Schon die Anzahl der im Zusammenhang mit digitalen Unterschriften verwendeten Begriffe ist verwirrend. So verwenden viele die Bezeichnungen "elektronische Signatur" und "digitale Signatur" synonym. Dabei handelt es sich bei der elektronischen Signatur um einen juristischen Begriff, der die Verknüpfung von elektronischen Daten mit einem Unterzeichner und damit ein elektronisches Verfahren beschreibt, das einer Unterschrift auf Papier gleicht. Elektronische Signaturen basieren aber nicht zwingend auch auf digitalen Signaturen. Der technische Begriff "digitale Signatur" bezeichnet eine Technologie, die durch den Einsatz kryptografischer Verfahren zusätzliche Sicherheit bietet.

Gut zu erkennen ist das an papierbasierten Dokumenten mit handschriftlicher Unterschrift. In der Regel lässt sich bei diesen nämlich nicht nachvollziehen, wer ein Dokument tatsächlich unterschrieben hat (schließlich werden Unterschriften regelmäßig gefälscht), und auch nicht, ob das Dokument nach der Unterschrift noch einmal verändert wurde. Die digitale Signatur bietet also zusätzliche Sicherheiten, um elektronische Signaturen zu validieren und nachträgliche Änderungen am Dokument einfach nachzuvollziehen.

Einfache elektronische Signatur

Wie es der Name bereits vermuten lässt, ist die "einfache elektronische Signatur" die technisch anspruchsloseste Signatur, für die es auch keinerlei gesetzlichen Vorgaben einzuhalten gilt. Sie ist häufig als eingescannte Unterschrift auf elektronischen Dokumenten anzutreffen und verfolgt vor allem den Zweck, den Verfasser beziehungsweise Urheber eines Dokuments zu benennen. In Unternehmen kommt sie daher meist auf Bestellungen, Aufträgen, Protokollen oder Bescheinigungen zum Einsatz. Die einfache elektronische Signatur ist die am weitesten verbreitete elektronische Signatur und wohl für den überwiegenden Teil der Anwendungsfälle bereits ausreichend. Ihre juristische Beweiskraft ist allerdings entsprechend gering und entspricht zum Beispiel der geleisteten Unterschrift bei der Annahme einer Postsendung.

Fortgeschrittene elektronische Signatur

Die Anforderungen an die fortgeschrittene elektronische Signatur sind bereits höher. Sie muss eindeutig mit einer Person verknüpft sein, die nachweisen kann, dass die Signatur von ihr stammt und sich mit einem hohen Maß an Vertrauen unter ihrer alleinigen Kontrolle verwendet lässt. Darüber hinaus verlangen die EU-Verordnung (eIDAS) und die nationalen Signaturgesetze der EU-Mitgliedsstaaten, dass nachträgliche Veränderungen der mit der Signatur verknüpften Daten erkennbar sind.

Die fortgeschrittene elektronische Signatur findet immer dort Anwendung, wo eine höhere Verbindlichkeit durch die eindeutige Zuordnung zu einer Person erwünscht ist und nachträgliche Änderungen an Dokumenten nachverfolgbar sein müssen. In der Praxis entsprechen beispielsweise per S/MIME- oder PGP-signierte E-Mails einer fortgeschrittenen elektronischen Signatur. Und auch die Anbieter von Verwaltungsportalen für digitale Vereinbarungen nutzen in der Regel die fortgeschrittene Signatur – wir stellen später noch einige Anbieter vor.

Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur (QES) schließlich stellt die höchste Stufe elektronischer Signaturen dar und ist rechtlich einem Dokument in Papierform mit realer Unterschrift gleichgestellt. Entsprechend muss die QES auch besonders strenge Anforderungen erfüllen und basiert deshalb zwingend auf einem digitalen Zertifikat. Diese Zertifikate können spezifische Attribute erhalten und so den Signaturinhaber als Angehörigen einer bestimmten Berufsgruppe (zum Beispiel Notare oder Rechtsanwälte) ausweisen.

Nur ein akkreditierter Trust Service Provider (TSP) – ein Zertifizierungs- beziehungsweise Vertrauensdiensteanbieter – kann qualifizierte elektronische Signaturen ausstellen. Der TSP prüft in einem Validierungsprozess die Identität des Antragstellers und stellt auf diese Weise sicher, dass das Zertifikat nur für den jeweiligen Antragsteller ausgestellt wird. Die qualifizierte elektronische Signatur findet insbesondere Anwendung in öffentlichen Vergabeverfahren (eVergabe), bei Handelsregisteranmeldungen über Notare oder auch bei der Umsatzsteuervoranmeldung für das Finanzamt.

