Redirecting you to
Blog-Beitrag Sept. 09, 2021

Digitale Signaturen: Gesetzliche Anforderungen und globale Standards

Digitale Signaturen, eine sichere Form elektronischer Signaturen, nutzen PKI zur Authentifizierung und zur Sicherstellung der Dokumentenintegrität. Sie sind rechtlich bindend in den USA (ESIGN Act) und global gemäß EU-Vorgaben wie eIDAS. Im Vergleich zu anderen elektronischen Signaturen bieten sie höhere Sicherheit, Authentizität, Datenintegrität und Nichtabstreitbarkeit.

Inhaltsverzeichnis

Was ist eine digitale Signatur?

Digitale Signaturen sind eine spezielle Art sicherer elektronischer Signaturen. Sie nutzen die Public-Key-Infrastruktur (PKI), um den Autor verschiedener Dinge wie Dokumente, Anwendungen, Programme oder anderer Arten von elektronischen Dateien zu authentifizieren und zu identifizieren.

Ein digitales Signaturzertifikat ist ein PKI-basiertes Zertifikat, das die Identität des Unterzeichners authentifiziert und sicherstellt, dass elektronisch übertragene Dokumente und digitale Nachrichten nicht gefälscht oder manipuliert wurden. Die Verwendung von Public-Key-Kryptografie dient der ordnungsgemäßen Authentifizierung eines Datensatzes. Digitale Signaturen sind einfach in die Dateien eingebetteter Code, der bei Bedarf angezeigt werden kann.

Sie ähneln physischen Unterschriften auf Papierdokumenten, da beide nur für den Unterzeichner eindeutig sind, mit dem Unterschied, dass die Unterschrift bei digital signierten Dokumenten tatsächlich weitaus mehr Sicherheit und die Gewährleistung der Herkunft, Identität und Integrität des Dokuments bietet. Da sie auf den höchsten Sicherheitsstandards basieren, sind sie in den Vereinigten Staaten und vielen anderen Ländern rechtsverbindlich.

Mit ihren sicheren kryptografischen Methoden erfüllen digitale Signaturen die strengsten Vorschriften, darunter den United States Electronic Signatures in Global and National Commerce Act (ESIGN Act), den Uniform Electronic Transactions Act (UETA) und andere internationale Gesetze.

Der Unterschied zwischen einer digitalen Signatur und einer elektronischen Signatur

Obwohl viele Menschen die Begriffe oft synonym verwenden, sind elektronische Signaturen und digitale Signaturen in der Tat nicht dasselbe. Der Unterschied ist aus rechtlicher Sicht unglaublich wichtig.

Elektronische Signaturen sind die umfassendste Gruppe von Lösungen, die ein elektronisches Verfahren zur Anbringung einer Unterschrift auf einem Dokument oder einer Transaktion verwenden. Die Verwendung dieser Art von Signatur hat im Laufe der Zeit enorm zugenommen, da Dokumente und Kommunikation zunehmend in den digitalen Bereich verlagert werden und Unternehmen und Verbraucher weltweit die Schnelligkeit und Bequemlichkeit dieser Lösung schätzen. Es gibt jedoch viele verschiedene Arten von elektronischen Signaturen, die es Benutzern ermöglichen, Dokumente digital zu signieren, und die ein gewisses Maß an Identitätsauthentifizierung bieten.

Digitale Signaturen sind eine Art der elektronischen Signatur und die sicherste. Digitale Zertifikate nutzen digitale PKI-Zertifikate, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) wie Sectigo ausgestellt werden, die die Identität des Antragstellers ordnungsgemäß authentifiziert. Diese Art der Authentifizierung ist notwendig, um die Integrität elektronischer Dokumente zu gewährleisten, und die direkte Verknüpfung der Identität des Unterzeichners mit dem Dokument ist der beste Weg, um sicherzustellen, dass es legitim ist.

Andere Arten elektronischer Signaturen verwenden andere, weniger sichere Arten der elektronischen Authentifizierung. Dazu können E-Mail-Adressen, Telefonnummern oder andere Arten von Kontaktinformationen gehören.

