Elektronische Signatur by BPX

2008

Lukas Fässler Oliver Sidler

Wer braucht die Elektronische Signatur? Was ermöglicht die Elektronische Signatur? Welche rechtlichen Aspekte muss man kennen? Welche Gefahren birgt diese Art der Signatur? Wie kann man E-Mails und PDF verschlüsseln? Wie geht man Schritt für Schritt vor?

Das Booklet «Elektronische Signatur» bietet das Wichtigste zum Thema: kurz und prägnant. Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informationsquelle und ein übersichtliches Nachschlagewerk.

Rheinfelden /Schweiz BPX-Edition 2008 www.bpx.ch 30 CHF / 20 € Editionspartner:

ISBN 978-3-905413-03-8

www.bpx.ch

Elektronische Signatur Elektronische Signatur. Praxisleitfaden für die Installation & Anwendung

Das Unterschreiben und Verschlüsseln von digitalen Dokumenten ist seit Langem ein Thema. Ermöglicht wird es durch die «Elektronische Signatur». Sie ist ein Sicherheitsstandard und bürgt für die Authentizität des Absenders und die Integrität des Inhalts. Damit erhält die «Elektronische Signatur» die gleiche rechtliche Relevanz wie die Unterschrift auf einem Papierdokument.

ageern! n a M Waisssen müss w

Unterschreiben & Verschlüsseln

Praxisleitfaden für die Installation & Anwendung

Sicher signieren Inhalte verschlüsseln Einsatz in der Praxis Rechtliche Basis Schweiz Rechtliche Basis EU Editionspartner:

Technische Grundlagen Organisation Praxisbeispiele Checklisten

www.bpx.ch

Lukas F채ssler Oliver Sidler

Elektronische Signatur:

Unterschreiben & Verschl체sseln

Praxisleitfaden f체r die Installation & Anwendung

BPX-Edition Rheinfelden/Schweiz 1

BPX E-Mail Internet

Best Practice Xperts edition@bpx.ch www.bpx.ch

Lukas Fässler / Oliver Sidler

Elektronische Signatur: Unterschreiben & Verschlüsseln Praxisleitfaden für die Installation & Anwendung Vorwort von Fulvio Caccia, Präsident asut Rheinfelden/Schweiz BPX-Edition, April 2008 ISBN

978-3-905413-03-8

© 2008 BPX-Edition Rheinfelden Hinweis: In diesem Booklet wird bei Bezeichnungen die männliche Form verwendet. Dies dient lediglich der Lesefreundlichkeit und schliesst die weibliche Form mit ein. Aufgrund der technischen Entwicklung können die Anleitungen in diesem Booklet Abweichungen erfahren. Die aktuellen Versionen der Anleitungen sind zu finden unter: www.e-comtrust.ch/signatur Alle Rechte, insbesondere die Übersetzung in fremde Sprachen, sind vorbehalten. Kein Teil des Buches darf ohne schriftliche Genehmigung des Verlages fotokopiert oder in irgendeiner anderen Form reproduziert oder in eine von Maschinen verwendbare Form übertragen oder übersetzt werden. Herstellung: BPX-Edition, Rheinfelden/Schweiz Druck und Verarbeitung: Druckerei Flawil AG 2

Vorwort von Fulvio Caccia, Präsident asut

Elektronische Signatur

2 2.1 2.2 2.3

Weg zur elektronischen Signatur Antrag für elektronische Signatur Erneuerung elektronisches Zertifikat Ungültigkeitserklärung

7 7 14 16

3 3.1

Elektronische Signatur installieren Verschlüsselung installieren

20 24

4 4.1 4.2 4.3 4.4 4.5

Unterschreiben und Verschlüsseln PDF-Dokumente signieren Signierte PDF-Dokumente lesen Verwendung der Mail-Verschlüsselung Prüfung elektronischer Signaturen Alternative Datenverschlüsselung

30 30 34 37 43 45

5 5.1 5.2 5.3 5.4

Rechtsverkehr mit Behörden Bundesverwaltung Bundesgericht Kantonale Gerichte Weitere Anwendungen

50 50 52 53 53

6 6.1 6.2 6.3

Rechtliche Grundlagen Schweiz Gesetzesbestimmungen Beweiswert digitaler Dokumente Haftung und Verantwortung

54 54 55 57

7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8

Rechtliche Grundlagen in der EU Signatur-Richtlinie 1999/93/EG Deutschland Italien Grossbritannien Österreich E-Commerce-Richtlinie 2000/31/EG Beweiswert Internationale Gültigkeit von Zertifikaten

63 63 64 66 67 67 72 72 73

8 8.1 8.2 8.3 8.4 8.5 8.6

Aufbauorganisation Akkreditierungsstelle AB Anerkennungsstelle CB Bundesamt für Kommunikation Bakom Zertifizierungsdienstanbieter CSP Registrierungsstelle RA Kunde / Antragsteller

75 76 76 76 77 77 78

Technische Grundlagen

Glossar und Online-Hinweise

Profile der Editionspartner

Autorenteam & BPX

Vorwort

Vorwort Schweizerische Unternehmen stehen im dauernden Wettbewerb mit inländischen und ausländischen Konkurrenzunternehmen. Zufriedene Kunden, qualitativ einwandfreie Produkte und Dienstleistungen zu konkurrenzfähigen Preisen sind überlebenswichtig. Der Wettbewerb mit der Konkurrenz erfordert eine stete Überprüfung der eigenen Produktions-, Logistik- und Kundenprozesse. Effizienz und Effektivität sind strategische Erfolgsfaktoren geworden. Die qualifizierte elektronische Signatur, die nach Art. 14 Abs. 2bis des Schweizerischen Obligationenrechts (OR) seit dem 1. Januar 2005 der eigenhändigen Unterschrift gleichgestellt ist, kann künftig vorab im e-Commerce grosses Potenzial, insbesondere die rechtsverbindliche Automatisierung und Prozessoptimierung, in den Unternehmen freisetzen. Der Anbieter erhält dadurch Rechtssicherheit, weil er sich vollumfänglich auf die digital signierten Bestellungen seiner Kunden verlassen kann. Der ehemals anonyme Kunde wird zum eindeutig identifizierbaren Vertragspartner. Der Kunde kann neu alle seine Rechtsgeschäfte verbindlich auch digital abwickeln. Jetzt liegt im vorliegenden Booklet, das man auch gut im Regionalzug auf dem Weg zur Arbeit lesen kann, erstmals ein Praxisleitfaden vor, welcher in verständlicher Art und Weise den Einsatz, den Gebrauch und die Installation der erforderlichen Infrastruktur für die Nutzung digitaler Signaturen beschreibt. Die Anbieter von e-Commerce-Lösungen ermuntere ich, diese neue Technologie in ihre bestehenden Lösungen einzubauen und damit dieser neuen, vertragsbindenden Form zum Durchbruch zu verhelfen. Als Anbieter erhalten Sie dadurch Sicherheit in der Vertragsabwicklung und die Garantie, mit einer eindeutig identifizierbaren natürlichen Person in eine bindende Vertragsbeziehung zu treten. Zudem schaffen Sie sich einen wesentlichen Wettbewerbsvorteil. Die Konsumenten ermuntere ich, die qualifizierte elektronische Signatur als Ausweis ihres rechtsverbindlichen Handelns einzusetzen und so den Anbietern die Möglichkeit zu geben, die vorhandenen Prozesse zu vereinfachen und dadurch letztlich auch bezüglich Preis konkurrenzfähige Produkte und Dienstleistungen bereitzustellen.

