Wie funktioniert eine digitale Signatur?

In einer zunehmend digitalisierten Welt ist die Notwendigkeit, Dokumente schnell, sicher und rechtsverbindlich zu unterschreiben, größer denn je. Traditionelle handschriftliche Unterschriften sind nicht nur zeitaufwendig, sondern bergen auch das Risiko von Fälschungen und Manipulationen. Hier kommen digitale Signaturen ins Spiel. Sie bieten nicht nur eine effiziente Alternative zur handschriftlichen Unterschrift, sondern erhöhen auch die Sicherheit und Rechtsgültigkeit von Dokumenten im digitalen Raum. Doch was genau steckt hinter einer digitalen Signatur? Wie funktionieren kryptografische Schlüssel, Zertifikate und die Qualifizierte Elektronische Signatur (QES)? In diesem Artikel beleuchten wir die verschiedenen Facetten der digitalen Signatur und erklären, warum sie ein unverzichtbares Werkzeug für Unternehmen und Einzelpersonen gleichermaßen ist.

Hinter dieser grundsätzlichen Frage verbirgt sich in der Tat eine Verwendungsweise, die viele von uns bereits kennen, die aber für Verwirrung sorgen kann. Nein, wenn Sie Ihre handschriftliche Unterschrift einscannen oder auf einem Mobilgerät mit einem unleserlichen Gekritzel unterschreiben, ist dies keine digitale oder elektronische Signatur. Warum das so ist, wird klar, wenn man eingescannte Unterschriften zu Ende denkt: Würde ein Vertrag mit meiner eingescannten Signatur in die digitale Welt geschickt werden und das Aussehen dieser wäre maßgeblich für die Rechtskräftigkeit, dann könnte theoretisch jede Person, die diesen Vertrag erhält, die Unterschrift fälschen, indem sie sie kopiert und woanders einfügt.

Die elektronische Signatur ist ein technisches und rechtliches Verfahren, mit dem man seine Einwilligung und Genehmigung zu digitalen Dokumenten, wie einer PDF-Datei, erklären kann. Sie besteht weder in einem Bild noch in einer Zeichnung. Es ist ein digitales Instrument, das die Bedingungen und Standards, die von den europäischen und jeweiligen nationalen Behörden der EU vorgegeben wurden, einhalten muss. Digitale Signaturen basieren auf kryptografischen Schlüsseln, die in einem digitalen Zertifikat hinterlegt sind. Dieses Zertifikat kann in der Cloud von einem vertrauenswürdigen Anbieter sicher verwaltet werden.

 Die Online-Signatur hat nichts mit einer handschriftlichen Unterschrift zu tun. Das ist übrigens auch der Grund, warum das Aussehen von digitalen Signaturen vollkommen unerheblich ist. Hinter der Anzeige Ihres Namens und Vornamens verbirgt sich nämlich eine Reihe von Zahlen, die einer Datei und einer bestimmten Person zugeordnet sind. Kurz: ein kryptografisches Verfahren zur Verschlüsselung von Daten mit einem Public Key.

Elektronische Signaturen sind ein Oberbegriff für verschiedene Arten elektronischer Unterschriften. Darunter zählt auch die “digitale Signatur”. 

Elektronische und digitale Signaturen sind beides Verfahren, um Dokumente und Verträge online zu unterschreiben. Allerdings unterscheiden Sie sich z.B. in Bezug auf die jeweiligen Einsatzgebiete, die verwendeten Schlüssel, die technische Infrastruktur sowie die rechtlichen Anforderungen.

Yousign verwendet die Begriffe “Elektronische Signatur” und “Digitale Signatur” der Einfachheit halber synonym. Digitale Signaturen bieten jedoch in vielen Fällen durch ihre kryptografischen Keys ein höheres Maß an Sicherheit

Die digitale Signatur bietet eine Reihe von Vorteilen:

• Zeitersparnis: Die Unterzeichnung eines offiziellen Vertrags (Arbeitsvertrag, Bestellschein, Leasingvertrag, Mietvertrag elektronisch unterzeichnen usw.) erfordert normalerweise die Unterschrift beider Parteien. Üblicherweise treffen sich die Unterzeichner persönlich an einem bestimmten Ort, um den Vertrag zu signieren. Ist ein persönliches Treffen nicht möglich, werden die Verträge per Post versendet und der Empfänger schickt sie danach wieder zurück. Dieses Hin und Her ist zeitraubend. Mit der digitalen Signatur hingegen können Sie Ihre Unterlagen einfach über eine Plattform für E-Signaturen versenden – und der Prozess ist sofort abgeschlossen!
• Kostenersparnis: Sie müssen keine Verträge mehr in x-facher Ausführung ausdrucken. Mit der digitalen Signatur sparen Sie Platz sowie Druck- und Papierkosten.
• Sicherheit und Regelkonformität: Die digitale Signatur ist ein technisches Verfahren, das insbesondere durch die europäische Verordnung eIDAS reglementiert wird. Jeder Anbieter wird in Deutschland von Aufsichtsbehörden geprüft - die von der Europäischen Kommission festgelegten Regeln müssen strengstens eingehalten werden.

• Die Einfache Elektronische Signatur (EES): Dies ist die niedrigste Signaturstufe, die jedoch den Bedürfnissen der überwiegenden Mehrheit entspricht. Sie ermöglicht es, zB Verträge mit wenigen Klicks zu unterschreiben und eine Authentifizierung mit einem SMS-Code, der an den
  Unterzeichner
  gesendet wird, zu nutzen.
• Die Fortgeschrittene Elektronische Signatur (FES): Die FES ist die mittlere Sicherheitsstufe mit höheren Anforderungen an die Verifizierung der Identität von Unterzeichner
  .
• Die Qualifizierte Elektronische Signatur (QES): Diese Signaturebene verfügt über das Höchstmaß an Sicherheit und die intensivste Identitätsprüfung von Unterzeichner:innen . Die qualifizierte digitale Signatur basiert auf einem besonders sicheren Zertifikat, das häufig in der Cloud gespeichert wird.

Die eIDAS-Verordnung (electronic IDentification, Authentication and Trust Services) regelt die Vorschriften für elektronische Identifizierung, Vertrauensdienste und digitale Dokumente. Es handelt sich dabei um die europäische Verordnung Nr. 910/2014 des Europäischen Parlaments und des Europäischen Rates vom 23. Juli 2014. Der Zweck ihrer Einführung besteht ganz einfach darin, einen rechtlichen europäischen Rahmen und EU-Standards zu schaffen, um die Entwicklung des Marktes für digitale Vertrauensdienste zu fördern.

Es ist ziemlich einfach, befolgen Sie einfach die Schritte in diesem Video!

Sobald Ihre Dokumente von allen Beteiligten unterzeichnet sind, wird eine sogenannte "Nachweisdatei" erstellt, die alle wichtigen Informationen über den Unterzeichnungsprozess enthält. Diese Datei kann als PDF gespeichert und sicher in der Cloud archiviert werden.

Mit Yousign wird diese Beweisakte automatisch 10 Jahre lang bei unserem vertrauenswürdigen Partner Arkhineo archiviert und ist direkt über Yousigns Web-App bzw. API zugänglich. Arkhineo ist ein eIDAS-konformer Computersicherheitsdienst, dessen IT-Infrastruktur für Archivierung den höchsten Sicherheitsstandards entspricht. Für den Erhalt und die sichere Aufbewahrung Ihrer Dokumente ist also gesorgt.

Es ist wichtig, zwischen der Speicherung von Dokumenten und der Archivierung der Nachweisdateien zu unterscheiden:

• Die Speicherung von Dokumenten bedeutet, dass Yousign Ihre Dokumente auf sicheren Servern speichert. Sie können jederzeit über Ihre Web-App oder API für digitale Signaturen auf Ihre Dokumente zugreifen.
• Die Archivierung der Nachweisdateien ist ein systematischer Prozess. Jedes Mal, wenn ein Signaturverfahren abgeschlossen ist, wird automatisch eine “Beweisakte” erstellt und bei unserem Partner archiviert. Diese Nachweisdatei belegt den ordnungsgemäßen Ablauf des Signaturverfahrens und kann im Falle eines Rechtsstreits von Nutzen sein.

Lassen Sie uns einen kleinen Exkurs in die Praxis machen und die Dokumente, die Sie rechtlich gesehen mit einer digitalen Signatur unterschreiben können, genauer beleuchten. So können Sie Ihre eigenen Bedürfnisse anschließend besser definieren.

