Neue EU-Signaturverordnung eIDAS: Was ändert sich?

RechtRegulierung

Ob Handy-Signatur oder digitaler Firmenstempel – durch die neue europäische Vertrauensdienste-Verordnung eIDAS erhalten elektronischen Signaturen Rückenwind. Welche Möglichkeiten sich nun eröffnen und welche Herausforderungen zu meistern sind, erläutert Tatami Michalek in diesem Gastbeitrag.

Bald hat das deutsche Signaturgesetz ausgedient. Grund ist die eIDAS-VO, die europäische “Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“. Sie stellt seit Juli neue Regelungen unter anderem für elektronische Signaturen, Siegel und Zeitstempel auf.

Das deutsche Signaturgesetz ist damit nur noch in den Fällen anwendbar, in denen es nicht mit der eIDAS-VO kollidiert. Derzeit erarbeitet das Bundesministerium für Wirtschaft und Technologie (BMWi) ein neues Vertrauensdienstegesetz, welches die europäische Verordnung vollständig in nationales Recht überführen wird.

EU-weite Signaturverifikation

Absicht der eIDAS-VO ist es, den digitalen Dokumentenaustausch in der EU zu vereinfachen und so eine medienbruchfreie Abwicklung internationaler Geschäftsprozesse zu ermöglichen. Jedes elektronisch signierte Dokument, ist damit europaweit zu akzeptieren. Daher müssen von nun an alle Institutionen in der Lage sein, die Gültigkeit fortgeschrittener und qualifizierter E-Signaturen, Siegel und Zeitstempel prüfen zu können, um so die Authentizität und Integrität der Dokumente zu verifizieren.

Hierfür ist eine Software einzusetzen, die eine Verifikation der in der eIDAS-VO spezifizierten Signaturformate erlaubt, darunter PDF- (PAdES), PKCS#7- (CAdES), XML- (XAdES) und Zeitstempelsignaturen sowie ERS-Archivierungsnachweise. Vor allem im Hinblick auf die Handy-Signatur und das elektronische Siegel gewinnt dies an Bedeutung, da die beiden neuen Signaturverfahren zu einem verstärkten Signatureinsatz und damit auch zu einem höheren Prüfvolumen führen werden.

Elektronisches Siegel – Signatur für das gesamte Unternehmen

Das elektronische Siegel ist der digitale Stempel zum Beispiel für Unternehmen, Verbände und Behörden. Es repräsentiert eine neue Zertifikatsklasse, da der Zertifikatsinhaber eine juristische Person ist. Das E-Siegel-Zertifikat wird bei einem qualifizierten Vertrauensdiensteanbieter (VDA; Trustcenter) beantragt, zum Beispiel durch den Geschäftsführer oder Prokuristen.

Zwar kann das elektronische Siegel die personenbezogene Unterschrift nicht ersetzen. Dennoch lässt es auf den ersten Blick erkennen, ob ein Dokument unverändert vorliegt und welche Organisation das Siegel aufgebracht hat. Damit unterliegen digital gesiegelte Dokumente einem sehr hohen Manipulationsschutz.

Anwendungsszenarien reichen von der Siegelung elektronischer Rechnungen, Zeugnisse und Kontoauszüge über das Stempeln der Eingangspost bis hin zum Einsatz beim ersetzenden Scannen. Zudem sichert das E-Siegel im Rahmen der digitalen Archivierung die Integrität der Dokumente ab. Generell werden zwei Siegelszenarien unterschieden: Die manuelle Siegelung über eine Signatursoftware am Einzelarbeitsplatz oder das hochperformante automatisierte serverbasierte Siegeln.

In letzterem Fall sind durch die IT-Abteilung ein Siegel-Nutzerkreis sowie entsprechende Zugriffsrechte im Server festzulegen. So wird sichergestellt, dass nur ausgewählte Mitarbeiter und Prozesse das Siegel auslösen. Bei personellen Änderungen sind lediglich die entsprechenden Zugriffsrechte zu ändern.

Ausgelöst wird der digitale Firmenstempel entweder über eine Einzel- oder Massensiegelkarte und ein dazugehöriges Lesegerät oder durch das Smartphone. Vorteil der Siegelerzeugung per Siegelkarte ist, dass sich der Siegelschlüssel unter eigener Kontrolle befindet und kein Internetzugang erforderlich ist. Diese Vorgehensweise erfordert jedoch zusätzliche Hardware (Siegelkarte und Kartenleser).

Handy-Signatur – Unterschrift aus der Ferne

Neben dem Firmenstempel kann auch die Unterschrift per Hand mittels Smartphone in die digitale Welt überführt werden. Auf diese Weise lässt sich von nun an jeglicher Unterschriftsprozess digital ohne Signaturkarte und Lesegerät abbilden, von der Unterzeichnung eines Vertrages, über die Abwicklung der Geschäftskorrespondenz bis hin zu diversen Freigabeszenarien. Wird die Handy-Signatur (sogenannte Fernsignatur) betrieblich genutzt, obliegt der Organisation die Entscheidung, ob zentral verwaltete Mobiltelefone gestellt werden oder ob Bring Your Own Device (BYOD) zugelassen wird. Wann immer mobile Endgeräte in der Organisations-IT verwendet werden, sollten diese mittels Mobile Device Management (MDM) sicher in die Unternehmens-IT eingebunden werden.

