Fragen zu Recht und Sicherheit
Die Antworten zu häufig gestellten Fragen finden Sie hier. Falls Sie noch weitere Frage haben, dann kontaktieren Sie uns bitte.
- Was ist der Unterschied zwischen elektronischen und digitalen Signaturen?
- Was ist eine handgeschriebene elektronische Unterschrift?
- Ist SIGNificant eIDAS konform?
- Zu welchen internationalen Standards abseits von eIDAS ist SIGNificant konform
- Wie unterstützt mich SIGNificant bei einem Gerichtsverfahren?
- Welche Unterschriften sind auf Basis HTML5 (ohne lokale Installation) möglich?
- Unterstützt SIGNificant den Standard ISO/IEC 19794-7:2014 zum Austausch von Unterschriftsdaten?
- Können Dokumente, die mit SIGNificant unterschrieben wurden, auch ohne SIGNificant-Nutzer zu sein auf Echtheit überprüft werden?
- Kann man eine Unterschrift, die auf einem Unterschrifts-Pad erfasst wurde, fälschen?
- Wie kann ich sicherstellen, dass eine Unterschrift nicht einfach von einem Dokument in ein anderes kopiert wurde?
- Können die Unterschriftsdaten bei der Erfassung illegal zur späteren missbräuchlichen Verwendung mit aufgezeichnet werden?
- Wie wird sichergestellt, dass ein Unterzeichner nicht ein Dokument unterzeichnet, das ihm gar nicht gezeigt wurde?
- Benötige ich die Zustimmung des Unterzeichners bevor ich ihn elektronisch unterschreiben lasse?
- Kann SIGNificant auch mit beliebigen digitalen Zertifikaten verwendet werden?
- Warum zeigen manche PDF Reader PDF-Annotationen und digitale Unterschriften nicht an?
- Kann es sein, dass die Aufzeichnungsqualität einer Unterschrift nicht gut genug ist für einen Schriftsachverständigen?
- Wie ist sichergestellt, dass die Verschlüsselung der Unterschriftsdaten nicht geknackt wird?
- Wie ist die Datenübertragung zwischen Client bzw App und Server geschützt?
Was ist der Unterschied zwischen elektronischen und digitalen Signaturen?
Wikipedia schreibt dazu: Oftmals werden die Begriffe „digitale Signatur“ und „elektronische Signatur“ synonym verwendet. Dies ist jedoch nicht korrekt. Der Begriff „digitale Signatur“ bezeichnet eine Klasse von kryptografischen (d. h. mathematischen) Verfahren, während „elektronische Signatur“ ein rein rechtlicher Begriff ist. Der Terminus „elektronische Signatur“ wurde zuerst von der Europäischen Kommission in einem überarbeiteten Entwurf der EU-Richtlinie 1999/93/EG verwendet, um die rechtlichen Regelungen nicht an eine bestimmte Technologie zu koppeln; in einem früheren Entwurf war noch der Begriff „digitale Signatur“ verwendet worden. Die Richtlinie und die darauf basierenden nationalen Signaturgesetze der Mitgliedstaaten fassen den Begriff bewusst sehr weit: „‚Elektronische Signaturen‘ sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die der Authentifizierung dienen.“ Diese Definition umfasst neben digitalen Signaturen auch andere, nicht auf kryptographischen Methoden, insbesondere nicht auf digitalen Zertifikaten, basierende Verfahren.
Ist SIGNificant eIDAS konform?
Die Namirial DTM Lösung erlaubt es Anwendern Dokumente eIDAS konforme Unterschriften nach folgender rechtlicher Klassifizierung zu erzeugen:
- Qualifizierte E-Signatur (QES)
- Fortgeschrittene E-Signatur (FES)
- E-Signatur (ES)
Während biometrische Signaturen erzeugt durch die Aufnahme eigenhändiger Unterschriften typischerweise den Status der fortgeschrittenen e-Signatur erreichen, erlaubt Namirial diese zur Authentifizierung von qualifizierten Zertifikaten ein der Namirial Fernsignaturumgebung zu verwenden, welche der gesetzlichen Schriftform genügen. Details dazu finden Sie hier:
Zu welchen internationalen Standards abseits von eIDAS ist SIGNificant konform
SIGNificant wurde zur Konformität mit globalen Standards entwickelt. Die wichtigsten davon abseits von eIDAS sind:
- U.S. ESIGN Act
- US state laws modeled after 1999 UETA
- Regeln der FDA, FTC FHA, IRS, and FINRA, und vieler anderer
- Deutsche BIPRO Norm (Namirial ist ein BIPRO Mitglied)
Wie unterstützt mich SIGNificant bei einem Gerichtsverfahren?
