Die wichtigsten Punkte, die bei der Auswahl einer fortgeschrittenen Signaturlösung zu beachten sind

Was ist eine fortgeschrittene Signatur?

ZealiD betrachtet die Welt der Signaturen aus der Perspektive der eIDAS-Verordnung und der ETSI-Normen. Fortgeschrittene Signaturen im Sinne von eIDAS können entweder fortgeschritten oder qualifiziert sein. Letztere bieten die höchste Sicherheit und erfüllen weitere Anforderungen an die Ausstellung von Zertifikaten und die für die Fernsignaturerstellung verwendete Technologie. Der eIDAS-Standard definiert eine fortgeschrittene Signatur als eine, die:

• eindeutig mit dem Unterzeichner verbunden ist;
• in der Lage ist, den Unterzeichner zu identifizieren;
• mit Mitteln erstellt wird, die der Unterzeichner unter seiner alleinigen Kontrolle wahren kann, und
• mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede spätere Änderung der Daten erkennbar ist.

Was bedeutet das konkret?

Vereinfacht ausgedrückt gibt es nur wenige Dinge, die mit einer gewissen Zuverlässigkeit erfüllt werden müssen: 1) die Identität des Unterzeichners muss zuverlässig überprüft werden, 2) der Unterzeichner muss die eigentliche Unterzeichnung vornehmen, 3) das unterzeichnete Dokument muss dasjenige sein, mit dem der Benutzer interagiert, und 4) es müssen Mittel zur Überprüfung der Integrität der Unterschrift vorhanden sein.

Welche Art von e-Signatur brauchen Sie?

Obwohl qualifizierte eIDAS-Signaturen immer die sicherste Option sind, können Sie auch fortgeschrittene Signaturen in Betracht ziehen. Die jüngsten Entwicklungen in der Computertechnik und bei mobilen Smartphones machen sie ebenso einfach und erschwinglich wie weniger sichere fortgeschrittene Optionen. Drei Dinge (ohne den Preis zu berücksichtigen) sollten jedoch ausschlaggebend dafür sein, welche Art von elektronischer Signatur verwendet wird.

1. Ist eine qualifizierte elektronische Signatur gesetzlich vorgeschrieben oder reicht eine fortgeschrittene Signatur aus?
   
   In den meisten Fällen ist dies mit der richtigen Compliance- und Rechtsberatung einfach zu beurteilen. Wenn das Gesetz eine qualifizierte Signatur vorschreibt, haben Sie keine andere Wahl als diese zu verwenden. Wenn das Gesetz mindestens eine fortgeschrittene Signatur vorschreibt, können Sie beide Arten verwenden.
   
   
2. Erlaubt Ihre Risikobewertung eine fortgeschrittene Signatur?
   
   Selbst wenn es keine gesetzliche Vorschrift für eine fortgeschrittene oder qualifizierte Signatur gibt, führt eine ordnungsgemäße Risikobewertung häufig dazu, dass sich regulierte Unternehmen für eine fortgeschrittene und qualifizierte Signatur entscheiden. Wenn Sie zum Beispiel eine digitale Vereinbarung haben, die eine Sicherheit im Wert von 100.000 EUR darstellt, wäre es dann nicht sinnvoll, in eine elektronische Signatur zu investieren, die vor Gericht nicht wirksam angefochten werden kann? Dafür ist eine fortgeschrittene Signatur möglicherweise nicht stark genug.
   
   
3. Erlaubt Ihr Anwendungsfall einen angemessenen Identitätsnachweis des Unterzeichners?
   
   Wenn Sie die Wahl zwischen einer fortgeschrittenen und einer qualifizierten Signatur haben und davon ausgehen, dass Sie sich für eine ordnungsgemäße, eIDAS-zertifikatsbasierte Signatur entschieden haben, ist der dritte wichtige Faktor, wie viel Sie bereit sind, vom Unterzeichner in Bezug auf die Fernidentifizierung zu verlangen.
   
   In einigen Anwendungsfällen ist eine ordnungsgemäße Identitätsüberprüfung einfach nicht möglich, da die Konvertierung zu einem großen Problem wird (<30 %). Der beste Rat ist also vielleicht, mit mangelhaften Unterschriften und den daraus resultierenden Rechtsstreitigkeiten zu leben. Im elektronischen Geschäftsverkehr, wo das Risiko beim Zahlungsdienstleister liegt, ist ein Identitätsnachweis auf höherem Niveau nicht erforderlich.
   
   Aber für die meisten regulierten Branchen bedeutet die Identifizierung des Benutzers auf fortgeschrittenem Niveau (zertifikatsbasiert) eine ordnungsgemäße Identifizierung.

Wie sieht also eine gute fortgeschrittene Signatur aus?

Die besten fortgeschrittenen Signaturen sind diejenigen, die auf eIDAS-Zertifikaten basieren. Da es sich bei fortgeschrittenen Signaturen jedoch um alles Mögliche handeln kann, von Ad-hoc-Blockchain-Lösungen bis hin zu zertifizierten Lösungen, ist es am besten, eine auf qualifizierten Zertifikaten basierende Signatur zu wählen (volle Offenlegung: ZealiD verwendet ausschließlich qualifizierte Zertifikate). Die Vorteile der Verwendung von auf qualifizierten Zertifikaten basierenden fortgeschrittenen Signaturen sind:

• • Die behördliche Aufsicht, einschließlich der Haftung, liegt nur bei qualifizierten Vertrauensdiensteanbietern.
  • Qualifizierte Zertifikate müssen strenge organisatorische, verfahrenstechnische, Hardware- und regulatorische globale Standards erfüllen (z.B. ETSI 319401)
  • Garantie, dass die Informationssicherheitsumgebung die strengen Anforderungen an den Schutz personenbezogener Daten (GDPR) erfüllt
  • Ein anerkannter globaler Validierungsstandard, der über die EU-Vertrauensliste und PAdES-Dokumente (unterstützt z. B. von Adobe) eingebaut ist
  • Der Identitätsnachweis von qualifizierten Zertifikaten ist reguliert, und Sie müssen sich keine Gedanken über die Risikobewertung der Konformität eines fortgeschrittenen Signaturidentitätsnachweisverfahrens machen. Qualifizierte Zertifikate müssen den neuesten EU-Rechtsvorschriften zur Fernidentifizierung entsprechen.
  • Wenn Ihr qualifizierter Vertrauensdiensteanbieter eine qualifizierte Fernsignaturerstellungseinheit unterstützt, erhalten Sie einige der sichersten und hochwertigsten fortgeschrittenen Signaturen, die es gibt (volle Offenlegung: ZealiD ist für die qualifizierte Fernsignatur via Smartphone zertifiziert).

Erfahren Sie mehr über ZealiD Advanced Electronic Signature: