Wie funktioniert eine digitale Signatur?

Eine digitale Signatur ist ein kryptografisches Verfahren, das die Authentizität und Integrität elektronischer Dokumente sicherstellt. Sie funktioniert wie eine elektronische Unterschrift, ist jedoch technisch wesentlich ausgereifter als eine einfach eingescannte Unterschrift.

Die rechtliche Grundlage bildet die eIDAS-Verordnung (EU) Nr. 910/2014, die seit dem 1. Juli 2016 in allen EU-Mitgliedstaaten gilt. Diese Verordnung schafft einen einheitlichen Rechtsrahmen für elektronische Identifizierung und Vertrauensdienste im europäischen Binnenmarkt.

Die Begriffe "elektronische Signatur" und "digitale Signatur" werden oft synonym verwendet, haben aber eine wichtige Nuance:

• Elektronische Signatur ist der Oberbegriff für alle Arten digitaler Unterschriften
• Digitale Signatur bezieht sich spezifisch auf kryptografisch gesicherte Signaturen mit Public-Key-Infrastruktur (PKI)

Während eine eingescannte Unterschrift technisch eine elektronische Signatur ist, erfüllt nur eine kryptografisch abgesicherte Signatur die strengen Anforderungen einer fortgeschrittenen oder qualifizierten elektronischen Signatur.

Das Herzstück jeder digitalen Signatur ist die Public-Key-Infrastructure (PKI), ein System der asymmetrischen Verschlüsselung. Es basiert auf einem Schlüsselpaar:

• Privater Schlüssel (Private Key): Wird vom Unterzeichner sicher aufbewahrt und nur von ihm verwendet
• Öffentlicher Schlüssel (Public Key): Wird mit dem signierten Dokument verknüpft und zur Überprüfung verwendet

Diese beiden Schlüssel sind mathematisch miteinander verbunden, aber es ist nach NIST-Standards praktisch unmöglich, vom öffentlichen Schlüssel auf den privaten Schlüssel zu schließen.

Die asymmetrische Verschlüsselung ermöglicht es, eine Nachricht oder ein Dokument mit dem privaten Schlüssel zu signieren und mit dem öffentlichen Schlüssel zu verifizieren – ähnlich wie bei Protokollen wie PGP (Pretty Good Privacy) oder PSS (Probabilistic Signature Scheme), die in verschiedenen Anwendungen verwendet werden.

1. Dokument-Hashing: Zunächst wird aus dem zu unterzeichnenden Dokument ein eindeutiger digitaler Fingerabdruck (Hash-Wert) erstellt. Dies ist eine Zeichenfolge fester Länge, die das gesamte Dokument repräsentiert
2. Verschlüsselung: Der Hash-Wert wird mit dem privaten Schlüssel des Unterzeichners verschlüsselt. Das Ergebnis ist die digitale Signatur
3. Verknüpfung: Die digitale Signatur wird zusammen mit dem öffentlichen Schlüssel des Unterzeichners (meist in Form eines Zertifikats) an das Dokument angehängt
4. Zeitstempel: Ein qualifizierter Zeitstempel dokumentiert den exakten Signaturzeitpunkt und verhindert spätere Manipulation

1. Entschlüsselung: Der Empfänger nutzt den öffentlichen Schlüssel, um die digitale Signatur zu entschlüsseln und den ursprünglichen Hash-Wert zu erhalten
2. Neuberechnung: Parallel wird aus dem empfangenen Dokument ein neuer Hash-Wert berechnet
3. Vergleich: Stimmen beide Hash-Werte überein, ist die Integrität bestätigt. Das Dokument wurde nicht verändert und stammt vom angegebenen Absender
4. Zertifikatsprüfung: Das digitale Zertifikat wird auf Gültigkeit geprüft (ist es noch aktuell, nicht widerrufen?)

Hash-Funktionen sind zentral für die Sicherheit digitaler Signaturen. Sie erzeugen aus einem beliebig großen Dokument einen eindeutigen, kurzen Wert (typischerweise 256 oder 512 Bit).

