:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
eIDAS-Verordnung Wie sicher sind Handy-Signatur und E-Siegel?
Handy-Signatur und elektronisches Siegel oder auch E-Siegel stehen dank der eIDAS-Verordnung vor der Tür. Doch bereits jetzt hat die Handy-Signatur mit Phishing-Vorwürfen zu kämpfen. Und das E-Siegel? Bietet es ausreichende Sicherheit für digitale Dokumentenprozesse?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Seit 1. Juli 2016 gilt europaweit die neue „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ (eIDAS-VO). Sie schafft einen einheitlichen rechtlichen und technischen Rahmen für elektronische Signaturen, Siegel und Zeitstempel und ersetzt zum Teil das deutsche Signaturgesetz. Zudem lässt die Verordnung neue Verfahren zu, wie die Fernsignatur mittels Handy und das elektronische Siegel.
Fernsignatur – Die Unterschrift mit dem Mobilgerät
Die Fernsignatur, die eine digitale Unterschrift z.B. mittels Smartphone erlaubt, macht eine Signaturkarte obsolet. Denn der private Signaturschlüssel muss sich nicht länger im unmittelbaren Besitz und damit auf der Karte des Signierenden befinden. Stattdessen wird er zentral beim Vertrauensdiensteanbieter (VDA; Trustcenter) in einem Hardware Security Module (HSM) gespeichert.
In Österreich wurde die Handy-Signatur bereits vor längerer Zeit umgesetzt. Allerdings wurde diese bereits aufgrund einer möglichen Anfälligkeit für Phishing-Attacken kritisiert. Beim Phishing gibt ein unachtsamer Nutzer seine Login-Daten auf einer Fake-Webseite ein und lädt dort ein zu signierendes Dokument hoch. Hierfür wird eine individuelle Prüfnummer erzeugt („Vergleichswert“).
Ein Angreifer fängt die Daten ab und nutzt sie, um sich seinerseits auf einer offiziellen Service-Webseite anzumelden und z.B. einen Vertrag zu signieren. Der Nutzer erhält eine TAN-SMS mit dem Vergleichswert für die Transaktion. Bemerkt er nicht, dass der Vergleichswert von seinem Wert abweicht, gibt er die TAN auf der gefälschten Seite ein und das vom Angreifer hochgeladene Dokument wird signiert.
Obwohl dieses Angriffsszenario nicht neu ist, wird es trotzdem immer noch erfolgreich und gern verwendet, insbesondere in Verbindung mit Online-Banking-Angeboten. Dem Nutzer ist zu raten, stets die Internetadresse in der Browserzeile zu kontrollieren und Aufforderungen zur Eingabe persönlicher Daten oder zum Aufrufen unbekannter Links, die er per E-Mail erhält, nicht zu folgen.
Phishing-Versuche unterbinden
Da es sich bei Unterschriftsprozessen jedoch stets um sensible Vorgänge handelt, ist grundsätzlich die Signaturerstellung in einer sicheren Umgebung zu empfehlen. Statt einer webbasierten Lösung kann beispielsweise eine Signatursoftware mit eigenem User-Interface genutzt werden.
Hier entfällt die Möglichkeit des Online-Datenklaus. Die Signatursoftware kann dabei entweder als Stand-Alone-Komponente eingesetzt werden oder ist in das dokumentenführende System, z.B. das Dokumentenmanagementsystem (DMS), integriert. So lässt sich die Handy-Signatur einfach und sicher nutzen.
Die konkrete Ausgestaltung der Handy-Signatur wird derzeit noch auf europäischer Ebene disktuiert. Das Europäische Komitee für Normung (CEN: Comité Européen de Normalisation) sieht in seinem ersten Normentwurf eine Authentifizierung des Unterzeichners durch zwei Faktoren vor; z.B. durch Besitz, Wissen oder Biometrie.
Die Übertragung der beiden Faktoren muss über zwei Interfaces und Kanäle erfolgen, z.B. den Arbeitsplatzrechner und das Smartphone. Erst nach der Authentifizierung kann der Signaturschlüsselinhaber dann auf seinen privaten Schlüssel zugreifen. Eine Umsetzung nach diesem Entwurf sähe z.B. wie folgt aus:
- Der Anwender öffnet zum Beispiel die in sein Dokumenten-Management-System integrierte Signatursoftware an seinem Arbeitsplatz (Kanal 1) und meldet sich mit Benutzername und Passwort (Faktor 1) an.
