Sicherheit von elektronischen Signaturen: Die ultimative Checkliste

Jeannine Mulliner, 20. Mai 2022

Verletzungen der Datensicherheit sind etwas, das Organisationen unbedingt vermeiden wollen. IT- und Informationssicherheitsabteilungen führen in der Regel eine umfassende Due-Diligence-Prüfung ihrer Cloud-Hosting- und Softwareanbieter durch, um sich vor Datenschutzverletzungen, Datenverlusten, Malware, Viren, Phishing und anderen Bedrohungen zu schützen. Unsere Checkliste für die Sicherheit elektronischer Signaturen soll Ihnen dabei helfen, Ihr Unternehmen, Ihre Arbeitsabläufe und Anwendungen zu schützen. Sie ist speziell auf die Analyse von Anbietern von elektronischen Signaturen ausgerichtet. Die Checkliste verfolgt einen ganzheitlichen Ansatz zum Verständnis der Sicherheitsebenen: Wir empfehlen, nicht nur zu betrachten, wie sicher der Dienst insgesamt ist, sondern auch darauf zu achten, wie dort die Unterzeichnenden authentifiziert werden, wie der Anbieter die Sicherheit digitaler Dokumente und Signaturen handhabt und wie der Prüfpfad für die digitale Transaktion aussieht.

Benutzerauthentifzierung

Gesetze im Bereich der elektronischen Signatur, wie das ESIGN-Gesetz in den Vereinigten Staaten oder die eIDAS-Verordnung in der Europäischen Union, legen fest, welche Arten von elektronischen Signaturen für die digitale Unterzeichnung elektronischer Dokumente verwendet werden können. Eine qualifizierte elektronische Signatur unterscheidet sich zum Beispiel von einer handschriftlichen Unterschrift, da sie eine Zertifizierung durch einen Vertrauensdiensteanbieter erfordert. Allerdings enthalten Gesetze im Bereich der elektronischen Signaturen keine Vorgaben zu Sicherheitstechniken und -technologien, und die rechtliche Definition einer elektronischen Signatur enthält immer auch Bestimmungen zur Identität des Unterzeichners. Das bedeutet, dass Sie die Authentifizierung des Unterzeichners, die digitale Identität und die elektronische Identifizierung berücksichtigen müssen, wie folgt:

  • Authentifizierung der Benutzer vor der elektronischen Unterzeichnung
  • Verknüpfung dieser Authentifizierung mit der elektronischen Unterschrift und dem elektronisch signierten Datensatz

Wrauf sollten Sie achten?

1. Die Lösung unterstützt eine Reihe verschiedenen Authentifizierungsmethoden, beispielsweise:

  • Remote-Benutzerauthentifizierung durch Benutzer-ID/Passwort
  • Überprüfung der E-Mail-Adresse durch Einladung zur e-Signaturensitzung
  • Remote-Benutzerauthentifizierung durch Geheimfragen (auch bekannt als Challenge-Response)
  • Möglichkeit zur Nutzung vorhandener Anmeldeinformationen
  • Dynamische KBA durch Datenbanken von Drittanbietern (z. B. Equifax)
  • Unterstützung digitaler Zertifikate
  • Möglichkeit des Hochladens von Fotos als Teil der elektronischen Unterschriftensitzung, z. B. von einem Führerschein 

2. Es besteht die Möglichkeit, verschiedene Authentifizierungsmethoden innerhalb derselben Transaktion zu konfigurieren;

3. Die Lösung ist anpassungsfähig bei der Abstimmung der Authentifizierungsmethoden mit dem Risikoprofil Ihrer Organisation und bei der Automatisierung der einzelnen Prozesse (z. B. Anpassung der Challenge-Response-Fragen und der Anzahl der Fragen an Ihre Anforderungen);

4. Flexible Optionen für die persönliche Unterschriftsbeglaubigung, einschließlich eidesstattlicher Erklärungen und SMS-Passwort (PIN), das an ein persönliches Mobilgerät gesendet wird (überprüfen Sie, ob die Benutzerauthentifizierung per SMS kostenlos ist).

Nach der Auswertung der Benutzerauthentifizierungsfunktionen besteht der nächste Schritt darin, zu überprüfen, ob der E-Signatur-Dienst die Authentifizierung als Teil des Dokumentenprüfpfads erfasst und den Prüfpfad in das elektronisch signierte Dokument einbettet.

Erfahren Sie mehr über die Benutzerauthentifizierung mit Identitätsprüfung in OneSpan Sign:

Integrierter Prüfpfad

Elektronisch signierte Dokumente, die unabhängig vom Anbieter der elektronischen Signatur überprüft und archiviert werden können, bieten eine zusätzliche Sicherheitsebene. Egal ob Sie vorhaben, langfristig ein Konto bei dem E-Signatur-Dienst zu unterhalten oder nicht: Der Zugang zu Ihren Dokumenten ist nicht davon betroffen, da Sie, Ihre Kunden und andere Beteiligte nicht online gehen müssen, um auf das elektronisch signierte Dokument zuzugreifen oder es zu überprüfen.

