Digitale Signatur: So funktioniert die elektronische Unterschrift

Die „qualifizierte elektronische Signatur“ ist der eigenhändigen Unterschrift rechtlich gleichgestellt. Wie Sie in Österreich Dokumente digital unterzeichnen können und wie die digitale Signatur erzeugt wird, erfahren Sie im Beitrag.

Hand berührt blauen Schild als Sicherheitssymbol
Digital unterzeichnen. Foto: AdobeStock

Jede vertragliche Vereinbarung, die der Schriftform bedarf, erfordert für ihre Rechtsgültigkeit die Unterschrift der Vertragspartner. Das gilt vom Wohnungskauf bis zur Einschreibung ins Fitnessstudio. Im Zeitalter der Digitalisierung haben sich neben dem handgeschriebenen Namenszug auch elektronische Varianten etabliert. Diese haben den Vorteil, dass der Abschluss von Rechtsgeschäften auch über große räumliche Entfernungen rasch und unkompliziert erfolgen kann.

Die elektronische Unterschrift wird einfach in einen Vertrag, der seinerseits in digitaler Form vorliegt, eingefügt – das Dokument ist somit signiert. Dabei muss gewährleistet sein, dass die elektronische Unterschrift fälschungssicher ist und jede unterzeichnende Person eindeutig identifiziert werden kann.

Was ist eine elektronische Unterschrift?

Die relevante Rechtsquelle für elektronische Unterschriften ist die EU-Verordnung Nr. 910/2014, auch als „eIDAS-Verordnung“ bezeichnet („electronic IDentification, Authentication and Trust Services“). Ihre Umsetzung erfolgte in Österreich durch das Signatur- und Vertrauensdienstegesetz (SVG) und die zugehörige Signatur- und Vertrauensdiensteverordnung (SVV). Gemäß dieser EU-Verordnung versteht man unter einer elektronischen Signatur „[…] Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“.

Der einfachste Weg zu einer elektronischen Signatur ist, eine mit der Hand auf ein Blatt Papier geschriebene Unterschrift zu scannen und als Bilddatei in ein Dokument einzufügen. Auch wenn diese Option besonders im privatwirtschaftlichen Bereich weit verbreitet ist, gilt sie als wenig fälschungssicher. Ob eine eingescannte Unterschrift vor Gericht überhaupt anerkannt wird, unterliegt im Grunde der freien Beweiswürdigung durch die Richterin oder den Richter. Somit ist auch keine Rechtssicherheit gegeben.

Was ist eine qualifizierte elektronische Signatur (QES)?

Der eigenhändigen Unterschrift juristisch gleichgestellt ist die sogenannte qualifizierte elektronische Signatur (QES). Sie zeichnet sich durch höhere Sicherheitsstandards aus als die fortgeschrittene elektronische Signatur (Advanced Electronic Signature, AES) und gilt als die sicherste Methode für elektronische Signaturen. Eine qualifizierte elektronische Signatur weist folgende Merkmale auf:

  • Sie wurde von einer qualifizierten elektronischen Signaturerstellungseinheit erzeugt (eine spezielle Software oder Hardware).
  • Sie beruht auf einem qualifizierten Zertifikat für elektronische Signaturen.
  • Sie ist eindeutig der unterzeichnenden Person zugeordnet und ermöglicht deren Identifizierung.
  • Sie ist so mit den unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.
  • Sie wird mittels Daten erstellt, die unter der alleinigen Kontrolle der unterzeichnenden Person stehen (gewährleistet durch Mehrfaktor-Authentifizierung).

Hinweis

Zur Terminologie: Unterschieden wird zwischen „elektronischer Signatur“ (oder auch „elektronischer Unterschrift“), die ein juristischer Begriff ist, und „digitaler Signatur“, womit ein kryptografisches Verfahren zum Erzeugen einer qualifizierten elektronischen Unterschrift gemeint ist. Weitere Informationen zu den unterschiedlichen Arten der elektronischen Signatur finden Sie im Artikel „Elektronische Signaturen“.

Die qualifizierte elektronische Signatur: Funktionsweise

Die qualifizierte elektronische Signatur basiert auf einem asymmetrischen kryptografischen Verfahren (spezielle Verschlüsselungsmethode). Dabei erhält jede Anwenderin und jeder Anwender ein eindeutiges Schlüsselpaar, das aus einem privaten Schlüssel (Private Key) und einem öffentlichen Schlüssel (Public Key) besteht. Diese sind über einen Algorithmus (RSA für fortgeschrittene Signatur, ECDSA für qualifizierte Signatur) miteinander verbunden. Die Verknüpfung zwischen dem Schlüsselpaar und der signierenden Person wird von einem Vertrauensdiensteanbieter (Trust Service Provider, TSP) organisiert und durch ein digitales Zertifikat gesichert.

