{"id":7493,"date":"2020-05-07T12:04:46","date_gmt":"2020-05-07T10:04:46","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7493"},"modified":"2025-11-20T11:50:32","modified_gmt":"2025-11-20T10:50:32","slug":"elektronische-signatur-wir-raeumen-auf-mit-mythen","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/elektronische-signatur-wir-raeumen-auf-mit-mythen\/","title":{"rendered":"Elektronische Signatur: Wir r\u00e4umen auf mit Mythen"},"content":{"rendered":"

Bei elektronischen Dokumenten ersetzt die elektronische Signatur die handschriftliche Unterschrift. Das macht Sinn, l\u00e4sst sich doch durch eine solche Signatur die Herkunft, die Echtheit und die Unversehrtheit des betreffenden Dokuments pr\u00fcfen. Anfang Januar wiesen wir in unserem Artikel \u201eSicherheitskatalog f\u00fcr digitale Identit\u00e4ten vom BSI\u201c<\/a> bereits auf das neue eID Security Framework des BSI hin. Heute m\u00f6chten wir mit diversen Irrt\u00fcmern und Mythen rund um die elektronische Signatur aufr\u00e4umen.<\/p>\n

E-Signatur: Fakt statt Fake<\/h2>\n

Die elektronische Signatur schafft Fakten statt Fakes. Dennoch: Es kursieren verschiedene Annahmen, die die E-Signatur fast schon mystisch erscheinen lassen. So glauben beispielsweise einige, die elektronische Signatur sei ein optischer Platzhalter f\u00fcr die Stelle, an der eigentlich die handschriftliche Signatur steht. Andere meinen, die E-Signatur sei nicht rechtsg\u00fcltig. Es halten sich hartn\u00e4ckig verschiedene Ger\u00fcchte, mit denen wir nun aufr\u00e4umen wollen:<\/p>\n

Mythos 1: Es gibt nur eine Art der digitalen Signatur<\/h3>\n

Um mit Mythen aufzur\u00e4umen, ist es zun\u00e4chst sinnvoll, sich mit der elektronischen Signatur selbst zu befassen. Die EU-weite Verordnung eIDAS ist seit 2016 in Kraft und betrifft neben den 28 EU-Mitgliedsstaaten auch den Europ\u00e4ischen Wirtschaftsraum (EWR). Hinter eIDAS verbirgt sich die Verordnung \u00fcber elektronische Identifizierung und Vertrauensdienste. Hier wurden nicht nur elektronische Signaturen neu geregelt, sondern auch Dienste, die sich um elektronische Siegel sowie Zeitstempel oder Website-Zertifikate drehen. Die eIDAS-Verordnung inkludiert europaweit verbindliche Regelungen f\u00fcr die Bereiche \u201eElektronische Identifizierung\u201c und \u201eElektronische Vertrauensdienste\u201c. Die elektronische Signatur wird im Rahmen der eIDAS-Verordnung unterschieden in einfache, fortgeschrittene sowie qualifizierte elektronische Signaturen.<\/p>\n

F\u00fcr jede Art gelten bestimmte Anforderungen an die Signatur. Bei qualifizierten elektronischen Signaturen sind die Anforderungen am h\u00f6chsten, bei einer einfachen elektronischen Signatur<\/strong> hingegen existieren keine besonderen Anforderungen. Sie ist jedoch rechtlich auch nicht beweisw\u00fcrdig. Als einfache elektronische Signatur gilt beispielsweise der Name des Verfassers am Ende einer E-Mail.<\/p>\n

Fortgeschrittene elektronische Signaturen<\/strong> erlauben es, den Unterzeichner eindeutig zu identifizieren. Aus rechtlicher Sicht steht dann die sich auf die Signatur berufende Partei in Beweispflicht: Sie muss belegen k\u00f6nnen, dass die digitale Signatur sowie die Identifizierungsmerkmale Echtheit besitzen.<\/p>\n

Die h\u00f6chste Form, n\u00e4mlich die qualifizierte elektronische Signatur<\/strong>, basiert ihrerseits auf einem qualifizierten Zertifikat. Hinzu kommt, dass die Signatur mit einer sicheren Signaturerstellungseinheit (SSEE) zu erstellen ist. In rechtlicher Sicht ersetzt die qualifizierte elektronische Signatur die Unterschrift in Schriftform auf dem Papier.<\/p>\n

Mit diesem Verst\u00e4ndnis \u00fcber die verschiedenen Arten elektronischer Signaturen ist es einfacher, Mythen von Tatsachen abzugrenzen. Werfen wir nun also einen Blick auf die Mythen der elektronischen Signatur.<\/p>\n

Mythos 2: Elektronische Signaturen sind nur ein Abbild eigenh\u00e4ndiger Unterschriften<\/h3>\n

