Unterschreiben ohne Grenzen – aber sicher!

Die digitale Transformation aller Lebens- und Arbeitsbereiche schreitet unausweichlich und tagtäglich voran. Dazu gehören auch Unterschriftenprozesse, die Vielerorts bereits in digitale Workflows übersetzt wurden. Die Vorteile liegen dabei auf der Hand: Digitale Signaturprozesse sind weitaus effizienter und ersetzen mühsame und langwierige Prozesse, bei denen Dokumente gedruckt, gescannt, gefaxt oder gar per Post versendet werden. Neben einer extremen Beschleunigung der internen Prozesse erlaubt es den Nutzenden durch Zeit- und Ortsunabhängigkeit bei der Ausstellung von Signaturen eine weitaus höhere Flexibilität im eigenen Agieren. Ein netter Bonus: Elektronische Signaturen sind ressourcenschonend und leisten einen Beitrag zur Nachhaltigkeit.

Allerdings: Wer denkt, digitale Signatur ist gleich digitale Signatur, der bzw. die irrt. Im Allgemeinen wird zwischen drei unterschiedlichen Arten von elektronischen Signaturen differenziert, die sich in ihrer Sicherheit und Rechtsgültigkeit unterscheiden.

Aus technischer Sicht basieren elektronische Signaturen auf einem asymmetrischen Kryptographieverfahren, bei welchem Dokumente bzw. Daten mit einem sog. privaten (und damit geheimen) Signaturschlüssel, dem Private Key, verschlüsselt werden. Mit dem öffentlichen Schlüssel (Public Key) kann anschließend durch die Entschlüsselung der Daten geprüft werden, ob die Signatur echt ist und ob das Dokument nachträglich auch nicht verändert wurde.

Die wichtigsten Begrifflichkeiten rund um die elektronische Signatur: eIDAS, VDA, EES, FES & QES

Bei den vielen Abkürzungen, welche im IT-Jargon rund um die elektronische Signatur verwendet werden, kann schon einmal der Überblick verloren gehen. Es folgen daher die wichtigsten Begrifflichkeiten rund um elektronische Signaturen:

Die eIDAS-Verordnung ist die europäische Gesetzgebung für elektronische Identifizierung und Vertrauensdienste - welche E-Signaturen beinhalten - und schafft einen rechtlichen Rahmen für Transaktionen im europäischen Binnenmarkt. Sie definiert elektronische Signaturen als „Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder mit diesen logisch verknüpft sind und von der signierenden Person zur Unterzeichnung verwendet werden“ und unterscheidet drei Arten digitaler Signaturen: Einfache, fortgeschrittene und qualifizierte Signaturen.

Als VDA (Vertrauensdiensteanbieter) werden Organisationen bezeichnet, welche sogenannte Vertrauensdienste anbieten – Dienste zur Sicherstellung der Vertraulichkeit, Authentizität und Nichtabstreitbarkeit von digitalen Informationen - zu welchen unter anderem die Erstellung, Überprüfung und Validierung von elektronischen Signaturen, Siegeln oder Zeitstempeln gehören. Qualifizierte Vertrauensdiensteanbieter unterliegen dabei strengen rechtlichen Rahmenbedingungen und Auflagen und werden regelmäßig in sogenannten Überwachungs-Audits überprüft.

Arten elektronischer Signaturen

1. Einfache Elektronische Signatur (EES; auch simple electronic signature, SES)

Die EES wird in der eIDAS nicht näher definiert, weswegen auf die ganz grundlegende Definition elektronischer Signaturen – also elektronische Daten, die mit anderen elektronischen Daten verknüpft bzw. logisch verbunden sind – zurückgegriffen werden muss. Eine einfache elektronische Signatur kann also beispielsweise eine mit dem Eingabestift auf eine PDF gekritzelte Signatur sein, ein eingescanntes Bild der eigenen Unterschrift oder auch eine Checkbox in einem Onlineformular.

Das Problem dabei: Es gibt keine Möglichkeit zur Identifizierung der unterzeichnenden Person, weswegen die Signatur nicht eindeutig einer Person zuzuordnen und dadurch wenig Nachweisbarkeit gegeben ist. Außerdem können nachträgliche Veränderungen des Dokuments nicht erkannt bzw. nachgewiesen werden.

2. Fortgeschrittene Elektronische Signatur (FES; auch: advanced electronic signature, AES)

Für die FES werden in der eIDAS-Verordnung einige technische Sicherheitskriterien als Voraussetzung definiert. Gemäß eIDAS müssen fortgeschrittene Signaturen der unterzeichnenden Person eindeutig zugeordnet sein und die Identifizierung des Signators bzw. der Signatorin ermöglichen. Sie müssen unter Verwendung elektronischer Signaturerstellungsdaten erstellt sein und in der alleinigen Kontrolle der signierenden Person liegen. Außerdem muss die nachträgliche Veränderung von Daten erkannt werden können.

3. Qualifizierte Elektronische Signaturen (QES; auch: qualified electronic signature)

Die höchste Sicherheitsstufe stellt die qualifizierte elektronische Signatur dar. Der Unterschied im Vergleich zur FES: Hier bedarf es zusätzlich noch einer abgesicherten Signaturerstellungseinheit – zum Beispiel mittels Hardware-Sicherheitsmodul (HSM) – und eines Überwachungs-Audits. Eine qualifizierte elektronische Signatur darf nur von einem sogenannten qualifizierten Vertrauensdiensteanbieter (VDA) bzw. Qualified Trust Service Provider (QTSP) ausgegeben werden.

Nur die QES erfüllt also die höchsten Sicherheitsanforderungen und schafft die technische Sicherheit nach dem höchsten Stand der Technik, weswegen auch nur die qualifizierte elektronische Signatur der klassischen, händischen Signatur europaweit rechtlich gleichgestellt ist.

Sicher ist sicher: Qualifizierte elektronische Signaturen als Unternehmenslösung.

Die qualifizierte elektronische Signatur ist die sicherste Art (digital) zu signieren und als einzige elektronische Signatur der händischen Unterschrift europaweit gleichgestellt. Nutzende signieren so europaweit garantiert rechtssicher und setzen auf beste Nachvollziehbarkeit und Beweiskraft. In Österreich wird mit der ID Austria (ehemalige Handy-Signatur) allen Bürger:innen eine QES kostenlos zur Verfügung gestellt und diese Möglichkeit wird bereits von mehr als 3.8 Millionen Menschen (Stand 01/2024) genutzt. Auch für Personen ohne österreichischen Wohnsitz gibt es unterschiedliche Optionen unkompliziert eine QES zu erlagen (z.B. xIDENTITY).

In Unternehmen lohnt es sich daher auf jeden Fall, auf die QES zu setzten, denn einmal im eigenen Business implementiert ergibt sich daraus kein Mehraufwand mehr und Dokumente können binnen kürzester Zeit garantiert eIDAS-konform unterzeichnet werden.