Image for Mdm Logo

Elektronische Signatur: Die 4 Arten im Überblick

Unterschriften unter Dokumenten sind in der digitalen Welt selten geworden. An ihre Stelle tritt die elektronische Signatur. Sie gibt es in mehreren Varianten. Die unterscheiden sich vor allem im Grad der Rechtssicherheit. Denn Signatur ist nicht gleich Signatur.
Elektronische Signatur: Die 4 Arten im Überblick Die elektronische Signatur ersetzt rechtssicher Ihre Unterschrift. (© 2016 Gajus/Shutterstock)

Die einfache elektronische Signatur

Sie ist, wie der Name schon sagt, die einfachste Form der Signatur. Einfach bedeutet hier, dass sie in Form und Inhalt keinen strengen gesetzlichen Regeln folgen muss. Ihr Zweck ist es, den Urheber einer Mitteilung oder Nachricht kenntlich zu machen. Und dafür genügt bereits eine Vorgabe der Geschäftsführung beziehungsweise eine als Bild in ein Dokument eingescannte Unterschrift. Im Gegenzug hat sie bei juristischen Streitfällen unter Umständen eine nur geringe Beweiskraft, denn über die bestimmt das jeweilige Gericht im Einzelfall.

Die einfache elektronische Signatur reicht im unternehmensinternen Verkehr und für formfreie Vereinbarungen aus. Zum Beispiel für:

  • Bestellungen
  • Verträge
  • Anträge
  • Aufträge
  • Bescheinigungen
  • Dokumentationen
  • Protokolle

Prof. Dr. Stefan Helmke und Prof. Dr. Matthias Uebel erstellten im Auftrag des Softwareunternehmens Adobe ein Whitepaper zum Thema „Einsatz elektronischer Signaturen im Mittelstand“. Demnach genügt die einfache elektronische Signatur in 90 Prozent aller geschäftlichen Anwendungsfälle.

Die fortgeschrittene elektronische Signatur

Für sie gelten im Vergleich zur einfachen elektronischen Signatur strenge Vorschriften – geregelt im Gesetz zur Elektronischen Signatur (SigG) sowie der Verordnung zur elektronischen Signatur (SigV). Demnach muss die fortgeschrittene elektronische Signatur folgende drei Voraussetzungen erfüllen:

  • Eine mögliche Manipulation von Daten muss erkennbar sein.
  • Die Signatur muss eindeutig mit einer bestimmten Person verknüpft sein.
  • Und diese Person muss im Zweifelsfall belegen, dass diese Signatur sowohl von ihr stammt als auch unter den erforderlichen Sicherheitsmaßnahmen entstanden ist.

Welche Sicherheitsmaßnahmen sind das? Die fortgeschrittene elektronische Signatur muss auf einem einmaligen und geheimen Software-Schlüssel beruhen. Dieser darf allein mit Mitteln unter Kontrolle des Signaturherstellers, also der mit der Signatur verknüpften Person, zustande gekommen sein. Außerdem kann – muss aber nicht – ein digitales Zertifikat dazugehören. Mehr dazu im Abschnitt "qualifizierte elektronische Signatur".

Und wie funktioniert das Schlüssel-Prinzip? Der Verfasser einer digitalen Mitteilung erstellt mit seiner Signatur-Software aus den zu signierenden Daten eine Prüfsumme, auch Hash-Wert genannt. Das macht später auch der Empfänger. Ist dann der Hash-Wert nicht identisch, sind die Daten nach ihrer Signierung manipuliert worden.

Für den Check der Prüfsumme kommt ein asymmetrisches Schlüsselverfahren zum Einsatz. Details dazu finden Sie beispielsweise auf "MittelstandsWikki".

Die qualifizierte elektronische Signatur

Sie wird vom Gesetz einem "richtigen" Dokument in Papierform und einer realen Unterschrift gleichgestellt und bietet die höchste Beweislast. Deshalb muss die qualifizierte elektronische Signatur besonders strenge Anforderungen erfüllen. So hat sie zertifikatsbasiert zu sein.

Was heißt das? Wenn Sie diese Form der Signatur nutzen wollen, dann müssen Sie sich bei einem Trust Center beziehungsweise Zertifizierungsdiensteanbieter registrieren. Der garantiert die Übereinstimmung eines öffentlichen, asymmetrischen Signaturprüfschlüssels und Ihre Identität als Signaturschlüsselinhaber. In der Regel gilt das für einen vorbestimmten Zeitraum, beispielsweise zwei Jahre.

