Aufrufe
vor 4 Jahren

PT-MAGAZIN 02 2020

  • Text
  • Inovation
  • Rpa
  • Trends
  • Scherer
  • Wildgruber
  • Extremsportler
  • Wissen
  • Krisenmanagament
  • Wetter
  • Kachelmann
  • Mitarbeiter
  • Krise
  • Deutschland
  • Volksbank
  • Wirtschaft
  • Stadt
  • Sparkasse
  • Unternehmen
Offizielles Magazin der Oskar-Patzelt-Stiftung. Titelthema: Keine Angst vor Krisen. Nominierungsliste 2020 des Wettbewerbs "Großer Preis des Mittelstandes". Motto: Meilensteine setzen.

Die häufigsten

Die häufigsten Irrtümer über elektronische Signaturen PT-MAGAZIN 2/2020 Wirtschaft 46 Obwohl elektronische Signaturen spätestens seit der eIDAS-Verordnung von 2016 in jedem Unternehmen bekannt sein sollten, herrschen noch immer viele Irrglauben vor. Vor allem die Aspekte Datensicherheit und Rechtssicherheit bereiten einigen Unternehmen Sorgen, jedoch sind diese meist unberechtigt. 1. Irrtum: Elektronische Signaturen sind nur ein Abbild von einer eigenhändigen Unterschrift Es herrscht oft der Irrglaube, die elektronische Signatur sei ein optischer Platzhalter für die eigene handschriftliche Unterschrift auf digitalen Dokumenten. Doch die elektronische Signatur ist keinerlei eine Bilddatei, sondern vielmehr ein kryptografisches Verfahren: Die Information zur Person und der sogenannte Hash-Wert des Dokumentes (einmalige mathematische Quersumme) werden mithilfe eines digitalen Zertifikates berechnet und verschlüsselt. So wird die Signatur untrennbar mit dem elektronischen Dokument verbunden und die Integrität des Dokumentes gesichert. Dieses Verfahren begleitet das Unterschreiben mittels der sogenannten fortgeschrittenen (AES) und der qualifizierten elektronischen Signatur (QES). Beim elektronischen Signieren etwa mit einer gescannten Unterschrift ohne diesem Verschlüsselungsverfahren ist dagegen die Rede von einer einfachen Signatur. Diese weist eine deutlich niedrigere Beweiskraft und Sicherheit des Signierprozesses auf und ist in diesem Sinne nicht der fortgeschrittenen und der qualifizierten elektronischen Signatur gleichgestellt. 2. Irrtum: Für die elektronische Signatur braucht man ein Kartenlesegerät Seit der Einführung der eIDAS-Verordnung sind Hardware-Applikationen nicht unbedingt notwendig. Hierzu kommt die sogenannte Fernsignatur ins Spiel, als ein deutlich einfacheres Verfahren für die Erstellung einer Signatur: Die dafür benötigten privaten Signaturschlüssel © Paul Downey werden auf den Servern eines Vertrauensdienstanbieters generiert – also aus der Ferne. Das ermöglicht die sichere, mobile Signatur etwa vom Smartphone oder Tablet und macht Kartenlesegeräte, zusätzliche Software oder Signaturkarten bzw. Chipkarten überflüssig. 3. Irrtum: Jeder kann in meinem Namen unterschreiben Das ist ein Irrtum. Je höher die gewünschte Signaturstufe – die EU-Verordnung eIDAS unterscheidet nach der einfachen, fortgeschrittenen und qualifizierten elektronischen Signatur –, desto höher die Anforderung an die Identifizierung des Unterzeichners. Würde man über eine webbasierte Signaturlösung, also ohne Einsatz einer Signaturkarte, elektronisch qualifiziert unterschreiben, so bedarf es beispielsweise für die QES einer einmaligen individuellen Identifizierung des Signaturinhabers durch einen qualifizierten Vertrauensdienstanbieter – zum Beispiel mittels eines VideoIdent-Verfahrens oder der Online-Ausweisfunktion des Personalausweises. Bei jeder Anwendung der QES ist zudem eine sogenannte Zwei- Faktor-Authentifizierung (mit Username oder E-Mail-Adresse und Passwort sowie SMS-TAN) notwendig. Beim qualifizierten Signieren mittels einer Signaturkarte muss sich der Signaturinhaber ebenfalls einmalig identifizieren lassen und bei jeder Anwendung mit einer 6-stelligen PIN authentifizieren. Die QES ist nur in Verbindung mit diesen Sicherheitsmaßnahmen möglich. So machen es die verschiedenen Authenti-

