GlobalSign Blog

15 Aug 2017

Umsetzung von staatlichen Anforderungen an digitale Signaturen für die Architektur-, Ingenieur- & Baubranche

In einer aktuellen Studie fand Creation Technologies heraus, dass der durchschnittliche Mitarbeiter mit Unterschriftsberechtigung etwa 1.350 $ an jährlichen papierbezogenen Kosten verursacht. Für die unterschriftlastige Architektur-, Ingenieur- und Baubranche (AEC), wo Projektpläne, RFIs, Verträge, Zeichnungen und Entwürfe alle evtl. mehrere Unterzeichner benötigen, können die Kosten sich wirklich summieren. Diese Kosten könnten durch den Einsatz eines komplett elektronischen Workflows zur Unterzeichnung, Freigabe und Speicherung von Dokumenten deutlich gesenkt werden.

Digitale Signaturen sind eine Kernkomponente, um End-to-End elektronische Dokumenten-Workflows zu ermöglichen, da sie es Ihnen ermöglichen, physische handschriftliche Unterschriften (und die damit verbundenen manuellen Prozesse) sicher zu ersetzen. Trotz der offensichtlichen Vorteile der Einführung von digitalen Signaturen, wie z. B. Reduzierung von Papierabfall, Senkung der Gemeinkosten und Verkürzung der Projektzeitlaufzeiten, verschieben es viele AEC-Unternehmen, den Wechsel vorzunehmen, bis er durch staatliche Verfügung erforderlich ist.

Nun gut, diese Tage sind gezählt. Eine wachsende Liste von US-Staaten hat bereits ihre Mindestanforderungen für die Signierung von städtischen und staatlichen Dokumenten mit digitalen Signaturen als Ersatz für handschriftliche Unterschriften, Siegel und Stempel veröffentlicht. Einige Staaten haben sogar separate Dokumentationen und Anforderungen speziell für AEC. Daher ist es wichtig, dass Sie, wenn Sie Ihre Lösung für digitale Signaturen auswählen, eine Lösung wählen, die diese Standards erfüllt oder übertrifft.

Aber was genau sind diese Standards? Da jeder Staat die Befugnis hat zu entscheiden, welche Regeln er durchsetzen will, kann es schwierig sein, diese festzulegen. Es gibt aber einige gemeinsame Kernforderungen. Wir haben diese im Folgenden anhand von Texten aus Signaturgesetzen aus Kalifornien, Oregon and Washington D.C. zusammengestellt. Sie sollten aber Ihre lokalen Gesetze und Vorschriften überprüfen, bevor Sie nach Lösungen suchen, die Ihrem Bedarf am besten gerecht werden.

Hinweis: Sie werden feststellen, dass wir in diesem Beitrag den Begriff "digitale Signatur" statt "elektronische Signatur" verwenden. Während der Begriff elektronische Signatur breitgefächert und unstandardisiert ist, bezieht sich digitale Signatur auf eine ganz bestimmte Art von Signatur, die auf Kryptografie mit öffentlichen Schlüsseln beruht. Diese zugrunde liegende Kryptografie bietet mehr Sicherheit und Sicheung der Identität des Signierers, der Gültigkeit der Signatur und der Integrität des Dokumentinhalts. Diese Konzepte sind wichtig für die Erfüllung der technischen Anforderungen und die meisten staatlichen Signaturgesetze bestimmen die Verwendung von digitalen Signaturen. Um mehr über digitale vs elektronische Signaturen zu erfahren, lesen Sie unseren zugehörigen Post.

Vier gemeinsame Anforderungen an digitale Signaturen aus Vorschriften aus US-Staaten

1. Die digitale Signatur muss für die Person, die sie benutzt, eindeutig sein [1] [2] [3]

Diese Anforderung sollte niemanden überraschen. Egal ob Sie ein signiertes Dokument erhalten oder selbst eines signieren: Sie wollen sicherstellen, dass die Person, die Ihr Dokument signieren muss, tatsächlich die richtige Person ist.

Aufgrund der Anonymität des Internets gibt es nur begrenzte Möglichkeiten zu bestätigen, dass jemand ist, wer er oder sie vorgibt zu sein. Eine Methode ist die externe Überprüfung durch eine öffentliche Zertifizierungsstelle (CA). CAs sind Unternehmen, die öffentlich vertrauenswürdig sind, um Personen, Abteilungen oder Unternehmen digitale Identitäten zuzuweisen.

Der Vorgang ist vergleichbar mit der Ausstellung eines Passes. Sie reichen dem Einwohnermeldeamt alle entsprechenden Unterlagen ein und Sie erhalten einen Pass, der Sie eindeutig identifiziert. Gleichermaßen reichen Sie einer CA Dokumente zur Identitätsprüfung ein und diese stellt Ihnen ein einzigartiges digitales Zertifikat aus, das Ihre Online-Identität bestätigt. Sie verwenden dieses Zertifikat, um digitale Signaturen einzufügen. Das heißt, Sie können sicher sein, dass nur Sie alleine eine digitale Signatur in Ihrem Namen einfügen können und Ihre Empfänger können auch sicher sein, dass es wirklich Sie waren, der/die das Dokument signiert hat.

2. Die digitale Signatur muss verifizierbar sein [1] [2] [3]

Die Verifizierung der Gültigkeit einer Signatur ist äußerst wichtig, egal ob es sich um eine digitale Signatur oder eine handschriftliche Unterschrift handelt. Dies ist der Grund dafür, dass Transaktionen mit hohen Werten (z. B. Beantragung von Darlehen und bestimmte Verträge) oft einen Notar für handschriftliche Unterschriften erfordern - die beteiligten Parteien wollen sicherstellen, dass die Personen, die die Dokumente unterschreiben, diejenigen sind, die sie vorgeben zu sein. In diesem Fall werden die Unterschriften vom Notar verifiziert.