Mit unseren Lösungen wurden weltweit bereits hunderte Millionen von Dokumenten unterzeichnet. Renommierte Großkonzerne nutzen unsere Lösung seit Jahren. In Summe sind wir bisher auf ganz wenige Einzelfälle gestoßen, wo elektronisch aufgezeichnete Unterschriften angezweifelt wurden. Gerne unterstützen wir Sie in so einem Fall nicht nur mit unseren Werkzeugen für Schriftsachverständige, sondern auch mit Aussagen vor Gericht.
Was ist eine biometrische Unterschrift?
Wie in der Papierwelt, wird die eigenhändige Unterschrift des Unterzeichners elektronisch aufgezeichnet. Wir erfassen jedoch viel mehr als nur das Bild der Unterschrift. Ein reines Bild wäre für einen Schriftsachverständigen vor Gericht faktisch wertlos. Deshalb zeichnen wir alle Merkmale einer Unterschrift wie z.B. Schreibgeschwindigkeit, Druck und Schreibrythmus auf. Diese Daten sind sehr charakteristisch, schwer zu fälschen und deshalb einer Person sehr gut und eindeutig zuordenbar. Damit werden von uns aufgezeichnete Unterschriften gerichtsverwertbar.
ISO/IEC 19794-7:2014 Standard für Unterschriftsdatenaustausch
Alle durch SIGNificant erfassten Unterschriften können gemäß des ISO/IEC 19794-7:2014 Standards exportiert werden, was Ihnen völlige Herstellerunabhängigkeit garantiert.
Können Dokumente, die mit SIGNificant unterschrieben wurden, auch ohne SIGNificant-Nutzer zu sein auf Echtheit überprüft werden?
SIGNificant basiert auf den offenen ISO-PDF- und digitalen Signatur-Standards, ohne proprietäre Technologien. Alle Unterschriften und deren verschlüsselte Rohdaten sind in das PDF eingebettet. Sie müssen kein SIGNificant-Kunde sein oder zu unserer Website zurückkehren, nur um die Gültigkeit von Dokumenten zu überprüfen.
Warum zeigen manche PDF-Reader PDF-Annotationen und digitale Unterschriften nicht an?
Manche PDF-Reader unterstützen nicht den kompletten PDF-Standard. Die Apple-Welt ist ein gutes Beispiel dafür. Laut PDF-Standard sind Anmerkungen in einer eigenen Ebene über dem eigentlichen Inhalt des Dokumentes enthalten; wie ein Post-It auf einem Papierdokument, das man einfach herunternehmen kann. Diese PDF-Reader zeigen nur den Inhalt an und man sieht deshalb die Ebene der zusätzlichen Anmerkungen nicht. Das aufgezeichnete Unterschriftsbild und digitale Signaturen sind ebenfalls eine derartige Zusatzebene und es kann deshalb passieren, dass manche Viewer das nicht anzeigen, was bei unterschriebenen Dokumenten natürlich sehr lästig ist. Um dies zu vermeiden, kann man PDFs "flatten". Das bedeutet technisch gesehen, alle Ebenen auf eine Ebene zu reduzieren. Oder anders herum gesagt werden alle Anmerkungen und das Unterschriftsbild direkt in der Inhaltsebene eingefügt. Damit kommen alle PDF-Reader zurecht und man vermeidet die oben angeführten Probleme, verliert im PDF aber sehr viele nützliche Informationen. Deshalb empfehlen wir, an Endkunden nur geflattete PDFs zu schicken, im Unternehmen selbst aber das Original-PDF zu archivieren.
Kann man eine Unterschrift, die auf einem Unterschrifts-Pad erfasst wurde, fälschen?
SIGNificant erfasst verschiedene Parameter der persönlichen Unterschrift, wie Rhythmus, Geschwindigkeit, Druck, Beschleunigung und Bewegung in der Luft. Fälscher versuchen meist, Unterschriften von einer Vorlage möglichst exakt nachzuzeichnen oder - wenn dies nicht möglich ist - aus dem Gedächtnis abzurufen. Deshalb sind viele Fälschungen entweder sehr exakt aber langsam nachgezeichnet oder in normaler Geschwindigkeit aber inexakt.
Solche Szenarien können mit unserem Werkzeug für Schriftsachverständige - dem PenAnalyst - ganz einfach aufgedeckt werden:
- Verschiedene Unterschriften können grafisch übereinander gelegt werden, sodass Abweichungen schnell auffallen.