Die einzige Möglichkeit, Unabhängigkeit von einem Anbieter zu erreichen, besteht darin, eine Lösung zu wählen, die die elektronischen Signaturen, den Zeitstempel und den Prüfpfad direkt in das Dokument einbettet. So entsteht ein in sich geschlossener, übertragbarer Datensatz.

Worauf sollten Sie achten?

  • Die Möglichkeit, die Authentizität von Dokumenten unabhängig vom elektronischen Unterschriftendienst zu überprüfen. Das bedeutet, dass Sie sich keine Sorgen darüber machen müssen, ob ein Verifizierungslink, der zurück zu einem Server führt, auch noch in vielen Jahren gültig ist oder ob Sie stattdessen eine 404-Fehlermeldung „Seite nicht gefunden“ erhalten.
  • Sie können das e-signierte Dokument im System Ihrer Wahl indizieren, speichern und abrufen, nicht nur im Cloud-Speicher des Dienstanbieters. Dies hilft Ihnen dabei, die Anforderungen zur langfristigen Aufbewahrung Ihrer Organisation zu erfüllen.
eSignature

OneSpan Sign - Gesetzeskonforme und sichere elektronische Unterschriften

Die weltweit strengsten Cloud-Sicherheitsstandards zu Ihren Diensten

Mehr erfahren

Sicherheit von Dokument und Signatur

Achten Sie bei der Wahl einer elektronischen Signaturenlösung darauf, dass diese das elektronisch signierte Dokument mithilfe einerdigitalen Signatur verpackt und sichert. Die digitale Signatur sollte auf einer Private-Key-Infrastruktur (PKI) beruhen und nicht auf einer Public-Key-Infrastruktur oder Public-Key-Kryptografie. Die E-Signaturenlösung sollte die digitale Signatur auf zwei Ebenen anbringen:

  1. Auf Ebene jeder einzelnen Signatur, um eine Manipulation der Signatur selbst zu verhindern.
     
  2. Auf Ebene des ganzen Dokuments, um eine Manipulation der Inhalte des Dokuments zu verhindern.

Durch die Sicherheitsfunktionen digitaler Signaturen lässt sich die Unterzeichnungsabsicht mit den Informationen, die zum Zeitpunkt der Unterzeichnung vereinbart wurden, verbinden. Außerdem wird das elektronisch signierte Dokument gesperrt und manipulationssicher gemacht, so dass unbefugte Änderungen nicht unbemerkt vorgenommen werden können.

Anbieter wie DocuSign und Adobe Sign bringen eine digitale Signatur als Umschlag auf ein Dokument an (nachdem alle Unterschriften erfasst worden sind). Dieser Ansatz ist jedoch nicht ideal für die Unterzeichnung von Dokumenten: Er lässt das Dokument und die Unterschriften ungeschützt, während der Prozess abgeschlossen wird, und führt dazu, dass die einzelnen Unterschriften mit einem falschen Datums- und Zeitstempel versehen werden. Wenn ein Unterzeichner und ein Mitunterzeichner einen Datensatz an zwei verschiedenen Tagen elektronisch signieren, sollte sich dieser Verlauf im Prüfpfad widerspiegeln. Die Verschlüsselung durch die digitale Signatur-Technologie sollte idealerweise jeweils stattfinden, wenn die einzelne elektronische Unterschrift dem Dokument hinzugefügt wird. Auf diese Weise entsteht ein umfassender Prüfpfad mit gesonderten Daten und Uhrzeiten für alle Unterschriften.

Worauf sollten Sie achten:

  • Das Dokument muss mit einer digitalen Signatur gesichert sein
  • Jede einzelne Unterschrift muss mit einer digitalen Signatur gesichert sein
  • Ein umfassender Prüfpfad sollte das Datum und die Uhrzeit aller Unterschriften enthalten
  • Der Prüfpfad muss sicher in das Dokument eingebettet sein
  • Der Prüfpfad muss mit jeder Signatur verknüpft sein
  • Möglichkeit, die Gültigkeit des signierten Datensatzes offline zu überprüfen, ohne eine Website aufrufen zu müssen
  • Überprüfung von Unterschriften und Dokumenten mit einem Mausklick
  • Möglichkeit zum Herunterladen einer überprüfbaren Kopie des signierten Datensatzes mit dem Prüfpfad
  • Das Dokument muss für alle Parteien zugänglich sein

Prüfpfad für den Unterzeichnungsprozess

Wenn regulierte Unternehmen einem Compliance Audit unterzogen werden, werden sie häufig gebeten, den genauen Geschäftsprozess nachzuweisen, den sie befolgt haben. Im Rahmen dessen suchen die Prüfer auch nach Aufzeichnungen darüber, wann und von wem wichtige Dokumente berührt wurden.

