Wie funktioniert eine elektronische Signatur?

Das allgemeine Prinzip

Eine elektronische Signatur ist kein Bild. Sie ist ein kryptographisches Verfahren, das vier untrennbare Elemente miteinander verbindet: das Dokument, die Identität des Unterzeichners, den Zeitpunkt der Signatur und einen technischen Nachweis, dass nichts danach geändert wurde.

Dieses Verfahren basiert auf zwei Säulen: der Authentifizierung des Unterzeichners und der Integrität des Dokuments.

Schritt 1: Authentifizierung des Unterzeichners

Die Authentifizierung besteht darin, eine Verbindung zwischen der Person, die ihre Signatur anbringt, und einer verifizierbaren Identität herzustellen. Es gibt mehrere kombinierbare Techniken:

• Vertrauenswürdige E-Mail-Adresse: Ein eindeutiger Link wird versendet. Nur der Inhaber der E-Mail kann klicken und signieren.

• OTP-Code (One-Time Password): Ein Code für den einmaligen Gebrauch wird per SMS versendet. Der Unterzeichner gibt ihn ein, um zu beweisen, dass er die zugehörige Telefonnummer besitzt.

• Persönliches Zertifikat: Für qualifizierte Signaturen beweist ein von einem qualifizierten Anbieter ausgestelltes Zertifikat die Identität des Unterzeichners.

Die Anforderungsstufe variiert je nach angestrebtem Signatur-Niveau — siehe die Unterschiede zwischen den Niveaus.

Schritt 2: Berechnung des kryptographischen Fingerabdrucks

Vor der Signatur berechnet die Plattform einen Fingerabdruck (Hash) des Dokuments. Dies ist eine eindeutige Zeichenfolge, die den Inhalt der Datei darstellt. Jede Änderung, selbst eines einzelnen Zeichens, erzeugt einen völlig anderen Fingerabdruck.

Der Fingerabdruck ist wie eine digitale Signatur der Datei: Er ist klein (einige Dutzend Bytes), garantiert aber die Integrität. Wenn jemand das Dokument nach der Signatur ändert, entspricht der Fingerabdruck nicht mehr — die Signatur wird ungültig.

Schritt 3: Identität und Fingerabdruck verknüpfen

Die Plattform verschlüsselt den Fingerabdruck mit einem kryptographischen Schlüssel, der mit der Identität des Unterzeichners verknüpft ist (über PKI für QES oder über die Plattform für SES/AES). Das Ergebnis ist das Signatur-Token: ein digitales Objekt, das folgende Daten enthält:

• den Fingerabdruck des Dokuments

• die Kennung des Unterzeichners

• den genauen Zeitstempel

• die kryptographische Signatur selbst

Dieses Token wird gemäß dem PAdES-Format (PDF Advanced Electronic Signatures), einem europäischen Standard, in die endgültige PDF eingebettet. Praktisch gesagt: Wenn Sie eine signierte PDF in Adobe Acrobat Reader öffnen, überprüft der Reader automatisch das Token und zeigt „Signatur gültig" an, wenn alles übereinstimmt.

Schritt 4: Zeitstempel

Der Zeitstempel bindet die Signatur an einen genauen und verifizierbaren Moment. Ein qualifizierter Zeitstempel von einem vertrauenswürdigen Anbieter liefert einen rechtlichen Nachweis, dass das Dokument zu diesem Datum tatsächlich existierte — ein entscheidendes Argument im Fall von Streitigkeiten über das Datum der Verpflichtung.

Siehe elektronischer Zeitstempel, um die Rolle und Niveaus des Zeitstempels zu verstehen.

Schritt 5: Eintragung in den Audit-Trail

Bei jedem Schritt des Signaturzyklus zeichnet die Plattform ein zeitgestempeltes Ereignis auf:

• Versand des Dokumentpakets

• Öffnung durch den Unterzeichner (mit IP und User-Agent)

• Eingabe des OTP

• tatsächliche Signatur

• eventuelles Ablehnen

• Ablauf

Das Gesamte bildet die Audit-Spur (Audit Trail). Dies ist der operationale Nachweis des Prozesses. Sie ist in der endgültigen PDF integriert und wird 10 Jahre lang aufbewahrt. Siehe Nachweis der elektronischen Signatur.

Was praktisch auf der Seite des Unterzeichners passiert

Aus der Perspektive des Unterzeichners ist die Erfahrung minimalistisch:

• Er erhält eine E-Mail mit einem Link.

• Er klickt und öffnet das Dokument in seinem Browser.