Hinweis

Bei Verfahren der asymmetrischen Verschlüsselung erfolgt die Verschlüsselung von Daten mit einem anderen Schlüssel als die Entschlüsselung. Es gibt somit ein Schlüsselpaar, das aus öffentlichem und privatem Schlüssel besteht. Der private Schlüssel der Userin oder des Users muss geheim gehalten werden, der öffentliche Schlüssel hingegen kann anderen Personen bekannt gegeben werden. Eine sogenannte Public-Key-Infrastruktur (PKI) dient dabei als Plattform für das Erstellen, Verwalten und Überprüfen der Schlüsselpaare. Allgemeine Informationen erhalten Sie unter „Verschlüsselung“.

Wer ein elektronisches Dokument, zum Beispiel eine PDF-Datei, elektronisch unterschreibt, erzeugt mithilfe des privaten Schlüssels eine Signatur. Der private Schlüssel der unterzeichnenden Person verschlüsselt hierbei nicht den gesamten Text des Dokuments, sondern einen sogenannten Hash-Wert. Das ist eine Zeichenkette beziehungsweise eine Kombination aus Zahlen und Buchstaben fixer Länge, die mittels eines Algorithmus aus einer beliebigen Datenmenge (zum Beispiel dem Inhalt des Dokuments) errechnet wird. Dieser Hash-Wert dient als Prüfsumme für die Validität der Signatur und den Inhalt des Dokuments. Die Empfängerin oder der Empfänger des elektronisch unterzeichneten Dokuments, etwa ein Geschäftspartner oder ein Amt, kann nur mithilfe des öffentlichen Schlüssels der unterzeichnenden Person den Text entschlüsseln und erhält somit den ursprünglichen Hash-Wert. Zusätzlich wird mithilfe eines Programms der Hash-Wert aus dem Ausgangstext berechnet und überprüft, ob dieser mit dem erhaltenen Hash-Wert übereinstimmt. So lässt sich ausschließen, dass das Dokument auf dem Übertragungsweg manipuliert wurde. Da zu jedem öffentlichen Schlüssel immer nur genau ein privater Schlüssel passt, ist also klar, dass das Dokument von der Inhaberin beziehungsweise dem Inhaber dieses Schlüssels signiert wurde. Durch die Verknüpfung des öffentlichen Schlüssels mit den Identitätsdaten der unterzeichnenden Person ist auch deren Identifizierung gewährleistet.

Tipp

Um Signaturen online zu prüfen, kann das signierte Dokument unter Signaturprüfung (Website der Rundfunk und Telekom Regulierungs-GmbH) oder unter PDF verifizieren (Prüf-Tool von A-Trust) hochgeladen werden.

Bürgerkarte und Handy-Signatur: Der österreichische Weg

Für die Authentifizierung bei elektronischen Verwaltungsverfahren stehen Bürgerinnen und Bürgern in Österreich die Bürgerkarte und die Handy-Signatur beziehungsweise zukünftig ID Austria zur Verfügung. Diese Technologien ermöglichen sowohl die rechtsgültige Signatur von Dokumenten und Verträgen als auch die eindeutige Identifikation in Verfahren. Dabei ist jede Nutzung dieser Services technisch betrachtet ein Signaturvorgang. Bei der Bürgerkarte ist eine Chipkarte (Kartenlesegerät erforderlich) selbst die Signaturerstellungseinheit, bei der Handy-Signatur befindet sich diese in einem Hochsicherheitsbereich auf den Servern des Anbieters A-Trust.

Neu

Seit Anfang 2020 können e-cards nicht mehr als Bürgerkarte aktiviert werden, bereits aktivierte e-cards bleiben bis zum Ablauf oder Widerruf des Signaturzertifikats gültig. Als Bürgerkarte verwendbare Chipkarten können aktuell noch beim Anbieter A-Trust erworben werden, mit ID Austria wird aber künftig auf mobile Lösungen gesetzt.

Bürgerkarte und Handy-Signatur bieten mit der sogenannten „Personenbindung“ eine zusätzliche Identifikation zur elektronischen Signatur. Mit der Personenbindung erfolgt eine Verknüpfung der elektronischen Signatur mit der Stammzahl (abgeleitet aus der ZMR-Zahl) der Userin oder des Users. Diese wird zusammen mit persönlichen Daten und dem öffentlichen Signaturschlüssel von der Stammzahlenregisterbehörde signiert. Um die Sicherheit zu erhöhen, sind die beschriebenen Verfahren zusätzlich durch eine Zwei-Faktor-Authentifizierung (Passwort und Besitz des Handys beziehungsweise PIN und Besitz der Chipkarte) geschützt.

Achtung

Achtung: Ab Sommer 2022 werden Bürgerkarte und Handy-Signatur von ID Austria abgelöst. Die Nachfolgetechnologie wird alle Funktionen der Bürgerkarte und der Handy-Signatur beinhalten. Darüber hinaus sollen europaweit anerkannte digitale Ausweise auf dem Smartphone via ID Austria beziehungsweise EUid (europäische digitale Identität) verfügbar sein. Detailliertes Wissen zu ID Austria vermittelt das Webinar: ID Austria (13. Juni).

Letzte Aktualisierung: 30. Mai 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria