Die digitale Signatur im Unternehmensalltag
Elektronische Signaturen sind heutzutage mehr und mehr in Gebrauch, gleichzeitig sind sie für viele Unternehmen jedoch noch immer ein Buch mit sieben Siegeln. Was sind elektronische Signaturen eigentlich, wie unterscheiden sie sich von den ähnlich klingenden digitalen Signaturen und welchen tatsächlichen Nutzen haben sie für Unternehmen und Anwender?
In nahezu jedem Unternehmen ist die papierlose Kommunikation mittlerweile ein großer und im Grunde unverzichtbarer Bestandteil. Neben der allgemeinen Korrespondenz sind es auch wichtige Dokumente wie Rechnungen, Warenbestellungen, Verträge oder Bankgeschäfte, die vollständig elektronisch abgewickelt werden. Damit eben jene Dokumente rechtskräftig unterzeichnet werden können, bietet sich die Zuhilfenahme der sogenannten elektronischen Signatur an. Wie zdnet.de erst im Januar berichtete, schreckt jedoch insbesondere der Mittelstand noch immer vor der Einbindung und dem Einsatz elektronischer Signaturen zurück, was vor allem an der technischen und juristischen Komplexität liegt. Die Auseinandersetzung mit der hilfreichen Technik lohnt sich jedoch, denn sie vereinfacht einerseits die Prozesse für ein Unternehmen und kann andererseits dafür sorgen, dass auch auf elektronischem Weg die Beweiskraft von Dokumenten gewährleistet wird.
Die digitale Signatur oder auch elektronische Unterschrift – was ist darunter eigentlich zu verstehen?
Die digitale Unterschrift beschreibt keineswegs eine tatsächliche eigenhändige Unterschrift in digitaler Form. Diese wäre viel zu leicht zu kopieren und würde eine Unterscheidung zwischen Original und Fälschung nicht mehr möglich machen. Stattdessen handelt es sich bei der digitalen Signatur um eine spezielle Sicherungsmethode, die jedoch ähnlich einer handschriftlichen Unterschrift untrennbar mit dem jeweiligen Dokument verbunden ist und nur vom Unterzeichner geändert werden kann.
Sie stellt eine Willenserklärung in elektronischer Form da und basiert auf dem Prinzip der Kryptographie. Genutzt werden hierbei sogenannte Hashwerte (Prüfwerte), die die Integrität der Daten ermitteln und eine mögliche Veränderung selbiger direkt feststellen können. So bieten sie Schutz vor Manipulationen und gewährleisten die Urheberschaft des Dokuments.
Digitale Signatur = Elektronische Signatur?
Auch wenn beide Begriffe meist synonym genutzt werden, so gibt es an dieser Stelle dennoch einen Unterschied zwischen digital und elektronisch, der zumindest im rechtlichen Bereich wichtig zu differenzieren ist:
Elektronische Signatur
Eine elektronische Signatur beschreibt einen Rechtsbegriff, der im Signaturgesetz (SigG) definiert ist. Er basiert auf der Definition der Europäischen Richtlinie für elektronische Signaturen und beschreibt die von einer Person erstellte Willenserklärung oder Bestätigung.
Digitale Signatur
Eine digitale Signatur stellt hingegen den technischen Begriff für elektronische Signaturen dar. Dieser Begriff bezieht sich auf die Funktion im Detail, also die Arbeitsweise der verschlüsselten Hashwerte.
