Elektronische Signatur und ISO 27001 Norm: Leitfaden 2026

Die elektronische Signatur hat sich zur Grundlage von B2B-Vertragsprozessen entwickelt, aber ihr rechtlicher und kommerzieller Wert beruht auf einer oft unterschätzten Voraussetzung: der Robustheit des Informationssystems, das sie unterstützt. Genau hier kommt die Norm ISO/IEC 27001 ins Spiel, das internationale Regelwerk für das Management der Informationssicherheit. Im Jahr 2026, während Cyberangriffe auf Signaturplattformen zunehmen und die eIDAS 2.0-Verordnung die Anforderungen an Vertrauensdiensteanbieter verschärft, ist die Frage der ISO 27001-Zertifizierung nicht mehr ein Luxus für Großunternehmen: Sie wird zum Standard-Auswahlkriterium für jeden Einsatz elektronischer Signaturen im Unternehmen.

Dieser Artikel analysiert die Synergien zwischen ISO 27001 und elektronischer Signatur, die konkreten Verpflichtungen, die sich daraus ergeben, die Risiken bei Nichtkonformität und die Schritte zur Erlangung oder Bewertung einer Zertifizierung bei Ihrem SaaS-Anbieter.

Was ist die ISO 27001 Norm und warum ist sie zentral für die elektronische Signatur?

Die von der Internationalen Norm-Setzungsorganisation (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlichte Norm ISO/IEC 27001:2022 (überarbeitete Fassung im Oktober 2022) definiert die Anforderungen für die Errichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Sie umfasst 93 Kontrollen, die in vier Themenbereiche unterteilt sind: organisatorische Kontrollen, personalbezogene Kontrollen, physische Kontrollen und technologische Kontrollen.

Für die elektronische Signatur hat diese Norm besondere Bedeutung, da sie sich direkt an die drei Säulen der Informationssicherheit richtet:

• Vertraulichkeit: Schutz der signierten Dokumente vor unbefugtem Zugriff
• Integrität: Gewährleistung, dass Dokumente nach der Unterzeichnung nicht verändert werden
• Verfügbarkeit: Zugang zu Signaturbeweisen im Fall eines möglichen Rechtsstreits

ISO 27001 Kontrollen, die direkt auf die elektronische Signatur anwendbar sind

Von den 93 Kontrollen in Anlage A der Norm gelten mehrere unmittelbar für Signatur-Workflows:

Kontrolle 5.14 – Informationsübermittlung: legt formale Regeln für die sichere Übermittlung von Dokumenten zur Unterzeichnung fest, insbesondere über verschlüsselte Protokolle (TLS 1.3 Minimum).

Kontrolle 8.24 – Einsatz von Kryptographie: verlangt eine dokumentierte Verschlüsselungsrichtlinie, die die für die Generierung und Überprüfung elektronischer Signaturen verwendeten Algorithmen abdeckt. In der Praxis bedeutet dies die Verwendung von Algorithmen, die den Empfehlungen der ANSSI entsprechen (RSA-3072 oder ECDSA-256 Minimum im Jahr 2026).

Kontrolle 8.12 – Prävention von Datenlecks (DLP): schützt personenbezogene Daten in den unterzeichneten Dokumenten, in direkter Übereinstimmung mit DSGVO-Verpflichtungen.

Kontrolle 5.18 – Zugriffsrechte: stellt sicher, dass nur befugte Personen ein Dokument in der Plattform einleiten, signieren oder einsehen können.

ISO 27001 vs. andere Sicherheitszertifizierungen: welche Komplementarität?

