Home » Fachbeiträge » Cybersecurity » Wo Stift und Papier nicht mehr gebraucht werden

Wo Stift und Papier nicht mehr gebraucht werden

Während der Umgang mit E-Signaturen in manchen Ländern schon zum Geschäftsalltag gehört, liegt Deutschland hinsichtlich einer allgemeinen Akzeptanz noch vergleichsweise weit zurück. Auch grundlegendes Wissen über die Materie kann nicht flächendeckend vorausgesetzt werden. Dabei spricht vieles für einen Abschied vom Kugelschreiber.

6 Min. Lesezeit
Bild: © 2021 Andrey_Popov/Shutterstock.com

E-Signatur: Dokumente digital unterschreiben

Nach wie vor denken manche Menschen bei dem Stichwort E-Signatur ausschließlich an eine Unterschrift, die per Hand auf einem Screen erfolgt – etwa bei der Annahme eines Pakets an der Haustür. Eine elektronische Signatur ist jedoch eine Methode, um sein Einverständnis mit einem Dokument auf digitalem Weg zu dokumentieren. Der Namenszug ist nicht mehr zwingend erforderlich. Je nach Art der Signatur beziehungsweise der rechtlichen Anforderungen an das jeweilige Dokument ist diese Signatur rechtlich bindend – und kann eine handschriftliche Unterschrift ersetzen.

Was für die E-Signaturen spricht

Es gibt eindeutige Vorteile gegenüber der klassischen Form mit Stift und Papier. Es ist vor allem die lange Tradition der handschriftlichen Unterschrift, verbunden mit Bedenken bezüglich einer vermeintlichen Rechtsunsicherheit, die hierzulande für eine eher abwartende Haltung sorgt. Diese ist unberechtigt, denn die Fakten sprechen eindeutig für eine verstärkte Nutzung der elektronischen Signatur. Da sie für die meisten Verträge und Dokumente geeignet ist, gibt es kaum eine Branche, in der sie nicht genutzt werden kann. Zahlreiche, auch namhafte Unternehmen wenden diese Möglichkeit schon seit einigen Jahren erfolgreich an. Ihre Hauptmotivation liegt im Wesentlichen darin begründet, dass das traditionelle handschriftliche Unterschreiben viel Zeit und viele Ressourcen in Anspruch nimmt. Sprich: Es dauert lange und ist teuer. Vor dem Hintergrund gewaltiger Herausforderungen wie Inflation, Energiekosten, Fachkräftemangel etc. bekommt dieses Argument zusätzliches Gewicht.

Klassisch, aber langweilig und teuer

Dazu einige Zahlen: Interne Berechnungen haben ergeben, dass der Personalaufwand pro zu unterschreibendem Vertrag (mit zwei Parteien) im Durchschnitt bei mehr als 20 Minuten Arbeitszeit liegt. Die „Liegezeit“ eines Dokuments beträgt rund drei Tage. Am Ende summieren sich die Kosten auf 28 Euro. In vielen Fällen, etwa bei komplexeren Vorgängen, dürften diese Durchschnittswerte weit übertroffen werden. Natürlich liegt der Aufwand beim Einsatz von E-Signaturen nicht bei Null. Er macht, bei korrekter Anwendung, allerdings nur einen Bruchteil dessen aus, was die klassische Form erfordert. Nach dem Motto „Kleiner Hebel, große Wirkung“ können so relativ geringe Investitionen zu einer deutlichen Optimierung von Prozessen beitragen.

Den Medienbruch vermeiden

Hinzu kommt, als weiteres starkes Argument, der sogenannte Medienbruch bei Prozessen, die in den vergangenen Jahren und Jahrzehnten bereits eine starke Digitalisierung erfahren haben. In diese kann die E-Signatur nahtlos integriert werden. Das viel zitierte und von nicht wenigen angestrebte „papierlose Büro“ lässt sich mit analogen Dokumenten nun einmal nicht erreichen. Nur mit dem Verzicht auf den Stift lässt sich das volle Potenzial der Digitalisierung ausschöpfen.

Die vermeintlich größte Hürde für deutsche Unternehmen besteht in einer vermuteten Rechtsunsicherheit. Mitarbeitende verlassen sich, um „auf Nummer sicher zu gehen“, lieber auf die „handfeste“ und „bewährte“ Methode. Doch diese Unsicherheit hat keine Faktenbasis.