- Es stehen verschieden Werkzeuge und Zoomstufen zur Verfügung, mit denen der Gutachter Abstände messen kann. Dabei kann die Unterschrift im Raum gedreht werden.
- Ein Abspielen der Unterschriftenaufzeichnung in Echtzeit deckt auffällige Abweichungen in der Unterschriftengeschwindigkeit rasch auf.
Wie kann ich sicherstellen, dass eine Unterschrift nicht einfach von einem Dokument in ein anderes kopiert wurde?
Alle aufgezeichneten Unterschriftsmerkmale werden sofort bei der Aufzeichnung asymetrisch verschlüsselt. Das Auslesen der Unterschriftsdaten aus dem Dokument ist nur dann möglich, wenn man im Besitz des privaten Schlüssels ist, der typischerweise extern z.B. bei einem Notar hinterlegt wird oder auf Wunsch auch in einer HSM gespeichert werden kann.
Zudem ist jede von uns aufgezeichnete Unterschrift eindeutig mit dem unterschriebenen Dokument verbunden. Mit der Unterschrift wird ein eindeutiger Verweis auf das Dokument mitgespeichert, der einfache Copy/Paste-Attacken unmöglich macht.
Können die Unterschriftsdaten bei der Erfassung illegal zur späteren missbräuchlichen Verwendung mit aufgezeichnet werden?
Mit hoher krimineller Energie, technischem Insiderwissen über die spezifische Kundeninstallation sowie das benutze Tablet und unautorisiertem Zugriff auf den Computer ist dies theoretisch möglich. Verglichen mit dem einfachen Fälschen einer Unterschrift auf Papier stellt dies aber einen extremen Aufwand dar. Vollständiger Schutz ist nur mit dem richtigen Unterschriftspad möglich.
Der Prozessor des SIGNificant ColorPad enthält zum Beispiel den öffentlichen Schlüssel eines zweiten Schlüsselpaares (RSA 2048-bit). Bei dieser Art der Verschlüsselung werden die biometrischen Daten auf dem Tablet selbst verschlüsselt. Das garantiert, dass hochsensible Informationen nie im entschlüsselten Zustand in der unsichereren Umgebung des Computers ausgelesen werden können. Der individuelle Schlüssel dieses zweiten Schlüsselpaares wird sicher bei einem Notar oder in einer sicheren Umgebung Ihrer Wahl hinterlegt. Mit diesem Vorgang ist vollständiger Schutz möglich.
Wie wird sichergestellt, dass ein Unterzeichner nicht ein Dokument unterzeichnet, das ihm gar nicht gezeigt wurde?
Es ist möglich, dass das zum Unterschreiben vorgesehene Originaldokument mit einem anderen ersetzt wird, was durch einen "Man-In-The-Middle"-Angriff passieren kann. Wenn Sie eine Client-Server-Architektur verwenden, benutzt SIGNificant eine SSL-Verschlüsselung für jede Art von Netzwerkkommunikation im gesamten Unterschriftsprozess. So können Ihre Daten weder unbefugt ausgelesen noch manipuliert werden. Außerdem ist es wichtig, es dem Unterschreibenden zu ermöglichen, das zu unterschreibende Dokument am Unterschriftspad zu lesen. Wir empfehlen, dies direkt am Unterschriftspad zu ermöglichen anstatt einen externen Bildschirm zu benutzen. Alternativ dazu kann man Stift-Displays verwenden, die das ganze Dokument anzeigen können und einen Stift für die Unterschrift haben.
Welche internationalen Standards erfüllt SIGNificant?
Bei der SIGNificant Entwicklung wurde die Kompatibilität mit den wichtigen Eigenschaften internationaler Normen und Standards stets berücksichtigt. Dazu zählen :
- die "European Directive 1999/93 EC on a Community Framework for Electronic Signatures", inklusive "UK Electronic Communication Act",
- der "U.S. ESIGN Act"
- Reglungen von FDA, FTC, FHA, IRS und FINRA, neben weiteren
- Die deutsche BIPRO Norm (SIGNificant ist Mitglied bei BIPRO)
- eIDAS
SIGNificant erfüllt die EU-Bestimmungen für die "elektronische Signatur" und die "fortgeschrittene elektronische Signatur".
Benötige ich die Zustimmung des Unterzeichners, bevor ich ihn elektronisch unterschreiben lasse?
Bei der Einführung von elektronischen Unterschriftsprozessen zwischen Unternehmen bestehen mehr Freiheiten als zwischen Unternehmen und Konsumenten. Dennoch empfiehlt es sich, auch zwischen Unternehmen die elektronische Unterschriftsform in die Verträge aufzunehmen bzw. gesondert wechselseitig anzuerkennen.
