Erläuterungen zum Begriff „digitale Signatur“

Was sind digitale Signaturen?

Digitale Signaturen sind die sicherste Variante elektronischer Unterschriften. Sie erfüllen selbst die strengsten Vorgaben für Sicherheit und Rechtsgültigkeit, da sie ein Höchstmaß an Zuverlässigkeit bei der Authentifizierung von Unterzeichnern und Dokumenten bieten. Digitale Signaturen verwenden eine zertifikatbasierte digitale ID, die von anerkannten Zertifizierungsstellen und Vertrauensdiensten ausgestellt wird. Wenn Sie ein Dokument unterschreiben, wird Ihre digitale Identität Ihrer Person eindeutig zugeordnet, und Ihre Unterschrift wird verschlüsselt mit dem Dokument verknüpft. All diese Informationen können über eine Technologie namens PKI (Public Key Infrastructure) verifiziert werden.

Sichere digitale Signatur

Was macht digitale Signaturen so sicher?

Eine digitale Signatur ist gegen Manipulationen gesichert. Sie wird gemäß höchsten Sicherheitsstandards erstellt, geschützt und abgesichert – vom Zeitpunkt der Ausstellung eines digitalen Zertifikats bis zur Archivierung der unterschriebenen Dokumente und darüber hinaus. Die wichtigsten Gründe, warum digitale Signaturen sicher sind:

Vertrauenswürdig

Standardkonforme digitale IDs werden von anerkannten Zertifizierungsstellen ausgestellt. Sie müssen Ihre Identität nachweisen, bevor Sie eine digitale ID erhalten.

Verschlüsselt

Ihre digitale Signatur und das unterschriebene Dokument werden gemeinsam verschlüsselt und mit einem manipulationssicheren Siegel versehen.

Eindeutig

Jedes Mal, wenn Sie ein Dokument unterschreiben, werden Ihre persönlichen Daten und Ihre Identität mittels eines Zertifikats und einer PIN bestätigt, die Ihnen eindeutig zugeordnet sind.

Nachprüfbar

Sowohl das unterschriebene Dokument als auch Ihre digitale Signatur können auch lange nach der Unterzeichnung von Zertifizierungsstellen oder Vertrauensdiensten erneut überprüft werden.

Die ersten digitalen Signaturen in PDFs

Im Jahr 1999 hat Adobe erstmals digitale Signaturen in Adobe Acrobat und Adobe Acrobat Reader eingeführt. In einer branchenweiten Zusammenarbeit mit Experten und Zertifikatanbietern wurde daraus ein offener Standard, der von ETSI aufgegriffen und zum internationalen Standard PAdES (PDF Advanced Electronic Signature) ausgebaut wurde. Dieser Standard wird heute für Milliarden von Unterschriftstransaktionen pro Jahr verwendet.
Cloud-basierte Signaturen
Cloud-basierte Signaturen – die nächste Stufe
Adobe ist der weltweit erste Anbieter von offenen, auf Standards basierenden digitalen Unterschriften für Web und Mobilgeräte. Gemeinsam mit den Experten des Cloud Signature Consortium setzt Adobe neue Maßstäbe mit Lösungen, die die Verwendung sicherer digitaler IDs ermöglichen, die einfach anzuwenden und bereitzustellen sind und internationale Vorschriften erfüllen.

Wissenswertes

Häufig gestellte Fragen zu digitalen Signaturen von Adobe Sign

Ist Adobe Sign sicher?

Ja. Adobe nimmt die Sicherheit Ihrer digitalen Unterschriftsprozesse ernst. Neben den bereits erwähnten Standards entspricht Adobe Sign ISO 27001, SOC 2 Type 2 und PCI DSS sowie gesetzlichen Vorgaben für Datensicherheit wie HIPAA, GLBA und FERPA in den USA.
Im Rahmen des SPLC-Programms (Adobe Secure Product Lifecycle) werden zahlreiche, auf größtmögliche Sicherheit ausgerichtete Methoden, Prozesse und Werkzeuge implementiert, die während des gesamten Produktzyklus von Adobe Sign zum Einsatz kommen. Adobe Sign nutzt führende Sicherheitstechnologien zur Authentifizierung sowie zur Wahrung der Vertraulichkeit von Daten und Integrität von Dokumenten, um Ihre Dokumente, Daten und persönlichen Informationen zu schützen. Weitere Informationen finden Sie im Adobe Sign Trust Center.

Welche Probleme werden durch Cloud-basierte Signaturen gelöst?