Ziele der elektronischen Signatur
Durch die Einführung der elektronischen Signatur werden mehrere Ziele konkret verfolgt, die vor allem im Unternehmensalltag wichtig sind. Dabei steht die Datenverschlüsselung im Vordergrund, denn in der Vergangenheit wurde elektronischen Daten immer wieder mangelnde Sicherheit nachgesagt. Mit der elektronischen Signatur soll dies künftig vermieden werden, wobei viel Wert auf die folgenden Punkte gelegt wird:
- Vertraulichkeit
Auch heute noch ist es für einen Internetnutzer kaum oder auch gar nicht nachvollziehbar, was mit seinen Daten geschieht, sobald sie elektronisch verschickt werden. Dementsprechend verwundert es kaum, dass viele Anwender vor der elektronischen Datenübermittlung zurückschrecken und wichtige Geschäftshandlungen lieber auf traditionellem Wege abwickeln möchten.Auch heute noch sind viele Verbraucher beispielsweise skeptisch, wenn es um die Eingabe ihrer Kreditkarteninformationen geht. Die elektronische Signatur soll dabei helfen, diesen Prozess so sicher wie möglich zu gestalten, damit es Dritten künftig nicht mehr möglich ist, auf die Daten zuzugreifen. Zu diesem Zweck wird auf eine zusätzliche Verschlüsselung zurückgegriffen. - Integrität
Als problematisch wird es ebenfalls betrachtet, dass die Möglichkeit besteht, dass eine Mail nicht in der Form beim Empfänger ankommt, wie sie ursprünglich losgeschickt wurde. Dies ist gerade für Unternehmen und generell in der Geschäftswelt ein entscheidender Nachteil, falls Daten unbemerkt von Dritten während des Versands verändert werden – der ursprüngliche Inhalt wäre an dieser Stelle kaum zu überprüfen. Auch hier soll die Verschlüsselung weiterhelfen. Zum Einsatz kommen dafür verschlüsselte Hashwerte des Originals, die dem Empfänger die Unverfälschtheit des Dokuments beweisen und damit die Integrität bestätigen. - Authentizität
Auch die Authentizität des Verfassers muss bei der Übermittlung elektronischer Daten nachprüfbar sein. Bei wichtigen Verträgen könnte ansonsten problemlos eine andere Person die angegebene Unterschrift leisten. Die zum Einsatz kommende Signaturkarte bietet einerseits den Identifikationsnachweis des Besitzers und andererseits den Nachweis des Wissens (der PIN-Nummer) und stellt damit eine möglichst zweifelsfreie Identifizierung des Absenders fest. - Verbindlichkeit
Die elektronische Unterschrift ist nach Änderungen im BGB oftmals mit der eigenhändigen Unterschrift gleichzustellen. Die Abgabe einer Willenserklärung ist demnach verbindlich, sodass sichergestellt werden muss, dass der Absender auch wirklich der Verfasser der jeweiligen Daten ist. Sollte diese Verbindlichkeit bei einem Rechtsstreit nicht nachweisbar sein, so wäre dies zum Schaden des Anderen.
Wie funktioniert die elektronische Signatur im Detail?
Zunächst wählt der Absender eine zu verschickende Datei, welche er digital unterzeichnen möchte. Für diese wird mithilfe einer speziellen Signatur-Software ein Hashwert erstellt, der am Ende des Vorgangs nochmals von Bedeutung ist. Der Hashwert wird nun mit dem geheimen Schlüssel gesichert und dann versendet.
Mit einem öffentlichen Schlüssel kann der Empfänger wiederum den mitgesendeten Hashwert erkennen, eine Prüf-Version der Signatur-Software errechnet den Hashwert außerdem erneut. Es folgt ein Vergleich mit dem ursprünglichen Hashwert – sind beide identisch, so ist dies ein Zeichen für die Authentizität und Integrität.
Grundsätzlich werden unter „digitaler Signatur“ alle klar definierten technologischen Verfahren und Vorgehensweisen zusammengefasst, die diesem Aufbau folgen. Um noch mehr Sicherheit zu bieten, können Unternehmen außerdem auf zusätzliche Zertifikate zurückgreifen. Sie bescheinigen, dass ein öffentlicher Schlüssel einer bestimmten Person zugeordnet ist. Darüber hinaus gibt es noch eine weitere Stufe: das qualifizierte Zertifikat. Hierbei verbürgt sich ein Dritter zusätzlich für die Identität des Schlüsselinhabers.
Zu den bekannteren Verfahren zählen unter anderem RSA oder Pretty Good Privacy. Ersteres entstand bereits 1977. Beide Varianten beruhen auf dem „Public-Key“-Prinzip, bei dem ein Schlüsselpaar verwendet wird, welches aus einem privaten und einem öffentlichen Schlüssel besteht. Einen sehr ausführlichen Ratgeber zur Funktionsweise und wichtigen Fragen rund um den Sicherheitsaspekt der elektronischen Signatur hält außerdem das Bundesamt für Sicherheit in der Informationstechnik bereit.
Normale oder qualifizierte elektronische Signatur?
Es gibt verschiedene Qualitätsstufen einer elektronischen Signatur, die wichtig für deren Beweiskraft sind. Das Signaturgesetz (SigG) unterscheidet an dieser Stelle zwischen der einfachen elektronischen Signatur, der fortgeschrittenen elektronischen Signatur und der qualifizierten elektronischen Signatur.
Einführung in den laufenden Betrieb – Hürden und Klärungsbedarf
Gerade aus Sicht des Datenschutzes sind vor der Einführung elektronischer Signaturen in den Betriebsalltag einige wichtige Fragen zu klären. So sollten die Mitarbeiter zunächst darüber informiert werden, für welche Zwecke welche Art einer elektronischen Unterschrift verwendet werden soll.
Im Rahmen einer Schulung sollte zudem darauf eingegangen werden, wie die Funktionsweise und Bedienung im Detail aussieht. Ebenso müssen Mitarbeiter über die rechtlichen Konsequenzen aufgeklärt werden, die bei der jeweiligen Art der eingesetzten elektronischen Signatur greifen. Weiterhin gilt es folgende Punkte zu klären:
- Welche Mitarbeiter dürfen qualifizierte elektronische Signaturen verwenden?
Geklärt werden muss, welche Mitarbeiter in welchem Umfang Verträge im Namen des Unternehmens abschließen dürfen. Hierbei sollte darauf geachtet werden, dass die Signatur wirklich nur dort zum Einsatz kommt, wo sie auch wirklich notwendig ist. Nur dort kann der Arbeitgeber den Mitarbeiter tatsächlich dazu verpflichten, sich für das Verfahren zu registrieren. Andernfalls kann der Mitarbeiter die Registrierung auch verweigern. - Welcher Zertifizierungsservice soll genutzt werden? Für die Anwendung der elektronischen Signatur werden spezielle Karten und Zertifikate genutzt, die von privaten Stellen vergeben werden. Berechtigt sind hierzu allein Trust-Center, welche nach der Signaturverordnung (SignV) geprüft wurden. Bei der Auswahl eines solchen Anbieters sollte in jedem Fall auf eine gültige Zulassung geachtet werden.
- Anwendung der Signaturkarte: Bei der Verwendung der Signaturkarte in der Praxis sollte genau festgelegt werden, wie der Einsatz im Detail aussieht. Bei der Arbeitsplatzgestaltung ist es etwa wichtig, dass eine sichere Verwahrung gewährleistet werden kann und eine unbeobachtete Eingabe des PINs möglich ist. Auch darüber hinaus sollten gewisse Sicherheitsvorkehrungen getroffen werden. Wichtig ist an dieser Stelle auch das Verhalten gegenüber Unregelmäßigkeiten – wie soll beispielsweise vorgegangen werden, wenn ein Mitarbeiter im Verdacht steht, Daten zu missbrauchen?
- Betreuung gewährleisten: Nicht zuletzt sollte auf einen technischen Support zurückgegriffen werden können, falls es zu Problemen mit der elektronischen Signatur kommt oder die Mitarbeiter einen Ansprechpartner bei Fragen benötigen.
Elektronische Signaturen als sinnvolle Ergänzung
Gerade Unternehmen können mithilfe der elektronischen Kommunikation schneller und effizienter mit Gerichten oder Behörden zusammenarbeiten, da sie unabhängig von Tages- und Öffnungszeiten sind. Die kryptographischen Mechanismen sorgen dafür, dass die Übertragung jeglicher Daten dabei sicher und zuverlässig vonstattengeht. Sowohl Absender als auch Empfänger sparen so Zeit und letztendlich auch Kosten und können in Bezug auf die Nutzung digitaler Daten fortan etwas sorgloser sein.
Kommentare