Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Digitale Signatur muss verifizierbar sein


Digitale Signaturen für die Architektur-, Ingenieur- & Baubranche: Gesetzliche Anforderungen in den USA mit Modellcharakter?
Eine wachsende Liste von US-Staaten hat bereits ihre Mindestanforderungen für die Signierung von städtischen und staatlichen Dokumenten mit digitalen Signaturen als Ersatz für handschriftliche Unterschriften, Siegel und Stempel veröffentlicht



Eine aktuelle Studie von Creation Technologies hat herausgefunden, dass ein durchschnittlicher Mitarbeiter mit Unterschriftsberechtigung etwa 1.350 Dollar an jährlichen papierbezogenen Kosten verursacht. Für die unterschriftlastige Architektur-, Ingenieur- und Baubranche (AEC), wo Projektpläne, RFIs, Verträge, Zeichnungen und Entwürfe gegebenenfalls sogar mehrere Unterzeichner brauchen, kommt einiges an Kosten zusammen. Setzt man aber einen komplett elektronischen Workflowfür Unterzeichnung, Freigabe und Speicherung von Dokumenten ein, lassen sich diese Kosten deutlich senken.

Digitale Signaturen sind eine Kernkomponente, um Ende-zu-Ende elektronische Dokumenten-Workflows zu ermöglichen. Sie erlauben es physisch handschriftliche Unterschriften (und die damit verbundenen manuellen Prozesse) sicher zu ersetzen. Trotz der offensichtlichen Vorteile von digitalen Signaturen, wie beispielsweise weniger Papierabfall, niedrigere Gemeinkosten und kürzere Projektzeitlaufzeiten, zögern viele AEC-Unternehmen den Wechsel hinaus. Bis er ihnen sozusagen staatlich verordnet wird.

Eine wachsende Liste von US-Staaten hat bereits ihre Mindestanforderungen für die Signierung von städtischen und staatlichen Dokumenten mit digitalen Signaturen als Ersatz für handschriftliche Unterschriften, Siegel und Stempel veröffentlicht. In einigen Staaten existieren sogar separate Dokumentationen und Anforderungen speziell für die AEC-Branche. Auch wenn wir uns hier auf US-amerikanische Standards beschränken, sind diese eine gute Richtschnur bei der Auswahl einer geeigneten Lösung.

Aber worin genau bestehen diese Standards? Jeder Staat hat die Befugnis zu entscheiden, welche Regeln er durchsetzen will. Es gibt aber einige gemeinsame Kernforderungen. Wir haben diese im Folgenden anhand von Texten aus Signaturgesetzen aus Kalifornien, Oregon and Washington D.C. zusammengestellt.

Wir verwenden hier den Begriff "digitale Signatur" statt "elektronische Signatur". Während der Begriff elektronische Signatur breit gefächert und nicht standardisiert ist, bezieht sich der Terminus digitale Signatur auf eine ganz bestimmte Art von Signatur, die nämlich auf Kryptografie mit öffentlichen Schlüsseln beruht. Die zugrunde liegende Kryptografie bietet mehr Sicherheit und schützt die Identität des Signierers, validiert die Gültigkeit der Signatur und bescheinigt die Integrität des Inhalts. Diese Konzepte sind wichtig um die technischen Anforderungen zu erfüllen, und die meisten staatlichen Signaturgesetze schreiben das Verwenden von digitalen Signaturen vor.

Vier gemeinsame Anforderungen an digitale Signaturen aus Vorschriften der US-Staaten
1. Die digitale Signatur muss für die Person, die sie benutzt, eindeutig sein [1] [2] [3]
Diese Anforderung sollte niemanden überraschen. Egal ob Sie ein signiertes Dokument erhalten oder selbst eines signieren: Sie wollen sicherstellen, dass die Person, die Ihr Dokument signieren muss, tatsächlich die richtige Person ist. Aufgrund der Anonymität des Internets gibt es nur begrenzte Möglichkeiten zu bestätigen, dass jemand ist, wer er oder sie vorgibt zu sein. Eine Methode ist die externe Überprüfung durch eine öffentliche Zertifizierungsstelle (CA). CAs sind Unternehmen, die öffentlich vertrauenswürdig sind, um Personen, Abteilungen oder Unternehmen digitale Identitäten zuzuweisen.
Der Vorgang ist vergleichbar mit dem Ausstellen eines Passes. Sie reichen dem Einwohnermeldeamt alle entsprechenden Unterlagen ein und Sie erhalten einen Pass, der Sie eindeutig identifiziert. Gleichermaßen reichen Sie einer CA Dokumente zur Identitätsprüfung ein und diese stellt Ihnen ein einzigartiges digitales Zertifikat aus, das Ihre Online-Identität bestätigt. Sie verwenden dieses Zertifikat, um digitale Signaturen einzufügen. Das heißt, Sie können sicher sein, dass nur Sie alleine eine digitale Signatur in Ihrem Namen einfügen können und die Empfänger können sich ihrerseits sicher sein, dass es wirklich Sie waren, der/die das Dokument signiert hat.

2. Die digitale Signatur muss verifizierbar sein [1] [2] [3]
Die Verifizierung der Gültigkeit einer Signatur ist äußerst wichtig, egal ob es sich um eine digitale Signatur oder eine handschriftliche Unterschrift handelt. Das ist der Grund warum Transaktionen mit hohen Werten (z. B. Darlehensanträge und bestimmte Verträge) oft einen Notar zusätzlich zur handschriftlichen Unterschrift erfordern - die beteiligten Parteien wollen sicherstellen, dass die Personen, die die Dokumente unterschreiben, diejenigen sind, die sie vorgeben zu sein. In diesem Fall werden die Unterschriften von einem Notar verifiziert.

