Elektronische Signaturen und Zertifikate - Unterschiede, Standards, Verwendung

Buchempfehlung für Adobe LiveCycle Designer (AEM Forms Designer) Nutzer

Zur Blogübersicht

InfoPath wird nicht weiterentwickelt

Handeln Sie jetzt.

Elektronische Signaturen und Zertifikate - Unterschiede, Standards und anwendungsfallbezogene Verwendung

Dieser Blogartikel beschäftigt sich mit den unterschiedlichen Ausprägungen elektronischer Signaturen und beschreibt Lösungsmöglichkeiten mit den entsprechenden Adobe-Technologien.

 

Da die Begriffe "digitale Signatur“ und "elektronische Signatur“ häufig als Synonym verwendet werden, möchte ich zu Beginn kurz auf die unterschiedlichen Bedeutungen eingehen. Bei der "elektronischen Signatur" handelt es sich primär um einen rechtlichen Begriff, der verschiedene Methoden zur Authentifizierung und Sicherstellung der Integrität elektronischer Dokumente beschreibt. Der Begriff "digitale Signatur" hingehen steht für unterschiedliche kryptografische Verfahren zur Erzeugung elektronischer Unterschriften.

 

Generell unterscheidet man bei elektronischen Signaturen zwischen einfachen, fortgeschrittenen und qualifizierten elektronischen Signaturen. Darüber hinaus gibt es Möglichkeiten, Dokumente zu zertifizieren und mit einem Siegelzertifikat auszustatten.

Stunden der Verbindlichkeit

 

Je nach Anwendungsfall sollte also der passende Signaturstandard gewählt werden:

  • Bei internen Genehmigungen reichen häufig mündliche Absprachen oder eine E-Mail als Bestätigung.
  • Für den Großteil aller Verträge im B2B- oder B2C-Umfeld reichen fortgeschrittene Signaturen aus.
  • Bei Darlehensverträgen, Lebensversicherungen etc. benötigt man hingegen Unterschriftenstandards mit der höchsten rechtlichen Relevanz (handschriftliche Unterschrift oder qualifizierte elektronische Signatur).
  • Wenn es darum geht, die Echtheit von Dokumenten sicherzustellen und nachzuweisen, sind digitale Zertifikate das richtige Medium.

 

Einfache elektronische Signaturen

Einfache elektronische Signaturen haben nur eine geringe Beweiskraft, sind aber für viele Anwendungsfälle häufig ausreichend. Anwendung finden sie bei unternehmensinternen Formular- und Genehmigungsprozessen sowie bei formfreien Vereinbarungen. Unter diesen versteht man Vereinbarungen, bei denen keine Schriftform erforderlich ist und die Vertragsparteien die Form selbst festlegen können (mündlich, schriftlich etc.). Einfache Signaturen werden häufig für interne Genehmigungen, Bescheinigungen, Protokolle, Berichte etc. verwendet.

 

Umsetzung

Einfache Signaturen können bspw. mit Hilfe eines Scribble Fields (Kritzelfeld) aufgebracht werden. Scribble Fields lassen sich bei den Formulartechnologien von AEM Forms sowohl in Webformulare (sog. Adaptive Forms) einbetten als auch in PDF Formulare.

Die Voraussetzung für das Tätigen einer Unterschrift in einem Webformular ist ein berührungsempfindliches Display.

Scribble Feld in einem Adaptive Form

Scribble Feld in einem Adaptive Form

Die Unterschrift erfolgt entweder mit einem Stift, mit dem sich Touchscreen-Geräte bedienen lassen, oder direkt mit dem Finger. Nach erfolgter Unterschrift wird diese als Bilddatei in das Dokument eingebettet. Diese Datei enthält keine biometrischen Daten zur Unterschrift. In Verbindung mit der Geo-Location, IP-Adresse, dem Datum und einem Bestätigungs-/Textfeld kann die Unterschrift aufgewertet werden.

 

Bei der Integration eines Kritzelfelds in ein PDF Formular erfolgt die Unterschrift i.d.R. über die Tastatur / das Mousepad. Auch diese Unterschrift wird als Bild-Datei ins Formular eingebettet.

Scribble Feld in AEM Forms Designer für PDF

Scribble Feld in AEM Forms Designer für PDF

 

Für beide Varianten gilt: Eine einfache elektronische Signatur stellt keine verifizierbare Unveränderbarkeit der erfassten Formulardaten sicher.

