„Die Identität einer Papierunterschrift ist technisch nicht prüfbar“
In der IT-Sicherheit sind Signaturen ein etabliertes Werkzeug – und das übrigens schon mindestens seit den 1980er-Jahren. Die gesamte moderne Kommunikation wie Internet, Mobiltelefone oder WLAN könnte ohne Signaturen nicht funktionieren.
Advertorial
Waldemar Dick, CSO und Co-Founder von Skribble, über die Vorteile der E-Signatur
Welche Rolle spielen E-Signaturen in der IT-Sicherheit?
Waldemar Dick: In der IT-Sicherheit sind Signaturen ein etabliertes Werkzeug – und das übrigens schon mindestens seit den 1980er-Jahren. Die gesamte moderne Kommunikation wie Internet, Mobiltelefone oder WLAN könnte ohne Signaturen nicht funktionieren. In Folge schauen wir als Security Engineers nicht auf das einzelne Element Signatur, sondern auf den Gesamtprozess. Wie kommunizieren Systeme, wie fließen die Daten, wo sind problematische Übergänge in den Systemen, wo interagieren wir mit Menschen?
Was sind typische Vorbehalte potenzieller Anwender?
Waldemar Dick: Die Vorbehalte beziehen sich meistens auf die Identität, die hinter der Signatur steht. Sind meine Identitätsdaten vor Diebstahl geschützt? Können sie kopiert werden? Kann jemand meine Identität verwenden, also in meinem Namen unterschreiben, ohne dass ich es mitbekomme? Und: Ist das Dokument, das auf meinem Bildschirm erscheint, auch tatsächlich jenes, das ich unterschreibe? Ich könnte ja theoretisch etwas anderes sehen, als dann später im Dokument steht.
Sind diese Vorbehalte denn begründet?
Waldemar Dick: Fangen wir für die Beantwortung dieser Frage bei der qualifizierten elektronischen Signatur, kurz QES, an. Dieser höchste E-Signatur-Standard unterliegt hohen regulatorischen Anforderungen in Bezug auf die dahinterliegende Identität sowie was die Kryptografie, die Aufbewahrung der kryptografischen Schlüssel und den Prozess der Willensbekundung angeht. In diesem Umfeld sind die Vorbehalte gegenüber der Signatur eher unbegründet. Denn: Die sogenannten Trust Service Provider, die die kryptografischen Schlüssel und Identitäten verwalten, werden streng kontrolliert. Etwaige Vergehen würden den Entzug der Akkreditierung zur Folge haben. Zudem gibt es eine starke länderübergreifende Zusammenarbeit der Trust Center in Europa, bei der neue Risiken – und entsprechende Maßnahmen zur Minimierung – schnell verbreitet werden.
Was ist mit den anderen Standards?
Waldemar Dick: Bei den anderen E-Signatur-Standards, also bei der einfachen elektronischen Signatur, abgekürzt EES, oder der fortgeschrittenen elektronischen Signatur, kurz FES, gibt es weniger bis keine Regulierung. Hier sollte man sich seine Dienstleister entsprechend genau ansehen bezüglich Sicherheit und Herkunft der Identitäten. Allerdings geht es bei diesen Standards meistens nicht so sehr um die Identität, sondern darum ob und welche Version eines Dokuments unterzeichnet wurde.
Empfehlen Sie vor diesem Hintergrund immer die QES, da sie die höchste Sicherheit bietet?
Waldemar Dick: Nein, es kommt immer auf den konkreten Fall an. Wenn mir die andere Partei eher unbekannt ist, aber die Identität eine wichtige Rolle im Vertrag spielt, dann ist die QES wahrscheinlich die richtige Lösung. Bei einer unternehmensinternen Freigabe oder einem Bewilligungsprozess reicht vermutlich auch eine EES auf Basis der Unternehmensdaten.
Wo liegen denn, abgesehen vom Effizienz-Gewinn, die Vorteile der E-Signatur gegenüber der Unterschrift auf Papier?
Waldemar Dick: Das Spannende für uns als Security Engineers ist, dass wir hier nicht nur auf die technischen Aspekte schauen, sondern auf die Beweiskraft eines Prozesses. Hier ist die elektronische Signatur der Papierunterschrift einfach haushoch überlegen. Wir können die Identität einer Papierunterschrift nie technisch prüfen. Wir vertrauen einfach darauf, dass die eigenhändige Namenszeichnung schon der Person auf dem Dokument entspricht.
Und im digitalen Prozess?
Waldemar Dick: Im digitalen Prozess haben wir eine prüfbare und belastbare Identität. Im Fall der QES kann diese Identität sogar überhaupt nicht abgestritten werden. In den anderen Fällen haben wir einen oder mehrere Faktoren, die der Person zugeordnet sind – etwa die E-Mail-Adresse und die Mobilfunknummer – aber auch ein Protokoll über den Lebenszyklus des Dokuments. Natürlich ist im Streitfall die letzte Instanz ein Gericht. Im digitalen Prozess sind der Lebenszyklus und die Unterzeichner jedoch meistens so klar, dass es gar nicht zu einem Gerichtsprozess kommt.
Können E-Signaturen bzw. digital signierte Dokumente manipuliert werden?
Waldemar Dick: Unser Unternehmen verwendet – unabhängig vom eingesetzten E-Signatur-Standard – stets Software und kryptografische Verfahren, die einem QES-Standard genügen. Signierte Dokumente zu manipulieren, ohne die Signatur zu brechen, halte ich für unmöglich. Es sei denn, es lägen Fehler in der Prüfsoftware vor.
Und wie sicher sind Freigabeprozess und Identitätsprüfung?
Waldemar Dick: Je höher der Standard, desto mehr und intensiver werden die Faktoren geprüft. Wenn die Freigabeprozesse auf klassischen Mitteln wie E-Mail und MTAN basieren, dann gibt es hier natürlich auch die klassischen Probleme, zum Beispiel schwache Passwörter, Phishing sowie MTAN lesbar von Fremdapplikationen oder ungeschützt lesbar trotz eines gesperrten Handys.
Worauf sollten potenzielle Nutzer bezüglich der Sicherheit achten, wenn sie sich für einen E-Signatur-Anbieter entscheiden?
Waldemar Dick: Abgesehen von den üblichen Zertifikaten wie ISO-27001, ISO-9001 würde ich an ihrer Stelle mit dem Anbieter sprechen und mir einen persönlichen Eindruck verschaffen: Gibt es eventuell Architekturbeschreibungen mit dem Fokus auf Sicherheit? Um es noch einmal zu betonen: Wichtig ist vor allem der Gesamtprozess, in den die Signatur eingebunden wird. Deshalb würde ich als potenzieller Nutzer schauen, ob mein Anbieter sich bemüht, diesen individuellen Prozess zu verstehen und ob er mich entsprechend kompetent beraten kann. Nur so entsteht eine vertrauensvolle und langfristige Beziehung zwischen Anbieter und Kunde.
Detaillierte Informationen zur E-Signatur finden Sie im kostenlosen Whitepaper „Rechtsgültig elektronisch signieren. Eine komplette Einführung für Betriebe mit Geschäftstätigkeit in der EU und/oder in der Schweiz“.
Kontakt:
Skribble AG
Förrlibuckstrasse 190
CH-8005 Zürich
Web: www.skribble.com
Waldemar Dick, CSO und Co-Founder von Skribble