Die häufigsten Irrtümer über elektronische Signaturen

Anzeige

Illustration: Absmeier

Obwohl elektronische Signaturen spätestens seit der eIDAS-Verordnung von 2016 in jedem Unternehmen bekannt sein sollten, herrschen noch immer viele Irrglauben vor. Vor allem die Aspekte Datensicherheit und Rechtssicherheit bereiten einigen Unternehmen Sorgen, jedoch sind diese meist unberechtigt. Ina Gellner, Partnermanagerin und Expertin für alle Fragen der Rechts- und Datensicherheit elektronischer Signaturen bei FP Sign, nennt und erläutert die häufigsten Irrtümer über elektronische Unterschriften.

 

  1. Elektronische Signaturen sind nur ein Abbild von einer eigenhändigen Unterschrift

Es herrscht oft der Irrglaube, die elektronische Signatur sei ein optischer Platzhalter für die eigene handschriftliche Unterschrift auf digitalen Dokumenten. Doch die elektronische Signatur ist keinerlei eine Bilddatei, sondern vielmehr ein kryptografisches Verfahren: Die Information zur Person und der sogenannte Hash-Wert des Dokumentes (einmalige mathematische Quersumme) werden mithilfe eines digitalen Zertifikates berechnet und verschlüsselt. So wird die Signatur untrennbar mit dem elektronischen Dokument verbunden und die Integrität des Dokumentes gesichert. Dieses Verfahren begleitet das Unterschreiben mittels der sogenannten fortgeschrittenen (AES) und der qualifizierten elektronischen Signatur (QES).

Beim elektronischen Signieren etwa mit einer gescannten Unterschrift ohne dieses Verschlüsselungsverfahren ist dagegen die Rede von einer einfachen Signatur. Diese weist eine deutlich niedrigere Beweiskraft und Sicherheit des Signierprozesses auf und ist in diesem Sinne nicht der fortgeschrittenen und der qualifizierten elektronischen Signatur gleichgestellt.

 

  1. Für die elektronische Signatur braucht man ein Kartenlesegerät

Seit der Einführung der eIDAS-Verordnung sind Hardware-Applikationen nicht unbedingt notwendig. Hierzu kommt die sogenannte Fernsignatur ins Spiel als ein deutlich einfacheres Verfahren für die Erstellung einer Signatur: Die dafür benötigten privaten Signaturschlüssel werden auf den Servern eines Vertrauensdienstanbieters generiert – also aus der Ferne. Das ermöglicht die sichere, mobile Signatur etwa vom Smartphone oder Tablet und macht Kartenlesegeräte, zusätzliche Software oder Signaturkarten beziehungsweise Chipkarten überflüssig.

 

  1. Jeder kann in meinem Namen unterschreiben

Das ist ein Irrtum. Je höher die gewünschte Signaturstufe – die EU-Verordnung eIDAS unterscheidet nach der einfachen, fortgeschrittenen und qualifizierten elektronischen Signatur –, desto höher die Anforderung an die Identifizierung des Unterzeichners. Würde man über eine webbasierte Signaturlösung, also ohne Einsatz einer Signaturkarte, elektronisch qualifiziert unterschreiben, so bedarf es beispielsweise für die QES einer einmaligen individuellen Identifizierung des Signaturinhabers durch einen qualifizierten Vertrauensdienstanbieter – zum Beispiel mittels eines VideoIdent-Verfahrens oder der Online-Ausweisfunktion des Personalausweises. Bei jeder Anwendung der QES ist zudem eine sogenannte Zwei-Faktor-Authentifizierung (mit Username oder E-Mail-Adresse und Passwort sowie SMS-TAN) notwendig.

Beim qualifizierten Signieren mittels einer Signaturkarte muss sich der Signaturinhaber ebenfalls einmalig identifizieren lassen und bei jeder Anwendung mit einer 6-stelligen PIN authentifizieren. Die QES ist nur in Verbindung mit diesen Sicherheitsmaßnahmen möglich. So machen es die verschiedenen Authentifizierungsverfahren nahezu unmöglich, dass jemand mittels einer elektronischen Signatur unbefugt im Namen einer anderen Person unterschreibt. Zudem wird eine nachträgliche Veränderung des Dokumentes sichtbar.