ISO 27001 ist nicht die einzige relevante Norm, bildet aber die Grundlage. Sie wird ergänzt durch:

• SOC 2 Type II (US-amerikanische Norm, häufig von Unternehmen an der NYSE gefordert)
• ISO/IEC 27017 und 27018: spezifische Erweiterungen für Cloud und Schutz personenbezogener Daten in der Cloud
• eIDAS-Qualifizierung von akkreditierten Stellen (LSTI in Frankreich): obligatorisch für Qualifizierte Vertrauensdiensteanbieter (QVDA)

Ein Anbieter elektronischer Signaturen, der sowohl ISO 27001-zertifiziert als auch eIDAS-qualifiziert ist, bietet somit ein maximales Sicherheitsniveau, das mit dem detailliert in der umfassenden Anleitung zur eIDAS 2.0-Verordnung beschrieben wird, übereinstimmt.

Spezifische Anforderungen für SaaS-Anbieter elektronischer Signaturen

Die Auswahl eines ISO 27001-zertifizierten SaaS-Anbieters für elektronische Signaturen bedeutet nicht, dass Ihre eigene Organisation abgedeckt ist – aber es bedingt stark das Niveau des Restrisikos, das Sie eingehen.

Der Zertifizierungsumfang: Was Sie überprüfen müssen

Bei der Bewertung eines Anbieters sind drei Fragen entscheidend:

1. Deckt der Zertifizierungsumfang den Signaturservice ab? Ein Anbieter kann ISO 27001-zertifiziert für seine Softwareentwicklungsaktivitäten sein, ohne dass die Signaturplattform im Umfang liegt. Fordern Sie das offizielle Zertifikat an und überprüfen Sie die Erklärung zum Anwendungsbereich (Statement of Applicability).

1. Ist die Zertifizierung aktuell? ISO 27001 verlangt jährliche Überwachungsaudits und ein Erneuerungsaudit alle drei Jahre. Ein abgelaufenes Zertifikat macht jede Garantie ungültig.

1. Welche Zertifizierungsstelle? In Österreich werden von akkreditierten Stellen (BSI Group, LRQA, SGS, Bureau Veritas usw.) ausgestellte Zertifikate anerkannt. Eine Selbsterklärung der Konformität hat keinen rechtlichen Wert.

Incident-Management und Business Continuity

ISO 27001 verlangt einen dokumentierten und getesteten Business Continuity Plan (BCP) und Disaster Recovery Plan (DRP). Für eine elektronische Signaturplattform bedeutet dies konkret:

• Ein RTO (Recovery Time Objective) von weniger als 4 Stunden für Produktionsumgebungen
• Ein RPO (Recovery Point Objective) von weniger als 1 Stunde, um Datenverluste von Signaturen zu vermeiden
• Wiederherstellungstests, die mindestens halbjährlich dokumentiert werden
• Ein Verfahren zur Meldung von Sicherheitsvorfällen gemäß Artikel 33 der DSGVO (maximal 72 Stunden)

Diese Anforderungen entsprechen denen der NIS2-Richtlinie, die in österreichisches Recht durch die Verordnung zur Umsetzung der NIS2-Richtlinie umgesetzt wurde und für wesentliche und wichtige Einrichtungen verstärkte Cybersicherheitsmaßnahmen und Meldepflichten für Sicherheitsvorfälle vorschreibt.

Wie die ISO 27001-Zertifizierung den Beweiswert der elektronischen Signatur erhöht

Ein oft von Juristen und Käufern übersehener Punkt: Die rechtliche Solidität einer qualifizierten elektronischen Signatur hängt teilweise von der technischen Vertrauenskette ab, die sie unterstützt. Ein Dokument, das auf einer Plattform mit beeinträchtigter Sicherheit unterzeichnet ist, kann seinen Beweiswert vor Gericht angefochten werden.

Datenintegrität als juristische Grundlage

Das österreichische Privatrecht stellt ähnliche Anforderungen wie deutsche Regelungen an die elektronische Signatur. Die Bedingung der Integrität ist genau der zentrale Gegenstand der ISO 27001.

