Getty Images/iStockphoto
Wie funktionieren digitale Signaturen?
Digitale Signaturen geben Online-Verträgen eine zusätzliche Sicherheitsebene, die verhindern kann, dass sich böswillige Akteure als andere Personen ausgeben.
Um papierlos zu werden oder die Bestätigung von rechtlichen und geschäftlichen Vereinbarungen zu beschleunigen, verlassen sich Unternehmen schon lange auf digitale Signaturen.
Der Markt für digitale Signaturen – eine hochsichere Art der elektronischen Unterschrift (E-Signature) – ist ausgereift. „Unternehmen können diese Software-Tools für verschiedene Anwendungsfälle einsetzen“, sagt Viky Manaila, Trust Services Director bei der Intesi Group und Präsident des Cloud Signature Consortium (CSC). Dennoch gibt es keine Einheitslösung für elektronische Signaturen. Unternehmen müssen verschiedene Arten von Signaturen kombinieren, um verschiedenen Situationen gerecht zu werden. In Situationen mit geringem Risiko kann zum Beispiel nur eine einfache elektronische Signatur erforderlich sein, wie „ein einfaches Gekritzel auf einem Touchscreen“, so Manaila.
In sensibleren Anwendungsfällen müssen jedoch Vertrauensdiensteanbieter digitale Signaturen ausstellen. Diese sicheren elektronischen Signaturen gewährleisten die Authentifizierung des Unterzeichners, die Nichtabstreitbarkeit und die Integrität des Dokuments.
Digitale Signaturen versus elektronische Signaturen
Unternehmen müssen den Unterschied zwischen digitalen Signaturen und E-Signaturen kennen, damit sie ein Sicherheitsniveau implementieren können, das ihren Anforderungen entspricht.
E-Signatur ist ein weit gefasster Begriff, der jede Unterschrift umfasst, die ein Benutzer elektronisch sendet. Bei einigen elektronischen Signaturen, wie zum Beispiel denen, die im Einzelhandel für kleine Transaktionen verwendet werden, ist keine Identitätsprüfung erforderlich. Andere Arten, wie digitale Signaturen, erfordern jedoch einen strengen Authentifizierungsprozess.
Bei der digitalen Signatur wird eine öffentliche Schlüsselinfrastruktur verwendet, um Manipulationen und Nachahmungen in der digitalen Kommunikation zu verhindern. Dieser Prozess verschlüsselt oder sperrt eine Kopie einer Vereinbarung mit einem privaten Schlüssel, bevor eine Organisation eine andere Partei bittet, sie zu signieren. Das Tool sendet dann einen entsprechenden öffentlichen Schlüssel – mit einem angehängten digitalen Zertifikat – an die andere Partei, und nur dieser Schlüssel kann die gesperrte Kopie entschlüsseln. Wenn der öffentliche Schlüssel die gesperrte Nachricht erfolgreich entschlüsselt, weiß der Unterzeichner, dass die Nachricht von der richtigen Person stammt und nicht verändert worden ist.
Um eine digitale Signatur zu erstellen, verwenden Unternehmen in der Regel ein System für elektronische Signaturen. E-Signatur-Systeme bieten nicht nur Funktionen für digitale Signaturen, sondern können auch Arbeitsabläufe rationalisieren. Sie können zum Beispiel Erinnerungsbenachrichtigungen an verspätete Unterzeichner senden und bestimmten Personen Rollen zuweisen.
Wofür werden digitale Signaturen verwendet?
Menschen können digitale Signaturen für alles verwenden, was eine Unterschrift erfordert. Unternehmen verwenden digitale Signaturen jedoch in der Regel, um wichtige Transaktionen zu validieren. Dazu gehören:
- Kauf- und Verkaufsverträge
- Versicherungsverträge
- Steuerdokumente und -formulare
- Änderungsaufträge für Bauvorhaben
- klinische Studien
- Darlehen
- Hypotheken
Wie digitale Signaturen funktionieren
Digitale Signaturen beruhen auf digitalen Zertifikaten, die Vertrauensdiensteanbieter an Unterzeichner ausstellen. Bei diesen Anbietern handelt es sich um juristische Personen, die Prozesse und Tools in Übereinstimmung mit einer nationalen Behörde verwenden, um die Authentizität von elektronischen Signaturen zu überprüfen.