Praktisch bedeutet das, dass Sie sich bei der Zertifizierungsstelle per Ausweis identifizieren und einen schriftlichen Antrag einreichen. Daraufhin quittiert das Trust Center mit einem Zeitstempel den Eingang Ihrer Daten zu einem bestimmten Zeitpunkt. Ein Vor- oder Rückdatieren ist damit nicht möglich. Diese Information kann im Streitfall beweiserheblich sein.

Die qualifizierte elektronische Signatur verlangt zudem nach einem Schlüsselsystem mit abgekapselten Chipkarten oder USB-Sticks. Diese müssen unter Verwendung von sicheren Signaturerstellungseinheiten (SSEE) entstehen.

Damit ist die qualifizierte elektronische Signatur geeignet für:

  • eVergabe für öffentliche Vergabeverfahren
  • elektronische Rechnungsstellung
  • Umsatzsteuervoranmeldung für das Finanzamt
  • Anmeldung zum Handelsregister für Notare

Die qualifizierte elektronische Signatur mit freiwilliger Anbieterakkreditierung

Sie entspricht technisch der qualifizierten elektronischen Signatur. Der Unterschied: Das Trust Center unterstellt sich freiwillig der Kontrolle der Bundesnetzagentur. Damit belegt es, dass es die Vorschriften nach dem Signaturgesetz und der Signaturverordnung einhält.

Dafür gibt es von der Bundesnetzagentur ein Gütesiegel. Das so "geadelte" Trust Center darf sich anschließend als akkreditierten Zertifizierungsdiensteanbieter bezeichnen und sich im Rechts- und Geschäftsverkehr auf die nachgewiesene Sicherheit berufen. Entsprechende Anbieter finden Sie auf der Internetseite der Bundesnetzagentur.

Weiterführende Links:

  • Einen ausführlichen Leitfaden zu den Formen der elektronischen Signatur finden Sie bei "signature-perfect.de".
  • Ende-zu-Ende-Verschlüsselung für alle: Das Fraunhofer SIT und die Deutsche Telekom haben die Volksverschlüsselung gestartet.
  • Ärgerlich: Sie wollen ein digitales Dokument senden, doch dafür ist es zu groß. Dann müssen Sie die PDF-Dateien komprimieren. Aber wie?
Weitere Artikel zum Thema
Neue Ratgeber
alle ratgeber
Neues zu Dokumentenmanagement
alle ratgeber Alle Beiträge

Elektronische Signatur: Die 4 Arten im Überblick

Unterschriften unter Dokumenten sind in der digitalen Welt selten geworden. An ihre Stelle tritt die elektronische Signatur. Sie gibt es in mehreren Varianten. Die unterscheiden sich vor allem im Grad der Rechtssicherheit. Denn Signatur ist nicht gleich Signatur.
Elektronische Signatur: Die 4 Arten im Überblick Die elektronische Signatur ersetzt rechtssicher Ihre Unterschrift. (© 2016 Gajus/Shutterstock)

Die einfache elektronische Signatur

Sie ist, wie der Name schon sagt, die einfachste Form der Signatur. Einfach bedeutet hier, dass sie in Form und Inhalt keinen strengen gesetzlichen Regeln folgen muss. Ihr Zweck ist es, den Urheber einer Mitteilung oder Nachricht kenntlich zu machen. Und dafür genügt bereits eine Vorgabe der Geschäftsführung beziehungsweise eine als Bild in ein Dokument eingescannte Unterschrift. Im Gegenzug hat sie bei juristischen Streitfällen unter Umständen eine nur geringe Beweiskraft, denn über die bestimmt das jeweilige Gericht im Einzelfall.

Die einfache elektronische Signatur reicht im unternehmensinternen Verkehr und für formfreie Vereinbarungen aus. Zum Beispiel für:

  • Bestellungen
  • Verträge
  • Anträge
  • Aufträge
  • Bescheinigungen
  • Dokumentationen
  • Protokolle

Prof. Dr. Stefan Helmke und Prof. Dr. Matthias Uebel erstellten im Auftrag des Softwareunternehmens Adobe ein Whitepaper zum Thema „Einsatz elektronischer Signaturen im Mittelstand“. Demnach genügt die einfache elektronische Signatur in 90 Prozent aller geschäftlichen Anwendungsfälle.

