:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wege zur qualifizierten elektronischen Signatur Die elektronische Signatur in Geschäftsabschlüsse einbinden
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Obwohl digitale Kanäle und das Smartphone heute den Alltag bestimmen, werden Verträge nach wie vor in Papierform abgewickelt. Dabei steht mit der qualifizierten elektronischen Signatur eine Alternative bereit, die es möglich macht, Verträge vollständig digital abzuwickeln – unter strengen regulatorischen Vorgaben gemäß der EU-weiten eIDAS-Verordnung und höchsten technischen Sicherheitspraktiken.
In der heutigen digitalisierten Welt ist es selbstverständlich geworden, Bestellungen über Online-Kanäle aufzugeben und innerhalb von wenigen Minuten in einem Online-Shop etwas zu bestellen. Auch Geschäftsabschlüsse oder andere Verträge mit einer Schriftformerfordernis könnten mit einer elektronischen Signatur auf qualifiziertem Niveau wesentlich effizienter und weniger aufwändig vonstattengehen, was sich in schnelleren Abschlüssen, weniger Abbrüchen und der Unabhängigkeit von Zeit und Ort niederschlägt. Zudem ist sie auf dem qualifizierten Level durch strenge Richtlinien und Kontrollen stärker gesichert als eine händische Signatur.
Mit der Zeit gehen
Nicht zuletzt durch den rapiden technologischen Wandel und den Konkurrenzdruck sind Unternehmen gezwungen, sich agil aufzustellen und Kunden durch effiziente, komplett digitale Abwicklungsmöglichkeiten von sich zu überzeugen. Außerdem offenbart die Corona-Krise den Digitalisierungsgrad von Unternehmen und Institutionen schonungslos und zeigt welche Probleme nicht-digitalisierte Prozesse für das Geschäft mit sich bringen. Die unkomplizierte Abwicklung von Geschäftsprozessen ist in Zeiten von Ausgangsbeschränkungen und Social Distancing ein Entscheidungskriterium, um nicht unnötig aus dem Haus gehen zu müssen. Ein Medienbruch, der durch einen Vertrag entsteht, der ausgedruckt und von Hand unterzeichnet werden muss, entspricht nicht mehr dem heutigen Zeitgeist. Die elektronische Signatur wird sich daher nach und nach als Willenserklärung des Vertrauens durchsetzen.
Auf qualifiziertem Level ist die elektronische Signatur nach den länderspezifischen Gesetzen rechtlich gleichgestellt und die einzige Signatur, deren Beweislast vor Gericht nicht bewiesen, sondern widerlegt werden muss. Für ihre Erstellung sind drei Komponenten nötig: Die Signatur selbst, die ID und ein Schlüssel. Die ID ist die digitale Identität des Unterzeichnenden, während der Schlüssel das Sicherheitswerkzeug ist, um die Willensbekundung zu bestätigen, beispielsweise eine 2-Faktor-Authentisierung via Smartphone.
Rechtliche und technische Sicherheitsvorkehrungen
Befindet sich der Nutzer in einem Prozess für einen elektronischen Vertragsabschluss, muss zunächst dessen Identität festgestellt werden. Hierzu prüft die Teilnehmerapplikation zunächst, ob er bereits für das erforderliche Signaturlevel identifiziert wurde. Dies geschieht über eine Schnittstelle zum Trust Service Provider. Ist dies der Fall, wird die Erstellung der Signatur ausgelöst, andernfalls kann die Applikation verschiedene Identifikationsverfahren ansteuern, die vom Unternehmen integriert wurden, beispielsweise ein VideoIdent-Verfahren, bei dem man sich vor der Kamera des Computers ausweist.
Sobald die Identität des Nutzers bestätigt oder aufgenommen wurde, kann er Dokumente elektronisch signieren. Im Falle von Swisscom Trust Services wird dabei nur ein Hash, aber nicht das Dokument selbst übertragen. Dieser Hash wird elektronisch signiert und stellt sicher, dass die Signatur für dieses Dokument gilt und nicht für etwaige spätere Änderungen. Die Signatur wird daraufhin dem Dokument beigefügt. Der Signierende kann daraufhin noch einmal auf Richtigkeit prüfen und kann diese final bestätigen. Dies kann wahlweise über einen SMS-Code, eine Smartphone-App oder andere Verfahren der Willensbekundung geschehen.
Balance aus Nutzerfreundlichkeit und Sicherheit
Um eine qualifizierte elektronische Signatur auslösen zu können, muss ein Nutzer sich also zunächst identifizieren. Dieser Vorgang stellt in vielen Prozessen allerdings noch ein Hindernis dar und ist somit der Knackpunkt dafür, ob Unternehmen die Vorteile einer elektronischen Signatur vollumfänglich nutzen können, um den Grad an Nutzerfreundlichkeit zu bieten, den Verbraucher heutzutage verlangen. Es gibt zwar verschiedene Face-to-Face- Identifizierungsverfahren in bestimmten Verkaufsstellen, die aber mitunter wieder einen Mehraufwand für den Nutzer bedeuten, sodass die Vorteile eines digitalen Abschlusses hinfällig werden.
Praktischer ist ein Identifikationsverfahren über ein bestehendes Bankkonto, bei dem sich Nutzer anhand ihrer Bankdaten identifizieren und die Identität nutzen, die bei ihrer Bank hinterlegt ist. Banken sind durch die Know-Your-Customer-Erfordernis des Geldwäschegesetzes verpflichtet, die Identität ihrer Kunden erfassen zu müssen. Somit bietet es sich an, das Bankkonto als Mittel der Identifizierung zu integrieren, da dieses im Rahmen des Vertragsabschlusses ohnehin angegeben werden muss.
Für Unternehmen empfiehlt es sich, auf einen Anbieter zu setzen, der verschiedene Identifikationsverfahren aus einer Hand anbietet und eine einfache Integration in bestehende Prozesse ermöglicht. Eine Partner-API reicht hier aus, um die qualifizierte elektronische Signatur in den Geschäftsabschluss einzubinden und somit das Potenzial digitaler Geschäftsmodelle zu entfalten.
Über den Autor: Marco Schmid ist Head of International Expansion Strategy bei Swisscom Trust Services.
(ID:46840290)