Fulvio Caccia Präsident der Asut (Schweizerischer Verband der Telekommunikation) und Vizepräsident von ICTswitzerland 4

Elektronische Signatur

Die digitale Signatur ist ein Sicherheitsstandard für den Austausch elektronischer Dokumente und sichert die Authentizität des Absenders und die Integrität des Inhalts eines elektronischen Dokumentes. Die digitale Signatur hat die gleiche rechtliche Relevanz wie die Unterschrift auf einem Papierdokument. Die digitale Signatur wird durch die Kombination eines geheimen oder privaten Schlüssels (Private Key), der nur dem Schlüsselinhaber selbst bekannt ist, und eines öffentlichen Schlüssels (Public Key), der von Zertifizierungsstellen verwaltet wird, generiert und an ein elektronisches Dokument angehängt. Der Absender signiert und verschlüsselt sein elektronisches Dokument mit seinem privaten Schlüssel, der sich auf einer Chipkarte oder einem USB-Token befindet. Der Empfänger besitzt nur den öffentlichen Schlüssel und kann das Dokument öffnen und lesen. Er erhält dabei eine verlässliche Information über den Absender und die Authentizität des Inhalts des Dokumentes. Mit dem öffentlichen Schlüssel kann damit die Echtheit einer Unterschrift überprüft werden, und jede Veränderung an dem unterzeichneten Dokument wird sofort erkennbar. Die öffentlichen Schlüssel werden von autorisierten Stellen zertifiziert. Zertifizierungsstellen speichern die erforderlichen Daten für eine Identifizierung der Eigentümer privater Schlüssel. Über die Zertifizierungsstelle ist es daher möglich, den Eigentümer eines privaten Schlüssels zu ermitteln.

Das Signieren einer Nachricht und deren Verschlüsselung sind nicht dasselbe. Beim Signieren versehen Sie eine Nachricht mit einer Art persönlichem Siegel, das Sie als Absender ausweist und eine nachträgliche Verfälschung der Daten erkennbar macht. Aber: Durch die digitale Signatur wird Ihr Dokument nicht vor unbefugter Einsicht geschützt – eine handschriftliche Unterschrift auf einem Papierdokument schützt ja auch nicht vor Einsichtnahme Dritter. Dazu müssen Sie das Dokument zusätzlich verschlüsseln, was häufig in der Anwendungssoftware als zusätzliche Option vorgesehen ist. Beide Funktionen sind im elektronischen Datentransfer interessant. Sie können sowohl gleichzeitig als auch unabhängig voneinander genutzt werden.

Elektronische Signatur

Swisscom Digital Certificate Services Time-Stamping Authority Swisscom bietet als Dienstanbieter von qualifizierten elektronischen Signaturen gemäss schweizerischem Signaturgesetz ZertES [1] auch Zeitstempel-Services an. Mit diesem Zeitstempel-Service kann die Existenz von digitalen Informationen zu einem bestimmten Zeitpunkt zuverlässig und nachvollziehbar belegt werden. Informationen, die mit einem Zeitstempel eines anerkannten Dienstanbieters für qualifizierte Signaturen versehen wurden, sind vor Veränderungen geschützt, auch wenn diese auf veränderbaren Medien (Disk, Magnetbänder usw.) gespeichert sind. Der von Swisscom angebotene ZeitstempelService ist einerseits dazu geeignet, zuverlässig zu belegen, wann eine Signatur an einem Dokument angebracht wurde, und andererseits, damit bei archivierten Daten gesetzeskonform (GeBüV) nachgewiesen werden kann, dass diese nicht verändert wurden (Integritätsnachweis). Um eine Information mit einem Zeitstempel zu versehen, kann, wie bei der elektronischen Signatur, entweder ein Standardformat gewählt werden (z.B. XML, PDF) oder der Zeitstempel kann als separate Datei aufbewahrt werden. Ein Zeitstempel für ein Dokument wird anhand der Quersumme über das gesamte Dokument erzeugt. So entsteht ein sogenannter «Fingerprint» oder «Hashwert» der Daten. Dieser «Hashwert» wird anschliessend automatisch an den Zeitstempel-Service der Swisscom gesendet. Dieser Dienst generiert daraus ein Zeitstempelobjekt, welches den übermittelten «Hashwert» und die aktuelle Zeit enthält. Dieses Objekt wird elektronisch signiert und an den Anforderer retourniert und zusammen mit der Signatur oder als eigenständiges Element eingebunden. So können die Integrität und der Zeitpunkt, wann die Informationen vorgelegen haben, verbindlich nachgewiesen werden. Als Zeitquellen werden das GPS-System und das DCF77System verwendet. Die GPS-Funkuhr-Zeit wird von der Zeitquelle UTC (USNO, MC) gespiesen. USNO ist das U.S. Naval Observatory. USNO gleicht ihre Zeitserver mit der Referenzzeit des BIPM ab (Bureau International des Poids et Mesures, Frankreich). DCF77 ist in der Verantwortung der Physikalisch-Technischen Bundesanstalt (PTB) in Deutschland. Mit dem Langwellensender DCF77 werden Normalfrequenz und Zeitsignale sowie kodierte Zeitinformationen gemäss der gesetzlichen Zeit für Deutschland ausgesendet. Unterscheiden sich die beiden Uhren um mehr als 400 ms, so werden keine Zeitstempel mehr ausgegeben. [1] ZertES: Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (Bundesgesetz über die elektronische Signatur, ZertES) vom 19. Dezember 2003, auch Signaturgesetz genannt. Beitrag von Swisscom (Schweiz) AG, Firmenprofil Seite 85 6

Weg zur elektronischen Signatur

Die nachfolgende Darstellung zeigt schematisch und beispielhaft den Prozess, welcher bei der Anmeldung für eine elektronische Signatur bei der Registration Authority (RA; Registrierungsstelle) zu durchlaufen ist. Elektronische Signatur nein

Persönliche Vorsprache ? Kunde bezieht Antragsformular und Vertrag von RA Kunde füllt Antragsformular und Vertrag aus Kunde lässt Antragsformular bei Einwohnergemeinde beglaubigen

Kunde vereinbart Termin mit RA

Kunde füllt Antragsformular vor Ort aus und weist seine Identität mittels Reisepass oder nationaler Identitätskarte aus

Kunde schickt Antragsformular und Vertrag an RA

Dokumente prüfen Vollständigkeit und Korrektheit sicherstellen Einscannen amtliche Dokumente USB-Token oder Smartcard initialisieren RA startet Erfassungs-Applikation

Weiter in Abbildung 4

Abbildung 1:

2.1

RA = Registrierungsstelle; Registration Authority

RA prüft, ob richtig beglaubigt und alle Angaben (mindestens Seriennummer, Pass oder ID) vorhanden sind

Anmeldeprozess für Zertifikatsvergabe (1)

Antrag für elektronische Signatur

Der Kunde hat die Möglichkeit, entweder persönlich bei der RA vorbeizukommen und die Anmeldung selber vor Ort durchzuführen. Oder er kann die benötigten Unterlagen (Anmeldeformular und Vertrag) aus 7

Weg zur elektronischen Signatur

dem Internet über die Adresse der RA (z.B. www.e-comtrust.ch/signatur) herunterladen und selber ausfüllen. Damit die Identität sichergestellt ist, braucht es in diesem Falle eine Beglaubigung des Antragsformulares durch die Einwohnergemeinde. Je nach Gemeinde wird dafür eine Bearbeitungsgebühr erhoben. Persönliche Vorsprache Das Antragsformular für eine persönliche Vorsprache bei der RA ist vom Antragsteller auszufüllen. Er erhält gleichzeitig mit dem Formular die allgemeinen Nutzungsbestimmungen zur Kenntnis. Der Antragsteller vereinbart mit der RA (z.B. www.e-comtrust.ch/signatur) einen Registrierungstermin und kommt mit dem ausgefüllten Formular sowie dem eigenen Pass oder seiner ID auf den festgelegten Zeitpunkt zur Registrierung bei der RA persönlich vorbei.

Abbildung 2:

Antragsformular für persönliche Vorsprache bei der RA; herunterzuladen z.B. bei www.e-comtrust.ch/signatur

Beglaubigung bei Gemeinde (Einwohnermeldeamt) Anstelle einer persönlichen Vorsprache bei der RA kann der Antragsteller sein ausgefülltes Antragsformular auf einer Gemeindekanzlei beglaubigen lassen. Er muss dafür seinen Pass, seine ID oder einen gültigen Ausländerausweis mitnehmen. Die Gemeindebehörde bestätigt dann die Übereinstimmung zwischen Unterschrift und Antragsteller sowie die Gültigkeit der Identitätsdokumente des Antragstellers. Anschliessend kann der Antragsteller das beglaubigte Formular an die RA senden. Diese erstellt die Signatureinheit und sendet sie dann zusammen mit dem zugehörigen Passwort an den Antragsteller. 8

Weg zur elektronischen Signatur

Abbildung 3:

Antragsformular für Beglaubigung durch Gemeindebehörde; herunterzuladen bei www.e-comtrust.ch/signatur

2.1.1 Verifikation Die Prüfung der Identitätsdokumente ist von grösster Bedeutung, damit die Identität des Antragstellers anlässlich der Registrierung erfasst und die Korrektheit der Angaben im Zertifikat sichergestellt werden können. Die korrekte Durchführung dieses Prozessschrittes gehört zur Sorgfaltspflicht der RA.

