Wer geschäftskritische Dokumente via Internet verschickt, sollte diese mit einer digitalen Signatur versehen oder verschlüsseln.
Der Begriff "digitale Signatur" fällt in die Kategorie der "elektronischen Signaturen".
Unter digitaler Signatur versteht man die Verschlüsselung elektronischer Daten, durch die sowohl der Unterzeichner identifiziert, als auch die Integrität der signierten Daten überprüft werden kann sowie nachträgliche Veränderungen an den Daten aufgedeckt werden können.
Fälschlicherweise werden die Begriffe "digitale Signatur" und "elektronische Signatur" oft synonym verwendet, obwohl die "elektronische Signatur" den rein rechtlichen Oberbegriff darstellt.
Die digitale Signatur hat innerhalb elektronischer Netze und Kommunikationswege einen ähnlichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten. Mit ihr soll vermieden werden, dass ein Dokument gefälscht oder verfälscht werden kann. Des Weiteren soll ausgeschlossen werden, dass eine zweite Nachricht erstellt werden kann, für die diese Signatur ebenfalls gültig ist.
Voraussetzung dafür ist es, dass die elektronische Signierung, wie eine handschriftliche Signierung, untrennbar mit dem jeweiligen Dokument verbunden ist, von jedem eingesehen, aber nur vom Unterzeichner selbst geändert werden kann.
Integrität und Authentizität sind garantiert
Die digitale Signatur und die Verschlüsselung sind zwei unterschiedliche und voneinander losgelöste Vorgänge. Sinnbildlich ist eine signierte E-Mail eine unterschriebene Postkarte, wohingegen die verschlüsselte E-Mail einem geschlossenen Brief gleicht.
Die digitale Signatur wird dem jeweiligen Dokument bloss angehängt, inhaltlich verschlüsselt wird dieses jedoch nicht, d. h. es bleibt weiterhin für jeden lesbar. Will man verhindern, dass unbefugte Dritte Kenntnis von einem geheimen oder vertraulichen Dokument erlangen, ist dieses zu verschlüsseln.
Verschlüsselung bedeutet, dass ein klar lesbarer Text mit Hilfe eines Verschlüsselungsverfahrens in eine unleserliche Zeichenfolge umgewandelt wird.
Die Verschlüsselung gewährleistet, dass die elektronische Nachricht nur vom gewünschten Empfänger geöffnet und gelesen werden kann.
Die Verschlüsselung garantiert ausserdem Sender und Empfänger Vertraulichkeit (Nachricht ist nur für denjenigen lesbar, für den sie bestimmt ist), Authentizität (Echtheit des Absenders bleibt gewahrt), Integrität (Nachricht kann auf dem Weg vom Absender zum Empfänger nicht verändert werden) und Rechtsgültigkeit.
Die digitale Signatur soll dem Empfänger einer Nachricht im Netz die Sicherheit bieten, dass die Nachricht von demjenigen stammt, der vorgibt, der Absender der Nachricht zu sein. Das bedeutet, dass die Authentizität, also die Echtheit der Nachricht, gewährleistet wird.
Ebenfalls soll durch die digitale Signatur bestätigt werden, dass die erhaltene Nachricht identisch mit der abgesendeten Nachricht ist und nachträglich keine inhaltlichen Änderungen durchgeführt wurden, d.h. die Datenintegrität, also die Unverfälschtheit der Nachricht, wird gewährleistet.
Darüber hinaus garantieren digitale Signaturen, dass Informationen und Nachrichten zu bestimmten Zeitpunkten genau definierte Inhalte hatten, was ihnen Beweisfunktion verschafft.
Sicherheit durch SSL-Verfahren
Wenn Daten oder Texte über das Internet gesendet werden, so ähnelt dies dem Verschicken von Postkarten bzw. Briefen. Mit etwas Anstrengung kann es jedem gelingen, unbefugt deren Inhalte zu lesen.
Dieses kann zu Missbrauch führen und stiftet bei den Beteiligten Misstrauen und Verwirrung. Sollte für einen Sender nicht die Möglichkeit bestehen, seine E-Mail zu verschlüsseln oder zu signieren, kann er - sofern es von seinem Provider angeboten wird - seine E-Mail für die Kommunikation zwischen Server und Client verschlüsseln.
Dabei wird eine gesicherte Verbindung über den eigentlich unsicheren Basisdienst Internet hergestellt.
Das am weitesten verbreitete Verfahren ist das SSL-Verfahren (Secure Socket Layer). Hier wird der komplette Datenstrom zwischen Server und Client in beiden Richtungen verschlüsselt. Nur wer den richtigen Schlüssel kennt, kann die Datenpakete entschlüsseln.
Die Basis der SSL-Verschlüsselung ist ein zusätzlicher Sicherheitsserver im Internet, der für die Verteilung der Schlüssel verantwortlich ist. Dieser Server stellt sicher, dass es für jede neue Verbindung nur genau einen Schlüssel gibt.