Bei Endkunden ist es dringend anzuraten, eine diesbezügliche Einverständniserklärung unterzeichen zu lassen. Bei reinen Onlinetransaktionen kann dies vor jeder Transaktion erfolgen, in anderen Szenarien zumindest vor der ersten Unterschrift.
Kann SIGNificant auch mit unterschiedlichen digitalen Zertifikaten verwendet werden?
Kurz gesagt lautet die Antwort: Ja. Wenn Sie digitale IDs (Zertifikate) in Ihrer Organisation bereits haben oder erwerben und diese für eine zertifikatsbasierte Signatur verwenden wollen, dann können Sie dies mit SIGNificant tun. Wir unterstützen es auch, wenn Sie Dokumente an Externe zur Unterschrift versenden und aus rechtlichen Erwägungen möchten, dass diese das Dokument mit Ihrer digitalen ID (Zertifikat) signieren.
Learn MoreKann es sein, dass die Aufzeichnungsqualität einer Unterschrift nicht gut genug ist für einen Schriftsachverständigen?
Unter normalen Bedingungen ist die Aufzeichnungsqualität praktisch aller am Markt verfügbaren Unterschriftspads und Stift-Displays ausreichend. Vorsicht ist aber geboten, wenn Unterschriftspads mit Citrix, RDP oder VMWare verwendet werden.
Dazu muss man grundsätzlich wissen, dass Unterschriftspads alle aufgezeichneten Daten im Vertrauen verschicken, dass die empfangende Software die Daten auch erhält. Dies ist bei einem normalen Computer, wo das Pad am USB-Port angesteckt ist, kein Problem. Über Citrix, RDP und VMWare wird die Umgebung aber wesentlich komplexer und das Netzwerk bekommt in der Kommunikation zwischen dem Pad und der Software eine kritische Bedeutung. Auch wenn leider immer wieder Gegenteiliges behauptet wird, kann man klar nachweisen, dass in derartigen Szenarien Unterschriftsdaten verloren gehen wenn Netzwerkspitzen oder andere kleine Netzwerkunterbrechungen auftreten, was im Echtbetrieb viel zu oft passiert, um es ignorieren zu können. Gemeinerweise ist dies optisch nicht zu bemerken, weil die Unterschrift im PDF oftmals trotzdem noch "halbwegs gut" aussieht. Erst wenn man die Rohdaten analysiert merkt man, dass viele Daten verloren gegangen sind. Deshalb bieten wir für diese Szenarien lokale Komponenten, die am Terminal installiert werden und diese negativen Auswirkungen beseitigen.
Wie ist sichergestellt, dass die Verschlüsselung der Unterschriftsdaten nicht geknackt wird?
Alle aufgezeichneten Unterschriftsmerkmale werden sofort bei der Aufzeichnung asymmetrisch verschlüsselt. Das Auslesen der Unterschriftsdaten aus dem Dokument ist nur dann möglich, wenn man im Besitz des privaten Schlüssels ist, der typischerweise externen bei einem Notar hinterlegt wird oder auf Wunsch auch in einer HSM gespeichert werden kann.
Natürlich kann man bei keiner Verschlüsselung behaupten, dass sie niemals geknackt werden kann. Verschlüsselungen orientieren sich immer am Stand der Technik.
Um die Verschlüsselung zu knacken, muss man Zugriff auf das Dokument haben. Deshalb kann man neben der Verschlüsselungstechnologie selbst und der sicheren Hinterlegung auch dadurch Vorsorge treffen, dass man das Originaldokument mit den Unterschriftsdaten nicht breit verteilt. Beim Einsatz unserer SIGNificant Unterschriftsplattform bleibt das Dokument immer am geschützten Server und alle anderen Komponenten auf den Clients bzw. mobilen Geräten arbeiten nur mit Vorschaubildern. Durch einen Zugriff auf den Client kann man das Dokument also nicht erhalten. Beim Verschicken der Dokumente bieten wir die Option diese zu "flatten", was neben anderen Dingen auch bedeutet, dass nur mehr das Bild der Unterschrift sichtbar ist, aber die Rohdaten aus dem PDF entfernt wurden.
.
Wie ist die Datenübertragung zwischen Client bzw App und Server geschützt?
Die Kommunikation der Clients bzw. Apps mit der SIGNificant Unterschriftsplattform kann mit SSL Zertifikaten geschützt werden. Dies wird typischerweise direkt am IIS Server durch den Netzwerkadministrator eingestellt. Wir unterstützen auch weitere Maßnahmen wie: Reverse Proxy, Basic/Windows Authentication, Web Single Sign-on, etc.