Aber wie sieht es bei digitalen Signaturen aus? Hier ist es praktisch, wenn Ihre digitale Signatur von einer öffentlich vertrauenswürdigen CA stammt. Da eine vertrauenswürdige Fremd-CA Ihre Identität verifiziert, bevor Sie Ihr Zertifikat ausstellt und Sie dieses eindeutige Zertifikat verwenden, um Ihre digitale Signatur einzufügen, besteht ein deutlicher Nachweis bei jedem Dokument, das Sie signieren, der zeigt, wer das Dokument signiert hat, wann es signiert wurde und wer den Signierer verifiziert hat.

3. Die digitale Signatur muss unter der alleinigen Kontrolle der Person sein, die sie benutzt [1] [2] [3]

Es gibt hier eine offensichtliche Bestrebung, dass Sie sicherstellen müssen, dass die Signatur im Dokument tatsächlich von der Person eingefügt wurde. Alle am elektronischen Dokumentenaustausch beteiligten Parteien müssen wissen, dass Sie und Sie alleine Ihre digitale Signatur einfügen können.

Bei digitalen Signaturen läuft dies darauf hinaus, dass Sie Ihr Signatur-Zertifikat schützen müssen, denn wenn jemand Zugang zu Ihrem Zertifikat hat, kann er/sie es verwenden, um in Ihrem Namen digital zu signieren. Das Speichern Ihres Zertifikats auf kryptografischer Hardware (z. B. FIPS-kompatiblem USB-Token) ist eine gängige Option dafür und bedeutet, dass Sie zum Einfügen Ihrer Signatur das Token selbst und ein Passwort benötigen. Im Falle eines Diebstahls Ihres physischen Hardware-Tokens, würde der Dieb immer noch Ihr Token-Passwort benötigen, um Ihre Signatur-Berechtigungsnachweise zu nutzen.

Wenn Sie bereit für die Suche nach Anbietern sind, sollten Sie sicherstellen, dass sie eine Art Hardware-Zertifikatschutz anbieten oder wenn nicht, dass sie eine alternative Möglichkeit bieten, diese Anforderung zu erfüllen.

4. Die digitale Signatur muss so mit Daten verknüpft sein, dass bei einer Änderung der Daten die digitale Signatur ungültig gemacht wird [1] [2] [3]

Die Integrität der Inhalte und der Schutz des geistigen Eigentums sind vor allem für die Ingenieurbranche unerlässlich. Sie müssen gewährleisten, dass alles in dem Dokument, das Sie abzeichnen oder veröffentlichen, später nicht verändert wird. Glücklicherweise schafft das Einfügen einer digitalen Signatur tatsächlich ein manipulationssicheres Siegel am Dokument.

Ein Teil des Signatur-Validierungsprozesses (der automatisch und hinter den Kulissen abläuft, wenn jemand ein signiertes Dokument öffnet) umfasst den Vergleich des Inhalts des Dokuments vor und nach dem Einfügen der Signatur. Wenn Veränderungen vorgenommen wurden, wird eine Fehlermeldung angezeigt. Um weitere Einzelheiten zur Kryptografie hinter diesem Prozess zu erfahren, lesen Sie unseren zugehörigen Blog - Digitale Signaturen - Wie funktionieren PDF Signaturen in der Praxis und was passiert hinter den Kulissen?.

Hinweis: Es ist möglich, das bestimmte Änderungen nach dem Einfügen einer Signatur vorgenommen werden dürfen (z. B. weitere digitale Signaturen, Formularfelder und Kommentare). In diesem Fall machen diese Arten von Hinzufügungen die Signatur nicht ungültig und lösen keine Fehlermeldung aus

Digitale Signaturen spielen eine Schlüsselrolle beim Übergang zur papierlosen Arbeitsweise

Die Vorteile der papierlosen Arbeitsweise sind seit Jahren klar, aber Signaturen waren oft ein Knackpunkt - was ist eine sichere elektronische Alternative und würde diese elektronische Signatur gesetzlich akzeptiert werden? Zum Glück helfen staatliche Vorschriften für elektronische Signaturen, diese beiden Fragen für Ingenieurunternehmen zu beantworten, die die Umstellung vornehmen wollen.

Digitale Signaturen sind die offensichtliche Lösung. Sie können den Signierer authentifizieren, die Signatur validieren und die Integrität des Inhalts gewährleisten. Sie erfüllen die oben genannten Anforderungen, die die Grundlage für die meisten staatlichen Anforderungen an elektronische Signaturen bilden. In der Tat erwähnen die drei staatlichen Gesetze, auf die wir in diesem Post verweisen, ausdrücklich digitale Signaturen, ganz im Gegensatz zu anderen Arten elektronischer Signaturen.

Während es noch andere Komponenten gibt, um einen vollständig elektronischen Dokumenten-Workflow zu implementieren - wenn es um Signaturen geht, stehen alle Zeichen auf digital.

Sie möchten mehr über digitale Signaturen erfahren? Wenn Sie Fragen haben, kontaktieren Sie uns online oder hinterlassen Sie einen Kommentar!

[1] California Regulation
[2] Washington D.C. Regulation
[3] Oregon Regulation

von Lea Toms

Artikel teilen