Signaturkarte: Wie sie funktioniert und digitale Identitäten schützt.

Was ist eine Signaturkarte?

Die Möglichkeit zum Identitätsnachweis mittels einer Signaturkarte ist eines von zwei Verfahren, mit dem elektronische Dokumente rechtsverbindlich signiert und authentifiziert werden können. Mit einer Signaturkarte lassen sich qualifizierte elektronische Signaturen (QES) erstellen, welche die höchste Rechts- und Datensicherheit bei elektronischen Signaturen darstellen und den bestmöglichen Identitätsnachweis garantieren. Die Signaturkarte hat das Format einer Scheckkarte und enthält einen Chip, auf dem digitale Zertifikate und Schlüsselpaare gespeichert sind, die zur Verschlüsselung und zum Signieren von Dokumenten dienen. Wie die Signaturkarte funktioniert, sehen wir uns im nächsten Abschnitt genauer an.

Funktionsweise der Signaturkarte.

Mit Einführung der eIDAS-Verordung 2016, die Standards für digitale Identitäten und Signaturen für alle EU-Mitglieder festlegt, wurden drei Varianten von digitalen Signaturen etabliert: die einfache elektronische Signatur (EES) mit einer geringen Rechtssicherheit, die fortgeschrittene elektronische Signatur (FES) mit einer höheren rechtlichen Verbindlichkeit und die qualifizierte elektronische Signatur (QES) mit der höchstmöglichen Rechtssicherheit, die mit der handschriftlichen Unterschrift gleichzusetzen ist. Die Anforderung an eine QES sind umfangreich. Sie wurde von einem qualifizierten Vertrauensdiensteanbieter – auch Trust Service Provider (TSP) genannt – erstellt, der die Vertraulichkeit, Integrität und Verfügbarkeit von elektronischen Kommunikationen und Transaktionen gewährleistet, und beruht auf einem qualifizierten Zertifikat. Für die Erstellung einer qualifizierten elektronischen Signatur sind grundsätzlich zwei Verfahren für einen Identitätsnachweis zugelassen: die Signaturkarte und das Fernsignatur-Zertifikat.

Signaturkarte und Kartenlesegerät.

Vor Einführung der eIDAS basierte die Erstellung qualifizierter elektronischer Signaturen zunächst auf dem Einsatz von Signaturkarten. Die Signaturkarte im Kreditkarten-Format enthält einen Microchip. Die Chipkarte enthält wiederum den Signaturschlüssel eines digitalen Zertifikats, welches bescheinigt, dass der Signaturschlüssel einer bestimmten Person zugeordnet wurde (privater Schlüssel). Das Zertifikat selbst enthält einen Signaturprüfschlüssel, der öffentlich einsehbar ist (öffentlicher Schlüssel). Die Echtheit einer E-Signatur kann also jederzeit überprüft werden.

Um eine Signaturkarte auslesen zu können, benötigst du in der Regel einen speziellen Kartenleser und eine entsprechende Signatur-Software. Damit du mit der Signaturkarte eine Unterschrift tätigen kannst, musst du dich in der Regel mit einem PIN-Code authentifizieren. Nachdem du die Signatur erstellt hast, wird diese zusammen mit dem öffentlichen Schlüssel und einem Zertifikat (privater Schlüssel) an das Dokument angehängt. So wird bestätigt, dass das Dokument von dir unterzeichnet wurde.

Das Fernsignatur-Zertifikat.

Seit Einführung der eIDAS-Verordnung gibt es in Deutschland auch die Möglichkeit der Fernsignatur. Eine qualifizierte elektronische Signatur muss nun nicht mehr mit einer Signaturkarte erstellt, sondern kann über einen qualifizierten Vertrauensdiensteanbieter generiert werden. Bei der Fernsignatur wird ein privater Signaturschlüssel einer Person auf einem Server des Vertrauensdiensteanbieters gespeichert. Bevor die Fernsignatur erzeugt werden kann, muss sich die signierende Person zunächst gegenüber dem Vertrauensdiensteanbieter nachweisen. Das kann beispielsweise über ein Video-Ident-Verfahren mit einem Personalausweis mit Online-Funktion oder über ein Smartphone durch Zwei-Faktor-Authentifizierung per SMS oder App erfolgen.

Anwendungsfälle für Signaturkarten.

