Zum Inhalt springen
swipesign

Einfache elektronische Signaturen: Digitales Theater zum Preis einer E-Mail.

Ein Vertrag wurde mit einer sogenannten „einfachen elektronischen Signatur“ unterzeichnet. Keine Identitätsprüfung. Keine Verschlüsselung. Kein Manipulationsschutz. Später behauptete jemand, das Dokument nie gesehen zu haben. Niemand konnte das Gegenteil beweisen.

Neu12 Min. LesezeiteIDAS · Compliance
Wichtige Erkenntnisse
  • SES ist nach eIDAS rechtsgültig — aber ohne Verschlüsselung, ohne Identitätsprüfung, ohne Manipulationsschutz.
  • Der Preisunterschied zwischen SES und AES ist winzig. Der Sicherheitsunterschied ist enorm.
  • SES ist für interne Genehmigungen in Ordnung. Für Verträge, die jemals strittig werden könnten, ist es das nicht.
  • swipesign verkauft SES bewusst nicht — es schafft nachgelagerte Probleme für Kunden.

Die einfache elektronische Signatur (SES) ist das Sicherheitstheater des digitalen Zeitalters. Sie sieht offiziell aus, weil sie elektronisch ist und unterzeichnet wurde. Sie fühlt sich legitim an, weil Sie ein digitales Signaturwerkzeug verwenden. Aber technisch gesehen ist sie lediglich ein Beweis dafür, dass jemand wahrscheinlich irgendwo geklickt hat, vielleicht. Das ist alles. Das ist die gesamte Garantie.

Kapitel 01

Was die einfache elektronische Signatur wirklich ist

SES ist das absolute Minimum. Gemäß der eIDAS-Verordnung ist sie technisch gesehen rechtsgültig. Aber Rechtsgültigkeit und tatsächliche Sicherheit sind nicht dasselbe.

Das bekommen Sie mit SES: einen Namen, wahrscheinlich. Einen Zeitstempel, vielleicht. Irgendeinen Nachweis, dass das Dokument in einem bestimmten Zustand zu einem bestimmten Zeitpunkt existiert. Das ist das gesamte Paket.

Was Sie mit SES NICHT bekommen
  • • Keine Identitätsprüfung — der Unterzeichner könnte jeder sein.
  • • Keine Verschlüsselung — das Dokument reist im Klartext.
  • • Kein Manipulationsschutz — der Vertrag kann sich ändern, die Signatur bleibt.
  • • Keine sinnvolle Authentifizierung — meist nur ein eingetippter Name oder ein „Ich stimme zu“-Klick.

Vergleichen Sie das mit der fortgeschrittenen elektronischen Signatur (AES), die qualifizierte Zertifikate, Verschlüsselung, Identitätsprüfung und Manipulationsschutz erfordert, oder der qualifizierten elektronischen Signatur (QES), die eine Identitätsprüfung per Ausweis erfordert und unter behördlicher Aufsicht steht.

SES ist keine leichtere Version von Sicherheit. Es ist die Abwesenheit von Sicherheit, verkleidet in der Sprache des digitalen Signierens.
Kapitel 02

Das Verschlüsselungsproblem

Werden wir konkret, warum SES im Grunde nur E-Mail ist.

Wenn Sie einen Vertrag per E-Mail senden, durchläuft er Internet-Infrastruktur, die an mehreren Stellen inspiziert, kopiert oder verändert werden könnte. Die empfangende Person hat keine Möglichkeit zu bestätigen, dass er nicht während der Übertragung verändert wurde. Sie muss einfach darauf vertrauen, dass er unverändert angekommen ist.

SES bietet dieselbe Garantie. Was heißt: keine Garantie. Das Dokument ist nicht verschlüsselt. Es ist nicht kryptografisch an den Unterzeichner gebunden. Es liegt einfach dort, und jeder, der in der Lage ist, es abzufangen, kann es lesen oder ändern.

Die Mathematik ändert alles
AES und QES verwenden Verschlüsselung. Die Signatur ist mathematisch an den Inhalt des Dokuments gebunden. Ändern Sie auch nur ein Zeichen, und die Signatur bricht. Das ist nicht theoretisch — jedes kompetente Prüfsystem wird es kennzeichnen. SES hat keine solche Garantie: Sie können jede Klausel des Vertrags ändern, und die SES-Signatur wird immer noch dort sitzen und genau gleich aussehen.
Kapitel 03

Das Problem der Identitätsprüfung

E-Mail hat dasselbe Identitätsproblem. Sie erhalten eine Nachricht von jemand@firma.de. Aber haben Sie sie wirklich von jemandem in dieser Firma erhalten? Oder hat jemand die Adresse gefälscht?

SES funktioniert genauso. Jemand tippt einen Namen oder eine E-Mail ein. Ist es wirklich diese Person? Niemand hat es überprüft. Kein System hat irgendetwas geprüft.