Mobile Signatur mittels Smartphone. (Bild: secrypt)
Mobile Signatur mittels Smartphone. (Bild: secrypt)

Zu beachten ist, dass der private Signaturschlüssel zentral bei einem qualifizierten Vertrauensdiensteanbieter (VDA) in einem zertifizierten Hardware Security Module (HSM) gespeichert wird. Damit trägt der Signierende den Schlüssel nicht mehr direkt bei sich, sondern greift aus der Ferne über eine Internet-Verbindung auf das HSM zu.

Sichere Umsetzung der Handy-Signatur

Einige Anbieter setzen bereits auf webbasierte Fernsignaturlösungen, was Kritiker jedoch aufhorchen lässt. Denn obwohl zur Auslösung der Handy-Signatur eine sichere 2-Faktor-Authentifizierung vorgeschrieben ist, könnten Angreifer versuchen, mittels Phishing die Authentifizierungsdaten des Signierenden abzufangen und damit ein eigenes Dokument zu unterzeichnen. Um dieser Falle zu entgehen, sollten Handy-Signatur-Nutzer keinesfalls unbekannten Links folgen, die sie per E-Mail erhalten haben, und niemals ihre persönlichen Daten auf den Zielseiten eingeben. Stattdessen ist stets die Internetadresse in der Browserzeile sowie der vom VDA übermittelte Vergleichswert für die Signaturtransaktion zu kontrollieren.

Darüber hinaus kann der Upload der zu unterzeichnenden Dokumente über einen Web-Service Herausforderungen mit sich bringen. Um zeitliche Verzögerungen beim Upload und damit verbundene Effizienzeinbußen zu vermeiden, ist auf eine stabile Verbindung zu achten. Werden nur einige wenige Dokumente signiert, die keine sensiblen Daten enthalten, ist die Fernsignatur über eine Webplattform sicherlich eine bequeme Lösung. Insbesondere bei der Absicherung kritischer Geschäftsprozesse kann es jedoch ratsam sein, über eine Signatursoftware mit eigenem User-Interface zu signieren.

Umsetzung der Handy-Signatur mittels Signatursoftware

Die Software kann dabei entweder als Stand-Alone-Komponente eingesetzt werden oder ist in das dokumentenführende System, zum Beispiel das Dokumentenmanagementsystem (DMS), integriert. Wichtig ist, dass sich der Unterzeichner stets durch zwei Faktoren aus den Bereichen Besitz, Wissen oder Biometrie authentisiert. Zudem muss die Übertragung der Faktoren über zwei Kanäle erfolgen. Beim Einsatz einer Signatursoftware gestaltet sich der Ablauf zum Beispiel wie folgt.

  1. Der Nutzer öffnet die Signaturanwendung (Kanal 1) und meldet sich mit seinen Zugangsdaten (Faktor 1) an.
  2. Anschließend öffnet er ein Dokument und betätigt die Schaltfläche “Signieren”.
  3. Das Dokument wird zusammen mit Daten zum Schutz der Transaktion (SAD: Signaturaktivierungsdaten) über einen sicheren Kommunikationskanal (SAP: Signaturaktivierungsprotokoll) an den Vertrauensdiensteanbieter (VDA) gesendet. Die Aktivierungsdaten befinden sich unter alleiniger Kontrolle des Anwenders und werden vom VDA mithilfe des Fernsignaturmoduls geprüft, welches er in einer manipulationssicheren Umgebung betreibt.
  4. Der VDA bittet den Anwender schließlich, sich zum Beispiel mittels Fingerabdruck (Faktor 2) per Smartphone-App (Kanal 2) zu authentisieren.
  5. Nach erfolgreicher Prüfung erfolgt die Signaturerzeugung innerhalb des Kryptomoduls und
  6. das signierte Dokument wird an die Signaturanwendung zurückgesendet.

 

Ablauf der Fernsignatur nach eIDAS-Verordnung. (Bild: secrypt)
Ablauf der Fernsignatur nach eIDAS-Verordnung. (Bild: secrypt)

 

Neue Signaturverfahren treiben Digitalisierung

Durch die eIDAS-Verordnung gewinnt die Digitalisierung noch einmal an Fahrt. Unterschriftsprozesse, die bislang noch papierbasiert abgewickelt wurden, lassen sich künftig mithilfe des elektronischen Siegels sowie der Handy-Signatur bequemer sowie grenzüberschreitend digital umsetzen. Institutionen sollten in der Lage sein, signierte Dokumente gemäß eIDAS prüfen zu können. Bei der Signaturerstellung bleibt zu berücksichtigen, dass bequeme webbasierte Verfahren im Vergleich zu spezialisierten Signaturanwendungen mit eigener Nutzeroberfläche Abstriche an der Sicherheit nach sich ziehen. Eine Organisation hat sich individuell für die passende Signaturlösung zu entscheiden und dabei zwischen Sicherheit und Komfort abzuwägen.

Der Autor: Tatami Michalek ist Mitgründer der secrypt GmbH, einem Anbieter für gesetzeskonforme elektronische Signaturlösungen und Zeitstempel. Seit 2002 ist er als Geschäftsführer für das Unternehmen tätig. Zudem engagiert er sich in Fachorganisationen wie BITKOM e.V., TeleTrusT Bundesverband IT-Sicherheit e.V. sowie Sichere Identität Berlin-Brandenburg e.V. und ist seit 2013 Vorstandsmitglied des CCESigG Competence Center für die Elektronische Signatur im Gesundheitswesen e.V.