Eine Signaturkarte kann immer dann zum Einsatz kommen, wenn eine qualifizierte elektronische Signatur erforderlich ist, um die höchstmögliche Sicherheit der digital unterzeichneten Dokumente für den elektronischen Rechtsverkehr zu gewährleisten. Sie ist damit genauso rechtsgültig wie eine handschriftliche Unterschrift. Qualifizierte elektronische Signaturen können im Bankwesen für das rechtskonforme digitale Unterschreiben von Kreditverträgen und Vollmachten, in der Personalwirtschaft für Kund*innen- und Dienstleistungsverträge oder im Gesundheitswesen für die Signatur von Arztrezepten erforderlich sein.

Signaturkarte beantragen: So geht’s.

Signaturkarten zur Erstellung qualifizierter elektronischer Signaturen können über einen Vertrauensdiensteanbieter meistens über ein Kontaktformular erworben werden. In Deutschland sind das Anbieter wie die D-Trust GmbH. Für eine Beantragung einer Signaturkarte muss sich der*die Antragsteller*in in der Regel über ein Video- oder Post-Ident-Verfahren identifizieren. Bis du die Signaturkarte einsetzen kannst, können einige Tage vergehen, sie ist dann aber bis zu drei Jahre gültig.

Viele Vertrauensdiensteanbieter bieten verschiedene Signaturkarten-Varianten für unterschiedliche Use Cases an. So können bei D-Trust etwa Einzelsignaturkarten zur Signatur einzelner Dokumente, aber auch Varianten für eine Unterzeichnung von bis zu 100 Dokumenten gleichzeitig erworben werden.

Signaturkarte vs. Fernsignatur: die Vor- und Nachteile.

Du hast bereits erfahren, dass es verschiedene Möglichkeiten gibt eine qualifizierte Unterschrift zu zertifizieren. Beide Varianten haben ihre Vor- und Nachteile, die wir uns etwas genauer ansehen wollen:

Vorteile der Signaturkarte.

Die Signaturkarte ist eine Plastikkarte mit Microchip, die einer Kreditkarte ähnelt. Einmal angeschafft, ist sie bis zu drei Jahre gültig und auch offline einsetzbar. Soll eine qualifizierte elektronische Signatur erstellt werden, können dafür alle Vertrauensdiensteanbieter verwendet werden, die mit Signaturkarten arbeiten. Außerdem entstehen keine Folgekosten bei der Signatur. Je nach Trustcenter kann es sein, dass bei der Fernsignatur mit QES jede Unterschrift extra kostet. Dies gilt nicht bei der Signaturkarte. Dort habe ich nur die Anschaffungskosten für den Kartenleser und die Signaturkarte selber.

Nachteile der Signaturkarte.

Muss eine Signaturkarte für eine qualifizierte elektronische Signatur erst besorgt werden, kann die Anschaffung der Karte mehrere Tage in Anspruch nehmen. Damit du die Karte einsetzen kannst, benötigst du zusätzlich ein spezielles Lesegerät, was die Installation einer zusätzlichen Software erfordert. Diese kann anfällig für Probleme sein. Ein entscheidender Nachteil der Signaturkarte: Kartenlesegeräte funktionieren nur auf Desktop-Computern, eine qualifizierte Signatur auf mobilen Geräten ist damit nicht möglich.

Vorteile der Fernsignatur.

Die Zertifizierung einer qualifizierten elektronischen Signatur kann mit der Fernsignatur geräteunabhängig auf allen Browsern, Betriebssystemen und mobilen Geräten erfolgen, eine Installation einer zusätzlichen Software ist dafür nicht erforderlich. Ein großes Plus für diese Variante: eine qualifizierte Unterschrift ist direkt im Browser möglich. Somit werden Unterschriftenprozesse noch effizienter.

Nachteile der Fernsignatur.

Die Fernsignatur ist seit der Einführung der eIDAS-Verordung 2016 eine Option zur Zertifizierung von qualifizierten Unterschriften. Diese Option wird allerdings noch nicht von allen Vertrauensdiensteanbietern zu Verfügung gestellt. Außerdem können zusätzlich zur einmaligen Identifizierung noch Kosten pro Signatur entstehen. Es gibt auch Trustcenter, die einmalig höhere Authentifizierungskosten ansetzen, dann aber die Fernsignaturen als Flatrate für zwei Jahre ohne weitere Kosten zulassen.

