Elektronische Signatur: Ein umfassender Leitfaden

Da das digitale Zeitalter auf der ganzen Welt voranschreitet, sind Organisationen mehr als je zuvor darauf bedacht, eine sichere Grundlage für ihre Transformationsbemühungen zu schaffen. Ob es nun darum geht, Verbrauchertransaktionen zu schützen oder Bürgern sichere Erfahrungen zu ermöglichen – in jedem Fall benötigen Behörden und Unternehmen eine Möglichkeit, Identitäten in einer zunehmend verteilten Landschaft nahtlos zu authentifizieren.

Hier kommen Lösungen wie sichere und identitätsgeprüfte elektronische Signaturen ins Spiel. Mit einer gut geschützten Infrastruktur für elektronische Signaturen können Organisationen ihre Interaktionen zukunftssicher gestalten und sich vor den Risiken unserer sich schnell entwickelnden Umgebung schützen.

Lesen Sie weiter, um mehr über elektronische Signaturen zu erfahren, z. B. was sie sind, wie sie funktionieren und wie Sie sie nutzen können.

Eine elektronische Signatur oder E-Signatur ist eine effiziente Möglichkeit, ein digitales Dokument zu unterzeichnen. Als Ersatz für das traditionelle Unterschriftsverfahren ermöglicht es dem Unterzeichner, seinen Namen auf elektronischem Wege mit einem Datensatz oder einer Transaktion zu verbinden – ganz ohne Papier.

Stellen Sie sich eine elektronische Signatur als eine virtuelle Darstellung einer Person vor. Ähnlich wie ihr Gegenstück, die Papierunterschrift, wird sie für Folgendes verwendet:

1. Nachweis für die Echtheit eines juristischen Dokuments
2. Nachweis der Absicht, an die Bedingungen eines signierten Dokuments gebunden zu sein

Elektronische Signaturen können die gleiche rechtliche Wirkung haben wie handschriftliche Unterschriften, sofern sie bestimmte Anforderungen erfüllt, die je nach Ort unterschiedlich sein können. Dank der verschiedenen Sicherheitsmaßnahmen können Sie jedes juristische Dokument vertrauensvoll unterschreiben.

Warum sind elektronische Signaturen notwendig?

Das Verfahren der handschriftlichen Unterschrift ist relativ einfach. Sie öffnen ein Papierdokument, unterschreiben mit Ihrem Namen in der Unterschriftszeile, und Ihre Arbeit ist beendet. Heute, in unserer digitalen Welt, ist das nicht mehr ganz so einfach.

Elektronische Transaktionen werden immer häufiger eingesetzt, vor allem seit dem Aufkommen von Telearbeit, E-Commerce und Online-Geschäftsmodellen. Daher benötigen Verbraucher, Behörden und Organisationen gleichermaßen eine Möglichkeit, Dokumente zu beglaubigen und ihre Absicht unabhängig von ihrem Standort nachzuweisen.

Noch wichtiger ist, dass dies mit einem Höchstmaß an Sicherheit geschieht. Mit der rasanten Zunahme elektronischer Transaktionen steigen auch die damit verbundenen Risiken – Fälschung, Ablehnung und andere Rechtsstreitigkeiten.

Bei handschriftlichen Unterschriften gibt es normalerweise Zeugen, die ihre Echtheit bestätigen können. Für elektronische Signaturen sind jedoch anspruchsvollere Mechanismen erforderlich. Glücklicherweise kann die Genauigkeit und Authentizität von Dokumenten durch fortschrittliche Signatursoftware und andere Lösungen problemlos bestätigt werden.

Was ist der Unterschied zwischen einer elektronischen und einer digitalen Signatur?

In einfachen Worten: Eine elektronische Signatur ist ein Oberbegriff, der die gesamte Technologie beschreibt, die zur Zertifizierung, Authentifizierung und Unterzeichnung eines digitalen Dokuments verwendet wird. Im Gegensatz dazu ist eine digitale Signatur eine Art von elektronischer Signatur, die ein höheres Maß an Vertrauen bietet.

Digitale Signaturen sind als Best Practice für die digitale Überprüfung elektronischer Transaktionen weithin anerkannt, da sie auf der Public Key Infrastructure (PKI) basieren. Vereinfacht ausgedrückt ist PKI ein Berechtigungssystem, das kryptografische Ressourcen, so genannte digitale Zertifikate, ausstellt, die nur von einer Zertifizierungsstelle (Certificate Authority, CA) wie Entrust bezogen werden können. Ein digitales Zertifikat funktioniert wie ein Reisepass: Jedes Zertifikat ist einzigartig für den Unterzeichner und dient daher als Identitätsnachweis.