Mit weltweit mehr als sieben Milliarden Mobilgeräten, dem Vormarsch von Cloud-Applikationen und der bisher größten Bedrohung durch Cyber-Kriminalität steigt die Nachfrage nach sicheren digitalen Lösungen, die außerdem bedienfreundlich und praktisch sind. Neue Vorschriften für elektronische Signaturen wie die eIDAS-Verordnung (Electronic Identification and Trust Services) der Europäischen Union untermauern die Notwendigkeit von sicheren Authentifizierungsmethoden für Unterzeichner von Dokumenten. Die höchsten Compliance-Standards erfordern eine zertifikatbasierte ID, die auf USB-Token oder Chip-Karten gespeichert wird. Diese sind allerdings kompliziert in der Handhabung, funktionieren nur mit Desktop-Computern und unterstützen moderne Web-Applikationen oder Mobilgeräte nicht.
Um dieses Problem zu lösen, haben Adobe und andere branchenführende Organisationen das Cloud Signature Consortium (CSC) gegründet. Dank Adobe Document Cloud und der vom CSC entwickelten, kürzlich veröffentlichten API-Spezifikation für einen offenen Standard können Organisationen nun auch strengste Anforderungen an die Compliance erfüllen und auf jedem Gerät hochwertige Kundenerlebnisse bereitstellen.

Warum ist die Einführung von Cloud-basierten Signaturen so bedeutend?

Auf Standards basierende digitale Signaturen in der Cloud räumen Bedenken aus, die bis dato eine allgemeine Akzeptanz elektronischer Signaturen in Europa und der ganzen Welt erschwert haben:
  • Sie sorgen bei Web-Applikationen und Mobilgeräten für die Einhaltung höchster Sicherheitsstandards.
  • Sie bedienen die Nachfrage nach Lösungen, die sich einfach anwenden und implementieren lassen.
  • Sie unterstützen die Einhaltung strengster Vorgaben, z. B. für fortgeschrittene und qualifizierte elektronische Signaturen gemäß eIDAS-Verordnung der Europäischen Union.
  • Sie machen die Installation von Software, das Herunterladen von Dokumenten und die Verwendung von USB-Token oder Chip-Karten überflüssig.
  • Sie bieten ein konsistentes, interoperables Framework für den Einsatz von digitalen IDs und Unterschriftslösungen, das Unternehmen die Sicherheit gibt, dass ihre Technologieinvestitionen nachhaltig und nicht nur auf wenige proprietäre Lösungen beschränkt sind.

Was sind Vertrauensdienste?

Vertrauensdienste sind Firmen, die verschiedene Dienste für sichere Identitäten und Transaktionen anbieten, darunter auch Zertifizierungsdienste. Die eIDAS-Verordnung der EU definiert z. B. eine Klasse von Vertrauensdiensten, die zur Ausstellung von digitalen IDs in jedem EU-Mitgliedsstaat berechtigt sind. Mit diesen IDs unterzeichnete Dokumente erfüllen den höchsten Sicherheitsstandard mit sogenannten „qualifizierten elektronischen Signaturen“, die denselben rechtlichen Status haben wie händische Unterschriften, und werden von allen Teilnehmerstaaten im gegenseitigen Rechtsverkehr anerkannt. Über Adobe Sign können Sie mit einem Vertrauensdienst Ihrer Wahl zusammenarbeiten, um Dokumente zu unterzeichnen und mit einem Zeitstempel zu versehen. Dadurch können Sie sicher sein, dass Sie die Gesetze und Vorschriften in Ihrem Land oder Ihrer Branche einhalten. Während des Validierungsprozesses bestätigt Adobe, dass die ausgewählten Dienstleister vertrauenswürdige Partner mit entsprechender internationaler, regionaler oder branchenspezifischer Akkreditierung sind. Vertrauenslisten wie die Adobe Approved Trust List (AATL) und die European Union Trusted Lists (EUTL) werden von Adobe-Lösungen umfassend unterstützt.

Wofür steht „EUTL“?

European Union Trusted Lists (EUTL) sind ein Verzeichnis von mehr als 170 aktiven (und 40 früheren) Vertrauensdiensten, die die Compliance-Anforderungen der eIDAS-Verordnung erfüllen und hierfür speziell akkreditiert sind. Diese Anbieter stellen zertifikatbasierte digitale IDs für Einzelpersonen, digitale Siegel für Unternehmen und Zeitstempeldienste für die Erstellung qualifizierter elektronischer Signaturen zur Verfügung. Gemäß eIDAS-Verordnung sind nur qualifizierte Signaturen händischen Unterschriften rechtlich gleichgestellt. Im grenzüberschreitenden Geschäftsverkehr zwischen EU-Mitgliedsstaaten wird ausschließlich diese Art von Signaturen automatisch anerkannt. Dabei ist zu beachten, dass jeder EU-Mitgliedsstaat seine eigenen Überwachungsorgane für die Vertrauensdienste einsetzt. Ist ein Vertrauensdienst aber erst einmal in einem Staat anerkannt, kann er seine Dienste auch in den anderen EU-Ländern anbieten.

Worin unterscheiden sich digitale Signaturen und elektronische Unterschriften?

