Schließen

Fernsignatur – Qualifizierte Signatur ohne Signaturkarte (eIDAS)


Nach der neusten Rechtslage (eIDAS) können qualifizierte Signaturen nun auch ohne Signaturkarte erstellt werden, dank der Fernsignatur

Mit der Fernsignatur lässt sich die qualifizierte Signatur problemlos in den Geschäftsalltag integrieren. Dank sicherer Authentifizierung und dem SecPKI Server können qualifizierte Signaturen sicher und bequem ausgeführt werden.

Glossar


Elektronische Vertrauensdienste
eIDAS
Fernsignaturdienst
Hashbaum
Qualifizierte Signatur
Langzeitarchiv
Überhashwert
Übersignatur
VideoIdent
Zeitstempel

Fernsignatur vs qualifizierte Signatur mit Signaturkarte

Die qualifizierte Signatur war bis zum Entstehen von Fernsignaturdiensten in Deutschland nur mit einer Signaturkarte möglich. Dabei ließen sich Handhabung einer Signaturkarte sowie des ebenso erforderlichen Kartenlesegeräts nicht unbedingt gut in jeden Geschäftsprozess integrieren. Nicht nur das Handling war für den Benutzer extrem unkomfortabel, es war ebenfalls sehr schwer, die nötige Software in die Prozesse zu integrieren.
Und was soll ein Unternehmen tun, wenn es die Signatur eines Kunden oder eines externen Partners benötigt? Man kann Kunden oder Partner schwerlich zwingen, dafür Signaturkarte und Kartenlesegerät zu erwerben…

All diese Punkte sind mit der Fernsignatur und neuen Identifizierungsverfahren wie VideoIdent kein Problem mehr.

Vorteile des SecPKI Servers im Kontext der Fernsignatur mit einem Externen Fernsignatur Dienst im Überblick

  • Hashwert Berechnung für beliebige Dateien
  • Komplette Kommunikation mit dem Fernsignaturserver (Anbindung, Verschlüsselung, uvm.)
  • Signaturprüfung
  • Aufbau eines Langzeitarchives zwecks Beweiswerterhalt (über Signatur mit Zeitstempel)
  • Im Falle eines PDF’s Aufbringen des sichtbaren Signaturvermerks (Logo, Name, Unterschriftenbild oder ähnliches)
  • Integration des signierten Hashwertes in die PDFs, Ergebnis ist eine PDF/A Konformes PDF was mit Adobe und Co normal genutzt und geprüft werden kann
  • Verwaltungsübersicht über die Accounts und Laufzeiten auf dem Fernsignatur Dienst
  • Wir bauen Ihr Signatur-Portal (Custom Webservice) oder bieten die Integration in beliebige Programme über APIs
  • Die Verwendung von SecPKI, SecSigner & Co. für die Signatur mit einem Fernsignaturserver

    Der SecPKI Server kann für die Fernsignatur mit einer qualifizierten Signatur genutzt werden. Mit ihm können Sie komfortabel in jeder Applikation oder über jede Webseite qualifiziert signieren, wobei Sie sich nicht um die Anbindung an den Fernsignaturdienst des validierten Trust Centers kümmern müssen. All dies übernimmt der von uns vorkonfigurierte SecPKI Server für Sie.

    Sie haben nun unterschiedliche Möglichkeiten, die Fernsignatur zu nutzen.

Option A: Über den Custom Webservice, der Ihnen durch den SecPKI Server angeboten wird. Bei diesem Weg müssen Sie keine eigenen Implementierungen vornehmen. Sie erhalten von uns einen nach Ihren Wünschen gestalteten Webservice in dem Look and Feel Ihres Unternehmens (u.a. mit Ihrer URL).

Option B: Sie integrieren die API-Aufrufe in Ihren eigenen Dienst. Dafür stehen zahlreiche APIs und Schnittstellen zur Verfügung (z.B. REST oder SOAP).