Damit eine digitale Signatur als legitim angesehen werden kann, müssen einige Anforderungen erfüllt sein. Die grundlegendste Anforderung besteht darin, dass die Identität des Unterzeichners an ein Zertifikat oder eine andere Art von Identifikationsnachweis gebunden ist, der verschlüsselt und authentifiziert werden kann. Ein PKI-basiertes digitales Zertifikat erfüllt diesen Zweck. Bei dieser Option wird ein öffentliches/privates Schlüsselpaar über einen Algorithmus generiert, um die Identität des Unterzeichners zu authentifizieren und die Validierung des Zertifikats aufrechtzuerhalten. Wenn dies geschehen ist, gilt die Unterschrift als nicht abstreitbar und ist an die Identität des Unterzeichners gebunden.

Der Prozess der digitalen Signatur ist viel komplizierter als bei einfacheren elektronischen Signaturen und hängt weitgehend vom Anwendungsfall ab.

Was ist der Zweck einer digitalen Signatur?

Eine digitale Signatur verwendet einen sicheren digitalen Schlüssel, der die Identität des Verfassers einer digitalen Nachricht, eines elektronischen Formulars oder eines Dokuments bestätigt. Dadurch können Kunden sicher sein, dass die signierten Dokumente aus der angegebenen Quelle stammen und dass ihre elektronischen Aufzeichnungen nicht gefälscht oder manipuliert wurden.

Verschiedene Dienstleister bieten digitale Signaturen für unterschiedliche Situationen an. DocuSign und Adobe sind sehr beliebt. Adobe Document Signing Certificates, die von Sectigo angeboten werden, ermöglichen es Organisationen, Adobe Acrobat-Dokumente mit digitalen Signaturen zu sichern. Die Zertifizierung stammt von den Adobe Certified Document Services (CDS) oder den Zertifizierungsstellen, die Mitglieder der Adobe Approved Trust List (AATL) sind. Die Zertifizierung bestätigt, dass der Unterzeichner von Adobe auf die Einhaltung der Anforderungen überprüft wurde und dass sich das Zertifikat auf geschützter Hardware befindet.

Diese Signaturen und damit auch ihre Zertifikate wurden entwickelt, um das Problem der Identität und des Vertrauens zu lösen. Sie sind eine Modernisierung der seit langem bewährten notariell beglaubigten Unterschrift auf physischen Dokumenten. Eine vertrauenswürdige dritte Partei, die selbst von einer Aufsichtsbehörde überprüft wurde, validiert und verifiziert die Identität eines Unterzeichners. Im Falle digitaler Signaturen trägt die vertrauenswürdige dritte Partei, bei der es sich um eine Zertifizierungsstelle (CA) wie Sectigo handeln kann, diese Verantwortung.

Anwendungsfälle

Digitale Signaturen werden im Internet auf vielfältige Weise eingesetzt. Diese Anwendungsfälle lassen sich weitgehend in drei große Kategorien einteilen:

  • Zuordnung: Wenn die Signatur an eine Datei, eine Nachricht oder ein Dokument angehängt ist, kann rechtlich davon ausgegangen werden, dass der Eigentümer der Signatur beteiligt war. Es besteht kein Zweifel oder Risiko einer Ablehnung, und es wird auch eine Aufbewahrung der Aufzeichnungen geben, die einen Prüfpfad hinterlässt.
  • Authentizität: Die Verwendung einer Signatur bedeutet, dass die Identität des Unterzeichners von einer externen Zertifizierungsstelle wie Sectigo validiert wurde. Diese Validierungs- und Authentifizierungsstufe unterstützt die Zuordnung der Signatur.
  • Integrität: Durch das Anhängen einer Signatur an eine Datei, insbesondere an eine Nachricht oder E-Mail, wird der Empfänger (ob Mensch oder System) darüber informiert, dass die Daten während der Übertragung nicht verändert oder manipuliert wurden. Es ist wichtig zu beachten, dass die Signatur selbst keine Schutzmaßnahmen enthält, sondern dem Empfänger anzeigt, ob eine Störung festgestellt wurde. Auf diese Weise können Empfänger und Absender eine fundierte Entscheidung über die Reaktion treffen und mögliche Angriffsvektoren besser verstehen.

