Elektronische Signaturen sind für Unternehmen unverzichtbar geworden, um Prozesse zu optimieren, Papierkram zu reduzieren und effiziente Transaktionen zu gewährleisten. Allerdings sind nicht alle elektronischen Signaturen gleich. Zwei der wichtigsten Typen sind Advanced Electronic Signatures (AdES) und Qualified Electronic Signatures (QES), also „fortgeschrittene“ und „qualifizierte“ Signaturen. Unternehmen müssen sich einige wichtige Fragen stellen, um die wesentlichen Unterschiede zwischen AdES und QES zu verstehen. Zudem sollten sie sich über die potenziellen Probleme bei der Auswahl eines Anbieters von elektronischen Signaturen vom Typ „Qualified“ informieren.
Die Grundlagen
Was ist eine Advanced Electronic Signature (AdES)?
Eine elektronische Signatur vom Typ „Advanced“ (AdES) bietet ein höheres Maß an Sicherheit als eine einfache elektronische Signatur. Zudem stellt sie sicher, dass die Identität des Unterzeichners überprüft und die Integrität des Dokuments gewahrt wird.
Hauptmerkmale von AdES:
- Identifizierung des Unterzeichners: Die Signatur ist eindeutig einem einzelnen Unterzeichner zugeordnet, so dass dieser genau identifizierbar ist.
- Datenintegrität: Jede Änderung an einem signierten Dokument würde die Signatur ungültig machen. Dadurch muss es nach der Unterzeichnung unverändert bleiben.
- Public Key Infrastructure (PKI): Eine AdES basiert gewöhnlich auf der PKI-Technologie, die mithilfe von Verschlüsselung und digitalen Zertifikaten die Authentizität des Unterzeichners sicherstellt.
Eine AdES wird häufig für Geschäftstransaktionen verwendet, die ein höheres Maß an Vertrauen erfordern, dabei aber nicht unbedingt die strengsten gesetzlichen Anforderungen erfüllen müssen.
Was ist eine Qualified Electronic Signature (QES)?
Eine elektronische Signatur vom Typ „Qualified“ (QES) steht für höchste Sicherheit und Vertrauen bei elektronischen Signaturen. Sie entspricht vollständig der eIDAS-Verordnung der EU und hat den gleichen Rechtsstatus wie eine von Hand geleistete Unterschrift.
Entdecken Sie unser eBook und erfahren Sie mehr über eIDAS
Hauptmerkmale von QES:
- Qualifizierte Zertifikate: Eine QES wird mithilfe eines qualifizierten Zertifikats erstellt, das von einem Qualified Trust Service Provider (QTSP), also einem Anbieter für qualifizierte Vertrauensdienste, ausgestellt wurde. Dieses Zertifikat ist eine digitale Datei, welche die Identität des Unterzeichners bestätigt.
- Qualified Signature Creation Device (QSCD): Die Signatur muss mithilfe eines QSCD erstellt werden. Dabei handelt es sich um ein sicheres Gerät, das die Integrität und Authentizität von Signaturen gewährleistet.
- Rechtliche Gleichwertigkeit: Eine QES wird in der gesamten EU rechtlich als einer handschriftlichen Unterschrift gleichwertig anerkannt und bietet das Höchstmaß an Sicherheit in rechtlichen und regulatorischen Angelegenheiten.
Vergleich von AdES und QES: Die Hauptunterschiede
Auswahl des richtigen Anbieters für elektronische Signaturen vom Typ „Qualified“
Wichtige Fragen (und häufige Probleme)
Bei der Implementierung einer QES-Lösung ist die Auswahl des richtigen Anbieters entscheidend. Hier finden Sie eine umfassende Liste mit Fragen zur Bewertung potenzieller Anbieter. Außerdem erfahren Sie, welche Fehler Sie vermeiden sollten, damit Sie die geeignete Lösung für Ihr Unternehmen erhalten:
1. Handelt es sich um einen qualifizierten Vertrauensdiensteanbieter (QTSP)?
- Warum das wichtig ist: Nur QTSPs dürfen die für QES erforderlichen qualifizierten Zertifikate ausstellen. Falls der Anbieter kein QTSP ist, erhalten Sie also keine echte QES-Lösung.
- Problem: Einige Anbieter behaupten möglicherweise, QES anzubieten, sind jedoch nicht offiziell als QTSPs anerkannt. Überprüfen Sie stets ihren Status auf der Vertrauensliste der EU oder bei einer gleichwertigen Regulierungsbehörde.
2. Nutzen sie ein Qualified Signature Creation Device (QSCD)?
- Warum das wichtig ist: Eine QES muss mithilfe eines QSCD, also eines qualifizierten Geräts, erstellt werden. Dadurch werden maximale Sicherheit und Compliance gewährleistet.
