:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
eIDAS Irrtümer über elektronische Signaturen
Elektronische Signaturen verschaffen seit der eIDAS-Verordnung Mitte 2016 elektronischen Transaktionen eine ähnliche rechtliche Stellung wie Transaktionen auf Papier. Dennoch herrschen noch zahlreiche Irrtümer vor, vor allem zur Daten- und Rechtssicherheit.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Ob nun die Annahme, die elektronische Signatur sei nur ein optischer Platzhalter für die handschriftliche Unterschrift, oder dass die eSignatur nicht rechtsgültig wäre: einige Mythen über die elektronische Unterschrift halten sich hartnäckig. Zunächst sollte man sich über die verschiedenen Signaturmöglichkeiten Klarheit verschaffen. Die EU-Verordnung eIDAS unterscheidet nach der einfachen, fortgeschrittenen und qualifizierten elektronischen Signatur.
Die einfache Signatur, beispielsweise eine gescannte Unterschrift in einer eMail-Signatur, eignet sich für Transaktionen, die mit geringen rechtlichen Risiken verbunden sind. Sie ist als Beweismittel in Rechtsstreitigkeiten zugelassen, ebenso wie die fortgeschrittene Signatur (Advanced Electronic Signature; AES). Hier werden die elektronisch übermittelten Daten zudem durch die Transportverschlüsselung, also die Authentifizierung des Unterzeichners mittels Username und Passwort, geschützt. Dies stellt eine eindeutige Verbindung zum Unterzeichner her, was die Prüfung der Gültigkeit im Streitfall erleichtern soll. Nachträgliche Änderungen am Dokument werden erkannt.
Die höchste Sicherheit bietet die qualifizierte elektronische Signatur (QES). Sie beinhaltet die Normen der AES und bedarf zusätzlich einer einmaligen individuellen Identifizierung des Signaturinhabers durch einen qualifizierten Vertrauensdienstanbieter – zum Beispiel mittels eines VideoIdent-Verfahrens oder der Online-Ausweisfunktion des Personalausweises. Bei jeder Anwendung der QES ist zudem eine so genannte Zwei-Faktor-Authentifizierung (mit Username oder eMail-Adresse und Passwort sowie SMS-TAN) notwendig.
Über die Irrtümer die elektronische Signatur betreffend, klärt Ina Gellner, Partnermanagerin und Expertin für alle Fragen der Rechts- und Datensicherheit elektronischer Signaturen bei FP Sign, in unserer Bildergalerie auf.
:quality(80)/images.vogel.de/vogelonline/bdb/1678100/1678190/original.jpg "Es herrscht oft der Irrglaube, die elektronische Signatur sei ein optischer Platzhalter für die eigene handschriftliche Unterschrift auf digitalen Dokumenten. Doch die elektronische Signatur ist keine Bilddatei, sondern ein kryptografisches Verfahren: Die Information zur Person und der so genannte Hash-Wert des Dokumentes (einmalige mathematische Quersumme) werden mithilfe eines digitalen Zertifikates berechnet und verschlüsselt. So wird die Signatur untrennbar mit dem elektronischen Dokument verbunden und die Integrität des Dokumentes gesichert. Dieses Verfahren begleitet das Unterschreiben mittels der so genannten fortgeschrittenen (AES) und der qualifizierten elektronischen Signatur (QES).