Im Streitfall kann ein ISO 27001-zertifizierter Anbieter vorweisen:

• Unveränderbare Audit-Logs, die die Zugriffsverlauf nachweisen
• Zertifizierungsaudit-Berichte, die die implementierten Kontrollen belegen
• Die Kryptographie-Schlüsselverwaltungsrichtlinie, die der Anlage A entspricht

Diese Elemente bilden eine Beweiskette, die die Position der Partei, die die Gültigkeit der Signatur geltend macht, erheblich stärkt. Für weitere Informationen über den rechtlichen Wert verschiedener Signaturebenen lesen Sie unseren Vergleich von Lösungen elektronischer Signaturen.

Nachweisorientierte Archivierung und Aufbewahrungsdauer

ISO 27001, kombiniert mit der Norm NF Z42-020 (digitales Tresorhaus) und den Empfehlungen der ETSI EN 319 162 (qualifizierter elektronischer Archivierungsdienst), ermöglicht die Definition einer Archivierungsrichtlinie, die den Beweiswert von Signaturen über lange Zeiträume garantiert – bis zu 30 Jahren für bestimmte Handelsverträge.

Die Kontrolle 8.10 – Informationslöschung der ISO 27001 schreibt zudem dokumentierte Verfahren für die sichere Vernichtung von Daten am Ende ihres Lebenszyklus vor, im Einklang mit dem Recht auf Löschung der DSGVO (Artikel 17).

Wie Sie die Konformität ISO 27001 Ihres Signaturanbieters bewerten und fordern

Im Rahmen eines SaaS-Kauf- oder Vertragserneuerungsprozesses folgt hier ein Bewertungsprotokoll in vier Schritten.

Schritt 1: Offizielles Zertifikat anfordern und überprüfen

Fordern Sie das Zertifikat ISO/IEC 27001:2022 (nicht die Version 2013, die seit Oktober 2025 veraltet ist) zusammen mit dem aktuellsten Überwachungsaudit-Bericht an. Überprüfen Sie das Gültigkeitsdatum in der Zertifizierungsstellen-Registry.

Schritt 2: Die Anwendbarkeitserklärung (SoA) analysieren

Die Statement of Applicability listet die ausgewählten und ausgeschlossenen Kontrollen mit Begründung auf. Jede Kontrolle, die ohne dokumentierte Begründung ausgeschlossen wird, stellt ein zu bewertendes Restrisiko in Ihrer Lieferanten-Risikoanalyse dar.

Schritt 3: Anforderungen in den Vertrag integrieren

Ihr Vertrag mit dem Anbieter muss folgende Punkte enthalten:

• Eine Klausel zur Aufrechterhaltung der Zertifizierung mit Benachrichtigungspflicht bei Aussetzung
• Ein Audit-Recht oder Zugriff auf jährliche Dritt-Audit-Berichte
• Security-SLAs, die mit dem BCP/DRP des Anbieters übereinstimmen
• Eine Haftungsklausel für Sicherheitsvorfälle, die die Integrität von Signaturen beeinträchtigen

Schritt 4: Eigene Risikoanalyse durchführen

Auch ein zertifizierter Anbieter deckt nicht Ihre internen Risiken ab. ISO 27001 verlangt von Ihrer eigenen Organisation eine Risikoanalyse (Klausel 6.1.2), die insbesondere folgende Punkte abdeckt:

• Verwaltung der Mitarbeiterzugriffe auf die Signaturplattform
• Sensibilisierung für Phishing-Attacken, die auf Signatur-Workflows abzielen
• Richtlinie für die Verwaltung von Signaturvollmachten

Dieser Ansatz integriert sich natürlich in eine Gesamtpolitik für die Verwaltung elektronischer Signaturen für HR- und Rechtsabteilungen, wo die Mengen an bearbeiteten Dokumenten erhebliche operative Risiken mit sich bringen.

Anwendbares Rechtsrahmenwerk für elektronische Signatur und ISO 27001

Die Konformität eines Systems elektronischer Signaturen beruht auf einem normativen Schichtaufbau, den jedes B2B-Unternehmen beherrschen muss.

