Signaturkarten ermöglichen Manipulation Das Verhindern des Zurückdatierens elektronischer Verträge

Von Martin Hensel

Anbieter zum Thema

Elektronisch signierte Verträge sind im Geschäftsalltag keine Seltenheit mehr. Beim immer noch verbreiteten Einsatz von Signaturkarten lassen sich Signaturen aber leicht zurückdatieren, warnen die Swisscom Trust Services.

Signaturkarten sind immer noch im Einsatz - inklusive Manipulationsgefahr.
Signaturkarten sind immer noch im Einsatz - inklusive Manipulationsgefahr.
(Bild: Edar / Pixabay )

Mit Einführung der elektronischen Signatur zu Beginn des Jahrhunderts kamen zunächst Signatur- und Siegelkarten auf den Markt, erklärt Ingolf Rauh, Head of Product and Innovation Management der Swisscom Trust Services. Bis heute sind derartige Karten weitverbreitet. Sie nutzen einen sicheren Chip, der das Schlüsselmaterial zur Signatur und das Signaturzertifikat enthält. Per Kartenleser und Software lassen sich damit beispielsweise PDF-Dokumente lokal am Rechner signieren.

Rauh sieht allerdings ein Problem: Soll mit einer Signaturkarte ein dedizierter Zeitpunkt nachgewiesen werden, ist dies nicht ohne zusätzlichen Aufwand möglich. So müsste neben einer qualifizierten elektronischen Signatur auch ein qualifizierter elektronischer Zeitstempel zum Einsatz kommen, der schließlich zu einem Langzeit-validierbaren PDF-Dokument führt.

Die lokale Kartenlösung kann diese Anforderung nicht erfüllen, da keine unabhängige und damit manipulationssichere Quelle für Uhrzeit und Datum zur Verfügung steht. Als Bezugspunkt dient lediglich die Systemzeit des jeweiligen Rechners. Diese aber lässt sich mit wenigen Klicks manipulieren.

Mehr Sicherheit mit Fernsignaturen

Um einen derartigen Betrug zu verhindern, schlägt Rauh den Einsatz einer Fernsignatur vor. Sie biete eine unabhängige Quelle für die richtige Uhrzeit und nutze dazu beispielsweise Atomuhren. Auf diese Weise enthalte die elektronische Signatur auch den korrekten Zeitpunkt vermittelt.

Unternehmen sollten laut Rauhe daher auf einen Vertrauensdienst setzen, der sowohl die qualifizierte elektronische Signatur als auch den entsprechenden Zeitstempel anbieten. Damit lässt sich der Beweiserhalt digitaler Dokumente gewährleisten.

Der Experte der Swisscom Trust Services weist zudem darauf hin, dass diese Kombination auch im EU-Recht explizit vorgesehen ist. Konkret sieht der im Rahmen der Signaturverordnung eIDAS festgelegte PAdES-Standard (ETSI TS 103 172) das so genannte PAdES-LTA-Format vor. Es setzt Signatur und qualifizierten Zeitstempel zusammen und ergänzt ein Überprüfungsergebnis, das die Gültigkeit aller für die Signatur relevanten Zertifikate belegt. Dokumente sind dadurch auch nach Jahren noch prüffähig.

(ID:48423019)