Die digitale Signatur

Überblick über die Technologie für digitale Signaturen und deren Nutzung um sichere elektronische Signaturen zu erstellen

Was ist eine digitale Signatur?

Die Zahl der Transaktionen, die digital aus der Ferne abgewickelt werden, steigt in rasantem Tempo. Darum sehen sich Organisationen immer stärker zur Integration von elektronischen und digitalen Signaturen in ihre Abschlussprozesse gezwungen. Mit einer digitalen Signatur hinterlassen Ihre Kunden und Vertragspartner eine elektronische Unterschrift unter Online-Dokumenten, die mit einem individuellen Fingerabdruck vergleichbar ist. Digitale Signaturen benutzen dazu die so genannte Public Key Infrastructure (PKI, eine Reihe akzeptierter Standards), welche mithilfe einer Zertifizierungsstelle bereitgestellt wird und die Unterzeichner authentifiziert. Das Resultat ist ein rechtsverbindliches und sicheres Verfahren zur elektronischen Unterzeichnung von Dokumenten. In Anbetracht der steigenden Akzeptanz der digitalen Signaturen müssen die Unternehmen sicherstellen, dass ihre Abschlussprozesse sämtliche Compliance-Anforderungen erfüllen. Die rechtlichen und regulatorischen Anforderungen sind in der ganzen Welt je nach Land und je nach Anwendungsfall unterschiedlich. Durch die Wahl des richtigen Anbieters kann ein Großteil des Compliance-Aufwands entfallen.

OneSpan Sign ist eine führende E-Signatur-Lösung, deren digitale Signatur-Technologie Ihnen bei der Erfüllung der örtlichen Anforderungen (z. B. bei der Erfüllung der eIDAS-Richtlinie in der Europäischen Union (EU)) sowie branchenspezifischer Anforderungen in stark aufsichtsrechtlich regulierten Branchen, wie z.B. Finanzdienstleistung, Behörden oder Gesundheitswesen, behilflich sein kann.

Was ist der Unterschied zwischen der elektronischen und der digitalen Signatur

Gibt es einen Unterschied?

Obwohl die Begriffe „elektronische Signatur“ (oder elektronische Unterschrift) und „digitale Signatur“ (oder digitale Unterschrift) oft austauschbar verwendet werden, lassen sich diese Begriffe durch ihre Merkmale und Funktionen klar voneinander abgrenzen: Tatsächlich schließt die Kategorie der E-Signaturen oft digitale Signaturen ein, denn es handelt sich bei digitalen Signature letztendlich um eine spezielle Technologie zur Implementierung elektronischer Signaturen.

Auf den Punkt gebracht, ist eine elektronische Signatur, genau wie die eigenhändige Unterschrift auf Papier, ein rechtlicher Begriff. Damit soll die Absicht einer Person bekundet werden, ihre rechtsverbindliche Zustimmung zu einer Vereinbarung oder zu einem Vertrag festzuhalten. Die rechtlichen Rahmenbedingungen der elektronischen Signatur wurden unter der eIDAS-Verordnung zusammengefasst (diese ersetzte das bis 2016 gültige Signaturgesetz (SigG)) . Kernstück des eIDAS-Durchführungsgesetzes ist das Vertrauensdienstegesetz (VDG), wozu unter anderem auch die einfache elektronische Signatur, die qualifizierte elektronische Signatur und fortgeschrittene elektronische Signatur gehören. Diese benötigen zusätzlich noch eine Identifizierung durch einen Zertifizierungsdienstleister (beispielsweise durch die Bundesdruckerei).

