Mit der eIDAS-Verordnung hat die EU 2014 einen einheitlichen Rahmen für die elektronische Identifizierung geschaffen. Eine Novelle der Verordnung zielt nun darauf ab, die Nutzung der Identifizierungsverfahren, worunter auch digitale Signaturen fallen, in der EU noch sicherer und benutzerfreundlicher zu gestalten. Aber wie sicher sind die digitalen Signaturen made in Europe?
Die eIDAS-Verordnung der EU hat eindeutige Standards für digitale Signaturen definiert. Je nach Sicherheitsniveau bzw. Ausmaß der rechtlichen Konsequenzen einer Unterschrift stehen unterschiedliche Unterschriftsarten zur Verfügung.
(Bild: cirquedesprit - stock.adobe.com)
Im Idealfall sollte eine E-Signatur, egal unter welchem Dokument sie getätigt wird, die eIDAS-Verordnung einhalten, auf der Verwendung eines elektronischen Zertifikats beruhen, die Identität des Unterzeichners überprüfen und nachweisen können, dass das Dokument seit der Unterzeichnung nicht verändert wurde.
Aber es gibt Fälle, in denen keine Identitätsprüfung stattfinden kann, beispielsweise beim schnellen Unterzeichnen einer Datenschutzerklärung. Die eIDAS-Verordnung erkennt daher die unterschiedlichen Nutzungssituationen für digitale Signaturen an und definiert drei Stufen der Signatur: die einfache elektronische Unterschrift, die fortgeschrittene elektronische Unterschrift und die qualifizierte elektronische Unterschrift. Die drei Formen unterscheiden sich hinsichtlich ihres Sicherheitsniveaus.
Die Einfache Elektronische Unterschrift
Für Einfache Elektronische Unterschriften gibt es keinen festgeschriebenen Anforderungskatalog. Dokumente können ohne, dass die Identität des Unterzeichnenden verifiziert wurde, unterzeichnet werden – das klassische JPEG-Einfügen der eigenen eingescannten Unterschrift in Word. Um Unternehmen vor Betrug zu schützen, haben einige digitale Signaturen-Anbieter daher auch für diese Form der Unterschrift einen Authentifizierungsschritt integriert – was aus der einfachen streng genommen eine fortgeschrittene Signatur macht. Sie bieten beispielsweise die Nutzung eines Einmalpasswortes an, das dem Unterzeichnenden per SMS zugesendet wird. Dokumente für die einfache elektronische Unterschrift sind Unterlagen, die routinemäßig oder mit einem begrenzten rechtlichen oder finanziellen Risiko verbunden sind. Zum Beispiel: Auftragsbestätigungen, Kostenvoranschläge oder Datenschutzerklärungen.
Fortgeschrittene Elektronische Signatur
Die nächsthöhere Sicherheitsstufe ist mit der Fortgeschrittenen Elektronischen Unterschrift verbunden. Sie wird für Dokumente empfohlen, bei denen erhebliche rechtliche Risiken bestehen können.
zweifelsfrei auf den Unterzeichnenden zurückzuführen sein,
mit Mitteln erstellt werden, die unter der alleinigen Kontrolle des Unterzeichnenden stehen, wie beispielsweise Telefon, Tablet oder PC
und garantieren, dass das Dokument – also der Rechtsakt – im Nachhinein nicht verändert werden kann.
In der EU können SIM-Karten nur noch gekauft werden, wenn zuvor eine Ausweis- bzw. Identitätskontrolle stattgefunden hat. Die Authentifizierung über ein SMS-Einmalpassworts kann also bereits die Anforderung an eine Fortgeschrittene Elektronische Signatur erfüllen. Aufgrund der erheblichen rechtlichen Risiken, die mit Dokumenten wie Gesellschaftsverträgen (GbR, OHG, KG), Beschlüssen von Geschäftsführern einer GmbH oder Patent-, Marken und Urheberrechtsverträgen einhergehen, empfiehlt sich dennoch die Kombination aus Ausweisüberprüfung und SMS-Einmalpasswort.
Qualifizierte Elektronische Signatur
Die Qualifizierte Elektronische Signatur (kurz: QES) ist die sicherste Form der elektronischen Unterschrift. Aus rechtlicher Sicht ist der Unterschied zwischen der Qualifizierten Elektronischen Signatur und der Fortgeschrittenen größer als zwischen Fortgeschrittener und Einfacher – auch wenn das auf den ersten Blick nicht plausibel erscheinen mag, da für die Einfache Elektronische Signatur ja gar keine Verifizierungsprozesse festgeschrieben sind. Das Alleinstellungsmerkmal der QES liegt in der Beweislastumkehr. Kommt es beispielsweise zu einer rechtlichen Auseinandersetzung muss die Person, die eine Qualifizierte Unterschrift geleistet hat, beweisen, dass sie es nicht war, die unterschrieben hat. Daher finden sich in der eIDAS-Verordnung sehr präzise Vorgaben an die Identitätsüberprüfung und die Verwahrung eines Signaturschlüssels. Ein elektronisches Signaturverfahren gilt als Qualifiziert, wenn es eine von einer Zertifizierungsbehörde ausgestellte QES verwendet. Diese Zertifizierungsstellen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland und von gleichwertigen Stellen im europäischen Ausland kontrolliert.
Für die Identitätsüberprüfung im Rahmen einer QES gibt es verschiedene Möglichkeiten, wie beispielsweise Video- und Auto-Identifizierungsverfahren.