Eine elektronische Signatur (bzw. elektronische Unterschrift) ist im weitesten Sinne ein elektronischer Prozess zur Bekundung des Einverständnisses mit einem Vertrag oder Formular. Der Begriff „digitale Signatur“ bezieht sich meist auf eine ganz bestimmte Art von elektronischer Signatur.
  • Die meisten Lösungen für elektronische Signaturen setzen gängige Authentifizierungsmethoden wie E-Mail, Firmen-ID oder telefonisch übermittelte PINs ein, um die Identität von Unterzeichnern zu überprüfen. Bei höheren Anforderungen an die Sicherheit wird die Multi-Faktor-Authentifizierung angewendet. Die besten Lösungen für elektronische Signaturen weisen die Unterschrift im Rahmen eines abgesicherten Prozesses nach, bei dem ein Prüfprotokoll und die endgültige Fassung des Dokuments archiviert werden.
  • Digitale Signaturen sind eine spezielle Art der elektronischen Unterschrift. Sie verwenden eine zertifikatbasierte ID zur Authentifizierung der Identität des Unterzeichners und weisen die Unterschrift nach, indem die Signatur verschlüsselt mit dem Dokument verknüpft wird – die Validierung erfolgt durch anerkannte Zertifizierungsstellen und Vertrauensdienste.
Welche Arten von Unterschriften rechtsgültig sind, wird durch die jeweiligen Gesetze und Vorschriften eines Landes festgelegt. Erfahren Sie, wie diese Gesetze zur Einrichtung von Prozessen mit rechtlich bindenden elektronischen Signaturen beitragen.

In welchen Bereichen werden digitale Signaturen bereits verwendet?

Digitale Signaturen werden meist in Geschäftsprozessen eingesetzt, die hohe Geldsummen oder Risiken betreffen oder streng reglementiert sind. Beispiele:
  • Freigabe von Hypotheken auf Immobilien
  • Vergabe von digitalen IDs an Bankkunden für wichtige Transaktionen
  • Einstellung oder Entlassung von Mitarbeitern durch die Personalabteilung in Firmen, die strengen Vorgaben ihres Staates oder ihrer Branche entsprechen müssen
  • Unterschriften von Ärzten unter Dokumente, die vertrauliche Patienten- und Behandlungsdaten enthalten
  • Genehmigungen von Anträgen auf staatliche Leistungen
  • Teilnahme an Ausschreibungen, die Aussagen zu Qualität und Sicherheit von Produkten erfordern

Warum ist für Cloud-basierte digitale Signaturen ein offener Standard erforderlich?

Digitale Signaturen werden mithilfe von öffentlichen Schlüsseln verschlüsselt. Eine Public Key Infrastructure (PKI) besteht aus Lösungs-, Technologie- und Service-Anbieter. Lösungsanbieter stellen die Plattformen und Dokumentenlösungen für digitale Signaturen bereit. Technologieanbieter liefern Kernkomponenten wie Authentifizierungstechnologie, Apps und Hardware-Sicherheitsmodule (HSMs). Service-Anbieter sind für Zertifikate, Registrierungen oder Zeitstempel zuständig und unterstützen Anwender bei der Sicherstellung der Compliance. Ohne einen Standard müssten diese Anbieter proprietäre Schnittstellen und Protokolle entwickeln, was zu Kompatibilitätsproblemen führen und Implementierungen stark einschränken kann. Ein Standard für Cloud-basierte digitale Signaturen stellt sicher, dass Anbieter branchenweit konsistente, interoperable Erlebnisse für alle Applikationen und Geräte erstellen können.

Was ist eine Zertifizierungsstelle?

Zertifizierungsstellen sind akkreditierte Firmen oder IT-Dienste, die digitale Identitäten ausstellen und erfassen. Sie bestätigen vorab die Identität eines Unterzeichners und stellen dann die zertifikatbasierte digitale ID, persönliche PIN und/oder das Hardware-Sicherheitsmodul (z. B. einen USB-Token oder eine Chip-Karte) zum Erstellen von digitalen Signaturen aus. Die Zertifizierungsstelle weist also die Identität des Unterzeichners zweifelsfrei nach.

Wofür steht „AATL“?

Die Adobe Approved Trusted List (AATL) ist ein von Adobe gefördertes Programm, das es Millionen von Anwendern weltweit ermöglicht, Dokumente in Lösungen von Adobe Document Cloud mit vertrauenswürdigen digitalen IDs und Zeitstempeln digital zu unterschreiben. Zu diesen Lösungen gehören Adobe Acrobat Reader, Adobe Acrobat und Adobe Sign. Zu den AATL-Mitgliedern gehören Vertrauensdienste und Zertifizierungsstellen, die zertifikatbasierte IDs und Zeitstempeldienste für Konsumenten und/oder Unternehmen bereitstellen, die damit Dokumente mit Lösungen von Adobe Document Cloud unterschreiben, zertifizieren, mit Zeitstempeln versehen und überprüfen können. Alle Anbieter müssen strikte Auswahlkriterien erfüllen, um in die Liste aufgenommen zu werden.
Die Nutzung der Online-Dienste von Adobe ist ab 13 Jahren gestattet. Die Online-Dienste unterliegen den zugehörigen Nutzungsbedingungen sowie den Adobe-Richtlinien für den Datenschutz. Die Online-Dienste sind nicht in allen Ländern oder Sprachen verfügbar und können ohne vorherige Ankündigung geändert oder eingestellt werden. In manchen Fällen ist eine Registrierung seitens des Anwenders erforderlich. Einige Dienste sind eventuell gebührenpflichtig bzw. an ein Abonnement gebunden.