Digitale Signatur

Digitale Signatur

Copyright © Shutterstock / Marko Aliaksandr

Was ist eine digitale Signatur?

Definition

Eine digitale Signatur stellt die sicherste Variante einer elektronischen Unterschrift dar. Sie erfüllt selbst die strengsten Vorgaben für Rechtsgültigkeit und Sicherheit, weil sie bei der Authentifizierung von Dokumenten und Unterzeichnern ein Höchstmaß an Zuverlässigkeit bietet. 

Diese Signatur beruht auf einem digitalen Zertifikat. Dieses Zertifikat wird von einem vertrauenswürdigen Drittanbieter als Identitätsbestätigung ausgestellt. Bezeichnet werden solche Drittanbieter auch als Zertifizierungsstelle (CA, Certification Authority). Vergleichbar ist der Ablauf mit dem eines gewöhnlichen Ausweisdokumentes in einer nicht elektronischen Umgebung.

Der Großteil der beliebtesten E-Mail-Clients (Mail.app, Windows Mail, Thunderbird, Outlook) unterstützt die digitale Signatur und stellt eine solche in Form eines Häkchens, versiegelten Umschlags oder Siegels dar. Mit einem Klick auf das jeweilige Symbol werden zur Signatur weitere Informationen angezeigt.

Generell erfüllt diese Signatur bereits seit 2002 den gleichen Zweck wie eine Unterschrift: Sie bestätigt, dass die signierten E-Mails tatsächlich vom Absender stammen und nach ihrem Versand nicht mehr verändert wurden. Anhand einer digitalen Signatur werden dem Empfänger gegenüber die Herkunft, Integrität sowie Echtheit der digitalen Botschaft garantiert. Hiervon umfasst ist die gesamte Online-Kommunikation mit Website-Formularen, E-Mail-Newslettern und Standard-E-Mails. Der Signierende sowie die Inhalte befinden sich in einem nachweisbaren Zusammenhang.

Welche Vorteile bringt eine digitale Signatur?

Eine E-Mail mit infiziertem Inhalt oder gefälschtem Absender verschicken? Für Internetbetrüger stellt dies längst keine Herausforderung mehr da. Ohne die Integration einer zusätzlichen Sicherheitsinstanz gehen Unternehmen etwa beim Versand von Kundenrechnungen und Werbung nicht zu unterschätzende Haftungsrisiken ein. Als besonders gefährlich erweist sich das sogenannte Phishing, welches sich in den vergangenen Jahren stark verbreitet hat.

Hierbei verwenden Internetkriminelle im Namen des Unternehmens oder anderen vermeintlich vertrauenswürdigen Institutionen E-Mails, um an Zahlungsinformationen oder Zugangsdaten des Empfängers zu gelangen. Ein hohes Maß an Sicherheit bietet die digitale Signatur. Wird nämlich eine E-Mail elektronisch signiert, so kann sich der Empfänger sicher sein, dass sämtliche Inhalte frei von Manipulationen angekommen sind und der Absender auch wirklich der ist, der er vorgibt zu sein.

Was macht eine digitale Signatur so sicher?

Diese Signatur wird grundsätzlich gemäß höchsten Sicherheitsstandards aufrechterhalten, geschützt und erstellt – vom Zeitpunkt der Ausstellung des digitalen Zertifikates bis hin zur Archivierung (bis zu 10 Jahren) der unterzeichneten Unterlagen sowie darüber hinaus. Die wichtigsten Gründe, weshalb digitale Signaturen eine derart hohe Sicherheit bieten:

  • Sowohl die digitale Signatur wie auch das unterzeichnete Dokument können bis zu 10 Jahren nach der Unterschrift von einem Vertrauensdienst oder einer Zertifizierungsstelle erneut legitimiert werden.
  • Jedes Mal, wenn ein Schriftstück unterzeichnet wird, werden die eigene Identität sowie die persönlichen Daten anhand eines digitalen Zertifikates sowie einer PIN legitimiert, welche dem Absender eindeutig zugeordnet sind.
  • Das unterzeichnete Dokument wie auch die digitale Signatur werden zusammen verschlüsselt und mit einem manipulationssicheren Siegel nebst Zeit Stempel versehen
  • Ausgestellt werden zertifikatbasierte, standardkonforme digitale IDs von anerkannten Zertifizierungsstellen. Bevor eine digitale ID ausgestellt wird, muss der Antragsteller seine Identität nachweisen.
  • Wie eine digitale Signatur funktioniert

    All diese Informationen lassen sich anhand einer Technologie namens PKI (Public Key Infrastructure) verifizieren. PKI erzeugt Schlüssel in Form langer Zahlenketten unter Anwendung eines mathematischen Algorithmus. Einer dieser Schlüssel ist öffentlich, der andere hingegen privat. Wird ein Dokument durch den Benutzer elektronisch unterschrieben, wird eine Signatur mittels des Privatschlüssels des Unterzeichners erzeugt.

    Diesen Schlüssel hält der Unterzeichner geheim. Der Algorithmus erstellt zu dem jeweiligen Dokument Daten (kurz: Hash) und verschlüsselt sie. Die hieraus resultierenden verschlüsselten Daten bilden die digitale Signatur. Sie erhält überdies einen Zeit Stempel, um nachträglich erkennen zu können, ob das Schriftstück nach seiner Unterschrift verändert wurde.

    Der öffentliche Schlüssel ist frei verfügbar, reicht allerdings nicht aus, um das Dokument zu entschlüsseln. Bei Bedarf kann dieses genutzt werden, um die digitale Signatur des Unterzeichners zu prüfen. PKI benötigt weitere Elemente wie die Zertifizierungsstelle, ein digitales Zertifikat, eine Software für den Enduser sowie Tools zur Sperrung, Erneuerung und Verwaltung von Zertifikaten und Schlüsseln.