 

 

Fortgeschrittene elektronische Signatur

Für die fortgeschrittene elektronische Signatur gelten gesetzliche Vorschriften, die im Gesetz zur elektronischen Signatur (SigG) sowie der Verordnung zur elektronischen Signatur (SigV) geregelt sind. Fortgeschrittene Signaturen müssen demnach die folgenden Anforderungen erfüllen:

  • Die Signatur muss eindeutig mit einer bestimmten Person verknüpft sein
  • Die Signatur muss mit einem einmaligen Signaturschlüssel erstellt werden
  • Eine mögliche Manipulation von Daten muss erkennbar sein
 

Technisch gesehen entspricht die fortgeschrittene Signatur einem Software-Zertifikat. Entgegen der qualifizierten elektronischen Signatur ist zum Erstellen einer fortgeschrittenen elektronischen Signatur keine Signaturkarte mit Zertifikat und kein Kartenlesegerät (Sichere Signaturerstellungseinheit = SSEE) notwendig.

 

Umsetzung

Bei vielen unserer Kunden wurden in der Vergangenheit fortgeschrittene elektronische Signaturen durch Signaturfelder im PDF realisiert, die mittels einer externen Hardwarekomponente (Sign Pads) unterschrieben werden.

Diese Unterschriften-Pads ermöglichen die Erfassung biometrischer Daten bei der Unterschrift (Aufdruck, Geschwindigkeit, Winkel, etc), die sich verschlüsselt in einem Hash-Wert im PDF-Dokument hinterlegen lassen. Diese Daten können bei Bedarf für eine spätere Identifizierung des Unterzeichners verwendet werden. Diese Möglichkeit zur digitalen Unterschrift funktioniert bei PDF-Dokumenten, allerdings nicht in Web-Formularen, da sich Webseiten derzeit nicht unterschrieben lassen.

Signature Pad

Signature Pad

Für fortgeschrittene Signaturen im Web-Umfeld bieten sich andere Lösungen an wie z.B. Adobe Sign.

 

Adobe Sign ist ein Cloud-Signaturverfahren von Adobe zur Authentifizierung und Zertifizierung von Anwendern im Zusammenhang mit Dokumenten. Dieser Signatur-Service arbeitet sowohl mit PDF Dokumenten als auch mit adaptiven Formularen zusammen. Mit Adobe Sign können einfache, fortgeschrittene und sogar qualifizierte Signaturen erzeugt werden, sofern die entsprechenden Voraussetzungen erfüllt sind. Erforderlich ist jedoch eine Online-Verbindung (Cloud-Service) und eine entsprechende Lizenzierung. An jeden Signaturvorgang kann auch der sog. Audit Trail angehängt werden. Mit Hilfe dieses Berichts lässt sich ein über Adobe Sign erfolgter Genehmigungsworkflow lückenlos protokollieren und nachvollziehen. 

Adobe Sign Audit Trail

Der Audit Trail von Adobe Sign protokolliert den kompletten Signaturworkflow

Qualifizierte elektronische Signatur

Qualifizierte elektronische Signaturen unterliegen strengeren Kriterien als fortgeschrittene elektronische Signaturen. Sie basieren auf einem qualifizierten Zertifikat und werden mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt. Qualifizierte Signaturen werden rechtlich der händischen Unterschrift gleichgesetzt.

 

Unterzeichner müssen bei qualifizierten Unterschriften eine zertifikatbasierte digitale ID verwenden, die von akkreditierten EU-Vertrauensdiensten herausgegeben werden und die auf einem geeigneten Gerät zur Erstellung von qualifizierten Signaturen gespeichert ist. Dazu gehören USB-Token, Chip-Karten oder einmalig verwendbare, über das Smartphone übermittelte Kennwörter.

 

Umsetzung

Qualifizierte digitale Signaturen lassen sich über ein Zertifikat in Verbindung mit einer SSEE in ein Dokument einbetten. Die Unterschrift erfolgt demzufolge über eine extern angebundene qualifizierte Signaturkarte, die von einem anerkannten Trust Center ausgestellt wurde, sowie der Passworteingabe.