„Der Vertrauensdiensteanbieter überprüft die Identität des Unterzeichners vor der Ausstellung des digitalen Zertifikats mit verschiedenen Mechanismen, [wie] NFC, automatisierte videobasierte Identitätsdokumente und biometrische Überprüfung“, erklärt Manaila.
Nachdem der Vertrauensdiensteanbieter die Identität des Unterzeichners überprüft hat, stellt er das digitale Zertifikat in der Cloud aus. Er speichert die erforderlichen kryptografischen Schlüssel auf einem Hardware-Sicherheitsmodul (Hardware Security Module, HSM) und schützt es mit einer Zwei-Faktor-Authentifizierung (2FA). Mit diesen Sicherheitsmaßnahmen können Menschen von jeder Art von Plattform, jedem Gerät oder Smartphone aus Dokumente unterschreiben und digitale Zertifikate erhalten.
Einige Länder geben elektronische Ausweise aus, die die biometrischen Daten des Besitzers, wie zum Beispiel den Fingerabdruck oder die Gesichtsstruktur, auf einem Chip speichern. Bürger und Organisationen können diese Karten verwenden, um ihre Identität online nachzuweisen und schnell ein digitales Zertifikat zu erhalten.
Wie Cloud Computing digitale Signaturen beeinflusst hat
Vor der Verbreitung von Cloud-Diensten verließen sich Organisationen auf physische Geräte wie Sicherheits-Token oder Smartcards, um ihre digitalen Zertifikate mit einem HSM zu schützen. Dieser traditionelle Ansatz war mit Herausforderungen bei der Implementierung verbunden. Zum Beispiel ist dieser Ansatz laut Manaila nicht benutzerfreundlich, da die Benutzer ein physisches Gerät mit sich führen müssen.
Cloud Tools hingegen speichern die kryptografischen Schlüssel auf dem HSM des Cloud-Anbieters, so dass Unternehmen keine physischen Token nachverfolgen oder sie im Laufe der Zeit ersetzen müssen. Cloud-Produkte sind auch besser skalierbar und erfordern keine physischen Wartungskosten.
Die Landschaft der digitalen Signaturen hat sich verändert, nachdem das CSC mit ihrer Open-Source-API Cloud-basierte digitale Signaturen standardisiert hat. Diese Technologie bietet folgende Vorteile:
- erzeugt digitale Fernsignaturen über Desktop-, Web- und Mobilgeräte
- schützt rechtsverbindliche Signaturen mit 2FA
- lässt sich mit verschiedenen ERP- und digitalen Transaktionsmanagementsystemen integrieren
- reduziert die Kosten für die IT-Verwaltung
- gewährleistet die Einhaltung der Gesetze für elektronische Signaturen in den USA und der EU
Vor- und Nachteile digitaler Signaturen
Die Technologie der digitalen Signatur kann Unternehmen dabei unterstützen, böswillige Akteure daran zu hindern, wichtige Transaktionen zu manipulieren. Zu den Sicherheitsvorteilen gehören:
- verbindet die Identität des Unterzeichners mit der Signatur
- macht den Unterzeichner rechtlich verantwortlich für seine Handlungen
- speichert die kryptografischen Schlüssel des digitalen Zertifikats sicher auf einem zertifizierten HSM und schützt sie mit 2FA
- bietet eine Zugriffskontrolle, um die Sicherheit zu erhöhen
- kann die Authentizität einer Unterschrift vor Gericht beweisen
Trotz dieser Vorteile bringen digitale Signaturen auch Nachteile mit sich. Beispielsweise fügen sie dem Prozess der elektronischen Unterschrift einen zusätzlichen Schritt hinzu, so dass Unternehmen sie nur in Fällen verwenden sollten, in denen strenge Sicherheitsmaßnahmen erforderlich sind. Außerdem müssen die Benutzer lernen, mit den erforderlichen Tools und Prozessen umzugehen, was Schulungen erfordert.