• Er liest und klickt dann auf „Signieren".

• Für AES: Er gibt einen per SMS erhaltenen Code auf seinem Telefon ein.

• Fertig. Er erhält eine Kopie der signierten PDF.

Kein Konto zum Erstellen, keine Anwendung zum Installieren, kein Zertifikat zum Generieren (außer bei QES). Alles läuft in 1 bis 3 Minuten ab.

Was auf der Seite des Absenders passiert

Der Absender steuert den Prozess von seinem Dashboard aus:

• Hinterlegung des Dokuments (PDF, automatische Konvertierung wenn Word)

• Hinzufügen der Empfänger und Platzierung der Signaturfelder

• Wahl des Signatur-Niveaus und der Reihenfolge (parallel oder sequenziell)

• Konfiguration von automatischen Erinnerungen und Verfallsdatum

• Versand

In Echtzeit sieht er jedes Dokumentpaket den Status von „gesendet" zu „geöffnet" zu „signiert" ändern. Webhooks oder Push-Benachrichtigungen können diese Ereignisse an ein CRM oder SIRH übermitteln.

Warum elektronische Signaturen schwer zu fälschen sind

• Kryptographischer Fingerabdruck: Jede Änderung macht die Signatur ungültig

• Starke Authentifizierung: Ohne Zugang zur E-Mail UND zum Telefon (für AES) ist es unmöglich, sich als Unterzeichner auszugeben

• Zeitgestempelter Audit-Trail: Jeder Schritt wird mit IP und User-Agent nachverfølgt

• Kryptographische Schlüssel: Der private Schlüssel des Unterzeichners (QES) verlässt nie sein Hardwaregerät

• Archivierung für 10 Jahre: Der Nachweis bleibt lange nach der Signatur verfügbar

Wie Certyneo Ihnen hilft

Bei Certyneo läuft die gesamte kryptographische Pipeline im Backend auf europäischen Servern (Deutschland, IONOS): PDF-Hinterlegung, SHA-256-Hash-Berechnung, Integration des PAdES-Tokens, Zeitstempel, Speicherung des Audit-Trails in einer verschlüsselten PostgreSQL-Datenbank. Sie profitieren von einem eIDAS-konformen Verfahren, ohne die technischen Details verstehen zu müssen.

Entdecken Sie die elektronische Signaturdlösung von Certyneo

FAQ

Kann ich eine Signatur ohne die sie ausstellende Plattform überprüfen?

Ja. Eine im PAdES-Format signierte PDF kann von jedem kompatiblen PDF-Reader überprüft werden (Adobe Reader, pdfsig usw.). Selbst wenn die ausstellende Plattform verschwindet, bleibt die Signatur überprüfbar.

Was geschieht, wenn ich die PDF nach der Signatur ändere?

Die Signatur wird ungültig. Der PDF-Reader zeigt eine Warnung „Das Dokument wurde seit der Signatur geändert" an und der Fingerabdruck stimmt nicht mehr überein.

Wie lange ist eine elektronische Signatur gültig?

Die Signatur bleibt so lange gültig, wie die verwendeten kryptographischen Algorithmen gültig sind. Um eine Langzeitgültigkeit zu garantieren, werden PAdES-LTA-Formate (Long Term Archive) verwendet, die regelmäßig erneuerte qualifizierte Zeitstempel enthalten.

Kann ich mehrere Dokumente auf einmal signieren?

Ja. Ein Certyneo-Dokumentpaket kann mehrere Dokumente enthalten, die alle mit einem einzigen Klick signiert werden. Jedes Dokument behält seinen eigenen Fingerabdruck, aber der Audit-Trail ist gemeinsam.

Offenbart der Fingerabdruck den Inhalt des Dokuments?

Nein. Der Fingerabdruck ist ein Einweg-Verfahren: Man kann den Fingerabdruck aus dem Dokument berechnen, aber nicht das Dokument aus dem Fingerabdruck wiederherstellen. Dies ist eine der grundlegenden Eigenschaften kryptographischer Hash-Funktionen.

Fazit

Eine elektronische Signatur ist ein kryptographisches Verfahren, das einen Unterzeichner, ein Dokument, ein Datum und eine Zustimmung überprüfbar miteinander verbindet. Der Unterzeichner muss nichts davon verstehen — für ihn ist es ein Klick und ein SMS-Code. Für Sie ist es ein starker, archivierter, jederzeit einsetzbarer Nachweis.

Probieren Sie Certyneo aus, um Ihre Dokumente online einfach, schnell und sicher zu versenden, zu signieren und zu verfolgen.