Folgende Unterlagen sind zwingend vom Antragsteller vorzulegen: Vollständig ausgefüllter Antrag Ausweisdokument (Personalausweis, Identitätskarte oder Ausländerausweis) Unterzeichneter Vertrag für die Zertifikatsnutzung Handelsregisterauszug und Vollmacht bei der Vertretung von juristischen Personen Die Dokumente werden von der RA auf Echtheit überprüft. Nur bei sicherer Identifikation der Dokumente auf Echtheit darf ein Zertifikat ausgestellt werden. 2.1.2 Registrierungsverfahren Alle vorgelegten Ausweise und Dokumente werden eingescannt. Bei den Ausweisdokumenten werden alle relevanten Seiten eingescannt: bei der ID beide Seiten, beim Pass oder Ausländerausweis die Hauptseite; wenn dieser bereits verlängert worden ist, zusätzlich die aktuel-

Weg zur elektronischen Signatur

le Verlängerungsbescheinigung. Anschliessend erfolgt die Datenerfassung durch die RA. Weiter von Abbildung 1

Neue Person erfassen Optional: «Pass Phrase» erfassen Transaktionslimite erfassen Upload der amtlichen Dokumente nein

Persönliche Vorsprache? Prov. PIN-Code setzen

PIN-Code durch Karteninhaber setzen lassen

Prov. PIN-Code in Begleitbrief einbinden

Neuen USB-Token ausstellen Neuen USB-Token erstellen Prov. PIN mit separatem Brief versenden Neuen USB-Token mit Anleitungen in separatem Paket versenden

Kunde mündlich über seine Rechte & Pflichten orientieren: • Nutzungsbestimmungen • Vertrag Vertrag unterzeichnen

Alle Dokumente archivieren Erfassungsprogramm schliessen

Elektronische Signatur erstellt Abbildung 4:

Anmeldeprozess für Zertifikatsvergabe (2)

Der Kunde kann zusätzlich für den Einsatz des qualifizierten Zertifikates im geschäftlichen Umfeld eine Transaktionslimite festlegen. Es handelt sich dabei um einen Betrag in einer gängigen Währung (CHF, $, €). Dies kann vom Inhaber dazu genutzt werden, eine monetäre Begrenzung des Wertes der Transaktion, für die das Zertifikat verwendet wird, festzulegen. Der Empfänger des qualifizierten Zertifikates kann daraus ablesen, ob eine rechtsgültige Unterschrift für den ausgelösten Transaktionsprozess (z.B. Bestellung in einem E-Shop) und den 10

Weg zur elektronischen Signatur

dadurch ausgelösten Waren- oder Dienstleistungsbezug vorliegt. Eine Unternehmung kann damit auch die Zeichnungsberechtigung gemäss Handelsregistereintrag und/ oder internem Unterschriftenreglement angeben. Die eingescannten Dokumente werden anschliessend auf den Server des Zertifizierungsdienstanbieters (CSP) hochgeladen und zusammen mit weiteren erfassten Daten über den Zertifikatsinhaber gespeichert. Dafür ist die RA verantwortlich. Wenn die Datenerfassung sowie das Hochladen der eingescannten Dokumente erfolgreich abgelaufen sind, wird die Initialisierung der Smartcard oder des USBToken durchgeführt. Der jeweilige Datenträger wird mit einem persönlichen Passwort (PIN) versehen. 2.1.3 Zustellung des elektronischen Zertifikates Wenn der Kunde bei der RA vor Ort anwesend ist, wird er den PIN-Code selber eintragen und diesen vor den Augen der RA-Mitarbeiter verborgen eingeben. Es wird empfohlen, bei der Verwendung von mehreren Zertifikaten (z.B. für das Unterschreiben und Verschlüsseln) die gleichen PIN-Codes zu verwenden, damit der Ablauf im Alltag nicht kompliziert wird. Wenn der Kunde nicht bei der RA vor Ort anwesend ist, sondern die Unterlagen zur Erfassung an die RA gesandt hat, erfasst das Personal der RA die nötigen Angaben und auch den PIN-Code. Dieser wird dem Kunden mit separater Post zugestellt. Damit der PIN-Code vom Personal der RA nicht missbraucht werden kann, sieht die RA in ihrem Ablauf vor, dass das Passwort in zwei separaten Sequenzen durch zwei unterschiedliche Personen eingegeben wird. Das aus beiden Teilelementen zusammengesetzte Passwort entspricht dann dem PIN-Code. Je nach RA wird dem Kunden in einem oder zwei separaten Briefen der PIN-Code zugesandt.

Der Kunde ist damit die einzige Person, die den gesamten PIN-Code besitzt. Im Falle des Verlustes oder des Vergessens des PIN-Codes kann weder die RA noch der CSP diesen reproduzieren. Wenn der PIN-Code mehr als 4-mal falsch eingegeben wurde, wird die Karte oder der USB-Token gesperrt. In diesem Fall kann der Karteninhaber bei der RA die Bekanntgabe eines PUK (Personal Unlock Key) verlangen. Er kann dazu persönlich bei der RA vorsprechen oder telefonisch mit der RA das weitere Vorgehen besprechen. Auch

Weg zur elektronischen Signatur

hier sind zusätzliche Identifikationsschritte – wie oben beschrieben – zu durchlaufen. Wenn der Inhaber auch den PUK-Code mehr als 4-mal falsch eingibt, ist die Karte unwiderruflich gesperrt und kann nicht mehr deblockiert werden. Es muss eine neue Signatureinheit ausgestellt und die alte Signatur revoziert werden. 2.1.4 Ablage und Archivierung Die RA archiviert alle Originaldokumente des Kunden und bewahrt diese sicher auf. Sie werden ja allenfalls wieder benötigt, wenn der Inhaber des Zertifikates einen Antrag auf Ungültigerklärung stellt. Die RA muss ein Tätigkeitsjournal führen, in welchem die Ausstellung von Zertifikaten sowie die dazugehörigen Belege erfasst und während elf Jahren nach Ablauf der Zertifikate aufbewahrt werden.

Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES) Art. 9 Tätigkeitsjournal 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten bewahren die Eintragungen betreffend ihre Tätigkeiten sowie die dazugehörenden Belege elf Jahre lang auf. 2 Für die Tätigkeiten im Zusammenhang mit den Zertifikaten beginnt die Frist mit dem Ablauf der Zertifikate. 3 Für Zertifikate, die auf Grund eines Antrags mit elektronischer Signatur (Art. 5 Abs. 3) ausgestellt wurden, müssen die Eintragungen und die Belege zur Identifizierung ihrer Inhaberinnen oder Inhaber gemäss Artikel 5 Absatz 1 so lange aufbewahrt werden, bis die Elfjahresfrist für das letzte der so ausgestellten Zertifikate abgelaufen ist. __________ Quelle: www.admin.ch/ch/d/sr/9/943.032.de.pdf

2.1.5 Installation und Anwendung Der Kunde installiert nach Eingang der Unterlagen bzw. nach Abgabe des USB-Token oder der Smartcard seine Zertifikats-Infrastruktur auf seinem Personal Computer. Dafür stehen ihm Installationsanleitungen der RA zur Verfügung. Im Bedarfsfall kann er sich bei der RA für eine kurze mündliche Instruktion oder Unterstützung melden. Im vorliegenden Booklet ist eine entsprechende Anleitung ebenfalls enthalten. 12

Weg zur elektronischen Signatur

2.1.6 Abfrage der Zertifikatsgültigkeit Jeder Interessierte kann über die Homepage des CSP abfragen, ob irgendein eingesetztes Zertifikat eines Inhabers noch gültig ist. Dazu reicht es, wenn der Name oder die Seriennummer des Zertifikatsinhabers eingegeben wird. Es erscheint eine Ergebnismaske mit allen gefundenen Ergebnissen. Voraussetzung ist, dass der Zertifikatsinhaber der Veröffentlichung seines Zertifikates zugestimmt hat. Trifft dies nicht zu, kann das Zertifikat nicht online abgefragt werden. Ein gesperrtes Zertifikat wäre dann nur in der CRL ersichtlich.

