Direkt zum Inhalt

E-Signatur

Wie es funktioniert

Das Hauptziel elektronischer Signaturen unterscheidet sich nicht von dem einer Unterschrift mit nasser Tinte, die wir in unserem ersten Blog beschrieben haben. Sie bescheinigt, dass der Unterzeichner den Inhalt verstanden hat und bestätigt sein Einverständnis. Die Unterschrift dient dann als Beweis für diese Zustimmung gegenüber einem Dritten oder als rechtliche Verpflichtung in der Zukunft. Mit anderen Worten, es geht um Vertrauen: Vertrauen in die Identität des Unterzeichners, den Inhalt und die Verbindung zwischen beiden. In einer digitalen Welt geht es auch darum, dieses Vertrauen herzustellen. Der rechtliche Wert einer elektronischen Signatur hängt davon ab, ob sie nachweisen kann, wer sie angebracht hat und dass die signierten Daten nach dem Abschluss der Signatur nicht verändert wurden.

Im Folgenden erläutern wir eine vereinfachte Version dessen, was hinter den Kulissen eines elektronischen Unterschriftsprozesses geschieht.

Eine elektronische Unterschrift kann so einfach sein wie das Zeichnen Ihres Namens auf einem elektronischen Dokument. Wie wir in unserem nächsten Blog sehen werden, sind zwar nicht alle elektronischen Signaturen gleich und gleichwertig mit einer handschriftlichen Unterschrift, aber die europäische Verordnung (eIDAS) besagt, dass "einer Unterschrift nicht die rechtliche Wirkung abgesprochen werden kann, nur weil sie in elektronischer Form vorliegt". Eine vertrauenswürdigere e-Signatur wird jedoch durch einen Verschlüsselungsmechanismus unterstützt, der auf öffentlichen und privaten Schlüsseln basiert. Eine starke Signatur bestätigt, dass nur der Unterzeichner das Dokument unterschrieben haben kann (als einzige Person, die Zugang zum privaten Schlüssel hat), und stellt sicher, dass die Dokumente (oder Nachrichten) nicht gefälscht oder manipuliert wurden, was mit einem öffentlichen Schlüssel von allen überprüft werden kann. In anderen Fällen kann er auch die Vertraulichkeit des Dokuments sicherstellen oder einen Nachweis über den Versand und Empfang liefern. Um diese Schlüssel zu verwalten, auszugeben und zu widerrufen, wird eine Public Key Infrastructure (PKI) benötigt.

Die PKI ist die technische Grundlage für eine elektronische Signatur. Sie löst das Problem des "Vertrauens in großem Maßstab". Wenn Sie beispielsweise eine Geburtstagsparty veranstalten und vertrauenswürdige Freunde zu sich nach Hause einladen, erwarten Sie nicht, dass diese Ihr Haus beschädigen oder Ihre Sachen stehlen. Wenn jedoch einer Ihrer Freunde einen anderen Freund zu Ihnen nach Hause bringen möchte, verlassen Sie sich auf seine Einschätzung dieser Person. Mit anderen Worten: Sie vertrauen der unbekannten Person, weil Sie Ihrem Freund vertrauen. In der digitalen Kommunikation funktioniert Vertrauen ähnlich. Wir können einfach nicht jeden selbst überprüfen und ihm vertrauen. Stattdessen verlassen wir uns auf eine vertrauenswürdige dritte Partei, die "Zertifikate" ausstellt, die bestätigen, dass die Person der Inhaber eines öffentlichen Schlüssels ist. Diese Partei wird als Zertifizierungsstelle (CA) der PKI bezeichnet. Wenn wir in der digitalen Welt einer bestimmten CA vertrauen, vertrauen wir automatisch auch den von ihr ausgestellten Zertifikaten. Mit anderen Worten: Wir vertrauen den Identitäten, die sie der Partei vermitteln. Wir können nun überprüfen, ob die von dieser Person ausgestellten Signaturen gültig sind. Dieser Aussteller kann innerhalb der gleichen Organisation sein, oder es kann sich um ein öffentliches Unternehmen oder eine Regierung handeln.

Signieren ist nicht dasselbe wie das Überprüfen einer Identität oder einer Signatur. Schließlich sollte nur die vorgesehene Person unterschreiben können, während andere Personen (oder Organisationen) in der Lage sein sollten, die Unterschrift zu überprüfen. Dies wird durch die Verwendung "asymmetrischer kryptographischer Algorithmen" ermöglicht, bei denen PKIs eine Reihe von Schlüsseln (private und öffentliche) verwenden, um die Identität der unterzeichnenden Partei durch Algorithmen zu überprüfen. Der private Schlüssel ist nur dem Benutzer bekannt, der die Unterschrift leistet, und muss sicher aufbewahrt werden. Wenn er kompromittiert wird, könnten andere im Namen des Benutzers unterschreiben. Das Zertifikat mit dem öffentlichen Schlüssel ist in der Regel in die digitale Signatur eingebettet, so dass jeder die Signatur und damit die Integrität des Dokuments überprüfen kann. Wie das funktioniert, ist in der folgenden Grafik in einer vereinfachten Version dargestellt.

Kurz gesagt, es wird ein eindeutiger Hash des Dokuments erzeugt und dann mit dem privaten Schlüssel des Benutzers verschlüsselt. Das platzierte Signierzertifikat enthält den öffentlichen Schlüssel, so dass jeder den angegebenen Hash entschlüsseln und mit dem tatsächlichen Hash vergleichen kann. Wenn die Hashwerte übereinstimmen, ist die Signatur gültig und die Integrität des Dokuments somit bewiesen.

Dieser Prozess kann für den typischen Endbenutzer schwer zu verstehen sein. Zum Glück machen Signierlösungen den Prozess so einfach wie möglich.

Wir haben dargelegt, warum es bei e-Signing nicht nur um eine elektronische Signatur oder die Speicherung von Dokumenten geht. Es geht darum, eine vertrauenswürdige Verbindung zur unterzeichnenden Person herzustellen, zu verstehen, wofür diese Unterschrift steht, zu überprüfen, ob die Unterschriften gültig sind, und schließlich die Integrität des Dokuments zwischen dem Zeitpunkt der Unterzeichnung und dem Zeitpunkt der Validierung zu überprüfen. Wir empfehlen daher, e-Signing aus einer umfassenden Perspektive anzugehen, die auf fünf wichtigen Bausteinen basiert, um eine Lösung zu entwickeln, die zur Organisation und ihren Anwendungsfällen passt. Dieser Ansatz stellt sicher, dass das Unternehmen die wesentlichen Fragen beantwortet, um zu verstehen, welche Fähigkeiten benötigt werden.

In diesem Blog haben wir die wichtigsten technischen Mechanismen hinter e-Signing erläutert und den Ansatz der Bausteine vorgestellt, der zum Verständnis der Anforderungen an die Fähigkeiten empfohlen wird. Wenn Sie mehr über unser e-Signing Capability Framework erfahren möchten und darüber, wie Deloitte Ihnen dabei helfen kann, wenden Sie sich bitte an unsere Ansprechpartner unten.

 

Jan Vanhaecht
Partner, Cyber
Deloitte Belgien
jvanhaecht@deloitte.com
+ 32 2 800 22 62

               

Joran Frik
Manager, Risikoberatung,
Deloitte Belgien
jfrik@deloitte.com
+ 32 23 01 8308

                

Patrick Maager
Manager, Consulting
Deloitte Schweiz
pmaager@deloitte.ch
+41 58 279 8757

Our thinking