Die digitale Signatur

Verstehen und nutzen Sie die Technologie für digitale Signaturen, um sichere elektronische Signaturen zu erstellen

Was ist eine digitale Signatur?

Die Zahl der Transaktionen, die digital aus der Ferne abgewickelt werden, steigt in rasantem Tempo. Darum sehen sich Organisationen immer stärker zur Integration von elektronischen und digitalen Signaturen in ihre Abschlussprozesse gezwungen. Digitale Signaturen benutzen dazu die so genannte Public Key Infrastructur (PKI, eine Reihe akzeptierter Standards). Dadurch wird es möglich, ein rechtsverbindliches und sicheres Verfahren zur elektronischen Unterzeichnung von Dokumenten zu realisieren. In Anbetracht der steigenden Akzeptanz der digitalen Signaturen müssen die Unternehmen sicherstellen, dass ihre Abschlussprozesse sämtliche Compliance-Anforderungen erfüllen. Die rechtlichen und regulatorischen Anforderungen sind in der ganzen Welt je nach Land und je nach Anwendungsfall unterschiedlich. Durch die Wahl des richtigen Anbieters kann ein Großteil des Compliance-Aufwands entfallen.

Als führende E-Signatur-Lösung ist OneSpan Sign auf einer digitalen Signatur-Technologie aufgebaut, die Ihnen bei der Erfüllung der örtlichen Anforderungen (z.B. in der EU die Erfüllung der eIDAS-Richtlinie) sowie branchenspezifischer Anforderungen in stark aufsichtsrechtlich regulierten Branchen, wie z.B. Finanzdienstleistung, Behörden oder Gesundheitswesen, behilflich sein kann.

Was ist der Unterschied zwischen der elektronischen und der digitalen Signatur

Was ist der Unterschied?

Obwohl die Begriffe „elektronische Signatur“ und „digitale Signatur“ oft austauschbar verwendet werden, ist jeder dieser Begriffe durch klar abgegrenzte Merkmale und Funktionen gekennzeichnet. Die breitere Kategorie der E-Signaturen schließt oft digitale Signaturen ein, da es sich dabei um eine spezielle Technologie zur Implementierung elektronischer Signaturen handelt.

Auf den Punkt gebracht, ist eine elektronische Signatur, genau wie die eigenhändige Unterschrift auf Papier, ein rechtlicher Begriff. Damit soll die Absicht einer Person bekundet werden, ihre rechtsverbindliche Zustimmung zu einer Vereinbarung oder zu einem Vertrag festzuhalten.

Unter einer digitalen Signatur ist dagegen eine Verschlüsselungs- und Entschlüsselungstechnologie als Bestandteil einer elektronischen Signatur zu verstehen. Auf der Basis von Public-Key-Verschlüsselungsverfahren, die mit Hilfe von kryptografischen Algorithmen zwei Schlüssel (einen öffentlichen und einen privaten Schlüssel) generieren, sichern die digitalen Signaturen die unterzeichneten Dokumente und ermöglichen die Überprüfung der Authentizität eines unterzeichneten Schriftstücks. Eine digitale Signatur allein ist jedoch noch keine E-Signatur und reicht folglich nicht aus, um die Absicht einer Person zur Unterzeichnung eines Dokuments festzuhalten. Bei der Verwendung mit einer E-Signatur-Anwendung sichert die digitale Signatur-Technologie die E-signierten Daten.

Was ist die Lösung?

Bei Lösungen, bei denen Dokumente nur digital signiert werden, fehlen oft verschiedene Funktionalitäten, die bei den Best-in-Class-E-Signatur-Lösungen üblich sind. Zu denken ist unter anderem an eine Out-of-the-Box-Benutzerschnittstelle (OOTB-UI) sowie weiterhin Funktionen im Bereich von Transaktionsmanagement und fortschrittlichen Workflow-Anpassungsmöglichkeiten, die in den komplexeren Transaktionen, die für den Kunden relevant sind, zum Einsatz kommen.

Worauf es unter dem Strich ankommt: Wenn Sie eine Lösung für das Management Ihrer Unterzeichnungsprozesse suchen, müssen Sie besonders darauf achten, dass diese auf einer digitalen Signatur-Technologie basiert, durch die sowohl die Integrität des Dokuments als auch die der zugrunde liegenden Signaturen gewährleistet ist. Ohne digitale Signaturen besteht die Gefahr, dass Ihre dokumentbasierten Transaktionen nicht rechtssicher sind, wodurch Sie und Ihre Organisationen möglicherweise Compliance-Probleme bekommen.

