Sechs Best Practices für Benutzer mit elektronischer Signatur (Teil I)
Nachdem wir uns (hier und da) sechs grundlegende, vernünftige Verhaltensweisen zum Schutz Ihrer elektronischen Identität und zur Verwendung von vertrauenswürdigen Diensten und Geräten angesehen haben, konzentrieren wir uns nun auf die Best Practices bei der Einführung und Verwendung der elektronischen Signaturtechnologie.
In diesem Teil und im nächsten werden wir gemeinsam sechs Empfehlungen sowie einige praktische Ratschläge durchgehen, die sicherstellen, dass Ihre elektronische Signatur gültig bleibt und Ihnen die richtige Rechtssicherheit für einen längeren Zeitraum bietet.
1. Verwenden Sie nur standardbasierte elektronische Signaturtechnologie
In einem aufstrebenden Markt wie dem für elektronische Signaturen ist die Fluktuation der Anbieter groß. Einige von ihnen florieren, andere entscheiden sich nach einer Weile, ihre Dienstleistungen zu ändern oder ganz aus dem Geschäft auszusteigen. Was tun Sie also in diesen Situationen? Wie können Sie sicher sein, dass Ihre elektronische Signatur gültig und zugänglich bleibt?
Technologiestandards sind extrem wichtig, da sie ein stabiles Umfeld schaffen, das die Technologieneutralität begünstigt. Durch den Einsatz einer Technologie, die auf veröffentlichten und allgemein anerkannten Standards basiert und entwickelt wurde, können Sie in Zukunft jederzeit mit jeder verfügbaren Software auf Ihre elektronisch signierten Dokumente zugreifen und diese überprüfen, selbst in den unmöglichsten Szenarien.
Wenn Sie sich von Anfang an für eine standardbasierte elektronische Signaturtechnologie entscheiden, schaffen Sie auch Spielraum, falls Sie sich eines Tages für einen Anbieterwechsel entscheiden. Es ermöglicht eine sanftere Migration der Systeme, was sich in geringeren Übergangskosten und weniger unvorhergesehenen Problemen niederschlägt.
Außerdem sollten wir bedenken, dass Normen in der Regel auf regulatorischen Anforderungen beruhen oder sogar von Behörden auferlegt werden. Elektronisch signierte Dokumente, die den Standards der Branche entsprechen, sind also auch konform mit der aktuellen Verordnung, zumindest in höherem Maße als nicht standardisierte E-Signaturmittel. Darüber hinaus sind elektronische Signaturen, die auf der Grundlage internationaler Standards erstellt wurden, mit einer Reihe von Funktionen ausgestattet, die einen höheren Schutz hinsichtlich Sicherheitsbedrohungen bieten und im Falle eines Rechtsstreits relevant sind.
Im Bereich der elektronischen Signaturerstellung oder damit eng verwandt, gibt es bereits eine Vielzahl von veröffentlichten Standards. Nachfolgend finden Sie eine nicht abschließende Liste der gängigsten Standards und Zertifizierungen, nach denen Sie Ihren Anbieter des Vertrauens fragen sollten, was uns auch zum zweiten Punkt führt.
- ETSI Standards für elektronische Signaturen
- ISO Standards (ISO 90012008, ISO 270012013, ISO 200002011, ISO 145332017...)
- Die Normen des Europäischen Komitees für Normung (CEN) (TS 419 261:2015...)
- Die Standards der Internet Engineering Task Force (IETF) (IETF RFC 5280, ETF RFC 6960...)
- Grundlegende Anforderungen des Certification Authority Browser Forum (CA/Browser Forum)
2. Lassen Sie sich nur auf vertrauenswürdige, zertifizierte Anbieter ein
Beziehen sich die oben genannten Standards vor allem auf die Technologie, die zur Ausführung elektronischer Signaturen erforderlich ist, so gehen sie auch Hand in Hand mit den Zertifizierungen oder der formalen Anerkennung der Anbieter selbst. Jeder erfahrene Geschäftsmann kennt den Wert der Due-Diligence-Prüfung, des Einholens von Referenzen und des Überprüfens des Portfolios zukünftiger Geschäftsanbieter, daher werden wir hier nicht auf diesen Aspekten beharren.
