Viele Personen nutzen die Begriffe elektronische und digitale Signatur gleichbedeutend. Aber sagen diese zwei Begriffe eigentlich dasselbe aus? Die Antwort lautet: Nein. Denn hinter den jeweiligen Begriffen verstecken sich unterschiedliche Definitionen und Funktionalitäten. Dieser Beitrag soll einen Einblick in die beiden Signaturtypen geben.
Viele Personen nutzen die Begriffe elektronische und digitale Signatur gleichbedeutend. Aber sagen diese zwei Begriffe eigentlich dasselbe aus? Die Antwort lautet: Nein. Denn hinter den jeweiligen Begriffen verstecken sich unterschiedliche Definitionen und Funktionalitäten. Dieser Beitrag soll einen Einblick in die beiden Signaturtypen geben.
Die elektronische Signatur
Die elektronische Signatur ist ein rechtlicher bzw. ein juristischer Begriff. Darunter versteht man mit elektronischen Informationen verknüpfte Daten, die den Unterzeichner identifizieren. Zweckmäßig gleicht sie der eigenhändigen Unterschrift auf Papier.
Die rechtlichen Rahmenbedingungen der elektronischen Signatur wurden unter der eIDAS-Verordnung zusammengefasst. Dort sind folgende Formen der elektronischen Signaturen definiert:
- elektronische Signatur
- fortgeschrittene elektronische Signatur
- qualifizierte elektronische Signatur.
Verschiedene Formen der elektronischen Signatur
Die einfache elektronische Signatur dient nicht zur Verschlüsselung von Dokumenten und somit auch nicht zur Geheimhaltung von Informationen. Insofern kann bereits der Absender einer Mail als elektronische Signatur gewertet werden. Der Schutz gegen Veränderungen am signierten Dokument ist in diesem Fall nicht gewährleistet.
Unternehmensintern genügt daher auch der Nachweise einer elektronischen Signatur in Form von einer gescannten Unterschrift, die als Bild in ein Dokument eingefügt und ebenfalls als (einfache) elektronische Signatur deklariert werden kann.
Um allerdings eine fortgeschrittene oder qualifizierte elektronische Signatur zu erhalten, ist eine Identifizierung des Unterzeichners durch einen Zertifizierungsdienstleister (beispielsweise durch die Bundesdruckerei) erforderlich.
Signaturen für den Geschäftsverkehr zwischen Unternehmen, zwischen Privatpersonen und Unternehmen oder zwischen Privatpersonen und Behörden müssen folgenden Anforderungen genügen:
- Der Unterzeichner muss identifiziert sein
- Der Inhalt des Dokuments und das Identifizierungsmerkmal des Unterzeichners gehören zusammen
- Nachträgliche Veränderungen am Dokument müssen erkennbar sein
- Der Unterzeichner muss den Signaturprozess kontrollieren können
Die tatsächlich eigenhändig geleistete Unterschrift auf Papier kann deshalb nur durch die qualifizierte elektronische Signatur ersetzt werden.
Neben der eIDAS-Verordnung müssen jedoch noch weitere Gesetze und Vorschriften beachtet werden, um eine Unterschrift auf das Level einer qualifizierten elektronischen Signatur zu heben:
- Vertrauensdienstgesetz
- Vertrauensdienstverordnung
- Bürgerliches Gesetzbuch (BGB), hier vor allem die § 125 ff. über die Formen von Rechtsgeschäften
- Verwaltungsverfahrensgesetz (VwVfG, des Bundes und der meisten Länder), hier vor allem § 3a zur elektronischen Kommunikation und § 37 *8 zum elektronischen Verwaltungsakt
- Rechtsvorschriften, die 2001 durch das Formanpassungsgesetz geändert wurden
- Vorschriften der Europäischen Union
Digitale Signatur
Digitale Signaturen bieten zusätzliche Sicherheit, denn sie beinhaltet im Gegensatz zur elektronischen Signatur einen verschlüsselten Hashwert. Außerdem kann die unterzeichnende Person zweifelsfrei authentifiziert werden.
Denn betrachtet man papierbasierte Dokumente und Workflows, so kommt schnell das Problem der Sicherheit ins Spiel. Es kann nicht überprüft werden, wer ein Dokument unterschrieben hat oder ob eine Unterschrift vielleicht sogar gefälscht ist. Des Weiteren besteht die Gefahr, dass Dokumente manipuliert oder verändert wurden, ohne dass dies nachvollzogen werden kann.
Die Sicherheit von digitalen Signaturen
Genau diese Sicherheitslücke wird durch den Einsatz einer digitalen Singnatur geschlossen. Sie ist also gleichbedeutend einer notariell beglaubigten eigenhändigen Unterschrift. Hierbei wird, ähnlich dem Vorgang zur Erstellung einer qualifizierten elektronischen Signatur, eine Zertifizierungsstelle genutzt, die den Unterzeichner authentifizieren kann. Somit ist gewährleistet, dass die getätigte Unterschrift und das Dokument nicht manipuliert wurden. Mithilfe eines Public Key-Verfahrens setzen die Zertifizierungsstellen diesen Sicherheitsaspekt um.
Eine Public Key Infrastruktur (PKI) bietet die Option in einem asynchronen Verfahren Informationen zu signieren und zu verifizieren, aber auch die Möglichkeit zur Ver- und Entschlüsselung. Digitale Signaturen eröffnen somit die Chance, die Integrität (Hashwert) und Authentizität (PKI) digitaler Daten zu beweisen.
Für den Integritätsnachweis wird die Verschlüsselungsmöglichkeit einer PKI genutzt, in dem der ermittelte Hashwert mit dem privaten Schlüssel verschlüsselt wird. Dieser verschlüsselte Hashwert ist zusammen mit dem öffentlichen Schlüssel Bestandteil der Signatur.
Prozessablauf Signatur-Erstellung
Bei der Validierung der Signatur wird der verschlüsselte Hashwert mit dem öffentlichen Schlüssel entschlüsselt. Gelingt dies, so wurde offensichtlich der dazugehörige private Schlüssel zum Verschlüsseln genutzt, auf den nur der Inhaber zugreifen kann. Eine Zertifizierungsstelle (certification authority (CA)) dient dabei als Intermediär, welcher quasi die Echtheit des verwendeten Public Keys garantiert.
In einem nächsten Schritt wird der entschlüsselte Hashwert mit dem aktuellen verglichen. Stimmen beide überein, so wurde das Dokument seit der Signaturerstellung nicht verändert und ist damit valide.
Prozessablauf Signatur-Validierung
Autorin des Beitrages:
Leonie Wenning
Project Consultant | d.velop Life Sciences GmbH