Was ist elektronische Signatur?

Eine elektronische Signatur ist ein kryptografisches Verfahren, das:

• Den Unterzeichner identifiziert
• Die Integrität des Dokuments garantiert (keine Änderung)
• Die Zustimmung des Unterzeichners sicherstellt
• Eine Verbindung zwischen Unterzeichner und Dokument erstellt

Im Gegensatz zu einer gescannten handschriftlichen Unterschrift (nur ein Bild) basiert die elektronische Signatur auf kryptografischen Mechanismen, die sie fälschungssicher machen.

Die eIDAS-Verordnung (electronic IDentification, Authentication and trust Services - EU 910/2014) ist der europäische Rechtsrahmen für:

• Elektronische Signaturen
• Elektronische Siegel (juristische Personen)
• Elektronische Zeitstempel
• Qualifizierte Vertrauensdienste

Grundprinzipien

• Gegenseitige Anerkennung: Eine gültige Signatur in einem Land ist in allen Mitgliedstaaten gültig
• Nichtdiskriminierung: Eine elektronische Signatur kann nicht allein deshalb abgelehnt werden, weil sie elektronisch ist
• Technologieneutralität: Keine Technologie vorgeschrieben

Seit 1. Juli 2016 in Kraft, ersetzt eIDAS die Richtlinie 1999/93/EG.

1. Einfache elektronische Signatur (SES)

Grundstufe, technisch nicht von eIDAS definiert.

• Beispiele: Checkbox, Namenseingabe, Klick auf «Ich stimme zu»
• Beweiswert: Gering, anfechtbar
• Verwendung: Dokumente mit geringem Risiko

2. Fortgeschrittene elektronische Signatur (FES/AES)

Muss 4 Kriterien erfüllen (Art. 26 eIDAS):

1. Eindeutig dem Unterzeichner zugeordnet
2. Ermöglicht die Identifizierung des Unterzeichners
3. Unter alleiniger Kontrolle des Unterzeichners erstellt
4. Mit den Daten so verknüpft, dass jede Änderung erkennbar ist

• Beweiswert: Mittel bis hoch
• Verwendung: Handelsverträge, HR, Beschaffung

3. Fortgeschrittene Signatur mit qualifiziertem Zertifikat

Fortgeschrittene Signatur + Zertifikat von qualifiziertem Vertrauensdiensteanbieter (TSP).

• Beweiswert: Hoch
• Verwendung: Regulierte Dokumente

4. Qualifizierte elektronische Signatur (QES)

Höchste Sicherheitsstufe:

• Fortgeschrittene Signatur
• Qualifiziertes Zertifikat
• Qualifizierte Signaturerstellungseinheit (QSCD)

Artikel 25.2 eIDAS: «Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.»

• Beweiswert: Maximal, unanfechtbar
• Verwendung: Notarielle Urkunden, öffentliche Aufträge, authentische Dokumente

Nichtdiskriminierungsprinzip

Artikel 25.1 eIDAS: Einer elektronischen Signatur darf die Rechtswirkung nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt.

Beweislast

Sonderfälle

• Öffentliche Aufträge: Mindestens fortgeschrittene Signatur mit qualifiziertem Zertifikat
• Notarielle Urkunden: Qualifizierte Signatur erforderlich
• Elektronische Rechnungen: Fortgeschrittene Signatur empfohlen

Personalwesen

• Arbeitsverträge: Fortgeschrittene Signatur
• Nachträge: Einfach bis fortgeschritten
• Spesenabrechnungen: Einfache Signatur
• DSGVO-Dokumente: Fortgeschrittene Signatur

Vertrieb

• Angebote: Einfache Signatur
• Kundenverträge: Fortgeschrittene Signatur
• AGB: Einfache Signatur
• Geheimhaltungsvereinbarungen: Fortgeschrittene Signatur

Finanzen

• Rechnungen: Fortgeschrittene Signatur oder Siegel
• Bestellungen: Fortgeschrittene Signatur
• Überweisungen: Qualifizierte Signatur

Recht

• Mietverträge: Fortgeschrittene Signatur
• Authentische Urkunden: Qualifizierte Signatur
• Vollmachten: Fortgeschritten bis qualifiziert

Asymmetrische Kryptografie

Die elektronische Signatur basiert auf einem Schlüsselpaar:

1. Privater Schlüssel: Nur beim Unterzeichner, zum Signieren
2. Öffentlicher Schlüssel: Teilbar, zur Signaturprüfung

Signaturprozess

1. Hashing: Erstellung eines eindeutigen Fingerabdrucks (SHA-256)
2. Verschlüsselung: Fingerabdruck wird mit privatem Schlüssel verschlüsselt
3. Verknüpfung: Verschlüsselte Signatur wird mit Dokument verknüpft

Prüfung

1. Entschlüsselung der Signatur mit öffentlichem Schlüssel
2. Neuberechnung des Dokumenten-Fingerabdrucks
3. Vergleich: Bei Übereinstimmung wurde das Dokument nicht geändert

X.509-Zertifikate

Das elektronische Zertifikat verknüpft:

• Die Identität des Unterzeichners
• Seinen öffentlichen Schlüssel
• Die Signatur der Zertifizierungsstelle (CA)
• Die Gültigkeitsdauer

Auswahlkriterien

Empfehlungen

• 90% der Fälle: Fortgeschrittene Signatur (gute Balance Sicherheit/Kosten)
• Interne Dokumente: Einfache Signatur
• Strategische Verträge: Qualifizierte Signatur
• Gesetzliche Pflicht: Geltende Vorschriften beachten

KaliaOps V2 wird elektronische Signatur nativ integrieren:

Geplante Funktionen

• Workflow-integriertes Signieren: Vertrags-, Änderungs-, Dokumentvalidierung
• eIDAS-Stufen: Einfach, fortgeschritten, qualifiziert je nach Dokumenttyp
• Zertifikate: Integration mit europäischen TSPs
• Qualifizierter Zeitstempel: Datumsnachweis

ITSM/CMDB-Anwendungsfälle

• Lieferantenverträge: Signatur bei Validierung
• Kritische Änderungen: Signierte CAB-Genehmigung
• Compliance-Dokumente: Signierter Audit-Trail
• Einsatzberichte: Techniker-/Kundensignatur

DMS-Integration

• Signierte Dokumente automatisch gespeichert
• Signaturprüfung beim Öffnen
• Aufbewahrung mit Signaturnachweisen

Entdecken Sie KaliaOps mit unserer Demo oder sehen Sie unsere Preise.