Weil sie handschriftlich unterzeichneten Urkunden und Verträgen de jure ebenbürtig ist, eignet sich die QES aber grundsätzlich für alle Arten von "Willenserklärungen mit Schriftformerfordernis". Der Gesetzgeber gibt also nicht vor, in welchen Fällen eine QES erforderlich ist. Stattdessen sind in verschiedenen Gesetzen Ausnahmen definiert, in denen die handschriftliche Unterschrift ausdrücklich nicht durch eine qualifizierte elektronische Signatur ersetzt werden darf. Solche Ausnahmen gelten in Fällen, in denen der Gesetzgeber eine erhöhte Rechtssicherheit gewährleisten möchte, beispielsweise bei der Beendigung von Arbeitsverhältnissen sowie für Bürgschaftserklärungen, Schuldversprechen und Schuldanerkenntnisse. Auch notariell zu beglaubigende Unterschriften lassen sich nicht durch eine QES ersetzen. Die notarielle Form ist zum Beispiel bei Kaufverträgen für Immobilien und Grundstücke sowie für Eheverträge und Erbverträge erforderlich.

Trust Service Provider entscheidend für QES

Den Trust Service Providern kommt bei den (regulierten) elektronischen Signaturen eine wichtige Rolle als Vertrauensdienstleister zu. Zu ihren Aufgaben gehören das Erstellen und die Ausgabe digitaler Zertifikate für die QES sowie das Überprüfen der Identitäten der Antragsteller. Da die QES die gleiche Rechtswirkung wie die eigenhändige Unterschrift entfaltet, müssen die TSPs besondere Anforderungen an die Zuverlässigkeit erfüllen. Die eIDAS-Verordnung (electronic IDentification, Authentication and trust Services) schreibt vor, dass die EU eine Liste führt, in der die Anbieter und Dienstleistungen aufgeführt sind, die sich als Trust Service Provider qualifiziert haben.

Die Europäische Kommission veröffentlicht und aktualisiert diese Liste [2]; für Deutschland finden sich dort derzeit 13 Anbieter, darunter D-Trust (Bundesdruckerei), die Deutsche Post AG und die Deutsche Telekom AG. Da die Zertifikate der TSPs in allen EU-Mitgliedsstaaten anerkannt sind, ist es unerheblich, ob Sie sich für einen deutschen oder einen der anderen Anbieter entscheiden. Viele TSPs unterhalten allerdings Partnerschaften mit Anbietern für die Verwaltung elektronischer Dokumente und integrieren deren APIs. Es kann daher sinnvoll sein, das gewünschte Zertifikat bei einem Trust Service Provider zu erwerben, der eine Schnittstelle zum gewünschten Portalanbieter unterhält.

Identitätsprüfung in mehreren Schritten

Bei der Identitätsprüfung validiert der Trust Service Provider die Identität des Antragstellers für eine elektronische Signatur auf mehreren Ebenen. In der Regel schickt der TSP zunächst einen Bestätigungslink an die bei der Registrierung angegebene E-Mail-Adresse, um den Zugriff auf das E-Mail-Konto zu überprüfen. Erst nach Anklicken des Links erfolgen weitere Schritte zur Identitätsverifizierung. So fragen praktisch alle TSPs im zweiten Schritt eine Mobilrufnummer ab; an diese sendet der TSP eine PIN als Einmalpasswort.

Der Antragsteller muss anschließend die Daten eines Ausweisdokuments via Webformular übermitteln und die per SMS erhaltene PIN bei der folgenden Überprüfung des zugehörigen Ausweisdokuments im Video-Ident-Verfahren angeben. D-Trust unterstützt auch die Authentifizierung über den elektronischen Identitätsnachweis (eID) mit der AusweisApp2. Weitere Informationen zur eID finden Sie im Kasten "Personalausweis und eID".

Erfolgt die Identitätsprüfung per Video-Ident-Verfahren, wird diese meist nicht live, sondern per Videoaufzeichnung durchgeführt. Beim italienischen TSP "TrustPro" [3] muss der Antragsteller während der Videoaufzeichnung einen auf dem Bildschirm eingeblendeten Text vorlesen, die per SMS erhaltene PIN in den gesprochenen Text einfügen und zusätzlich ein Ausweisdokument gut sichtbar mit Vorder- und Rückseite vor die Kamera halten. Das Trust-Team des TSP überprüft dann die Übereinstimmung von Person, Ausweisdokument und PIN. Sofern dabei keine Unstimmigkeiten auftauchen, erhält der Antragsteller ein digitales Zertifikat. Die Mobilrufnummer wird auch beim späteren Signieren weiter als zweiter Faktor eingesetzt, indem der Anwender bei jeder Unterschrift zusätzlich eine SMS-PIN angeben muss.