Qualifizierte elektronische Signatur erstellen mit Acobat Sign.

Mit Acrobat Sign kannst du eIDAS-konforme qualifizierte elektronische Signaturen erstellen – vorausgesetzt, alle beteiligten Unterzeichner*innen können ihre Identität legitimieren. Die Legitimation erfolgt dabei entweder mittels Signaturkarte und Kartenlesegerät oder mithilfe eines digitalen Identitäts-Zertifikats als Fernsignatur – beides wird durch anerkannte Vertrauensdiensteanbieter ausgestellt. Wir führen dich Schritt für Schritt durch den Signaturprozess durch:

Du erhältst eine E-Mail, in der du aufgefordert wirst, ein Dokument zu unterzeichnen. Öffne das Dokument durch einen Klick auf die Schaltfläche "Prüfen und signieren" und klicke auf das Signaturfeld. Es öffnet sich nun ein Fenster, in dem du dich zwischen zwei Identifizierungsverfahren entscheiden kannst: Cloud-Signatur (Fernsignatur) oder “Mit Acrobat herunterladen und unterzeichnen” (Signaturkarte). Wähle eine der beiden Optionen aus und klicke auf die Schaltfläche "Weiter". Danach teilt sich der Weg, du kannst entweder mit Signaturkarte oder mittels Cloud Signatur unterzeichnen:

Legitimation mittels Signaturkarte.

1. Klicke die Option “Mit Acrobat herunterladen und unterzeichnen” an.

2. Danach erscheint eine Dialogbox, die auf die Installation von Acrobat Reader oder Acrobat Standard oder Acrobat Pro als Applikation hinweist.

3. Nun wird die PDF-Datei heruntergeladen und in Acrobat oder Reader geöffnet.

4. Klicke anschließend in das blaue Feld für die Unterschrift.

5. Nun erscheint die Auswahlliste für Zertifikate in Acrobat oder Reader. In dieser Liste sollte sich das Qualifizierte Zertifikat des Trustcenters (Vertrauensdiensteanbieters) befinden. Dafür musst du vorher die entsprechenden Treiber für Kartenleser und Zertifikatserkennung installieren. Eventuell ist dafür auch eine Middleware “Nexus Personal” erforderlich, falls das Zertifikat nicht auftaucht.

6. Nach Auswahl des Zertifikats wirst du auf dem Kartenlesegerät nach einem PIN gefragt, damit das Zertifikat auch aktiviert wird.

7. Nun wird die Unterschrift an Acrobat Sign übermittelt und du kannst das PDF-Dokument löschen, da Acrobat Sign die Signatur nun erhalten hat.

8. Im Anschluss erhältst du das unterschriebene Dokument mit eIDAS-Siegel von Acrobat Sign. Die qualifizierte Signatur ist zusätzlich mit einem zweiten Zertifikat im Dokument mit abgespeichert.

Legitimation mittels Cloud Signatur.

1. Melde dich bei einem Vertrauensdiensteanbieter deiner Wahl an. Falls du noch kein Zertifikat zur qualifizierten elektronischen Signatur hast, wirst du automatisch in den Identifizierungsprozess weitergeleitet.

2. Nun erhältst du eine Vorschau deiner elektronischen Signatur. Über einen Klick auf "Signatur bearbeiten" kannst du per Maus oder Touchpad manuell signieren oder ein Signaturbild hochladen. Fahre fort, indem du auf "Hier signieren" klickst.

3. Die Signatur musst du nun beim Vertrauensdiensteanbieter mit der Zwei-Faktor-Authentifizierung über SMS oder App identifizieren.

4. Im Anschluss erhältst du das unterschriebene Dokument mit eIDAS-Siegel von Acrobat Sign. Die qualifizierte Signatur ist zusätzlich mit einem zweiten Zertifikat im Dokument mit abgespeichert.

Sobald du ein Dokument in Acrobat Sign mit einer qualifizierten elektronischen Signatur versehen hast, ist es nicht mehr veränderbar und verschlüsselt. Je nach Einstellung erhältst du zusätzlich noch einen Prüfbericht. Weitere Informationen zu unternehmensspezifischen Lösungen für elektronische Unterschriften unter Berücksichtigung spezieller Compliance-Anforderungen findest du auf unserer Webseite.