Die fortgeschrittene elektronische Signatur

Für sie gelten im Vergleich zur einfachen elektronischen Signatur strenge Vorschriften – geregelt im Gesetz zur Elektronischen Signatur (SigG) sowie der Verordnung zur elektronischen Signatur (SigV). Demnach muss die fortgeschrittene elektronische Signatur folgende drei Voraussetzungen erfüllen:

  • Eine mögliche Manipulation von Daten muss erkennbar sein.
  • Die Signatur muss eindeutig mit einer bestimmten Person verknüpft sein.
  • Und diese Person muss im Zweifelsfall belegen, dass diese Signatur sowohl von ihr stammt als auch unter den erforderlichen Sicherheitsmaßnahmen entstanden ist.

Welche Sicherheitsmaßnahmen sind das? Die fortgeschrittene elektronische Signatur muss auf einem einmaligen und geheimen Software-Schlüssel beruhen. Dieser darf allein mit Mitteln unter Kontrolle des Signaturherstellers, also der mit der Signatur verknüpften Person, zustande gekommen sein. Außerdem kann – muss aber nicht – ein digitales Zertifikat dazugehören. Mehr dazu im Abschnitt "qualifizierte elektronische Signatur".

Und wie funktioniert das Schlüssel-Prinzip? Der Verfasser einer digitalen Mitteilung erstellt mit seiner Signatur-Software aus den zu signierenden Daten eine Prüfsumme, auch Hash-Wert genannt. Das macht später auch der Empfänger. Ist dann der Hash-Wert nicht identisch, sind die Daten nach ihrer Signierung manipuliert worden.

Für den Check der Prüfsumme kommt ein asymmetrisches Schlüsselverfahren zum Einsatz. Details dazu finden Sie beispielsweise auf "MittelstandsWikki".

Die qualifizierte elektronische Signatur

Sie wird vom Gesetz einem "richtigen" Dokument in Papierform und einer realen Unterschrift gleichgestellt und bietet die höchste Beweislast. Deshalb muss die qualifizierte elektronische Signatur besonders strenge Anforderungen erfüllen. So hat sie zertifikatsbasiert zu sein.

Was heißt das? Wenn Sie diese Form der Signatur nutzen wollen, dann müssen Sie sich bei einem Trust Center beziehungsweise Zertifizierungsdiensteanbieter registrieren. Der garantiert die Übereinstimmung eines öffentlichen, asymmetrischen Signaturprüfschlüssels und Ihre Identität als Signaturschlüsselinhaber. In der Regel gilt das für einen vorbestimmten Zeitraum, beispielsweise zwei Jahre.

Praktisch bedeutet das, dass Sie sich bei der Zertifizierungsstelle per Ausweis identifizieren und einen schriftlichen Antrag einreichen. Daraufhin quittiert das Trust Center mit einem Zeitstempel den Eingang Ihrer Daten zu einem bestimmten Zeitpunkt. Ein Vor- oder Rückdatieren ist damit nicht möglich. Diese Information kann im Streitfall beweiserheblich sein.

Die qualifizierte elektronische Signatur verlangt zudem nach einem Schlüsselsystem mit abgekapselten Chipkarten oder USB-Sticks. Diese müssen unter Verwendung von sicheren Signaturerstellungseinheiten (SSEE) entstehen.

Damit ist die qualifizierte elektronische Signatur geeignet für:

  • eVergabe für öffentliche Vergabeverfahren
  • elektronische Rechnungsstellung
  • Umsatzsteuervoranmeldung für das Finanzamt
  • Anmeldung zum Handelsregister für Notare

Die qualifizierte elektronische Signatur mit freiwilliger Anbieterakkreditierung

Sie entspricht technisch der qualifizierten elektronischen Signatur. Der Unterschied: Das Trust Center unterstellt sich freiwillig der Kontrolle der Bundesnetzagentur. Damit belegt es, dass es die Vorschriften nach dem Signaturgesetz und der Signaturverordnung einhält.

Dafür gibt es von der Bundesnetzagentur ein Gütesiegel. Das so "geadelte" Trust Center darf sich anschließend als akkreditierten Zertifizierungsdiensteanbieter bezeichnen und sich im Rechts- und Geschäftsverkehr auf die nachgewiesene Sicherheit berufen. Entsprechende Anbieter finden Sie auf der Internetseite der Bundesnetzagentur.

Weiterführende Links:

  • Einen ausführlichen Leitfaden zu den Formen der elektronischen Signatur finden Sie bei "signature-perfect.de".
  • Ende-zu-Ende-Verschlüsselung für alle: Das Fraunhofer SIT und die Deutsche Telekom haben die Volksverschlüsselung gestartet.
  • Ärgerlich: Sie wollen ein digitales Dokument senden, doch dafür ist es zu groß. Dann müssen Sie die PDF-Dateien komprimieren. Aber wie?
Weitere Artikel zum Thema
Neue Ratgeber