Smartphone statt Smartcard

Bis vor ein paar Jahren war für die Nutzung der qualifizierten elektronischen Signatur eine Signaturkarte (Smartcard) als Zertifikatsspeicher und ein entsprechendes Lesegerät (Smartcard Reader) erforderlich. Dabei wird der private Schlüssel des Zertifikats auf der Signaturkarte gespeichert und mithilfe einer PIN vor unbefugten Zugriffen geschützt. Insbesondere die Notwendigkeit, ein solches Kartenlesegerät anzuschaffen, hat sich allerdings als echter Showstopper bei der Verbreitung elektronischer Signaturen erwiesen. Dies gilt nicht zuletzt auch für den "neuen Personalausweis" (nPA), der sich grundsätzlich ja ebenfalls als Zertifikatsspeicher für eine qualifizierte elektronische Signatur nutzen ließ.

Dank der eIDAS-Verordnung sind seit Juli 2016 qualifizierte elektronische Signaturen auch möglich, wenn das Schlüsselmaterial auf sicheren Servern eines qualifizierten Vertrauensdiensteanbieters liegt. Die Schlüssel lassen sich also auch über ein mobiles Endgerät, wie zum Beispiel ein Smartphone, auslösen. Der Vorteil dieses auch "Fernsignatur" genannten Verfahrens liegt also vor allem darin, dass Anwender dafür keine Smartcard und kein Lesegerät mehr benötigen. Zertifikate und Schlüsselmaterial liegen dabei statt auf der Smartcard auf einem sicheren Cloudspeicher beim TSP.

Für die Unterzeichnung, Verwaltung und den Versand der zu signierenden Dokumente stehen ebenfalls Cloudapplikationen verschiedener Anbieter zur Verfügung. Diese sind meist selbst keine Trust Service Provider. Für das Signieren von Dokumenten mit qualifizierter elektronischer Signatur kommen daher APIs und Softwareschnittstellen zum Einsatz, die den Zugriff auf das Zertifikat beim TSP direkt aus der Cloud heraus erlauben. Nachfolgend stellen wir exemplarisch drei Anbieter vor.

DocuSign

DocuSign, Inc. ist ein amerikanisches Unternehmen mit Sitz in Kalifornien. Mit dem Produkt "DocuSign eSignature" bietet der Hersteller unter anderem eIDAS-konforme elektronische Signaturen an. Eingebettet in die "DocuSign Agreement Cloud" [4] bietet DocuSign darüber hinaus ein Workflow- beziehungsweise Dokumentenmanagementsystem, mit dem sich Dokumente für die elektronische Signatur vorbereiten, verwalten, speichern und an die Vertragspartner versenden lassen. Die Definition von Workflows ist mit dem integrierten Vorlagensystem sehr einfach.

Dort können Anwender zum Beispiel Vorlagen im Word- oder PDF-Format anlegen und weiterverarbeiten. DocuSign (France) ist zwar selbst als Trust Service Provider bei der EU akkreditiert, arbeitet in Deutschland (IDNow) und der Schweiz (Swisscom) aber auch mit Partnern zur Identitätsprüfung zusammen.

DocuSign verfügt über sehr viele Apps, Plug-ins und Schnittstellen, mit denen sich Produkte von Drittherstellern wie Microsoft, Salesforce, Google, SAP oder Oracle andocken oder erweitern lassen. Der Hersteller bietet Probekonten an, mit denen Anwender die wichtigsten Funktionen kostenfrei testen können – wenn auch nur mit der fortgeschrittenen elektronischen Signatur.

Abhängig von der Anzahl gewünschter Benutzer und Features unterscheiden sich die Preise in den Lizenzplänen deutlich. Der Einstieg beginnt für einen Benutzer (Personal Plan) mit fünf monatlichen Dokumentensendungen bei neun Euro im Monat, der Professional Plan mit unlimitierten Dokumentensendungen schlägt pro Benutzer und Monat bereits mit 38 Euro zu Buche.

OneSpan Sign

OneSpan (früher VASCO Data Security) hat 2015 die kanadische Firma Silanis Technology, Inc. samt ihrer Plattform "eSign Live" übernommen und bietet das Produkt seither unter dem Namen "OneSpan Sign" [5] an. OneSpan arbeitet bei der Identitätsprüfung mit Validated ID zusammen und unterstützt qualifizierte elektronische Signaturen verschiedener TSPs, zum Beispiel von "asseco" (Polen), "GOVTECH" (Singapur), und "TrustPro" (Italien). Ähnlich wie DocuSign basiert OneSpan Sign vor allem auf einem Dokumentenmanagement-/Workflowsystem, bietet aber sehr weitreichende Whitelabeling-Funktionen für Businesskunden. Auf diese Weise lässt sich die Plattform komplett vor den Benutzern verbergen, in Deutschland nutzt beispielsweise BMW das Whitelabeling.

