GlobalSign Blog

28 Jun 2017

Was ist der Unterschied zwischen fortgeschrittenen und qualifizierten Signaturen in eIDAS?

In einem unserer letzten Blogs haben wir einen kurzen Überblick über E-Signaturen gegeben (außerhalb eines Compliance-Kontexts) und haben uns angeschaut, wie Sie die richtige für sich auswählen.

In diesem Blog möchten wir ein wenig tiefer darin eintauchen, wie eIDAS elektronische Signaturen durch das Sicherheitsniveau, das sie bieten, klassifiziert. Wenn Sie konform werden wollen, wird Ihnen dieser Blog bei der Entscheidung helfen, welches Sicherheitsniveau Sie benötigen.

Welches sind die Sicherheitsniveaus von E-Signaturen unter eIDAS?

Verordnungen wie eIDAS haben ihre eigenen E-Signatur-Klassifizierungen auf Grundlage von Vertrauen und Sicherheit entwickelt. Diese Begriffe kennzeichnen das Sicherheitsniveau, das verschiedene Arten von Signaturen bieten, wie in den Zielen der Verordnung festgelegt.

Die folgenden Klassifizierungen sind die von eIDAS präsentierten Begriffe mit dem Ziel, eine allgemeine Grundlage und einen Rahmen für sichere elektronische Signaturen zu schaffen, um das Vertrauen zu stärken und die Interoperabilität und grenzüberschreitende Nutzung und Akzeptanz zu erleichtern.

eIDAS hat auch eine Akkreditierung für die Bereitstellung von E-Signaturen mit dem höchsten Sicherheitsniveau (qualifizierte elektronische Signaturen) geschaffen und damit den Markt für E-Signaturen in Europa verändert. Schauen wir uns an, wie sie das gemacht haben.

Elektronische Signaturen mit Basisniveau

Nach eIDAS kann eine elektronische Signatur mit Basisniveau wie folgt definiert werden:

Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.

Wir würden dies dahingehend interpretieren, dass Sie ein Dokument signieren können, indem Sie einfach Ihre Unterschrift scannen oder ein Kästchen in einem Dokument digital ankreuzen. Technisch gesehen liegen die Daten in elektronischer Form vor und sind einer Datei beigefügt. Aber es gibt Probleme bei diesem Modell, die eIDAS mit dieser Verordnung vermeiden will.

Erstens besteht keine Möglichkeit, mit absoluter Sicherheit zu sagen, dass die Datei oder das Dokument nicht manipuliert worden ist und zweitens besteht keine Möglichkeit, die wahre Identität der Person zu kennen, die das Dokument unterzeichnet hat. Bei diesen Bedenken setzen die nächsten Klassifizierungen an.

Fortgeschrittene elektronische Signaturen

Unter eIDAS muss eine fortgeschrittene elektronische Signatur folgende Anforderungen erfüllen:

  1. Sie ist eindeutig dem Unterzeichner zugeordnet.
  2. Sie ermöglicht die Identifizierung des Unterzeichners.
  3. Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.
  4. Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Um alle oben genannten Anforderungen zu erfüllen, kann man digitale Signaturen verwenden, die auf PKI basieren. Digitale Signaturen werden mit einem digitalen Zertifikat eingefügt, das wie eine elektronische Version eines Ausweises oder Führerscheins ist. Sie werden nur nach eingehender Verifizierung Ihrer Identität durch einen vertrauenswürdigen Dritten (sog. Zertifizierungsstelle oder CA) ausgestellt. Digitale Zertifikate und ihre daraus resultierenden Signaturen sind einzigartig für die Person und praktisch unmöglich zu manipulieren. Damit werden die ersten beiden obigen Anforderungen erreicht.

Da der Unterzeichner der alleinige Inhaber des privaten Schlüssels ist, der zum Einfügen der Signatur verwendet wird (siehe unseren Artikel zu Public Key Infrastructure, um ein Verständnis dafür zu bekommen, wie öffentliche und private Schlüsselpaare funktionieren), kann man sicher sein, dass der Unterzeichner die Person ist, die er vorgibt zu sein. Schließlich umfasst ein Teil des Signaturverifizierungsprozesses, der automatisch stattfindet, wenn ein Empfänger das Dokument öffnet, die Überprüfung, ob seit seiner Signierung Änderungen am Dokument vorgenommen wurden.

Qualifizierte elektronische Signaturen

Eine qualifizierte elektronische Signatur ist

Eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.

Schauen wir uns zunächst einmal an, was eine 'qualifizierte Signaturerstellungseinheit' ist. Nach eIDAS Anforderungen

  1. muss die Einheit Folgendes gewährleisten:
    a. Die Vertraulichkeit der elektronischen Signaturerstellungsdaten.
    b. Die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten können praktisch nur einmal vorkommen.
    c. Die zum Erstellen der Signatur verwendeten elektronischen Signaturerstellungsdaten können nicht abgeleitet werden und die Signatur ist bei Verwendung der jeweils verfügbaren Technik gegen Fälschung geschützt
    d. Die zum Erstellen der Signatur verwendeten elektronischen Signaturerstellungsdaten können vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden.
  2. Die Einheit darf die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden.
  3. Das Erzeugen oder Verwalten von Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdienstanbieter durchgeführt werden.
  4. Unbeschadet des Absatzes 1 Buchstabe (d) dürfen qualifizierte Vertrauensdiensteanbieter, die elektronische Signaturerstellungsdaten im Namen des Unterzeichners verwalten, die elektronischen Signaturerstellungsdaten ausschließlich zu Sicherungszwecken kopieren, sofern folgende Anforderungen erfüllt sind:
    a. Die kopierten Datensätze müssen das gleiche Sicherheitsniveau wie die Original-Datensätze aufweisen.
    b. Es dürfen nicht mehr kopierte Datensätze vorhanden sein als zur Gewährleistung der Dienstleistungskontinuität unbedingt nötig.

