Digitale Signaturen: Gesetzliche Anforderungen in den USA mit Modellcharakter?

Illustration: WolfBlur Absmeier

Eine aktuelle Studie von Creation Technologies hat herausgefunden, dass ein durchschnittlicher Mitarbeiter mit Unterschriftsberechtigung etwa 1.350 $ an jährlichen papierbezogenen Kosten verursacht. Für die unterschriftlastige Architektur-, Ingenieur- und Baubranche (AEC), wo Projektpläne, RFIs, Verträge, Zeichnungen und Entwürfe gegebenenfalls sogar mehrere Unterzeichner brauchen, kommt einiges an Kosten zusammen. Setzt man aber einen komplett elektronischen Workflow für Unterzeichnung, Freigabe und Speicherung von Dokumenten ein, lassen sich diese Kosten deutlich senken.

Digitale Signaturen sind eine Kernkomponente, um Ende-zu-Ende elektronische Dokumenten-Workflows zu ermöglichen. Sie erlauben es physisch handschriftliche Unterschriften (und die damit verbundenen manuellen Prozesse) sicher zu ersetzen. Trotz der offensichtlichen Vorteile von digitalen Signaturen, wie beispielsweise weniger Papierabfall, niedrigere Gemeinkosten und kürzere Projektzeitlaufzeiten, zögern viele AEC-Unternehmen den Wechsel hinaus. Bis er ihnen sozusagen staatlich verordnet wird.

Eine wachsende Liste von US-Staaten hat bereits ihre Mindestanforderungen für die Signierung von städtischen und staatlichen Dokumenten mit digitalen Signaturen als Ersatz für handschriftliche Unterschriften, Siegel und Stempel veröffentlicht. In einigen Staaten existieren sogar separate Dokumentationen und Anforderungen speziell für die AEC-Branche. Auch wenn wir uns hier auf US-amerikanische Standards beschränken, sind diese eine gute Richtschnur bei der Auswahl einer geeigneten Lösung.

Aber worin genau bestehen diese Standards? Jeder US-Bundesstaat hat die Befugnis zu entscheiden, welche Regeln er durchsetzen will. Es gibt aber einige gemeinsame Kernforderungen. Wir haben diese im Folgenden anhand von Texten aus Signaturgesetzen aus Kalifornien, Oregon and Washington D.C. zusammengestellt.

Wir verwenden hier den Begriff »digitale Signatur« statt »elektronische Signatur«. Während der Begriff elektronische Signatur breitgefächert und nicht standardisiert ist, bezieht sich der Terminus digitale Signatur auf eine ganz bestimmte Art von Signatur, die nämlich auf Kryptografie mit öffentlichen Schlüsseln beruht. Die zugrundeliegende Kryptografie bietet mehr Sicherheit und schützt die Identität des Signierers, validiert die Gültigkeit der Signatur und bescheinigt die Integrität des Inhalts. Diese Konzepte sind wichtig um die technischen Anforderungen zu erfüllen, und die meisten staatlichen Signaturgesetze schreiben das Verwenden von digitalen Signaturen vor.

Vier gemeinsame Anforderungen an digitale Signaturen aus Vorschriften der US-Staaten

1. Die digitale Signatur muss für die Person, die sie benutzt, eindeutig sein [1] [2] [3]

Diese Anforderung sollte niemanden überraschen. Egal ob Sie ein signiertes Dokument erhalten oder selbst eines signieren: Sie wollen sicherstellen, dass die Person, die Ihr Dokument signieren muss, tatsächlich die richtige Person ist. Aufgrund der Anonymität des Internets gibt es nur begrenzte Möglichkeiten zu bestätigen, dass jemand ist, wer er oder sie vorgibt zu sein. Eine Methode ist die externe Überprüfung durch eine öffentliche Zertifizierungsstelle (CA). CAs sind Unternehmen, die öffentlich vertrauenswürdig sind, um Personen, Abteilungen oder Unternehmen digitale Identitäten zuzuweisen.

Der Vorgang ist vergleichbar mit dem Ausstellen eines Passes. Sie reichen dem Einwohnermeldeamt alle entsprechenden Unterlagen ein und Sie erhalten einen Pass, der Sie eindeutig identifiziert. Gleichermaßen reichen Sie einer CA Dokumente zur Identitätsprüfung ein und diese stellt Ihnen ein einzigartiges digitales Zertifikat aus, das Ihre Online-Identität bestätigt. Sie verwenden dieses Zertifikat, um digitale Signaturen einzufügen. Das heißt, Sie können sicher sein, dass nur Sie alleine eine digitale Signatur in Ihrem Namen einfügen können und die Empfänger können sich ihrerseits sicher sein, dass es wirklich Sie waren, der/die das Dokument signiert hat.

2. Die digitale Signatur muss verifizierbar sein [1] [2] [3]

Die Verifizierung der Gültigkeit einer Signatur ist äußerst wichtig, egal ob es sich um eine digitale Signatur oder eine handschriftliche Unterschrift handelt. Das ist der Grund warum Transaktionen mit hohen Werten (z. B. Darlehensanträge und bestimmte Verträge) oft einen Notar zusätzlich zur handschriftlichen Unterschrift erfordern – die beteiligten Parteien wollen sicherstellen, dass die Personen, die die Dokumente unterschreiben, diejenigen sind, die sie vorgeben zu sein. In diesem Fall werden die Unterschriften von einem Notar verifiziert.

Aber wie sieht es bei digitalen Signaturen aus? Hier ist es praktisch, wenn eine digitale Signatur von einer öffentlich vertrauenswürdigen CA stammt. Eine vertrauenswürdige Fremd-CA verifiziert die betreffende Identität, bevor sie ein Zertifikat ausstellt. Und Sie verwenden dieses eindeutige Zertifikat, um Ihre digitale Signatur einzufügen. Dadurch besteht bei jedem Dokument, das Sie signieren, der Nachweis, wer das Dokument signiert hat, wann es signiert wurde und wer den Signierer verifiziert hat.

3. Die digitale Signatur muss unter der alleinigen Kontrolle der Person sein, die sie benutzt [1] [2] [3]

Es gibt hier eine offensichtliche Bestrebung sicherzustellen, dass die Signatur im Dokument tatsächlich von der betreffenden Person eingefügt wurde. Alle am elektronischen Dokumentenaustausch beteiligten Parteien müssen wissen, dass Sie und nur sie selbst, Ihre digitale Signatur einfügen können.

Bei digitalen Signaturen läuft das darauf hinaus, dass Sie Ihr Signatur-Zertifikat schützen müssen. Hat jemand Zugang zu Ihrem Zertifikat, kann er/sie es verwenden, um in Ihrem Namen digital zu signieren. Eine gängige Option ist das Speichern des Zertifikats auf kryptografischer Hardware (z. B. einem FIPS-kompatiblem USB-Token). Zum Einfügen Ihrer Signatur brauchen Sie dann das Token selbst und ein Passwort. Wird ein physischer Hardware-Token gestohlen, bräuchte ein Dieb immer noch das zugehörige Token-Passwort, um Ihre Signatur-Berechtigungsnachweise zu nutzen.

Bei der Suche nach geeigneten Anbietern, sollten Sie sicherstellen, dass es einen Hardware-Zertifikatschutz gibt oder wenn nicht, eine alternative Möglichkeit, diese Anforderung zu erfüllen.

4. Die digitale Signatur muss so mit Daten verknüpft sein, dass bei einer Änderung der Daten die digitale Signatur ungültig gemacht wird [1] [2] [3]

Die Integrität der Inhalte und der Schutz des geistigen Eigentums sind vor allem für die Ingenieurbranche unerlässlich. Sie müssen gewährleisten, dass alles in einem Dokument, das Sie abzeichnen oder veröffentlichen, später nicht verändert wird. Glücklicherweise schafft das Einfügen einer digitalen Signatur tatsächlich ein manipulationssicheres Siegel am Dokument.