Aber wie sieht es bei digitalen Signaturen aus? Hier ist es praktisch, wenn eine digitale Signatur von einer öffentlich vertrauenswürdigen CA stammt. Eine vertrauenswürdige Fremd-CA verifiziert die betreffende Identität, bevor sie ein Zertifikat ausstellt. Und Sie verwenden dieses eindeutige Zertifikat, um Ihre digitale Signatur einzufügen. Dadurch besteht bei jedem Dokument, das Sie signieren, der Nachweis, wer das Dokument signiert hat, wann es signiert wurde und wer den Signierer verifiziert hat.

3. Die digitale Signatur muss unter der alleinigen Kontrolle der Person sein, die sie benutzt [1] [2] [3]
Es gibt hier eine offensichtliche Bestrebung sicherzustellen, dass die Signatur im Dokument tatsächlich von der betreffenden Person eingefügt wurde. Alle am elektronischen Dokumentenaustausch beteiligten Parteien müssen wissen, dass Sie und nur sie selbst, Ihre digitale Signatur einfügen können.

Bei digitalen Signaturen läuft das darauf hinaus, dass Sie Ihr Signatur-Zertifikat schützen müssen. Hat jemand Zugang zu Ihrem Zertifikat, kann er/sie es verwenden, um in Ihrem Namen digital zu signieren. Eine gängige Option ist das Speichern des Zertifikats auf kryptografischer Hardware (z. B. einem FIPS-kompatiblem USB-Token). Zum Einfügen Ihrer Signatur brauchen Sie dann das Token selbst und ein Passwort. Wird ein physischer Hardware-Token gestohlen, bräuchte ein Dieb immer noch das zugehörige Token-Passwort, um Ihre Signatur-Berechtigungsnachweise zu nutzen.

Bei der Suche nach geeigneten Anbietern, sollten Sie sicherstellen, dass es einen Hardware-Zertifikatschutz gibt oder wenn nicht, eine alternative Möglichkeit, diese Anforderung zu erfüllen.

4. Die digitale Signatur muss so mit Daten verknüpft sein, dass bei einer Änderung der Daten die digitale Signatur ungültig gemacht wird [1] [2] [3]
Die Integrität der Inhalte und der Schutz des geistigen Eigentums sind vor allem für die Ingenieurbranche unerlässlich. Sie müssen gewährleisten, dass alles in einem Dokument, das Sie abzeichnen oder veröffentlichen, später nicht verändert wird. Glücklicherweise schafft das Einfügen einer digitalen Signatur tatsächlich ein manipulationssicheres Siegel am Dokument.

Ein Teil des Signatur-Validierungsprozesses (der automatisch und hinter den Kulissen abläuft, wenn jemand ein signiertes Dokument öffnet) umfasst den Vergleich der Inhalte eines Dokuments vor und nach dem Einfügen der Signatur. Ist etwas verändert worden, wird eine Fehlermeldung angezeigt.

Hinweis: Es ist möglich, das bestimmte Änderungen nach dem Einfügen einer Signatur vorgenommen werden dürfen (z. B. weitere digitale Signaturen, Formularfelder und Kommentare). Diese Art von Änderungen macht eine Signatur nicht ungültig und löst dementsprechend keine Fehlermeldung aus.

Digitale Signaturen spielen eine Schlüsselrolle beim Übergang zur papierlosen Arbeitsweise
Die tägliche Bearbeitung von physischen Dokumenten ist aufwendig. Man muss nur einmal die Zeit zusammen rechnen, die man braucht, um Dokumente einzeln auszudrucken, die Dokumente unterschreiben zu lassen, die Dokumente für den Versand vorzubereiten und darauf zu warten, dass die Post oder der Kurier den betreffenden Empfänger erreichen. Dazu kommen Papierkosten und die Nachteile ineffizienter Geschäftsprozesse für Kunden.

Die Vorzüge der papierlosen Arbeitsweise sind demgegenüber seit Jahren klar, aber Signaturen waren oft der Knackpunkt. Gibt es eine sichere elektronische Alternative und würde diese elektronische Signatur gesetzlich akzeptiert werden fragten sich viele. Inzwischen begrüßen die meisten Unternehmen die Idee, digitale Signaturen einzusetzen oder nutzen sie ohnehin schon.

Bei einer kürzlich durchgeführten Untersuchung fand Software Advice heraus, dass in den letzten drei Jahren 77 Prozent der Unternehmen ein Dokument elektronisch signiert haben. Weitere 77 Prozent der Unternehmen sprachen sich dafür aus, Verträge und Formulare mit elektronischen Signaturen zu signieren. Diese Zahlen sind ein guter Indikator dafür, dass das papierlose Modell möglich ist. Wenn man die Voraussetzungen für die ordnungsgemäße und gesetzeskonforme Umsetzung beachtet.

Digitale Signaturen bieten hier eine Lösung. Sie authentifizieren den Signierer, validieren die Signatur und gewährleisten die Integrität des Inhalts. Sie erfüllen alle dergenannten Anforderungen. Und diese wiederum bilden die Grundlage für die meisten staatlichen Anforderungen an elektronische Signaturen. Alle der hier genannten Gesetze verweisen in diesem Zusammenhang ausdrücklich auf digitale Signaturen, ganz im Gegensatz zu anderen Arten elektronischer Signaturen.
Vieles spricht in bestimmten Branchen dafür einen vollständig elektronischen Dokumenten-Workflow zu implementieren - wenn es um Signaturen geht, stehen alle Zeichen auf digital.
[1] California Regulation
[2] Washington D.C. Regulation
[3] Oregon Regulation
(GlobalSign: ra)

eingetragen: 22.07.17
Home & Newsletterlauf: 08.09.17

GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

MiFID II ist da Compliance ist ein kontinuierlicher Prozess

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen