Elektronische Signatur und ISO-27001-Norm: Leitfaden 2026

Die elektronische Signatur hat sich als Rückgrat von B2B-Vertragsprozessen etabliert, aber ihr rechtlicher und kommerzieller Wert beruht auf einer oft unterschätzten Voraussetzung: der Robustheit des Informationssystems, das sie unterstützt. Genau hier kommt die Norm ISO/IEC 27001 ins Spiel, das internationale Referenzsystem für das Management der Informationssicherheit. 2026, wenn sich Cyberanschläge auf Signaturplattformen häufen und die eIDAS-2.0-Verordnung die Anforderungen an Vertrauensdienstleister verschärft, ist die Frage nach ISO-27001-Zertifizierung nicht mehr ein Luxus für Grosskonzerne: Sie wird zum Standard-Auswahlkriterium für jeden Einsatz elektronischer Signaturen im Unternehmen.

Dieser Artikel analysiert die Synergien zwischen ISO 27001 und elektronischer Signatur, die konkreten Verpflichtungen, die sie mit sich bringt, die Risiken der Nichtkonformität und die Schritte zur Erlangung oder Bewertung einer Zertifizierung bei Ihrem SaaS-Anbieter.

Was ist die ISO-27001-Norm und warum ist sie für elektronische Signaturen zentral?

Die von der Internationalen Normungsorganisation (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlichte Norm ISO/IEC 27001:2022 (überarbeitete Version von Oktober 2022) definiert die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Sie umfasst 93 Kontrollen, die in vier Kategorien unterteilt sind: organisatorische Kontrollen, Personalkontrollen, physische Kontrollen und technologische Kontrollen.

Für elektronische Signaturen ist diese Norm von besonderer Bedeutung, da sie die drei Säulen der Informationssicherheit direkt adressiert:

• Vertraulichkeit: Schutz signierter Dokumente vor unbefugtem Zugriff
• Integrität: Gewährleistung, dass Dokumente nach der Unterzeichnung nicht verändert werden
• Verfügbarkeit: Erreichbarkeit der Signaturnachweise im Falle eines möglichen Rechtsstreits

ISO-27001-Kontrollen, die direkt auf elektronische Signaturen anwendbar sind

Unter den 93 Kontrollen des Anhangs A der Norm gelten mehrere direkt für Signatur-Workflows:

Kontrolle 5.14 – Informationstransfer: schreibt formale Regeln für die sichere Übertragung zu signierender Dokumente vor, insbesondere über verschlüsselte Protokolle (mindestens TLS 1.3).

Kontrolle 8.24 – Verwendung von Kryptographie: erfordert eine dokumentierte Verschlüsselungsrichtlinie, die die für die Generierung und Überprüfung elektronischer Signaturen verwendeten Algorithmen abdeckt. In der Praxis bedeutet dies die Verwendung von Algorithmen, die den Empfehlungen der ANSSI entsprechen (mindestens RSA-3072 oder ECDSA-256 ab 2026).

Kontrolle 8.12 – Prävention von Datenlecks (DLP): schützt personenbezogene Daten in unterzeichneten Dokumenten, in direkter Übereinstimmung mit den DSGVO-Anforderungen.

Kontrolle 5.18 – Zugriffsrechte: gewährleistet, dass nur autorisierte Personen ein Dokument auf der Plattform initiieren, unterzeichnen oder einsehen können.

ISO 27001 versus andere Sicherheitszertifizierungen: welche Komplementarität?

ISO 27001 ist nicht die einzige relevante Norm, bildet aber das Fundament. Sie wird ergänzt durch:

• SOC 2 Type II (amerikanische Norm, oft von an der NYSE notierten Unternehmen gefordert)
• ISO/IEC 27017 und 27018: Cloud-spezifische Erweiterungen und Schutz personenbezogener Daten in der Cloud
• eIDAS-Qualifizierung durch akkreditierte Stellen (LSTI in Frankreich): obligatorisch für qualifizierte Vertrauensdienstleister (QTRSP)

Ein elektronischer Signaturanbieter, der ISO 27001 zertifiziert UND eIDAS-qualifiziert ist, bietet somit ein maximales Garantieniveau, das mit dem umfassenden Leitfaden zur eIDAS-2.0-Verordnung übereinstimmt.