Der Signaturprozess nutzt spezielle kryptographische Ressourcen, die als Signaturzertifikate für Dokumente bekannt sind. Wenn jemand ein juristisches Dokument elektronisch signiert, bettet das Zertifikat eine Kopie von sich selbst in die Signatur ein, zusammen mit einem Zeitstempel, der angibt, wann es unterzeichnet wurde.

Darüber hinaus werden digitale Signaturen auf der Grundlage der genauen Inhalte des Dokuments berechnet. Das bedeutet, dass nachträgliche Änderungen die Signatur zerstören, wodurch Manipulationen und Ablehnungen vermieden werden.

Zusammen verhindern diese Funktionen, dass der Unterzeichner die Existenz oder Gültigkeit eines digitalen Dokuments oder seiner Unterschrift bestreiten kann. Darüber hinaus bieten digitale Signaturen die Möglichkeit, aus der Ferne zu kommunizieren, Transaktionen durchzuführen und Geschäfte zu tätigen, ohne die Sicherheit oder das Vertrauen zu gefährden.

Drei Hauptarten von elektronischen Signaturen

In den meisten Teilen der Welt werden elektronische Signaturen üblicherweise nach ihrem Sicherheitsniveau eingeteilt, d. h. danach, wie gut sie die Absicht, Zustimmung und Identität des Unterzeichners wiedergeben. Damit soll eine standardisierte Methode zur Bewertung und zum Verständnis ihrer Zuverlässigkeit geschaffen werden.

Im Allgemeinen gibt es drei Stufen der Sicherheit elektronischer Signaturen:

1. Geringe Sicherheit: Jede Unterschrift in elektronischer Form kann als elektronische Signatur betrachtet werden. Das kann eine mit der Maus gezeichnete Unterschrift sein, eine eingescannte Papierunterschrift, die in ein digitales Dokument eingefügt wird, oder sogar ein Name, der in ein PDF-Dokument getippt wird. Leider können diese einfachen Formen leicht angefochten werden.
2. Hohe Sicherheit: Digitale Signaturen sind von Natur aus viel zuverlässiger. Da sie eine Public Key Infrastructure und digitale Zertifikate verwenden, sind sie viel schwerer zu fälschen oder anzufechten. Außerdem sind digitale Signaturen fälschungssicher und verhindern, dass der Inhalt eines signierten Dokuments verändert wird.
3. Geregelte hohe Sicherheit: Digitale Signaturen, die gesetzlich geregelt sind, gelten als am vertrauenswürdigsten. Zusätzlich zu PKI und Signaturzertifikaten für Dokumente müssen diese Signaturen mit den lokalen Standards übereinstimmen. Darüber hinaus wird die Signierinfrastruktur in der Regel von so genannten Vertrauensdiensteanbietern (Trust Service Provider, TSP) unterhalten, die einer Prüfung und strengen Regulierung unterliegen.

Signatur-Beispiel: eIDAS-Verordnung

Die spezifischen Vorschriften, Standards und Definitionen sind von Land zu Land unterschiedlich. Die meisten Rechtsordnungen, die elektronische Signaturen rechtlich anerkennen, halten jedoch an dem oben beschriebenen mehrstufigen Ansatz fest – wenn auch mit eigenen Spezifikationen.

Dafür gibt es vielleicht kein besseres Beispiel als die Europäische Union (EU). 2016 verabschiedete die EU die eIDAS-Verordnung. eIDAS steht für „Electronic Identification, Authentication and Trust Services“ (elektronische Identifizierung, Authentifizierung und Vertrauensdienste). Mit dieser Verordnung wurde der rechtliche Rahmen für elektronische Signaturen in allen EU-Mitgliedsstaaten geschaffen und alle Rechtssysteme unter einer einzigen Gesetzgebung harmonisiert.

Die eIDAS-Verordnung unterscheidet zwischen drei Signaturtypen:

1. Einfache elektronische Signatur: Als einfachste elektronische Signatur erfordert dieser Typ keine starke Unterzeichnerauthentifizierung oder Identitätsüberprüfung und ist daher am leichtesten zu implementieren. Allerdings bietet sie auch die geringste Sicherheit.
2. Fortgeschrittene elektronische Signatur: Dieser Typ ist mit genaueren Anforderungen verbunden. Der Unterzeichner kann aufgefordert werden, seine Identität durch biometrische Daten, Zugangscodes, digitale Zertifikate und andere elektronische Mittel zu bestätigen.
3. Qualifizierte elektronische Signatur: Dieser Typ ist anspruchsvoller als die fortgeschrittene elektronische Signatur. Sie ist mit höheren technischen Anforderungen verbunden und bietet das höchste Maß an Sicherheit. Sowohl fortgeschrittene als auch qualifizierte Signaturen sind eigentlich digitale Signaturen. Letztere ist jedoch sicherer und die am strengsten geregelte von beiden.

