Startseite > Security > New Work braucht die digitale Unterschrift

Elektronische Signatur und PKI

New Work braucht die digitale Unterschrift

18. Januar 2021, 7:00 Uhr | Michael Rave/wg

Erst die Nutzung digitaler Signaturen ermöglicht vollständig papierlose „New Work“-Arbeitsabläufe.

Home-Office, Videokonferenzen, digitales Bearbeiten von Dokumenten – das alles gehörte schon lange vor COVID-19 in vielen Unternehmen zum Alltag. Doch womöglich im Wissen, dass man sich zur Not immer wieder auf Papier hätte berufen können, fehlte der letzte Schritt zur vollständigen Digitalisierung meist. Rein digitales Arbeiten gab es selten, war das Unternehmen nicht selbst einer der großen Player in der Tech-Branche. Die Pandemie hat drastisch gezeigt, wie überholt diese Denkweise ist. Elektronische Signaturen bieten einen Ausweg.

Der sichere Weg über das Papier ist eben dann möglich, wenn Menschen auf engem Raum zusammenarbeiten können – oder bereit sind, auf Briefpost oder Fax zurückzugreifen. Eine Pandemie macht zumindest Ersteres unmöglich, genau wie die steigende Bedeutung nachhaltiger Unternehmenskonzepte: Muss es wirklich sein, dass ein Mitarbeiter ins Büro fährt, nur um einen Vertrag zu unterzeichnen? Wie viel CO₂ kostet eine Unterschrift, wenn sie nicht digitalisiert ist?

Deshalb überrascht es nicht, dass voraussichtlich auch elektronische Signaturen im Rahmen von „Future of Work“ eine wichtige Rolle spielen werden: In vielen Unternehmen sind Verträge die letzte Bastion von Stift und Papier und bieten damit naturgemäß ein großes Optimierungspotenzial. Doch was bedeutet die E-Signatur für die IT-Sicherheit eines Unternehmens, und was muss ein IT-Administrator bei der Implementierung beachten? Will man die Fälschung einer handschriftlichen Signatur belegen, erfordert dies drei Dinge: Zeit, Geld und einen Experten für Handschriften – einen Gutachter, den das Unternehmen suchen, bezahlen und auf den es erst einmal warten muss. Im Gegensatz dazu ist eine Prüfung digitaler Signaturen auf Echtheit unkompliziert und kostenfrei möglich. Eine Public-Key-Infrastruktur (PKI), wie sie viele Anbieter einsetzen, macht dies unter Verwendung von Standardsoftware wie Acrobat Reader für jeden möglich. Software berechnet dabei den Hashwert eines Dokuments und schützt es durch ein von der PKI erzeugtes, digitales Zertifikat vor Veränderung.

Fortgeschrittene und qualifizierte Unterschriften haben aufgrund der eIDAS-Verordnung (Verordnung über elektronische Identifizierung und Vertrauensdienste) ein digitales, persönliches Zertifikat des Unterzeichners, das in das PDF-Dokument eingebettet wird. Dies kann zum Beispiel mit einer Signaturkarte und lokal installierter Software oder Cloud-basiert erfolgen. Idealerweise erzeugt die Software unabhängig vom Signaturtyp ein weiteres digitales Plattformzertifikat. Dadurch sind alle Dokumente mit einfacher elektronischer Unterschriften ebenfalls gegen Manipulation geschützt. Eine Veränderung des Dokuments macht das Zertifikat ungültig. Zudem erzeugt das System ein Abschlusszertifikat und verknüpft es über eine ID mit dem Dokument.

Um sicherzugehen, dass Dokumente der Nutzer im System jederzeit verschlüsselt bleiben, verwenden die Hersteller üblicherweise TLS-Verbindungen sowie AES-128- und SSL-256-Bit-Verschlüsselungen. Zugang und Transfer der Daten erfolgen nur über HTTPS. So sollen sich unbefugte Veränderungen des zugrunde liegenden Dokuments erkennen und als Beweis für eine Manipulation identifizierden lassen. Eine zusätzliche Ethereum-Blockchain-Integration hilft, die Echtheit eines Dokuments auch in einer neutralen Umgebung belegen zu können.

Zusätzliche Sicherheit schaffen Zertifizierungen wie ISO 27001, SSAE 16, SOC 1 Typ 2, SOC 2 Typ 2, PCI sowie FedRAMP. Die Nutzung von SAML (Security Assertion Markup Language) wiederum sorgt dafür, dass den Anwendern immer die aktuellsten Funktionen für die Web-basierte Authentifizierung und Autorisierung zur Verfügung stehen.

Unternehmen können moderne E-Signatur-Lösungen in bestehende IdP-Systeme (Identity Provider) integrieren und so mehr Übersicht und Sicherheit generieren. SSO (Single Sign-on) und die Möglichkeit, Organisationsadministratoren (Org-Admins) für individuelle Bereiche festzulegen, sorgen dafür, dass die Nutzung für den Anwender nach der Authentifizierung unkompliziert und reibungslos abläuft. Je nach Use-Case sollten sich beliebig viele Org-Admins festlegen und auch später immer wieder wechseln lassen.