Mobile Lösungen für elektronische Signaturen: Wo ist das Problem?
Bild: Elektronische Signaturen kann man heutzutage schon rechtsverbindlich mit einer Software erstellen / Bildquelle: Pixabay
Elektronische Signaturen sind nicht neu und rechtlich weitreichend geregelt. Auf europäischer Ebene gilt die eIDAS Verordnung, die Standards für Signaturlösungen setzt und zum Beispiel die Zertifizierung von Vertrauensdiensteanbietern regelt. Das deutsche Vertrauensdienstegesetz sowie die zugehörige Vertrauensdiensteverordnung setzen die Regelung auf nationaler Ebene um.
Digitale Signaturen müssen am Mobilgerät genau dieselben Anforderungen erfüllen, die auch an anderen Endgeräten notwendig sind. Dies gilt insbesondere für die Technologie zur Sicherstellung der Daten- und Dokumentenintegrität. Mittels Hashwert wird überprüft, ob ein signiertes Dokument zwischenzeitlich verändert wurde. Durch die Authentifizierung von unterzeichnenden Personen wird die Identität von Personen validiert.
Ein Problem bei der mobilen Nutzung elektronischer Signaturen stellen Sicherheitslücken bei Smartphones und Co. dar. Damit eine Signatur rechtssicher ist, muss eine unterzeichnende Person mit hinreichender Sicherheit identifiziert werden. Mobile Endgeräte sind aus verschiedenen Gründen immer noch recht anfällig für Hackerangriffe. Hacker können sich Zugang zur Signatursoftware verschaffen und im schlimmsten Fall Dokumente in fremdem Namen signieren.
Die Probleme im Zusammenhang mit mobilen elektronischen Signaturen laufen dabei bei der Verwendung der öffentlichen Schlüssel und privaten Schlüssel zusammen. Signaturschlüssel müssen sicher gespeichert werden, was noch vor nicht allzu langer Zeit auf mobilen Endgeräten nicht immer möglich war. Für eine sichere Verwahrung ist es notwendig, die Schlüssel auf der Hardware des Endgeräts und nicht nur in der Software zu speichern. Werden kryptographische Schlüssel ausschließlich in Software verwahrt, ist die Anfälligkeit gegenüber Angriffen deutlich erhöht.
Sichere Lösungen für mobile Endgeräte
Mittlerweile haben Vertrauensdiensteanbieter – also die Anbieter von Signatursoftware – die Problematik jedoch weitgehend im Griff. So werden mittlerweile etwa zentrale, serverbasierte Lösungen eingesetzt. Dabei werden Signaturschlüssel cloudbasiert gespeichert. Anwender greifen auf die Schlüssel webbasiert zu und nutzen auch die gesamte Signatursoftware browserbasiert. Für Hacker wird es dadurch deutlich schwieriger, die Schlüssel zu knacken.
Neben Hackerangriffen gibt es bei mobilen Endgeräten ein weiteres Problem: Unbefugte Benutzer. Um die Anforderung an die Integrität signierter Dokumente zu wahren, setzen Vertrauensdiensteanbieter mittlerweile auf Multifaktor Authentifizierung. So genügt der Besitz des Mobiltelefons allein nicht, um Zugang zu den Schlüsseln zu erhalten und Dokumente signieren zu können.
Hier geht es speziell um den Schutz von Benutzerkonten der Anwender. Möglich sind etwa biometrische Verfahren (zum Beispiel Fingerscan) und die Verwendung von Token. Mit diesen Technologien lässt sich sehr sicher nachprüfen, ob ein anfragender Benutzer eine Zugangsberechtigung zu einem bestimmten Benutzerkonto auch tatsächlich besitzt. So wird verhindert, dass Unbefugte von einem beliebigen Mobilgerät aus auf ein Benutzerkonto zugreifen und Dokumente signieren können.
Der Markt bietet bereits ausgereifte Lösungen
Tatsächlich müssen sich Unternehmen um die Sicherheit mobil geleisteter elektronischer Signaturen nur noch wenig Gedanken machen. Die Regulierung verlangt von Vertrauensdiensteanbietern wie DocuSign umfangreiche Maßnahmen zum Schutz der Integrität.
Von besonderer Bedeutung ist dabei die EU-Verordnung eIDAS. Diese regelt auch zentrale (also serverbasierte) elektronische Signaturen und steckt einen Rechtsrahmen ab, bei dessen Beachtung zertifizierte Lösungen rechtssicher sind. Auch die technische Sicherheit ist gewährleistet. Es sind bislang keine Fälle von Missbrauch bekannt, bei denen die Sicherheitsverfahren zertifizierter Signaturdienstleister in großem Umfang geknackt wurden.
Welche Lösung die Signaturprovider nutzen, ist für Unternehmen letztlich zweitrangig. Wird keine serverbasierte Signaturtechnologie eingesetzt, müssen Signaturen auf mobilen Endgeräten auf andere Maßnahmen (zum Beispiel aus dem Bereich der Kryptographie) zurückgreifen.
In der Praxis können Unternehmen einen Vertrag mit einem Signaturdienstleister abschließen und die Software auf allen Endgeräten nutzen.
Elektronisch signierte Dokumente sind sicher
Für Anwender spielen die bei digitalen Signaturen verwendeten Verfahren (es geht um Hashwerte, asymmetrische Kryptographie und vieles mehr) keine Rolle. Der Nutzer muss lediglich ein signiertes Dokument in eine Software hochladen, sich authentifizieren und das Dokument mit einem Klick signieren.
Über die geleistete Unterschrift kann der Anwender in Echtzeit andere Personen informieren und diesen das Dokument zukommen lassen. Ebenso kann der Anwender durch andere Personen über den Fortgang eines Signaturprozesses informiert und zur eigenen Unterschrift eingeladen werden.
Die Sicherheitsanforderungen der Regulierung sind hoch. Viele Experten gehen davon aus, dass elektronische Signaturen sicherer sind als Unterschriften, die auf Papier geleistet werden.
Zur Sicherheit und Integrität von Dokumenten gehört letztlich auch deren Archivierung. Diese lässt sich mit elektronisch signierten Dokumenten sehr viel einfacher und praxistauglicher umsetzen als mit zahlreichen eingescannten Dokumenten, die zuvor ausgedruckt und manuell unterschrieben wurden.
Neues Nokia 3210: Das Kult-Handy kehrt 2024 zurück!
Das legendäre Nokia 3210 aus dem Jahr 1999 wird vielen von Euch noch bekannt sein und ist mit sehr viel Nostalgie verbunden. Es war damals das erste Handy ohne einer Antenne und man konnte damit auch Spiele wie "Snake" mobil zocken und war somit nicht mehr zwingend auf einen Game Boy angewiesen. Es handelt sich hier