Insbesondere müssen qualifizierte elektronische Signaturen strenge Anforderungen erfüllen. Sie müssen nicht nur ein eIDAS-qualifiziertes digitales Zertifikat enthalten, sondern sollten auch mit einem qualifizierten Token oder einem Signaturerstellungsgerät (SCD) generiert werden, die von einem qualifizierten TSP herausgegeben wurden.

Was ist ein Signaturerstellungsgerät?

Ein SCD ist ein Hardware-Gerät, das für die Aufnahme digitaler Zertifikate und die Erstellung digitaler Signaturen konzipiert ist. Zwei der gängigsten Typen sind USB-Tokens und Hardware-Sicherheitsmodule (HSMs).

Im Falle eines USB-Tokens stecken die Benutzer das Gerät direkt in ihren Computer ein und können so auf ihr digitales Zertifikat zugreifen. HSMs dagegen werden entweder in einem lokalen Unternehmensnetzwerk oder in einer vom TSP gehosteten Cloud gespeichert, wo die Mitarbeiter ohne Beeinträchtigung der Benutzererfahrung darauf zugreifen und Signaturen erstellen können.

Ein qualifiziertes Signaturerstellungsgerät (Qualified Signature Creation Device, QSCD) wurde im Rahmen des eIDAS-Zertifizierungsprozesses geprüft. Nur QSCDs können qualifizierte digitale Zertifikate verwenden, um eine qualifizierte Signatur zu generieren.

Nach Angaben von Deloitte wird der weltweite Markt für elektronische Signaturen bis 2026 einen Wert von über 14 Milliarden Dollar haben und mit einer beeindruckenden jährlichen Rate von 30 % wachsen. Dies ist zum großen Teil auf unterstützende Vorschriften in der ganzen Welt zurückzuführen, ganz zu schweigen von der umfangreichen Liste von Anwendungsfällen in den verschiedenen Branchen.

Hier erfahren Sie, wie verschiedene Branchen elektronische Signaturen zu ihrem Vorteil nutzen:

Finanzdienstleistungen

Finanzinstitute wie Banken und Kreditgenossenschaften haben sich traditionell auf papierbasierte Prozesse für eine Vielzahl von Geschäftsanwendungen verlassen. Mithilfe elektronischer und digitaler Signaturen können sie nun das Vertrauen maximieren und das Risiko verringern – sowohl für sich selbst als auch für die Verbraucher.

Ein Beispiel dafür ist das Onboarding von Kunden. In der Vergangenheit mussten Kunden, die ein Konto eröffnen wollten, die Filiale aufsuchen und ihre Unterschrift auf ein Stück Papier setzten. Mit sicheren digitalen Signaturen können Institute jetzt die Kontoeröffnung rationalisieren, indem sie ihren Kunden die Möglichkeit geben, Formulare, Erklärungen und andere Vereinbarungen elektronisch zu unterzeichnen.

Da digitale Signaturen mit einem Zeitstempel versehen und fälschungssicher sind, dienen sie als elektronischer Prüfpfad, der im Falle von Unstimmigkeiten nicht einfach angefochten werden kann.

Kaufverträge

Unabhängig von der Branche ist ein Kaufvertrag oft das wichtigste Rechtsdokument eines Unternehmens. Ob es sich nun um den Arbeitsumfang (Scope of Work, SOW) oder eine Vereinbarung über verwaltete Dienste (Managed Service Agreement, MSA) handelt, Verträge haben eine erhebliche Bedeutung und müssen vertrauenswürdig erstellt, geschrieben und unterzeichnet werden. Das traditionelle Unterschriftsverfahren kann jedoch langsam und unnötig kompliziert sein.

Mit elektronischen Signaturen können Organisationen den Prozess der Dokumentunterzeichnung beschleunigen, ohne die Sicherheit zu beeinträchtigen. Die Identitätsüberprüfung erfolgt schnell und nahtlos, sodass beide Parteien die gepunktete Linie unabhängig von Zeit und Ort unterschreiben können. Dies kann dazu beitragen, den Verkaufszyklus zu beschleunigen und die Notwendigkeit physischer Papierdokumente verringern.