Die Aufzählung kann natürlich nicht vollständig sein, da sie um viele Aspekte erweitert werden kann.

Die elektronische Signatur kann in verschiedenen Bereichen hilfreich sein:

• Personalwesen
• Immobilien
• Versicherungen
• Handel
• Banken
• Recht

Sie werden alle Verträge signieren können, die in Ihren Tätigkeitsbereich fallen, sofern sie bereits unter Einhaltung der Sicherheitsregeln digitalisiert sind.

Natürlich können wir bei dieser Thematik nicht 100 % objektiv sein … ;) Wir finden, dass die ideale e-Sign-Lösung folgende Kriterien erfüllen muss:

• Universelle Einsetzbarkeit: Sie sollten in der Lage sein, Ihre Dokumente überall und auf jedem Gerät (Desktop, Tablet, Mobiltelefon) zu jeder Zeit zu unterzeichnen. Eine digitale Signatur sollte immer leicht zugänglich sein, egal ob auf einem mobilen Gerät oder einem Desktop-PC, und am besten über eine Cloud-Plattform verwaltet werden.
• Schnelligkeit: Das Senden, Empfangen und Unterzeichnen von Verträgen sollte schnell, reibungslos und ohne Verzögerungen ablaufen.
• Sicherheit: Die von Ihnen gewählte Plattform für digitale Signaturen sollte die europäischen eIDAS-Vorschriften sowie die Regeln der deutschen Gesetzgebung einhalten. Schlüssel und Zertifikate sollten sicher verwaltet und regelmäßig überprüft werden.
• Einfachheit: Der Unterzeichnungsprozess eines Dokuments über ein Tool für elektronische Signaturen sollte einfach, verständlich und intuitiv sein!

Wie der Name schon sagt, können Sie mit der digitalen Signatur Dokumente unterzeichnen. Über diese einfache Tatsache hinaus erlaubt sie es, die Identität der unterzeichnenden Personen und die Integrität der Nachricht oder des Dokuments zu garantieren.

Mit der europäischen eIDAS-Verordnung (Ratifizierung am 23. Juli 2014) und dem deutschen Vertrauensdienstegesetz wurde der rechtliche Rahmen für die Verwendung der digitalen Signatur gesteckt. Die europäische Gesetzgebung ist weltweit eine der strengsten, wenn nicht sogar die strengste. Softwareanbieter müssen ein sehr präzises Zertifizierungsverfahren durchlaufen und sind verpflichtet, die von dieser Verordnung vorgegebenen Regeln einzuhalten.

Ein vertrauenswürdiger Anbieter wie Yousign muss sich beispielsweise einer Prüfung durch die mit den Kontrollen beauftragten Expert:innen unterziehen, um eine Zertifizierung zu erhalten. 

Diese Expert:innen arbeiten in unabhängigen privaten Instituten, die von der Europäischen Kommission dazu autorisiert wurden. Ihre Berichte werden im Falle Deutschlands von der Bundesnetzagentur analysiert. Wer mehr dazu erfahren möchte, kann diesen Blogartikel über das Signaturgesetz aufrufen.

Nach diesen grundsätzlichen Erklärungen kommen wir nun zum Hauptthema dieses Artikels. Bevor wir Ihnen den konkreten Ablauf der Erstellung einer Unterschriftenanfrage schildern, werfen wir zunächst einen Blick hinter die Kulissen und erklären Ihnen den technischen Prozess.

Wie bereits zu Beginn des Artikels erwähnt, basieren digitale Signaturen auf einem Verfahren der kryptografischen Verschlüsselung von Daten (auf Englisch: Public Key Infrastructure). Was damit gemeint ist? Die unterzeichnende Person erhält einen privaten Schlüssel, wenn sie das Dokument digital signiert. Möchte jemand das Dokument nach dem Signieren anschauen, benötigt er oder sie dafür einen öffentlichen Schlüssel. Gelingt es dem Nutzer, das Dokument mit dem öffentlichen Signaturschlüssel zu öffnen, ist es die Bestätigung dafür, dass die Datei seit der Unterzeichnung nicht verändert wurde.

Wenn Sie eine Unterzeichner:in bitten, ein Dokument digital zu unterschreiben, wird diese eine E-Mail erhalten, über die er direkt zu dem Dokument geleitet wird, das er unterzeichnen muss. 

Nachdem der Unterzeichner sich dieses Dokument durchgelesen hat, signiert sie das Dokument, indem sie zunächst über einen SMS-Code, der an ihre Mobilfunknummer geschickt wird, ihre Identität bestätigt. Es gibt auch andere Authentifizierungsmethoden, falls Sie die Handynummer nicht kennen.

Nach Abschluss dieses Vorgangs erhält der Unterzeichner dann eine E-Mail, in der bestätigt wird, dass das Dokument signiert wurde. Die signierten Unterlagen stehen dann sowohl in der E-Mail als auch im Kundenkonto in PDF-Form zum Download zur Verfügung. Diese PDF-Dateien können dann sicher in der Cloud gespeichert werden.

Um ein gesteigertes Niveau an Sicherheit zu erzielen, können Unterzeichner:innen zusätzlich zur Eingabe des Einmalpassworts via SMS dazu aufgefordert werden, noch eine Kopie seines bzw. ihres Ausweisdokuments hochzuladen oder abzufotografieren. In diesem Fall würde die Unterzeichner dann eine Fortgeschrittene Elektronische Signatur (FES) erstellen.

Der Lichtbildausweis (Personalausweis, Reisepass oder Aufenthaltsgenehmigung - Führerscheine sind keine amtlichen Ausweisdokumente und werden dementsprechend nicht akzeptiert) wird dann automatisch auf Kohärenz überprüft:

• die Kohärenz des MRZ-Streifens
• die Kohärenz der visuellen Sicherheitselemente insgesamt
• das Gültigkeitsdatum des Personalausweises

Nach Abschluss der automatischen Überprüfung und Genehmigung des Identitätsdokuments können Signaturersteller:innen die Unterlagen signieren.

Wie bereits erwähnt, wird bei der digitalen Unterzeichnung eines Dokuments eine Prüfdatei mit Nachweisen (Englisch: Audit Trail) erstellt. Dieses Dokument enthält alle Informationen, die zum ordnungsgemäßen Verlauf des Signaturvorgangs beigetragen haben. Es kann je nach Art der Authentifizierung mehrere Informationen enthalten, unter anderem:

• Name des Verfahrens
• ID des Verfahrens
• Hash-Wert
• Datum der Erstellung
• Versanddatum
• Besondere Informationen zur unterzeichnenden Person (Name, Vorname, E-Mail-Adresse, IP-Adresse) 
• Informationen zur Authentifizierung des Unterzeichners bzw. der Unterzeichnerin: Authentifizierungsart, Uhrzeit der Bestätigung usw.
• Zeitstempel

Dieser Nachweisordner enthält eine Vielzahl von Informationen, die im Falle einer juristischen Streitsache sehr wertvoll sind, um die Signatur technisch nachvollziehen zu können. Bei Yousign bleibt dieser Audit Trail 10 Jahre lang archiviert, da wir ein Vertrauensdiensteanbieter gemäß elDAS sind. Sie sind zudem direkt in Ihrem e-Signatur-Dashboard zugänglich.

So funktioniert also die digitale Signatur. Der technische Ablauf dahinter wurde für die Zwecke dieses Artikels natürlich sehr vereinfacht dargestellt. Allerdings ist es wichtig, zu verstehen, dass die digitale Signatur die einzige Option ist, die den praktischen Aspekt mit den Sicherheitsanforderungen vereint, um Ihre Dokumente rechtssicher digital zu unterschreiben.

Arbeitsverträge, Mietverträge, Rahmenverträge, SEPA-Mandate, Kostenvoranschläge, usw. - alle diese Dokumente sind vereinbar mit der digitalen Signatur. Eine Software für digitales Unterschreiben gibt Unternehmen die Möglichkeit, die Kommunikation innerhalb der Firma und mit Kund:innen zu verbessern, umweltfreundlich zu agieren sowie Zeit und Kosten zu sparen, die mit der Verwendung von Papier verbunden sind.

Und nun zum Abschluss noch eine weitere gute Nachricht: Die Web-App und API von Yousign können Sie 14 Tage lang kostenlos testen. 👇🏼