- Er wählt ein Dokument und anschließend „Signieren“.
- Das Dokument wird an den Vertrauensdiensteanbieter (VDA) gesendet.
- Der VDA bittet den Anwender, sich zu authentisieren, z.B. mittels Fingerabdruck (Faktor 2) über eine App auf seinem Smartphone (Kanal 2).
- Bei erfolgreicher Authentifizierung wird das Dokument mit dem beim VDA hinterlegten Signaturschlüssel signiert und an die Signaturanwendung gesendet.
Elektronisches Siegel – Das Signaturwerkzeug für Organisationen
Bisher war der Signaturinhaber stets eine natürliche Person, was bestimmte Einsatzszenarien verhindert oder erschwert hat. Bei dem neuen elektronischen Siegel hat jedoch eine juristische Person das Siegel inne. Damit sind nun auch weitere Prozesse umsetzbar.
Privatwirtschaftliche und öffentliche Organisationen können das E-Siegel als Herkunftsnachweis und Integritätsschutz digitaler Dokumente nutzen; so zum Beispiel als amtliches Siegel einer Behörde oder als Äquivalent zum Firmenstempel eines Privatunternehmens.
Aus rechtlicher Sicht kommt dem qualifizierten Siegel ein sehr hoher Beweiswert zu. So besteht nach Art. 35 Abs. 2 der eIDAS-Verordnung „die Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunftsangabe der Daten“. Um diese „rechtliche Vermutung“ anzufechten, ist zunächst der Beweis des Gegenteils erforderlich. Demzufolge zählt das qualifizierte E-Siegel zu den stärksten Werkzeugen, um die Authentizität und Integrität digitaler Dokumente europaweit nachweisen zu können.
Vor diesem Hintergrund ist von der organisationsinternen IT-Abteilung mittels entsprechender Authentifizierungsverfahren und sicherer Arbeitsabläufe sicherzustellen, dass die „E-Siegelung“ nur durch berechtigte Personen und Prozesse ausgelöst werden kann. Vor Siegeleinsatz ist demnach ein Nuzzerkreis zu definieren, der mit entsprechenden Zugriffsrechten ausgestattet ist.
Im Allgemeinen sind zwei Umsetzungsszenarien für das E-Siegel zu unterscheiden – abhängig vom Einsatzszenario:
- Eine Person löst das E-Siegel z.B. über eine Einzelplatz-Software manuell aus. Diese Variante eignet sich vor allem für individuell erzeugte Dokumente, wie Zeugnisse, Bescheide, Beglaubigungen.
- Werden die Dokumente maschinell erzeugt, kommt eine automatisierte serverbasierte Siegelerzeugung zum Einsatz. Hierbei werden Massenbelege wie elektronische Rechnungen mit einem starken Integritätsschutz versehen und zügig verarbeitet.
Fazit
Beide Verfahren der eIDAS-VO bedienen fortan Signaturszenarien, die bislang auf der Strecke blieben. Die Fernsignatur mittels Smartphone ist komfortabel, allerdings unterliegen webbasierte Unterschriftsprozesse auch Phishing-Risiken. Hier ist an die Sorgfaltspflicht des Nutzers zu appellieren. Zudem kann das Risiko durch den Einsatz einer dedizierten Signatursoftware abgefedert werden.
Das E-Siegel kann zwar die handschriftliche Unterschrift nicht ersetzen, da es die Organisation als Ganzes repräsentiert. Dennoch ist es rechtlich mit einer äußerst hohen Beweiskraft ausgestattet. Beide Verfahren können bei verantwortungsvoller Verwendung mit professionellen technischen Lösungen mit hoher Sicherheit betrieben werden.
* Tatami Michalek ist Geschäftsführer der secrypt GmbH.
(ID:44213183)
:quality(80)/images.vogel.de/vogelonline/bdb/1912300/1912381/original.jpg "Seit Dezember 2021 gilt das TTDSG, aber auch dann sollten Unternehmen in Deutschland die kommende ePrivacy-Verordnung nicht aus den Augen verlieren. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933100/1933125/original.jpg "Die Verordnung zum EU Data Act ist ein zentraler Baustein der 2020 vorgestellten europäischen Datenstrategie. (mixmagic - stock.adobe.com)")