Fachartikel

Unterschiedliche Arten elektronischer Signaturen

In einer digitalen Welt bedarf es Mittel und Wege, die analoge Unterschrift zu ersetzen. Das schafft Rechtssicherheit und ermöglicht neue Geschäftsmodelle mit nutzerfreundlichen Prozessen. Der Fachartikel zeigt, aus welchen Komponenten sich eine elektronische Signatur zusammensetzt. Außerdem erklären wir, welche Varianten von elektronischen Signaturen existieren, was deren Vor- und Nachteile sind und für welche Anwendungsgebiete sich diese jeweils eignen.
Beweiskrätig und damit rechtssicher ist derzeit nur die qualifizierte elektronische Signatur.
Das Internet ist traditionell eine anonyme Parallelwelt, eine Welt der Nicknames und Avatare. Aus den verschiedensten Gründen schätzen Nutzer diese Anonymität. Die zusehende Kommerzialisierung des Webs sorgte aber schon früh dafür, dass es an bestimmten Punkten Schnittstellen zur realen Welt bedarf, um rechtssichere Transaktionen zu gewährleisten und illegale Machenschaften zu verhindern. Um die zentrale Frage nach der Identität von Personen im Netz zu klären, kamen und kommen immer noch Identifikationsverfahren zum Einsatz, die eher als Notlösung gelten können.

Schwächen der älteren Verfahren
Eine Methode zur Identifikation, die immer noch zur Anwendung kommt, ist die Identifikation in bestimmten Geschäften oder Filialen, beispielsweise in Postfilialen. Nutzer müssen sich dazu in die Filiale begeben und können sich dort durch eine autorisierte Person identifizieren lassen. Dabei ergibt sich eine Unterbrechung und der Prozess kann nicht direkt online komplettiert werden. Weitere Faktoren sind die geografische Abhängigkeit von den Identifikationsstandorten sowie Warte- und Öffnungszeiten.

Die nächste Methode ist die Videoidentifikation, bei sich der Kunde per Video durch einen Agenten identifizieren lässt. Die geografische Abhängigkeit entfällt. Aber auch die Call Center sind in der Regel nicht rund um die Uhr besetzt, sodass sich Nutzer an bestimmte Zeiten halten müssen und zudem eine entsprechend gute Internetverbindung vorhanden sein muss.

Der Personalausweis lässt sich ebenfalls zur elektronischen Identifikation nutzen. Dabei lassen sich entweder per Lesegerät oder RFID fähigem Smartphone die im Personalausweis hinterlegten Daten auslesen. Die Onlinefunktion wird aktuell nur von bestimmten Smartphone-Modellen unterstützt. Weiterhin bedarf es einer PIN, die die wenigsten zur Hand haben. Um eine neue PIN zu erhalten, führt der Weg nur über das nächste Bürgeramt.

Was alle drei genannten Verfahren gemeinsam haben: Sie orientieren sich an einem Token aus der analogen Welt, also dem Personalausweis. Die Identifikation erfolgt somit durch den Besitz des Ausweises. Eine inhärent digitale Lösung ist das aber noch nicht. Hier kommt die elektronische Signatur ins Spiel. Der Gedanke dahinter ist, nach einer einmaligen Identifizierung immer wieder direkt im digitalen Raum signieren zu können.
Das ist eine elektronische Signatur
Laut der eIDAS-Verordnung (Artikel 3.10) [1] besteht eine elektronische Signatur aus "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet." Das ist allerdings äußerst allgemein gehalten und kann auch nur der Name unter einer E-Mail-Adresse sein. Einer solchen Signatur kommt daher keinerlei Beweiskraft zu.

Die Verordnung kennt aber noch weitere Spezifikationen, darunter zunächst die fortgeschrittene elektronische Signatur, die Artikel 26 beschreibt. Dieser listet vier spezifische Anforderungen auf, die die fortgeschrittene elektronische Signatur erfüllen muss: "a) Sie ist eindeutig dem Unterzeichner zugeordnet. b) Sie ermöglicht die Identifizierung des Unterzeichners. c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann. d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann." Solche Signaturen lassen sich gemäß § 127 BGB für formfreie Vereinbarungen einsetzen. Sollte es zu einem Rechtsstreit kommen, liegt allerdings die Beweislast bei der Partei, die sich auf die Signatur bezieht – sie muss beweisen, dass diese echt ist.

3.02.2021/ln/Marco Schmid, Head of International Expansion Strategy bei Swisscom Trust Services

Nachrichten

Schutzschild für die Cloud [22.02.2021]

Die neueste Version von Tufin SecureCloud unterstützt nun auch die Google Cloud-Plattform und bietet den Kunden so die Möglichkeit, Compliance-Richtlinien zu definieren und zu überwachen. Mit Amazon Web Services, Microsoft Azure sowie der Cloud-Plattform von Google unterstützt Tufin fortan die drei führenden Cloudanbieter, was vor allem Unternehmen mit Multi-Cloud-Strategie nützt. [mehr]

Kostenfreier Passwort-Manager von Avira [19.02.2021]

Nutzer, die ihre Passwörter kostenlos und geräteübergreifend verwalten möchten, können dies mit dem "Avira Password Manager" tun. Damit lassen sich sichere Passwörter generieren, speichern, verwalten und synchronisieren. Der Password Manager meldet Nutzer automatisch bei allen Online-Konten an – egal ob unter Windows, Mac, iPhone oder Android. [mehr]

Tipps & Tools

Im Test: Veeam Availability Suite 11 [28.01.2021]

Die Datensicherungssoftware Veeam Backup & Replication als Hauptbestandteil der Availability Suite ist seit Jahren bei KMU weit verbreitet. Zusätzliche Anforderungen wie der Betrieb in der Cloud und der Einsatz auf verschiedenen Virtualisierungsplattformen verlangen immer wieder Funktionserweiterungen. Sehr interessant für Multiplattform- und Cloudumgebungen sind die Möglichkeiten zur VM-Migration und -Konvertierung. Gut gefallen in Version 11 hat uns außerdem die CDP-Funktion, um bei einem Ausfall einen Failover mit nur minimalem Datenverlust zu realisieren. [mehr]

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen