Hauptbereich
Wie sicher ist eine elektronische Signatur?
Die sicherste Art der elektronischen Signaturen ist die qualifizierte elektronische Signatur (QES) – sowohl was das Handling als auch die Verschlüsslung angeht. Es gibt diverse Massnahmen, welche diese Sicherheit gewährleisten. Mehr darüber erfahren Sie in diesem Artikel.
Zum Webinar anmeldenSo werden qualifizierte elektronische Signaturen geschützt
Wenn es um die Sicherheit und Vertrauenswürdigkeit von elektronischen Signaturen geht, muss mehr betrachtet werden als nur die eingesetzte Verschlüsselungstechnik. Es muss zum Beispiel bereits bei den Anbietern und der vorgängigen Identitätsprüfung angesetzt werden.
Auflagen
Nur offizielle Vertrauensdienstanbieter wie SwissSign dürfen qualifizierte elektronische Signaturen anbieten und entsprechende Identitätsprüfungen durchführen. Sie müssen den strengen Auflagen des Bundesgesetzes über die elektronische Signatur (ZertES) entsprechen und die Konformität regelmässig in Audits beweisen.
Identitätsprüfung
Grundsätzlich geht es bei der Identitätsprüfung darum sicherzustellen, dass eine Person tatsächlich diejenige ist, für die sie sich ausgibt. Wer mit einer qualifizierten elektronischen Signatur unterschreiben möchte, muss diese Prüfung vorgängig durchführen. So kann die Signatur mit Sicherheit klar einer bestimmten Person mit einer geprüften Identität zugeordnet werden.
SwissSign bietet die Identitätsprüfung beispielsweise online oder vor Ort an – beides ist kostenlos.
Weitere Informationen zur Identitätsprüfung
Zwei-Faktor-Authentifizierung (2FA)
Wird ein Dokument mit einer qualifizierten elektronischen Signatur unterschrieben, muss dies mittels eines zweiten Faktors bestätigt werden. So wird der Unterzeichner beispielsweise im Signaturraum von SwissID Sign aufgefordert, die Signatur über die SwissID App mittels Biometrie via Fingerabdruck oder Gesichtserkennung freizugeben.
Verschlüsselung
Wenn es um die Verschlüsselung von elektronischen Signaturen geht, gilt es zuerst ein häufiges Missverständnis zu klären. Im Zusammenhang mit Verschlüsslung wird nämlich von digitaler Signatur gesprochen – welches kein Synonym für elektronische Signatur ist. Dabei handelt es sich stattdessen um einen technischen Begriff für ein Verschlüsselungsverfahren. Verschlüsselt werden elektronische Signaturen mit asymmetrischer Kryptografie. Das gewährleistet die Authentizität und Integrität.
- Authentizität: Die Signatur wurde von einem bekannten Absender erstellt und ist gültig.
- Integrität: Das unterzeichnete Dokument wurde nachträglich nicht verändert.
Die Verschlüsselung kurz erklärt
Wird etwas mittels asymmetrischer Kryptografie verschlüsselt, erstellt der Sender einen einzigartigen Private Key. Der Empfänger erhält einen dazu passenden Public Key. Dieses Schlüsselpaar ermöglicht die Ver- und Entschlüsselung. Im Falle der elektronischen Signatur wird der sogenannte Hash-Wert – ein kryptografisch errechneter Fingerabdruck eines Dokumentes – verschlüsselt gespeichert. Der private Schlüssel wird also nicht auf das Dokument selbst, sondern auf dessen Hash-Wert angewendet. So kann zweifelsfrei nachgewiesen werden, wenn ein Dokument manipuliert, also nachträglich verändert, wurde.
Validierung
Anders als bei handschriftlichen Unterschriften erfolgt die Prüfung bei einer qualifizierten elektronischen Signatur nicht anhand des Schriftbildes, sondern mittels eines mathematischen Verfahrens. Jede qualifizierte elektronische Signatur ist mit einem digitalen Zertifikat versehen, welches einer bestimmten Person zugeordnet ist. Bei der Validierung wird geprüft, ob der Unterzeichnende über das entsprechende digitale Zertifikat verfügt und ob es von einer akkreditierten Zertifizierungsstelle ausgestellt wurde.
So erkennen Sie, ob eine elektronische Signatur gültig ist
Variante 1: Adobe Acrobat Reader
Enthält ein PDF elektronische Signaturen eines Mitglieds der Adobe Approved Trust List, prüft der Adobe Acrobat Reader beim Öffnen des Dokuments automatisch, ob die Unterschriften gültig sind. Sie erhalten eine der folgenden beiden Meldungen:
- «Unterschrieben und alle Unterschriften sind gültig.»
- «Es gibt bei mindestens einer Unterschrift Probleme.»
Ausserdem können Sie sich die Unterschriftseigenschaften anzeigen lassen. Darin finden Sie unter anderem folgende Informationen:
- Name des Unterzeichners
- Signaturzeitpunkt
- Hinweis, ob das Dokument nachträglich verändert wurde
- Details zu den Zertifikaten des Ausstellers und des Unterzeichners
- Hinweis, ob der Aussteller Mitglied der Adobe Approved Trust List ist (grünes Häkchen)
Variante 2: Validator des Bundes
Als Alternative zum Adobe Acrobat Reader können Sie auch den Validator des Bundes nutzen.
Er überprüft Dokumente auf folgende zwei Punkte:
- Authentizität: Ist die elektronische Signatur gemäss ZertES gültig?
- Integrität: Ist die signierte Datei unverändert?
Dafür laden Sie ganz einfach das zu prüfende Dokument im Tool hoch. Danach erhalten Sie eine Zusammenfassung der Dokumentprüfung:
- Ist das Dokument nach der letzten Signatur verändert worden?
- Sind die Signaturen gültig gemäss ZertES?
- Sind die Zertifikate gültig bzw. nicht revoziert?
- Sind die Zeitstempel gültig gemäss ZertES?
Lässt sich eine elektronische Signatur nicht als Screenshot einfügen?
Grundsätzlich ist es natürlich möglich, einen Screenshot von einer elektronischen Signatur zu erstellen und diesen auf einem Dokument zu platzieren. Auf den ersten Blick sieht es damit so aus, als ob ordnungsgemäss elektronisch signiert wurde. Beim genaueren Hinschauen fällt jedoch schnell auf, dass diese Signatur nicht (rechts)gültig ist. Weder der Adobe Acrobat Reader noch der Validator werden die Signatur nämlich erkennen, da sie nur als visuelles Element und nicht als «echte» elektronische Signatur platziert wurde. Somit kann sie nicht mehr validiert werden.
Fazit
Alle aufgeführten Punkte zeigen auf, dass eine qualifizierte elektronische Signatur grundsätzlich sehr sicher ist. Sie lässt sich nicht einfach fälschen und die Gültigkeit kann in wenigen Schritten unkompliziert überprüft werden. Wichtig dafür ist jedoch, dass die Dokumente digital abgelegt und aufbewahrt werden. Nur in digitaler Form ist eine Validierung möglich.