Nutzung eines externen Fernsignaturdienstes (ohne Übermittlung vertraulicher Daten an den Fernsignaturdienst)

Nutzen Sie einen Fernsignaturdienst, so kümmern sich der SecPKI Server sowie unsere Signaturkomponente SecSigner nicht nur um die Anbindungen an den Fernsignaturdienst, sondern ermöglichen Ihnen, dass Sie nur einen Hashwert (also eine nicht vertrauliche Zeichenkette) an den Fernsignaturdienst schicken müssen.

Möglicherweise haben Ihre Daten auch ein zu großes Volumen, um sie über das Internet zu verschicken? Auch dies ist ein Vorteil des SecPKI Servers, denn der Hashwert auch einer mehrere MB oder sogar GB großen Datei ist immer nur wenige KB groß. Somit ist dieses Verfahren zusätzlich äußerst performant.

Geht es Ihnen nur um fortgeschrittene Signaturen, ist dieses auch leicht mit dem SecPKI Server möglich. Der SecPKI Server kann komfortabel z.B. bestehende Datensätze aus einem Active Directory lesen und daraus fortgeschrittene Zertifikate erstellen, die er dann für die Signatur nutzt.
Darüberhinaus kann man natürlich die Benutzer auch direkt im Server über das SecPKI Dashboard erzeugen.

Wir bieten hier zahlreiche Möglichkeiten an. Haben Sie dazu Fragen oder möchten Sie von uns in diesem Kontext beraten werden? Dann zögern Sie bitte nicht, uns zu kontaktieren.


Der SecPKI Server erhält die Signatur vom Fernsignaturserver, prüft diese Signatur und baut mit der erfolgreich geprüften Signatur das Langzeitarchiv auf.
Der Beweiswert der Signaturen wird somit direkt mit abgesichert. Mehr Informationen

Ablauf einer Fernsignatur bei Nutzung eines externen Fernsignaturdienstes durch den SecPKI Server

Sie übergeben eine zu signierende Datei an den SecPKI Server (z.B. PDF, XML, Word, usw.). Der Benutzer lädt diese Datei entweder z.B. manuell per Drag-and-Drop-Funktion in die Custom Website des SecPKI Servers, oder Sie übergeben die Datei über einen einfachen API-Aufruf an den SecPKI Server.

Der SecPKI Server berechnet den Hashwert der Datei und schickt diesen zum Fernsignaturdienst.

Der Benutzer authentifiziert sich gegenüber dem Fernsignaturdienst mit Passwort und Benutzername und bestätigt den Signaturwunsch mit der Zwei- Faktor-Authentifizierung (z.B. SMS-Code). Welche Zwei- Faktor-Authentifizierung hier genutzt werden kann, obliegt dem Betreiber des Fernsignaturdienstes.

Der signierte Hashwert wird zurück an den SecPKI Server geschickt. Dieser prüft die Signatur, trägt den Hashwert der Signatur in den Hashbaum ein und gibt die signierte Datei weiter, z.B. an das DMS oder an den weiterverarbeitenden Webservice.

PDF Signatur mit sichtbarem Signaturstempel / Batch

Der SecPKI Server kann PDFs mit innen liegender Signatur (integrierter Signatur) signieren, d.h. er integriert den signierten Hashwert in das PDF, so dass es eine PAdES-Signatur ergibt.

Der SecPKI Server hat hierfür, wie auch der SecSigner, einen vollständigen PDF Parser. Er analysiert die komplette Struktur des PDFs und kann somit denn sichtbaren Signaturstempel auch automatisiert in die dafür vorgesehen Formfelder einer PDF integrieren. Und somit auch Signatur-Workflows in PDFs umsetzen, in denen unterschiedliche Personen in unterschiedlichen Formfeldern signieren sollen.
Die signierte PDF ist dann PDF Standartkonform und erfüllt die Anforderungen von Adobe.

