Varianten elektronischer Signaturen

Unterschreiben im Netz

27. August 2020, 12:30 Uhr   |  Marco Schmid/wg

Unterschreiben im Netz
© Swisscom Trust Services

Die Unterschrift lässt sich nicht ohne Weiteres in den digitalen Raum übertragen – Dokumente auszudrucken, zu unterschreiben und wieder einzuscannen ist nur eine Notlösung. Außerdem garantiert eine Unterschrift auch nur ein Mindestmaß an Sicherheit, gemessen an der Bedeutung, die ihr immer noch zuteilwird. Die digitale Welt braucht deshalb Mittel und Wege, um die analoge Unterschrift zu ersetzen. Das schafft Rechtssicherheit und ermöglicht neue Geschäftsmodelle. Es gibt unterschiedliche Varianten elektronischer Signaturen, die sich für jeweils unterschiedliche Zwecke eignen.

Urkundenfälschung ist vermutlich so alt wie die Urkunde selbst. Je weiter man in der Geschichte des Mittelalters zurückblickt, desto höher ist in der Regel der Anteil gefälschter Urkunden. So ist beispielsweise bekannt, dass Dokumente aus der Merowingerzeit noch Jahrhunderte später gefälscht wurden, um Besitzansprüche zu manipulieren. In früherer Zeit fehlten die Mittel, um diesem Unwesen zu begegnen, heute haben wir sie jedoch längst zur Verfügung.

Die Aufgabe muss daher lauten, nicht nur die Unterschrift irgendwie im digitalen Raum abzubilden, sondern die Identifikation weiterzuentwickeln und sicherer zu machen. Mit elektronischen Signaturen stehen uns dafür wirksame Verfahren zur Verfügung. Dabei muss man allerdings nochmals unterscheiden. Es existieren drei verschiedene Arten elektronischer Signaturen: die einfache, die fortgeschrittene und die qualifizierte. Letztere ist die sicherste Form und der händischen Unterschrift in vielen Fällen gleichgestellt.

Für den alltäglichen Schriftverkehr: die einfache elektronische Signatur

„On the Internet, nobody knows you're a dog“, so die Bildunterschrift einer inzwischen legendären Karikatur aus der Zeitschrift New Yorker. Sie sagt eigentlich alles aus, was man über die einfache elektronische Signatur wissen muss. Dabei handelt es sich nur um den eigenen Namen und gegebenenfalls Kontaktdaten oder Informationen zum Unternehmen – also das, was man in jeder geschäftlichen E-Mail findet. Letztlich kann aber niemand zweifelsfrei überprüfen, ob eine E-Mail, die mit „Peter Müller“ unterzeichnet ist, auch wirklich von Herrn Müller selbst geschrieben wurde und nicht vielleicht von einem Betrüger (oder einem erstaunlich intelligenten Hund). Das ist die wesentliche Einschränkung der einfachen Signatur und der Grund, warum ihre Beweiskraft sehr gering ist. Für private und geschäftliche Korrespondenz ohne Rechtsverbindlichkeit reicht die Signatur dennoch aus, da die Identität der Kommunikationspartner hier in der Regel nicht in Zweifel steht.

Für formfreie Vereinbarungen: die fortgeschrittene elektronische Signatur

Für die fortgeschrittene elektronische Signatur kommt ein Zertifikat oder ein auf der Festplatte des Nutzers gespeicherter Signaturschlüssel zum Einsatz. Gemäß Artikel 26 der eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste wird die fortgeschrittene elektronische Signatur „unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.“ Das heißt, es ist für Dritte nur schwer möglich, an diese Daten zu gelangen – aber eben nicht unmöglich. Außerdem soll man nachträgliche Veränderungen der Daten erkennen können. Solche Signaturen können gemäß § 127 BGB für formfreie Vereinbarungen Verwendung finden.

Für größte Rechtssicherheit: die qualifizierte elektronische Signatur

Nur dieses Verfahren ist der händischen Unterschrift in vielen Fällen rechtlich gleichgestellt und die einzige Signatur, deren Beweislast vor Gericht nicht bewiesen, sondern widerlegt werden muss. Für ihre Erstellung sind drei Komponenten nötig: Die Signatur selbst, die ID und ein Authentisierungsmittel. Die ID ist eine zweifelsfreie elektronische Identifikation des Unterzeichnenden, während das Authentisierungsmittel das Sicherheitswerkzeug ist, um die Willensbekundung zu bestätigen, beispielsweise eine Zwei-Faktor-Authentisierung via Smartphone.

Dank eines ausgeklügelten Verfahrens bietet die qualifizierte elektronische Signatur höchste Fälschungssicherheit: Zunächst darf man sich die elektronische Signatur nicht einfach als handschriftliche Unterschrift in digitaler Form vorstellen, denn diese wäre in der Tat recht einfach zu kopieren. Vielmehr handelt es sich um ein kryptografisches Verfahren: Hier werden die persönlichen Informationen sowie eine einmalige mathematische Quersumme, der Hash-Wert des Dokuments, per Algorithmus mit einem privaten Schlüssel verschlüsselt, der dem Dokument zusammen mit einem auf seine Identität ausgestellten Signaturzertifikat beigefügt wird. In dem Signaturzertifikat befindet sich der öffentliche Schlüssel zum privaten Schlüssel.

Ein Empfänger hat nun die Möglichkeit, ebenfalls einen Hash-Wert zu ermitteln und den verschlüsselten Hash des Signierenden mit dem öffentlichen Schlüssel im Zertifikat zu entschlüsseln. Sind beide Hashwerte dann gleich, ist das Dokument nach der Signatur nicht mehr verändert worden und mit der Person verbunden, deren Identitätsdaten im Zertifikat vorhanden waren. Mit diesem Public-Key-Verfahren wird die ermittelte Signatur untrennbar mit dem elektronischen Dokument verknüpft, sodass die Integrität des Schriftstücks gewahrt ist. Nachträgliche Veränderungen am Dokument lassen sich so erkennen und nachvollziehen.

Medienbrüche vermeiden, innovative Geschäftsmodelle fördern

Verbraucher sind heute durch zahllose digitale Angebote verwöhnt, die sich einfach bedienen lassen. Immer öfter ist die Rede von „Frictionless Shopping“ (also vom „reibungslosen Einkaufen“). Den ohnehin schon starken Online-Boom hat die Corona-Pandemie noch einmal angefeuert – Verbraucher überlegen heute zweimal, ob sie das Haus verlassen wollen. Doch für bestimmte Vorgänge müssen sie das noch immer tun, etwa um ein Bankkonto zu eröffnen. In der digitalen Welt ist es schwer zu vermitteln, warum gerade hier noch eine Unterschrift auf Papier oder persönliches Erscheinen nötig ist. Unternehmen, die mittels qualifizierter elektronischer Signatur digitale Alternativen schaffen, können ihren Kunden einen Mehrwert bieten und damit Wettbewerbsvorteile erringen.

Marco Schmid ist Head of International Expansion Strategy bei Swisscom Trust Services, https://trustservices.swisscom.com.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen