In den vorangegangenen Blogs haben wir uns mit der Geschichte der elektronischen Unterschrift, ihrer Funktionsweise und ihrer rechtlichen Stellung beschäftigt. In diesem Blog geht es darum, die Trends zu verstehen, die hinter der jüngsten weiten Verbreitung der elektronischen Unterschrift stehen - nachdem sie jahrelang relativ wenig genutzt wurde, obwohl die unterstützende Technologie und die ersten gesetzlichen Richtlinien aus den frühen 2000er Jahren stammen. Was jetzt anders ist, ist, dass die Voraussetzungen für die Einführung der elektronischen Unterschrift alle zusammenkommen, und zwar durch eine bessere Zugänglichkeit, Anwendungsfälle und ein tiefgreifendes geschäftliches Bedürfnis, Prozesse vollständig zu digitalisieren. Diese Kombination bringt uns an die vorderste Front der e-Signing-Revolution.
Bei Deloitte sehen wir vier Trends, die die e-Signatur-Fähigkeiten im nächsten Jahrzehnt vorantreiben werden: die nächste Welle der Digitalisierung, der Zugang zu verifizierten digitalen Identitäten, ein zunehmend risikobasierter Ansatz für fortgeschrittene e-Signaturen (AES) und eine größere Reife der Lösungen.
- Vollständig digitale Prozesse erfordern End-to-End-Lösungen
Die meisten Artikel über E-Signatur-Trends drehen sich um technologische oder rechtliche Fortschritte. Sie sind zwar wichtige Wegbereiter, aber die wichtigste Triebkraft für den Fortschritt ist ein echter Bedarf der Unternehmen und ihrer Nutzer. Die digitalen Erwartungen der Kunden sind mit der schnellen Einführung neuer Technologien gestiegen, ein Trend, der durch die COVID-19-Pandemie noch beschleunigt wurde. Kunden erwarten heute, dass sie die meisten Prozesse digital abwickeln können. Wenn potenzielle Kunden beispielsweise den Prozess der Kontoeröffnung online einleiten können, aber dennoch in einer Filiale Papiere unterschreiben und ihre Identität bestätigen müssen, wird der Prozess von vielen als Offline-Erlebnis betrachtet und entspricht nicht ihren digitalen Erwartungen.
Dieser Vorstoß der Unternehmen in die Digitalisierung von Prozessen hat wiederum die Entwicklung von unterstützenden Fähigkeiten vorangetrieben, von denen viele technologiegestützt sind. Dazu gehört die e-Signing-Funktion, die im Mittelpunkt dieser Blogserie steht, aber auch viele andere, wie z.B. die automatische Identifizierung, die oft in Kombination mit e-Signing verwendet wird. Auto-Identifizierungslösungen ermöglichen es einem Kunden oder Interessenten, sich selbständig durch den Einsatz verschiedener Technologien zu identifizieren (z.B. digitale Identitäten, Extraktion biometrischer Passdaten, Gesichtserkennung), die Organisationen kosteneffiziente, hochwertige und sichere Identifizierungsdienste für eine Vielzahl von Prozessen bieten (z.B. Onboarding, elektronische Portalanmeldung, Produkterwerb).
Regierungen, Unternehmen und andere Organisationen bewegen sich schnell auf papierlose Büros und vollständig digitale Kundenerfahrungen zu. Ein gutes Beispiel dafür ist Estland, wo 99% der staatlichen Dienstleistungen online erledigt werden können. Im privaten Sektor fordern Neo-Banken wie Monzo, N26 und Revolut die traditionellen Banken mit ihrem vollständig digitalen Angebot heraus, einschliesslich fortgeschrittener Automatisierung, elektronischer Unterschrift und automatischer Identifizierung.
- Der Aufstieg der verifizierten digitalen Identität ermöglicht eine benutzerfreundliche Fernsignierung
Eine der wichtigsten Voraussetzungen für elektronische Signaturen ist die Verfügbarkeit verifizierter digitaler Identitäten, mit denen der Identifizierungs- und Authentifizierungsprozess von der Unterzeichnung entkoppelt werden kann. In einem früheren Blog haben wir gesehen, dass Benutzer ein "signierendes" Zertifikat benötigen, das ihren privaten Schlüssel enthält. Bis vor kurzem wurde der digitale Schlüssel lokal gespeichert, zum Beispiel auf Smartcards, was offensichtliche Nachteile mit sich brachte. Die Benutzer müssen ausgegebene physische Smartcards mit sich führen, um zu unterschreiben, und oft müssen sie teure Software installieren, um den Prozess zu erleichtern. E-Signing war daher oft auf Unternehmensumgebungen beschränkt.
Die europäische eIDAS-Verordnung deckt das Konzept der "Fern-" oder "Server-seitigen" Signierung ab. Beim serverseitigen Signieren wird ein Trust Service Provider (TSP) eingesetzt, der die Signaturschlüssel im Namen des Unterzeichners aus der Ferne erzeugt und verwaltet. Dies erleichtert es den Benutzern, ihre eigenen Schlüssel sicher zu verwalten, und, was noch wichtiger ist, es macht den Prozess benutzerfreundlicher, da er vollständig digital ist. Voraussetzung ist, dass sich der Benutzer mit seiner elektronischen Identität stark authentifiziert. Dies ist eine weitere Herausforderung, der sich die eIDAS-Verordnung angenommen hat, indem sie Standards für die elektronische Identität (e-ID) festlegt. Heute verfügen immer mehr Benutzer über eine vertrauenswürdige e-ID. In den nordischen Ländern und in Estland liegt die Marktdurchdringung von e-ID bei weit über 70%. Andere Beispiele sind Belgien und Deutschland, wo die Bürger e-Signatur-Zertifikate auf ihren nationalen e-ID-Karten erhalten.
In der Praxis bedeutet dies, dass sich Benutzer mit ihrer vertrauenswürdigen Identität bei Online-Signaturplattformen anmelden und eine vom Signaturanbieter verwaltete e-Signatur platzieren können, was eine benutzerfreundlichere, skalierbare und effiziente Lösung darstellt. Parallel dazu hat das Wachstum der föderierten Authentifizierung, die es den Benutzern ermöglicht, sich mit ihrem bevorzugten und akzeptierten Mittel anzumelden (anstatt mit einem Mittel, das von einem ungeprüften Dienstanbieter ausgegeben wird), das Vertrauen in die Technologie weiter gestärkt.
Für Benutzer und etablierte Dienstanbieter ist es einfacher, sich auf bewährte, gesetzeskonforme Identitäten mit hohem Sicherheitsniveau zu verlassen, als Identitäten mit einem niedrigeren Sicherheitsniveau auszustellen und zu verwalten. Identitätsbroker können dabei helfen, Identitätsanbieter und Signierungsplattformen miteinander zu verbinden, so dass sie so viele Identitäten wie möglich über eine einzige Verbindung akzeptieren können. Kurz gesagt, e-Signaturen, die auf starken e-IDs basieren, sind für die Marktteilnehmer ein entscheidender Vorteil.
- Wachsender risikobasierter Ansatz für AES treibt die zugängliche Nutzung voran
Wie wir in unserem vorherigen Blog über die rechtlichen Perspektiven der elektronischen Unterschrift erläutert haben, gibt es verschiedene Arten von elektronischen Unterschriften, und die Akzeptanz wird oft lokal festgelegt. Qualifizierte e-Signaturen (QES) bieten das höchste Maß an Schutz. Starke Sicherheit erfordert sehr sichere und teure Schutzmaßnahmen, die oft mit strengen und rigorosen Kontrollsystemen umgesetzt werden. In der Praxis zeigt sich, dass QES vor allem in Ländern eingesetzt wird, in denen es eine starke und gut eingeführte e-ID-Lösung gibt. Andererseits erweist sich QES in Ländern, in denen keine e-ID-Infrastruktur genutzt werden kann, oft als zu teuer für die Umsetzung. AES scheint eine einfachere und erschwinglichere Alternativlösung zu bieten und spricht für einen risikobasierten Ansatz.
In der Praxis beruht die Authentizität einer Signatur nicht nur auf der technischen Validierung, sondern wird auch durch den Kontext des Signiervorgangs und seiner Umgebung bestimmt. Eine typische gerichtliche Begründung würde beispielsweise zunächst versuchen zu beurteilen, wie wahrscheinlich es ist, dass die e-Signatur von dem Unterzeichner hinzugefügt wurde, dem die Signatur zugeschrieben wurde (denken Sie an eine verifizierte e-ID). Zweitens würde das Gericht prüfen, ob der Unterschriftsvorgang so gestaltet war, dass der Unterzeichner sich des Inhalts, den er oder sie unterschreibt, und der möglichen Folgen bewusst war. Schließlich wird auch geprüft, ob zum Zeitpunkt der Unterzeichnung eine verlässliche Zeitangabe verwendet wurde, z. B. ein Zeitstempel. Einfach ausgedrückt: Es ist das Gesamtbild, das zählt, und es gibt viele Maßnahmen, die eine Organisation ergreifen kann, um den Grad der Sicherheit zu erhöhen.
Wenn man die obigen Überlegungen mit den Vorteilen von AES gegenüber QES in Bezug auf Zugänglichkeit, Kosten und Benutzerfreundlichkeit kombiniert, kann man verstehen, warum es eine strukturelle Verschiebung hin zu AES gibt. Bei Deloitte haben wir eine Reihe von Kunden gesehen, die in diese Richtung gehen und oft AES in Kombination mit einer (starken) Fernidentifizierung verwenden. AES wird oft als pragmatische Lösung für Verträge verwendet, für die es keine formalen Anforderungen gibt. Es bietet immer noch ein gutes Mass an Vertrauen in die Echtheit und Integrität der Unterschrift und der damit verbundenen Dokumente.
- Die Reife der Lösung verkauft sich von selbst
Lösungsanbieter nutzen die oben genannten Faktoren, um wettbewerbsfähigere und umfassendere Produktangebote anzubieten. Im nächsten Blog werden wir uns mit dem Ökosystem der Lösungsanbieter befassen, das immer besser definiert und ausgereifter wird. Dazu gehören Anbieter, die Software-as-a-Service-Angebote für das Signieren anbieten, aber auch Technologieanbieter wie Identitätsbroker und (verwaltete) PKI-Anbieter.
Für die Käufer ist natürlich das Paket wichtig, das die E-Signatur-Plattformen anbieten. Plattformen bieten zunehmend Funktionen zur Unterstützung des gesamten Geschäftsprozesses, einschliesslich (Massen-)Signaturen, Workflows, Prüfpfaden und Archivierung. Eine interessante Entwicklung ist der Einsatz von Künstlicher Intelligenz (KI) zur automatischen Vorbereitung von Dokumenten für die Unterzeichnung, basierend auf einer Vorlagenbibliothek. AI konfiguriert die Vorlage, wählt die richtige Signaturmethode für die Art des Dokuments und leitet das Dokument zum Signieren weiter. Zu den Anbietern gehören DocuSign, Connective, Adobe Sign, One Span, Evidos, Signicat, Signing Hub, Cryptomathic und viele andere.