Idealerweise kann auch eine verschlüsselte und signierte E-Mail zusätzlich über eine sichere Verbindung zum gewünschten Empfänger geschickt werden.
Zwei Schlüssel für die Signatur
Die Erzeugung einer digitalen Signatur ist ein hochkomplizierter Vorgang, der jedoch im Regelfall für den Anwender nicht sichtbar wird. Die digitale Signatur ist ein mathematisches Verfahren, dass nach dem Prinzip der Kryptographie aufgebaut ist.
Zum Schutz von Daten wird eine verschlüsselte Prüfsumme - die digitale Signatur - berechnet, deren Urheberschaft und Zugehörigkeit zur Nachricht durch jeden geprüft werden kann. Das mit Abstand bekannteste und am häufigsten verwandte digitale Signaturverfahren ist RSA (benannt nach seinen Erfindern Rivest, Shamir und Adleman).
Digitale Signaturen verwenden ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel. Der private Schlüssel ist geheim und wird für das Entschlüsseln oder Signieren von Daten genutzt.
Der öffentliche Schlüssel hingegen, dient dem Verschlüsseln und Prüfen von Signaturen und ist nicht geheim. Berechnet wird die digitale Signatur aus den zu signierenden Daten und dem privaten Signaturschlüssel durch eine eindeutige Rechenvorschrift.
Die Prüfung einer digitalen Signatur erfolgt im Groben mit Hilfe des entsprechenden öffentlichen Schlüssels, der Signatur und der Nachricht.
Das Ergebnis der Prüfung zeigt, ob die Signatur mit dem zum vorliegenden öffentlichen Schlüssel gehörenden privaten Schlüssel für diese spezielle Nachricht berechnet wurde.
Dadurch lassen sich Fälschungen der Signatur, nachträgliche Veränderungen an der Nachricht und die Urheberschaft der Signatur überprüfen.
Einfache Prozedur für Nutzer
Das Erstellen und Prüfen der digitalen Signatur sieht von Anwenderseite wie folgt aus: Die signierende Person erzeugt ein elektronisches Dokument, um es anschliessend unterschrieben an einen Empfänger zu senden.
Der Sender ruft ein vorher installiertes Signaturprogramm auf, legt die passende Signaturkarte in ein Kartenlesegerät und gibt diese mit Hilfe einer PIN frei. Dann besteht die Auswahlmöglichkeit, die Datei nur zu signieren - dann bliebe sie weiterhin öffentlich lesbar - oder aber auch verschlüsselt zu versenden, um so das Dokument nur für einen expliziten Empfänger frei zu geben.
Zum Verschlüsseln kann zusätzlich der öffentliche Schlüssel des Empfängers verwendet werden. Diesen erhält der Sender entweder als Anhang einer E-Mail oder kann ihn von einem Trust-Center per Internet beziehen.
Dem ausgewählten Empfänger wird das digital signierte Dokument zugesendet. Um die Signatur zu prüfen, das Dokument zu lesen oder möglicherweise vorher zu entschlüsseln, benötigt der Empfänger den öffentlichen Schlüssel des Senders.
Der Empfänger startet nun das Signaturprogramm, legt seine Signaturkarte in das Kartenlesegerät ein und gibt seine PIN ein. Mit Hilfe des öffentlichen Schlüssels des Senders kann er die Signatur prüfen und mit seinem privaten Schlüssel, der sich auf der Signaturkarte befindet, das Dokument entschlüsseln und anschliessend lesen.
Wenn der Empfänger sichergehen möchte, dass die Signatur wirklich vom Empfänger stammt, kann er die Unterschrift durch das Trust-Center prüfen lassen.
Sicherheitsrisiko Software
Um eine Fälschung der Signatur zuverlässig ausschliessen zu können werden, muss eine geeignete Software zur Erstellung und Prüfung der Signatur verwendet werden.
Schwierig ist es hierbei zu beweisen, ob diese Voraussetzung tatsächlich erfüllt ist bzw. wurde, denn der Signatur allein kann nicht angesehen werden, ob sie tatsächlich mit sicheren technischen Komponenten erstellt wurde oder nicht.
Grosse Chancen
Die Thematik der digitalen Signatur und der Verschlüsselung hat sich im Zuge eines steigenden Sicherheitsbedürfnisses der Internetnutzer in den letzten Jahren rasch weiter entwickelt.
Nachdem die rechtlichen Rahmenbedingungen und Sicherheitsinfrastrukturen geschaffen wurden, ist die Bedeutung der digitalen Signatur in zahlreichen Anwendungs- und Geschäftsbereichen gestiegen.
Elektronische Netze und Kommunikationswege ermöglichen es, Informationen über weite Strecken in sehr kurzer Zeit auszutauschen.
Rechtlich relevante Dokumente im privaten und geschäftlichen Bereich, wie Angebote, Bestellungen, Rechnungen, Anträge und Bescheide unterliegen der Unterschreibungspflicht.
Digitale Signaturen und Verschlüsselungsmethoden ermöglichen es, auch diese Bereiche effizient und sicher über das Internet abwickeln zu können.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.