Wie funktionieren digitale Signaturen? Das E-Signatur-Verfahren

Die OneSpan Sign-Lösung erstreckt sich auf sämtliche Aspekte des Signierprozesses - von der Erfassung der Zustimmung bis hin zur Übermittlung und Speicherung des E-signierten Dokuments, einschließlich eines detaillierten Audit-Pfads für die jeweilige Transaktion. Sicherheit und Erfüllung der Compliance sowie die langfristige Überprüfbarkeit sind für uns dabei zentral. Für unsere Kunden ist es beruhigend, dass sie sich darauf verlassen können, dass die Sicherheit ihrer Dokumente über deren gesamten Lebenszyklus gewährleistet ist. Die folgende Aufstellung veranschaulicht die wesentlichen Schritte im E-Signatur-Prozess:

consent gray
Zustimmung

Der Unterzeichner stimmt der Verwendung von elektronischen Signaturen und elektronischen Dokumenten zu

intent gray
Absicht

Klicken, tippen oder zeichnen Sie eine Aktion, um an der angegebenen Stelle zu signieren

authenticate gray
Authentifizieren

Die Multi-Faktor-Authentifizierung überprüft den Unterzeichner und die Identität, um auf die Signatur zugreifen zu können

digitally sign gray
Digitales Zeichen

Bindet Zertifikat, Benutzeridentität und Prüfpfad an signierte Daten

certify
Bestätigen

Audit-Trails werden gespeichert und digital signiert, PDF-gesperrt

verfiy gray
Überprüfen

Überprüfen Sie Dokument, Identität, Uhrzeit / Datum und Prüfpfade mit dem PDF-Reader

deployment options
Speicherung

Speicherung der Dokumente wahlweise in lokalen Datenzentren, vor Ort oder in dem vom Kunden gewünschten Aufbewahrungssystem.

audit gray
Audit

Anbieterunabhängige Auditpfade, die alle Ereignisse festlegen, mit denen nachgewiesen wurde, wie der Unterzeichner identifiziert wurde sowie was, wann und wo von ihm/ihr unterzeichnet wurde.

Ausführlichere Betrachtung der digitalen Signatur

OneSpan Sign generiert für jede elektronische Signatur in einem Dokument eine digitale Signatur und speichert diese digitalen Signaturen dann entsprechend der ISO 32000-Norm ab. Dabei generiert OneSpan Sign zunächst einen elektronischen „Fingerabdruck“ (Extrakt) des Dokuments mit Hilfe des SHA-256-Hash-Algorithmus. Dieser Fingerabdruck enthält eine einmalige Darstellung des Dokuments. Anschließend verschlüsselt OneSpan Sign diesen Fingerabdruck mit Hilfe der asymmetrischen Verschlüsselung, sodass eine digitale Signatur erstellt wird, die dann in das Dokument integriert wird.

Zur Überprüfung der Integrität von Dokument und Signatur muss die digitale Signatur entschlüsselt werden. Beim PDF-Standard verläuft dies so, dass Services wie z.B. OneSpan Sign gestattet wird, eine Kopie des öffentlichen Schlüssels im signierten Dokument abzuspeichern.

digitale Signatur

Zusätzliche Audit-Daten
Der PDF-Standard bietet außerdem die Möglichkeit, zu jeder digitalen Signatur auch einen Zeitstempel abzuspeichern. OneSpan Sign errechnet und speichert diese Zeitstempel mit mehr Informationen als aufgrund der Standards unbedingt erforderlich. Dazu gehören die E-Mail-Adresse des Unterzeichners, ein mit dem Unterzeichner verknüpfter eindeutiger Identifikator, ein mit der gesamten Transaktion verknüpfter eindeutiger Identifikator sowie die IP-Adresse. Diese Daten werden so gespeichert, dass sie zum Zeitpunkt der Überprüfung für den Benutzer sichtbar sind.