Wir möchten darauf hinweisen, dass zertifizierte Treuhanddienstleister, im Gegensatz zu anderen Anbietern, bestimmte strenge gesetzliche Anforderungen erfüllen müssen, um ihren Status zu erlangen und zu erhalten. Sie werden regelmäßig von unabhängigen Aufsichtsbehörden geprüft und kontrolliert, die ihre Servicequalität bewerten und dafür einstehen. Daher präsentieren sie ein höheres Maß an Vertrauenswürdigkeit, Zuverlässigkeit und Engagement für hervorragende Leistungen in der Branche. Wir haben hier detailliert beschrieben, welche Rolle qualifizierte Anbieter von Vertrauensdiensten bei der Erstellung der elektronischen Signatur eIDAS mit dem höchsten Sicherheitsniveau spielen und wie wir sie auf dem Markt erkennen können.
Jetzt ist es also an der Zeit, etwas praktischer zu werden. Wir zeigen Ihnen, wie Sie sicherstellen können, dass die von Ihnen erstellte oder gesehene e-Signatur von akkreditierten Anbietern von Vertrauensdiensten in Europa bereitgestellt wird. Öffnen Sie hierfür mit Adobe Reader oder Acrobat ein beliebiges PDF-Dokument, das Sie unterzeichnen möchten. Gehen Sie auf „Bearbeiten“–>„Einstellungen“. Wählen Sie im neu geöffneten Fenster auf der linken Seite den Unterbereich „Trust-Manager“. Vergewissern Sie sich dann, dass in den Abschnitten „Automatische Updates der Adobe Approved Trust List (AATL)“ und „Automatische Updates der European Union Trusted List (EUTL)“ die Option „Vertrauenswürdige Zertifikate von einem Adobe AATL/EUTL-Server laden“ aktiviert ist.
Warum ist das wichtig?
Um die Sicherheit, Authentizität und Integrität einer elektronischen Signatur zu gewährleisten, hat Adobe die Adobe Authorized Trust List (AATL) erstellt. Es ist eine Sammlung vertrauenswürdiger Zertifikate, die von Zertifizierungsstellen, Unternehmen oder Regierungen aus aller Welt ausgestellt wurden. Um in der Liste veröffentlicht zu werden, müssen diese Unternehmen einen Antrag einreichen, der von Adobe geprüft und genehmigt wird. Die Liste wird regelmäßig aktualisiert und die Software ist so programmiert, dass sie diese regelmäßig herunterlädt. Wenn die erstellte elektronische Signatur mit einem digitalen Zertifikat auf der AATL verknüpft ist, erhalten Sie von Adobe die Bestätigung, dass die Signatur gültig ist und man ihr vertrauen kann.
Darüber hinaus hat Adobe auch die Adobe European Union Trust List (EUTL) erstellt. Diese Liste enthält die europäischen qualifizierten Anbieter von Vertrauensdiensten (QTSPs), die in der EU Trusted List veröffentlicht sind. Es handelt sich natürlich um eine kleinere Liste, da sie sich nur auf die QTSPs und ihre qualifizierten Vertrauensdienste beschränkt, die von den EU-Mitgliedstaaten als eIDAS-konform anerkannt sind.
Es ist sehr wahrscheinlich, dass einige (wenn nicht alle) QTSPs auch in der AATL-Liste vorhanden sind, aber für eine erhöhte Sicherheit wählen Sie auch die EUTL-Liste. Sie erhalten die Garantie, dass die von Ihnen ausgeführte e-Signatur gültig ist und zu einem von unabhängigen EU-Gremien anerkannten Anbieter gehört.
Die Zusammenarbeit mit zertifizierten Vertrauensdienstleistern, die Dienste auf der Grundlage allgemein anerkannter Technologiestandards anbieten, ist eine unabdingbare Voraussetzung. Sie stellen sicher, dass Sie den Innovationssprung wagen, ohne die langfristige Sicherheit und Entwicklung Ihres Unternehmens zu gefährden. Im nächsten Beitrag werden wir uns auf vier weitere Best Practices beim Einsatz der elektronischen Signaturtechnologie konzentrieren. Es geht weiter…