Spezifische Anforderungen für SaaS-Anbieter elektronischer Signaturen

Die Wahl eines als ISO 27001 zertifizierten SaaS-Anbieters für elektronische Signaturen bedeutet nicht, dass Ihre eigene Organisation geschützt ist – aber es beeinflusst stark das Restrisiko, das Sie übernehmen.

Der Zertifizierungsbereich: das ist zu überprüfen

Bei der Bewertung eines Lieferanten sind drei Fragen entscheidend:

1. Umfasst der Zertifizierungsbereich den Signaturdienst? Ein Softwareanbieter kann ISO 27001 für seine Softwareentwicklungsaktivitäten zertifiziert sein, ohne dass die Signaturplattform in den Geltungsbereich fällt. Fordern Sie das offizielle Zertifikat an und überprüfen Sie die Gültigkeitserklärung (Statement of Applicability).

1. Ist die Zertifizierung aktuell? ISO 27001 erfordert jährliche Überwachungsaudits und ein Rezertifizierungsaudit alle drei Jahre. Ein abgelaufenes Zertifikat macht jede Garantie ungültig.

1. Welche Zertifizierungsstelle? In Frankreich erteilen vom COFRAC akkreditierte Stellen (Bureau Veritas, SGS, BSI Group, LRQA ...) anerkannte Zertifizierungen. Eine Selbsterklärung der Konformität hat keinen rechtlichen Wert.

Incident-Management und Geschäftskontinuität

ISO 27001 erfordert einen dokumentierten und getesteten Business Continuity Plan (BCP) und Disaster Recovery Plan (DRP). Für eine elektronische Signaturplattform bedeutet dies konkret:

• Ein RTO (Recovery Time Objective) von weniger als 4 Stunden für Produktionsumgebungen
• Ein RPO (Recovery Point Objective) von weniger als 1 Stunde, um Datenverluste bei Signaturen zu vermeiden
• Wiederherstellungstests, die mindestens halbjährlich dokumentiert werden
• Ein Verfahren zur Meldung von Sicherheitsvorfällen gemäss Artikel 33 der DSGVO (maximal 72 Stunden)

Diese Anforderungen entsprechen denen der NIS2-Richtlinie, die durch das französische Gesetz Nr. 2024-449 vom 21. Mai 2024 in nationales Recht umgesetzt wurde und wesentliche und wichtige Einrichtungen verpflichtet, Meldepflichten bei Vorfällen und verstärkte Cybersicherheitsmassnahmen einzuführen.

Wie die ISO-27001-Zertifizierung den Beweiswert der elektronischen Signatur stärkt

Ein oft übersehener Aspekt für Juristen und Käufer: Die rechtliche Solidität einer qualifizierten elektronischen Signatur hängt teilweise von der technischen Vertrauenskette ab, die sie unterstützt. Ein auf einer Plattform mit kompromittierter Sicherheit unterzeichnetes Dokument kann seinen Beweiswert vor Gericht angefochten sehen.

Die Datenintegrität als rechtliche Grundlage

Artikel 1366 des Code civil bestimmt, dass elektronische Signaturen den Wert handschriftlicher Signaturen haben, „sofern der Verfasser ordnungsgemäss identifiziert werden kann und sie unter Bedingungen erstellt und bewahrt worden sind, die eine Garantie ihrer Integrität bieten". Diese Integritätsbedingung ist genau der zentrale Gegenstand von ISO 27001.