Darüberhinaus kann der SecPKI Server einen sichtbaren Signaturstempel auf das PDF setzen. Die Informationen, die dort genutzt werden, sind frei konfigurierbar (z.B. Firmenlogo, Zertifikatsinformationen, Adresse, usw.).
Möglichkeiten für die Positionierung dieses Signaturvermerks:

  • Der Benutzer kann die Positionierung über den Viewer des SecPKI Servers vornehmen
  • Die Postion wird im Aufruf mit übergeben
  • Der SecPKI Server prüft, ob das PDF ein Signaturfeld (Formfeld) hat, und positioniert die Signatur automatisch im Formfeld

Inhouse Fernsignaturdienst betreiben

Vermutlich fragen Sie sich, ob Sie einem externen Server Ihre hochkritischen Geschäftsdaten anvertrauen, diese über das Internet zu ihm schicken und Verbindungen zu einer Cloud akzeptieren möchten, selbst wenn es sich bei dem externen Server um ein Trust Center (validierter Vertrauensdienst) handelt.
Betreiben Sie den Prozess in Ihrem eigenen Rechenzentrum. Mit dem SecPKI Server, der in Ihrem Unternehmen von Ihnen selbst betrieben wird, erhalten Sie eine Serversoftware, die Ihnen alle nötigen Softwarekomponenten dafür liefert.

Die Vorteile liegen klar auf der Hand: Die Dateien verlassen niemals den Unternehmensserver. Für Ihre eigenen Kunden ist Ihr SecPKI Server die zentrale Anlaufstelle. Auch sie müssen sich so nicht an einem fremden Dienst orientieren.
Die Fernsignatur können Sie ganz komfortabel über unsere API in jeden Prozess integrieren oder von uns sogar in einem fertigen, in Ihrem Look and Feel gestalteten Webservice erhalten.

Dabei kann der SecPKI Server selbst Zertifikate erstellen. Das Schlüsselmaterial kann in einer HSM gesichert werden. Es ist ebenfalls möglich, andere SignUnits über den SecPKI Server anzusprechen.

Darüberhinaus liefert Ihnen der SecPKI Server ein komplettes Berechtigungsmanagement und Identity Management. Über dieses können unterschiedliche Zugriffsschutzmechanismen festgelegt werden – das geht vom einfachen Passwort-Login bis zur hochsicheren Zwei-Faktor-Authentifizierung (2FA).
Für eine qualifizierte Fernsignatur ist eine 2FA nötig. Diese liefert der SecPKI Server gleich mit.
Darüberhinaus ist der Server in der Lage, unterschiedliche Identifizierungsdienste anzubinden.

An dieser Stelle ein wichtiger Hinweis: Um einen eigenen qualifizierten Fernsignaturdienst zu betreiben, müssen Sie sich als Betreiber zertifizieren lassen.

Signaturen in Workflows (z.B. Freigabe nach Vier-Augen-Prinzip)

Signatur-eingesetzt-werden

Vorteile im Überblick:

  • Bequemes Anlegen von Templates über Ihre Webseite des SecPKI Servers und Zuweisen der Templates an Gruppen und Benutzer
  • Prüfung und Protokollierung der Signaturen in jedem Schritt
  • Automatische Zustellung der Signaturanfragen an den Benutzer, der noch signieren muss
  • Zentraler Webservice, wo der Benutzer sieht, ob es noch offene Signaturanfragen gibt

Der SecPKI Server bietet über sein Dashboard die Möglichkeit, beliebige Signaturreihenfolgen festzulegen, z.B. dass Person A vor Person B signieren muss und dass, wenn A und B signiert haben, das Dokument dann für Prozess C freigegeben werden kann.

Im SecPKI Server gibt es unterschiedliche Möglichkeiten, die konkrete Signatur zu erstellen. Die beiden populärsten sind die Signatur mit einem für den Benutzer erstellten Softwarezertifikat (fortgeschrittene Signatur), welches der SecPKI Server für den Benutzer speichert, oder eben wie oben erwähnt über einen Fernsignaturdienst (qualifiziert).
Wenn es um die fortgeschrittene Signatur geht, reichen die Zertifikate des SecPKI Servers aus.
Hierfür werden die Benutzer, die signieren sollen, einmalig im SecPKI Server angelegt. Es ist auch möglich, den SecPKI Server direkt mit einem Active Directory (AD) zu koppeln.
Der einfache Einstiegsfall ist, dass ein Admin die Benutzer im SecPKI Server anlegt. Das geht sehr komfortabel über das SecPKI Dashboard. Dieser stellt eine Webseite bereit, so dass man wie bei einer einfachen Profilerstellung den Benutzer und damit auch das Zertifikat für diesen Benutzer hat.

