten.
3. Der Status eines Dokuments ist verfolgbar. Praktisch wäre es wenn man benachrichtigt wird, sobald eine Unterschrift abgegeben wurde.

Authentifizieren & Unterschrift leisten#

Die Unterschrift wird nachvollziehbar, rechtskonform und beweiskräftig geleistet…

Unterschrift auf Authentizität & Integrität prüfen#

Der Empfänger des signierten elektronischen Dokuments sollte diese auf Echtheit und Unverfälschtheit prüfen können.…

Weitere Möglichkeiten der Authentifizierung eines Mitzeichners#

ZweiFaktor Authentifizierung als zusätzliche Legitimation -> Ein Code wird an die SMS des Mitzeichners geschickt…

Belegdatei mit Zeitstempel erstellen / sicher archivieren#

Das elektronisch signierte, mit Zeitstempel versehene, und versiegelte Dokument kann in  einem rechtlich anerkannten Datei-Format abgerufen werden. Theoretisch sind hier alle möglichen Formen von Dokumenten möglich, so auch MS-Word Dokumente, oder MS-Excel Tabellen. Sinn macht imho nur PDF.

• Es sollte ein sicheres zentrales Archiv geben.
• Ist es sinnvoll zwischen Unterzeichnungen im Innenverhältnis und im Aussenverhältnis zu unterscheiden?

Public Key Infrastructure PKI#

…

Anhang#