Im Falle eines Rechtsstreits kann ein ISO-27001-zertifizierter Anbieter folgende Nachweise erbringen:

• Unveränderliche Audit-Logs, die die Geschichte der Zugriffe nachweisen
• Zertifizierungsaudit-Berichte, die die geltenden Kontrollen bescheinigen
• Die Richtlinie zur Verwaltung kryptographischer Schlüssel, die dem Anhang A entspricht

Diese Elemente bilden ein Beweisgeflecht, das die Position der Partei, die die Gültigkeit der Signatur geltend macht, erheblich stärkt. Weitere Informationen zum Beweiswert verschiedener Signaturebenen finden Sie in unserem Vergleich elektronischer Signaturgösungen.

Probativer Archivierung und Aufbewahrungsdauer

ISO 27001, kombiniert mit der Norm NF Z42-020 (digitaler Safe) und den Empfehlungen der ETSI EN 319 162 (qualifizierter elektronischer Archivierungsdienst), ermöglicht die Definition einer Archivierungsrichtlinie, die den Beweiswert von Signaturen über längere Zeiträume hinweg garantiert – bis zu 30 Jahren für bestimmte Geschäftskontrakte.

Die ISO-27001-Kontrolle 8.10 – Informationslöschung schreibt zudem dokumentierte Verfahren für die sichere Vernichtung von Daten am Ende ihres Lebenszyklus vor, im Einklang mit dem Recht auf Vergessenwerden der DSGVO (Artikel 17).

Wie Sie die ISO-27001-Konformität Ihres Signaturanbieters bewerten und einfordern

Bei einem SaaS-Kauf- oder Vertragserneuerungsprozess finden Sie hier ein vierstufiges Evaluierungsprotokoll.

Schritt 1: Offizielles Zertifikat anfordern und überprüfen

Fordern Sie das Zertifikat ISO/IEC 27001:2022 (nicht die mittlerweile veraltete Version 2013, die seit Oktober 2025 obsolet ist) zusammen mit dem aktuellsten Überwachungsaudit-Bericht an. Überprüfen Sie das Gültigkeitsdatum im Register der Zertifizierungsstelle.

Schritt 2: Statement of Applicability (SoA) analysieren

Die Statement of Applicability listet die herangezogenen und ausgeschlossenen Kontrollen mit Begründung auf. Jede ohne dokumentierte Begründung ausgeschlossene Kontrolle stellt ein zu bewertendes Restrisiko in Ihrer Lieferanten-Risikoanalyse dar.

Schritt 3: Sicherheitsanforderungen im Vertrag integrieren

Ihr Vertrag mit dem Anbieter sollte enthalten:

• Eine Klausel zur Aufrechterhaltung der Zertifizierung mit Notifizierungspflicht bei Suspendierung
• Ein Audit- oder Zugangsrecht zu jährlichen Dritt-Audit-Berichten
• SLAs zur Sicherheit, die dem PCA/DRP des Anbieters entsprechen
• Eine Haftungsklausel bei Sicherheitsvorfällen, die die Integrität von Signaturen beeinträchtigen

Schritt 4: Führen Sie Ihre eigene Risikoanalyse durch

Auch ein zertifizierter Anbieter deckt Ihre internen Risiken nicht ab. ISO 27001 schreibt Ihrer eigenen Organisation eine Risikoanalyse vor (Klausel 6.1.2), die insbesondere folgende Aspekte abdeckt:

• Verwaltung des Zugriffs von Mitarbeitern auf die Signaturplattform
• Aufklärung über Phishing-Anschläge, die auf Signatur-Workflows abzielen
• Richtlinie zur Verwaltung von Signaturvollmachten

Dieser Ansatz integriert sich natürlich in eine Gesamtpolitik zur Verwaltung elektronischer Signaturen für HR- und Rechtsabteilungen, wo die Volumina verarbeiteter Dokumente erhebliche betriebliche Risiken bergen.

Anwendbarer Rechtsrahmen für elektronische Signaturen und ISO 27001

Die Conformité eines elektronischen Signatursystems beruht auf einem Schichtung von Standards, die jedes B2B-Unternehmen beherrschen muss.