Nachfolgende digitale Signaturen
Nachfolgende digitale Signaturen werden nach demselben Verfahren generiert. Dabei erstrecken sich jedes Mal, wenn das Dokument mit einer neuen digitalen Signatur versehen wird, die gehashten Daten auf das gesamte Dokument, auf aktualisierte Änderungen (d.h. ausgefüllte Formular-Felder) sowie die vorigen digitalen Signaturen selbst. Dies ist in der nachstehenden Abbildung veranschaulicht.

Überprüfung von digitalen Signaturen
Der Prozess der Überprüfung von digitalen Signaturen verläuft genau umgekehrt wie der Prozess ihrer Errechnung. Dieser Prozess, der bei den meisten PDF-Viewern automatisch abläuft, beginnt mit der Extraktion des öffentlichen Schlüssels sowie der dazugehörigen digitalen Signatur in dem signierten Dokument. Anschließend entschlüsselt der PDF-Viewer die digitale Signatur, um den Fingerabdruck (Extrakt) des Dokuments zu erhalten. Danach errechnet der PDF-Viewer seinen eigenen Fingerabdruck, wobei er den aktuellen Zustand des Dokuments benutzt. Wenn diese beiden Fingerabdrücke übereinstimmen, ist sichergestellt, dass das Dokument seit der Anbringung der digitalen Signatur nicht mehr verändert wurde.

Überprüfung von digitalen Signaturen

Wie bestätigt man die Gültigkeit eines signierten Dokuments

Zur Bestätigung der Gültigkeit eines signierten Dokuments braucht man nur einen PDF-Viewer, der mit dem PDF-Standard kompatibel ist. Der PDF-Viewer ist mit der Fähigkeit ausgestattet, digitale Signaturen in einem Dokument zu finden und ihre Gültigkeit zu überprüfen. Öffnen Sie das signierte Dokument und klicken Sie entweder auf einen der Signaturblöcke oder öffnen Sie das Signatur-Panel.

Uniform residential loan application

Wenn Sie einen Signaturblock anklicken, überprüft der PDF-Viewer die Gültigkeit der dazugehörigen digitalen Signatur. Anschließend zeigt er das Ergebnis der Überprüfung an.

Signature Validation Status

Da OneSpan Sign für jede elektronische Signatur im Dokument eine digitale Signatur errechnet, können Sie über den Dialog „Signature Properties“ (Signatur-Eigenschaften) auf die spezifischen Informationen für die angeklickte Signatur zugreifen. Dieser Dialog zeigt genau an, wann diese spezifische Signatur von dem Unterzeichner angebracht wurde, sowie die E-Mail-Adresse des Unterzeichners und seine IP-Adresse.

Signature Properties

Was macht OneSpan Sign so besonders?

Vorreiter der elektronischen Signatur

25 Jahre Erfahrung im Gebiet der elektronischen und der digitalen Signatur, sowie Innovationen, die sicherstellen, dass Sie für Ihre Unterzeichnungsprozesse höchste Abschlussquoten erzielen.

 

Globale Konformität im Hinblick auf die Gesetzes- und Vorschriftslage für E-Signaturen

Out-of-the-Box-Unterstützung für die Anforderungen nach dem US-amerikanischen „ESIGN Act“, der EU-eIDAS-Richtlinie, dem australischen „Electronic Transactions Act“ u.v.a.m.

 

Eine Unternehmenslösung, die sich Ihren Bedürfnissen entsprechend skalieren lässt

Die einzige Lösung, die einen einheitlichen Plattform- und Integrationsrahmen bietet, durch den überall in der Welt eine hochgradige Sicherheit, Compliance und Performance gewährleistet sind.

Unterzeichnung auf der Basis der Standards

Unterstützung einer großen Bandbreite von lokalen und serverseitigen Signaturzertifikaten entsprechend globalen Standards; sofortige Interoperabilität mit X.509-Zertifikaten, die von allen europäischen Vertrauensdiensteanbietern ausgestellt werden; Unterstützung für die Unterzeichnung mit Zertifikaten, die auf den Common Access Cards (CAC) und PIV (Personal Identity Verification)-Karten der US-Regierung gespeichert sind.

 

Breites Spektrum von Einsatzoptionen

OneSpan Sign kann wahlweise in einer öffentlichen oder einer privaten Cloud oder vor Ort hinter Ihrer Firewall zum Einsatz kommen; durch die globalen Datenzentren können auch immer die in dem jeweiligen Land geltenden Datenresidenz-Anforderungen erfüllt werden.

