Wie lassen sich Geschäfte und Dienstleistungen sicher und rechtsverbindlich im digitalen Raum abwickeln? Das ist keine neue Frage, doch im Zuge der Pandemie wurde sie nochmals dringender. Vor die Wahl gestellt, digital anbieten oder gar nicht anbieten, suchen Unternehmen nach Alternativen zur klassischen Unterschrift auf Papier. Mario Voge, Lead Strategic Growth Manager Europe bei Swisscom Trust Services, zeigt, wie elektronische Signaturen hier helfen und beleuchtet deren technischen Hintergrund.
Es gibt eine Vielzahl von Dokumenten, die unterschrieben werden müssen, seien es Arbeitsverträge, Kreditanträge oder im medizinischen Bereich beispielsweise Rezepte. Das führt oft dazu, dass Dokumente per Post hin und hergeschickt werden, was Zeit und Kosten bedeutet. Oder es wird auf Behelfslösungen zurückgegriffen, wie das Einscannen unterschriebener Papiere. Das ist im Zweifel und bei späteren Prüfungen nicht rechtssicher. Mit der elektronischen Signatur gibt es eine Alternative, die sich direkt in digitale Prozesse einbinden lässt. Eine flächendeckende Verbreitung hat sie bisher noch nicht gefunden, aber der Druck zur Nutzung und die Nachfrage steigen immens. Das liegt einerseits an der fehlenden Bekanntheit, andererseits gibt es immer noch rechtliche Bedenken und Sorgen in Bezug auf die Zukunftsfähigkeit. Mit den hohen Hürden, die der Gesetzgeber vorgibt und der modernen Krypto-Technik, die heute zur Verfügung steht, sind diese aber unbegründet.
Rechtliche Anforderungen an elektronische Signaturen
Für den Rechtsraum der Europäischen Union werden elektronische Signaturen in der eiDAS-Verordnung [1] definiert. Vereinfacht gesagt, unterscheidet diese zwischen den drei Stufen einfache, fortgeschrittene und qualifizierte elektronische Signatur. Wichtig zu wissen ist hierbei, dass nur die qualifizierte elektronische Signatur (QES) einer händischen Unterschrift gleichgestellt ist. Im Zweifel muss sie vor Gericht auch widerlegt und nicht bewiesen werden. Die QES ist in der eIDAS-Verordnung definiert als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht“. Für die fortgeschrittene elektronische Signatur muss wiederum gelten: „Sie ist eindeutig dem Unterzeichner zugeordnet. Sie ermöglicht die Identifizierung des Unterzeichners. Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann. Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.“
Erstellung von Signaturen in der Praxis
Für die Erstellung einer elektronischen Signatur wird aus dem zu signierenden Dokument ein Hashwert (Komprimat) nach einem kryptografischen Algorithmus gebildet. Im nächsten Schritt wird in einer sichereen auditierten Umgebung ein Schlüsselpaar mit zwei Schlüsseln (einer davon ist öffentlich, der andere privat) generiert. Mit dem privaten Schlüssel wird die Signatur (Willensbekundung) ausgeführt und der öffentliche Schlüssel wird mit den Nutzerdaten angereichert und mit einer Bestätigung durch einem Trust Service Provider (Trust Center) bestätigt, dass sog. Zertifikat. Dabei wird sowohl der mit dem privaten Schlüssel signierte Hash als auch der öffentliche Schlüssel, inkl. dem Zertifkatan das Dokument „geheftet“ und können mit diesem verschickt werden. Der Dabei hat der Empfänger die Möglichkeit, die Authentizität der Signatur und Integrität des Dokumentes durch den öffentlichen Schlüssel im angehefteten Zertifikat zu prüfen. Sollte beispielsweise das Ausgangs-dokument verändert werden, würde sich auch der Hashwert ändern – der öffentliche Schlüssel ist nicht mehr in der Lage, das Dokument zu entschlüsseln.
Swisscom Trust Services bietet ein Dreieck aus elektronischer Signatur, ID und Key. Unter der ID versteht man dabei die digitale Identität, die eindeutig identifiziert werden soll. Der Key ist das Sicherheitswerkzeug, mit dem die Willensbekundung durchgeführt wird (wie beispielsweise das Smartphone) und die Signatur ist schließlich das Ergebnis nach dem Auslösen dieser Willensbekundung.
