Fragen und Antworten rund um die elektronische Signatur

Was ist eine elektronische Signatur oder ein elektronisches Siegel?


Eine elektronische Signatur ist im Wesentlichen das Äquivalent einer handschriftlichen Unterschrift. Dabei werden Daten in elektronischer Form als Nachweis einer Absicht an andere elektronische Gegenstandsdaten angehängt. Eine Absicht kann z.B. eine Bestätigung, das Erklären des Einverständnisses also im Sinne einer Zustimmung (Einwilligung, Genehmigung), eine Willensäusserung oder Ausdruck eines gegenseitigen Einvernehmens sein. Hinsichtlich der elektronischen Signatur sind Gegenstandsdaten beispielsweise elektronische Verträge, Verschwiegenheitserklärungen, Angebote, Berichte, Protokolle, Vollmachten, etc. Ein elektronisches Siegel stellt hingegen nur die Herkunft und Unversehrtheit (Integrität) der Daten sicher.




Was ist eine digitale Signatur?


Die digitale Signatur unterstützt die Erstellung einer elektronischen Signatur oder eines elektronischen Siegels. Die digitale Signatur ist eine kryptografische Transformation des besagten Nachweises. Dazu werden Public-Key-Infrastruktur (PKI) Technologien zur Verschlüsselung verwendet. Die transformierten Daten werden als Nachweis den Gegenstandsdaten angehängt. So ermöglicht die digitale Signatur dem Empfänger, die Gegenstandsdaten den signierenden Personen (Unterzeichnern) zuzuordnen und die Unversehrtheit des Inhalts zu prüfen respektive zu beweisen. Eine digitale Signatur besteht unter anderem aus

  • dem Hashwert - einer eindeutigen Kennzeichnung, Fingerabdruck, einer grösseren Datenmenge (Gegenstandsdaten)
  • digitalen Zertifikaten - Bestätigung des Eigentümers eines Schlüsselpaars sowie der Aussteller des Zertifikats
  • Sperrinformationen - Nachweis, dass die Zertifikate zum Zeitpunkt der Signatur gültig waren
  • Zeitstempel - vertrauenswürdige Zeitangabe, die den Zeitpunkt der Signatur bestätigt
  • der Roh-Signatur - der mit dem Signaturschlüssel (privater Schlüssel) verschlüsselte Hashwert der zuvor aufgezählten Informationen. Die Roh-Signatur kann mit dem Prüfschlüssel (öffentlicher Schlüssel), der sich im Signaturzertifikat befindet, überprüft werden.




Wo werden qualifizierte elektronische Signaturen (QES) anerkannt?


actaSIGN nutzt als Vertrauensdienstanbieter Swisscom Trust Services. Für eine qualifizierte elektronische Signatur (QES) ist eine einwandfreie Feststellung der Identität erforderlich. Während der Identifikation durch einen RA-Agenten erhalten Sie eine SMS mit einem Link zu den Nutzungsbestimmungen des Swisscom Zertifizierungsdienstes der Schweiz und des Swisscom Vertrauensdienstes in Österreich. Werden beide Bestimmungen akzeptiert können Sie, je nach Geschäftsfall, wählen, ob Sie eine QES nach Schweizer (ZertES) oder nach EU (eIDAS) Gesetzgebung erzeugen wollen. Leider wird die Schweizer QES derzeit in der EU nicht anerkannt.




Was ist eine einfache elektronische Signatur (EES)?


Die einfache elektronische Signatur (EES) erfordert keinen expliziten Identitätsnachweis der signierenden Person. Zur Erzeugung der digitalen Signatur wird in vielen Fällen ein fortgeschrittenes/geregeltes Siegel (Zertifikat) eines Serviceanbieters verwendet. Ein zusätzliches Authentifizierungsmittel zur Erstellung der Signatur wird normalerweise keines verwendet. Als Nachweis, der mit den Gegenstandsdaten (i.d.R. Dokument) verbunden wird, kommen individuell gestaltbare Erscheinungsbilder zur Anwendung (z.B. Vollständiger Name unter Verwendung von diversen Fonts, erzeugte oder hochgeladene Bilder oder händisch erstellte Schriftzüge).




Was ist eine fortgeschrittene elektronische Signatur (FES)?