 

Diese Möglichkeit lässt sich auch in den Adobe Sign-Prozess einbinden, so dass jeder Unterzeichner eine digitale ID von einem Vertrauensdienst erhält und der Unterschriftsprozess durch eine PKI (Public Key Infrastructure) geschützt wird. Mit diesem zusätzlichen Schritt kann der höchstmögliche Signaturstandard einer Cloud-Signatur erreicht werden.

 

Identifizierung der Zertifikatsquelle

Identifizierung der Zertifikatsquelle

Elektronische Siegel

Mit Inkrafttreten der eIDAS-Verordnung am 01.07.2016 gelten seitdem auch elektronische Siegel als offiziell anerkannt. Die eIDAS-Verordnung ist ein konsistentes rechtliches Regelwerk für die Anerkennung elektronischer Signaturen und Identitäten in allen Mitgliedsstaaten der Europäischen Union.

 

Technisch gesehen sind elektronische Siegel vergleichbar mit elektronischen Signaturen. Anders als bei Letzteren erfolgt die Zuordnung jedoch nicht zu einer natürlichen Person, sondern zu einer juristischen Person (Unternehmen, Hochschule, Behörde, etc.). Ein elektronisches Siegel kann demnach überall dort eingesetzt werden, wo eine persönliche Unterschrift nicht notwendig, aber der Nachweis der Authentizität gewünscht ist (z. B. bei amtlichen Bescheiden, Zeugnissen, Urkunden, Kontoauszügen etc.).

eIDAS Compliance - QES, Siegel & Zertifikate / QSCD

eIDAS Compliance - QES, Siegel & Zertifikate / QSCD

Umsetzung

Über den Signature Service von AEM Forms lassen sich elektronische Siegel aufbringen und somit im Batch-Verfahren eine große Anzahl an Dokumenten (Bsp.: Hochschulzeugnisse, Versicherungspolicen, Kontoauszüge, etc.) zertifizieren. Dieser Service bietet dabei Operationen, um sichtbare oder unsichtbare Signaturfelder auf Dokumente aufzubringen und diese mit Signaturen zu versehen (Sign Signature Field). Bei der Signierung oder im Anschluss daran kann ein Zeitstempelserver einbezogen werden. Signaturkarten können mittels Kartenleser angesprochen werden.

Dabei unterstützen AEM Forms, Adobe Acrobat und Adobe Reader das PAdES-Signatur Format (PAdES = PDF Advanced Electronic Signature). Dieser Standard definiert Einschränkungen und Erweiterungen an PDF-Dateien in Verbindung mit elektronischen Signaturen. PDF-Dokumente, die dem PAdES Standard entsprechen, können viele Jahre archiviert werden. Bei PAdES-konformen PDF Dokumenten soll zu jedem in der Zukunft liegenden Zeitpunkt möglich sein, die Signatur des Dokuments zu überprüfen (Long-Term Validation (LTV)).

PAdES Support

Adobe Unterstützt PAdES

Zusammenfassung

Zusammenfassend kann man sagen, dass Signaturen, Zertifikate und Ihre Standards, ein komplexes Thema sind. Die Wahl der richtigen Signaturmethode sollte daher gründlich überlegt werden, da auch die Kosten zwischen einfachen und qualifizierten Signaturen um viele Faktoren auseinanderliegen können. Wir empfehlen bei der Entscheidung der passenden Signaturmethode dabei, den Anwendungsfall im Detail zu simulieren

  • wer (Antragsteller, Genehmiger, etc.)
  • unterschreibt was (PDF Dokument, ein Adaptive Forms, etc.)
  • wo (beim Kunden, im Unternehmen)
  • wie (ist man dabei online oder offline)
  • warum (Use Case (Versicherungsantrag, Kundendienstbericht) und erforderliche Rechtsverbindlichkeit (einfach, fortgeschritten, qualifiziert))

Häufig ist es auch sinnvoll, nicht bereits den bekannten (gewohnten) Ablauf durchzugehen, sondern auf Basis des Projektziels einen Ablauf und eine Lösung abzuleiten. Das Projektziel könnte beispielsweise sein, dass nach Durchlauf eines Prozesses strukturierte Daten an ein Backend-System übergeben werden und ein ausreichend signiertes Dokument archiviert wird. Mit Methoden wie Design Thinking etc. lassen sich dann Lösungswege erarbeiten, die häufig einfacher, schneller und besser sind.