Code civil, Artikel 1366 und 1367: Artikel 1366 stellt die Äquivalenz zwischen elektronischer und handschriftlicher Signatur unter der Bedingung der Identifizierung des Verfassers und der Garantie der Integrität fest. Artikel 1367 definiert elektronische Signatur als „die Verwendung eines zuverlässigen Identifizierungsverfahrens, das seine Verbindung mit dem Dokument, dem es angehört, garantiert".

Verordnung eIDAS Nr. 910/2014 und eIDAS 2.0 (Verordnung EU 2024/1183): Anwendbar in allen EU-Mitgliedstaaten, sie unterscheidet drei Signaturstufen (einfach, fortgeschritten, qualifiziert) und schreibt den qualifizierten Vertrauensdiensteanbietern (QTRSP) Compliance-Audits durch akkreditierte Stellen vor. Die eIDAS-2.0-Überarbeitung, die seit Mai 2024 schrittweise in Kraft tritt, verschärft die Aufsichtsanforderungen und führt das europäische digitale Identitätsportfolio (EUDIW) ein.

Verordnung DSGVO Nr. 2016/679: In unterzeichneten Dokumenten enthaltene personenbezogene Daten (Identität des Unterzeichners, IP-Adresse, Zeitstempel) sind personenbezogene Daten. Der Verantwortliche muss ihren Schutz sicherstellen (Artikel 5), Verstösse innerhalb von 72 Stunden melden (Artikel 33) und Datenschutz durch Design umsetzen (Artikel 25). ISO 27001 bietet den technischen Rahmen für die Umsetzung der Compliance.

NIS2-Richtlinie (Richtlinie EU 2022/2555), umgesetzt in französisches Recht durch Gesetz Nr. 2024-449 vom 21. Mai 2024: Wesentliche und wichtige Einrichtungen – darunter viele B2B-Akteure – müssen angemessene Cybersicherheitsmassnahmen durchführen, einschliesslich der Verwaltung von Lieferantenrisiken (Artikel 21). Ein nicht ISO-27001-zertifizierter Signaturanbieter kann ein Dritt-Risiko im Sinne der NIS2 darstellen.

ETSI-Normen: Die Serie ETSI EN 319 100 definiert die technischen Anforderungen für qualifizierte elektronische Signaturen (EN 319 132 für XAdES, EN 319 122 für CAdES, EN 319 142 für PAdES). Diese technischen Normen setzen eine ISO-27001-konforme Sicherheitsinfrastruktur voraus.

ANSSI-Referential: In Frankreich veröffentlicht die Agence nationale de la sécurité des systèmes d'information (Nationale Agentur für Informationssicherheit) Empfehlungen zu kryptographischen Algorithmen (RGS-Referential – Allgemeines Sicherheitsreferential), deren Umsetzung durch ein ISO-27001-zertifiziertes ISMS erleichtert wird. Die eIDAS-Qualifizierung französischer Anbieter wird von der ANSSI als nationale Aufsichtsbehörde geprüft.

Das Fehlen von ISO-27001-Zertifizierung bei einem Signaturanbieter setzt das kundenorientierte Unternehmen dem Risiko der Anfechtung des Beweiswertes unterzeichneter Dokumente aus, DSGVO-Bussgeldern (bis zu 4 % des weltweiten Umsatzes oder 20 M€) und einer Infragestellung seiner NIS2-Konformität.

Anwendungsszenarien: ISO 27001 und elektronische Signatur in der Praxis

Szenario 1 – Eine Wirtschaftskanzlei mit 25 Mitarbeitern

Eine auf M&A spezialisierte Kanzlei verarbeitet jährlich über 600 Urkunden, die eine fortgeschrittene oder qualifizierte elektronische Signatur erfordern (NDAs, Absprachen-Protokolle, Abtretungskonventionen). Nach einem internen Audit, das Lücken in der Transparenz von Zugriffen auf die Signaturplattform offenbarte, entscheidet sich die Kanzlei, nur noch Anbieter zu akzeptieren, die ISO/IEC 27001:2022 zertifiziert sind und deren Geltungsbereich explizit den Signaturdienst umfasst.