Unter einer digitalen Signatur ist dagegen eine Verschlüsselungs- und Entschlüsselungstechnologie, die Bestandteil einer elektronischen Signatur ist, zu verstehen. Digitale Signaturen bieten jedoch eine zusätzliche Sicherheit, denn sie beinhalten im Gegensatz zur elektronischen Signatur einen verschlüsselten Hashwert. Auf der Basis von Public-Key-Verschlüsselungsverfahren, die mit Hilfe von kryptografischen Algorithmen zwei Schlüssel (einen öffentlichen und einen privaten Schlüssel) generieren, sichern die digitalen Signaturen die unterzeichneten Dokumente und ermöglichen die Überprüfung der Authentizität eines unterzeichneten Schriftstücks. Eine digitale Signatur allein ist jedoch noch keine E-Signatur und reicht folglich nicht aus, um die Absicht einer Person zur Unterzeichnung eines Dokuments festzuhalten. Bei der Verwendung mit einer E-Signatur-Anwendung sichert die digitale Signatur-Technologie die E-signierten Daten.

Was ist die Lösung?

Bei Lösungen, bei denen Dokumente nur digital signiert werden, fehlen oft verschiedene Funktionalitäten, wie sie bei den Best-in-Class-E-Signatur-Lösungen üblich sind. Zu denken ist unter anderem an eine Out-of-the-Box-Benutzerschnittstelle (OOTB-UI) sowie an Funktionen im Bereich von Transaktionsmanagement und fortschrittlichen Workflow-Anpassungsmöglichkeiten, die in den komplexeren Transaktionen, die für den Kunden relevant sind, zum Einsatz kommen.

Worauf es unter dem Strich ankommt: Wenn Sie eine Lösung für das Management Ihrer Unterzeichnungsprozesse suchen, müssen Sie besonders darauf achten, dass diese auf einer digitalen Signatur-Technologie basiert, durch die sowohl die Integrität des Dokuments als auch die der zugrunde liegenden Signaturen gewährleistet ist. Ohne digitale Signaturen besteht die Gefahr, dass Ihre dokumentbasierten Transaktionen nicht rechtssicher sind. Dadurch riskieren Sie, dass Sie und Ihre Organisationen möglicherweise Compliance-Probleme bekommen.

Wie funktionieren digitale Signaturen? Das E-Signatur-Verfahren

Die OneSpan Sign-Lösung erstreckt sich auf sämtliche Aspekte des Signierprozesses - von der Erfassung der Zustimmung bis hin zur Übermittlung und Speicherung des E-signierten Dokuments, einschließlich eines detaillierten Audit-Pfads für die jeweilige Transaktion. Sicherheit und Erfüllung der Compliance sowie die langfristige Überprüfbarkeit sind für uns dabei zentral. Für unsere Kunden ist es beruhigend, dass sie sich darauf verlassen können, dass die Sicherheit ihrer Dokumente über deren gesamten Lebenszyklus gewährleistet ist. Die folgende Aufstellung veranschaulicht die wesentlichen Schritte im E-Signatur-Prozess:

consent gray

Zustimmung

Der Unterzeichner stimmt der Verwendung von elektronischen Signaturen und elektronischen Dokumenten zu.

intent gray

Absicht

Für die Signatur klickt, tippt oder zeichnet der Unterzeichner an der angegebenen Position im digitalen Dokument.

authenticate gray

Authentifizieren

Die Multi-Faktor-Authentifizierung überprüft den Unterzeichner und die Identität, um auf die Signatur zugreifen zu können.

digitally sign gray

Digitales Zeichen

Dieser Schritt bindet das Zertifikat, die Benutzeridentität sowie den Prüfpfad an die signierten Daten.

certify

Bestätigen

Audit-Trails werden gespeichert und digital signiert, das PDF-Dokument gesperrt.

verfiy gray

Überprüfen

Überprüfen Sie Dokument, Identität, Uhrzeit / Datum und Prüfpfade mit dem PDF-Reader.

audit gray

Speicherung

Speicherung der Dokumente wahlweise in lokalen Datenzentren, vor Ort oder in dem vom Kunden gewünschten Aufbewahrungssystem.

deployment options

Audit

Anbieterunabhängige Auditpfade, die alle Ereignisse festlegen, mit denen nachgewiesen wurde, wie der Unterzeichner identifiziert wurde sowie was, wann und wo von ihm/ihr unterzeichnet wurde.