Eigenschaften sicherer Hash-Funktionen:

• Eindeutigkeit: Selbst kleinste Änderungen am Dokument führen zu einem völlig anderen Hash-Wert
• Einwegfunktion: Aus dem Hash-Wert kann nicht auf das Originaldokument geschlossen werden
• Kollisionsresistenz: Es ist praktisch unmöglich, zwei unterschiedliche Dokumente mit identischem Hash zu finden

Gängige Hash-Algorithmen sind SHA-256, SHA-512 und seit 2024 auch SHA-3 (z.B. SHA3-256), die höchste Sicherheitsstandards erfüllen und in den aktuellen eIDAS-Technischen Standards (ETSI TS 119 312) empfohlen werden.

Die eIDAS-Verordnung unterscheidet drei Arten elektronischer Signaturen, die sich in Sicherheitsniveau, Authentifizierungsaufwand und Rechtswirkung unterscheiden.

Die Einfache Elektronische Signatur (EES) ist die grundlegendste Form. Dazu zählen:

• Eingetippte Namen in E-Mails
• Angekreuzte Kontrollkästchen
• Eingescannte Unterschriften ohne Verschlüsselung

Rechtlicher Status: Die EES wird rechtlich anerkannt, hat aber keine Beweiskraftvermutung. Im Streitfall muss der Unterzeichner nachweisen, dass er tatsächlich unterschrieben hat.

Anwendung: Geeignet für Dokumente mit geringem Risiko wie interne Freigaben, Newsletter-Zustimmungen oder erste Angebote.

Die Fortgeschrittene Elektronische Signatur (FES) erfüllt zusätzliche Sicherheitsanforderungen gemäß Artikel 26 eIDAS:

• Sie ist eindeutig dem Unterzeichner zugeordnet
• Sie ermöglicht die Identifizierung des Unterzeichners
• Sie wird mit Daten erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle hält
• Nachträgliche Änderungen am Dokument sind erkennbar

Authentifizierung: Typischerweise erfolgt diese durch E-Mail-Verifizierung kombiniert mit SMS-OTP (One-Time-Password) oder Zwei-Faktor-Authentifizierung.

Anwendung: Die FES ist der "Sweet Spot" für etwa 80% der Geschäftsdokumente – Handelsverträge, NDAs, unbefristete Arbeitsverträge, Datenschutzvereinbarungen.

Die Qualifizierte Elektronische Signatur (QES) ist die höchste Sicherheitsstufe. Sie erfüllt alle Anforderungen der FES plus:

• Basiert auf einem qualifizierten Zertifikat gemäß Artikel 28 eIDAS
• Wird mit einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt
• Wird von einem qualifizierten Vertrauensdiensteanbieter ausgestellt

Die QES ist rechtlich einer handschriftlichen Unterschrift gleichgestellt und in allen EU-Mitgliedstaaten anerkannt. Sie ist zwingend erforderlich für befristete Arbeitsverträge (§ 14 Abs. 4 TzBfG), Bürgschaften und Jahresabschlüsse.

Anwendung: Erforderlich für Rechtsgeschäfte, die gesetzlich Schriftform verlangen – befristete Arbeitsverträge, Darlehensverträge, Bürgschaften, Jahresabschlüsse.

Digitale Signaturen revolutionieren zahlreiche Geschäftsprozesse:

Personalwesen:

• Arbeitsverträge (befristet mit QES, unbefristet mit FES)
• Änderungsvereinbarungen
• Aufhebungsverträge
• Geheimhaltungserklärungen

Vertrieb und Einkauf:

• Handelsverträge und Rahmenvereinbarungen
• Dienstleistungsverträge
• Lizenzvereinbarungen
• Aufträge und Bestellungen

Finanzwesen:

• Darlehensverträge zwischen Unternehmen
• Bürgschaftserklärungen
• Versicherungsverträge
• Jahresabschlüsse