Wir empfehlen, einen umfassenden Prüfpfad des Unterzeichnungsprozesses zu erstellen, da Sie damit genau nachweisen können, wie ein Kunde eine Transaktion im Internet oder über ein mobiles Gerät oder eine mobile App abgeschlossen hat. Die meisten Lösungen für elektronische Signaturen, die aktuell auf dem Markt sind, erfüllen dieses Kriterium nicht, da sie nicht die Möglichkeit bieten, eine vollständige Aufzeichnung der Aktionen des Unterzeichners zu erstellen. 

Worauf sollten Sie achten?

Die Lösung sollte folgende Informationen über den Unterschriftsprozess erfassen:

  • IP-Adresse
  • Zeitstempel mit Datum und Uhrzeit aller Ereignisse
  • alle angezeigten Webseiten, Dokumente, Erklärungen und andere Informationen
  • die Zeit, die für die Durchsicht der einzelnen Dokumente aufgewendet wurde
  • was jede Partei anerkannt, akzeptiert und unterschrieben hat
  • alle anderen Aktionen, die während der Transaktion durchgeführt wurden

Prüfen Sie in diesem Zusammenhang, ob Sie die Möglichkeit haben, den Prozessprüfpfad einer bestimmten Transaktion mit nur wenigen Klicks zu suchen, zu finden und anzuzeigen, so dass Auditoren oder andere Beteiligte im Unternehmen ihn einsehen können.

Sicherheit in der Cloud

Abgesehen von den oben genannten Kriterien sollten Sie sich die Protokolle ansehen, die ein Anbieter von elektronischen Signaturen zur Erkennung und Vermeidung von Datenschutzverletzungen einsetzt: Welche Sicherheitspraktiken und Zertifizierungen hat der Anbieter, was ist seine Erfolgsbilanz bei Sicherheitsprüfungen und wie oft werden diese durchgeführt? Eine Due-Diligence-Prüfung der Sicherheitspraktiken und der Infrastruktur eines Anbieters könnte frühere Datenschutzverletzungen, Vorfälle von Datenverlusten oder andere Risiken wie unzureichende Cloud-Sicherheitsexpertise aufdecken.

Worauf sollten Sie achten?

  • Stellen Sie sicher, dass die Plattform für elektronische Signaturen eine starke Datenverschlüsselung bei der Übertragung und im Ruhezustand verwendet und Daten in einem verschlüsselten Datenbankvolumen speichert, um einen verschlüsselten Kanal für die gesamte Kommunikation zu gewährleisten. 
  • Der Anbieter arbeitet mit erstklassigen Cloud-Infrastrukturdienstleistern wie Amazon Web Services, IBM Cloud, oder Microsoft Azure zusammen. Diese Anbieter setzen die bewährten Sicherheitspraktiken bei der Konzeption und der Verwaltung ein und erfüllen eine Vielzahl von gesetzlichen, branchenüblichen und IT-Standards für Sicherheit und Datenschutz, darunter: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA, und viele andere. 
  • Abgesehen davon, dass die Plattform mit Cloud-Service-Anbietern zusammenarbeitet, die Compliance-Programme und Rahmenwerke für Sicherheit und Datenschutz auf der Ebene des Rechenzentrums einhalten, sollte die Plattform zusätzliche Anforderungen an Sicherheitskontrollen und Compliance auf der Anwendungsebene erfüllen. Dadurch wird sichergestellt, dass die Lösung für elektronische Unterschriften sicher ist und die Kundendaten geschützt sind. .
  • Über die ganze Welt verteilte Rechenzentren zur Erfüllung der Anforderungen an die Datenresidenz im jeweiligen Land.

Wenn Sie mehr über unsere Zertifizierungen und Sicherheitsvorkehrungen erfahren möchten, besuchen Sie unser Trust Center oder laden Sie unser Whitepaper herunter. Es hält weitere Informationen dazu, wie Sie bei der Analyse von Lösungen für elektronische Signaturen, die Erfüllung von Sicherheitsanforderungen auswerten können.

Was steht also letztendlich auf der ultimativen Checkliste für die Sicherheit von elektronischen Signaturen?
  1. Benutzerauthentifzierung
  2. Integrierter Prüfpfad
  3. Sicherheit von Dokument und Signatur
  4. Prüfpfad für den Unterzeichnungsprozess
  5. Sicherheit in der Cloud

[1] Gartner, Inc., SOC Attestation Might Be Assurance of Security … or It Might Not

Jeannine schreibt seit 20 Jahren über Technologie und deren Anwendung zur Lösung alltäglicher Herausforderungen. In ihrer Rolle als Content Director bei OneSpan leitet Jeannine ein Team von Autoren und Content-Entwicklern, das sich darauf konzentriert, Finanzinstituten und anderen Organisationen dabei zu helfen, Wert aus Sicherheits- und E-Signatur-Lösungen zu ziehen. Jeannine hat einen BA in Professional Writing von der l'Université de Sherbrooke.