Signaturen

Wie funktioniert eine elektronische Signatur?

Elektronische Signaturen setzen kryptografische Funktionen ein, um eine Verbindung zwischen einem Dokument und einer unterzeichnenden Person herzustellen. Dies ist wichtig, wenn rechtssichere Kommunikation zwischen Personen stattfindet, die sich nicht persönlich kennen und sich nicht am selben Ort aufhalten.

Zwei wesentliche Unsicherheiten werden durch elektronische Signaturen beseitigt. Erstens: Ist die Person, mit der wir zu kommunizieren glauben, tatsächlich diese Person? Zweitens: Ist ein Dokument, das wir erhalten, tatsächlich unverfälscht und ohne Manipulation?

Die elektronische Signatur dient zur Wahrung der Integrität von Dokumenten und der Sicherstellung der Identität des Kommunikationspartners. Auch wenn Verschlüsselungstechnologien zum Einsatz kommen, geht es nicht darum, Inhalte eines Dokuments gegenüber Dritten zu verbergen.

Die Technik der elektronischen Signatur

Technisch basiert die elektronische Signatur auf zwei elektronischen Schlüsseln: Es gibt einen privaten und einen öffentlichen Schlüssel. Deshalb wird die Technik auch als asymmetrisches kryptografisches Verfahren bezeichnet. Der private Schlüssel dient zur Verschlüsselung von Dokumenten. Mit dem öffentlichen Schlüssel werden diese entschlüsselt. Der private Schlüssel ist geheim, der öffentliche Schlüssel frei zugänglich.

Durch den privaten Schlüssel kann eine Signatur einer bestimmten Person eindeutig zugeordnet werden. Dabei kann zum Beispiel eine elektronische Signaturkarte zum Einsatz kommen. Auf deren Chip befindet sich der private Schlüssel. Die Verwendung ist nur mit der Eingabe einer PIN Nummer möglich, die ausschließlich einer Person bekannt ist. Es gibt jedoch mittlerweile auch Möglichkeiten zur Signatur ohne Chipkarte.

Bei jeder Signatur folgen zwei Aktionen aufeinander. Der Absender eines Dokuments berechnet für dieses Dokument einen Hashwert. Dabei kommt ein sogenannter Hashing-Algorithmus zum Einsatz. Dieser Hashwert wird anschließend mit dem persönlichen Schlüssel verschlüsselt. Der verschlüsselte Hashwert wird durch ein Zertifikat ergänzt. Das Zertifikat enthält Angaben zur Identität des Absenders. Nun kann der Absender das Zertifikat zusammen mit dem verschlüsselten Hashwert und dem unverschlüsselten Dokument an den Empfänger senden.

Der Empfänger wiederum berechnet seinerseits den Hashwert des (unverschlüsselten) Originaldokuments. Anhand des Zertifikats kann er Rückschlüsse auf den Absender ziehen und dessen öffentlichen Schlüssel erkennen. Diesen öffentlichen Schlüssel nutzt der Empfänger nun, um einen weiteren Hashwert zu berechnen. Dann kann er die beiden Hashwerte miteinander vergleichen. Sind diese identisch, ist das Dokument echt. Der Empfänger weiß so sicher, dass das Dokument durch die im Zertifikat genannte Person unterzeichnet wurde und dass es seit der Unterschrift nicht zu Änderungen am Dokument kam.

Verschiedene Varianten der elektronischen Signatur

Elektronische Signaturen lassen sich in verschiedene Varianten unterteilen. Es gibt einfache, fortgeschrittene und qualifizierte elektronische Signaturen. Die rechtlichen Grundlagen dafür finden sich in der eIDAS Verordnung der EU. Diese reguliert die Anforderungen an die verschiedenen Varianten der Signatur.

Einfache elektronische Signatur

Die einfache elektronische Signatur (SES; simple electronic signature) lässt bereits eine Veränderung des Dokuments erkennen, jedoch ermöglicht sie keine Identifizierung der unterzeichnenden Person. Die einfache elektronische Signatur ist im Alltag sehr einfach anzuwenden, rechtlich jedoch weniger sicher. Bereits das Einfügen eines Namens am Ende einer E-Mail entspricht einer einfachen elektronischen Signatur oder wie von Yousign praktiziert, die Eingabe eines per E-Mail versendeten Einmalpassworts. Verwendet wird diese Variante zum Beispiel für interne Dokumente, deren Echtheit nicht nachgewiesen werden muss.

Fortgeschrittene elektronische Signatur

Die fortgeschrittene elektronische Signatur (FES) kann mehr und wird deutlich häufiger eingesetzt. Sie bietet eine Beweisfunktion, da sie – im Nachhinein – die Identität der unterzeichnenden Person erkennen lässt. Dies verlangt die eIDAS Verordnung ebenso wie die eindeutige Zuordnung zum Unterzeichner und die Möglichkeit, nachträgliche Veränderungen an einem Dokument zu erkennen.

Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur (QES) ist die sicherste Variante. Hier verlangt die eIDAS Verordnung, dass die Identität der unterzeichnenden Person vor der Unterschrift geprüft wird. Das Zertifikat, das die Identität des Absenders preisgibt, wird durch einen zertifizierten Vertrauensdiensteanbieter erstellt. Generell muss die gesamte Software bzw. Hardware zur Signaturerstellung durch Vertrauensdiensteanbieter bereitgestellt werden, die durch Regulierungsbehörden zugelassen sind. Der Signaturschlüssel muss sich in einer qualifizierten elektronischen Signaturerstellungseinheit (QSCD; qualified signature creation device) befinden.

Rechtliche Hintergründe

Die eIDAS Verordnung regelt die Anforderung an die elektronische Signatur auf europäischer Ebene. Die Verordnung gilt im gesamten EWR. Geltung besitzt die Verordnung überwiegend seit dem 1. Juli 2016. Geregelt werden durch eIDAS Vertrauensdienste, elektronische Signaturen, Siegel, Zeitstempel und Einschreiben sowie Zertifikate zu Website Authentifizierung.

Zur Umsetzung auf nationaler Ebene dienen in Deutschland das Vertrauensdienstegesetz (VDG) sowie die Vertrauensdiensteverordnung. Diese ersetzen das aus 1990er Jahren stammende Signaturgesetz. Das Vertrauensdienstegesetz regelt insbesondere die Anforderungen an Vertrauensdiensteanbieter. Außerdem benennt es die Bundesnetzagentur als Aufsichtsbehörde für elektronische Signaturen, Siegel, Zeitstempel und Einschreiben.