Ausführlichere Betrachtung der digitalen Signatur

OneSpan Sign generiert für jede elektronische Signatur in einem Dokument eine digitale Signatur und speichert diese digitalen Signaturen dann entsprechend der ISO 32000-Norm ab. Dabei generiert OneSpan Sign zunächst einen elektronischen „Fingerabdruck“ (Extrakt) des Dokuments mit Hilfe des SHA-256-Hash-Algorithmus. Dieser Fingerabdruck enthält eine einmalige Darstellung des Dokuments. Anschließend verschlüsselt OneSpan Sign diesen Fingerabdruck mit Hilfe der asymmetrischen Verschlüsselung, sodass eine digitale Signatur erstellt wird, die dann in das Dokument integriert wird.

Um die Integrität des Dokuments und der Signatur überprüfen zu können, ist die Entschlüsselung der digitalen Signatur erforderlich. Beim PDF-Standard verläuft dies so, dass Services wie z. B. OneSpan Sign gestattet wird, eine Kopie des öffentlichen Schlüssels im signierten Dokument abzuspeichern.

Digital Signature

Nachvollziehbarkeit durch Zeitstempel
Der PDF-Standard bietet außerdem die Möglichkeit, zu jeder digitalen Signatur auch einen Zeitstempel abzuspeichern. OneSpan Sign errechnet und speichert diese Zeitstempel mit mehr Informationen als aufgrund der Standards unbedingt erforderlich. Dazu gehören die E-Mail-Adresse des Unterzeichners, ein mit dem Unterzeichner verknüpfter eindeutiger Identifikator, ein mit der gesamten Transaktion verknüpfter eindeutiger Identifikator sowie die IP-Adresse. Diese Daten werden so gespeichert, dass sie zum Zeitpunkt der Überprüfung für den Benutzer sichtbar sind.

Nachfolgende digitale Signaturen
Nachfolgende digitale Signaturen werden nach demselben Verfahren generiert. Dabei erstrecken sich jedes Mal, wenn das Dokument mit einer neuen digitalen Signatur versehen wird, die gehashten Daten auf das gesamte Dokument, auf aktualisierte Änderungen (d.h. ausgefüllte Formular-Felder) sowie die vorigen digitalen Signaturen selbst. Dies ist in der nachstehenden Abbildung veranschaulicht.

Validierung - Überprüfung zur Gewährleistung der Sicherheit
Der Prozess der Überprüfung von digitalen Signaturen verläuft genau umgekehrt wie der Prozess ihrer Errechnung. Dieser Prozess, der bei den meisten PDF-Viewern automatisch abläuft, beginnt mit der Extraktion des öffentlichen Schlüssels sowie der dazugehörigen digitalen Signatur in dem signierten Dokument. Anschließend entschlüsselt der PDF-Viewer die digitale Signatur, um den Fingerabdruck (Extrakt) des Dokuments zu erhalten. Danach errechnet der PDF-Viewer seinen eigenen Fingerabdruck, wobei er den aktuellen Zustand des Dokuments benutzt. Wenn diese beiden Fingerabdrücke übereinstimmen, ist sichergestellt, dass das Dokument seit der Anbringung der digitalen Signatur nicht mehr verändert wurde.

Digital-Signature

Wie bestätigt man die Gültigkeit eines signierten Dokuments

Zur Bestätigung der Gültigkeit eines signierten Dokuments braucht man nur einen PDF-Viewer, der mit dem PDF-Standard kompatibel ist. PDF-Viewer besitzen die Fähigkeit, digitale Signaturen in einem Dokument zu finden und ihre Gültigkeit zu überprüfen. Öffnen Sie das signierte Dokument und klicken Sie entweder auf einen der Signaturblöcke oder öffnen Sie das Signatur-Panel.