Österreichisches Privatrecht und eIDAS: Das eIDAS-Regelwerk (Verordnung (EU) Nr. 910/2014 und eIDAS 2.0 (Verordnung (EU) 2024/1183)) ist in allen EU-Mitgliedstaaten anwendbar, einschließlich Österreich. Es unterscheidet drei Signaturebenen (einfach, fortgeschritten, qualifiziert) und schreibt für Qualifizierte Vertrauensdiensteanbieter (QVDA) Audits der Konformität durch akkreditierte Stellen vor. Die Überarbeitung eIDAS 2.0, die schrittweise ab Mai 2024 Anwendung findet, verschärft die Aufsichtsanforderungen und führt das europäische Digital Wallet (EUDIW) ein.

DSGVO Verordnung (EU) 2016/679: Die in unterzeichneten Dokumenten enthaltenen personenbezogenen Daten (Identität des Unterzeichners, IP-Adresse, Zeitstempel) stellen personenbezogene Daten dar. Der Verantwortliche muss ihren Schutz sicherstellen (Artikel 5), Verletzungen innerhalb von 72 Stunden melden (Artikel 33) und Privacy by Design implementieren (Artikel 25). ISO 27001 bietet den technischen Rahmen für die Compliance-Umsetzung.

NIS2-Richtlinie (Richtlinie (EU) 2022/2555): Wesentliche und wichtige Einrichtungen – darunter viele B2B-Akteure – müssen angemessene Cybersicherheitsmaßnahmen einschließlich der Verwaltung lieferantenbezogener Risiken (Artikel 21) implementieren. Ein Signaturanbieter ohne ISO 27001-Zertifizierung kann ein Lieferantenrisiko im Sinne von NIS2 darstellen.

ETSI-Normen: Die Serie ETSI EN 319 100 definiert technische Anforderungen für qualifizierte elektronische Signaturen (EN 319 132 für XAdES, EN 319 122 für CAdES, EN 319 142 für PAdES). Diese technischen Normen setzen eine mit ISO 27001-Standards konformen Sicherheitsinfrastruktur voraus.

ANSSI-Referenz: In Frankreich veröffentlicht die Agentur nationale de la sécurité des systèmes d'information Empfehlungen zu Kryptographie-Algorithmen (RGS-Referenztextil), deren Implementierung durch ein ISO 27001-zertifiziertes ISMS erleichtert wird. Die eIDAS-Qualifizierung französischer Anbieter wird von der ANSSI als nationale Aufsichtsbehörde geprüft.

Die Abwesenheit einer ISO 27001-Zertifizierung bei einem Signaturanbieter setzt das Kundenunternehmen dem Risiko von Anfechtungen des Beweiswerts unterzeichneter Dokumente aus, DSGVO-Bußgeldern (bis zu 4 % des weltweiten Umsatzes oder 20 Mio. €) und einer Haftung für NIS2-Nichtkonformität.

Anwendungsszenarien: ISO 27001 und elektronische Signatur in der Praxis

Szenario 1 – Eine Wirtschaftskanzlei mit 25 Mitarbeitern

Eine auf M&A spezialisierte Kanzlei behandelt jährlich über 600 Urkunden, die fortgeschrittene oder qualifizierte elektronische Signaturen erfordern (NDA, Absichtserklärungen, Abtretungsvereinbarungen). Nach einem internen Audit, das Mängel bei der Nachverfolgung von Plattformzugriffen für elektronische Signaturen offenbart, entscheidet sich die Kanzlei dafür, nur noch Anbieter mit ISO/IEC 27001:2022-Zertifizierung mit explizitem Signaturservice-Umfang zu akzeptieren.