Abbildung 5:

Quelle: www.swissdigicert.ch

Die Gültigkeit eines Zertifikates kann durch Auswahl einer Seriennummer individuell angezeigt werden.

Abbildung 6:

Quelle: www.swissdigicert.ch

Weg zur elektronischen Signatur

2.2

Erneuerung elektronisches Zertifikat

Ein elektronisches Zertifikat muss nach drei Jahren (Nutzungsdauer) erneuert werden. Zudem kann das Zertifikat unter Jahr dann erneuert werden, wenn die Smartcard oder der USB-Token nicht mehr in gutem Zustand ist. Zertifikate können aber auch schon bei ihrer Ausstellung auf mehrere Jahre, maximal 3 Jahre, ausgestellt werden. Die Erneuerung des elektronischen Zertifikates bedeutet, dass auf den Anmeldegrundlagen, wie sie bei RA oder CSP aktuell gespeichert sind, ein neues Zertifikat mit entsprechender Infrastruktur ausgestellt wird. Das Verfahren ist identisch mit einer Erstausgabe eines Zertifikates. Erneuerung eines Zertifikates n ein

Pers önliche Vorsprache? RA zeig t K arteninh ab er > 30 Tage vor Ab lauf Zertifikatserneuerungsprozess an (MusterE-Mail und Erneuerungsformular) In h ab er fü llt Selbstd eklaratio n (keine Ä n deru n g) au s o d er Inhaber füllt Erneuerungsantrag m it Ä n d erun g s daten au s

In h ab er fü llt Selbstd eklaratio n (keine Ä n deru n g) au s o d er Inhaber füllt Erneuerungsantrag m it Ä n d erun g sdaten au s Id entität d es An trag stellers p rü fen

Vo llstän dig keit u nd K orrektheit s ic h ers tellen Einscannen am tlich e Do k u m en te USB -To ken initialisieren RA startet Erfassu n gs -Ap p likatio n B esteh en de erfasste Perso n suchen & anp assen

Up lo ad der am tlich en Do k u m en te Au sg ab e eines neu en Zertifikates au f n eu e o d er b es teh en d e In frastru ktu r Alle Do k u m en te arch ivieren Erfassu n gsp ro gram m s c hlies s en Erneuerung ab geschlossen

Abbildung 7: 14

Prozess für Erneuerung eines Zertifikates

RA = Registrierungsstelle

Op tio n al: «Pass Ph rase» erfassen

Weg zur elektronischen Signatur

2.2.1 Datenanpassungen Die Angaben zum Zertifikatsinhaber müssen aktualisiert werden. Zu diesem Zweck erhält der Inhaber eine Mitteilung, dass das Zertifikat ablaufen wird. Er wird aufgefordert, auf einem zusätzlichen Formular zu bestätigen, dass sich die Angaben zu seiner Person oder Organisation nicht geändert oder geändert haben. Haben sich die Daten nicht geändert, reicht der Inhaber eine entsprechende Mitteilung (Selbstdeklaration) ein und unterzeichnet diese. Anschliessend nimmt die RA die Aktualisierung und Verlängerung des Zertifikates um eine weitere Periode (3 Jahre für Standardzertifikat) im System des CSP vor. Die unterzeichnete Selbstdeklaration wird von der RA eingescannt und im System des CSP abgelegt. Die schriftliche Selbstdeklaration des Zertifikatsinhabers wird von der RA archiviert. Haben sich die Daten geändert, muss der Inhaber ein entsprechendes Antragsformular mit den geänderten Daten ausfüllen, unterzeichnen und an die RA einsenden. Bei wesentlichen Änderungen (z.B. Namensänderung durch Heirat, Wohnsitzwechsel usw.) ist wiederum eine Beglaubigung durch die Einwohnergemeinde oder eine Vorsprache bei der RA notwendig. Bei unwesentlichen Änderungen (z.B. Wohnungswechsel innerhalb einer Gemeinde) reicht das unterzeichnete Antragsformular. 2.2.2 Update des Zertifikates Die RA prüft die Dokumente und die Identität des Antragstellers. Sie prüft die Korrektheit der erfassten Daten und aktualisiert diese gegebenenfalls. Wenn sich die Vertragsbedingungen geändert haben, muss der Inhaber den neuen Vertrag unterzeichnen. Die amtlichen Dokumente (Pass oder ID sowie Unterlagen) werden eingescannt. Die RA erfasst die neuen Daten im System des CSP und gibt das neue Zertifikat entweder auf die gleiche Infrastruktur (Smartcard oder USB-Token) des Inhabers aus oder stellt eine neue Infrastruktur mit den bisherigen Daten zur Verfügung. Der Inhaber kann die Smartcard oder den USB-Token mit dem aktualisierten Zertifikat direkt bei der RA erstellen lassen oder die RA erstellt diese aufgrund der Angaben des Inhabers und sendet diesem die neue Smartcard oder den USB-Token gegen Einreichung der alten Smartcard oder des USB-Token zu. 15

Weg zur elektronischen Signatur

2.3

Ungültigkeitserklärung

Die Ungültigkeitserklärung eines (qualifizierten) Zertifikates ist immer dann notwendig, wenn der Inhaber die Zertifikats-Infrastruktur (USB-Token oder Smartcard) verloren hat oder den PIN-Code nicht mehr kennt. Er hat dafür bei der RA einen Antrag zu stellen (Art. 10 Abs. 1 lit. a ZertES). Ein Zertifikat muss nur dann ungültig erklärt werden, wenn die Gefahr eines Missbrauchs durch Unberechtigte besteht. Nicht notwendig ist eine Ungültigkeitserklärung, wenn die Signaturerstellungseinheit zerstört wurde. Start nein

Persönliche Vorsprache? Karteninhaber reicht ein: a. Ausgefülltes und unterzeichnetes Antragsformular b. Unterzeichnete Kopie eines amtlichen Ausweises (Pass/ID)

Karteninhaber füllt Antrag aus

Karteninhaber zeigt Pass oder ID

Bei telefonischer Revokation: a. Mindestens 3 nicht öffentliche Merkmale zur Identifikation abfragen b. schriftlichen Revokationsantrag nachreichen Identität des Antragstellers prüfen Vollständigkeit der Unterlagen prüfen

RA = Registrierungsstelle

Start der Applikation RA zieht Zertifikat in Applikation zurück: Karte nicht mehr vorhanden (Remote Cancel) a. Karte wird vorbeigebracht (Cancel Card) b. Telefonische Revokation (Revoke) Karteninhaber schriftlich (E-Mail oder Brief) über die Revokation in Kenntnis setzen Dokumente ablegen und archivieren

Ende Abbildung 8:

Prozess für Ungültigkeitserklärung (1)

Weg zur elektronischen Signatur

Die RA oder der CSP sind ebenfalls autorisiert, von sich aus (ohne Rücksprache mit dem Inhaber des Zertifikates) ein qualifiziertes Zertifikat unverzüglich für ungültig zu erklären, wenn: sich herausstellt, dass dieses unrechtmässig erlangt worden ist; es keine Gewähr mehr bietet für die Zuordnung eines Signaturprüfschlüssels zu einer bestimmten Person. In diesem Fall informiert die RA oder der CSP den Inhaber des qualifizierten Zertifikates unverzüglich über die erfolgte Ungültigerklärung.

§ Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES) Art. 7 Ungültigerklärung qualifizierter Zertifikate 1 Die anerkannten Anbieterinnen informieren ihre Kundinnen und Kunden darüber, wie sie die Ungültigerklärung von qualifizierten Zertifikaten verlangen können. Sie müssen in der Lage sein, die Anträge zur Ungültigerklärung jederzeit entgegenzunehmen. __________ Quelle: www.admin.ch/ch/d/sr/9/943.032.de.pdf

2.3.1 Revokationsantrag Der Inhaber des Zertifikates kann einen schriftlichen Antrag bei der RA oder direkt beim CSP (vgl. nächstes Bild) stellen (Direkteintrag auf Homepage des CSP oder Herunterladen des Antragsformulars von Internet-Seite der RA) oder einen Brief mit dem Revokationsantrag einreichen oder auch telefonisch beim CSP den Rückzug verlangen. In jedem Falle muss sich der Inhaber genügend ausweisen. Er kann auch einen Bevollmächtigten mit dem Rückzug beauftragen. Dieser muss aber über eine schriftliche Vollmacht des Inhabers verfügen und diese der RA vorweisen und abgeben. Entweder geht er persönlich bei der RA vorbei. Dann hat er einen Pass oder eine ID mitzubringen und vor Ort bei der RA den Rückzugsantrag zu unterzeichnen. Wenn er den Antrag schriftlich oder telefonisch stellt, muss er neben dem unterzeichneten Antragsformular noch eine Ablichtung eines amtlichen Ausweises (Pass 17

Weg zur elektronischen Signatur

oder ID; beide Seiten ablichten) einreichen und diese Kopie ebenfalls unterzeichnen. Eine telefonische Revokation ist aber nur dann möglich, wenn der Antragsteller während der Registrierung eine Passphrase definiert hat. Der Antragsteller muss sich zudem gegenüber der RA mit mindestens drei Merkmalen, die nicht öffentlich sind (z.B. Passnummer, Registrierungsdatum, Geburtsdatum, Handynummer, E-Mail-Adresse usw.), zusätzlich identifizieren. Es wird eine ähnliche Prüfung am Telefon durchgeführt, wie wenn eine Kreditkarte revoziert wird. In jedem Falle muss sich der Inhaber genügend ausweisen. Er kann auch einen Bevollmächtigten mit dem Rückzug beauftragen. Dieser muss aber über eine schriftliche Vollmacht des Inhabers verfügen und diese der RA vorweisen und abgeben.

Abbildung 9:

Quelle: www.swissdigicert.ch

2.3.2 Identitätsprüfung Die RA prüft und verifiziert die Identität des Antragstellers sowie die eingereichten Unterlagen. Diese müssen unterzeichnet und vollständig ausgefüllt sein. Zudem müssen alle notwendigen Unterlagen schriftlich vorliegen. Die RA identifiziert den Antragsteller aufgrund eines amtlichen Lichtbildausweises. Nicht vollständige Unterlagen werden zurückgesandt oder direkt vor Ort bei der RA verbessert und ergänzt. 2.3.3 Revokation und Information Die RA revoziert nach Prüfung der Antragsunterlagen das Zertifikat. 18

Weg zur elektronischen Signatur

Der Karteninhaber wird schriftlich informiert, dass sein Zertifikat zurückgezogen wurde. Zudem stellt der CSP auf seiner Internet-Plattform eine entsprechende Sperrliste (Certificate Revocation List; CRL) zur Verfügung. Auf dieser Sperrliste kann jeder Interessierte nachsehen, welche Zertifikate welcher Klasse für ungültig erklärt wurden. Er kann die Liste der ungültig erklärten Zertifikate auch bei sich installieren oder speichern.

Abbildung 10: Quelle: www.swissdigicert.ch

Wenn die Funktion «JA» für automatische Updates aktiviert wird, erfolgt eine entsprechende automatisierte Aktualisierung der Sperrliste im eigenen System. Dafür muss in den Einstellungen das Kästchen «Automatisches Update für diese CRL aktivieren» angekreuzt werden, sonst führt das System standardmässig eine andere Aktion (vgl. unten) aus.

Abbildung 11: Quelle: www.swissdigicert.ch 19

Elektronische Signatur installieren

Elektronische Signatur installieren1

Voraussetzung für die Verwendung der elektronischen Signatur und Verschlüsselung sind die Smartcard, die Sie vom RA erhalten haben, sowie der spezielle USB-Stick.

Öffnen Sie zuerst die Verschlussklappe des Sticks.

Nun muss die Smartcard in den Stick gelegt werden. Die Smartcard selber ist in eine kreditkartengrosse Plastikkarte integriert; man muss sie aus dieser Karte herausbrechen, um sie in den USB-Stick einzulegen.

Aufgrund der technischen Entwicklung können die Anleitungen in diesem Booklet Abweichungen erfahren. Die aktuellen Versionen der Anleitungen finden Sie unter: www.e-comtrust.ch/signatur

Elektronische Signatur installieren

Danach setzen Sie die Smartcard in den USB-Stick. Achten Sie darauf, dass die unbeschriebene, weisse Fläche nach oben zeigt.

Setzen Sie dann die Klappe wieder auf den USB-Stick und schliessen Sie diesen am Computer an. Zum Anschluss an den Computer dient jeder USB-Anschluss.

Als Systemvoraussetzung für den Betrieb der Signatur- und Verschlüsselungsanwendung wird zurzeit Microsoft Windows (Windows XP oder Vista) genannt. Der USB-Stick ist aber auch unter Mac OS X sowie Linux funktionsfähig. Den aktuellen Stand der Technik können Sie auf unserer Webseite jederzeit abfragen: www.e-comtrust.ch/signatur. Sobald der USB-Stick angeschlossen ist, erscheint nach dessen Erkennung durch das System automatisch das folgende Bild:

Elektronische Signatur installieren

Das effektiv erscheinende Bild kann von der obigen Darstellung abweichen. Je nach Ausführung des USBSticks kann auch das folgende Bild erscheinen:

Sollte der USB-Stick mit dem entsprechenden Programm nicht automatisch angezeigt werden, so müssen Sie dies manuell durchführen. Wählen Sie auf Ihrem Computer «Start» und dann «Computer» aus. Es erscheint dann die Auswahl mit den in Ihrem Computer verfügbaren Laufwerken.

Elektronische Signatur installieren

Wählen Sie dann das Laufwerk mit der Bezeichnung «mIDentity» aus und klicken Sie zweimal kurz hintereinander darauf. Dann wählen Sie den Ordner «Win 32» aus und starten die Anwendung «AppWizard.exe». Anschliessend erscheint das oben gezeigte Applikationsbild.

Elektronische Signatur installieren

3.1

Verschlüsselung installieren

In einem verschlüsselten Bereich Ihres USB-Sticks wurde Ihr Swisscom-Rubin-Zertifikat für die Verschlüsselung von E-Mails gespeichert. Mit diesem Zertifikat können Sie E-Mails verschlüsseln und signieren. Dieses Zertifikat erscheint als «.pfx»-Datei, in der Regel mit Ihrer E-Mail-Adresse.

Das Zertifikat zur Verschlüsselung von E-Mails kann zum Zeitpunkt der Drucklegung dieses Booklets noch nicht vom Stick aus gestartet werden, sondern muss lokal auf dem entsprechenden Computer installiert werden. Diese Installation ist aber sehr einfach und gestaltet sich folgendermassen: Klicken Sie zweimal kurz mit der linken Maustaste auf die Datei; es erscheint die folgende Meldung:

Folgen Sie einfach den Anweisungen des Installationsassistenten und klicken Sie auf «Weiter».

Elektronische Signatur installieren

Geben Sie bei der Aufforderung das Ihnen zugewiesene Passwort ein und setzen Sie bei der Auswahl «Hohe Sicherheit …» ein Häkchen. Damit ist sichergestellt, dass kein anderer Benutzer Ihres Computers ohne Eingabe des Passworts das Zertifikat verwenden kann. Sie können diese Option auch weglassen, damit Sie nicht immer bei der Verschlüsselung einer Mail das Passwort eingeben müssen. Aus den erwähnten Sicherheitsgründen ist das aber nicht empfehlenswert.

Elektronische Signatur installieren

Ein Zertifikat wird von Windows lokal auf dem anfordernden Computer oder Gerät gespeichert. Falls das Zertifikat von einem Benutzer angefordert wurde, wird es auf dem von diesem Benutzer verwendeten Computer oder Gerät gespeichert. Der Speicherort wird als Zertifikatspeicher bezeichnet. Ein Zertifikatspeicher kann zahlreiche Zertifikate enthalten, die möglicherweise von verschiedenen Zertifizierungsstellen ausgestellt wurden. In der Regel genügt die Option «Zertifikatspeicher automatisch auswählen», sofern Sie nicht einen besonderen Ort für die Speicherung Ihrer Zertifikate vorgesehen haben.

Danach klicken Sie auf «Fertigstellen» und das Zertifikat zum Signieren und Verschlüsseln Ihrer E-Mails ist installiert.

Elektronische Signatur installieren

Anschliessend haben Sie noch einmal die Möglichkeit, die Sicherheitsstufe zu bestimmen. Klicken Sie auf «Sicherheitsstufe». Wenn Sie «Mittel» auswählen, so müssen Sie beim Verschlüsseln Ihrer Mails nicht immer das Passwort eingeben. Allerdings stellt diese Auswahl auch ein Sicherheitsrisiko dar, weil jeder Benutzer Ihres Computers oder desselben Benutzerkontos mit Ihrem Zertifikat Mails signieren und verschlüsseln kann. Wir empfehlen deshalb, die Sicherheitsstufe «Hoch» auszuwählen.

Durch das Eingeben Ihres Passwortes schliessen Sie dann die Installation mit der Sicherheitsstufe «Hoch» ab. Klicken Sie danach auf «Fertigstellen». 27

Elektronische Signatur installieren

Fachbeitrag von Kobil Systems GmbH mIDentity, eine zukunftsweisende Technologie mIDentity ist eine Technologie, die den persönlichen Alltag sicherer, komfortabler und effizienter gestaltet – bei Bankgeschäften, im Handel, bei Behörden, im Gesundheitswesen – einfach überall, wo eine Online-Kommunikation notwendig ist. Basierend auf der Smartcard-Technologie verschafft KOBIL mIDentity nicht nur der digitalen Identität maximale Mobilität und höchste Sicherheit, sondern ermöglicht, jeden Rechner zum eigenen zu erklären – weltweit. Die nötigen Komponenten dazu sind hochsicher auf mIDentity hinterlegt und müssen zu keiner Zeit installiert werden. Die «mIDentity Zero Footprint for Smartcard Application»-Technologie gewährleistet uneingeschränkte Mitnahme von wichtigen Daten und Anwendungen, welche zu keiner Zeit auf dem Rechner installiert werden müssen. Drei Funktionen für Ihr Daily Business Basierend auf der «mIDentity Zero Footprint for Smartcard Applications-»Technologie stehen dem Nutzer drei hauptsächliche Funktionen zur Verfügung, welche ihn in seinem Alltag unabhängig, flexibel und hochsicher machen. 1. Mobile Secure Data Storage: Die Mitnahme von wichtigen und sensiblen Daten auf wiederbeschreibbaren Medien ist heute ein unausgesprochener Standard. Unausgesprochen, da die ungeschützte Mitnahme von Daten grosse Gefahren in sich birgt. So kann der Verlust oder Diebstahl eines Datenträgers mit sensiblen Daten verheerende Folgen haben. Die Smartcard-basierte Lösung mIDentity dagegen schützt die darauf gespeicherten Daten durch hochsichere Technologie. Denn nur derjenige, der im Besitz der Smartcard und des entsprechenden Passworts ist, kommt an die Daten heran. 28

Elektronische Signatur installieren

2. Mobile Office: Der neue Office-Gedanke – sein Office überall auf der Welt zu haben – ist eine technologische Herausforderung. Der Zugriff auf wichtige Anwendungen und sensible Daten dient als Entscheidungsgrundlage und muss deshalb Mitarbeitern weltweit möglich gemacht werden – denn Entscheidungen bringen Fortschritt. mIDentity ermöglicht Ihnen durch die hochsichere Mitnahme von Anwendungen, dass Sie auch dann effektiv agieren können, wenn Sie nicht in Ihrem Office sitzen. Verbinden Sie sich hochsicher in Ihr Unternehmensnetzwerk und halten Sie sich auf dem Laufenden, während Sie auf einer Geschäftsreise im Ausland sind. So können Sie jeden Rechner auf der Welt zu Ihrem neuen Office erklären, da keinerlei Installation für die Nutzung von mIDentity notwendig ist. 3. Mobile Banking: Stellen Sie sich vor: Alle üblichen Bankgeschäfte, die Sie von Ihrer Bankfiliale kennen, können Sie unabhängig von Ort und Zeit hochsicher mit unserer Technologie erledigen – ohne Einschränkungen. So können Sie mit mIDentity von jedem Rechner aus Ihre üblichen Bankgeschäfte tätigen – rechtsverbindlich. Dank der Smartcard-Technologie haben Sie vollen Zugriff auf Ihr Konto und sonstige sensible Daten. Dies ist ebenso sicher wie in Ihrer Bankfiliale. Ein Stick als Gesamtlösung Ein Grossunternehmen hat viele IT-Projekte. Dabei gilt es nicht nur die ideale Lösung für ein Projekt zu finden, sondern vielmehr eine, die in das Gesamtkonzept passt. Eine ideale Lösung stellt mIDentity dar. Basierend auf Smartcard-Technologie, können Sie aktuelle PKI-Verfahren einsetzen, Sie können eine Company-Card ausrollen, Sie können die Mobilität Ihrer Mitarbeiter maximieren und hochsicher gestalten – Sie können alle relevanten IT-Projekte im Zusammenhang mit mIDentity lösen. So haben Sie eine Gesamtlösung in der Grösse eines herkömmlichen USB-Sticks. Sicherheit ohne Einschränkungen Durch den mIDentity-Update-Service sind Sie auch gegen zukünftige Gefahren gewappnet. Hochsicher werden Datenpakete auf das Device geschrieben, damit Sie weiterhin Ihre Mobilität geniessen können. Elektronische digitale Signatur auch ohne Installation Das Standardverfahren kennt jeder. Ein Smartcard-Terminal, eine Signatur-Software und die Treiber für den Leser – ohne Installation des Lesers und der Software können Sie das Verfahren nicht verwenden. mIDentity setzt aber einen neuen Standard. Ohne Installation von Treibern und Software können Sie an jedem PC Ihre Dokumente oder E-Mails rechtskonform signieren. Alles, was Sie brauchen, ist ein mIDentity. Darin sind die nötigen Komponenten wie Signatur-Software und Treiber bereits vorinstalliert und müssen somit zu keiner Zeit auf dem PC installiert werden. Egal ob im Internet-Café, beim Nachbarn, im Urlaub oder auf Geschäftsreise – einfach in den PC stecken und signieren. So einfach kann digitale Signatur sein. Beitrag von Kobil, Firmenprofil Seite 87 29

Unterschreiben und Verschlüsseln

4.1

PDF-Dokumente signieren

Erstellen Sie zunächst mit Ihrem gewohnten Textverarbeitungsprogramm ein Dokument, welches Sie mit einer elektronischen Signatur versehen wollen, und speichern Sie dieses im PDF-Format ab. Dazu benötigen Sie entweder den Original Acrobat Writer (Standard oder Professional; www.adobe.ch) oder eine andere Software, welche die Erzeugung von PDF-Dokumenten aus anderen Programmen erlaubt. Mit der auf dem USB-Stick enthaltenen Software CABAReT Stage kann der Signaturprozess gestartet werden. Starten Sie zu diesem Zweck die auf dem USBStick enthaltene Software «Signatur». Es erscheint dann ein leeres Fenster. Ziehen Sie Ihr PDF-Dokument in das geöffnete Fenster von CABAReT Stage oder klicken Sie auf «Datei öffnen».

Unterschreiben und Verschlüsseln

Anwendungsbeispiel: Effiziente Geschäftsprozesse auf Basis intelligenter elektronischer Formulare In nahezu allen geschäftlichen Beziehungen zwischen Kunden und Firmen, bei Behörden und öffentlichen Einrichtungen werden Formulare für die Abwicklung und Dokumentation von Geschäftsprozessen verwendet. Das Formular wird oft als der wichtigste Träger des Geschäftsprozesses bezeichnet. Schliesslich durchläuft es alle in einem Geschäftsprozess beteiligten Stellen, um dort jeweils spezifische Informationen aufzunehmen und festzuhalten. In einem letzten Schritt werden alle erfassten Informationen aus dem Formular entnommen und manuell in ein Verarbeitungssystem übergeführt. Ein Formular spielt damit in den meisten Fällen eine passive Rolle, indem es lediglich als eine Art Container zum Ansammeln von Informationen verwendet wird. Möglichkeiten intelligenter elektronischer Formulare Eine aktive Rolle in Geschäftsprozessen können Formulare erst durch Verwendung moderner Technologie spielen. Dadurch kann ein Formular z.B. «wissen», in welchem Bearbeitungszustand es sich gerade befindet, wer es in diesem Zustand bearbeiten darf und welche Folgestationen es noch durchlaufen muss. Eine weitere Erweiterungsmöglichkeit besteht darin, komplexe Rechenmodelle für Tarifberechnungen oder Tilgungspläne in das Formular einzubetten. Derart ausgestattete Formulare ermöglichen sogar einen Einsatz ohne Serververbindung («Offline»-Einsatz).