 

Datensicherheit & Vertrauen bilden den Kern unseres Unternehmensgeschäfts.

OneSpan ist ein weltweit führender Anbieter von Lösungen im Bereich der digitalen Sicherheit und der E-Signaturen. Wir sind überzeugt, dass unsere über 25-jährigen Erfahrungen im Segment der IT-Sicherheit für unsere Mitarbeiterinnen und Mitarbeiter, unsere Partner und unsere Kunden von unschätzbarem Wert sind, so dass sie mit Hilfe unserer Lösungen im vollsten Vertrauen digitale Transaktionen abwickeln können.

...und viel mehr.

Häufig gestellte Fragen zur digitalen Signatur

Woraus besteht eine digitale Signatur?

Wenn sie in Kombination mit einer E-Signatur-Lösung benutzt wird, besitzt eine digitale Signatur die folgenden drei Merkmale:

 

  1. Eindeutige Zuordnung: die Signatur muss jeden an der Transaktion beteiligten Unterzeichner identifizieren und diesem eindeutig zugeordnet sein; die Person, die das Dokument signiert hat, kann mit einem hohen Maß an Vertrauen bestimmt werden.
  2. Daten-Unversehrtheit: die Möglichkeit, alle nach der Anwendung der Signatur ggf. am Dokument oder an den Daten Änderungen zu erkennen. Dadurch werden manipulationssichere Dokumente und Signaturen geschaffen.
  3. Nichtabstreitbarkeit: die Möglichkeit, nachzuverfolgen, von wem das Dokument signiert wurde. Dadurch kann im Fall von Streitigkeiten oder Compliance-Verstößen leicht der Nachweis erbracht werden, dass die fragliche Person das Dokument tatsächlich unterzeichnet hat.

Wozu kann ich eine digitale Signatur verwenden?

In vielen Branchen und in vielen Ländern, die sich den E-Signatur-Standards angeschlossen haben, sind digitale Signaturen vorgeschrieben, damit sichergestellt ist, dass eventuelle Aufzeichnungen durchsetzbar, konform und sicher sind. Die digitalen Signaturen beruhen auf einer auf Standards basierten Technologie, die die Integrität des Dokuments und der Signatur garantiert.

Was passiert mit dem Dokument, wenn eine Manipulation vorgenommen wurde?

Wurde ein mit OneSpan Sign signiertes Dokument in irgendeiner Weise abgeändert oder manipuliert, so wird dies von der zugrunde liegenden digitalen Signaturtechnologie erkannt. Daraufhin macht der PDF-Leser das Dokument sichtbar ungültig. Die elektronisch signierte PDF-Datei zeigt dann ein rotes „X“ an. Daran ist erkennbar, dass das Dokument nicht sicher und nicht mehr vertrauenswürdig ist. Achten Sie immer darauf, dass die gesuchte Lösung eine Möglichkeit zur langfristigen Validierung („Long-term Validation“ - LTV)” und einen 1-click-Offline-Signaturüberprüfungsprozess aufweist.

Was ist ein digitales Zertifikat?

Ein digitales Zertifikat wird von einem vertrauenswürdigen Emittenten (wie z.B. einem Vertrauensdiensteanbieter/Zertifizierungsdiensteanbieter - „Trust Service Provider“ oder TSP) erstellt und ausgegeben, der einen spezifischen Prozess zur Überprüfung der Identität der anfordernden Person ausführt. Das digitale Zertifikat verknüpft eine spezifische Identität mit einem Signaturschlüssel. Genau wie ein Personalausweis oder Reisepass ermöglicht dies Dritten, die Identität des Inhabers zu überprüfen. OneSpan Sign bietet den Benutzern die Möglichkeit, mit digitalen Zertifikaten zu signieren, die auf einer Smartcard, einem USB-Token oder auf ihrem Computer abgelegt wurden.

Was ist ein qualifiziertes Zertifikat?

Unter einem qualifizierten Zertifikat ist nach der eIDAS-Richtlinie ein digitales Zertifikat zu verstehen, das von einem qualifizierten Vertrauensdiensteanbieter/Zertifizierungsdiensteanbieter (TSP - Trust Service Provider) in Europa ausgestellt wurde.