Ist eine digitale Signatur rechtsverbindlich?

In verschiedenen Rechtsprechungen gelten oft leicht unterschiedliche Regeln und Vorschriften für diese Art von Signatur. In vielen Gesetzen werden digitale Signaturen als qualifizierte elektronische Signaturen (QES) oder sichere elektronische Zertifikate interpretiert. Aus diesem Grund werden in den meisten Anwendungsfällen, in denen einfache elektronische Signaturen akzeptiert werden, auch digitale Signaturen akzeptiert. Ein digital signiertes PDF ist in den meisten Rechtsprechungen rechtsgültig. Es gibt jedoch Situationen, in denen eine digitale Signatur und der damit verbundene Prozess als übertrieben angesehen werden können.

Bevor Sie entscheiden, welche Art von Signatur für Sie oder Ihre Organisation am besten geeignet ist, sollten Sie sich mit den örtlichen Vorschriften und bewährten Verfahren der Branche vertraut machen. In diesem Abschnitt werfen wir einen allgemeinen Blick auf die Rechtslage in den Vereinigten Staaten (USA) und der Europäischen Union (EU).

Vereinigte Staaten

Digitale Signaturen und elektronische Signaturen im Allgemeinen sind in den Vereinigten Staaten rechtsverbindlich. Dies ist hauptsächlich auf zwei Rechtsvorschriften zurückzuführen, den 1999 ausgearbeiteten UETA (Uniform Electronic Transactions Act) und den im Jahr 2000 verabschiedeten ESIGN Act (Electronic Signatures in Global and National Commerce Act).

Als die Uniform Laws Commission den UETA erstellte, beabsichtigte sie, einen Rechtsrahmen zu schaffen, der von den Bundesstaaten genutzt werden könnte, um ähnliche Gesetze über elektronische Signaturen auf allen Ebenen zu erlassen. Er legte Mindeststandards für alles fest, von der Art und Weise, wie Aufzeichnungen erstellt, übertragen und schließlich aufbewahrt werden können, bis hin zu den dabei erforderlichen Prüfpfaden.

Vor dem Inkrafttreten dieser Bundesgesetze gab es nur uneinheitliche Gesetze und Rahmenbedingungen auf Ebene der Bundesstaaten in Bezug auf die Rechtmäßigkeit digitaler und elektronischer Signaturen. Dies erschwerte jegliche Art von nationalen Standardisierungsbemühungen für Organisationen in den USA.

Bis heute wurde UETA von 48 der 50 US-Bundesstaaten in Kraft gesetzt. New York und Illinois haben den Rahmen nicht direkt in Kraft gesetzt, sondern verfügen über eigene Gesetze, die die Anforderungen an Unterschriften auf analoge Weise regeln.

Während mit dem UETA versucht wurde, die Mindestanforderungen für staatliche Gesetze zu elektronischen Signaturen zu standardisieren, wurde mit dem ESIGN-Gesetz versucht, die Einführung und Akzeptanz dieser Signaturen zu erleichtern. Dieses Gesetz stellte sicher, dass qualifizierte elektronische Signaturen in fast allen Situationen verwendet werden können, in denen eine handschriftliche Unterschrift verwendet werden kann. Dies schließt so wichtige Situationen wie Beweismittel in Zivil- oder Strafverfahren ein. Mit diesem Gesetz wurde die Gültigkeit von elektronischen Signaturen im Wesentlichen kodifiziert und sie wurden als durchsetzbare Identitätsnachweise etabliert.