Funktionen in intelligenten Formularen

Interessant werden elektronische Formulare vor allem dadurch, dass sie nach dem Ende des Ausfüllvorgangs vollständig elektronisch weiterverarbeitet werden können: vom Versenden per EMail über die automatische Extrahierung der Feldwerte bis hin zur Übertragung in andere Anwendungen zur weiteren Verarbeitung der gesammelten Daten. Der Eingang des unterzeichneten Originals bedeutet in diesem Fall nur noch die Freigabe des Verarbeitungsprozesses. Mit Einsatz der elektronischen Signatur lässt sich auch der letzte nichtelektronische Schritt des Geschäftsprozesses beseitigen. Das Dokument kann per mobilem Smartcard-Terminal mIDentity (USB-Stick) elektronisch signiert werden. 48

Unterschreiben und Verschlüsseln

Workflow-orientierte Geschäftsprozesse auf Basis von PDFFormularen Intelligente elektronische Formulare können auch für das Starten und Steuern Workflow-orientierter Geschäftsprozesse genutzt werden. Diese Formulare agieren als autonome Bausteine und bieten eine komfortable Unterstützung von Entwicklungs- und Produktionsprozessen. Der gesamte Prozessablauf samt benötigter Rollen, Rechte und Zustände im Formular wird grafisch mit einem Modellierungswerkzeug für Geschäftsprozesse beschrieben.

Schema der Architektur

Die elektronischen Formulare werden mit einem grafischen Formulareditor erstellt, welcher die zur späteren Steuerung des Formulars notwendigen Informationen wie z.B. Statusinformationen vom Modellierungswerkzeug für Geschäftsprozesse verwendet. Die erforderlichen Organisationsinformationen wie Informationen zu Kompetenzen usw. werden in handelsübliche Verzeichnissysteme (z.B. Active Directory, LDAP) übernommen, während die Formularbearbeitung auf den Anwender-PCs mit CABAReT ® Stage durchgeführt wird. CABARet Stage ist in der Lage, die intelligenten Bestandteile des Formulars zu interpretieren. Zum Starten eines Prozesses wird eine Formularvorlage aufgerufen. Das aktivierte Formular wird gemäss der eingebetteten Ablauflogik ausgefüllt. An festgelegten Punkten finden Statuswechsel statt, indem durch eine elektronische Signatur beispielsweise eine Freigabe, Genehmigung oder Rückweisung erfolgt. Mit jedem Statuswechsel oder Bearbeitungsschritt wird der aktuelle Status des Formulars an den Status-Monitor gesendet, um den Prozessfortschritt zu dokumentieren. Dadurch wird eine hohe Transparenz über den Bearbeitungszustand von Dokumenten und Formularen erreicht, ohne eine zentrale Workflowsteuerung implementieren zu müssen. Nach Abschluss des letzten definierten Prozessschrittes können die Daten aus dem Formular entnommen und in Fachsysteme zur weiteren Bearbeitung übergeführt werden. Zudem kann eine Archivierung für spätere Dokumentationszwecke stattfinden. Je nach Anforderung kann diese PDF/A-konform erfolgen. Beitrag von CABAReT Solutions AG, Ulrike Roenspiess (intarsys consulting GmbH, Karlsruhe), Firmenprofil Seite 86 49

Glossar und Online-Hinweise

Glossar18 und Online-Hinweise

Nachfolgend werden wichtige IT-Fachbegriffe erläutert, die im Zusammenhang mit digitalen Signaturen oft verwendet werden. Digitale Zertifikate Traditionelle, auf Papier verfügbare Zertifikate sind Dokumente, die dem Inhaber eine bestimmte Eigenschaft, eine Fähigkeit oder ein Anrecht bestätigen (z.B. Ausweise, Diplome oder Versicherungsverträge). Zertifikate sind unterschrieben von einer Autorität, der man vertraut. Digitale Zertifikate sind entsprechend digitale Dokumente, die einer natürlichen Person eine digitale Kennung zuordnen. Diese Kennung ist der öffentliche Schlüssel aus dem individuellen Schlüsselpaar, das dem Zertifikatsinhaber persönlich zugewiesen wird. Das Zertifikat wird ausgestellt von einer Zertifizierungsstelle, dem sogenannten Trust Center. Auf diese Weise kann sich die reale Person ausweisen und rechtsverbindlich unterschreiben. Mithilfe des öffentlichen Schlüssels und des digitalen Zertifikates wird die Signatur verifiziert. Viele Zertifizierer bieten verschiedene Aufwandsklassen an. Diese Klassen unterscheiden sich z.T. deutlich in der Bezeichnung und Abgrenzung; als typisch kann etwa die folgende Einteilung gelten: Einfache Signatur (E-Mail-Zertifikat, z.B. PGP pretty good privacy): Zertifikate werden vollständig über das Internet erworben. Die Identifizierung beinhaltet, dass der Zertifikatsinhaber zum gegebenen Zeitpunkt unter der im Zertifikat angegebenen Adresse erreichbar ist. Fortgeschrittene Signatur: Über die Angaben der vorigen Klasse hinaus muss der Zertifikatsinhaber dem Herausgeber die Kopie eines amtlichen Ausweises vorlegen oder sich anderweitig identifizieren. Diese Klasse wird oft im europäischen Ausland angeboten. Hier hat der Verifizierer eine gewisse Sicherheit, dass es den Zertifikatsinhaber tatsächlich als natürliche Person gibt. Qualifizierte Signatur: Der Zertifikatsinhaber muss sich persönlich bei einer Registrierungsstelle des Herausgebers melden. Dort werden seine Angaben geprüft, bevor das Zertifikat ausgestellt wird. Der Verifizierer hat die Sicherheit, dass es den Zertifikatsinhaber tatsächlich so als Person gibt, wie im Zertifikat angegeben. Glo

Begriffsdefinitionen gemäss einer Zusammenstellung des deutschen Patent- und Markenamtes; www.dpma.de

Glossar und Online-Hinweise

Qualifizierte Signatur mit Anbieterakkreditierung: Der Zertifikatsherausgeber und der gesamte Zertifizierungsprozess (über die Registrierung/Identifizierung hinaus) unterliegen einer staatlichen Kontrolle. Hash-Code Möchte der Absender dem Empfänger seine eigene Identität und die Unverfälschtheit einer Nachricht beweisen, so wird von dem zu sendenden Dokument zunächst ein Hash-Code erzeugt. Ein Hash-Code ist eine Prüfsumme, die kleinste Veränderungen des zugrunde liegenden Dokuments aufdecken würde. Denn wenn nach der Veränderung ein neuer HashCode errechnet würde, wäre dieser mit dem ursprünglich errechneten nicht identisch. Die Signatur zu einem Dokument wird erzeugt, indem der errechnete Hash-Code mit dem eigenen privaten Schlüssel verschlüsselt wird. Der Empfänger kann diesen verschlüsselten Hash-Code mit dem öffentlichen Schlüssel des Absenders entschlüsseln, sodass er – falls die Identität des Absenders korrekt ist – wieder den ursprünglich vom Absender errechneten Hash-Code vorliegen hat. Nun kann erneut ein Hash-Code von dem erhaltenen Dokument errechnet werden. Stimmen selbst errechneter und vom Absender empfangener Hash-Code überein, ist das Dokument auf dem Transport nicht manipuliert, verkürzt oder ergänzt worden. Die Identität des Absenders ist ebenfalls zweifelsfrei geklärt worden. Signieren und verschlüsseln Beim Signieren einer Nachricht wird diese mit einer Art persönlichem Siegel versehen, die den Absender als solchen ausweist und eine nachträgliche Verfälschung der Daten ausschliesst. Diese elektronische Signatur ist umso interessanter geworden, seit sie der handschriftlichen Unterschrift rechtlich weitestgehend gleichgestellt wurde. Aber: Durch die digitale Signatur wird ein Dokument nicht vor unbefugter Einsicht geschützt – eine handschriftliche Unterschrift auf einem Papierdokument schützt ja auch nicht vor Einsichtnahme Dritter. Dazu müssen Sie das Dokument zusätzlich verschlüsseln, was häufig in der Anwendungssoftware als zusätzliche Option vorgesehen ist. Beide Funktionen sind im elektronischen Datentransfer interessant. Sie können sowohl gleichzeitig als auch unabhängig voneinander genutzt werden. Trust Center Unabhängige Institution, die für die Vergabe von Zertifikaten und die Hinterlegung digitaler Schlüssel zuständig ist. Das Trust Center überprüft die Richtigkeit der Schlüssel und Signaturen und garantiert ihre Echtheit. Ist ein digitales Zertifikat im Trust Center hinterlegt, so steigt seine Beweiskraft entsprechend dem Sicherheitsniveau, siehe Zertifikat. Trust Center können auch digitale Zeitstempel auf Dokumente anbringen.

