Der Unterschied zwischen elektronischen Signaturen und digitalen Signaturen

Digitale Prozesse bestimmen mehr und mehr unseren Alltag und auch im bei geschäftlichen Anwendungen werden traditionellen Methoden zunehmend durch automatisierte Verfahren ersetzt. Damit möchten viele Branchen eine zunehmend technologieaffine Kundenbasis erschließen. In den letzten zehn Jahren ist eine Vielzahl von Geräten zur elektronischen Kommunikation auf den Markt gekommen. Es hat sich ebenfalls gezeigt, dass Unternehmen papierbasierte Prozesse durch effizientere Modelle ersetzen müssen, und E-Signaturen, die auf digitaler Signaturtechnologie basieren, sind dabei führend.
Zwar haben sich E-Signaturen inzwischen durchgesetzt, doch was die digitale Signaturentechnologie genau ist, wird immer noch oft missverstanden. Auch wenn elektronische Signaturen seit dem Jahr 2000 als Rechtsbegriff im US-amerikanischen Bundesrecht anerkannt sind, sind für den Durchschnittsbürger elektronische und digitale Signaturen ein und dasselbe. Dabei sind elektronische Signaturen und digitale Signaturen keineswegs austauschbare Begriffe! Das wird klar, wenn man sich ihre wichtigsten Funktionen ansieht.
Elektronische Signatur
Eine elektronische Signatur ist, wie ihre Entsprechung auf Papier, ein Rechtsbegriff. Nach dem US-Gesetz über elektronische Signaturen im internationalen und nationalen Handel (Electronic Signatures in Global and National Commerce Act) ist eine elektronische Signatur ein „elektronischer Ton, ein elektronisches Symbol oder ein elektronisches Verfahren, das einem Vertrag oder einer anderen Aufzeichnung beigefügt wird oder damit verbunden ist und von einer Person in der Absicht verwendet wird, einen Datensatz zu unterzeichnen“.
Digitale Signaturen
Digitale Signaturen beziehen sich hingegen auf die Verschlüsselungs-/Entschlüsselungstechnologie, auf der eine elektronische Signaturlösung basiert. Eine digitale Signatur allein ist keine Art von elektronischer Signatur. Vielmehr sichert die Verschlüsselung der digitalen Signatur die mit einem signierten Dokument verknüpften Daten und hilft, die Authentizität eines signierten Datensatzes zu überprüfen. Sie allein kann nicht die Absicht einer Person erfassen, ein Dokument zu unterzeichnen oder rechtlich an eine Vereinbarung oder einen Vertrag gebunden zu sein.
Einer Lösung, die Dokumente einfach nur digital signiert, fehlt es oft an Funktionen, die in den besten Lösungen für elektronische Signaturen zu finden sind. Dazu gehören eine sofort einsatzbereite Benutzeroberfläche (UI) sowie Funktionen für das Transaktionsmanagement und die erweiterte Workflow-Anpassung, die bei komplexeren Transaktionen mit Kundenkontakt verwendet werden.
Unterm Strich ist es wichtig, bei der Einführung einer Lösung zur Verwaltung Ihrer Signaturprozesse sicherzustellen, dass sie auf digitaler Signaturtechnologie basiert, um die Integrität des Dokuments und der zugrunde liegenden Signaturen zu gewährleisten. Ohne digitale Signaturen sind Ihre dokumentbasierten Transaktionen möglicherweise nicht rechtsverbindlich. Das setzt Sie und Ihr Unternehmen im Falle eines Compliance- oder Rechtsstreites einem bedeutenden Risiko aus.
Was sind digitale Zertifikate?
Digitale Signaturen verwenden eine Public Key Infrastructure (PKI) und stützen sich auf öffentliche und private Schlüssel, um zu gewährleisten, dass die zugrunde liegenden digitalen Transaktionen sicher sind. Wenn Sie beispielsweise ein Dokument mit einer elektronischen Unterschrift versehen, müssen Sie sicher sein, dass alle Teilnehmer an einer Transaktion gültige Schlüssel verwenden.
Dazu dient das digitalen Zertifikat. Ein digitales Zertifikat ist ein elektronisches Dokument, das einem Unterzeichnenden von einer Zertifizierungsstelle (CA) oder einem Vertrauensdiensteanbieter (TSP) ausgestellt wird, und das einen öffentlichen Schlüssel mit der Identität des Unterzeichnenden verknüpft. In den Gesetzestexten beinhalten Definitionen von elektronischen Signaturen immer Aussagen zur Identität des Unterzeichnenden. Deshalb verwenden die besten eSignatur-Lösungen digitale Zertifikate als Teil des eSignatur-Prozesses, mit dem sie die Unterzeichnenden authentifizieren.
Das Zertifikat dient dazu, zu verifizieren und zu bestätigen, dass eine elektronische Signatur tatsächlich von einem bestimmten Unterzeichnenden geleistet wurde. Es enthält Daten zur Identität des Unterzeichnenden (z. B. Name, ID-Nummer, Signaturschlüssel, Zertifikatsaussteller usw.). Zertifikate werden häufig auf Vorrichtungen zur Signaturerstellung wie sicheren Chipkarten, Token oder zentral in einem Hardware-Sicherheitsmodul (HSM) in der Cloud gespeichert und sind für die Erstellung einer digitalen Signatur erforderlich. Während des Signiervorgangs wird das Zertifikat des Unterzeichnenden mit Hilfe seines privaten Schlüssels kryptografisch an das Dokument gebunden.
Arten von digitalen Zertifikaten
Je nach Ort, Branche und dem Risikoprofil der Transaktion stellen Organisationen unterschiedliche Anforderungen an digitale Zertifikate und deren Verwaltung. Es gibt mehrere Möglichkeiten, wie die Signierung erfolgen kann. Sie unterscheiden sich weitgehend durch den Ort, an dem die Zertifikate gespeichert werden:
- Serverseitige Unterzeichnungszertifikate: Der Unterzeichnende wird sicher authentifiziert und das Dokument wird mit dem vertrauenswürdigen Zertifikat in der Cloud (oder vor Ort bei intern bereitgestellten Anwendungen) digital signiert.
- Lokale Unterzeichnungszertifikate: Die Identität des Unterzeichnenden ist mit einem persönlichen Zertifikat verbunden (lokal auf einer PIN-geschützten Smartcard, einem USB-Token oder einem Computer gespeichert), das das Dokument digital signiert.
Wie Forrester schreibt „hat sich die USA überwiegend für eine einfachere Authentifizierung der elektronischen Signatur entschieden“: In der fortgeschrittenen elektronischen Signatur (AES) kommen mehrere Formen der Authentifizierung und ein gemeinsames Server-Zertifikat, das im Cloud-Dienst des Anbieters gehostet wird, zum Einsatz. In der EU hingegen messen die Unternehmen „der Authentifizierung einen größeren Wert zu“ und verlangen entweder eine AES in Verbindung mit starken Authentifizierungsformen oder die Qualifizierte E-Signatur (QES), die auf digitale Zertifikate Dritter gestützt ist. In Belgien beispielsweise wird allen Bürgern eine elektronische Identitätskarte (eID) ausgestellt, die ein eindeutiges digitales Zertifikat enthält und für Prozesse wie die Unterzeichnung von Verträgen und Vereinbarungen verwendet wird. So entsteht eine QES, die den Anforderungen der eIDAS-Verordnung der EU entspricht.
Die Bedeutung von digitalen Signaturen
Das Heraussenden von Dokumenten, um eine elektronische Unterschrift einzuholen, geht schnell und einfach. Achten Sie bei der Wahl einer E-Signaturenlösung darauf, dass diese nach Einholen aller elektronischen Signaturen das elektronisch signierte Dokument mithilfe einer digitalen Signatur verpackt und sichert. Die E-Signaturenlösung sollte die digitale Signatur auf zwei Ebenen anbringen:
- Bei jeder einzelnen Signatur, um eine Manipulation der Signatur selbst zu verhindern
- Für das ganze Dokument, um eine Manipulation der Inhalte des Dokuments zu verhindern
Diese zweistufige Sicherheit gewährleistet die Integrität des Dokuments. Mit derartigen fälschungssicheren Kontrollen können alle an einer Transaktion beteiligten Parteien auf die Integrität eines signierten Dokuments vertrauen. Da elektronische Signaturen nur so gut sind wie die Sicherheit, die sie schützt, ist es wichtig, dass jeder Versuch der Manipulation eines Teils des Dokuments, z. B. das Hinzufügen oder Löschen von Wörtern oder das Ersetzen von Seiten, sichtbar ist.
Drei wichtige Punkte für den Schutz von digitalen Verträgen
Digitale Signaturen sind eine der wichtigsten Komponenten eines Systems für elektronische Signaturen. Sie können die Sicherheit, die Rechtsgültigkeit und die Effizienz der Dokumentenverwaltung erhöhen, wenn eine elektronische Signiermethode verwendet wird. Daher sollte die Erstellung einer elektronischen Signatur im offiziellen Rahmen nicht ohne die Unterstützung durch eine digitale Signatur erfolgen. Im Folgenden drei der Hauptgründe, warum digitale Signaturen so wichtig sind:
1. Schutz der Signatur ab dem Zeitpunkt der Unterzeichnung
Bei einer digitalen Signatur handelt es sich um eine verschlüsselte Datei, die mit dem zu signierenden elektronischen Dokument mitgeschickt und nach Abschluss der Transaktion wieder zurückgeschickt wird. Die Datei enthält und erfasst Metadaten darüber, wohin das elektronische Dokument gesendet wurde, welche Konten es geöffnet haben, die IP-Adresse der Geräte, auf denen die Signatur geleistet wurde, den genauen Zeitpunkt der Interaktion und andere wichtige Informationen. All diese Daten schützen die Gültigkeit der Signatur.
Bei einer Unterschrift mit Kugelschreiber und Tinte wird die Handschrift als Grundlage für die Identifizierung herangezogen. Sie können auch alle Parteien, die ein Dokument gemeinsames unterzeichnen, vorladen, um Zeugen des Vorgangs zu sein. Bei besonders wichtigen Dokumenten können Sie einen Notar hinzuziehen und dafür sorgen, dass sich alle Beteiligten identifizieren. Diese Maßnahmen schützen eine physische Unterschrift. In ähnlicher Weise erfasst eine digitale Signatur Informationen wie das Gerät, auf dem ein elektronisches Dokument unterzeichnet wird, die Benutzerdaten des Unterzeichnenden und den Weg, den die Daten zwischen den einzelnen Empfängern zurückgelegt haben. Diese Informationen ermöglichen eine mehrstufige Überprüfung der Unterschrift und schützen den gesamten Unterzeichnungsprozess.
2. Schutz der gespeicherten Signatur
Ein elektronischer Datensatz muss über einen längeren Zeitraum aufbewahrt werden, wobei die Dauer der Aufbewahrung von den Bestimmungen der jeweiligen Branche abhängt. Dabei muss nachvollziehbar sein, dass die Unterschrift im Laufe der Zeit nicht verändert wurde. Eine digitale Signatur, die gemeinsam mit der Technologie, die der elektronischen Signatur zugrunde liegt, eingesetzt wird, kann anzeigen, ob ein Formular manipuliert wurde. Es handelt sich im Wesentlichen um ein digitales Wasserzeichen auf der elektronischen Unterschrift, das den Abschluss der Transaktion bestätigt und die Datei versiegelt. Jede Verletzung dieses Siegels wird in der digitalen Signatur aufgezeichnet. Daher ist es äußerst schwierig, die elektronische Datei zu manipulieren.
Nicht alle E-Signatur-Lösungen sind in dieser Hinsicht gleich, und viele bieten keine Langzeitvalidierungsfunktion (LTV). Stellen Sie sicher, dass die von Ihnen gewählte Lösung die folgenden Anforderungen an die digitale Signatur erfüllt:
- Für jeden Unterzeichnenden der Transaktion sollte ein eigener digitaler Signatureintrag in die elektronisch signierte PDF-Datei eingebettet werden.
- Jeder Eintrag sollte Details wie das digitale Zertifikat des Unterzeichnenden (d. h. ein lokales oder serverseitiges Unterzeichnungszertifikat), einen Zeitstempel und die Informationen des Unterzeichnenden (z. B. E-Mail-Adresse und IP-Adresse) enthalten.
- Die Unversehrtheit des signierten Dokuments sollte offline (unabhängig von der e-Signatur-Lösung) durch einen Ein-Klick-Verifizierungsprozess überprüft werden können. Achten Sie auf die Anmerkung „Signatur ist LTV-fähig“ im Signaturfeld des elektronisch signierten PDF-Dokuments.
3. Schutz der Signatur auf mobilen Geräten
Smartphones und Tablets sind allgegenwärtige technische Hilfsmittel, die sich aus Gründen der Bequemlichkeit perfekt für die elektronische Unterschrift eignen. Allerdings verfügen sie möglicherweise nicht über die Sicherheits- und Datenschutzfunktionen, die zur Sicherung der Transaktion erforderlich sind. Eine digitale Signatur umgeht dieses Problem, indem sie wichtige Metadaten in einem anpassbaren Format erfasst. Wenn Sie eine digitale Signatur benötigen, um mehr Benutzerauthentifizierungsdaten zu sammeln, und damit jemanden verifizieren wollen, der ein Smartphone benutzt, kann sie so konfiguriert werden, dass sie diese Aufgabe erfüllt. Das Ergebnis ist ein Betriebsumfeld, in dem Sie Benutzer elektronische Formulare sicher und ohne Risiko auf einem mobilen Gerät unterschreiben lassen können.
Erfüllung gesetzlicher Anforderungen
Regulatorische Anforderungen spielen für Organisationen in bestimmten Bereichen, beispielsweise in Behörden, im Gesundheitswesen und bei Finanzdienstleistungen, eine wichtige Rolle: Alle Abläufe müssen an die gesetzlichen Richtlinien angepasst werden, die für die jeweilige Branche maßgeblich sind. Die Digitalisierung ist jedoch aus stark regulierten Branchen wie der staatlichen Verwaltung, Krankenhäusern und Banken nicht mehr wegzudenken: Auch hier schreitet die Umstellung auf elektronische Prozesse im rasantem Tempo voran. Müssen Dokumente ausgedruckt, verschickt, unterschrieben, auf Korrektheit geprüft und aufbewahrt werden, bremst dies die Dynamik und die Möglichkeit zu innovieren. Das kann bedeutende negative Auswirkungen auf die Organisationen haben! Viele Unternehmen möchten diese veraltete Art der Dokumentenverarbeitung abschaffen; gleichzeitig müssen ihre Bemühungen den gesetzlichen Richtlinien entsprechen.
Gesetzliche Richtlinien erschweren die Planung, denn oft wird darin nicht vorgegeben, wie sie einzuhalten sind, sondern nur, welches Ergebnis erzielt werden muss. Daher gilt es für Unternehmen in Branchen, die strengen gesetzlichen Richtlinien unterliegen, Technologien zu finden, die ihnen die gewünschten Ergebnisse liefern. Beim Schutz von Daten bei der Übertragung spielt die Verschlüsselung eine wichtige Rolle. Effektive Berechtigungsverwaltung ist ebenfalls entscheidend. Digitale Signaturen bieten diese Funktionen. Sie dienen als Katalysator und machen die Software für elektronische Signaturen zu einer perfekten Lösung zur Erfüllung vieler gesetzlicher Anforderungen.
Fazit: Erfassen und Sichern von Beweisen mit digitalen Signaturen
In Kombination bilden elektronische und digitale Signaturen eine ganzheitliche Lösung, um Übereinkünfte zu dokumentieren und sicherzustellen, dass die Quelldatei, in der die Aufzeichnung gespeichert ist, sicher und überprüfbar ist. Zusammen bieten sie eine Möglichkeit, Dokumente auf die einfachste und bequemste Art und Weise zu unterschreiben, ohne Kompromisse bei der Rechtmäßigkeit eingehen zu müssen.
Um sicherzustellen, dass Ihre digitalen Verträge rechtlich durchsetzbar sind, sollten Sie eine Lösung für elektronische Signaturen wählen, die einen umfassenden Prüfpfad erfasst und ihn mit einer digitalen Signatur schützt und fälschungssicher macht.
Elektronische Belege haben hohe Beweiskraft, wenn der vollständige elektronische Signiervorgang des Unterzeichnenden erfasst wird. Dazu gehören das genaue Aussehen und die Reihenfolge aller Web-Bildschirme, Dokumente und rechtlichen Angaben, die angezeigt wurden, sowie wieviel Zeit jemand auf der jeweiligen Seite verbracht hat, und alle Aktionen, die er oder sie während des Überprüfungs- und Unterzeichnungsprozesses durchgeführt hat, wie z. B. das Anklicken von Schaltflächen zum Akzeptieren, Unterschreiben, Unterzeichnen und Bestätigen.
Je mehr Beweise ein Unternehmen über den verwendeten Prozess erfasst, desto größer ist die Wahrscheinlichkeit, dass das unterzeichnete Dokument vor Gericht durchgesetzt werden kann. Und das ist den meisten Unternehmen, die E-Signaturen in Erwägung ziehen, wichtig. Während viele auf dem Markt erhältliche Lösungen für elektronische Signaturen die grundlegenden Anforderungen des ESIGN-Gesetzes erfüllen, sollten Unternehmen, die das Risiko nicht durchsetzbarer Aufzeichnungen minimieren möchten, die Messlatte höher ansetzen, indem sie sich für eine Lösung für elektronische Signaturen entscheiden, die auf digitaler Signaturtechnologie basiert.
Sehen sie sich auch unsere praktische Infografik an. Dort werden die Unterschiede und ihr Zusammenspiel erläutert.