Anmerkung: Dieser Blogbeitrag wurde ursprünglich im März 2017 veröffentlicht und von GlobalSigns Regional Product Manager Sebastian Schulz aktualisiert. Der Beitrag enthält nun auch Informationen zur Anwendung von fortgeschrittenen elektronischen Signaturen mithilfe des cloud-basierten Digital Signing Service von GlobalSign.
Wir haben uns an dieser Stelle schon häufiger grundsätzlich mit der Verordnung (EU) Nr. 910/2014, besser bekannt als eIDAS, beschäftigt. Jetzt wollen wir etwas tiefer in die Materie einsteigen und uns ansehen, welches Sicherheitsniveau unterschiedliche eIDAS elektronische Signaturen bieten.
Welches Sicherheitsniveau bieten E-Signaturen unter eIDAS?
Es gibt viele verschiedene Signaturvorschriften, oft mit deutlichen Unterschieden je nach Land, Branche oder Verwendungszweck. Jede dieser Vorschriften hat ihre eigenen E-Signatur-Klassifikationen entwickelt, die das Vertrauens- und Sicherheitsniveau der Signaturen widerspiegeln. Welches Vertrauens- und Sicherheitsniveau man durch verschiedene Arten von Signaturen erreichen kann, hängt meist von den technischen und rechtlichen Rahmenbedingungen ab.
Hier beschäftigen wir uns mit den unter eIDAS vorgestellten Richtlinien. Schließlich wurde eIDAS mit dem Ziel eingeführt, eine gemeinsame Grundlage und einen gemeinsamen Rahmen für sichere elektronische Signaturen zu schaffen. Diese sollen dazu beitragen, Vertrauen zu stärken und die Interoperabilität sowie die grenzüberschreitende Nutzung und Akzeptanz zu erleichtern.
eIDAS hat zudem eine Akkreditierungsgrundlage für die Bereitstellung von E-Signaturen mit dem höchsten Sicherheitsniveau (qualifizierte elektronische Signaturen) geschaffen und damit den Markt für E-Signaturen in Europa verändert. Dazu später mehr.
Elektronische Signaturen mit Basisniveau
Nach eIDAS ist eine elektronische Signatur mit Basisniveau wie folgt definiert:
Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Signieren verwendet.
Nimmt man diese Definition wörtlich, kann man ein Dokument einfach durch Einscannen der Unterschrift oder durch Ankreuzen eines Kästchens in einem geöffneten Dokument signieren. Technisch gesehen liegen die Daten in elektronischer Form vor und sind an eine Datei angehängt. Ganz so einfach ist es leider nicht, denn ganz offensichtlich bildet das Modell nicht ab, was Sinn und Zweck des Signierens ist. Das Dokument kann immer noch manipuliert und eine „Signatur" gefälscht werden (d. h. wir können nicht sicher sein, wer das Kästchen angekreuzt hat, um z. B. die Allgemeinen Geschäftsbedingungen zu akzeptieren). Um die korrekten Fachtermini zu verwenden: Weder Integrität noch Authentizität des Dokuments sind garantiert.
Fortgeschrittene elektronische Signaturen (FES)
Unter eIDAS muss eine FES folgende Anforderungen erfüllen:
- Sie ist eindeutig dem Unterzeichner zugeordnet.
- Sie ermöglicht die Identifizierung des Unterzeichners.
- Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.
- Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkennbar ist.
Die Verwendung digitaler Signaturen auf Basis einer Public Key Infrastructure (PKI) erfüllt alle oben genannten Anforderungen. Die Funktionsweise: Digitale Signaturen werden mit einem digitalen Zertifikat eingefügt, das wie die elektronische Version eines Ausweises funktioniert. Diese Signaturen werden nur nach eingehender Verifizierung Ihrer Identität durch einen vertrauenswürdigen Dritten (Zertifizierungsstelle oder CA) ausgestellt. Digitale Zertifikate und die daraus resultierenden Signaturen sind einzigartig für eine Person, und es ist praktisch unmöglich sie zu manipulieren. Damit werden die beiden obigen Anforderungen erfüllt.
Da der Unterzeichner der alleinige Inhaber des privaten Schlüssels zum Einfügen der Signatur ist, kann man sicher sein, dass der Unterzeichner die Person ist, die sie vorgibt zu sein. Wenn ein Empfänger das Dokument öffnet, wird als Teil des automatischen Signaturverifizierungsprozesses geprüft, ob das Dokument seit der Signierung verändert wurde.
Um zum professionellen Sprachgebrauch zurückzukehren: Integrität und Authentizität sind garantiert, wenn die Anforderungen für FES erfüllt sind. FES dürfen rechtlich nicht abgewiesen werden, nur weil sie in elektronischer Form vorliegen. Das bedeutet: Korrekt implementierte FES sind äquivalent zu einer herkömmlichen handgeschriebenen Unterschrift (wenn nicht sogar besser). Wenn die Gültigkeit von FES in Frage gestellt wird, liegt die Beweislast beim Signierer.
Qualifizierte elektronische Signaturen (QES)
Eine QES ist:
Eine fortgeschrittene elektronische Signatur, die von einem „qualified signature creation device“ erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.