Oft herrscht der Irrglaube, elektronische Signaturen seien lediglich ein optischer Platzhalter f\u00fcr die handschriftliche Unterschrift auf Digital-Dokumenten. Woher dieser Irrglaube kommt, wird leicht verst\u00e4ndlich, wenn man sich die Arten elektronischer Signaturen zu Gem\u00fcte f\u00fchrt: die einfache elektronische Signatur ohne gerichtliche Beweiskraft scheint die Annahme zu beg\u00fcnstigen, dass jede elektronische Signatur lediglich als Ersatz der handschriftlichen fungiert. Doch ist die elektronische Signatur eben keine Bilddatei, kein Platzhalter, sondern sie wird durch ein kryptografisches Verfahren gebildet.<\/p>\n

Neben Informationen zur Person wird auch der sogenannte Hashwert (eine einmalige mathematische Quersumme) mithilfe eines digitalen Zertifikats kalkuliert und verschl\u00fcsselt. Die Signatur verbindet sich somit untrennbar mit dem elektronischen Dokument, was die Integrit\u00e4t dieses Dokuments sichert. Sowohl die fortgeschrittene als auch die qualifizierte elektronische Signatur (QES) funktionieren nach diesem Prinzip.<\/p>\n

Werden Dokumente hingegen durch eine gescannte Unterschrift ohne dieses Verschl\u00fcsselungsverfahren get\u00e4tigt, handelt es sich um eine einfache Signatur. Weder Beweiskraft noch eine Integrit\u00e4t-gebende Sicherheit wohnen diesem Signierprozess bei. Beweiskr\u00e4ftige Kommunikationen m\u00fcssen mindestens mit fortgeschrittener, besser noch mit qualifizierter elektronischer Signatur gezeichnet sein.<\/p>\n

Mythos 3: Die elektronische Signatur setzt ein Kartenleseger\u00e4t voraus<\/h3>\n

Die eIDAS-Verordnung bringt den gro\u00dfen Vorteil mit sich, dass Hardware-Applikationen nicht unbedingt ben\u00f6tigt werden, so auch der Kartenleser. Bei E-Signaturen kommen sogenannte Fernsignaturen ins Spiel: Private Signaturschl\u00fcssel lassen sich auf den Servern des Vertrauensanbieters generieren. So sind Signaturen in mobiler Form auch vom Smartphone aus m\u00f6glich. Kartenleseger\u00e4te sowie zus\u00e4tzliche Software oder auch Signatur- bzw. Chipkarten sind vollkommen \u00fcberfl\u00fcssig.<\/p>\n

Mythos 4: Beliebige Personen k\u00f6nnen mit beliebigen Namen unterschreiben<\/h3>\n

Wie im Absatz \u00fcber die Arten der E-Signatur dargelegt, werden Signaturen in einfache, fortgeschrittene und qualifizierte elektronische Signaturen unterschieden. Je h\u00f6her die Signaturstufe ausf\u00e4llt, umso h\u00f6her sind auch die Anforderungen, die der Unterzeichner in die Identifizierung investieren muss. Eine webbasierte Signaturl\u00f6sung etwa, die f\u00fcr die QES Einsatz finden soll, setzt ein einmaliges Identifizieren des Signaturinhabers durch Vertrauensdienstanbieter voraus. Video-Ident-Verfahren sind dabei genauso denkbar wie die Online-Ausweisfunktion des Personalausweises. Bei jeder weiteren Anwendung der QES wird die Identit\u00e4t zudem \u00fcber eine Zwei-Faktor-Authentifizierung best\u00e4tigt, die aus einem Login mit Usernamen\/ E-Mail-Adresse sowie Passwort, au\u00dferdem SMS-TAN bestehen kann.<\/p>\n

Eine Alternative bietet die QES mittels Signaturkarte. Eine einmalige Identifizierung des Signaturinhabers ist auch hier notwendig. Bei jeder Anwendung muss sich der Signaturinhaber mit einer 6-stelligen PIN authentifizieren.<\/p>\n

Diese strengen Authentifizierungsverfahren machen es nahezu unm\u00f6glich, eine elektronische Signatur zu f\u00e4lschen und unbefugt im Namen anderer Personen zu unterzeichnen. Nachtr\u00e4gliche \u00c4nderungen betreffender Dokumente werden zudem sichtbar.<\/p>\n

Mythos 5: Elektronische Unterschriften werden vor Gericht nicht anerkannt<\/h3>\n

Die eIDAS-Verordnung gibt vor, Dokumenten oder Dateien mit fortgeschrittener oder qualifizierter E-Signatur h\u00f6here Beweislast zuzuschreiben als der einfachen Signatur. Damit sind digitale Signaturen grunds\u00e4tzlich rechtsg\u00fcltig und von Gerichten beweiskr\u00e4ftig anerkannt. \u00a7 371a ZPO<\/a> erkl\u00e4rt dar\u00fcber hinaus, dass private elektronische Dokumente, die mit der QES versehen sind, genauso zu behandeln sind wie private Urkunden.<\/p>\n