SES
Jemand behauptet, eine Person zu sein. Sie hoffen, dass es stimmt.
AES
Telefonprüfung, Sicherheitsfragen, Verifizierung durch Dritte.
QES
Amtlicher Ausweis, geprüft von einem qualifizierten Vertrauensdiensteanbieter.
Kapitel 04

Wann SES fast akzeptabel ist

Es gibt Situationen, in denen SES in Ordnung ist — weil Sie sich nicht wirklich auf die Signatur für die Sicherheit verlassen. Sie verwenden sie für Arbeitsabläufe oder Dokumentationszwecke.

  1. 1
    Interne Genehmigungen innerhalb Ihrer eigenen Organisation

    Alle Beteiligten sind Ihre Mitarbeiter oder Auftragnehmer. Die Signatur ist Dokumentation, dass jemand auf „Ich genehmige" geklickt hat. Sie können Browser-Protokolle, IP-Adresse prüfen oder einfach anrufen.

  2. 2
    Triviale administrative Abzeichnungen

    Eine Richtlinie bestätigen. Empfang eines Dokuments bestätigen. Interne Prozessänderungen. Wenn nichts auf dem Spiel steht, ist SES in Ordnung.

  3. 3
    Parteien mit einer etablierten Vertrauensbeziehung

    Ein langjähriger Lieferant, der eine Routineverlängerung unterzeichnet. Wenn Betrug ohnehin unwahrscheinlich ist, fügt SES Dokumentation hinzu, ohne viel Risiko hinzuzufügen.

Das war's. Alles andere braucht entweder AES — oder sollte physische Unterschriften mit Zeugen verwenden.

Kapitel 05

Die Kostenfalle

Die meisten SES-Anbieter berechnen pro Signatur. Nicht nichts, aber nicht viel. Ein paar Cent, vielleicht ein paar Euro am oberen Ende. Anbieter vermarkten es als die Budgetoption.

Aber hier ist die Rechnung, die ignoriert wird: Sie zahlen denselben oder fast denselben Preis wie für AES. AES ist vielleicht fünf- bis zehnmal sicherer, kostet aber nur etwa zehn bis zwanzig Prozent mehr pro Signatur. Der Kostenunterschied bewegt sich im Kleingeldbereich.

Sie bezahlen für Sicherheitstheater statt für echte Sicherheit — für fast dasselbe Geld. Das ist keine Budgetoptimierung. Das ist der Kauf des falschen Produkts.
Kapitel 06

Warum swipesign SES bewusst auslässt

Wir überspringen SES bewusst vollständig. Wir verkaufen es nicht. Wir bieten es nicht als Option an. Wir positionieren es nicht als „die Budget-Stufe“.

Denn SES schafft nachgelagerte Probleme. Jemand unterzeichnet etwas mit SES und denkt, er habe eine rechtsverbindliche Signatur. Hat er nicht. Er hat eine Dokumentation, dass jemand wahrscheinlich irgendwo geklickt hat. Wenn er diese Signatur jemals durchsetzen muss, hat er ein Problem.

Wie wir darüber denken
Wir bieten AES an, weil es die durchdachte Wahl für Geschäftsverträge ist — echte Identitätsprüfung, echte Verschlüsselung, echter Manipulationsschutz. Die Kosten sind fast identisch mit SES; die Sicherheit ist um Größenordnungen besser. Und wir bieten QES an, wenn die Situation es erfordert: Identitätsprüfung per Ausweis, behördliche Aufsicht, Vermutung der Gültigkeit bei Streitigkeiten.
Kapitel 07

Die ehrliche Bewertung

Wenn Sie für digitale Signaturen bezahlen und Ihnen jemand SES anbietet, wird Ihnen etwas verkauft, das so konzipiert ist, dass es sicher aussieht, während es fast keine tatsächliche Sicherheit bietet. Es ist, als würden Sie für eine Alarmanlage bezahlen, die nur ein Licht einschaltet, wenn Sie den Knopf drücken. Technisch ein Signal, funktional nutzlos.

Die meisten Geschäftsverträge brauchen mindestens AES. Manche brauchen QES. Niemand braucht tatsächlich SES, außer in Situationen, in denen physische Unterschriften oder E-Mail ohnehin genauso gut funktionieren würden.

Seien Sie nicht das Unternehmen, das wegen eines mit SES unterzeichneten Vertrags verklagt wird und feststellt, dass die Signatur, die Sie für rechtsverbindlich hielten, im Grunde nur ein Beweis dafür ist, dass Sie eine E-Mail erhalten haben. Holen Sie sich mindestens AES. Holen Sie sich echte Sicherheit. Der Kostenunterschied ist vernachlässigbar. Der Unterschied im Ergebnis, wenn etwas schiefgeht, ist enorm.

Bereit, richtig zu signieren?

Kein Theater mehr. AES oder QES von Anfang an.

swipesign bietet echte Identitätsprüfung, verschlüsselte Signaturen und manipulationssichere Audit-Trails — zu einem Preis, bei dem SES albern aussieht.

Kostenlos startenPreise ansehen

Weiter lesen

Alle Artikel →
Leitfaden
Die drei Arten elektronischer Signaturen erklärt
Artikel lesen →
Leitfaden
Rechtlich verbindliche elektronische Signaturen: Ihr Leitfaden
Artikel lesen →