Patentierte Sicherheit von handgeschriebenen elektronischen Signaturen

Stuttgart, 23.11.2015.

Seit 2001 entwickelt die StepOver GmbH Hard- und Software für beweisfähige elektronische Signaturen. StepOver-Produkte werden von Kunden aus der Versicherungs- und Bankenbranche sowie von Industrie- und Handelsunternehmen eingesetzt.

Sicherheit zeichnet sich in erster Linie durch ein wirksames Konzept und eine saubere Implementierung aus. Das hardwarebasierte Verschlüsselungsverfahren der StepOver GmbH zur Erstellung von elektronischen Signaturen basierend auf den biometrischen Daten der Handschrift ist transparent und bietet Kunden der StepOver GmbH im Bedarfsfalle eine gerichtlich verwertbare Beweisführung. Dieses Verfahren wird bereits seit 2010 angewendet, das entsprechende Patent EP 2367128 B1 wurde am 14.10.2015 rechtskräftig für Europa in Deutschland, Frankreich und dem Vereinten Königreich erteilt. Ein entsprechendes US Patent ist ebenfalls unter US 8612769 B2 erteilt worden.

Eine handgeschriebene elektronische Signatur verwendet biometrische Daten (individuelle Schreibcharakteristika wie Druck-, Geschwindigkeit, etc.) als Identifikationsmerkmal des Unterzeichners. Um vor Gericht als Beweis verwendet werden zu können, müssen Systeme folgende Anforderungen zweifelsfrei erfüllen:
 

  • Das Identifikationsmerkmal muss zu jeder Zeit geschützt sein, so dass ein Ausspähen und eine missbräuchliche Verwendung nicht möglich sind.
  • Das Identifikationsmerkmal muss mit dem zu unterzeichnenden Dokument eindeutig und untrennbar verbunden werden, so dass es nicht nachträglich in ein anderes Dokument eingefügt werden kann.
  • Änderungen an einem signierten Dokument müssen zweifelsfrei erkennbar sein und zur Ungültigkeit der Signatur führen.

Um dies zu gewährleisten, bestehen Systeme für handgeschriebene elektronische Signaturen in der Regel aus zwei Komponenten:
 

  1. Der biometrischen Signatur, die mindestens das Identifikationsmerkmal enthält, d.h. den Unterzeichner eindeutig identifizieren kann, und…
  2. Aus der "digitalen Signatur", welche die Zugehörigkeit der (verschlüsselten) biometrischen Daten zum Dokument belegt und das Dokument vor unberechtigten Änderungen schützt. Die "digitale Signatur" bietet zudem die Möglichkeit der einfachen Prüfung auf Unversehrtheit des Dokuments (sog. Validierung).

 

Für den Schutz der biometrischen Unterschriftendaten (= Identifikationsmerkmal) wird in der Regel ein notarielles Schlüsselpaar zur Verschlüsselung verwendet, bei dem ausschließlich der Notar im Besitz des für die Entschlüsselung erforderlichen Privaten Schlüssels ist. Somit ist der Notar die einzige Person, die Zugriff auf die biometrischen Daten einer Signatur nehmen kann.
Für die zweite Komponente "digitale Signatur" wird in der Regel auf selbst erstellte Schlüssel zurückgegriffen.

ACHTUNG: Sofern die "digitale Signatur" maßgeblich für den Beweis der Zugehörigkeit der Unterschriftendaten zum betreffenden Dokument verwendet wird, ist ein System potenziell angreifbar. Denn der Nachweis, dass eine Signatur zu einem bestimmten Dokument gehört (und nur zu diesem), ist dann von den selbst erstellten und verwalteten Schlüsseln des Anbieters oder des Anwenders der Signatur Lösung abhängig. In manchen Fällen ist sogar ein Nachweis mit entsprechendem Signaturgerät (und dessen Seriennummer) erforderlich, welche das Vorliegen des entsprechenden Signaturgerätes zum Zeitpunkt der Beweisführung erforderlich macht (bei Verträgen mit langer Laufzeit - wie beispielsweise bei Versicherungen oftmals der Fall - dürfte dies nicht praktikabel sein, da die Hardware nach ca. 5 Jahren Nutzung ausgemustert und recycelt wird).

Da außerdem selbsterstellte, bzw. vom Hersteller erstellte Schlüssel nicht derselben Sicherheit unterliegen, wie das notariell verwahrte Schlüsselpaar, kann die Zugehörigkeit einer (verschlüsselten) Unterschrift zum signierten Dokument potenziell gelöst und zu einem anderen Dokument, welches man gar nicht unterschreiben wollte, mißbräuchlich hergestellt werden. Solche Verfahren sind potenziell unsicher und werden von StepOver nicht angewendet.

Beim patentierten Verschlüsselungsverfahren der StepOver GmbH ist bereits der sichere notarielle Schlüssel für beide essentiellen Nachweise verantwortlich:

  • Das Identifikationsmerkmal ist mit dem notariellen Schlüssel gesichert.
  • Die Zugehörigkeit der Signatur (=Identifikationsmerkmal) zum betreffenden Dokument wird ebenfalls bereits mit dem notariellen Schlüssel eindeutig hergestellt.

Selbsterstellte Schlüssel dienen bei StepOver lediglich der einfachen Validierung, sie sind aber für die Beweisführung nicht von Bedeutung.

 

Quelle: StepOver GmbH

zurück TOP