Mythos 6: Signierte Dokumente k\u00f6nnten leicht in die H\u00e4nde Dritter gelangen<\/h3>\n

Einige Kritiker sind der Meinung, dass signierte Dokumente m\u00f6glicherweise in die H\u00e4nde von Dritten gelangen k\u00f6nnten. Die Signaturzertifikate werden allerdings von Vertrauensdienstanbietern vergeben. Vertrauensdienstanbieter haben wir nun schon h\u00e4ufiger angesprochen \u2013 nur, wie wird man als vertrauensvoll eingestuft? Hierf\u00fcr sind Zertifizierungen notwendig, die beweisen, dass diese Anbieter den Sicherheitsanforderungen der EU gen\u00fcgen. Nat\u00fcrlich m\u00f6chten derartige Anbieter das einmal in sie gesetzte Vertrauen nicht ersch\u00fcttern, sodass sie sich an ihre durchaus strengen Richtlinien halten.<\/p>\n

Hinzu kommt, dass elektronisch \u00fcbermittelte Daten durch eine Transportverschl\u00fcsselung gesichert werden. Daf\u00fcr ist die Authentifizierung des Unterzeichners notwendig, entweder per Usernamen und Passwort oder bei der QES auch zus\u00e4tzlich mit SMS-TAN. Eine derartige Zwei-Faktor-Authentifizierung l\u00e4sst sich auch beim Signaturempf\u00e4nger anfordern. Setzen Anwender auf eIDAS-konforme L\u00f6sungen, sind Bedenken rund um den ungewollten Zugriff auf Dateien und deren Sicherheit unberechtigt.<\/p>\n

Mythos 7: Ohne eigenen Account f\u00fcr E-Signaturen k\u00f6nnen Gesch\u00e4ftspartner nicht unterschreiben<\/h3>\n

Wieder ein sich hartn\u00e4ckig haltender Mythos: Jeder ben\u00f6tigt einen eigenen Account zum digitalen Signieren. In aller Regel stellen Signaturl\u00f6sungen einen unkomplizierten Signaturprozess bereit. Vom Signaturempf\u00e4nger wird kein eigener Account verlangt, um Dokumente elektronisch zu signieren. Ausreichend ist es, wenn der Initiator einer Signatur einen Account beim Vertrauensdienstanbieter seiner Wahl besitzt.<\/p>\n

M\u00f6chten beide Unterschriftsparteien auf h\u00f6chstm\u00f6gliche Rechtssicherheit setzen oder erfordert das zu zeichnende Dokument die Schriftform, gestaltet es sich etwas anders: Dann muss die qualifizierte elektronische Signatur gew\u00e4hlt werden. Alle Unterzeichner m\u00fcssen in einem solchen Fall im Besitz der QES sein und sich an die jeweiligen Identifizierungs- sowie Authentifizierungsanforderungen halten.<\/p>\n

Corona: Vor\u00fcbergehend H\u00fcrden f\u00fcr elektronische Signaturen gesenkt<\/h2>\n

Im Rahmen der Corona-Pandemie hat sich der Bundesrat am 01.04.2020 f\u00fcr eine befristete \u00c4nderung der Verordnung \u00fcber elektronische Signaturen (VZertES) ausgesprochen. F\u00fcr eine Dauer von sechs Monaten werden die H\u00fcrden f\u00fcrs Ausstellen einer digitalen Signatur gesenkt. Innerhalb dieser Zeit ist es m\u00f6glich, die Identifizierung per Video vorzunehmen, um Reiset\u00e4tigkeiten einzuschr\u00e4nken. So muss der Signierende nicht mehr pers\u00f6nlich bei der Registrierungsstelle vorsprechen, um die elektronische Signatur zu erhalten. Reisen und pers\u00f6nliche Kontakte m\u00f6chte der Bundesrat eind\u00e4mmen und verankert in der Verordnungs\u00e4nderung eine allgemeine M\u00f6glichkeit der Videoidentifikation beim Ausstellen von Zertifikaten.<\/p>\n

Entspannt sich die Lage innerhalb der 6-monatigen Geltungsdauer, k\u00f6nnen die Bestimmungen schon fr\u00fcher aufgehoben werden. Elektronische Signaturen, die in dieser Zeit gesetzt werden, behalten jedoch unbefristet G\u00fcltigkeit.<\/p>\n

>> Qualifizierte elektronische Signatur<\/a><<<\/strong><\/p>\n

 <\/p>\n

 <\/p>\n