Es scheint alles ein wenig vage zu sein (vermutlich weil sie sich selbst absichern wollen, mit zukünftigen technologischen Standards konform zu bleiben). Aber was die Verordnung aussagt, ist, dass, wenn Sie eine qualifizierte elektronische Signatur verwenden, müssen Sie die Erstellungs- und Signaturdaten auf einer sehr zuverlässigen und gesicherten Einheit speichern.

Welche Hardware ist dafür zuverlässig genug? Unsere Empfehlung ist, diese Informationen auf einem HSM (Hardware-Sicherheitsmodul) zu speichern, das in Ihrer Organisation an einem sicheren Ort aufbewahrt werden kann. Damit es alle oben genannten Sicherheitsmerkmale hat, muss das HSM mindestens FIPS 140-2 Level 3 entsprechen. Dabei handelt es sich um einen Sicherheitsstandard, der für kryptografische Module wie ein HSM entwickelt wurde.

Der nächste Teil der Definition für qualifizierte elektronische Signaturen besagt, dass die Daten auf der Einheit auf einem 'qualifizierten Zertifikat für elektronische Signaturen' basieren müssen. Im Gegensatz zu fortgeschrittenen elektronischen Signaturen, die nicht definitiv sagen, dass man ein digitales Zertifikat verwenden muss, besagt die Definition für qualifizierte Signaturen, dass ein Zertifikat zwingend erforderlich ist.  Ein qualifiziertes Zertifikat kann nur von einer Zertifizierungsstelle erworben werden, die gemäß der Verordnung auch nach ISO 15408 akkreditiert ist.

EU-Mitgliedstaaten sind verpflichtet, die Gültigkeit einer qualifizierten elektronischen Signatur anzuerkennen, die mit einem qualifizierten Zertifikat aus einem anderen Mitgliedstaat erstellt wurde.

E-Siegel

Elektronische Siegel ähneln einer elektronischen Signatur, aber der Unterschied liegt in der Identität hinter der Signatur. Ein E-Siegel garantiert seinen Ursprung und seine Integrität genauso wie eine elektronische Signatur, aber anstatt ein Dokument als Person zu unterzeichnen, unterzeichnen Sie als Organisation oder Entität.

eIDAS erwähnt, dass sie von EU-Mitgliedstaaten verwendet werden, aber Sie können sie auch in jeder Institution oder Organisation nutzen. Die Frage, die Sie sich bei der Entscheidung für oder gegen ein E-Siegel stellen müssen, ist, ob Sie als Einzelperson oder Entität unterschreiben müssen und welche Mengen Sie wahrscheinlich signieren werden, da E-Siegel besser für automatisierte oder hochvolumige Unterzeichnungsbedürfnisse geeignet sind.

Welche Sicherheitsniveaus muss ich erfüllen?

eIDAS Artikel 25 besagt:

Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.

Man kann dies dahingehend interpretieren, dass, wenn Sie die Gültigkeit Ihres Dokuments in einem rechtlichen Umfeld beweisen möchten, benötigen Sie ein fortgeschrittenes Niveau oder höher.

Nach eIDAS sollten Unternehmen, die ein hohes Vertrauens- und Sicherheitsniveau benötigen, fortgeschrittene oder qualifizierte elektronische Signaturen verwenden. Für Organisationen in der Finanzbranche, Regierungsstellen und EU-Mitgliedstaaten ist dies sehr empfehlenswert.

Wenn Sie planen, die Dokumenten-Workflows für Kundentransaktionen, Rechtstransaktionen oder Drittanbietertransaktionen zu verwenden, beachten Sie, dass die Daten und Informationen in Ihren Dokumenten nur so vertrauenswürdig sind wie die Verfahren, die Sie zur Sicherung einsetzen.

Schließlich sei daran erinnert, dass, obwohl eIDAS den Einsatz von digitalen Zertifikaten für fortgeschrittene Signaturen nicht spezifiziert, wir empfehlen, sie zu verwenden und sie von einer öffentlich vertrauenswürdigen Zertifizierungsstelle zu erwerben. Öffentliches Vertrauen ist entscheidend, wenn Sie möchten, dass Ihre Signaturen automatisch in gängigen Dokumentensoftware wie Adobe oder Microsoft verifiziert werden und ihnen vertraut wird. Auf diese Weise haben Sie, wenn Sie Dokumente signieren, nicht nur Compliance, sondern auch eine nahtlose Benutzererfahrung für den Empfänger des Dokuments.

Wenn Sie eine elektronische Signatur-Lösung für die Einhaltung von eIDAS besprechen möchten, kontaktieren Sie GlobalSign für weitere Informationen.

von Lea Toms

Artikel teilen