Eine weitere Besonderheit ist die Möglichkeit, den Betrieb der OneSpan-Sign-Server alternativ zur Public Cloud auch in einer Private Cloud oder sogar komplett auf eigener Hardware zu betreiben. OneSpan Sign bietet Schnittstellen zu Salesforce, Sharepoint und Microsoft Dynamics sowie zu einigen weiteren, hierzulande aber eher unbekannten Herstellern von ERP-, CRM- und DMS-Systemen. Für die Public-Cloud-Variante bietet OneSpan zwei grundlegende Preismodelle an: per User (Professional Plan) oder per Transaktion (Enterprise Plan).

In beiden Modellen sind Staffelpreise vorgesehen. Der Einstieg im Professional Plan ist bereits ab einem Benutzer für 180 Euro Jahresgebühr möglich. Hinzu kommen gegebenenfalls noch die Kosten für eine oder mehrere qualifizierte elektronische Signaturen/Zertifikate vom TSP. OneSpan bietet ein kostenfreies Sandbox-Konto an, mit dem sich die wichtigsten Funktionen vorab testen lassen – auch in diesem Fall nur mit fortgeschrittenen, aber nicht qualifizierten elektronischen Signaturen.

D-Trust sign-me

Eine Ausnahme bildet D-Trust mit dem Produkt "sign-me" [6]. D-Trust ist ein Unternehmen der Bundesdruckerei, die auch als TSP bei der EU akkreditiert ist. Bei sign-me steht der sichere Zertifikatsspeicher im Vordergrund, ein vollständiges Workflow- oder Dokumentenmanagementsystem fehlt, ist aber für Unternehmen und Behörden gegen zusätzliche Lizenzgebühren auf Anfrage verfügbar. Die reguläre sign-me-Cloudapplikation bietet dagegen lediglich eine Uploadfunktion für PDF-Dokumente an. Da D-Trust gleichzeitig TSP und Betreiber der Cloudplattform ist, gestaltet sich der Aufwand, eine QES zu erlangen, hier naturgemäß am geringsten.

Für die Identitätsprüfung ist neben dem Video-Ident-, Post-Ident- und Giro-Ident-Verfahren auch die Identifizierung über die eID-Funktion des Personalausweises möglich. Das funktioniert am PC entweder mit einem per WLAN-gekoppelten Smartphone mit NFC-Funktion und AusweisApp2 oder einem Kartenlesegerät. Nach erfolgreicher Identifizierung erhält der Antragsteller drei Zertifikate in seinem Cloudkonto: ein Basiszertifikat, ein fortgeschrittenes Zertifikat und ein qualifiziertes Zertifikat. Die Zertifikate lassen sich unter dem Menüpunkt "Signaturzertifikate verwalten" auch im CRT-Format herunterladen.

Sign-me nutzt ein reines Prepaid-System, das auf "sign-me Coins" basiert. Je nach Signaturart berechnet das Tool eine unterschiedliche Anzahl von Coins für ein signiertes Dokument. Einfache elektronische Signaturen (Basis) sind dabei kostenfrei, für fortgeschrittene Signaturen muss der Benutzer zwei Coins zahlen und für qualifizierte Signaturen fünf Coins. Da die Registrierung kostenfrei ist und ein Startguthaben von zehn Coins beinhaltet, lassen sich zwei Dokumente kostenfrei mit einer qualifizierten elektronischen Signatur versehen. Signiert werden können ausschließlich PDF-Dokumente.

Fazit

Das Thema Digitalisierung wird nicht zuletzt durch COVID-19 und die damit verbundenen Kontaktsperren befeuert. Die verstärkte Nutzung elektronischer Signaturen zur Absicherung von Rechtsgeschäften ist da nur eine logische Konsequenz. Verspricht die Technologie doch als zusätzlichen Mehrwert gleich die Verschlankung von Geschäftsprozessen.

Durch den Wegfall der Beschränkung auf Smartcards und Smartcard Reader für die QES und die Einführung der Fernsignatur mit der eIDAS-Verordnung wurden weitere Hürden abgebaut. Für die Verwaltung und Organisation elektronischer Dokumente inklusive Signaturprozesse stehen leistungsfähige und preiswerte Cloudapplikationen zur Verfügung.

(jm)

von Thomas Zeller Artikel aus dem IT-Administrator November 2020