Die fortgeschrittene elektronische Signatur (FES) benötigt einen Identitätsnachweis der signierenden Person sowie ein Authentifizierungsmittel, welches unter der alleinigen Kontrolle gehalten und zur Auslösung der Signaturerstellung verwendet wird. Welche Arten des Identitätsnachweises schreibt der Vertrauensdiensteanbieter vor. Bei Swisscom Trust Services kann dies sowohl über Video-Ident-Verfahren oder persönliches Erscheinen erfolgen. Deshalb erhält die FES eine gewisse Beweiskraft und kann für Dokumente ohne Formvorschriften verwendet werden. Vor Gericht gilt hier im Gegensatz zur QES die Beweislastumkehr. Das Erscheinungsbild der FES kann wie bei der EES individuell gestaltet werden.




Was ist eine qualifizierte elektronische Signatur (QES)?


Die qualifizierte elektronische Signatur (QES) bedingt einen vorgängigen, eindeutigen Nachweis der Identität. Für die QES nach Schweizer Gesetzgebung ist zwingend ein persönliches Erscheinen erforderlich. Dies kann in zahlreichen Registrierungsstellen der Swisscom oder direkt durch axelity ag, als Swisscom Master RA (Registration Authority), erledigt werden. Die Identifikation für QES nach EU Gesetzgebung (eIDAS) kann darüber hinaus über Video-Ident-Verfahren erfolgen. Analog zur FES ist auch bei der QES ein starkes Authentifizierungsmittel notwendig. Im Zusammenhang mit Swisscom Trust Services ist dies die MobileID App. Die QES erhält so die höchste Beweiskraft und wird bei einer Schriftlichkeitserfordernis eingesetzt. Sie ist gesetzlich der handschriftlichen Unterschrift gleichgestellt. Das Erscheinungsbild der QES kann, wie bei der EES oder FES, ebenfalls individuell gestaltet werden.




Kann im gleichen Unternehmen EES, FES und QES verwendet werden?


Ja, dies ist durchaus sinnvoll, mehrere Qualitätsstufen einzusetzen. In vielen Unternehmen bestimmt eine Unterschriftenregelung, wer welche Dokumente bis zu einem bestimmten Betrag unterzeichnen darf. Je nach Haftungsrisiko kommt die QES oder auch die FES zum Einsatz. Zudem existieren viele interne Prozesse, in denen Personen ihr Einverständnis oder ihre Zustimmung z.B. in Form eines Visums geben müssen. In solchen Fällen bietet sich die EES oder allenfalls die FES an. Je nach Qualitätsstufe sind die Voraussetzungen zur Identifikation der Personen sowie der Einsatz des Authentifizierungsmittel zur Freigabe der Signatur zu berücksichtigen.




Welche Rolle spielt der Vertrauensdiensteanbieter (VDA)?


Der Vertrauensdiensteanbieter (VDA), auch bekannt als Zertifizierungsdiensteanbieter (ZDA) oder Trust Service Provider (TSP), ist eine anerkannte Unternehmung oder Einrichtung, die digitale Zertifikate oder Siegel für Personen, Organisationen oder Maschinen ausstellt. Die Prozesse als auch die Sicherheitsvorkehrungen von VDAs werden regelmässig von dafür ernannten Prüfstellen nach internationalen Standards und nach dem geltenden Signaturengesetz überprüft. Personen- oder Unternehmensdaten, inkl. Domains, werden vorgängig auf Echtheit und Zugehörigkeit hin geprüft und in Form eines elektronischen Zertifikats bestätigt. Darüber hinaus bietet ein VDA u.a. Zeitstempeldienste an, die vertrauenswürdige Zeitangaben liefern und bei elektronischen Signaturen von Bedeutung sind. Zudem stellt ein VDA Dienste bereit über welche die Gültigkeit eines Zertifikats anhand von standardisierten Protokollen (CRL - Certificate Revocation List oder OCSP - Online Certificate Status Protocol), jederzeit geprüft werden kann. Im Rahmen von Fernsignaturdiensten erzeugt und/oder verwaltet der VDA Schlüsselpaare für das Erzeugen von elektronischen Signaturen. Das Auslösen der damit verbundenen Signatur kann nur durch starke Authentifizierungsmittel, die sich unter alleiniger Kontrolle der signierenden Person befinden, aktiviert werden.




Kann ein Unternehmen selbst Identitätsprüfungen vornehmen?


Ja, das ist möglich. Dazu muss das Unternehmen oder eine Abteilung, z.B. Human Resources, zu einer delegierten Registrierungsstelle (RA - Registration Authority) ernannt werden. Die RA-Agenten durchlaufen regelmässig eine Online-Schulung und können anschliessend die Identität einer Person überprüfen. Dazu erhalten Sie eine entsprechende RA-App der Swisscom, die die Registrierung von Personen stark vereinfacht. Die mit der RA-App erfassten Daten und Bilder verbleiben nicht auf dem Gerät des RA-Agenten, sondern werden sicher und direkt an den RA Service der Swisscom Trust Services übermittelt.