Schauen wir uns zunächst an, was genau ein „qualified signature creation device“ (oder QSCD-Gerät) ist. Gemäß den eIDAS-Anforderungen muss das System gewährleisten, dass
- die Vertraulichkeit der zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten angemessen sichergestellt ist,
- die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten praktisch nur einmal vorkommen können,
- die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die elektronische Signatur bei Verwendung der jeweils verfügbaren Technik verlässlich gegen Fälschung geschützt ist,
- die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden können.
- Qualifizierte elektronische Signaturerstellungseinheiten dürfen die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden.
- Das Erzeugen oder Verwalten von elektronischen Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Trust-Service Provider durchgeführt werden.
- Unbeschadet des Absatzes 1 Buchstabe d dürfen qualifizierte Trust-Service Provider, die elektronische Signaturerstellungsdaten im Namen des Unterzeichners verwalten, die elektronischen Signaturerstellungsdaten ausschließlich zu Sicherungszwecken kopieren, sofern folgende Anforderungen erfüllt sind:
- Die kopierten Datensätze müssen das gleiche Sicherheitsniveau wie die Original-Datensätze aufweisen.
- Es dürfen nicht mehr kopierte Datensätze vorhanden sein als zur Gewährleistung der Dienstleistungskontinuität unbedingt nötig.
Die Vorschrift besagt, dass bei einer QES die Erstellungs- und Signaturdaten auf einem äußerst zuverlässigen und sicheren Gerät gespeichert werden müssen, wie z. B. einem kryptografischen USB-Token oder auf Hardware-Sicherheitsmodulen (HSMs), die mindestens FIPS 140-2 Level 3 entsprechen, einem Sicherheitsstandard für kryptografische Module.
Die QES-Definition besagt zusätzlich, dass die Daten auf dem Gerät auf einem „qualifizierten Zertifikat für elektronische Signaturen“ basieren müssen. Ein qualifiziertes Zertifikat kann man ausschließlich bei einer Zertifizierungsstelle erwerben, die als Qualified Trust Service Provider (QTSP) akkreditiert ist. Um die QSCD-Anforderungen zu erfüllen, bietet die CA GlobalSign beispielsweise ein akkreditiertes QSCD in Form eines SafeNet-USB-Tokens zusammen mit dem Erwerb qualifizierter Zertifikate an.
Als "Goldstandard" der digitalen Signaturen unter eIDAS werden Integrität und Authentizität durch QES garantiert. EU-Mitgliedstaaten sind verpflichtet, die Gültigkeit einer QES anzuerkennen, die mit einem qualifizierten Zertifikat aus einem anderen Mitgliedstaat erstellt wurde. Darüber hinaus ist eine QES ein rechtliches Äquivalent zur traditionellen handgeschriebenen Unterschrift. Es sei denn, es besteht Grund zu der Annahme, dass die zugrunde liegenden Zertifikate missbräuchlich verwendet wurden. Die Beweislast liegt dann bei der Partei, die die Gültigkeit der qualifizierten Signatur anzweifelt.
eSeals
Elektronische Siegel ähneln der elektronischen Signatur. Der Unterschied liegt in der Identität hinter der Signatur. Ein eSeal garantiert Integrität und Authentizität auf dieselbe Weise wie eine elektronische Signatur, aber anstelle einer Einzelperson tritt eine juristische Person an die Stelle des Signierers.
Laut eIDAS werden sie von EU-Mitgliedstaaten verwendet, aber auch Institutionen oder Organisationen können eSeals verwenden. Ob ein Siegel benötigt wird oder nicht, hängt davon ab, ob als Einzelperson oder als juristische Person unterzeichnet werden muss. Elektronische Siegel eignen sich im Allgemeinen besser für automatisierte oder großvolumige Signaturanforderungen.
Welche Sicherheitsniveaus muss ich erfüllen?
eIDAS Artikel 25 besagt:
Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.
Es ist daher sinnvoll, zumindest FES für den elektronischen Signatur-Workflow zu verwenden, da sonst die Signaturen möglicherweise nur deshalb abgelehnt werden, weil sie elektronisch vorliegen. Immerhin sind ungültige elektronische Signaturen wahrscheinlich eine der größten Sorgen, die Unternehmen bei der Umstellung haben.
Sowohl fortgeschrittene als auch qualifizierte elektronische Signaturen bieten ein hohes Vertrauens- und Sicherheitsniveau. Bei der Umstellung von traditionellen Signaturen auf elektronische Signaturen ist es entscheidend, dass diese Merkmale der Signaturen beibehalten werden. Der entscheidende Unterschied liegt in der Beweislast.
Schließlich sei daran erinnert, dass eIDAS zwar nicht die Verwendung öffentlich vertrauenswürdiger digitaler Zertifikate vorschreibt, aber empfiehlt, sie von einer öffentlich vertrauenswürdigen Zertifizierungsstelle zu erwerben. Öffentliches Vertrauen ist entscheidend, wenn Signaturen automatisch in gängigen Document Signing-Plattformen wie Adobe Acrobat Sign oder DocuSign verifiziert werden und ihnen vertraut wird. Auf diese Weise profitiert man beim Signieren von Dokumenten, nicht nur von Konformität, sondern auch von einer nahtlosen Benutzererfahrung für den Empfänger des Dokuments.