    Anforderungen an eine Digitale Signatur

    Damit eine digitale Signatur dieses hohe Sicherheitsniveau auch sicherstellen kann, muss sie bestimmte Bedingungen erfüllen. Der Großteil der E-Mail-Programme prüft diese Voraussetzungen beim Empfangen oder Senden einer Mail mit einer digitalen Signatur automatisch und gibt einen Hinweis, falls nicht sämtliche Anforderungen erfüllt sind und die Integrität der Signatur demnach nicht gesichert ist. Weil eine digitale Signatur stets mit einem Zertifikat im Zusammenhang steht, gilt es zu gewährleisten, dass ein gültiges Zertifikat vorliegt.

    Darüber hinaus muss dieses von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt worden sein. Die Voraussetzungen an die Ausgabe von Zertifikaten sowie an die Zertifizierungsstellen regelt hierzulande das Signaturgesetz (SigG). Um im Rechtsverkehr die Integrität und Zuverlässigkeit der Zertifikate sicherzustellen, werden die Stellen von der Bundesnetzagentur beaufsichtigt.

    Zu den bekanntesten Zertifizierungsstellen zählen StartSSL sowie GlobalSign. Weil sich die gesetzlichen Vorgaben je nach Branche sowie Region unterscheiden, werden Vertrauenslisten wie die European Union Trustes Lists (EUTL) und die Adobe Approved Trust List (AATL) veröffentlicht, in der sämtliche Organisationen aufgeführt sind, die die jeweiligen gesetzlichen Vorgaben erfüllen. In der Europäischen Union werden die Vorgaben für qualifizierte Unterschriften in der eIDAS-Verordnung geregelt.

    Worin unterscheiden sich elektronische und digitale Signatur?

    Aus Unkenntnis werden beide Bezeichnungen oftmals als Synonyme verwendet. Zwar ermöglichen beide Verfahren ein Unterschreiben sowie eine Authentifizierung des Unterzeichners. Teils große Unterschiede bestehen jedoch in Hinblick auf die geografische Nutzung, die technische Implementierung, den Zweck sowie die kulturelle und rechtliche Akzeptanz.

    In den meisten Ländern wird zwar die elektronische Signatur in Form eines eingescannten Abbilds der handschriftlichen Unterschrift je nach Art des signierten Dokuments als rechtlich bindend erachtet. Jedoch fordern inzwischen diverse Staaten wie auch etliche Vorschriften (bspw. eIDAS) anstelle einer elektronischen eine digitale Signatur. Denn nur diese stellt eine Integrität sowie Authentizität sicher, welche einem gerichtlichen Verfahren standhalten kann. Die Authentifizierung eines Unterzeichners ist ferner ein grundlegender Aspekt der Compliance.

    So sieht eine digitale Signatur aus

    Eine digitale Signatur gibt es in zweierlei Ausprägungen:

    Dargestellt als Signaturlinie, kann diese Genehmigungssignatur wie eine handschriftliche Signatur verwendet werden. Etwa für Rechnungen, Verträge oder Arbeitszeitnachweise. Eine sichtbare digitale Signatur lässt sich anpassen und vermag auch ein Unternehmensstempel anzuzeigen. Pro Dokument können mehrere Signaturen hinzugefügt werden.
    Die Zertifizierungssignatur ist im Dokument selbst nicht sichtbar. Vielmehr wird diese in der genutzten Software angezeigt und dafür verwendet, um den Autor als Ursprung nachzuweisen und das Dokument vor künftigen Veränderungen zu schützen.

    Wie eine digitale Signatur erzeugt wird

    Anbieter solcher Signaturen bieten eine Plattform, um Schriftstücke online zu unterschreiben und zu verschicken. Um vertrauenswürdige Zertifikate erstellen zu können, kooperieren sie mit anerkannten Zertifizierungsstellen. Je nach Stelle kann die Bereitstellung weitere Informationen erfordern.

    Beispielsweise können Beschränkungen vorgesehen sein, wonach eine spezielle Reihenfolge zu beachten gilt oder was die zulässigen Empfänger des Dokumentes anbelangt. Geht zur Unterzeichnung ein Dokument via E-Mail zu, ist eine Authentifizierung gemäß den Vorschriften der Zertifizierungsstelle vonnöten. Anschließend wird das Schriftstück durch Ausfüllen eines Online-Formulars unterzeichnet.

    Tipp: Bedeutung der digitalen Signatur im Online-Marketing und Vertrieb nutzen

    Eine digitale Signatur fördert im Rahmen von Online-Marketing, z.B. beim Versand von E-Mail-Newslettern, die Akzeptanz und Glaubwürdigkeit. Prozesse wie Antragstellung lassen sich ferner beschleunigen, wenn beispielsweise Dokumente nicht aufgrund fehlender Unterschriften zurückgeschickt werden müssen.

    Richtig vermarktet, kann die digitale Signatur nicht nur ein Sicherheitskonzept, sondern auch als Bestandteil der Firmenphilosophie hervorgehoben werden. Hohes Potential für Marketing und Vertrieb liegt bei den mobilen Anwendungen. Bereits heute werden etwa 30 Prozent aller Verträge in mobilen Browsern geöffnet, doch nur wenige davon werden mobil unterschrieben. Hierauf werden sich Kunden allerdings nur einlassen, wenn sie sicher sein können, dass die eigene Identifizierung als Unterzeichner sicher ist und das Dokument nach oder idealerweise schon im Laufe des Unterzeichnungsprozesses nicht mehr verändert werden kann.


    Sie haben noch Fragen?

    Kontaktieren Sie uns

    Kostenloser SEO-Check der OSG


    Weitere Inhalte