Eva - stock.adobe.com
Die Bedeutung digitaler Signaturen für Remote-Arbeit
Befinden sich Personen nicht vor Ort, bedarf es Lösungen für den Nachweis der Identität und der Authentizität von Nachrichten und Dokumenten. Beispielsweise digitaler Signaturen.
Die Bedeutung einer handgeschriebenen Unterschrift kann nicht hoch genug eingeschätzt werden. In der gesamten Menschheitsgeschichte wurde und wird sie weltweit dazu verwendet, die Authentizität von Dokumenten zu bestätigen und Vertrauen zu stärken. Die schlichte Wirksamkeit einer handgeschriebenen Unterschrift hat sich seit Tausenden von Jahren bewährt.
Natürlich ist die Autorität dieser Methode nach wie vor ungebrochen, aber die Herausforderungen der COVID-19-Pandemie haben die digitale Transformation beim Unterzeichnen von Dokumenten und Vereinbarungen ganz sicher beschleunigt.
Angesichts der Notwendigkeit, Mitarbeiter ins Home-Office zu schicken, wurde Telearbeit zur Norm. Vor der Pandemie haben auch in den zukunftsorientiertesten Unternehmen nie mehr als eine Handvoll Mitarbeiter gleichzeitig von zuhause gearbeitet. Seit der globalen Krise arbeiten jedoch ganze Bürobesatzungen außerhalb ihres Präsenzarbeitsplatzes. Dadurch mussten Vertrauen und Glaubwürdigkeit in einem ganz neuen Licht betrachtet werden. In den Transaktionen des normalen Büroalltags ist Vertrauen meist automatisch etabliert.
Fällt jedoch der Vorteil der persönlichen Anwesenheit weg, wird der Bedarf nach einem Nachweis für die Identität von Personen und der Authentizität von Nachrichten sehr viel größer. Der digitale Posteingang vermittelt oft ein falsches Gefühl der Sicherheit. Vertrauen wird als gegeben vorausgesetzt, was für opportunistische Angreifer ein leichtes Ziel darstellt.
Hacker und Cyberkriminelle haben sich das natürlich zunutze gemacht. In dem Versuch, diese Schwachstelle auszunutzen, vervielfachten Angreifer zwischen Februar und Mai 2020 ihre Phishing-Versuche um 600 Prozent. Obwohl die pandemiebedingten Einschränkungen in vielen Ländern inzwischen dem Ende zugehen, werden etliche der 2020 aufgetauchten Probleme vermutlich fortbestehen.
Telearbeit wird voraussichtlich auch zukünftig ein wichtiger Bestandteil des Arbeitsalltags sein. Laut einem Forbes-Bericht gehen 74 Prozent der Angehörigen von Büroberufen davon aus, dass Telearbeit künftig der Standard sein wird. Upwork zufolge hat die Telearbeit im Vergleich zur Zeit vor der Pandemie um 87 Prozent zugenommen. Die Frage, wie man ohne Präsenz Vertrauen herstellt, bleibt also wichtig.
Digitale Signaturen sind eine gute Methode zum Schließen dieser Lücke. Wenn ein Dokument mit einer elektronischen Signatur versehen wird, reproduzieren die Beteiligten die Vertrauenswürdigkeit einer persönlichen Transaktion, indem die Identität der unterzeichnenden Person mit dem Inhalt verbunden wird und gewährleistet wird, dass sich der Inhalt seit der Unterzeichnung nicht geändert hat.
Digitales Signieren ist eine gute Wahl für alle Branchen, in denen es um Verträge und sensible Dokumente geht. Bereiche wie Gesundheitswesen, Versicherungswesen, Immobilienwirtschaft oder Finanzwesen, in denen juristische Dokumente und Verträge von zentraler Bedeutung sind, profitieren am meisten davon.
Digitale Dokumentsignaturdienste
Diesen Vorgang zu ermöglichen, ist nicht ganz so einfach, wie es klingt, aber für Unternehmen mit Fokus auf Sicherheit und Integrität ihrer Dokumente ist dies durchaus den Aufwand wert. Um die digitale Transformation zu beschleunigen, werden gern digitale Dokumentsignaturdienste herangezogen. Ein qualifizierter Vertrauensdienstanbieter (QTSP, Qualified Trust Service Provider) kann sowohl die Identitätszertifikate als auch das notwendige Spezialwissen über Dokumentsignierstandards bereitstellen.
