von Redaktion IT-A…
Lesezeit
1 Minute
Seite 2 - Unterschiedliche Arten elektronischer Signaturen
Signatur mit Beweiskraft: QES
Die gleiche Beweiskraft wie eine handschriftliche Unterschrift hat nach Artikel 25.2 hingegen nur die qualifizierte elektronische Signatur (QES). Diese muss die Anforderung erfüllen, dass ihr ein qualifiziertes Zertifikat zugrunde liegt, wie im Anhang I der eIDAS-Verordnung definiert.
Bei der Anwendung der QES kommt ein kryptografisches Verfahren zum Einsatz, das hohe Fälschungssicherheit gewährleistet: Die persönlichen Informationen werden hierfür zusammen mit dem sogenannten Hash-Wert des Dokuments per Algorithmus und privatem Schlüssel verschlüsselt und – zusammen mit einem auf die Identität des Unterzeichners aus-gestellten Signaturzertifikat – an das Dokument geheftet. Der Empfänger kann seinerseits ebenfalls einen Hash-Wert ermitteln und den verschlüsselten Hash des Signierenden mit Hilfe des öffentlichen Schlüssels im Zertifikat entschlüsseln. Dieses Public-Key-Verfahren verknüpft die ermittelte Signatur untrennbar mit dem elektronischen Dokument und sichert die Integrität des Schriftstücks: Sofern beide Hashwerte gleich sind, ist das Dokument nach der Signatur nicht mehr verändert worden und mit der Person verbunden, deren Identitätsdaten im Zertifikat hinterlegt waren.
QES in der Praxis
Die technischen und rechtlichen Rahmenbedingungen, die wir hier nur kurz anreißen konnten, sind sehr komplex. Daher hat sich das Modell spezialisierter Trust Service Provider bewährt, die als Verwalter der Identitäts-Evidenzen agieren und die Schlüsselzuordnung zum Unterzeichner im Rahmen des Zertifikates sicherstellen. Diese Anbieter verwalten zudem die Authentisierungsmittel sowie die privaten Schlüssel. Für identifizierte Anwender bedeutet das konkret, dass sie nur eine Authentisierung tätigen müssen, um eine QES auszulösen.
Anwendungsfälle ergeben sich etwa im Finanzbereich, wo in einigen Fällen Schriftformerfordernis vorgeschrieben ist. Diese setzt allerdings eine zweifelsfreie Identifikation der signierenden Person voraus. Der Smart Registration Service (SRS) integriert die Identifikation mittels Bankkonto direkt in den Vertragsabschluss. Dabei bleibt der Kunde im gleichen digitalen Kanal und identifiziert sich anhand seiner Bankdaten eines deutschen e-Banking Kontos. Der Kunde bekommt so durch automatisierte Abläufe einen nutzerfreundlichen Prozess, um seinen Willensbekundung elektronisch durchzuführen. Die Registrierung mit SRS Bank beinhaltet auch die Registrierung eines Authentisierungsmittels. Dementsprechend benötigen nachfolgende Signaturen keine erneute Identifikation mehr, sondern können schnell mit einem Zwei-Faktor-Authentisierungsverfahren, wie beispielsweise einem biometrischen Verfahren wie Fingerprint freigegeben werden.
Andere Anwendungsfälle ergeben sich etwa im Versicherungsbereich, wo in einigen Fällen Schriftformerfordernis für Verträge vorgeschrieben ist. Bei Dienstleistungen, die dem Geldwäschereigesetz unterliegen, ist eine Überprüfung der Identität von Vertragspartnern vorgeschrieben. Als eine Möglichkeit dafür wird im Gesetzestext auch die QES genannt. Dabei kann es etwa um Trading Apps gehen oder Online-Glücksspiel.
Fazit
In der rundum digitalisierten Welt verstehen Verbraucher nicht mehr, warum sie für bestimmte Dienstleistungen auf einmal wieder Papiere unterschreiben sollen oder aus dem Haus gehen müssen, um ihren Personalausweis vorzuzeigen. Stattdessen wünschen sie sich Angebote, die sich möglichst reibungslos in ihren Alltag integrieren. Mit der QES steht nun auch Unternehmen aus hochregulierten Branchen ein Mittel zur Verfügung, ihren Nutzern vollständig digitale Vertragsabschlüsse anzubieten.
ln/Marco Schmid, Head of International Expansion Strategy bei Swisscom Trust Services
Die gleiche Beweiskraft wie eine handschriftliche Unterschrift hat nach Artikel 25.2 hingegen nur die qualifizierte elektronische Signatur (QES). Diese muss die Anforderung erfüllen, dass ihr ein qualifiziertes Zertifikat zugrunde liegt, wie im Anhang I der eIDAS-Verordnung definiert.