Ein Teil des Signatur-Validierungsprozesses (der automatisch und hinter den Kulissen abläuft, wenn jemand ein signiertes Dokument öffnet) umfasst den Vergleich der Inhalte eines Dokuments vor und nach dem Einfügen der Signatur. Ist etwas verändert worden, wird eine Fehlermeldung angezeigt. Weitere Einzelheiten zur Kryptografie hinter diesem Prozess finden Sie in diesem Blogbeitrag – Digitale Signaturen – Wie funktionieren PDF Signaturen in der Praxis und was passiert hinter den Kulissen?.

Hinweis: Es ist möglich, dass bestimmte Änderungen nach dem Einfügen einer Signatur vorgenommen werden dürfen (z. B. weitere digitale Signaturen, Formularfelder und Kommentare). Diese Art von Änderungen macht eine Signatur nicht ungültig und löst dementsprechend keine Fehlermeldung aus.

 

Digitale Signaturen spielen eine Schlüsselrolle beim Übergang zur papierlosen Arbeitsweise

Die tägliche Bearbeitung von physischen Dokumenten ist aufwendig. Man muss nur einmal die Zeit zusammenrechnen, die man braucht, um Dokumente einzeln auszudrucken, die Dokumente unterschreiben zu lassen, die Dokumente für den Versand vorzubereiten und darauf zu warten, dass die Post oder der Kurier den betreffenden Empfänger erreichen. Dazu kommen Papierkosten und die Nachteile ineffizienter Geschäftsprozesse für Kunden.

Die Vorzüge der papierlosen Arbeitsweise sind demgegenüber seit Jahren klar, aber Signaturen waren oft der Knackpunkt. Gibt es eine sichere elektronische Alternative und würde diese elektronische Signatur gesetzlich akzeptiert werden fragten sich viele. Inzwischen begrüßen die meisten Unternehmen die Idee, digitale Signaturen einzusetzen oder nutzen sie ohnehin schon.

Bei einer kürzlich durchgeführten Untersuchung fand Software Advice heraus, dass in den letzten drei Jahren 77 % der Unternehmen ein Dokument elektronisch signiert haben. Weitere 77 % der Unternehmen sprachen sich dafür aus, Verträge und Formulare mit elektronischen Signaturen zu signieren. Diese Zahlen sind ein guter Indikator dafür, dass das papierlose Modell möglich ist. Wenn man die Voraussetzungen für die ordnungsgemäße und gesetzeskonforme Umsetzung beachtet.

Digitale Signaturen bieten hier eine Lösung. Sie authentifizieren den Signierer, validieren die Signatur und gewährleisten die Integrität des Inhalts. Sie erfüllen alle der genannten Anforderungen. Und diese wiederum bilden die Grundlage für die meisten staatlichen Anforderungen an elektronische Signaturen. Alle der hier genannten Gesetze verweisen in diesem Zusammenhang ausdrücklich auf digitale Signaturen, ganz im Gegensatz zu anderen Arten elektronischer Signaturen.

Vieles spricht in bestimmten Branchen dafür einen vollständig elektronischen Dokumenten-Workflow zu implementieren – wenn es um Signaturen geht, stehen alle Zeichen auf digital.

Weitere Informationen unter www.globalsign.de

[1] California Regulation
[2] Washington D.C. Regulation
[3] Oregon Regulation

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Digitale Signaturen – Auf dem Weg zu einem digitalen Europa

Sichere Plattform, um digitales Geld zu senden und zu erhalten

Zukunftsorientierte Unternehmen setzen auf die Elektronische Signatur

Digitale Zertifikate: täglich genutzt, kaum bekannt

2016: Neuerungen in der digitalen Welt

Vorsicht beim Eingang digitaler Rechnungen

Gefälschte digitale Zertifikate zur Signierung von Schadprogrammen

TV-Reportage »Wir hacken Deutschland«: Das Internet of Things schafft neue Sicherheitsrisiken

IoT zum Anfassen: Sensoren weltweit hochsicher angebunden

Phishing-Angriffe stoppen: So erkennen Sie bösartige E-Mails