Wenn dieser Benutzer angelegt ist, ist der am häufigsten genutzte Weg, dass ein Template für eine bestimmte Signatursequenz angelegt wird, z.B. zwei Personen müssen etwas signieren, bis es freigeben wird.
Dann können diesem Template Benutzer oder Benutzergruppen zugewiesen werden.

All diese angelegten Personen haben dann einen Account auf dem SecPKI Server und können – je nachdem, was ihnen freigegeben wurde – Workflows nutzen oder neue Workflows anlegen oder z.B. nur ein Dokument in den Workflow einpflegen.
Wird nun ein Dokument in diesen angelegten Workflow geladen (das kann über eine API erfolgen oder im ersten Schritt einfach über eine vom SecPKI Server bereitgestellte Website) erhält als erstes die Person A vom SecPKI Server eine E-Mail mit einem Link zum zu signierenden Dokument.
Wird dieser Link dann von Person A geöffnet, wird ihr das zu signierende Dokument im Browser angezeigt, und sie kann es mit einem einfachen Klick signieren. Wie der Benutzer sich hierbei authentifiziert, hängt von dem gewünschten Sicherheitsniveau ab.

Authentifizierungsalternativen

Folgende Varianten gibt es:

  • Zugriff auf die E-Mail-Adresse und damit auf den Link reicht aus (Webseite kann darüberhinaus natürlich nur im Internen Netzwerk aufgerufen werden)
  • Der Nutzer muss sich mit einem Passwort und Benutzernamen authentifizieren
  • Der Nutzer muss sich mit der Zwei-Faktor-Authentifizierung authentifizieren

Hat die erste Person signiert, erhält die zweite eine Mail mit dem Link und kann das Dokument signieren.
Ist der Workflow erfolgreich durchlaufen, kann das Dokument z.B. vom SecPKI Server an eine andere E-Mail-Adresse geschickt werden oder in ein Freigabeverzeichnis geschrieben werden.

Weitere allgemeine Informationen erhalten Sie auch hier.

Authentifizierung

Nutzung von Signaturen u.a. für die elektronische Akte und dem digitalen Posteingang (Langzeitarchivierung)

Je nach Anforderung kommen in einem Unternehmen entweder fortgeschrittene oder qualifizierte Signaturen zur Anwendung.

Wenn signierte Dokumente von externer Seite überprüfbar sein müssen (mit Blick auf Echtheit, Unveränderbarkeit und Herkunft), muss die über einen Fernsignaturdienst erfolgte Signatur unmittelbar vor dem Abspeichern geprüft werden, um zu verhindern, dass ungültige Dateien in das Archiv gelangen. In diesem Prüfschritt kann der Hashbaum für die Übersignatur aufgebaut werden, um den Beweiswert der Signaturen zu sichern.
Der Prüfschritt sollte am besten automatisiert mit einem Dienst in Ihrer Infrastruktur erfolgen, z.B. mit dem SecPKI Server.

Somit stellen Sie nicht nur sicher, dass die Signatur korrekt weiterverarbeitet ist, sondern auch, dass bei der Übertragung zwischen den Diensten nichts beschädigt worden ist.

Begriffe wie Hashbaum, Übersignatur, Zeitstempel und Langzeitarchiv werden Ihnen in diesem Kontext häufig begegnen.
Auch wenn diese Formulierungen nach großem Aufwand klingen, muss Sie das nicht beunruhigen. Mit dem SecPKI Server sind dies vollständig automatisierte Prozesse .