Staatliche Dienstleistungen

Im Bereich der öffentlichen Verwaltung gibt es viele Arten von Vereinbarungen, die einen genauen und zugänglichen Prüfpfad erfordern. Elektronische Signaturen können Behörden und Bürgern helfen, den gesamten Workflow zu vereinfachen und sicherer zu gestalten – von Compliance-Dokumenten und Richtlinienänderungen bis hin zu Ausrüstungsanforderungen und Leistungsanträgen.

Stellen Sie sich zum Beispiel vor, Sie beantragen eine finanzielle Unterstützung bei Ihrer Gemeindeverwaltung. Anstatt sich von der Arbeit freistellen zu lassen und selbst zum Amt zu fahren, können die Bürgerinnen und Bürger ein elektronisches Formular mithilfe einer Lösung für elektronische Signaturen einreichen. Dies beschleunigt nicht nur den Prozess, sondern erhöht auch die Verantwortlichkeit und Sichtbarkeit durch die digitale Aufzeichnung der Einreichung.

Personalabteilung

Wie von Forbes berichtet, verwenden Personalabteilungen häufig elektronische Signaturen für Dokumente im Zusammenhang mit Einstellungen und Personalbeschaffung. Das Onboarding eines neuen Mitarbeiters erfordert eine Menge Papierkram, aber mit einer Lösung für elektronische Signaturen kann der Unterzeichner Verträge ausfüllen, ohne sein Haus zu verlassen. Dies ist besonders wichtig für externe Mitarbeiter, die nicht in der Nähe des Büros wohnen.

Welche Signatur ist die richtige für Sie?

Elektronische Signaturen sind also in vielen Bereichen auf dem Vormarsch. Allerdings ist jede Anwendung anders – manche erfordern ein höheres Maß an Vertrauen in die Identität des Unterzeichners, seine Absicht und seine Zustimmung zur Unterschrift. So ist beispielsweise die Unterzeichnung einer Hypothek ein viel sensiblerer Vorgang als die Unterzeichnung einer Lieferung.

Nicht alle elektronischen Signaturen sind gleich, sodass es möglich ist, die Nachweisstufen anzupassen, um das Risiko unter bestimmten Umständen zu minimieren. Aufgrund der rechtlichen Bedeutung einer Unterschrift ist es wichtig, mit einem geeigneten Rechtsberater zusammenzuarbeiten, um sicherzustellen, dass die während des Unterzeichnungsprozesses gesammelten Nachweise mit den geltenden Vorschriften übereinstimmen und im Streitfall ausreichend sind.

Bei der Wahl des Signaturtyps sollten Sie Folgendes beachten:

1. Gesetzgebung des Landes und der Bundesstaaten, z. B. der U.S. e-Sign Act
2. Grenzüberschreitende Verordnungen, z. B. eIDAS in der Europäischen Union
3. Branchenanforderungen, z. B. das Prinzip Know Your Customer (KYC) oder Gesetze zur Bekämpfung der Geldwäsche (AML)

Warum sollte Ihre Organisation elektronische Signaturen einführen? Dafür gibt es viele Gründe. Mit einer sicheren Lösung für elektronische Signaturen können Sie eine Vielzahl von Vorteilen nutzen, darunter:

• Flexibilität: Unterschreiben Sie ein elektronisches Dokument überall und zu jeder Zeit. Mit elektronischen Signaturen können Sie die Erfahrungen Ihrer Mitarbeiter und Kunden durch schnellere, effizientere und benutzerfreundlichere Prozesse verbessern.
• Sicherheit: Authentifizieren Sie jede Transaktion und bekämpfen Sie Betrug bei allen digitalen Vereinbarungen. Besser noch, Sie begrenzen die Gefahr von Reputationsschaden, indem Sie die Rechtssicherheit erhöhen und das Haftungsrisiko verringern.
• Innovation: Beschleunigen Sie Ihren Unterzeichnungsprozess mit messbaren Verbesserungen bei Geschwindigkeit und Effizienz. Elektronische Signaturen optimieren den Einsatz integrierter Vertragsworkflows und ermöglichen Ihnen, die Produktivität zu maximieren und gleichzeitig die Widerstandsfähigkeit zu stärken.
• Compliance: Erstellen Sie einen digitalen Prüfpfad und sorgen Sie für die Einhaltung lokaler, nationaler und internationaler Vorschriften, in den Vereinigten Staaten, der Europäischen Union und darüber hinaus.

