In der digitalen Wirtschaft geht der Trend immer mehr zu elektronisch signierten Verträgen, die Medienbrüche verhindern und so Zeit und Kosten sparen. Kommen dabei Signaturkarten zum Einsatz, können Signaturen allerdings leicht zurückdatiert werden. Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services, zeigt, wie sich das verhindern lässt.
Das Manko von Signatur- und Siegelkarte
Seit der Einführung der elektronischen Signatur zu Beginn dieses Jahrhunderts kamen zunächst sogenannte Signatur- und Siegelkarten auf den Markt, die bis heute einen hohen Marktanteil haben. Diese Karten haben einen sicheren Chip auf welchem das Schlüsselmaterial zur Signatur sowie das Signaturzertifikat abgelegt sind.
Mittels eines Kartenlesers und einer passenden Signatursoftware können unter anderem PDF-Dokumente lokal am Rechner signiert werden. Waren früher noch Treiber für die Kartenlesegeräte das Problem, so ist das heutzutage meist gut gelöst.
Im Rahmen der Signatur ergibt sich heute allerdings ein anderes Problem: Die elektronische Signatur dient in seiner Ursprungsform dem Integritätsschutz, der sicherstellt, dass eine Datei ab einem bestimmten Zeitpunkt nicht mehr verändert wurde. Ferner soll die Autorenschaft mit einer Unterschrift gesichert sein.
Vieles ist mit einer Signaturkarte oder einer Siegelkarte für die Organisationssignatur abbildbar, für den Nachweis des Zeitpunktes bedarf es jedoch eines größeren Aufwandes. Neben einer qualifizierten elektronischen Signatur müsste auch ein qualifizierter elektronischer Zeitstempel eingesetzt werden, welcher beide Dokumente zu einem in einem Langzeit-validierbaren PDF-Dokument zusammenführt.
Die lokale Lösung mit Signatur – genauer gesagt Siegelkarte wird hier zum Problem, da keine unabhängige und damit manipulationssichere Quelle für die Uhrzeit zur Verfügung steht. Als Bezugspunkt dient hier lediglich die Systemzeit des jeweiligen Endgeräts.
Diese können Nutzer aber mit wenigen Klicks umstellen und so den Signaturzeitpunkt manipulieren. So ist es ein Leichtes, einen Vertrag mittels einer zurückgesetzten Uhrzeit rückzudatieren und somit zu behaupten, dass dieser schon vorab unterzeichnet worden sei.
Mehr Manipulationssicherheit durch Fernsignaturen
Verhindern lassen sich derartige betrügerische Manipulationen durch qualifizierte elektronische Zeitstempel. Diese benötigen allerdings eine unabhängige Quelle für die richtige Uhrzeit und können daher nur im Rahmen einer Fernsignatur angeboten werden.
Nur ein qualifizierter elektronischer Zeitstempel, der unter anderem Echtzeituhren - wie Atomuhren - nutzt, kann der elektronischen Signatur auch den korrekten Signaturzeitpunkt hinzugeben. Für eine Langzeit-validierbare Signatur ist daher die Fernsignatur der beste Weg.
Unternehmen sollten auf einen Vertrauensdienst, der sowohl die qualifizierte elektronische Signatur als auch den qualifizierten elektronischen Zeitstempel anbietet, setzen, um den Beweiserhalt von digitalen Dokumenten zu gewährleisten.
Diese Kombination ist auch im EU-Recht explizit vorgesehen: Der von der EU im Rahmen der Signaturverordnung eIDAS festgelegte PAdES Standard nach der ETSI Norm ETSI TS 103 172 sieht für wichtige Dokumente mit Beweiswerterhaltung das sogenannte PAdES-LTA Format vor.
Dieses setzt basierend auf dem Dokument die Signatur mit dem qualifizierten Zeitstempel zusammen und fügt noch ein Überprüfungsergebnis hinzu, ob zu diesem Zeitpunkt die für die Signatur relevanten Zertifikate gültig waren. Dadurch sind solche Dokumente auch nach Jahren noch prüffähig und der Beweiserhalt ist sichergestellt.