 

  1. Eine elektronische Unterschrift hält vor Gericht nicht stand*

Die digitale Signatur ist grundsätzlich rechtsgültig und vor Gericht anerkannt. Im Lichte der eIDAS-Verordnung ist mit Dokumenten beziehungsweise Dateien, die mit der fortgeschrittenen oder der qualifizierten elektronischen Signatur digital unterschrieben wurden, ein höherer Beweiswert verbunden, als mit der einfachen Signatur (etwa in einer E-Mail). Dabei können also höhere Anforderungen daran gestellt werden, die Vermutung der Richtigkeit zu erschüttern: Gemäß § 371a ZPO finden auf private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung.

Voraussetzung ist eben, dass der digitale Prüfbericht (sog. Workflow), der den elektronischen Signierverlauf zeigt, vorgelegt wird. Für die einfache elektronische Signatur gilt zwar die freie richterliche Beweiswürdigung. Da die einfache Signatur aber leichter manipulierbar ist, wird dieser eine im Vergleich geringere Beweiskraft zuerkannt. Das heißt der Richter kann die Integrität (Unversehrtheit) und die Authentizität (Urheber) des Dokuments dann anzweifeln, wenn die Gegenseite substantiiert dazu vorträgt, dass diese etwa manipuliert wurde (der bloße Einwand der Manipulierbarkeit als solcher reicht allerdings nicht aus). Beim digitalen Unterzeichnen wichtiger Geschäftsdokumente und Verträge sollte deshalb mindestens auf die fortgeschrittene elektronische Signatur gesetzt werden und bei Dokumenten, die die Schriftform erfordern, unbedingt auf die QES.

Öffentliche elektronische Dokumente von Behörden (§ 371a Abs. 3 ZPO) haben gemäß § 416 a ZPO in ausgedruckter Form die Beweiskraft öffentlicher Urkunden, wenn der Ausdruck mit Beglaubigungsvermerk versehen ist. Da es für private beziehungsweise geschäftliche elektronische Dokumente an einer entsprechenden Regelung in der Zivilprozessordnung fehlt, kommt dem Ausdruck eins elektronisch signierten Dokuments jedoch selbst in »beglaubigter« Form keine entsprechende Beweiskraft zu. Solche Dokumente sind also nur in elektronischer Form rechtsgültig.

 

  1. Wichtige Dokumente und Informationen könnten so ungewollt in die Hände Dritter gelangen

Vertrauensdienstanbieter, die für die Ausstellung der Signaturzertifikate zuständig sind, müssen sich zertifizieren lassen, um die Sicherheitsanforderungen der Europäischen Union zu erfüllen. Obwohl sich die Anbieter elektronischer Signaturen mitunter unterscheiden, nutzt etwa FP Sign ausschließlich deutsche und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Rechenzentren – unabhängig davon, von wo die Signatur erstellt wird.

Die elektronisch übermittelten Daten werden zudem durch die Transportverschlüsselung, also die Authentifizierung des Unterzeichners mittels Username und Passwort (oder bei der QES auch mit einer SMS-TAN) gesichert. Die Zwei-Faktor-Authentifizierung kann zusätzlich auch beim Signaturempfänger angefordert werden. Die Bedenken über Datensicherheit sind somit – sofern Anwender auf eine eIDAS-konforme Signaturlösung setzen – unberechtigt.

 

  1. Wenn meine Geschäftspartner selbst keinen eigenen Account bei einem Anbieter für elektronische Signaturen verwenden, können sie nicht unterschreiben

Das ist ein hartnäckiger Mythos. Die meisten digitalen, cloudbasierten Signaturlösungen ermöglichen einen unkomplizierten Signaturprozess, indem vom Signaturempfänger kein eigener Account verlangt wird, um ein Dokument elektronisch zu signieren. Es reicht aus, wenn der Initiator der Signatur einen Account bei seinem Wunsch-Vertrauensdienstanbieter besitzt.

Etwas anders verhält es sich, wenn beide Unterschriftsparteien auf höchstmöglicher Rechtsgültigkeit ihrer Vereinbarung bestehen oder das zu unterschreibende Dokument die Schriftform erfordert: Hierzu muss die qualifizierte elektronische Signatur zum Einsatz kommen. Das heißt alle Unterzeichner müssen im Besitz einer QES sein und sich an deren Identifizierungs- und Authentifizierungsanforderungen halten.

www.fp-sign.com

 

*Die im Text genannten rechtlichen Voraussetzungen wurden einer rechtlichen Prüfung unterzogen.

 

72 Artikel zu „Elektronische Signatur“

Digitale Unterschriften im Netz: Wie funktionieren elektronische Signaturen?

Mithilfe von digitalen Unterschriften, sogenannten elektronischen Signaturen, lassen sich Dokumente rechtlich verbindlich, schnell und sicher unterzeichnen. Wo kommen die verschiedenen Formen der elektronischen Signatur zum Einsatz.   Verträge, Angebote, Formulare und Bescheinigungen in Schriftform zu unterzeichnen und zu versenden, kann Tage, ja sogar Wochen dauern. Mit digitalen Unterschriften, elektronische Signatur genannt, lässt sich dieser Prozess…

Zukunftsorientierte Unternehmen setzen auf die Elektronische Signatur

Noch in diesem Jahr wird eIDAS in der gesamten EU verbindlich. In wenigen Monaten wird sich der Status der Elektronischen Signatur verändern: Am 1. Juli 2016 wird die EU-Regelung eIDAS (Electronic Identification and Trust Services) in Kraft treten. Von der Europäischen Union bereits 2014 verabschiedet, ermöglicht die Elektronische Signatur nun eine einheitliche Praxis in allen…

Digitale Signaturen in Europa: Der Hintergrund

Für hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen…

Identity Management für Telemedizin: Elektronische Sicherheit zwingend notwendig

  Geht es um das Thema Telemedizin und Consumer Health scheiden sich oftmals die Geister. Gegner der neuen Techniken verteidigen die alten, teilweise noch aus den 1980er und 1990er Jahren stammenden Technologien, während die Befürworter von Neuerungen auf die zahlreichen Vorteile hinweisen. Dabei besagt sogar der Koalitionsvertrag zwischen SPD und Union: »Die Anwendung und Abrechenbarkeit…

Digitale Signatur: Auf dem Weg zum papierlosen Büro

Die Digitalisierung schreitet in deutschen Büros voran. Laut einer Bitkom-Studie haben es sich Unternehmen zum Ziel gesetzt, ihren Papierverbrauch zu reduzieren, indem sie Briefpost durch digitale Kommunikation ersetzen oder Papierakten digitalisieren. Schließlich haben digitale Dokumente gegenüber gedruckten den Vorteil, dass man sie nicht im Drucker vergessen kann. Aber auch in digitaler Form ist drauf zu…

Besonderes elektronisches Anwaltspostfach – beA: Wege aus dem Rechtsvakuum

Mit dem »besonderen elektronischen Anwaltspostfach (beA)« sollte für Anwälte eine Möglichkeit geschaffen werden, Akten und Schriftsätze vertraulich und rechtssicher über das Internet zu transportieren. Fax und Briefpost wären damit in der Kommunikation zwischen Anwalt und Gericht überholt. Kurz vor dem Start des beA am 01. Januar 2018 allerdings entdecken unabhängige IT-Experten eine fatale Sicherheitslücke: Die…

Die digitale Signatur – wo sie heute steht und wo ihr Potenzial liegt

Gefragt sind laut Studie mobile Lösungen, gute Nutzererfahrung und Sicherheit. Die Technik für digitale Signaturen besteht bereits seit längerem, jedoch konnte sie erst in den letzten Jahren verstärkt an Bedeutung gewinnen. Welche Hintergründe dieser Entwicklung zugrunde liegen, wo weiteres Potenzial besteht und welche Hürden noch überwunden werden müssen, zeigt eine aktuelle Forrester-Studie [1] mit 25…

Digitale Signaturen: Gesetzliche Anforderungen in den USA mit Modellcharakter?

Eine aktuelle Studie von Creation Technologies hat herausgefunden, dass ein durchschnittlicher Mitarbeiter mit Unterschriftsberechtigung etwa 1.350 $ an jährlichen papierbezogenen Kosten verursacht. Für die unterschriftlastige Architektur-, Ingenieur- und Baubranche (AEC), wo Projektpläne, RFIs, Verträge, Zeichnungen und Entwürfe gegebenenfalls sogar mehrere Unterzeichner brauchen, kommt einiges an Kosten zusammen. Setzt man aber einen komplett elektronischen Workflow für…

4 Tipps für elektronische Rechnungen im Mittelstand: Mehr Faktura, weniger Papier

Viele Unternehmen drucken Rechnungen noch immer aus, stecken sie in einen Briefumschlag und legen sie in den Postausgang. Ein Arbeitsablauf der Zeit frisst und auch so manchen Kunden nicht mehr zeitgemäß erscheint. Was viele noch nicht wissen: Seit dem Steuervereinfachungsgesetz von 2011 geht die elektronische Rechnung wesentlich schneller und günstiger von der Hand: Denn die…

Elektronische Rechnungen: Leitfaden erklärt wichtige Regelungen in zehn Merksätzen