Die Rechtmäßigkeit elektronischer und digitaler Signaturen in den USA beruht auf vier wesentlichen Säulen:

  1. Absicht – Dies ist nicht anders als bei einer handschriftlichen Unterschrift. Es muss klar sein, dass der Unterzeichner beabsichtigt, seinen Namen/seine Identität tatsächlich auf dem elektronischen Dokument anzubringen. In diesem Fall können Sie niemanden zwingen, sich dagegen zu entscheiden, und dies als rechtsgültige Unterschrift betrachten.
  2. Zustimmung – Wenn ein elektronisches Dokument oder ein Vertrag unterzeichnet wird, muss jede unterzeichnende Partei ausdrücklich zustimmen, eine elektronische Signatur zuzulassen. Ohne diese Zustimmung kann die Verwendung elektronischer Signaturen nicht als gültig angesehen werden, es sei denn, der Unterzeichner hat sich zu einem früheren Zeitpunkt dafür entschieden und seine Zustimmung nie widerrufen.
  3. Richtigkeit – Die spezifische Methode, die für die Anbringung der elektronischen Signatur verwendet wird, muss nicht nur Aufzeichnungen führen, sondern auch nachweislich genaue Aufzeichnungen sein. Diese Aufzeichnungen sollten auch die Methode, die zur Erstellung und Anbringung der elektronischen Signatur verwendet wurde, vollständig erklären.
  4. Aufbewahrung – Die Aufzeichnung einer elektronischen Signatur muss genau reproduziert werden können und für die Akten aller Parteien, die Anspruch auf diese Daten haben, verfügbar sein. Dadurch wird ein Prüfpfad hinterlassen und der Zugriff auf alle erforderlichen Aufzeichnungen ermöglicht.

Europäische Union

Die Europäische Union (EU) hat 2014 die Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) erlassen, um elektronische Signaturen, die verschiedenen damit verbundenen Prozesse und die für die Durchsetzung zuständigen Regulierungsbehörden zu regeln. eIDAS hat Mindeststandards für die Verwendung in verschiedenen Bereichen geschaffen, darunter digitale Signaturen, die in der Gesetzgebung als qualifizierte Signaturzertifizierungen bezeichnet werden.

Digitale Signaturen gemäß eIDAS bieten ein höheres Maß an Sicherheit und einige haben die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Um die eIDAS-Anforderungen zu erfüllen, ist ein qualifiziertes Zertifikat erforderlich, das in einer von mehreren qualifizierten Signaturlösungen gespeichert ist und von einem qualifizierten Vertrauensdiensteanbieter (QTSP) wie Sectigo ausgestellt und verwaltet werden muss.

Qualifizierte Zertifikate von Sectigo ermöglichen es Einzelpersonen und Organisationen, Dokumente zu signieren oder zu versiegeln und die eIDAS-Anforderungen zu erfüllen.

Zu den Anforderungen an die digitale eIDAS-Signatur gehören:

  1. Identität – Der Unterzeichner wird identifiziert und validiert
  2. Absicht – Nachweis, dass der Unterzeichner den Inhalt und die Absicht der Unterzeichnung verstanden hat
  3. Zuverlässigkeit – Ist für den spezifischen Anwendungsfall zuverlässig und sicher. Dies kann bedeuten:
  • Manipulationen oder Änderungen des Inhalts oder der Signatur werden erkannt und aufgezeichnet
  • Der Prozess oder die Lösung, die zur Erstellung der digitalen Signatur verwendet wird, wird ausschließlich vom Unterzeichner gehandhabt und ist nur mit seiner Identität verknüpft

Stellen Sie sicher, dass Sie die gesetzlichen Anforderungen für digitale Signaturen in Ihrem Land erfüllen. Erfahren Sie mehr über die verschiedenen Signaturzertifikate von Sectigo, darunter: S/MIME-E-Mail-Verschlüsselung, Code Signing und Document Signing. Erkunden Sie auch unsere eIDAS-Zertifikate.

Möchten Sie mehr erfahren? Nehmen Sie Kontakt auf und buchen Sie eine Demo von Sectigo Certificate Manager!

Verwandte Beiträge:

7 verschiedene Arten von SSL-Zertifikaten erklärt

Was passiert, wenn Ihr SSL-Zertifikat abläuft und wie man es erneuert

Was ist ein selbstsigniertes Zertifikat und wie erstellt man es?