Beim elektronischen Signieren etwa mit einer gescannten Unterschrift ohne dieses Verschlüsselungsverfahren ist dagegen die Rede von einer einfachen Signatur. Diese weist eine deutlich niedrigere Beweiskraft und Sicherheit des Signierprozesses auf und ist in diesem Sinne nicht der fortgeschrittenen und der qualifizierten elektronischen Signatur gleichgestellt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1678100/1678191/original.jpg "Seit der Einführung der eIDAS-Verordnung 2016 sind Hardware-Applikationen, wie ein Kartenlesegerät, nicht unbedingt notwendig. Hierzu kommt die so genannte Fernsignatur ins Spiel, als ein deutlich einfacheres Verfahren für die Erstellung einer Signatur: Die dafür benötigten privaten Signaturschlüssel werden auf den Servern eines Vertrauensdienstanbieters generiert – also aus der Ferne. Das ermöglicht die sichere, mobile Signatur etwa vom Smartphone oder Tablet und macht Kartenlesegeräte, zusätzliche Software sowie Signatur- oder Chipkarten überflüssig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1678100/1678192/original.jpg "Dass jeder im eigenen Namen unterschreiben kann, ist ein Irrtum. Je höher die gewünschte Signaturstufe, desto höher die Anforderung an die Identifizierung des Unterzeichners. Würde man über eine webbasierte Signaturlösung, also ohne Einsatz einer Signaturkarte, elektronisch qualifiziert unterschreiben, so bedarf es beispielsweise für die QES einer einmaligen individuellen Identifizierung des Signaturinhabers durch einen qualifizierten Vertrauensdienstanbieter – zum Beispiel mittels eines VideoIdent-Verfahrens oder der Online-Ausweisfunktion des Personalausweises. Bei jeder Anwendung der QES ist zudem eine so genannte Zwei-Faktor-Authentifizierung (mit Username oder E-Mail-Adresse und Passwort sowie SMS-TAN) notwendig.
Beim qualifizierten Signieren mittels einer Signaturkarte muss sich der Signaturinhaber ebenfalls einmalig identifizieren lassen und bei jeder Anwendung mit einer 6-stelligen PIN authentifizieren. So machen es die verschiedenen Authentifizierungsverfahren nahezu unmöglich, dass jemand mittels einer elektronischen Signatur unbefugt im Namen einer anderen Person unterschreibt. Zudem wird eine nachträgliche Veränderung des Dokumentes sichtbar.")
:quality(80)/images.vogel.de/vogelonline/bdb/1678100/1678193/original.jpg "Die digitale Signatur ist grundsätzlich rechtsgültig und vor Gericht anerkannt. Im Lichte der eIDAS-Verordnung ist mit Dokumenten bzw. Dateien, die mit der fortgeschrittenen oder der qualifizierten elektronischen Signatur digital unterschrieben wurden, ein höherer Beweiswert verbunden, als mit der einfachen Signatur. Gemäß § 371a ZPO finden auf privaten elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung.
Voraussetzung ist, dass der digitale Prüfbericht, der den elektronischen Signierverlauf zeigt, vorgelegt wird. Beim digitalen Unterzeichnen wichtiger Geschäftsdokumente und Verträge sollte deshalb mindestens auf die fortgeschrittene elektronische Signatur gesetzt werden und bei Dokumenten, die die Schriftform erfordern, unbedingt auf die QES.
Öffentliche elektronische Dokumente von Behörden (§ 371a Abs. 3 ZPO) haben gemäß § 416 a ZPO in ausgedruckter Form die Beweiskraft öffentlicher Urkunden, wenn der Ausdruck mit Beglaubigungsvermerk versehen ist. Da es für private und geschäftliche elektronische Dokumente an einer entsprechenden Regelung in der Zivilprozessordnung fehlt, kommt dem Ausdruck eines elektronisch signierten Dokuments jedoch selbst in „beglaubigter“ Form keine entsprechende Beweiskraft zu. Solche Dokumente sind also nur in elektronischer Form rechtsgültig.")
(ID:46367405)
:quality(80)/images.vogel.de/vogelonline/bdb/1912300/1912381/original.jpg "Seit Dezember 2021 gilt das TTDSG, aber auch dann sollten Unternehmen in Deutschland die kommende ePrivacy-Verordnung nicht aus den Augen verlieren. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933100/1933125/original.jpg "Die Verordnung zum EU Data Act ist ein zentraler Baustein der 2020 vorgestellten europäischen Datenstrategie. (mixmagic - stock.adobe.com)")