Durch die digitale Signatur lässt sich eine elektronische Signatur erzeugen. In der Verordnung (EU) Nr. 910/2014 Art. 3 Abs. 10-12 werden dazu klare Begriffsbestimmungen gesetzt.

Aufgebaut ist die digitale Signatur auf einem asymmetrischen Kryptosystem. Wichtig dabei sind verschlüsselte Hashwerte (Prüfsummen), wodurch die Integrität der Daten ermittelt und eine eventuelle Veränderung der Daten aufgedeckt werden können.

Vom Verfahren wird der Hashwert für das Dokument ermittelt und mit dem geheimen Schlüssel des Benutzers verschlüsselt. Dieses neu verschlüsselte Dokument wird mit dem Originaldokument übertragen. Der Empfänger berechnet ebenfalls den Hashwert aus dem Originaldokument, entschlüsselt mit dem öffentlichen Schlüssel das verschlüsselte Dokument und vergleicht beide.

• die digitale Signatur darf nicht fälschbar sein

• die Echtheit der digitalen Signatur muss überprüfbar sein

• die digitale Signatur darf nicht von einem Dokument auf ein anderes übertragbar sein

• das signierte Dokument darf nicht veränderbar sein.

Die personenbezogene Zuordnung des öffentlichen Schlüssels übernimmt ein Zertifizierungsdiensteanbieter, der ein Zertifikat ausstellt. Der Name des Zertifikat-Inhabers sowie dessen Zeichnungsberechtigung können hinterlegt werden. Der geheime Schlüssel kann auf einer Chipkarte gespeichert und durch biometrische Daten, Passwörter u. ä. gesichert werden. Die Zertifizierungsdiensteanbieter haften für die Richtigkeit der Zertifikate.

Einfache elektronische Signatur

Fortgeschrittene elektronische Signatur

Qualifizierte elektronische Signatur

Wie wird die Sicherheit gewährleistet? Die digitale Signatur basiert auf einem asymmetrischen Kryptosystem, bei dem zwei zusammengehörige Schlüssel (ein geheimer und ein öffentlicher Schlüssel) verwendet werden. Durch die Erzeugung von Hashwerten, also eindeutigen Prüfsummen für das Dokument, und deren Verschlüsselung mit dem geheimen Schlüssel wird die Integrität der Daten gesichert.

Das Verfahren stellt sicher, dass jede Veränderung am Originaldokument nach der Signatur dazu führt, dass der beim Empfänger berechnete Hashwert nicht mehr mit dem entschlüsselten, ursprünglich signierten Hashwert übereinstimmt. Damit werden die vier Kernanforderungen der digitalen Signatur erfüllt: die Fälschungssicherheit, die Überprüfbarkeit der Echtheit, die Unübertragbarkeit auf andere Dokumente und die Unveränderbarkeit des signierten Dokuments.

Welche Rolle spielt das Zertifikat? Die personenbezogene Zuordnung des öffentlichen Schlüssels zur Identität des Unterzeichners wird durch einen Zertifizierungsdiensteanbieter (ZDA) gewährleistet. Dieser stellt ein Zertifikat aus, welches die Identität und gegebenenfalls die Zeichnungsberechtigung des Inhabers bestätigt. Der geheime Schlüssel, der zur Erzeugung der Signatur notwendig ist, wird sicher verwahrt, oft auf einer Chipkarte, geschützt durch Passwörter oder biometrische Daten. Die ZDAs haften für die Richtigkeit der ausgestellten Zertifikate.

In der europäischen Gesetzgebung, insbesondere der eIDAS-Verordnung (EU) Nr. 910/2014, werden drei Stufen von elektronischen Signaturen definiert, die unterschiedliche rechtliche Wirksamkeit haben:

1. Einfache elektronische Signatur

2. Fortgeschrittene elektronische Signatur

3. Qualifizierte elektronische Signatur (diese ist der handschriftlichen Unterschrift rechtlich gleichgestellt und im öffentlichen Vergabeverfahren bei bestimmten Dokumenten oft erforderlich)