In der eIDAS-Verordnung der EU werden drei Arten elektronischer Signaturen definiert: einfache, fortgeschrittene und qualifizierte. Eine einfache elektronische Signatur kann die Identität nur in begrenztem Maße authentifizieren. Eine fortgeschrittene Signatur ermöglicht die Identifizierung des Unterzeichners und ist manipulationssicher. Leider sind beide nicht automatisch gleichwertig mit einer handgeschriebenen Unterschrift. In beiden Fällen muss der Unterzeichner im Streitfall die Gültigkeit der Signatur nachweisen.
Qualifizierte Signaturen dagegen sind der handgeschriebenen Unterschrift rechtlich gleichgestellt. Eine qualifizierte Signatur ist außerdem die sicherste der drei Signaturarten, weil für die Überprüfung der Identität des Absenders zusätzliche Schritte erforderlich sind. Außerdem sind hier die Signaturschlüssel besonders stark geschützt und kontrolliert. Aufgrund der Zertifizierung und Regulierung der QTSPs muss im Streitfall der Beschwerdeführer belegen, dass eine qualifizierte Signatur ungültig ist.
„Telearbeit wird auch zukünftig eine wichtige Rolle spielen und das digitale Signieren von Dokumenten kann die damit einhergehenden Schwierigkeiten zumindest teilweise entschärfen.“
Stephen Davidson, DigiCert
Die eIDAS-Verordnung war für die e-Signatur-Branche auf vielerlei Weise vorteilhaft. Zum einen wurden große Anstrengungen unternommen, die technischen Standards zu schaffen, die jeden Aspekt des Signierens abdecken, von der Anwendung auf verschiedene Dokumentformate bis zur Verifizierung der Identität des Unterzeichners. Die in der Frühphase der digitalen Transformation bestehenden proprietären Standards mit ihren Nachteilen wurden dadurch bedeutungslos, wodurch die Einführung und Integration für Unternehmen und Endanwender viel einfacher wurde.
Zum anderen vereinfachte die einheitliche Überwachung von QTSPs in allen EU-Mitgliedstaaten die grenzüberschreitende Akzeptanz von Signaturen. Die europäischen Mitgliedstaaten selbst haben die Technologie mit einer Dynamik umgesetzt, die in den verschiedensten Branchen wie Finanzwesen, Handel und Gesundheitswesen ein großes Echo ausgelöst hat.
Laufende Transformation
Die Pandemie hat viele Unternehmen dazu gezwungen, sich weiterzuentwickeln. In der zurückliegenden Zeit seit Anfang 2020 beschleunigte sich die Digitalisierung stärker, als man noch 2019 gedacht hätte. Es sieht so aus, als veränderten diese Entwicklungen unsere Arbeitswelt auch langfristig. Nun müssen wir uns dieser neuen Realität anpassen. Telearbeit wird auch zukünftig eine wichtige Rolle spielen und das digitale Signieren von Dokumenten kann die damit einhergehenden Schwierigkeiten zumindest teilweise entschärfen.
Die QTSP-Branche durchläuft einen beeindruckenden Wandel, um der neuen Art zu arbeiten gerecht zu werden, und viele Dokumentsignierdienste entwickeln Remote-Identitätsprüfungs-Tools (oft unter Einsatz mobiler Apps) zur Identifizierung von Unterzeichnern. Auch die eIDAS-Verordnung wird weiterentwickelt; es gibt neue Gesetzgebungsvorschläge zur Aktualisierung der Verordnung mit neuen Standards für die Einbindung des Signierens in behördliche eID-Zugangsdaten, für das Verwalten von Signaturschlüsseln auf Cloud-Plattformen und das Überprüfen von Attributen wie beispielsweise der Zugehörigkeit zu Kammern oder Berufsständen.
Über den Autor:
Stephen Davidson ist leitender Manager im DigiCert-Team für globale Governance, Risiken und Compliance und ist zuständig für Standards und Akkreditierungen mit Bezug auf die Geschäftsfelder European Qualified Trust Service Provider und digitale Signaturen. Er ist Mitbegründer von QuoVadis, das Anfang 2019 Teil von DigiCert wurde. Seit 2006 arbeitet er im CA/Browser Forum mit und ist derzeit Vorsitzender von dessen Arbeitsgruppe für S/MIME-Zertifikate, die die grundlegenden Anforderungen an das Signieren von E-Mails und an Verschlüsselungszertifikate festgelegt hat.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.