Ein Service der Schweizerischen Post

Hauptbereich

Wie sicher ist eine elektronische Signatur?

Die sicherste Art der elektronischen Signaturen ist die qualifizierte elektronische Signatur (QES) – sowohl was das Handling als auch die Verschlüsslung angeht. Es gibt diverse Massnahmen, welche diese Sicherheit gewährleisten. Mehr darüber erfahren Sie in diesem Artikel.

So werden qualifizierte elektronische Signaturen geschützt

Wenn es um die Sicherheit und Vertrauenswürdigkeit von elektronischen Signaturen geht, muss mehr betrachtet werden als nur die eingesetzte Verschlüsselungstechnik. Es muss zum Beispiel bereits bei den Anbietern und der vorgängigen Identitätsprüfung angesetzt werden.

Auflagen

Nur offizielle Vertrauensdienstanbieter wie SwissSign dürfen qualifizierte elektronische Signaturen anbieten und entsprechende Identitätsprüfungen durchführen. Sie müssen den strengen Auflagen des Bundesgesetzes über die elektronische Signatur (ZertES) entsprechen und die Konformität regelmässig in Audits beweisen.

Identitätsprüfung

Grundsätzlich geht es bei der Identitätsprüfung darum sicherzustellen, dass eine Person tatsächlich diejenige ist, für die sie sich ausgibt. Wer mit einer qualifizierten elektronischen Signatur unterschreiben möchte, muss diese Prüfung vorgängig durchführen. So kann die Signatur mit Sicherheit klar einer bestimmten Person mit einer geprüften Identität zugeordnet werden.

SwissSign bietet die Identitätsprüfung beispielsweise online oder vor Ort an – beides ist kostenlos.

Weitere Informationen zur Identitätsprüfung

Zwei-Faktor-Authentifizierung (2FA)

Wird ein Dokument mit einer qualifizierten elektronischen Signatur unterschrieben, muss dies mittels eines zweiten Faktors bestätigt werden. So wird der Unterzeichner beispielsweise im Signaturraum von SwissID Sign aufgefordert, die Signatur über die SwissID App mittels Biometrie via Fingerabdruck oder Gesichtserkennung freizugeben.

Verschlüsselung

Wenn es um die Verschlüsselung von elektronischen Signaturen geht, gilt es zuerst ein häufiges Missverständnis zu klären. Im Zusammenhang mit Verschlüsslung wird nämlich von digitaler Signatur gesprochen – welches kein Synonym für elektronische Signatur ist. Dabei handelt es sich stattdessen um einen technischen Begriff für ein Verschlüsselungsverfahren. Verschlüsselt werden elektronische Signaturen mit asymmetrischer Kryptografie. Das gewährleistet die Authentizität und Integrität.

  • Authentizität: Die Signatur wurde von einem bekannten Absender erstellt und ist gültig.
  • Integrität: Das unterzeichnete Dokument wurde nachträglich nicht verändert.

Die Verschlüsselung kurz erklärt

Wird etwas mittels asymmetrischer Kryptografie verschlüsselt, erstellt der Sender einen einzigartigen Private Key. Der Empfänger erhält einen dazu passenden Public Key. Dieses Schlüsselpaar ermöglicht die Ver- und Entschlüsselung. Im Falle der elektronischen Signatur wird der sogenannte Hash-Wert – ein kryptografisch errechneter Fingerabdruck eines Dokumentes – verschlüsselt gespeichert. Der private Schlüssel wird also nicht auf das Dokument selbst, sondern auf dessen Hash-Wert angewendet. So kann zweifelsfrei nachgewiesen werden, wenn ein Dokument manipuliert, also nachträglich verändert, wurde. 

Grafik, welche aufzeigt, wie die digitale Signatur funktioniert.

Validierung

Anders als bei handschriftlichen Unterschriften erfolgt die Prüfung bei einer qualifizierten elektronischen Signatur nicht anhand des Schriftbildes, sondern mittels eines mathematischen Verfahrens. Jede qualifizierte elektronische Signatur ist mit einem digitalen Zertifikat versehen, welches einer bestimmten Person zugeordnet ist. Bei der Validierung wird geprüft, ob der Unterzeichnende über das entsprechende digitale Zertifikat verfügt und ob es von einer akkreditierten Zertifizierungsstelle ausgestellt wurde.
 

So erkennen Sie, ob eine elektronische Signatur gültig ist

Screenshot des Unterschriftfensters im Adobe Acrobat Reader

Variante 1: Adobe Acrobat Reader


Enthält ein PDF elektronische Signaturen eines Mitglieds der Adobe Approved Trust List, prüft der Adobe Acrobat Reader beim Öffnen des Dokuments automatisch, ob die Unterschriften gültig sind. Sie erhalten eine der folgenden beiden Meldungen:
 

  • «Unterschrieben und alle Unterschriften sind gültig.»
  • «Es gibt bei mindestens einer Unterschrift Probleme.»

Ausserdem können Sie sich die Unterschriftseigenschaften anzeigen lassen. Darin finden Sie unter anderem folgende Informationen:

  • Name des Unterzeichners
  • Signaturzeitpunkt
  • Hinweis, ob das Dokument nachträglich verändert wurde
  • Details zu den Zertifikaten des Ausstellers und des Unterzeichners
  • Hinweis, ob der Aussteller Mitglied der Adobe Approved Trust List ist (grünes Häkchen)
     

Variante 2: Validator des Bundes

Als Alternative zum Adobe Acrobat Reader können Sie auch den Validator des Bundes nutzen.
Er überprüft Dokumente auf folgende zwei Punkte:

  • Authentizität: Ist die elektronische Signatur gemäss ZertES gültig?
  • Integrität: Ist die signierte Datei unverändert?


Dafür laden Sie ganz einfach das zu prüfende Dokument im Tool hoch. Danach erhalten Sie eine Zusammenfassung der Dokumentprüfung:

  • Ist das Dokument nach der letzten Signatur verändert worden?
  • Sind die Signaturen gültig gemäss ZertES?
  • Sind die Zertifikate gültig bzw. nicht revoziert?
  • Sind die Zeitstempel gültig gemäss ZertES?
Screenshot der Zusammenfassung der Dokumentprüfung von validator.ch

Lässt sich eine elektronische Signatur nicht als Screenshot einfügen?

Grundsätzlich ist es natürlich möglich, einen Screenshot von einer elektronischen Signatur zu erstellen und diesen auf einem Dokument zu platzieren. Auf den ersten Blick sieht es damit so aus, als ob ordnungsgemäss elektronisch signiert wurde. Beim genaueren Hinschauen fällt jedoch schnell auf, dass diese Signatur nicht (rechts)gültig ist. Weder der Adobe Acrobat Reader noch der Validator werden die Signatur nämlich erkennen, da sie nur als visuelles Element und nicht als «echte» elektronische Signatur platziert wurde. Somit kann sie nicht mehr validiert werden.

Fazit

Alle aufgeführten Punkte zeigen auf, dass eine qualifizierte elektronische Signatur grundsätzlich sehr sicher ist. Sie lässt sich nicht einfach fälschen und die Gültigkeit kann in wenigen Schritten unkompliziert überprüft werden. Wichtig dafür ist jedoch, dass die Dokumente digital abgelegt und aufbewahrt werden. Nur in digitaler Form ist eine Validierung möglich.
 

Mit SwissID Sign elektronisch rechtsgültig signieren

Ob einfach oder qualifiziert: Mit SwissID Sign können Sie diejenige elektronische Signatur nutzen, welche Ihren Bedürfnissen entspricht. Interessiert? Als Neukunde erhalten Sie bei der Aktivierung fünf kostenlose qualifizierte Signaturen.