Obwohl die Technologie, die hinter der elektronischen Signatur von Dokumenten steht, kompliziert und ausgeklügelt klingen mag, ist die Benutzererfahrung tatsächlich ziemlich nahtlos. Der gesamte Vorgang dauert möglicherweise nur wenige Minuten.

Im Allgemeinen umfasst der Vorgang fünf grundlegende Schritte:

1. Onboarding und Berechtigungsnachweise: Zunächst wird der Benutzer oder die Organisation im System zur Dokumentunterzeichnung eingerichtet. Dabei wird die Identität des Benutzers und/oder der Organisation überprüft, oft durch mehrere Authentifizierungsmethoden.
2. Signaturanforderung: Sobald das Onboarding abgeschlossen ist, initiiert das System eine Signaturanforderung, indem es das zu signierende digitale Dokument auswählt und die erforderlichen Parteien einlädt.
3. Identitätsüberprüfung: Bevor ein Unterzeichner eine elektronische Signatur hinzufügen kann, muss er sich authentifizieren, um die Integrität und Sicherheit zu gewährleisten. Dies geschieht in der Regel durch eine Multi-Faktor-Authentifizierung, z. B. durch eine Bestätigung per E-Mail oder SMS. Wenn die Unterzeichner den Onboarding-Schritt noch nicht durchlaufen haben, kann in dieser Phase ein Identitätsüberprüfungsprozess ausgelöst werden.
4. Signaturerstellung: Der Prozess der Signaturerstellung hängt von der gewählten Art der Signatur ab. Im Falle einer einfachen elektronischen Signatur kann dem Dokument eine Grafik mit einer manuellen Unterschrift hinzugefügt werden. Wenn digitale Signaturen erstellt werden, werden vom TSP für jeden überprüften Unterzeichner Signaturzertifikate für Dokumente generiert. Die Zertifikate werden für die Erstellung der Signaturen verwendet. Es wird eine eindeutige Transaktions-ID erstellt, und jeder Schritt des Prozesses wird zu rechtlichen Zwecken in einem Prüfprotokoll festgehalten.
5. Verteilung des signierten Dokuments: Nachdem alle Signaturen erfasst wurden, wird das signierte Dokument für spätere Verwendung sicher gespeichert. Die Benutzer können eine sichere Kopie für ihre eigenen Unterlagen abrufen.

Vertrauen ist für die digitale Transformation unerlässlich. Nun die gute Nachricht: Mit einem umfassenden Portfolio von Lösungen für elektronische Signaturen gestaltet Entrust die Transformation für Organisationen jeder Art und Größe so reibungslos wie möglich.

Unsere weltweit vertrauenswürdigen Zertifikatsdienste, nShield HSMs und unsere robuste Identitätsplattform ermöglichen Unternehmen, Behörden und anderen Organisationen vertrauenswürdige, sichere Signaturen für alle ihre Anforderungen. Die Produkte und Dienstleistungen, die unser Portfolio für digitale Signaturen mit Identifizierung unterstützen, können einzeln integriert oder zu einer Komplettlösung gebündelt werden. Dazu gehören:

• Entrust Remote Signing Service, eine Cloud-basierte Lösung für die Ausstellung und das Hosting von digitalen Zertifikaten und die Erstellung sicherer digitaler Signaturen.
• Entrust Signing Automation Service, eine Cloud-basierte Lösung, die es Organisationen ermöglicht, Zertifikate und digitale Siegel mit eigenem Branding auszustellen.
• Entrust-Signaturzertifikate für Dokumente, mit denen Sie vertrauenswürdige Einzel- oder Mitarbeitersignaturen mit sicheren USB-Tokens oder HSMs erstellen können.
• Entrust Identity as a Service, ein verwaltetes Angebot, das vertrauenswürdiges Identitätsmanagement für Arbeitskräfte, Verbraucher und Bürger durch robuste, phishing-resistente Multi-Faktor-Authentifizierung bietet.
• Signhost von Evidos, ein Entrust-Unternehmen, bietet eine Cloud-Lösung für die Orchestrierung von Signaturanforderungen, die Authentifizierung von Unterzeichnern, die Erzeugung von Signaturen und die Verteilung von Dokumenten in einer umfassenden Plattform.

Unterstützt durch branchenführende Technologie, die sich an globalen Standards orientiert, hilft Ihnen Entrust, die Möglichkeiten der elektronischen Signatur zu nutzen. Als Experten für PKI, HSMs, Authentifizierung und digitale Signaturen können Sie darauf vertrauen, dass wir Ihnen eine erstklassige Lösung mit hoher Sicherheit bieten, die Ihren individuellen Anforderungen entspricht.