Elektronische Siegel und Signaturen: eine Übersicht
6 min

So tauschen Sie Dokumente digital rechtsgültig aus

Die Echtheit eines Dokuments lässt sich digital beweisen. Genauso lassen sich Dokumente digital unterzeichnen. Doch wie geht das, und wo liegen die Unterschiede zwischen elektronischem Siegel und elektronischen Signaturen? Ein Überblick über die verschiedenen Verfahren.

Formular herunterladen, ausdrucken, unterschreiben, einscannen und als PDF verschicken. Wie oft haben Sie sich über solch zeitfressende Abläufe genervt? Beim digitalen Arbeiten stören Medienbrüche, die entstehen, weil ein Dokument rechtsgültig unterzeichnet sein muss.

Kein Wunder, ist das Bedürfnis nach rein digitalen Abläufen bei Unternehmen, Behörden und Privatpersonen gewachsen. Verträge, Antragsformulare, ärztliche Rezepte, Rechnungen – Interaktionen zwischen Unternehmen und ihren Kunden und Geschäftspartner*innen werden immer öfters digital abgewickelt. Das senkt den administrativen Aufwand und macht die Zusammenarbeit für alle Seiten effizienter und einfacher. Gleichzeitig ist es bei digitalen Abläufen wichtig, die Dokumente vor Manipulationen und damit auch die Kunden vor Betrugsversuchen zu schützen.

Die Sicherheitsproblematik am Beispiel QR-Rechnung

Stellen Sie sich vor, ihr Kunde erhält digital eine QR-Rechnung, die auf den ersten Blick von Ihrem Unternehmen zu stammen scheint. Doch wer garantiert, dass es sich dabei nicht um eine Fake-Rechnung eines kriminellen Absenders handelt?

Von solchen Szenarien sind Unternehmen und ihre Kunden aus allen Branchen und Grössen immer wieder betroffen. Da im QR-Code sämtliche Zahlungsdetails enthalten sind, können diese so manipuliert werden, dass das Geld auf ein anderes Empfängerkonto umgeleitet und der Betrag verändert wird. Für Unternehmen und ihre Kunden führt dies zu grossem Mehraufwand bis hin zu schwerwiegenden Reputationsschäden. Der Umgang mit digitalen Dokumenten, wie es QR-Rechnungen sein können, verlangt deshalb einen guten Schutz vor Missbrauch. Diesen Schutz schafft man, indem alle Parteien Dokumente auf Absender und unveränderten Inhalt überprüfen können.

Beispiel einer QR-Rechnung. Die Echtheit des QR-Codes lässt sich erst beim Scannen prüfen.

Dieser Artikel stellt fünf Ansätze vor, wie Unternehmen digitale Dokumente nicht nur rechtsgültig unterzeichnen können. Sondern auch, wie Kundinnen und Geschäftspartner die erhaltenen Unterlagen auf Echtheit und Unveränderbarkeit überprüfen können.

Elektronisches Siegel als digitale Signatur

Unternehmen haben die Möglichkeit, Dateien mit einem elektronischen Siegel zu versehen. Dieses stellt gewissermassen einen digitalen Firmenstempel dar und entspricht einer fortgeschrittenen oder qualifizierten elektronischen Signatur für natürliche Personen (mehr dazu siehe weiter unten). Elektronische Siegel dienen als Nachweis, dass das Dokument (ein Vertrag, eine Rechnung, ein Bild usw.) von einer bestimmten Organisation ausgestellt wurde, und belegen zugleich die Unversehrtheit und den Ursprung. Die empfangende Person hat die Gewähr, dass das Dokument vom erwarteten Absender ausgestellt wurde und echt ist (Authentizität). Zudem belegt das Siegel, dass der eigentliche Inhalt nicht verändert wurde (Integrität).

Das elektronische Siegel basiert wie jede digitale Signatur auf einer asymmetrischen Verschlüsselung. Dieses Public-Key-Verfahren nutzt einen öffentlichen und einen privaten (geheimen) Schlüssel. Mit dem privaten Schlüssel wird die digitale Signatur erzeugt, während mit dem öffentlichen Schlüssel die Authentizität der Unterschrift überprüft wird.

Das Blockchain-basierte elektronische Siegel

Das Blockchain-basierte elektronische Siegel ist eine Weiterentwicklung dieser Technologie und belegt ebenfalls die Unversehrtheit und den Ursprung des Dokuments. Dabei wird der Hashwert («Fingerabdruck» oder Prüfziffer) des Dokuments manipulationssicher in der Blockchain gespeichert. Mit diesem Siegel können einzelne Dateien oder Transaktionen zertifiziert, aber auch Massenverarbeitungen vorgenommen werden.

Empfängerinnen und Empfänger können nun prüfen, ob der Hashwert eines Dokuments mit demjenigen übereinstimmt, der auf der Blockchain gespeichert ist. «Da in diesem Fall die Blockchain-Technologie verwendet wird, reicht den Kunden der gespeicherte Eintrag zur Echtheitsprüfung. Denn es ist genau der Zweck der Blockchain, die Unveränderlichkeit nachzuweisen», erklärt Nicole Sigrist, Head Customer Success & Projects bei Swisscom Blockchain. Um auf das Beispiel der QR-Rechnung zurückzukommen: Hier wird das Siegel direkt nach Erstellung der Rechnung in der Blockchain hinterlegt. Die empfangende Person kann die Echtheit anschliessend selbst verifizieren.

Electronic Seal von Swisscom Blockchain

Elektronisches Siegel, Blockchain-basiert

Electronic Seal von Swisscom Blockchain speichert den eindeutigen Fingerabdruck ihres zertifizierten Dokuments auf der Swiss Trust Chain, der hochsicheren Blockchain-Infrastruktur von Swisscom und Post. Die kostengünstige Lösung ermöglicht es, 1’000 Siegel pro Sekunde zu speichern, und ist für jedes benötigte Volumen skalierbar. Sie können nicht nur PDFs signieren lassen, sondern mit ihren Kunden jegliche Dateitypen zertifiziert austauschen. Auch eine Revokation (Ungültigkeitserklärung) eines Siegels ist problemlos möglich. Ihre Kunden können den Fingerabdruck mit wenigen Klicks validieren.

Die einfache elektronische Signatur

Einfache elektronische Signaturen sind laut dem Bundesgesetz über die elektronische Signatur Daten, «die anderen elektronischen Daten beigefügt oder die logisch mit ihnen verknüpft sind und zu deren Authentifizierung dienen». Dazu gehören Signaturen, die man etwa in Adobe Reader auf ein PDF-Dokument zeichnet. Das Zertifikat, das dabei im Hintergrund erstellt wird, stellt bloss die Integrität des Dokuments sicher: Falls als gültig ausgewiesen, bestätigt das Zertifikat nur, dass das Dokument zwischen dem Zeitpunkt des Signierens und dem Zeitpunkt des Öffnens nicht verändert wurde.

Die einfache elektronische Signatur dient also nicht der Identifikation einer Person. Daher bietet sie am wenigsten Rechtssicherheit und eignet sich vor allem dann, wenn man firmenintern signieren möchte. Oder um zu beweisen, dass ein Dokument nicht verändert wurde.

Die fortgeschrittene elektronische Signatur

Im Gegensatz zur einfachen elektronischen Signatur dient die fortgeschrittene elektronische Signatur der Personenidentifikation: Das bei der Signatur ausgestellte Zertifikat ordnet die Unterschrift der Inhaberin oder dem Inhaber zu. Das bedeutet, dass diese die alleinige Kontrolle über die Mittel haben, mit der die Signatur angebracht wird. Das kann eine SIM oder Chipkarte sein; sie enthält ein Zertifikat zur Nutzeridentifikation und eines für die elektronische Signatur und wird in einen Kartenleser oder USB-Stick eingesetzt. Oder man gibt alle erforderlichen Daten auf dem Handy ein und erhält per SMS einen Code zur Authentifizierung. Die Methoden müssen auch nachträgliche Veränderungen der Daten sichtbar machen.

Die qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur besitzt im Grundsatz dieselben Eigenschaften wie die fortgeschrittene; jedoch beruht sie auf einem qualifizierten Zertifikat, das von einem anerkannten Anbieter ausgestellt wird. Etwa werden beim Signing Service von Swisscom Zertifikat und Signaturschlüssel bei jedem Signaturvorgang neu in der Cloud generiert, die Authentisierung erfolgt durch eine Mobile-ID-fähige SIM-Karte übers Handy.

In der Schweiz überprüft die KPMG, ob die Zertifikate der Signaturanbieter nicht nur die Anforderungen für fortgeschrittene, sondern auch für qualifizierte elektronische Signaturen erfüllen. Ein qualifiziertes Zertifikat muss als solches gekennzeichnet sein. Auch wird es – im Gegensatz zum Zertifikat einer fortgeschrittenen Signatur – nur auf eine natürliche Person ausgestellt und darf ausschliesslich für die elektronische Signatur eingesetzt werden. Nur die qualifizierte Signatur ist im Schweizer Gesetz festgehalten (Art. 14 2bis OR). So ist nur die qualifizierte elektronische Signatur der handschriftlichen Signatur rechtlich gleichgestellt.

Für die meisten Verträge gibt es in der Schweiz keine Formvorschriften. Die Unterschrift dient den Vertragspartnern zur Absicherung und daher wird dort auch oft gleich zur qualifizierten elektronischen Signatur gegriffen, da diese die höchste Sicherheit gibt. Bei einigen Vertragsarten ist diese sogar zwingend, zum Beispiel für ein Konsumkreditvertrag, eine Forderungsabtretung oder bei einem nachvertraglichen Konkurrenzverbot.

Letztlich bleibt es manchmal aber Ermessenssache, wobei wirtschaftliche Faktoren die qualifizierte elektronische Signatur meist zur einfachen Wahl machen. «Der Aufwand für die Identifikation ist bei der qualifizierten Signatur im Gegensatz zu früher heute kaum mehr ein Kriterium», erklärt Benoit Strölin, Product & Innovation Management bei Swisscom Trust Services. Schliesslich ist eines gewiss: Mit der qualifizierten elektronischen Signatur sind Sie bei digitalen Vertragsabschlüssen auf der sicheren Seite.

Aktualisierter und ergänzter Artikel vom Juli 2017.

Jetzt lesen