Wie vertrauenswürdig ist die digitale Signatur?

• Die gewöhnliche elektronische Signatur
• Die fortgeschrittene elektronische Signatur
• Die qualifizierte elektronische Signatur

Alle drei Formen sind vor dem Gesetz rechtskräftig, haben aber unterschiedliche Beweiskraft. Bei einer eingescannten Unterschrift ist es im Falle einer Meinungsverschiedenheit schwierig, zu beweisen, dass der Absender die Person ist, die tatsächlich die Unterschrift gesetzt hat.

Bei einer fortgeschrittenen digitalen Signatur oder einer qualifizierten digitalen Signatur kann das sehr wohl festgestellt werden. In jedem Fall steht und fällt die Beweiskraft jedoch mit der Vertrauenswürdigkeit des zugrunde liegenden Prozesses.

Die Vertrauenswürdigkeit des Prozesses und die Beweiskraft werden von folgenden Aspekten bestimmt:

• Wie stark sind die identifizierenden Merkmale dieses Unterzeichners und wie gut hat er diese unter seiner eigenen, ausdrücklichen Kontrolle?
• Wurde eindeutig festgehalten, welche Prozessschritte der Benutzer vor der Unterzeichnung durchlaufen hat?
• Wann wurde unterzeichnet und kann dies später auch bewiesen werden?
• Hat das Dokument das richtige Format, um dauerhaft zu beweisen, dass das Dokument digital unterzeichnet ist?
• Wie stark ist der Mechanismus, der zur untrennbaren Verknüpfung der identifizierenden Merkmale mit dem Dokument (Assoziierung) verwendet wurde? Wie stark ist die Kryptographie, um zu verhindern, dass dies manipuliert wird?

Starke identifizierende Merkmale

Beispiele für identifizierende Merkmale im Internet sind eine E-Mail-Adresse, IP-Adresse, Mobiltelefonnummer oder ein qualifiziertes Zertifikat. Es ist auch möglich, mehrere identifizierende Merkmale zu „stapeln“. Die Kombination sorgt für eine stärkere Identifizierung. Beim Unterzeichnen einer Nachricht muss der Unterzeichner über diese Mittel verfügen. Das muss berücksichtigt werden. Sonst kann die Beweiskraft eines qualifizierten Zertifikats zwar höher sein, aber wenn die Endbenutzer nicht über die Mittel verfügen oder der Anfrageprozess mehrere Tage in Anspruch nimmt, kann der Endbenutzer nicht unterzeichnen.

Schritte des Signaturprozesses

Beim Signaturprozess ist es wichtig, dass sich der Unterzeichner im Klaren ist, welches Dokument er unterzeichnet. Welche Dokumente wurden angezeigt und gibt es ein explizites Moment, dass der Unterzeichner das Dokument bewusst unterzeichnet hat (Willensäußerung)?

Zeitpunkt

Für die Vertrauenswürdigkeit des Signaturprozesses und seine Beweiskraft ist es wichtig, auch den Zeitpunkt der Unterzeichnung auf unabhängige Weise festzustellen und in die Signatur aufzunehmen. So kann es keine Streitigkeiten über den Zeitpunkt der Unterzeichnung geben und kann nicht behauptet werden, dass zu einem anderen Zeitpunkt unterzeichnet wurde.

Technischer Standard PaDES – XAdES

In den Standards für digitale Signaturen und in der eIDAS-Verordnung spricht man vom XAdES- oder PaDES-Format. Dabei handelt es sich um den technischen Standard, der angibt, wie in dem Dokument eine korrekte digitale Signatur im PDF- oder XML-Format gesetzt werden kann. Diese Standards sorgen dafür, dass die digitalen Signaturen mit einem Standardverfahren von verschiedenen Computerprogrammen wie Adobe PDF Reader kontrolliert werden können. Außerdem sorgt der Standard dafür, dass die digitalen Signaturen in den Dokumenten auch in Zukunft noch auf korrekte und verlässliche Weise kontrolliert werden können.

Verknüpfung identifizierender Merkmale mit dem Dokument

Um identifizierende Merkmale mit dem Dokument zu verknüpfen, wird ein PKI-Schlüssel verwendet. Diese Verknüpfung wird auch Assoziierung genannt. Wenn der Benutzer ein qualifiziertes Zertifikat auf einem vertrauenswürdigen Medium hat, kann dieser Schlüssel zur Assoziierung verwendet werden. In anderen Fällen kann die Assoziierung mit einem öffentlichen Schlüssel erfolgen. Es ist wichtig, dass dieser Schlüssel auf hochwertige Weise abgeschirmt wird, zum Beispiel über einen elektronischen Chip in einer Smartcard, einen USB-Stick oder ein Hardware-Sicherheitsmodul. Wenn dieser Schlüssel nicht gut abgeschirmt ist, könnte die Assoziierung auch von Unbefugten vorgenommen worden sein. Auch die Länge des Schlüssels ist wichtig. Mit einem einfachen Schlüssel kann die Assoziierung und das Siegel einfacher entschlüsselt werden.

Alle elektronischen Signaturen können rechtskräftig sein und als Beweismittel dienen. Der reine Umstand, dass sie elektronisch sind oder nicht den Anforderungen qualifizierter elektronischer Signaturen entsprechen, tut dem keinen Abbruch. Wenn die Vertrauenswürdigkeit des Prozesses nicht gut abgesichert ist, besteht sogar beim qualifizierten Zertifikat die Möglichkeit, dass die Beweiskraft gering ist. Eine gute Absicherung der Vertrauenswürdigkeit des Signaturprozesses ist wichtig für die Prüfung durch eine unabhängige Partei, zum Beispiel ein Gericht.