Die qualifizierte elektronische Signatur: Einblicke in Prozesse, Sicherheit und Anwendung

Stellen Sie sich vor: Sie haben nur noch wenige Stunden, um einen wichtigen Vertrag abzuschließen, doch der Gesetzgeber verlangt die Schriftform. Der Vertragspartner sitzt Hunderte Kilometer entfernt, und der übliche Postweg ist keine Option. In einer immer stärker digitalisierten Welt, in der Verträge zunehmend online abgeschlossen werden, ist die qualifizierte elektronische Signatur (QES) die Lösung, um rechtssicher und schnell zu handeln. Sie ermöglicht es, Verträge rechtsgültig und ohne physische Anwesenheit zu unterzeichnen – ein unverzichtbares Werkzeug für Unternehmen und Privatpersonen im digitalen Zeitalter.

Doch was genau ist eine qualifizierte elektronische Signatur?

Die qualifizierte elektronische Signatur (QES) ist eine Signaturmöglichkeit, die es erlaubt, Verträge und Dokumente digital und rechtssicher zu unterzeichnen. Unter den verschiedenen Typen elektronischer Signaturen ist die QES die sicherste und rechtlich verbindlichste Variante. Sie kommt der handschriftlichen Unterschrift am nächsten und erfüllt die strengsten gesetzlichen Vorgaben. Die QES gewährleistet, dass die Signatur eindeutig einer bestimmten Person zugeordnet ist und schützt vor nachträglichen Veränderungen am Dokument. Dadurch ist sie rechtlich der handschriftlichen Unterschrift gleichgestellt und wird für Verträge mit hoher Haftung oder gesetzlich vorgeschriebener Schriftform genutzt. Ihre Sicherheitsstandards bieten maximale Beweiskraft im Falle rechtlicher Auseinandersetzungen.

Im Vergleich dazu bietet die einfache elektronische Signatur (EES) keine sichere Identifizierung des Unterzeichners und wird daher eher für Dokumente ohne spezielle Formvorschriften verwendet. Die fortgeschrittene elektronische Signatur (FES) bietet zwar eine gewisse Sicherheit durch Zwei-Faktor-Authentifizierung, erfüllt jedoch nicht die strengen rechtlichen Anforderungen der QES. Während die EES und FES in bestimmten Situationen ausreichend sein können, wird die QES insbesondere dann benötigt, wenn maximale Rechtssicherheit und Beweiskraft erforderlich sind – beispielsweise bei Verträgen, die die Schriftform erfordern. 

Welche Anforderungen die verschiedenen Signaturarten genau erfüllen müssen, ist in Europa durch die eIDAS-Verordnung geregelt.

Was besagt die eIDAS-Verordnung für die QES?

Die eIDAS-Verordnung (electronic Identification, Authentication and Trust Services) regelt den rechtlichen Rahmen für elektronische Signaturen und Vertrauensdienste innerhalb der Europäischen Union. Sie legt klare Kriterien fest, ab wann eine elektronische Signatur als qualifizierte elektronische Signatur (QES) gilt. 

Nach der eIDAS-Verordnung muss eine QES mehrere strikte Anforderungen erfüllen:

  1. Eindeutige Zuordnung: Die Signatur muss eindeutig einer Person zugeordnet sein.

  2. Zweifelsfreie Identifizierung: Die Identität des Unterzeichners muss zweifelsfrei nachgewiesen werden.

  3. Verwendung einer qualifizierten Signaturerstellungseinheit: Die Signatur muss mit einer speziellen Signaturerstellungseinheit erstellt werden, die ein hohes Sicherheitsniveau gewährleistet.

  4. Unveränderbarkeit: Nachträgliche Änderungen am signierten Dokument müssen erkennbar sein.

  5. Qualifiziertes Zertifikat: Die Signatur muss auf einem qualifizierten Zertifikat beruhen, das von einem qualifizierten Vertrauensdienstanbieter (QTSP) ausgestellt wurde.

Die eIDAS-Verordnung hat das Ziel, das Vertrauen in elektronische Transaktionen zu stärken und eine gemeinsame Grundlage für die sichere digitale Interaktion in der EU zu schaffen. Ein zentraler Bestandteil der QES ist das qualifizierte Zertifikat, das von einem anerkannten Vertrauensdienstanbieter (QTSP) ausgestellt wird. Diese Anbieter sind staatlich akkreditiert und stellen sicher, dass die Identität der Unterzeichner geprüft und die Sicherheit der Signaturen gewährleistet wird.

 

Wie funktioniert eine Qualifizierte Elektronische Signatur (QES)?

Der Prozess der qualifizierten elektronischen Signatur (QES) folgt klaren Schritten, die sowohl Sicherheit als auch Integrität gewährleisten:

  1. Identitätsprüfung und Zertifikatsausstellung
    Zunächst muss der Unterzeichner seine Identität bei einem qualifizierten Vertrauensdiensteanbieter (QTSP) nachweisen, etwa durch Vorlage eines Ausweisdokuments. Nach erfolgreicher Prüfung stellt der QTSP ein qualifiziertes Zertifikat aus, das den öffentlichen Schlüssel des Unterzeichners enthält.

  2. Erstellung des Schlüsselpaars
    Mithilfe einer sicheren Signaturerstellungseinheit (SSEE) wie einer Signaturkarte wird ein Schlüsselpaar generiert: ein privater und ein öffentlicher Schlüssel. Der private Schlüssel bleibt sicher in der SSEE und wird nicht preisgegeben.

  3. Signaturerstellung und Hashwert
    Beim Signieren eines Dokuments wird zunächst ein eindeutiger Hashwert (eine Art digitaler Fingerabdruck des Dokuments) erstellt. Dieser Hashwert wird dann mithilfe des privaten Schlüssels verschlüsselt und bildet die qualifizierte elektronische Signatur. Diese Signatur wird zusammen mit dem Dokument versendet.

Signaturüberprüfung

Der Empfänger entschlüsselt den Hashwert mithilfe des öffentlichen Schlüssels, der im qualifizierten Zertifikat enthalten ist. Der Empfänger erstellt anschließend selbst einen neuen Hashwert aus dem erhaltenen Dokument und vergleicht diesen mit dem entschlüsselten Hashwert. Stimmen beide Werte überein, ist das Dokument unverändert und die Signatur authentisch.

Cloudlösung vs. Signaturkarte

  1. Cloudlösung: Das Zertifikat wird in der gesicherten IT-Umgebung des Vertrauensdienstanbieters gespeichert. Der Unterzeichner authentifiziert sich über eine Kombination aus Benutzername, Passwort und Zwei-Faktor-Authentifizierung (z.B. SMS-TAN). Diese Lösung ist flexibel und ermöglicht ortsunabhängiges Signieren. Daher wird sie oft auch als Fernsignatur verwendet.

  2. Signaturkarte: Das Zertifikat und der private Schlüssel werden auf einer physischen Signaturkarte gespeichert. Diese erfordert ein Kartenlesegerät und spezielle Software zur Erstellung der Signatur. Die physische Karte bietet zusätzliche Sicherheit, da der private Schlüssel ausschließlich auf der Karte verbleibt.

Sollte die Karte verloren gehen oder gestohlen werden, kann der Inhaber sie unverzüglich sperren lassen, um zu verhindern, dass Unbefugte rechtsverbindlich im Namen des Karteninhabers handeln. Eine Sperrung ist entscheidend, da jede mit der Karte erzeugte elektronische Signatur rechtlich dem Inhaber zugeordnet wird. Zertifizierungsdiensteanbieter sind gesetzlich verpflichtet, das Zertifikat sofort zu sperren, wenn dies vom Inhaber oder einem berechtigten Vertreter verlangt wird. Die Sperrung der qualifizierten Signaturkarte ist damit ein wichtiger Sicherheitsmechanismus, um Missbrauch zu verhindern.

Beide Optionen sind sicher, wobei die Cloudlösung vor allem Flexibilität bietet und die Signaturkarte durch physische Sicherheit punktet.

Was ist eine Hashfunktion und wie hilft sie bei der Sicherheit und Integrität von digitalen Signaturen?

Der Hashwert spielt eine zentrale Rolle bei der Sicherheit der qualifizierten elektronischen Signatur (QES), da er anzeigt, ob ein Dokument nachträglich verändert wurde. Ohne diese Funktion wäre die Integrität der Signatur ernsthaft in Frage gestellt.

Eine Hashfunktion ist ein mathematischer Algorithmus, der aus beliebigen Daten (z.B. einem Dokument) einen einzigartigen numerischen Wert erzeugt – den sogenannten Hashwert. Dieser Wert dient als digitaler Fingerabdruck des Dokuments. Selbst die kleinste Veränderung am Dokument führt zu einem komplett anderen Hashwert. Dies ist entscheidend für die Sicherheit und Integrität von digitalen Signaturen, da der Hashwert verwendet wird, um zu überprüfen, ob das Dokument nach der Unterzeichnung unverändert geblieben ist.

Bei der qualifizierten elektronischen Signatur (QES) wird der Hashwert des Dokuments mit dem privaten Schlüssel des Unterzeichners verschlüsselt und bildet so die Signatur. Der Empfänger kann den Hashwert mit dem jeweiligen öffentlichen Schlüssel entschlüsseln und ihn mit dem Hashwert des empfangenen Dokuments vergleichen. Stimmen beide überein, ist die Signatur gültig und das Dokument unverändert. Dies gewährleistet die Integrität und Authentizität der digitalen Signatur.

Eine Hashfunktion weist mehrere wichtige Eigenschaften auf:

  1. Eindeutigkeit: Sie wandelt beliebige Eingaben (z.B. Dateien oder Texte) in einen festen, meist kürzeren Wert um. Schon kleinste Änderungen am Dokument führen zu einem komplett anderen Hashwert.

  2. Deterministisch: Dieselbe Eingabe führt immer zum gleichen Hashwert. Dies stellt sicher, dass bei der Überprüfung der Daten Konsistenz gewahrt bleibt.

  3. Einwegfunktion: Es ist unmöglich, aus dem Hashwert auf den ursprünglichen Inhalt zurückzuschließen. Dies sorgt für zusätzliche Sicherheit, da der Hashwert nicht entschlüsselt werden kann.

  4. Kollisionssicherheit: Eine gute Hashfunktion verhindert, dass zwei unterschiedliche Eingaben denselben Hashwert erzeugen. Dadurch wird die Integrität der Daten sichergestellt und Manipulationen können zuverlässig erkannt werden.

Diese Eigenschaften machen die Hashfunktion zu einem unverzichtbaren Bestandteil digitaler Signaturen, da sie überprüft, ob ein Dokument nach der Unterzeichnung unverändert geblieben ist.

Was ist ein qualifiziertes Zertifikat und warum ist es so wichtig für die QES?

Ein qualifiziertes Zertifikat ist ein digitales Dokument, das die Identität des Unterzeichners bestätigt und die Sicherheit der Signatur garantiert. Es wird von einem qualifizierten Vertrauensdiensteanbieter (QTSP) ausgestellt, der die Identität des Signatars zuvor überprüft hat. Dieses Zertifikat enthält den öffentlichen Schlüssel der jeweiligen Person, der zur Überprüfung der Signatur verwendet wird.

Das qualifizierte Zertifikat ist der zentrale Baustein der QES, da es sicherstellt, dass die Signatur eindeutig einer Person zugeordnet ist und rechtlich bindend ist. Um ein solches Zertifikat zu erhalten, muss sich der Unterzeichner einmalig bei einem QTSP identifizieren, z.B. per Video-Ident-Verfahren. Dank dieser strengen Überprüfungsprozesse ist die QES die sicherste Form der elektronischen Signatur, die in allen EU-Staaten rechtsverbindlich anerkannt wird.