Wie verhält sich SIGNificant bei biometrisch signierten PDF-Dokumenten zur EU Regulierung 910/2014: On electronic identification and trust services for electronic transactions?
Lesen Sie alles darüber im Dokument EU Regulation 910/2014 on electronic identification and trust services for electronic transactions (Englisch).
Welche Unterschriften sind auf Basis HTML5 (ohne lokale Installation) möglich?
Der große Vorteil von Prouess Unterschriften die rein über einen HTML5 Client aufgenommen werden besteht darin, dass Unterzeichner keine zusätzliche Software auf ihren Geräten installieren müssen. Sie funktionieren einfach auf jedem HTML5-fähigen Gerät. Abhängig von der Authentifizierungsmethode erfordern sie auch keine komplizierten Abläufe, sodass sie für B2C und B2B-Szenarien gut geeignet sind. Jedoch hängt der gesamte Prozess vollständig von der richtigen Authentifizierung des Empfängers und der Protokollierung aller Benutzerinteraktionen mit den Dokumenten ab. Wenn alles ordnungsgemäß dokumentiert ist, bieten HTML5 Unterschriften eine zuverlässige Beweiskraft. Ausgehend von der gewählten Methode können diese Unterschriften den fortgeschrittenen elektronischen Signaturstandard und auf Basis qualifizierter server-seitiger Zertifikate mit Einführung von eIADS im Juli 2016 sogar qualifizierte Signaturen erfüllen. Darüber hinaus verschiebt ein ordnungsgemäß aufgesetztes Protokoll, das leicht zu lesen ist und auch von Richtern oder Anwälten, ohne einen Sachverständigen zu Rate zu ziehen, verstanden wird, meistens die Beweislast zum Unterzeichner hin. Dies ist ein Vorteil gegenüber biometrischen Unterschriften, wenn diese nicht in Echtzeit verifiziert wurden. Die Frage, wie eine HTML5-Unterschrift am Dokument angezeigt wird, ist meist eher eine Frage des Nutzens für den Unterzeichner und weniger eine rechtliche Frage. Möglicherweise kann man argumentieren, dass, wenn der Unterzeichner nicht nur einen Dialog bestätigt, sondern auch das Bild der Unterschrift selbst wählt oder erstellt hat – zum Beispiel weil er seinen Namen als Basis für das Bild eintippt – das mehr Beweiskraft im Vergleich zu Methoden hat, bei denen das nicht der Fall ist.
Click-2-Sign
Ist das typische Äquivalent zum Stempelabdruck in der Papierwelt. Die passende elektronische Unterschriftensoftware lässt Sie die Elemente des Stempelabdruckes definieren. Abhängig vom Anwendungsfall können Sie zum Beispiel den Namen des Unterzeichners anzeigen oder die IP-Adresse sowie geografische oder andere Informationen. Eventuell möchten Sie einen Text hinzufügen, der explizit besagt, dass dies eine digitale Unterschrift und keine manuell-handschriftliche ist.
Type-2-Sign (Tippen des Namens)
Diese Methode ermöglicht dem Unterzeichner, seinen Namen unter Verwendung von verschiedenen Schrifttypen, die wie handschriftliche Unterschriften aussehen, zu erstellen. Der Benutzer kann dabei oft die Schriftart und Schriftgröße auswählen. Ähnlich wie beim Click-2-Sign enthält die Type-2-Sign Unterschrift auch zusätzliche Informationen zum Unterzeichner, wie seinen Namen, E-Mail oder IP-Adresse und Datum und Zeit des Unterzeichnens.
Draw-2-Sign (Zeichnen des Namens mit dem Finger, der Maus oder dem Stylus)
Der Unterzeichner „zeichnet“ seine Unterschrift wie er es vom Prozess auf Papier gewohnt ist. Sie gleicht einer biometrischen Unterschriftenerfassung, jedoch sind die meisten Menschen nicht fähig, ihre Unterschrift mit dem Finger oder einer Maus zu zeichnen. Aber auch wenn ein Stylus verwendet wird, ist die Unterschrift nicht forensisch identifizierbar, da HTM5-basierte Lösungen keine biometrischen Daten verlässlich erfassen können, sondern nur ein Abbild aufzeichnen. Deshalb ist auch hierfür eine zusätzliche Authentifikation nötig.
Lesen Sie alles darüber im Dokument Elektronische Unterschriften online einholen