Glossar und Online-Hinweise

Online-Hinweise www.bakom.ch/dienstleistungen/faq/01834/01836/ index.html Hier findet sich eine ausführliche Zusammenstellung des Bundesamtes für Kommunikation von Fragen und Antworten (FAQ) zur elektronischen Signatur.

www.bundesnetzagentur.de Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen informiert über den deutschen Elektrizitäts-, Gas-, Telekommunikations- und Postmarkt, die rechtlichen Grundlagen und über wichtige Verbraucherrechte in diesen innovativen Märkten.

www.bmwi.de Website des Bundesministeriums für Wirtschaft und Technologie, Deutschland.

www.e-comtrust.ch/signatur Registrierungsstelle, bei welcher die verschiedenen Signaturen erstellt und dem Nachfrager (Kunde) zugestellt werden. Auf der Website findet man alle notwendigen Antragsformulare für den Erwerb eines oder mehrerer digitaler Zertifikate.

Profile der Editionspartner

Swisscom (Schweiz) AG Grossunternehmen Postfach CH-3050 Bern Phone 0800 800 900 Fax 0800 800 905 info.grossunternehmen@swisscom.com www.swisscom.ch/grossunternehmen Mit 5 Millionen Mobilfunkkunden, rund 5,3 Millionen Festnetzanschlüssen und 1,6 Millionen BreitbandAnschlüssen ist Swisscom das führende TelekomUnternehmen in der Schweiz. 19 844 Mitarbeitende (Vollzeitstellen) erarbeiteten im Jahr 2007 einen Umsatz von CHF 11,1 Milliarden. Über 850 junge Leute absolvieren bei Swisscom ihre Lehre als Informatiker, Telematiker, Mediamatiker, Detailhandelsangestellter und KV. Swisscom ist schweizweit präsent mit allen Dienstleistungen und Produkten für die mobile, die netzgebundene und die IP-basierte Sprach- und Datenkommunikation. Zusätzlich aktiv ist Swisscom im ITInfrastruktur-Outsourcing und im Management von Kommunikationsinfrastrukturen.

ICT Security-Lösungen Swisscom plant, integriert und betreibt schlagkräftige Sicherheitslösungen auf sämtlichen Ebenen der ICTArchitektur, insbesondere auch beim stark zunehmenden Mobile Computing. Mit Digital Certificate Services können Dokumente rechtlich verbindlich signiert und im Swiss Trust Room, dem virtuellen Sitzungszimmer von Swisscom, ausgetauscht werden.

Security Services Risk und Security Consulting Security System Integration Managed Security Services Praxisbeispiel Seite 6

Profile der Editionspartner

CABAReT Solutions AG Fritz Tschan Rankackerweg 26 CH-4133 Pratteln Phone +41(0)61 821 56 81 Fax +41(0)61 821 56 83 office@cabaret-solutions.com www.cabaret-solutions.com Die CABAReT Solutions AG, gegründet 2005, hat sich zum Ziel gesetzt, unter den Lösungsanbietern rund um PDF eine Technologievorreiterrolle zu übernehmen und Software für den professionellen Einsatz zu erstellen. Mit CABAReT® Stage bietet das Unternehmen ein professionelles und leistungsfähiges Softwareprodukt zur Bearbeitung von Dokumenten und Formularen für unterschiedliche Formate an. PDF-Dokumente, die mit CABAReT® Stage erstellt, bearbeitet, gespeichert oder auch elektronisch signiert werden, sind zu 100% kompatibel zum PDF-Standard. CABAReT® Stage ist branchenunabhängig. Die Anwendung lässt sich einfach an individuelle Anforderungen anpassen und kann in Geschäftsprozesse integriert werden. Die Software basiert auf modernen JAVATechnologien und -Methoden und bietet eine weitestgehende Unabhängigkeit von Hardware und Betriebssystem. Durch das offene Konzept von CABAReT können Partner funktionale Erweiterungen in Form von Instruments (Plugins) realisieren. Bislang gibt es Instruments für: eigenhändige Unterschrift per PenPad und Tablet PC elektronische Signatur per Signaturkarte, über Smartcard-Terminal mIDentity (USB-Stick) oder mit Softwarezertifikat Rechenkernintegration für mathematische Berechnungen der Versicherungs- und Finanzwirtschaft automatisches Audit Trail (Journal) für Formulare Prüfung und Korrektur gemäss ISO-Norm für PDF/A Schnittstellen für Datenbanken, Backendsysteme und Archivsysteme Praxisbeispiel Seite 48

Profile der Editionspartner

Kobil Systems GmbH Pfortenring 11 D-67547 Worms / Germany Phone +49 (6241) 3004-0 Fax +49 (6241) 3004-80 info@kobil.com www.kobil.de Die 1986 gegründete Kobil Systems GmbH ist seit über 20 Jahren einer der führenden Hersteller von ITSicherheitstechnologien im Umfeld digitaler Identitäten. Sicherheit ohne Einschränkungen, einfach, überall und jederzeit, zu ermöglichen, dieses Ziel hat Kobil durch langjährige Forschungs- und Entwicklungsarbeiten verwirklicht. Das Unternehmen bietet seinen Kunden heute nicht nur patentierte Basistechnologie, sondern vor allem die wichtige und umfassende Lösungskompetenz, um gemeinsam mit namhaften Technologiepartnern für jedermann die Verwendung seiner digitalen Identität bequem und gleichzeitig absolut sicher zu ermöglichen. Kobil-Produkte entsprechen den international anerkannten und am Markt gängigen Standards, wie beispielsweise EMV-CAP oder ISO 9001. Somit ist eine einfache Integration in bestehende IT-Infrastrukturen gewährleistet. Praxisbeispiel Seite 28

Autorenteam & BPX

Autorenteam & BPX Lukas Fässler lic. iur., Rechtsanwalt & Informatikexperte. Er gilt als renommierter Informatikexperte mit langjähriger Praxiserfahrung. Seit 1982 befasst er sich hauptberuflich mit Informatik und Telekommunikation. faessler@fsdz.ch

Dr. Oliver Sidler Als Lehrbeauftragter für Medien-, Rundfunk- und Telekommunikationsrecht an der Universität Freiburg und Partner im Anwaltsbüro in Zug befasst er sich wissenschaftlich und praktisch mit Fragen des IT- und Telekommunikationsrechts. Seit über zehn Jahren ist er auch journalistisch als Chefredaktor der Zeitschrift medialex tätig. sidler@fsdz.ch

BPX steht für Best Practice Xperts Martin & Martina Dalla Vecchia Herausgeber der BPX-Booklets. Ziel von BPX ist es, komplexe Themen praxisgerecht für das Management aufzubereiten: kurz & prägnant. www.bpx.ch

Bestellung und Verlagsprogramm

Bestellung und Verlagsprogramm Das gesamte Verlagsprogramm von BPX finden Sie auf www.bpx.ch. Sie können die Bücher beim Verlag BPX bestellen oder beim jeweiligen Editionspartner (siehe ein paar Seiten weiter vorne). Diese freuen sich, mit Ihnen Kontakt aufnehmen zu können und geben die Bücher gelegentlich auch kostenlos ab.

Bestellen Sie hier

www.bpx.ch

2008

Lukas Fässler Oliver Sidler

Rheinfelden /Schweiz BPX-Edition 2008 www.bpx.ch 30 CHF / 20 € Editionspartner:

ISBN 978-3-905413-03-8

www.bpx.ch

Elektronische Signatur Elektronische Signatur. Praxisleitfaden für die Installation & Anwendung

ageern! n a M Waisssen müss w

Unterschreiben & Verschlüsseln

Praxisleitfaden für die Installation & Anwendung

Sicher signieren Inhalte verschlüsseln Einsatz in der Praxis Rechtliche Basis Schweiz Rechtliche Basis EU Editionspartner:

Technische Grundlagen Organisation Praxisbeispiele Checklisten