- Problem: Wenn der Anbieter kein QSCD nutzt, bietet er wahrscheinlich nur AdES an. Seien Sie also vorsichtig, wenn Anbieter die Notwendigkeit eines solchen Geräts herunterspielen.
3. Wie erfolgt die Identitätsprüfung?
- Warum das wichtig ist: Bei einer QES muss die Identitätsprüfung streng sein und persönliche Kontrollen oder eine sichere Methode zur Fernüberprüfung umfassen.
- Problem: Anbieter, die einfache Online-Verifizierungsmethoden nutzen, die aber keine ohne ordnungsgemäßen Prüfungen umfassen, bieten keine QES an. Ein solches Angebot deutet eher auf eine als QES getarnte Lösung auf AdES-Ebene hin.
4. Wie sieht der Onboardingprozess aus?
- Warum das wichtig ist: Ein Onboardingprozess für echte QES umfasst strenge Schritte zur Identitätsüberprüfung.
- Problem: Wenn das Onboarding auffällig schnell erfolgt und keine strengen Identitätsprüfungen beinhaltet, könnte es sich um eine AdES-Lösung handeln. Das Onboarding von QES erfordert normalerweise mehr Zeit und Aufwand, damit alle maßgeblichen Vorschriften eingehalten werden können.
5. Wie gewährleisten sie den Schutz und die Sicherheit der Daten?
- Warum das wichtig ist: Datenschutz und -verschlüsselung sind sowohl für AdES als auch für QES von großer Bedeutung. Allerdings unterliegen QES-Lösungen hierbei strengeren Richtlinien.
- Problem: Anbieter, denen klare Richtlinien zur Datenverschlüsselung fehlen oder die nicht angeben, dass sie Vorschriften wie die DSGVO einhalten, bieten möglicherweise keine echte QES-Lösung an.
6. Erfüllen sie die einschlägigen Vorschriften Ihrer Gerichtsbarkeit?
- Warum das wichtig ist: QES-Lösungen müssen den lokalen und internationalen Vorschriften entsprechen.
- Problem: Anbieter ohne eindeutige Angaben zur Compliance bieten stattdessen möglicherweise eine AdES-Lösung an. Stellen Sie also immer sicher, dass eIDAS oder andere relevante Rechtsrahmen eingehalten werden.
7. Wieviel Erfahrung haben sie in Ihrer Branche?
- Warum das wichtig ist: Ein Anbieter mit Erfahrung in Ihrer Branche versteht Ihre Bedürfnisse und die gesetzlichen Anforderungen besser.
- Problem: Anbieter mit wenig oder ganz ohne Erfahrung mit QES-Lösungen in Ihrer Branche können Ihre Anforderungen möglicherweise nicht umfassend erfüllen.
8. Wie sehen ihre Preismodelle aus?
- Warum das wichtig ist: Nur wenn Sie die Kostenstruktur verstehen, wissen Sie auch, wofür Sie bezahlen.
- Problem: Hüten Sie sich vor Anbietern mit auffällig niedrigen Preisen, da dies oft ein Hinweis darauf ist, dass sie AdES statt QES verkaufen. Eine echte QES-Lösung ist aufgrund der damit verbundenen strengen Compliance- und Sicherheitsmaßnahmen tendenziell teurer.
Das Verständnis der Unterschiede zwischen einer elektronischen Signatur vom Typ „Advanced“ (AdES) und einer elektronischen Signatur vom Typ „Qualified“ (QES) ist von grundlegender Bedeutung, um fundierte Entscheidungen in diesem Bereich zu treffen. Während eine AdES bei vielen Geschäftstransaktionen für grundsätzliche Sicherheit und Vertrauen sorgt, bietet eine QES bei kritischen, rechtsverbindlichen Transaktionen höchste Zuverlässigkeit, Rechtsgültigkeit sowie Sicherheit. Dasselbe gilt für Siegel vom Typ „Qualified“, denn möglicherweise erfordert Ihr Anwendungsfall die Verwendung von qualifizierten Siegeln anstelle von Signaturen.
Wenn Sie die richtigen Fragen stellen und sich der Probleme bewusst sind, können Sie vermeiden, in eine Lösung zu investieren, die Ihren rechtlichen und sicherheitstechnischen Anforderungen nicht entspricht. Nutzen Sie daher diesen Leitfaden als Checkliste, damit die von Ihnen gewählte Lösung für elektronische Signaturen die Anforderungen Ihres Unternehmens tatsächlich erfüllt. Oder kontaktieren Sie uns als Ihre vertrauenswürdige Zertifizierungsstelle, um über Ihre Anforderungen zu sprechen.
Kontaktieren Sie unsere Experten, um über die richtige Signaturlösung für Ihr Geschäft zu sprechen