Signed Doc

Wenn Sie einen Signaturblock anklicken, überprüft der PDF-Viewer die Gültigkeit der dazugehörigen digitalen Signatur. Anschließend zeigt er das Ergebnis der Überprüfung an.

Signature Validation Status

Da OneSpan Sign für jede elektronische Signatur im Dokument eine digitale Signatur errechnet, können Sie über den Dialog „Signature Properties“ (Signatur-Eigenschaften) auf die spezifischen Informationen für die angeklickte Signatur zugreifen. Dieser Dialog zeigt genau an, wann diese spezifische Signatur von dem Unterzeichner angebracht wurde, sowie die E-Mail-Adresse des Unterzeichners und seine IP-Adresse.

Digital-Signature

Vorteile der digitalen Signatur für Unternehmen

Die Nutzung digitaler Signaturen bietet Unternehmen diverse Vorteile. Mit dem effizienten Verfahren sparen Sie Zeit und Kosten. Dokumente müssen nicht erst ausgedruckt, von Hand unterschrieben und per Post zurückgesandt werden. Digitale Signaturen beschleunigen Transaktionen und Prozesse im Unternehmen sowie zwischen Unternehmen, Kunden, Lieferanten und Mitarbeitern. Kunden wissen das unkomplizierte Verfahren und die schnellen Abläufe zu schätzen. Sie ziehen die Leistungen Ihres Unternehmens daher anderen, umständlicheren Abschlüssen vor.

Was macht OneSpan Sign so besonders?

Vorreiter der elektronischen Signatur

OneSpan Sign ist seit 25 Jahren im Bereich elektronische und digitale Signaturen aktiv und nimmt damit eine Vorreiterrolle auf dem Gebiet ein. Unsere Innovationen zeugen von den Erfahrungen aus den letzten 25 Jahren , die ständig durch neue Erkenntnisse ergänzt werden. Damit stellen wir sicher, dass Ihre Unterzeichnungsprozesse so einfach wie möglich sind – und Sie hohe Abschlussquoten erzielen.

Globale Konformität im Hinblick auf die Gesetzes- und Vorschriftslage für E-Signaturen

Out-of-the-Box-Unterstützung für die Anforderungen nach der EU-eIDAS-Richtlinie, dem US-amerikanischen „ESIGN Act“, dem australischen „Electronic Transactions Act“ u.v.a.m.

Eine Unternehmenslösung, die sich Ihren Bedürfnissen entsprechend skalieren lässt

Die einzige Lösung, die einen einheitlichen Plattform- und Integrationsrahmen bietet, durch den überall in der Welt eine hochgradige Sicherheit, Compliance und Performance gewährleistet sind.

Unterzeichnung auf der Basis der Standards

Unterstützung einer großen Bandbreite von lokalen und serverseitigen Signaturzertifikaten entsprechend globalen Standards, einschließlich sofortige Interoperabilität mit X.509-Zertifikaten, die von allen europäischen Vertrauensdiensteanbietern ausgestellt werden.

Breites Spektrum von Einsatzoptionen

OneSpan Sign kann wahlweise in einer öffentlichen oder einer privaten Cloud oder vor Ort hinter Ihrer Firewall zum Einsatz kommen; durch Datenzentren überall auf der Welt, einschließlich in Deutschland, können auch immer die in dem jeweiligen Land geltenden Datenresidenz-Anforderungen erfüllt werden.

Datensicherheit & Vertrauen bilden den Grundpfeiler unseres Unternehmens

OneSpan ist ein weltweit führender Anbieter von Lösungen im Bereich der digitalen Sicherheit und der E-Signaturen. Wir sind überzeugt, dass unsere über 25-jährigen Erfahrungen im Bereich der IT-Sicherheit für unsere Mitarbeiterinnen und Mitarbeiter, unsere Partner und unsere Kunden von unschätzbarem Wert sind, so dass sie mit Hilfe unserer Lösungen im vollsten Vertrauen digitale Transaktionen abwickeln können.

...hier erfahren Sie mehr.

Häufig gestellte Fragen zur digitalen Signatur

Woraus besteht eine digitale Signatur?

Wenn sie in Kombination mit einer E-Signatur-Lösung benutzt wird, besitzt eine digitale Signatur die folgenden drei Merkmale:

  • 1. Eindeutige Zuordnung: die Signatur muss jeden an der Transaktion beteiligten Unterzeichner identifizieren und diesem eindeutig zugeordnet sein; die Person, die das Dokument signiert hat, kann mit einem hohen Maß an Vertrauen bestimmt werden.
  • 2. Daten-Unversehrtheit: die Möglichkeit, alle nach der Anwendung der Signatur ggf. am Dokument oder an den Daten gemachte Änderungen zu erkennen. Dadurch werden manipulationssichere Dokumente und Signaturen geschaffen.
  • 3. Nichtabstreitbarkeit: die Möglichkeit, nachzuverfolgen, von wem das Dokument signiert wurde. Dadurch kann im Fall von Streitigkeiten oder Compliance-Verstößen leicht der Nachweis erbracht werden, dass die fragliche Person das Dokument tatsächlich unterzeichnet hat.

Wozu kann ich eine digitale Signatur verwenden?

In vielen Branchen und in vielen Ländern, die sich den E-Signatur-Standards angeschlossen haben, sind digitale Signaturen vorgeschrieben, damit sichergestellt ist, dass Aufzeichnungen durchsetzbar, konform und sicher sind. Die digitalen Signaturen beruhen auf einer auf Standards basierten Technologie, die die Integrität des Dokuments und der Signatur garantiert.

Was passiert mit dem Dokument, wenn eine Manipulation vorgenommen wurde?

Wurde ein mit OneSpan Sign signiertes Dokument in irgendeiner Weise abgeändert oder manipuliert, so wird dies von der zugrunde liegenden digitalen Signaturtechnologie erkannt. Daraufhin macht der PDF-Leser das Dokument sichtbar ungültig. Die elektronisch signierte PDF-Datei zeigt dann ein rotes „X“ an. Daran ist erkennbar, dass das Dokument nicht sicher und nicht mehr vertrauenswürdig ist. Achten Sie immer darauf, dass die gesuchte Lösung eine Möglichkeit zur langfristigen Validierung („Long-term Validation“ - LTV)” und einen 1-click-Offline-Signaturüberprüfungsprozess aufweist.

Was ist ein digitales Zertifikat?

Ein digitales Zertifikat wird von einem vertrauenswürdigen Emittenten (wie z. B. einem Vertrauensdiensteanbieter/Zertifizierungsdiensteanbieter - „Trust Service Provider“ oder TSP) erstellt und ausgegeben, der einen spezifischen Prozess zur Überprüfung der Identität der anfordernden Person ausführt. Das digitale Zertifikat verknüpft eine spezifische Identität mit einem Signaturschlüssel. Genau wie ein Personalausweis oder Reisepass ermöglicht dies Dritten, die Identität des Inhabers zu überprüfen. OneSpan Sign bietet den Benutzern die Möglichkeit, mit digitalen Zertifikaten zu signieren, die auf einer Smartcard, einem USB-Token oder auf ihrem Computer abgelegt wurden.

Was ist ein qualifiziertes Zertifikat?

Unter einem qualifizierten Zertifikat ist nach der eIDAS-Richtlinie ein digitales Zertifikat zu verstehen, das von einem qualifizierten Vertrauensdiensteanbieter/Zertifizierungsdiensteanbieter (TSP - Trust Service Provider) in Europa ausgestellt wurde.

Wie funktioniert die Signatur mit einer Smartcard?