Immobilien:

• Mietverträge
• Makleralleinaufträge
• Übergabeprotokolle
• Selbstauskünfte

Die Implementierung digitaler Signaturen bringt messbare Vorteile:

• Zeitersparnis: Verträge werden deutlich schneller abgeschlossen – Studien zeigen eine Reduktion der Durchlaufzeit um 5-10 Werktage im Vergleich zu Papierprozessen (Quelle: Digital Transformation in Contract Management, ScienceDirect 2021). Keine Versandzeiten, kein Scannen, kein Warten auf Rücksendung.
• Kostenreduktion: Erhebliche Einsparungen durch Wegfall von Druck-, Versand- und Archivierungskosten – internationale Studien zeigen bis zu 80% Kostenreduktion bei vollständiger Digitalisierung aller Vertragsprozesse (Quellen: McKinsey Digital Operations Study 2022; Forrester TEI Adobe Sign 2021 mit 78% cost reduction).
• Rechtssicherheit: Kryptografische Verschlüsselung und digitale Beweisketten bieten höhere Sicherheit als Papierdokumente. Manipulation ist sofort durch Hash-Vergleich erkennbar.
• Compliance: Automatische Audit-Trails dokumentieren jeden Schritt des Signaturprozesses. DSGVO-konforme Datenverarbeitung durch europäische Anbieter.
• Kundenerlebnis: Einfache, mobile Signatur von überall – Kunden schätzen die Bequemlichkeit und Schnelligkeit.

Digitale Zertifikate sind das Rückgrat der Vertrauenswürdigkeit. Sie werden von zertifizierten Vertrauensdiensteanbietern (Trust Service Providers) ausgestellt und enthalten:

• Identität des Zertifikatsinhabers
• Öffentlicher Schlüssel
• Gültigkeitszeitraum
• Digitale Signatur der Zertifizierungsstelle

In Deutschland werden qualifizierte Vertrauensdiensteanbieter durch die Bundesnetzagentur zertifiziert und regelmäßig geprüft. Sie müssen strenge Sicherheitsanforderungen erfüllen.

Wichtige Zertifizierungsstellen:

• Deutsche Telekom Security (D-Trust)
• Bundesdruckerei
• European Commission Trusted List (für grenzüberschreitende Anerkennung)

Die rechtliche Beweiskraft hängt vom Signaturtyp ab:

• EES: Keine Beweiskraftvermutung. Der Unterzeichner muss im Streitfall nachweisen, dass er unterschrieben hat.
• FES: Erhöhte Beweiskraft durch Authentifizierung und Integritätssicherung. Zwar keine gesetzliche Vermutung, aber deutlich schwerer abzustreiten.
• QES: Volle Beweiskraftvermutung gemäß § 371a ZPO (Zivilprozessordnung). Die QES wird wie eine handschriftliche Unterschrift behandelt. Der Gegenbeweis ist nur durch Fälschungsnachweis möglich.

Digitale Signaturen sind mehr als nur elektronische Unterschriften – sie sind ein ausgeklügeltes kryptografisches Verfahren, das Authentifität, Integrität und Verbindlichkeit sicherstellt. Die eIDAS-Verordnung schafft einen einheitlichen europäischen Rechtsrahmen mit drei Sicherheitsstufen (EES, FES, QES), die für unterschiedliche Anwendungsfälle geeignet sind.

Für Unternehmen bedeuten digitale Signaturen massive Effizienzgewinne: schnellere Vertragsabschlüsse, geringere Kosten und höhere Rechtssicherheit. Die Technologie ist ausgereift, rechtlich durch eIDAS abgesichert und intuitiv nutzbar – ideal für die digitale Transformation von Geschäftsprozessen.

Sie möchten digitale Signaturen in Ihrem Unternehmen einführen? Testen Sie Yousign 14 Tage kostenlos und überzeugen Sie sich von den Vorteilen der elektronischen Signatur.