„Die qualifizierte elektronische Signatur, kurz QES, kann in Deutschland gemäß § 126a, 126 Abs. 3 BGB die handschriftliche Unterschrift und damit die Schriftform ersetzen.“, so Dr. Patrick Treitz, Partner und Rechtsanwalt bei RITTERSHAUS Rechtsanwälte Steuerberater PartmbB. Nicht nur das Bürgerliche Gesetzbuch gibt unmissverständlich Auskunft. Auch auf EU-Ebene findet sich eine Grundlage, in Form der „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt”, besser bekannt unter der Abkürzung eIDAS. Seit 2016 schafft sie den Rahmen für die elektronische Identifizierung und sogenannte Vertrauensdienste.

Die eIDAS-Verordnung definiert drei E-Signatur-Standards
Drei Sicherheitsstufen

Wichtig für das richtige Verständnis in Sachen Rechtsgültigkeit ist eine zumindest grobe Kenntnis über die verschiedenen E-Signatur-Standards, wie sie in der eIDAS-Verordnung zu finden sind. Dabei reicht es, sich die drei möglichen Sicherheitsstufen und ihre Abkürzungen einzuprägen (im Zweifel sollten vor Einführung der E-Signatur beziehungsweise bei speziellen Anwendungen ohnehin juristische Profis hinzugezogen werden). Mit QES ist die qualifizierte elektronische Signatur gemeint. Sie ist so etwas wie der Gold-Standard und kann – aufgrund einer erforderlichen Identitätsprüfung durch autorisierte Stellen – die handschriftliche Unterschrift ersetzen. Anwendungen findet sie unter anderem bei befristeten Arbeitsverträgen, Elternzeitanträgen, Index- oder Staffelmietverträgen, Gesellschafterdarlehen.

Sollte es zu Auseinandersetzungen vor Gericht kommen, liefert die QES die höchstmögliche Beweiskraft. Bedeutet: Die QES ist vor Gericht stärker als die Signatur auf Papier.

Eine Stufe niedriger ist die fortgeschrittene elektronische Signatur, kurz FES. Im Fall der FES wird die Identität indirekt geprüft – mittels eines Drittanbieters (E-ID), einer Mobiltelefonnummer oder einer Unternehmens-E-Mail-Adresse. Die FES ist als Unterschrift für all jene Dokumente rechtsgültig, für die das Gesetz nicht ausdrücklich die Schriftform oder die handschriftliche Unterschrift verlangt. Die einfache elektronische Signatur (EES) bildet dann quasi die Basisversion. Für ihre Erstellung gibt es keine festgelegten Anforderungen. Eine eingescannte Unterschrift ist also genauso eine einfache Signatur wie der hingekritzelte Schriftzug auf einem Tablet. Aufgrund ihrer Einfachheit hat die EES nur wenig Beweiskraft. Sie kommt zum Beispiel bei Lieferanten-Offerten, organisationsinternen Dokumenten oder Bekanntmachungen zum Einsatz.

Ablauf beim Erstellen der digitalen Signatur

Wie funktioniert die technische Umsetzung

Technisch gesehen handelt es sich bei der E-Signatur um eine Verknüpfung von elektronischen Daten, die auf die Identität des oder der Unterzeichnenden (Authentizität) und auf die Unveränderbarkeit des Dokuments (Integrität) rückschließen lassen. Ein uraltes Pendant aus der analogen Welt ist das ungebrochene Wachssiegel. In der heutigen Version wird das Wachs sozusagen durch ein Verschlüsselungsverfahren ersetzt, das auf asymmetrischer Kryptografie beruht. Verfahren dieser Art sind für die fortgeschrittene und für die qualifizierte elektronische Signatur Pflicht. Dabei ist der Absender im Besitz eines einzigartigen, ihm zugeordneten privaten Schlüssels („Private Key“): Verschiedene Algorithmen machen den Text für Unbefugte unlesbar und für Berechtigte lesbar. Der Empfänger kann auf einen exakt dazu passenden, öffentlichen Schlüssel („Public Key“) zugreifen. Erzeugt und bereitgestellt werden diese Schlüsselpaare durch eine technische Infrastruktur (Public Key Infrastructur, kurz PKI). Sie umfasst unter anderem Zertifizierungsstellen (wie Swisscom oder die Bundesdruckerei) zur Identitätsprüfung und Zuordnung. Möglichkeiten der Identifizierung sind unter anderem über Live-Video-Call, über Onlinebanking oder App.

