Die Coronakrise hat den Digitalisierungsprozess der Unternehmen weiter beschleunigt. Mit der Durchsetzung der Telearbeit und der Einschränkung der Reisetätigkeit hat die Möglichkeit, Dokumente aus der Ferne zu unterzeichnen, ihr Leistungsvermögen unter Beweis gestellt. Unternehmen waren damit in der Lage, trotz der widrigen Umstände weiterzuarbeiten. So haben 70% der Unternehmen die Einführung der elektronischen Signatur aufgrund der Krise beschleunigt (Archimag). Sie erwägen ebenfalls, diese Technologie einzuführen? Ihr Unternehmen hat bereits eine Remote-Signing-Lösung implementiert und Sie möchten das Thema perfekt beherrschen? Wir bieten Ihnen ein Lexikon der wichtigsten Begriffe, die Sie rund um die elektronische Signatur kennen sollten.
Elektronische Signatur
Aber der Reihe nach: Als elektronische Signatur wird ein Verfahren bezeichnet, mit dem ein digitales Dokument durch Verschlüsselung unterzeichnet wird. Es handelt sich also nicht um eine einfache Digitalisierung der handschriftlichen Unterschrift. Die eIDAS-Verordnung definiert diese Art von Signatur als „elektronische Daten, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die der Unterzeichner zum Signieren verwendet“.
Elektronisches Zertifikat
In Verbindung mit der Verwendung von Fernsignaturen für bestimmte Sicherheitsstufen ist das elektronische Zertifikat eine Datei, die Informationen über die Identität des Inhabers sowie alle Daten enthält, mit denen die Authentizität und Integrität der erstellten Signaturen gewährleistet werden kann. Kurz gesagt, es stellt die Verbindung zwischen der elektronischen Signatur und dem Unterzeichner her. Dieses Zertifikat, das in der Regel einer natürlichen Person ausgehändigt wird, die im Auftrag des Unternehmens handelt, wird von einem vertrauenswürdigen Dritten ausgestellt – z. B. einer Zertifizierungsstelle, die in Frankreich von der ANSSI (französische Behörde für Informationssicherheit) beaufsichtigt wird.
Authentifizierung
Authentifizierung bezieht sich auf das Verfahren, mit dem ein Benutzer seine Identität nachweist, um auf einen Dienst zugreifen zu können. Sie kann auf unterschiedliche Weise erfolgen: durch ein Passwort, einen per SMS oder E-Mail versandten Einmalcode, ein Gesichts- oder Spracherkennungssystem, eine Sicherheitsfrage usw. Je mehr Authentifizierungsebenen es gibt, desto sicherer ist die elektronische Signatur und desto weniger kann sie angezweifelt werden. Deshalb wird bei fortgeschrittenen Signaturebenen die Zwei-Faktor-Authentifizierung (2FA) verwendet.
eIDAS-Verordnung
Die eIDAS-Verordnung ist ein europäisches Gesetz, das für die elektronische Identifizierung, Vertrauensdienste und digitale Dokumente gilt. Sie schafft einen gemeinsamen Rahmen für die Mitgliedstaaten der Europäischen Union mit dem Ziel, die Entstehung eines „Marktes für vertrauenswürdige digitale Transaktionen“ zu fördern. Diese Verordnung regelt unter anderem die verschiedenen Ebenen der elektronischen Signatur und die erforderlichen Mittel für ihre Umsetzung.
Signaturebenen
Die eIDAS-Verordnung legt drei Sicherheitsniveaus für elektronische Signaturen fest:
- Einfache Signatur.
- Fortgeschrittene Signatur.
- Qualifizierte Signatur.
Diese Niveaus beziehen sich auf separate Prozesse zur Überprüfung der Identität des Unterzeichners, die mit zunehmendem Sicherheitsgrad strenger werden. So setzt eine qualifizierte elektronische Signatur die Erstellung eines digitalen Zertifikats mit persönlicher Bestätigung der Identität des Unterzeichners voraus. Was die „einfache“ Signatur betrifft, so bezeichnet sie sämtliche Signaturverfahren, die weder fortgeschritten noch qualifiziert sind.
Persönliche Identifizierung
In bestimmten Fällen (qualifizierte oder fortgeschrittene Signatur mit qualifiziertem Zertifikat) erfordert die Erstellung eines Zertifikats vor der elektronischen Signatur eine weiterführende Identitätsprüfung, die sogenannte persönliche Identifizierung. Diese Überprüfung kann physisch oder aus der Ferne erfolgen, was Auswirkungen auf die Kontrollverfahren hat. Bei einer physischen Begegnung übergibt eine vertrauenswürdige Drittpartei dem Unterzeichner ein Token, das er zur Authentifizierung benötigt. Bei einer Fernüberprüfung muss der Unterzeichner ein oder mehrere Videos aufnehmen, um sein Gesicht sowie seinen Ausweis zu präsentieren.
Bestätigungscode per SMS
Beim Bestätigungscode per SMS handelt es sich um ein Verfahren, mit dem der Unterzeichner eines Dokuments seine Zustimmung bestätigen kann. Es basiert auf dem Versand von zwei SMS: zunächst um die Genehmigung anzufordern, anschließend zu Authentifizierungszwecken (über einen sechsstelligen Einmalcode).
Verschlüsselung
Verschlüsselung oder Chiffrierung nennt man ein Verfahren, bei dem Daten in ein Kryptogramm umgewandelt werden. Dadurch sollen sie geschützt werden, indem sie für Unbefugte unlesbar gemacht werden. Um Daten zu verschlüsseln, verwendet man einen asymmetrischen Algorithmus und zwei Verschlüsselungscodes, die sog. „Schlüssel“, wobei einer davon öffentlich (für alle zugänglich) und der andere privat (nur im Besitz des Nutzers) ist. Mithilfe der Kryptografie kann die Integrität, Authentizität und Vertraulichkeit eines Dokuments gewährleistet werden.
Token
Ein Token ist eine Hardware (USB-Stick, Smartcard usw.), die dazu dient, Inhalte zu verschlüsseln oder zu entschlüsseln, entweder über einen öffentlichen oder einen privaten Schlüssel. Im Rahmen einer qualifizierten elektronischen Signatur wird dieser Hardware-Token einer natürlichen Person nach einer persönlichen Überprüfung ihrer Identität ausgehändigt und versetzt sie in die Lage, sich unter Verwendung des Signaturtools zu authentifizieren.
API
Eine elektronische Signatur-API schlägt eine Brücke zwischen dem Signaturtool und der Unternehmenssoftware, um direkt von dort aus auf Dienste zuzugreifen und unternehmensspezifische Validierungs-Workflows aufzubauen. Die Verwendung einer API trägt dazu bei, den elektronischen Unterschriftsprozess reibungsloser zu gestalten, den Verkaufszyklus zu verkürzen und die Benutzererfahrung zu verbessern – und damit auch die Kundenzufriedenheit!