Die Technik im Hintergrund
Das Kernstück der QES bildet auf der technischen Seite die in der eIDAS-Verordnung vorgegebene qualifizierte elektronische Signaturerstellungseinheit, die durch die Aufsichtsstelle des jeweiligen EU-Staates auditiert werden muss. Das ist konkret ein Hardware-Sicherheitsmodul (HSM), in dem Schlüssel erzeugt und sicher verwahrt werden können. Diese Technologie mit höchsten Sicherheitsstandards ist beispielsweise auf dem Gebiet der Kredit- und Debitkartenausgabe schon lange etabliert und erprobt.
Das hohe Sicherheitsniveau durch HSM ist nötig, da die elektronische Signatur auf asymmetrischer Kryptografie mit einem öffentlichen und einem privaten Schlüssel basiert (s.o.). Dieses Verfahren setzt einerseits voraus, dass der private Schlüssel unter allen Umständen geheim bleiben muss, in einer hochsicheren zertifizierten (auditierten) Umgebung aufbewaht wird.Daher wird er im HSM abgelegt, dass durch physische Trennung einen starken Schutz gegen Angriffe von außen aufweist – im Gegensatz zu alternativen Software-Lösungen. Auf der anderen Seite müssen die Algorithmen, die die Beziehung zwischen privatem und öffentlichen Schlüssel herstellen, entsprechend komplex sein. Ansonsten könnte der private Schlüssel aus dem öffentlichen errechnet werden.
Gefahr durch Quantencomputer?
Dass Verschlüsselungsalgorithmen geknackt werden, ist eine nicht unrealistische Gefahr, so geschehen beim Hash-Verfahren SHA-1[2]. Um diesen Vorfall einzuordnen muss man bedenken, dass der Algorithmus schon relativ alt ist und bereits als „angeschlagen“ galt. Nichtsdestotrotz benötigte die Entschlüsselung mehr als 6.500 CPU-Jahre und nochmal 100 GPU-Jahre – eine technologische Kraftanstrengung also. Aktuell werden aber an verschiedenen Stellen Quantencomputer entwickelt. Bis diese in der Praxis verfügbar sind, werden noch einige Jahre vergehen, doch bereits heute steht fest, dass ihre Rechenleistung konventionelle Supercomputer in den Schatten stellen wird. Frei nach Murphys Gesetz ist davon auszugehen, dass Quantencomputer früher oder später auch für Angriffe auf kryptografische Verfahren genutzt werden. Algorithmen, die heute noch als sehr sicher gelten, könnten dann binnen Minuten oder gar Sekunden geknackt werden. Darauf muss man sich bereits heute vorbereiten und auf dem Gebiet der sogenannten Post-Quanten-Kryptografie wird auch intensiv geforscht. Lösungen, die quantensichere Algorithmen verwenden, sind auch bereits auf dem Markt erhältlich.
Ein Problem, das vermutlich bislang kaum jemand vor Augen hat, sind veraltende Signaturen. Sind Dokumente, die nach dem heutigen Stand der Technik signiert werden, auch noch in zehn Jahren sicher? Kommt es bis dahin zum Durchbruch der Quantencomputer, muss man diese Frage mit Nein beantworten. Deshalb wird es in Zukunft darauf ankommen, digital signierte Dokumente, die einer Aufbewahrungspflicht unterliegen, regelmäßig nach dem aktuellen Stand zu „re-signieren“. Dieses Problem kann allerdings mit dem Anhängen von Zeitstempelservices, auch Long Time Validation (LTV) genannt, gelöst werden. In der Praxis bedeutet das: Erstellte und signierte Dokumente können so auch in 20 Jahren als verbindlich eingestuft und geprüft werden, da zum Zeitpunkt der Unterschrift, der LTV-Bestätigung, die Signatur und alle vorgelagerten Prozesse, also Identifizierung, Schlüsselerzeugung und Zertifikatserstellung, korrekt waren.
Wenn die Sicherheitsmechanismen stets der aktuellen Entwicklung angepasst werden, haben Unternehmen allerdings mit der elektronischen Signatur ein hochsicheres Verfahren zur Verfügung, das die vollumfängliche Digitalisierung von Geschäftsprozessen und Kundeninteraktionen ermöglicht.
Quellen und Referenzen:
[1] https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0910
[2] https://www.heise.de/security/meldung/Todesstoss-Forscher-zerschmettern-SHA-1-3633589.html
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.