Auf der Festplatte gesichert statt in den staubigen Aktenschrank einsortiert: Elektronische Rechnungen werden einfach erstellt, unkompliziert verschickt und schnell verbucht. Zudem erübrigen sich hohe Papierstapel, denn man kann sich digital darum kümmern. »Viele Unternehmen setzen jetzt schon auf die elektronische Rechnung, weil sie damit vor allem Geld sparen«, sagt Bitkom-Experte Frank Früh. Trotzdem stehen Chefs…

E-Invoicing: Öffentliche Verwaltung in Italien akzeptiert nur noch elektronische Rechnungen

Ab dem 31. März 2015 gehört die Papierrechnung an die öffentliche Verwaltung in Italien endgültig der Vergangenheit an. Die viertgrößte Volkswirtschaft Europas macht es damit Vorreitern wie Frankreich oder Österreich gleich, die allesamt bereits ihre öffentlichen Stellen auf den ressourcenschonenden elektronischen Rechnungsempfang umgestellt haben. Betroffen sind alle (inländischen) Zulieferer und Dienstleister, die Rechnungen an die…

Gefahr: Trojaner und Schadsoftware in allen elektronischen Geräten denkbar

Datenrettungsspezialisten zeigen sich über Manipulationen von Festplatten nicht überrascht. »Unsere Datenrettungs-Ingenieure manipulieren jeden Tag die Firmware von dutzenden Festplatten«, berichtet Nicolas Ehrschwendner, Geschäftsführer der Attingo Datenrettung. Bei einer Firmware handelt es sich um die Betriebsprogramme von Hardwarekomponenten, unter anderem von Festplatten. Sehr oft liegen die Ursachen bei Datenverlust neben defekten Schreib-/Leseköpfen oder Oberflächenschäden bei den Magnetscheiben…

Elektronische Unterschrift – Trends in Europa 2014

Immer mehr Deutsche unterschreiben Kaufbelege oder Verträge digital. Im Vergleich zu Italien und Spanien ziehen die Menschen bei uns aber noch die eigenhändige Unterschrift auf Papier vor. Das hat die repräsentative Umfrage der Wacom Europe GmbH »Elektronische Unterschrift – Trends in Europa 2014« ergeben, für die das Meinungsforschungsinstitut Innofact AG im Juli 2014 je 1.000…

Praxishilfe zur EU-Verordnung elDAS

Fragen und Antworten zu den wichtigsten Aspekten für Diensteanbieter und Anwender. Mit elDAS ist seit Mitte 2016 eine EU-Verordnung wirksam, auf deren Basis die elektronische Identifizierung und die Erbringung von Vertrauensdiensten innerhalb des Europäischen Wirtschaftsraums neu geregelt wurde. Sie zeigt bereits deutliche Erfolge, allerdings verbirgt sich hinter der Umsetzung für Diensteanbieter und Anwender ein fachlich…

Nur wer seine IT-Systeme und deren Schutzbedarf kennt, kann IT-Security richtig leben

Die Sicherheit der IT-Systeme wird in Unternehmen nicht immer so ernst genommen, wie es sein sollte. Dabei helfen technische und organisatorische Maßnahmen sowie ein IT-Sicherheitskonzept, Kosten zu sparen. Denn die fallen in aller Regel geringer aus als der Schaden, der durch Cyberattacken, Datendiebstahl oder -verlust entsteht. »Das Problem ist, dass der Begriff Informationssicherheit für Viele…

Sicherheitsprognosen für 2019

  Kaum zu glauben, aber (auch) 2018 ist wieder wie im Flug vergangen. Das Jahr war geprägt von Sicherheitslücken und Datenschutzverletzungen. Betroffen nicht zuletzt die einflussreichsten Sozialen Medien der Welt. Die Mutter aller sozialen Medien, Facebook, hatte in dieser Hinsicht ein ziemlich desaströses Jahr. Ende September gab das Unternehmen bekannt, dass bis zu 50 Millionen…

Immer mehr Nutzer kennen digitale Zertifikate

Digitale Zertifikate sind die Basis für sichere Transaktionen in der Industrie 4.0 und im Internet. Wie sehen Lösungen für sichere Maschinenidentitäten aus?   Ob bei der Identifikation von Maschinen, beim Online-Banking, in sozialen Netzwerken oder bei der Anmeldung in digitalen Rathäusern: Fast überall im Internet werden digitale Zertifikate eingesetzt. Mit ihnen kann jede Person, jeder…