„Data Driven Recruiting und Corporate Entrepreneure prägen die Personalarbeit der Zukunft“ fizierungsverfahren nahezu unmöglich, dass jemand mittels einer elektronischen Signatur unbefugt im Namen einer anderen Person unterschreibt. Zudem wird eine nachträgliche Veränderung des Dokumentes sichtbar. 4. Irrtum: Eine elektronische Unterschrift hält vor Gericht nicht stand Die digitale Signatur ist grundsätzlich rechtsgültig und vor Gericht anerkannt. Im Lichte der eIDAS-Verordnung ist mit Dokumenten bzw. Dateien, die mit der fortgeschrittenen oder der qualifizierten elektronischen Signatur digital unterschrieben wurden, ein höherer Beweiswert verbunden, als mit der einfachen Signatur (etwa in einer E-Mail). Dabei können also höhere Anforderungen daran gestellt werden, die Vermutung der Richtigkeit zu erschüttern: Gemäß § 371a ZPO finden auf privaten elektronischen Dokumenten, die mit einer qualifizierten elektronischen Signatur versehen sind, die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung. 5. Irrtum: Wichtige Dokumente und Informationen könnten so ungewollt in die Hände Dritter gelangen Vertrauensdienstanbieter, die für die Ausstellung der Signaturzertifikate zuständig sind, müssen sich zertifizieren lassen, um die Sicherheitsanforderungen der Europäischen Union zu erfüllen. Obwohl sich die Anbieter elektronischer Signaturen mitunter unterscheiden, nutzt etwa FP Sign ausschließlich deutsche und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Rechenzentren – unabhängig davon, von wo die Signatur erstellt wird. Die elektronisch übermittelten Daten werden zudem durch die Transportverschlüsselung, also die Authentifizierung des Unterzeichners mittels Username und Passwort (oder bei der QES auch mit einer SMS-TAN) gesichert. Die Zwei-Faktor-Authentifizierung kann zusätzlich auch beim Signaturempfänger angefordert werden. Die Bedenken über Datensicherheit sind somit – sofern Anwender auf eine eIDAS-konforme Signaturlösung setzen – unberechtigt. 6. Irrtum: Wenn meine Geschäftspartner selbst keinen eigenen Account bei einem Anbieter für elektronische Signaturen verwenden, können sie nicht unterschreiben Das ist ein hartnäckiger Mythos. Die meisten digitalen, cloudbasierten Signaturlösungen ermöglichen einen unkomplizierten Signaturprozess, indem vom Signaturempfänger kein eigener Account verlangt wird, um ein Dokument elektronisch zu signieren. Es reicht aus, wenn der Initiator der Signatur einen Account bei seinem Wunsch-Vertrauensdienstanbieter besitzt. Etwas anders verhält es sich, wenn beide Unterschriftsparteien auf höchstmöglicher Rechtsgültigkeit ihrer Vereinbarung bestehen oder das zu unterschreibende Dokument die Schriftform erfordert: Hierzu muss die qualifizierte elektronische Signatur zum Einsatz kommen. D. h. alle Unterzeichner müssen im Besitz einer QES sein und sich an deren Identifizierungs- und Authentifizierungsanforderungen halten. ó Über die Autorin Ina Gellner ist Partnermanagerin und Expertin für alle Fragen der Rechts- und Datensicherheit elektronischer Signaturen bei FP Sign (www.fp-sign.com) 47 PT-MAGAZIN 2/2020 Wirtschaft Frische erleben – Wir machen’s selbst! Wir bei Globus geben täglich unser Bestes für unsere Kunden, denen wir - getreu unserem Leitbild - „mehr Lebensqualität“ bieten möchten. Dafür bekommen unsere Kunden jeden Tag „gute Ware, lokale Vielfalt, mehr fürs Geld“ und das von Kolleginnen und Kollegen mit eigenem Engagement und Kompetenz“. Wir erschaffen nach alter Tradition und Handwerkskunst, denn im Unterschied zur täglichen Handelslandschaft produzieren wir selbst täglich frisch. globus.de Entdecken Sie, was Globus so einzigartig macht!

Jahrgänge