Ablauf bei der Prüfung der digitalen Signatur

Sicherheit durch Verschlüsselung

Der Weg, eine digitale Signatur zu erzeugen, ist – ganz im Sinne der Sicherheit – komplex. Trotzdem ist die E-Signatur massentauglich und kann ohne technisches Wissen genutzt werden. Wichtig dabei ist, ein E-Signing-Tool zu wählen, das die technische Komplexität durch gute Nutzerführung und intuitives Design eliminiert und für den Anwender „unsichtbar“ macht. Schauen wir uns den technischen Prozess hinter einer E-Signatur näher an. Am Anfang steht die Verschlüsselung mit einem Hash-Algorithmus: Die Nachricht wird so in eine „Zeichenkette“ verwandelt. Bei der geringsten Veränderung an der Nachricht ändert sich auch das Ergebnis des Algorithmus. Es folgt eine erneute Verschlüsselung mit dem „Private Key“ des Absenders. Schließlich geht es ans Versenden beziehungsweise Abspeichern – und zwar sowohl der unverschlüsselten Nachricht als auch der zweifach verschlüsselten Nachricht sowie des Algorithmus. Der Empfänger ist in der Lage, die Authentizität und Integrität zu prüfen. Und zwar durch einen von ihm angestoßenen Vergleich der Zeichenketten von verschlüsselter und unverschlüsselter Nachricht. Nur wenn sie exakt übereinstimmen, hat alles seine Richtigkeit.

Per Browser oder vollständig integriert

E-Signatur-Lösungen lassen sich mittels Schnittstelle, das heißt via Standard-Plug-ins oder API, in die bestehende IT-Umgebung und bestehende Arbeitsabläufe integrieren. So kann zum Beispiel direkt in der Software „unterzeichnet“ werden: SAP, Microsoft Teams und Google Drive Web App sind nur einige Beispiele. Die Integration in den Arbeitsalltag kann auf verschiedene Arten erfolgen. Möglich ist zum Beispiel das Signieren via Browser: Dabei wird das Dokument auf eine Anbieter-Plattform per Drag and Drop hochgeladen, der Nutzer erhält dann einen entsprechenden Link. Im Rahmen einer vollständigen Integration läuft der Workflow dagegen unbemerkt im Hintergrund. Signiert wird innerhalb der jeweiligen Anwendung.

Die E-Signatur kann nahtlos in die bestehende IT-Umgebung und bestehende Arbeitsabläufe via Standard-Plug-ins oder API integriert werden.

Vieles deutet darauf hin, dass das Thema E-Signatur nun auch in Deutschland verstärkt an Fahrt gewinnen wird. So zeigt etwa eine Unternehmensumfrage des Branchenverbands Bitkom aus dem vergangenen Jahr, dass künftig 95 Prozent auf digitale Dokumente statt auf Papier setzen werden – und 97 Prozent auf die Nutzung digitaler Signaturen (Quelle: Bitkom Research).

Philipp Dick

Phjilipp Dick, CEO & Co-Founder der Skribble AG

Andere interessante Fachbeiträge

Kubernetes

Kubernetes sicher betreiben

Kubernetes ist eine Open-Source-Plattform zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen. Neben den vielen Vorteilen wie Ressou...

Hacker vor Monitoren

Wie die Angreifersicht beim Schutz des Unternehmens hilft

Unternehmen investieren viel Zeit und Aufwand in den Aufbau einer Sicherheitsarchitektur für ihre industrielle IT. Trotzdem kommt es immer wieder zu erfolgreichen Angriffen. Wie ka...

rotes Ausrufezeichen

Ransomware-Angriffe mit Zero-Trust-Segmentierung eindämmen

Ransomware-Angriffe sind eine große Gefahr. Die gute Nachricht ist: Sie brauchen Zeit. Die Angreifer müssen sich erst in der IT-Umgebung eines Unternehmens ausbreiten, sensible Dat...