Dokumente online unterschreiben

Wie kann man mit Adobe Acrobat Reader eine elektronische Signatur überprüfen?

Validierung elektronischer Signaturen
Thomas Choukroun

Thomas Choukroun

Content Manager @Yousign

Illustration: Mélusine Vilars

Sie haben ein Dokument elektronisch unterzeichnet oder ein Dokument mit e-Signatur erhalten und möchten die elektronischen Signaturen überprüfen? Adobe hat direkt in seinen PDF-Dateien eine Funktion hinzugefügt, die es den Nutzern ermöglicht, die Gültigkeit von elektronischen Signaturen ganz schnell zu überprüfen.

Farbcodes für die Überprüfung von E-Signaturen

Vielleicht haben Sie es schon selbst festgestellt oder Ihre Erfahrungen damit gemacht: Wenn Sie das unterzeichnete PDF-Dokument öffnen, können Sie direkt im Adobe Acrobat Reader die Gültigkeit der Unterschriften überprüfen.

Die Prüfung der Signatur erfolgt mithilfe eines Banners, der über dem Dokument erscheint und 3 verschiedene Status bezüglich der Signatur anzeigen kann:

  • Ein grünes Häkchen mit dem Vermerk: „Unterschrieben und alle Unterschriften sind gültig.“
  • Ein orangefarbenes Zeichen mit dem Vermerk: „Es liegt ein Problem für mindestens eine Signatur vor“
  • Ein rotes Kreuz mit dem Vermerk: „Mindestens eine Signatur ist ungültig“

Natürlich sind wir uns alle darüber einig, dass beim Öffnen der PDF-Datei idealerweise ein grünes Häkchen erscheinen sollte. Während jedoch ein rotes Kreuz für eine komplette Ungültigkeit einer oder mehrerer Unterschriften steht, ist das orangefarbene Zeichen nicht zwingend Inbegriff eines Problems.

Orange muss nichts Schlechtes heißen

Für die Überprüfung der elektronischen Signaturen Ihrer Dokumente arbeitet Adobe Acrobat Reader mit mehreren Kriterien, die es ermöglichen, die Unterschriften „einzustufen“.

Der PDF-Reader prüft die Unversehrtheit des Dokuments in Bezug auf die Struktur: Stimmen die Daten mit dem, was unterzeichnet wurde, überein? Wurde das PDF nach der Unterzeichnung geändert?

Da die Signatur mittels eines Zertifikats erfolgt, analysiert Acrobat dieses Zertifikat und prüft, ob es zum Zeitpunkt seiner Nutzung nicht abgelaufen oder widerrufen war und ob es in der Trust-Liste enthalten ist, um es als vertrauenswürdiges Zertifikat zu betrachten. Es gibt mehrere Wege, um das Vertrauen von Acrobat zu gewinnen:

  1. Die erste Möglichkeit ist die Trusted-List der Europäischen Union (Europäischen Union), die durch die geltende EU-Gesetzgebung geregelt wird (auch eIDAS genannt).Die europäische Trusted-List umfasst bislang lediglich qualifizierte Dienstleistungen auf höchster europäischer Ebene. Die Qualifizierung basiert auf folgenden Elementen:

    • Eine Prüfung der Identität von Angesicht zu Angesicht
    • Die holistische Anwendung von Sicherheitsmaßnahmen auferlegt durch die Zertifizierungsbehörde
    • Ein Sicherheitsaudit, bei dem die Eignung unterbreitet wird und dessen Ergebnis, im Falle von Yousign als französische Firma, von der französischen Behörde für Informationssicherheit (ANSSI) bestätigt werden muss.
    • Im Gegensatz zur AATL werden die Anforderungen und Regeln für die Aufnahme in diese Liste durch EU-Gesetzgebung geregelt. Bis jetzt ist lediglich diese Liste rechtswirksam..
  2. Eine zweite Option, um das Vertrauen zu erhalten, ist eine Aufnahme der Vertrauensdiensteanbieter in die AATL (Adobe Approved Trust List). Dieses eigens von Adobe entwickelte Programm umfasst Zertifizierungsstellen, die die von Adobe auferlegten technischen Anforderungen vollständig erfüllen. Diese Listen werden von Adobe verwaltet und die darin enthaltenen Akteure erfüllen die Regeln des amerikanischen Unternehmens. Selbstverständlich können die Anforderungen von Adobe sich ändern.

  3. Die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, kann auch manuell in die lokal installierte Acrobat Reader Version eingefügt werden. Wenn die im Dokument enthaltenen Unterschriften also von einem lokalen System, in welchem die Zertifizierung des Zertifikats manuell hinzugefügt wurden, geprüft werden, erscheint im Acrobat Reader das grüne Häkchen. Wird dasselbe Dokument jedoch auf einem Computer geöffnet, der nicht zum gleichen Computernetzwerk gehört, wird eine andere Farbe angezeigt

Damit in Acrobat beim Überprüfen der Signatur ein grünes Häkchen erscheint, muss die Zertifizierungsstelle also entweder in AATL oder in EUTL oder im besten Falle in beiden Listen vertreten sein

Weshalb kann bei einer gültigen Signatur dennoch ein orangefarbenes Zeichen erscheinen?

Es gibt auch einige etwas schwammige Situationen, in denen für eine Zertifizierungsstelle ein orangefarbenes Zeichen angezeigt werden kann, obwohl sie alle entsprechenden Regelungen erfüllt.

So reicht es zum Beispiel bei einer fortgeschrittenen e-Signatur nicht immer aus, in der AATL oder EUTL vertreten zu sein, um ein grünes Häkchen zu erhalten.

In manchen Fällen kommt ein weiteres Auswahlkriterium ins Spiel: das Niveau der Zertifizierung zur Überprüfung der elektronischen Signatur.

Wir werden jetzt nicht detailliert auf die verschiedenen Stufen der Signatur eingehen, da wir diesem Thema bereits einen ganzen Artikel gewidmet haben. Bei der fortgeschrittenen Signatur ist das Niveau des verwendeten Zertifikats maßgeblich. Insgesamt gibt es sechs verschiedene Niveaus, für diesen Artikel werden wir uns jedoch nur zwei von ihnen genauer ansehen:

  • Das LCP-Niveau (Lightweight Certificate Policy): Das LCP-Niveau wird durch elDAS geregelt. Es handelt sich hierbei um einen Nachweis der Identitätsprüfung, die mittels eines über eine Plattform hochgeladenen Ausweisdokuments erfolgt.
  • Das NCP-Niveau (Normalized Certificate Policy): Das NCP-Niveau setzt sich aus dem LCP-Niveau und einem Nachweis der Identität des Unterzeichners durch eine Prüfung von Angesicht zu Angesicht zusammen

Eine fortgeschrittene Signatur mit ausgestelltem Zertifikat mit LCP-Niveau kann zertifiziert werden und somit die eIDAS-Norm erfüllen. Dennoch erhält sie im Adobe Acrobat Reader ein orangefarbenes Zeichen und kein grünes Häkchen.

Mit Acrobat Reader ist die Überprüfung der Rechtmäßigkeit von elektronischen Signaturen in einem Dokument ein Kinderspiel.
Jedoch gehen bei dem Farbcode-System, das durchaus Klarheit bietet, einige Nuancen verloren. Ein grünes Häkchen in Acrobat ist zwar in der Tat ein gutes Omen, aber auch nicht der Heilige Gral bei der Überprüfung einer elektronischen Signatur. Im Gegensatz dazu beweist das rote Häkchen ganz eindeutig die Ungültigkeit der verwendeten Unterschriften. Bei dem orangefarbenen Zeichen handelt es sich dagegen um eine Zwischenstufe, die nuanciert betrachtet werden muss. Ein orangefarbenes Zeichen bedeutet nicht immer, dass ein Problem hinsichtlich der Rechtmäßigkeit der in Ihrem Dokument vorhandenen Signaturen vorliegt.