Wie können externe Personen ohne Identifikation und Konto signieren?


Externe Personen, die bisher keinen Identifikationsprozess durchlaufen haben, können jederzeit von Personen mit einem actaSIGN Konto für das Signieren eingeladen werden. Sie versehen die Dokumente mit einer einfachen elektronischen Signatur (EES). Dazu müssen externe Personen nicht einmal ein actaSIGN Konto besitzen.




Wie werden die Daten geschützt und wo werden sie gespeichert?


Alle Daten werden in der mehrfach zertifizierten Microsoft Azure Cloud in der Schweiz sicher gespeichert. Informationen zur Zertifizierung erhalten Sie hier. Die Verbindungen zwischen Browser und Server sind allesamt verschlüsselt. Dokumente, die für das Signieren vorübergehend in die Cloud hochgeladen werden, werden mittels starkem Verschlüsselungsverfahren geschützt abgelegt.




Wie läuft der Identifikationsprozess ab und was kostet es?


Eine Prüfung der Identität für eine fortgeschrittene oder qualifizierte elektronische Signatur dauert in der Regel nur wenige Minuten. Die Registrierungsstelle benötigt für die Identitätsprüfung ein gültiges Reisedokument. Je nach Land werden neben dem Reisepass auch Identitätskarten akzeptiert. Informieren Sie sich vorgängig über den unten aufgeführten Link. Vor der Registrierung muss die MobileID App auf das Smartphone heruntergeladen und aktiviert werden. Die Identifikation mit persönlichem Erscheinen ist bis zum Ablauf des Reisedokuments, maximal jedoch 5 Jahre, gültig. Anschliessend ist eine erneute Identifikation erforderlich. Weitere Informationen zur Registrierung für die elektronische Signatur erhalten Sie hier. Da finden Sie zudem eine Karte mit zahlreichen Swisscom Shops, bei denen Sie sich kostenlos identifizieren lassen können.




Wozu wird die Handynummer bei der Identifizierung benötigt?


Während der Identifizierung wird geprüft, ob die Handynummer im Besitz der jeweiligen Person ist. Die Handynummer gilt als Identitätsreferenz der signierenden Person.




Was passiert beim Wechsel des Handys oder der Handynummer?


Während der Installation und Aktivierung der MobileID App auf Ihrem Smartphone wird Ihnen ein Wiederherstellungscode präsentiert. Notieren Sie diesen und bewahren Sie ihn sicher auf. Falls Sie Ihr Handy wechseln und die Handynummer behalten, können Sie mit dem Wiederherstellungscode die Identitätsreferenz über die MobileID App wiederherstellen. Bei Verlust des Wiederherstellungscodes oder einem Wechsel der Handynummer ist eine erneute Identifikation erforderlich.




Woran erkenne ich eine qualifizierte elektronische Signatur (QES)?


Grundsätzlich erkennt Sie eine gültige elektronische Signatur, z.B. im Adobe Reader, dass ein Banner mit einem grünen Haken angezeigt wird: Um feststellen zu können, ob es sich um eine Signatur handelt, die mit einem qualifizierten Zertifikat erzeugt wurde, gehen Sie wie folgt vor: Klicken Sie auf das Unterschriften-Symbol am linken Rand und es erscheinen alle angebrachten Signaturen. Mittels Rechtsklick auf den gewünschten Eintrag und Auswahl von "Unterschrift prüfen" oder durch Klicken auf ein Unterschriftenfeld im Dokument selbst erhalten Sie folgenden Dialog angezeigt: Klicken Sie auf Unterschriftseigenschaften und Sie erhalten weitere Informationen zur Signatur angezeigt: Klicken Sie auf "Zertifikat des Ausstellers anzeigen..." und wählen Sie danach das Zertifikat der signierenden Person in der Hierarchie auf der linke Seite: Wurde das Zertifikat von Swisscom ausgestellt, muss das vertrauenswürdige Stammzertifikat auf "Swisscom Root CA 2" und das die ausstellende CA auf "Swisscom Diamant CA 2" lauten. Klicken auf das Register "Details" und scrollen Sie zum Eintrag "QC-Statement": In den Details des Eintrags muss ersichtlich sein, dass es sich um "Qualifiziertes Zertifikat gemäss ETSI EN 319 412-5" handelt.




Wo finde ich mehr Informationen zum actaSIGN API?


Die Dokumentation zum REST-API finden Sie hier.