Ergebnis: Nach der Migration zu einer zertifizierten Plattform verringert sich der Aufwand für Sicherheits-Due Diligence bei Kundenausschreibungen um 40 %, und die Kanzlei kann Zertifizierungs-Audit-Berichte innerhalb von 48 Stunden bei Kundenanforderungen vorlegen. Die durchschnittliche Dauer der vertraglichen Validierung sinkt von 3,2 Tagen auf 1,4 Tage.

Szenario 2 – Ein Industrieunternehmen, das jährlich 1.500 Lieferantenverträge verwaltet

Ein kleines Tier-1-Subunternehmen eines Automobilherstellers muss gegenüber seinem Auftraggeber nachweisen, dass die gesamte Kette von elektronischen Signaturen (Bestellungen, Rahmenverträge, Änderungen) den ISO 27001-Anforderungen entspricht, die der Einkaufsstandard des Konzerns vorgibt. Das KMU erstellt eine Kartierung seiner Lieferantenrisiken gemäß Klausel 6.1.2 der Norm und stellt fest, dass sein ehemaliger SaaS-Anbieter keine aktuell gültige Zertifizierung besitzt.

Nach der Migration zu einer zertifizierten Lösung und der Umsetzung eines internen ISMS erhält das KMU die erforderliche Lieferantenqualifikation und sichert sich einen 4-jährigen Rahmenvertrag. Die Kosten der Zertifizierung (etwa 15.000 bis 25.000 € für ein KMU dieser Größe gemäß spezialisierten Beratungsbüros) amortisieren sich in weniger als sechs Monaten angesichts des gesicherten Vertragsvolumens.

Szenario 3 – Ein Klinikenverbund mit etwa 1.200 Betten

Im Gesundheitssektor unterliegen Behandlungseinrichtungen verstärkten Anforderungen: Verarbeitung von Gesundheitsdaten (Sonderkategorie gemäß Artikel 9 DSGVO), HDS-Zertifizierung (Hébergeur de Données de Santé) und nunmehr NIS2-Qualifizierung als wesentliche Einrichtung. Der Klinikenverbund führt elektronische Signaturen für Arbeitsverträge, klinische Forschungsvereinbarungen und öffentliche Ausschreibungen ein (etwa 900 Dokumente/Monat).

Durch die Auswahl eines Anbieters mit ISO 27001-Zertifizierung, HDS-Zertifizierung und eIDAS QVDA-Qualifizierung reduziert die Einrichtung das DSGVO-Nichtkonformitätsrisiko laut ihrer Datenschutzbeauftragten um 60 %, und profitiert von garantierter nachweisorientierter Archivierung für 30 Jahre bei medizinisch-rechtlichen Dokumenten. Die Unterzeichnungszeit für klinische Forschungsverträge sinkt im Schnitt von 12 Tagen auf 3,5 Tage, wodurch erhebliche Ressourcen für Verwaltungsteams freigegeben werden.

Fazit

Im Jahr 2026 ist die Zertifizierung ISO/IEC 27001:2022 für Anbieter elektronischer Signaturen nicht mehr nur ein Marketingargument: Sie bildet eine unverzichtbare technische und rechtliche Grundlage, um die Integrität unterzeichneter Dokumente, DSGVO- und NIS2-Konformität sowie den Beweiswert vertraglicher Verpflichtungen zu garantieren. Für B2B-Unternehmen ist die Forderung dieser Zertifizierung bei ihrem SaaS-Lieferanten zu einer angemessenen Due-Diligence-Verpflichtung geworden, genauso wie die Überprüfung der eIDAS-Qualifizierung.

Certyneo ist ISO/IEC 27001:2022-zertifiziert mit Umfang für die Gesamtheit seiner Plattform elektronischer Signaturen. Unsere Teams können Sie bei der Bewertung Ihrer aktuellen Konformität und der Umsetzung eines sicheren, an Ihre Volumen und Branche angepassten Signatur-Workflows unterstützen. Fordern Sie eine kostenlose Demo auf Certyneo an oder erkunden Sie unsere Tarife, um das passende Paket für Ihre Organisation zu finden.