Bei der Anwendung der QES kommt ein kryptografisches Verfahren zum Einsatz, das hohe Fälschungssicherheit gewährleistet: Die persönlichen Informationen werden hierfür zusammen mit dem sogenannten Hash-Wert des Dokuments per Algorithmus und privatem Schlüssel verschlüsselt und – zusammen mit einem auf die Identität des Unterzeichners aus-gestellten Signaturzertifikat – an das Dokument geheftet. Der Empfänger kann seinerseits ebenfalls einen Hash-Wert ermitteln und den verschlüsselten Hash des Signierenden mit Hilfe des öffentlichen Schlüssels im Zertifikat entschlüsseln. Dieses Public-Key-Verfahren verknüpft die ermittelte Signatur untrennbar mit dem elektronischen Dokument und sichert die Integrität des Schriftstücks: Sofern beide Hashwerte gleich sind, ist das Dokument nach der Signatur nicht mehr verändert worden und mit der Person verbunden, deren Identitätsdaten im Zertifikat hinterlegt waren.
QES in der Praxis
Die technischen und rechtlichen Rahmenbedingungen, die wir hier nur kurz anreißen konnten, sind sehr komplex. Daher hat sich das Modell spezialisierter Trust Service Provider bewährt, die als Verwalter der Identitäts-Evidenzen agieren und die Schlüsselzuordnung zum Unterzeichner im Rahmen des Zertifikates sicherstellen. Diese Anbieter verwalten zudem die Authentisierungsmittel sowie die privaten Schlüssel. Für identifizierte Anwender bedeutet das konkret, dass sie nur eine Authentisierung tätigen müssen, um eine QES auszulösen.
Anwendungsfälle ergeben sich etwa im Finanzbereich, wo in einigen Fällen Schriftformerfordernis vorgeschrieben ist. Diese setzt allerdings eine zweifelsfreie Identifikation der signierenden Person voraus. Der Smart Registration Service (SRS) integriert die Identifikation mittels Bankkonto direkt in den Vertragsabschluss. Dabei bleibt der Kunde im gleichen digitalen Kanal und identifiziert sich anhand seiner Bankdaten eines deutschen e-Banking Kontos. Der Kunde bekommt so durch automatisierte Abläufe einen nutzerfreundlichen Prozess, um seinen Willensbekundung elektronisch durchzuführen. Die Registrierung mit SRS Bank beinhaltet auch die Registrierung eines Authentisierungsmittels. Dementsprechend benötigen nachfolgende Signaturen keine erneute Identifikation mehr, sondern können schnell mit einem Zwei-Faktor-Authentisierungsverfahren, wie beispielsweise einem biometrischen Verfahren wie Fingerprint freigegeben werden.
Andere Anwendungsfälle ergeben sich etwa im Versicherungsbereich, wo in einigen Fällen Schriftformerfordernis für Verträge vorgeschrieben ist. Bei Dienstleistungen, die dem Geldwäschereigesetz unterliegen, ist eine Überprüfung der Identität von Vertragspartnern vorgeschrieben. Als eine Möglichkeit dafür wird im Gesetzestext auch die QES genannt. Dabei kann es etwa um Trading Apps gehen oder Online-Glücksspiel.
Fazit
In der rundum digitalisierten Welt verstehen Verbraucher nicht mehr, warum sie für bestimmte Dienstleistungen auf einmal wieder Papiere unterschreiben sollen oder aus dem Haus gehen müssen, um ihren Personalausweis vorzuzeigen. Stattdessen wünschen sie sich Angebote, die sich möglichst reibungslos in ihren Alltag integrieren. Mit der QES steht nun auch Unternehmen aus hochregulierten Branchen ein Mittel zur Verfügung, ihren Nutzern vollständig digitale Vertragsabschlüsse anzubieten.
ln/Marco Schmid, Head of International Expansion Strategy bei Swisscom Trust Services