AutoIdent
AutoIdent ist eine fortschrittliche Technologie zur automatisierten Identitätsverifizierung, die Algorithmen und künstliche Intelligenz einsetzt, um die Authentizität von Identitätsdokumenten zu prüfen. Dieses Verfahren unterstützt nicht nur die Einhaltung gesetzlicher Vorgaben wie des Geldwäschegesetzes, sondern auch die Datenschutz-Grundverordnung, indem es eine sichere und effiziente Überprüfung der Identität gewährleistet.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
So läuft eine AutoIdent-Verfahren ab: Der Nutzer startet das Identifizierungsverfahren über eine mobile App oder eine Webanwendung. Dies geschieht oft im Rahmen eines Registrierungsprozesses. Dieser wird dann aufgefordert, ein gültiges Ausweisdokument auszuwählen, wie beispielsweise einen Personalausweis, einen Reisepass oder Führerschein. Anschließend wird er angewiesen, dieses Dokument mit der Kamera seines Smartphones oder Computers zu fotografieren oder zu scannen. Das System analysiert das hochgeladene Bild des Dokuments mithilfe von Bildverarbeitungsalgorithmen. Es überprüft Merkmale wie Hologramme, Wasserzeichen und andere Sicherheitsmerkmale, um die Echtheit des Dokuments zu bestätigen. Die Technologie extrahiert automatisch relevante Daten aus dem Dokument, wie Name, Geburtsdatum, Ausweisnummer und Ablaufdatum. Diese Daten werden gegen die maschinenlesbare Zone (MRZ) des Dokuments validiert, um Konsistenz und Authentizität zu gewährleisten. Außerdem wird der Nutzer aufgefordert, ein Selfie aufzunehmen. Die KI vergleicht das Selfie mit dem Foto auf dem Identitätsdokument durch Gesichtserkennungssoftware. Diese biometrische Verifizierung stellt sicher, dass der Nutzer der rechtmäßige Besitzer des Dokuments ist.
Zur Vermeidung von Betrug führt das System meist auch einen Lebendigkeitstest durch, bei dem der Nutzer aufgefordert wird, bestimmte Bewegungen zu machen oder Mimik zu zeigen. Dies stellt sicher, dass es sich um eine echte Person und nicht um ein Foto oder Video handelt.
VideoIdent
Bei VideoIdent-Verfahren werden die Algorithmen durch die Urteilskraft eines echten Menschen ersetzt. Mit einem Videoanruf verifiziert ein Mitarbeiter die Echtheit des Ausweisdokuments. Obwohl die Intuition eines Menschen vermutlich gegen jeden Algorithmus gewinnen kann, hat dieses Verfahren ein paar Nachteile: Dazu gehören die Notwendigkeit einer stabilen Internetverbindung, Datenschutzbedenken, mögliche Identitätsdiebstahlrisiken und die Tatsache, dass VideoIdent nicht für jede Person geeignet ist. Unternehmen müssen zum Beispiel sicherstellen, dass die bei der Identitätsprüfung erhobenen persönlichen Daten gemäß den geltenden Datenschutzgesetzen, wie der Datenschutz-Grundverordnung (DSGVO), verarbeitet und geschützt werden. Dies umfasst Maßnahmen wie die Verschlüsselung der Datenübertragung, die Speicherung von Daten auf sicheren Servern und die Begrenzung des Zugriffs auf autorisierte Personen.
Video-zertifizierte Identifikation
Yousign hat sich für ein hybrides Modell entschieden, eine sogenannte Video-zertifizierte Lösung. Obwohl die Nutzer mit einem automatisierten, KI-gestützten Prozess interagieren, wird die Verifizierungsentscheidung von mindestens einem unabhängigen menschlichen Betrugsexperten innerhalb weniger Minuten getroffen. Yousign erfüllt zudem die Anforderungen der Bundesnetzagentur und bietet eine qualifizierte remote Signatur mit einem von der französischen Aufsichtsbehörde ANSSI zertifizierten Identifizierungssystem, das neben der automatischen Kontrolle auch die menschliche Kontrolle einschließt.
Um zur eingangs gestellten Frage „Wie sicher sind digitale Unterschriften made in Europe?” zurückzukehren: Die eIDAS-Verordnung der EU hat eindeutige Standards für digitale Signaturen definiert. Je nach Sicherheitsniveau bzw. Ausmaß der rechtlichen Konsequenzen einer Unterschrift stehen unterschiedliche Unterschriftsarten zur Verfügung – wobei die qualifizierte elektronische Signatur den Königsweg darstellt.
Über den Autor: Alban Sayag ist CEO von Yousign, einem französischen Anbieter für elektronische Signaturen und Vertragsautomatisierung. Seit 2020 treibt Alban das Wachstum und den Erfolg des Unternehmens maßgeblich an, indem er die digitale Transformation und die Automatisierungsprozesse von Dokumenten auch für den Mittelstand nahbar macht.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/79/84/7984dcecfb585d1c23ec50a86f339809/0128484939v1.jpeg "Generative KI kann heute nicht nur Texte, sondern auch Logos, Siegel und Unterschriften täuschend echt nachbilden und gefährdet so die Integrität sensibler Dokumente. (Bild: © Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/9e/719efb4d53e053af044548f9aa843de7/0125603899v2.jpeg "Mit der Erneuerung der eIDAS-Verordnung kommen neue Arten von Vertrauensdiensten hinzu, die aller Voraussicht nach zu einem höheren Reifegrad des Marktes führen werden. (Bild: © denizbayram - stock.adobe.com)")