Schauen Sie sich doch einfach unseren Film „How to E-Sign Documents with Smart Cards“ (So können Sie mit Smartcards Dokumente E-signieren) an, darin erklären wir genau, wie dies funktioniert. OneSpan Sign unterstützt die Unterzeichnung mit von Vertrauensdiensteanbietern in Europa ausgestellten Smartcards und Tokens.

Unterstützt OneSpan Sign die Anforderungen der europäischen Vertrauensdienste-Richtlinie (eIDAS/IVT-Verordnung)?

Ja. OneSpan Sign erfüllt „out-of-the-box“, also ohne zusätzlichen Entwicklungsaufwand, die eIDAS-Anforderungen für die einfache, die fortschrittliche und die qualifizierte Signatur. Wir informieren Sie gern, wie OneSpan Sign die Verordnung erfüllt und die E-Signatur mit von europäischen Vertrauensdiensteanbietern ausgestellten Zertifikaten unterstützt. Unser White-Paper zu den Rechtsgrundlagen der eIDAS und E-Signaturen steht für Sie zum Download bereit.

Unterstützt OneSpan Sign die Anbringung eines Zeitstempels?

Ja. Für EU-Kunden, die die Funktionalität zur Nutzung eines „qualifizierten“ Zeitstempels benötigen, verknüpft OneSpan Sign die Daten mit einem vertrauenswürdigen Zeitstempel, mit dessen Hilfe der unabhängige Nachweis erbracht werden kann, wann eine bestimmte Transaktion stattgefunden hat. Durch den auf diese Weise generierten Zeitstempel wird die Integrität der elektronischen Signatur noch zusätzlich verstärkt. Wir informieren Sie gern ausführlich, nehmen Sie einfach Kontakt mit uns auf. Lesen Sie unsere Fallstudie über ein europäisches Versicherungsunternehmen, das OneSpan Sign mit Zeitstempeln implementiert hat.

Sollte sich meine Organisation später einmal entscheiden, OneSpan Sign nicht mehr zu nutzen, wie geht es dann weiter?

Die mit OneSpan Sign signierten Dokumente können mit jedem PDF-Viewer überprüft werden, der mit der ISO 32000-Norm kompatibel ist. Mit OneSpan Sign signierte Dokumente sind völlig eigenständig, d.h. sie lassen sich auch unabhängig von OneSpan oder dem E-Signatur-Dienst von OneSpan von jedem beliebigen Anwender überprüfen.

Was geschieht, wenn das im Dokument abgespeicherte digitale Zertifikat abgelaufen ist?

OneSpan Sign verwendet eine langfristige Validierung, durch die deutlich erkennbar ist, dass das Signatur-Zertifikat zum Zeitpunkt der Unterzeichnung gültig war. Diese Informationen können vom PDF-Viewer noch Jahre nach Ablauf des Zertifikats überprüft werden.

Wie erleichtert die E-Signatur Software den Unterzeichnungsprozess für Absender und Unterzeichner?

Im Vergleich zu handschriftlichen Unterschriften kann eine E-Signatur-Lösung, die von der digitalen Signatur-Technologie unterstützt wird, Ihre Papierprozesse in vielerlei Hinsicht rationalisieren.

  • Erstens erlaubt OneSpan Sign eine komplette Remote-Unterzeichnung über die OneSpan Sign Mobile App. So können die Unterzeichner ihre elektronische Unterschrift in Echtzeit mithilfe ihres bevorzugten Mobilgeräts leisten.
  • OneSpan Sign enthält darüber hinaus Automatisierungsfunktionen, wiederverwendbare Vorlagen und einen Drag-and-Drop-Dokumentengenerator. Damit können Absender ihre Dokumente schnell für die elektronische Unterschrift vorbereiten und versenden.
  • Und nicht zuletzt umfasst OneSpan Sign mehrere Konnektoren, SDKs und offene APIs zur nahtlosen Integration elektronischer Signaturen in gängige Geschäftsanwendungen.