Ergebnis: Nach der Migration zur einer zertifizierten Plattform stellt die Kanzlei eine 40%-ige Verringerung des Zeit- und Ressourcenaufwands für Sicherheits-Due-Diligence bei Kundenausschreibungen fest, und kann Zertifizierungsaudit-Berichte innerhalb von 48 Stunden bereitstellen, wenn Grosskonzern-Kunden diese anfordern. Die durchschnittliche Dauer der vertraglichen Validierung verkürzt sich von 3,2 Tagen auf 1,4 Tage.

Szenario 2 – Ein Industrieunternehmen mit jährlich 1.500 Lieferantenverträgen

Ein KMU-Zulieferer Tier-1 eines Automobilherstellers muss seinem Auftraggeber nachweisen, dass seine gesamte Signaturkette (Bestellscheine, Rahmenkontrakte, Zusatzvereinbarungen) die ISO-27001-Anforderungen des Einkaufsreferenzials der Gruppe erfüllt. Das KMU führt eine Kartographierung seiner Lieferantenrisiken gemäss Klausel 6.1.2 der Norm durch und stellt fest, dass sein ehemaliger SaaS-Anbieter keine gültige Zertifizierung mehr hält.

Nach der Migration zur einer zertifizierten Lösung und Einrichtung eines internen ISMS erhält das KMU die erforderliche Lieferantenqualifizierung und sichert einen vierjährigen Rahmenvertrag. Die Zertifizierungskosten (etwa 15.000 bis 25.000 € für ein KMU dieser Grösse je nach spezialisierter Beratungsfirma) amortisieren sich innerhalb von weniger als sechs Monaten angesichts des gesicherten Vertragsgvolumens.

Szenario 3 – Ein Krankenhausgruppe mit etwa 1.200 Betten

Im Gesundheitswesen unterliegen Einrichtungen verstärkten Anforderungen: Verarbeitung von Gesundheitsdaten (besondere Kategorie nach Artikel 9 der DSGVO), HDS-Zertifizierung (Gesundheitsdaten-Hosting) und nunmehr NIS2-Qualifizierung als wesentliche Einrichtung. Die Krankenhausgruppe führt die elektronische Signatur für ihre Arbeitsverträge, Forschungsklinischeverträge und öffentliche Ausschreibungen ein (etwa 900 Dokumente/Monat).

Durch die Wahl eines Anbieters, der ISO-27001-Zertifizierung, HDS-Zertifizierung und eIDAS-QTRSP-Qualifizierung vereint, reduziert die Einrichtung ihr Risiko von DSGVO-Nichtkonformität um 60 % nach Aussage ihres DPO und profitiert von einer 30-Jahre-Garantie für probative Archivierung klinischer Rechtsdokumente. Die durchschnittliche Signaturzeit für Forschungsverträge sinkt von 12 Tagen auf durchschnittlich 3,5 Tage, was administrative Ressourcen für die Teams freisetzt.

Fazit

2026 ist die ISO/IEC 27001:2022-Zertifizierung kein reines Marketing-Argument für Signaturanbieter mehr: Sie stellt ein technisches und rechtliches Fundament dar, das für die Garantie der Integrität unterzeichneter Dokumente, die DSGVO- und NIS2-Konformität sowie den Beweiswert von Vertragsabschlüssen unverzichtbar ist. Für B2B-Unternehmen ist die Forderung dieser Zertifizierung bei ihrem SaaS-Anbieter zu einem Gebot der angemessenen Sorgfalt geworden, genauso wie die Überprüfung der eIDAS-Qualifizierung.

Certyneo ist ISO/IEC 27001:2022 zertifiziert mit einem Geltungsbereich, der die gesamte Signaturplattform abdeckt. Unsere Teams können Sie bei der Bewertung Ihrer aktuellen Conformité unterstützen und die Umsetzung eines sicheren, auf Ihre Volumina und Branche zugeschnittenen Signatur-Workflows begleiten. Fordern Sie eine kostenlose Demo bei Certyneo an oder erkunden Sie unsere Tarife, um das richtige Paket für Ihr Unternehmen zu finden.