Wie funktioniert die Signatur mit einer Smartcard?

Unter einem qualifizierten Zertifikat ist nach der eIDAS-Richtlinie ein digitales Zertifikat zu verstehen, das von einem qualifizierten Vertrauensdiensteanbieter/Zertifizierungsdiensteanbieter (TSP - Trust Service Provider) in Europa ausgestellt wurde.

Wie funktioniert die Signatur mit einer Smartcard?

Schauen Sie sich doch einfach unseren Film „How to E-Sign Documents with Smart Cards“ (So können Sie mit Smartcards Dokumente E-signieren) an, darin erklären wir genau, wie dies funktioniert. OneSpan Sign unterstützt die Unterzeichnung mit Common Access Card- (CAC-) und Personal Identity Verification-(PIV-)Karten sowie mit von Vertrauensdiensteanbietern in Europa ausgestellten Smartcards und Tokens.

Unterstützt OneSpan Sign die Anforderungen der europäischen Vertrauensdienste-Richtlinie (eIDAS/IVT-Verordnung)?

Ja. OneSpan Sign erfüllt „out-of-the-box“, also ohne zusätzlichen Entwicklungsaufwand, die eIDAS-Anforderungen für die einfache, die fortschrittliche und die qualifizierte Signatur. Wir informieren Sie gern, wie OneSpan Sign die Verordnung erfüllt und die E-Signatur mit von europäischen Vertrauensdiensteanbietern ausgestellten Zertifikaten unterstützt. Unser White-Paper zu den Rechtsgrundlagen der eIDAS und E-Signaturen steht für Sie zum Download bereit.

Unterstützt OneSpan Sign die Anbringung eines Zeitstempels?

Ja. Für EU-Kunden, die die Funktionalität zur Nutzung eines „qualifizierten“ Zeitstempels benötigen, verknüpft OneSpan Sign die Daten mit einem vertrauenswürdigen Zeitstempel, mit dessen Hilfe der unabhängige Nachweis erbracht werden kann, wann eine bestimmte Transaktion stattgefunden hat. Durch den auf diese Weise generierten Zeitstempel wird die Integrität der elektronischen Signatur noch zusätzlich verstärkt. Wir informieren Sie gern ausführlich, nehmen Sie einfach Kontakt mit uns auf.

Kann OneSpan Sign elektronische Signaturen in Word-, Excel-, PDF- und Adobe Acrobat-Dateien integrieren?

Ja. Unsere Out-of-The-Box-Anwendung eSign Desktop lässt sich bequem und schnell mit Software-Anwendungen wie z.B. Microsoft® Word™ oder Excel™, Adobe® Acrobat® usw. integrieren. Wenn diese Integration abgeschlossen wurde, erscheinen in der Symbolleiste der jeweiligen Anwendung „Signieren“-Schaltfelder, mit denen Sie ganz leicht das Dokument mit einer sicheren elektronischen Signatur versehen und an andere Empfänger übermitteln können. Ausführlichere Informationen über unsere eSign Desktop-Anwendung finden Sie hier.

Wenn meine Organisation sich später einmal entscheidet, OneSpan Sign nicht mehr zu nutzen, wie geht es dann weiter?

Die mit OneSpan Sign signierten Dokumente können mit jedem PDF-Viewer überprüft werden, der mit der ISO 32000-Norm kompatibel ist. Mit OneSpan Sign signierte Dokumente sind völlig eigenständig, d.h. sie lassen sich auch unabhängig von OneSpan oder dem E-Signatur-Dienst von OneSpan von jedem beliebigen Anwender überprüfen.

Was geschieht, wenn das im Dokument abgespeicherte digitale Zertifikat abgelaufen ist?

OneSpan Sign verwendet eine langfristige Validierung, durch die deutlich erkennbar ist, dass das Signatur-Zertifikat zum Zeitpunkt der Unterzeichnung gültig war. Diese Informationen können vom PDF-Viewer noch Jahre nach Ablauf des Zertifikats überprüft werden.

Die Informationen auf dieser Website dienen nur zu Informationszwecken und sind nicht als Rechtsberatung zu verstehen. Wir empfehlen Ihnen, sich von einem unabhängigen Fachmann beraten zu lassen. OneSpan haftet nicht für den Inhalt dieser Materialien.