Welche Rolle spielt ein qualifizierter Vertrauensdiensteanbieter?

Ein qualifizierter Vertrauensdiensteanbieter (QTSP) ist ein Anbieter, der nach den strengen Vorgaben der eIDAS-Verordnung arbeitet und vertrauenswürdige Dienste wie qualifizierte elektronische Signaturen (QES) bereitstellt. QTSPs spielen eine zentrale Rolle bei der Sicherheit und Verbindlichkeit digitaler Transaktionen, indem sie die Identität des Unterzeichners überprüfen und sicherstellen, dass die Signaturen nicht manipuliert werden können.

Hauptaufgaben eines QTSP:

  1. Ausstellung qualifizierter Zertifikate: Bestätigen die Identität des Unterzeichners und enthalten den öffentlichen Schlüssel.

  2. Sicherheitsinfrastruktur: Implementieren sichere Signaturerstellungseinheiten (SSEE) und gewährleisten den Schutz der Signaturen.

  3. Identitätsprüfung: Führen eine gründliche Identitätsprüfung durch, z.B. per Video-Ident.

  4. Vertrauensdienste: Bieten zusätzliche Dienste wie qualifizierte Zeitstempel und elektronische Siegel.

  5. Regelmäßige Audits: Werden von unabhängigen Stellen überprüft, um sicherzustellen, dass alle Sicherheitsstandards eingehalten werden.

Durch diese Funktionen gewährleisten QTSPs die Sicherheit, Authentizität und Rechtsverbindlichkeit der QES.

Wann ist die QES sinnvoll?

Die Qualifizierte Elektronische Signatur (QES) erfüllt strenge Anforderungen und ist daher nicht für jeden Vertrag notwendig. Für die folgenden Vertragsarten kann die QES jedoch empfehlenswert sein:

Zusammenfassend ist die qualifizierte elektronische Signatur (QES) die sicherste Form der digitalen Unterschrift, da sie strengen Sicherheits- und Identitätsprüfungen unterliegt. Sie gewährleistet höchste Integrität und Rechtsverbindlichkeit, was sie besonders für Verträge mit gesetzlich vorgeschriebener Schriftform oder hohem Haftungsrisiko ideal macht. Allerdings ist die Erstellung einer QES durch den erforderlichen Registrierungsprozess und die aufwendige Identitätsprüfung auch komplexer und zeitintensiver. Daher ist sie besonders sinnvoll bei wichtigen Vertragsabschlüssen, wo maximale Sicherheit und rechtliche Anerkennung unerlässlich sind.

Die QES bei ContractHero

Bei ContractHero bieten wir sowohl die fortgeschrittene elektronische Signatur (FES) für Verträge mit weniger strengen Vorschriften als auch die qualifizierte elektronische Signatur (QES) für besonders sicherheitsrelevante Dokumente an. Als ISO 27001 und eIDAS-konformes Unternehmen legen wir größten Wert auf die Sicherheit Ihrer Daten. Verträge können bei uns direkt erstellt, zur Unterschrift versendet und nach der Unterzeichnung sicher in ContractHero verwaltet werden – effizient, rechtsverbindlich und einfach in der Handhabung.

Sebastian Wengryn
CEO

Das könnte Sie auch interessieren...

Blog

Vertragsrisiken erkennen und vermeiden: Worauf gilt es zu achten?

Erfahren Sie auf welche Vertragsklauseln Sie besonders achten sollten.
Zum Artikel
Blog

Vertragserstellung Schritt für Schritt: Herausforderungen & Lösungen

Erfahren Sie, wie man Verträge erstellt und wie sich dieser Prozess vereinfachen lässt.
Zum Artikel
Blog

Die fortgeschrittene elektronische Signatur: Funktion und Verwendung der FES

Erfahren Sie Schritt für Schritt, wie die FES abläuft und was sie auszeichnet.
Zum Artikel
Starten Sie jetzt mit ContractHero
Erleben Sie ContractHero live in Aktion! Registrieren Sie sich hier für die 30-minütige Demonstration:
Demo vereinbaren