NEWS

Aktuelle Beiträge

E-Signaturen – gewusst wie und warum

E-Signaturen – gewusst wie und warum

Das tägliche Leben spielt sich heute stärker denn je im digitalen Raum ab – wir kaufen Kleidung genauso online wie Lebensmittel, erledigen Bankgeschäfte per Smartphone und schließen immer öfter auch Verträge im Internet ab. Der entscheidende Schritt hierbei: Die Unterschrift, muss allerdings oft noch auf Papier erfolgen. Die Implementierung von E-Signaturen in den Prozess kann diesen Medienbruch verhindern. Welche verschiedenen Arten elektronischer Signaturen existieren und wie Anbieter langfristig ihre Sicherheit gewährleisten, erläutert Marco Schmid, Head of International Expansion Strategy bei Swisscom Trusted Services.

Ganz verschiedene Faktoren beeinflussen, wie Konsumenten eine Marke wahrnehmen und ob sie tatsächlich zu einem langfristigen Kunden dieser werden. Neben Aspekten wie dem Image oder den Werten eines Unternehmens spielt inzwischen auch die digitale Nutzererfahrung dabei eine zentrale Rolle: Je einfacher und nahtloser ein Prozess funktioniert, desto besser. Allerdings gibt es immer wieder Hindernisse, die das Onlineerlebnis einschränken oder unnötig verkomplizieren, etwa, weil Kunden ihre Daten doppelt erfassen müssen, ein Konto erforderlich ist oder die gewünschte Bezahlmethode nicht zur Auswahl steht. Dies kann schnell dazu führen, dass Konsumenten die Transaktion vorzeitig abbrechen oder sie beenden und sich für die Zukunft einen anderen Anbieter suchen.

Noch umständlicher wird es für Kunden, wenn es in dem Prozess zu einem Medienbruch kommt. So wird für die Willensbekundung unter Verträgen, beispielsweise beim Abschluss eines Mobilfunkvertrags oder einer Versicherung, in vielen Fällen noch die händische Unterschrift verlangt. Das bedeutet, dass Kunden die Dokumente erst selbst ausdrucken müssen, oder sie warten, bis sie ihnen zugeschickt werden, um sie im Anschluss mit ihrer Unterschrift zurückzuschicken. Dieser Vorgang ist umständlich und kostet Zeit, in der sich Prioritäten ändern und andere Themen in den Vordergrund rücken können. Dadurch sieht der Kunde möglicherweise keine Notwendigkeit für den Vertragsabschluss mehr. Unternehmen, die diesen Prozess für ihre potenziellen Kunden vereinfachen wollen, sollten über die Implementierung einer Lösung für elektronische Signaturen nachdenken. Dabei sollten sie aber beachten: E-Signatur ist nicht gleich E-Signatur.

SES, FES, QES – Stufen der elektronischen Signatur
Der Gesetzgeber unterscheidet zwischen drei elektronischen Signaturen, die verschiedene Anforderungen erfüllen: Die einfache elektronische Signatur (Simple Electronic Signature – SES) wird definiert als „Daten in elektronischer Form, die anderen Daten beigefügt werden, logisch verknüpft sind und zur Authentifizierung dienen“. Damit wird bereits die Grußformel unter einer E-Mail oder die eingescannte Unterschrift in Verbindung mit dem restlichen Dokument zu einer elektronischen Signatur. Allerdings kann die SES leicht von Kriminellen gefälscht werden und hat deshalb zum Beispiel vor Gericht wenig Beweiskraft. Dennoch kommt sie bei digitalen Transaktionen immer wieder zum Einsatz, weil ist sie unkompliziert für alle Beteiligten ist und weil sie gemeinhin durch weitere Handlungen, wie eine prompte Überweisung, bekräftigt wird.

Die fortgeschrittene elektronische Signatur (FES oder Advanced Electronic Signature – AES) soll dagegen die Authentizität der Unterschrift sowie die Integrität des Dokuments gewährleisten. Dafür muss sie mehrere Anforderungen erfüllen, zum Beispiel muss sie einzig dem Inhaber eines Authentifizierungsschlüssels zugeordnet und mit anderen Daten so verknüpft sein, dass nachträgliche Änderungen offensichtlich sind. Bei der konkreten Umsetzung der verschiedenen Vorgaben haben Vertrauensdienstleister Spielraum, allerdings empfiehlt es sich hier einem europäischen Standard für fortgeschrittene Signaturen des European Telecommunications Standards Institute (ETSI) zu folgen.

Der dritte Signaturtyp ist die qualifizierte elektronische Signatur (Qualified Electronic Signature – QES), die durch die EU genau definiert ist und neben den Vorgaben der FES auch zwei weitere Punkte erfüllen muss:
• Sie muss von einem qualifizierten Gerät zur Erstellung einer elektronischen Signatur erstellt werden
• und auf einem qualifizierten Zertifikat für elektronische Signaturen basieren.

Vertrauensanbieter können solche qualifizierten Zertifikate nur ausstellen, wenn sie auf die EU-Vertrauensliste aufgenommen wurde. Für Kunden bietet die QES höchste Sicherheit und dank neuer technologischer Entwicklungen hat sich auch der mit ihr verbundene Aufwand bei der Identifikation verringert, so reicht heute dafür die eID des Ausweises, die Bankdaten oder eine KI-unterstützte Selbstidentifikation mithilfe der Handykamera.

Anbieter müssen ihre Lösungen auf dem neusten Stand halten
Dieser technologische Fortschritt stellt Vertrauensanbieter allerdings immer wieder vor die Herausforderung, sicherzustellen, dass mit ihren Lösungen elektronisch signierte Dokumente auch in einigen Jahren noch als sicher gelten. Deshalb müssen sie zertifikatsbasierte Signaturen kontinuierlich an die neuesten Erkenntnisse der Kryptologie anpassen. Die sogenannte Senior Official Group Information System Security (SOGIS) veröffentlicht regelmäßig Einschätzungen, welche Kryptoalgorithmen und -suiten sicher sind und wie lange. Anhand dieser Empfehlungen definiert die ETSI die anzuwendenden Standards. Darüber hinaus stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Leitfaden hierfür zur Verfügung. In der Praxis können Vertrauensanbieter ältere Dokumente nach einigen Monaten oder Jahren mithilfe einer aktuellen und mit Zeitstempel versehenen Signatur „übersignieren“, um diese langfristig zu schützen.

Derweil haben Experten schon die nächste Herausforderung im Blick: Quantencomputer. Durch ihre Rechenleistung werden sie erheblich schneller in der Lage sein, Verschlüsselungen von Zertifikaten zu knacken. Deshalb werden bereits Post-Quantum-Algorithmen entwickelt, die auch in Zukunft eine sichere Kryptografie und damit auch sichere elektronische Signaturen gewährleisten werden. Im Laufe der Zeit werden immer mehr Vertrauensanbieter auf diese Technologie setzen, bis dahin sollten Unternehmen sich aber bereits mit elektronischen Signaturen auseinandergesetzt und sie implementiert haben, um ihren Kunden eine nahtlose Erfahrung bieten zu können.