Deutsch
English
Die elektronische Signatur: das Glossar
Elektronische Signaturen einfach erklärt
- Certifaction ist Ihr Knowledge-Hub rund um das Thema digitale Unterschriften. Sie haben noch Fragen?
API-Anbindung
Eine API ist eine Programmierschnittstelle, welche die automatisierte Interaktion mit einer Software erlaubt. Eine Anbindung an eine solche Schnittstelle ermöglicht Unternehmen, eine Software in ihr eigenes Produkt oder in Anwendungen des eigenen Workflows zu integrieren.
So können beispielsweise die elektronischen Signaturen von Certifaction integriert werden, ohne auf die manuelle Benutzung unserer Webapplikation angewiesen zu sein.
Branding
Branding bedeutet, dass ein Unternehmen eine Software bzw. eine grafische Benutzeroberfläche an ihre eigene Corporate Identity (CI) anpassen kann. Certifaction ermöglicht beispielsweise die Anpassung der SaaS-Lösung mit selbst wählbaren Brand-Farben und dem Firmen-Logo.
Digitale Signatur
Auch: Digitale Unterschrift
Elektronische Unterschriften, die auf digitalem Weg (beispielsweise über eine Computer-Software) erzeugt werden. Fast alle heute gängigen elektronischen Signaturen sind gleichzeitig auch digitale Signaturen.
Einfache eSignatur (EES)
Die Einfache elektronische Signatur ist ein Signaturstandard für elektronische Signaturen, bei dem Unterzeichner nur anhand ihrer E-Mail-Adresse identifiziert werden. Häufig genutzt im B2B-Bereich, wo eine Firmen-Mail-Adresse zumeist für die Identifikation ausreichend ist. Bei geringem Haftungsrisiko oder zwischen vertrauenswürdigen Parteien kann die SES auch bei privaten E-Mail-Adressen eingesetzt werden.
eSignatur / Elektronische Signatur
Elektronische Unterschrift.
Im Kontrast zu einer handschriftlichen Unterschrift kommt eine elektronische Unterschrift, bzw. elektronische Signatur (kurz: eSignatur), auf elektronischem Wege zustande. Auf diese Weise können etwa digitale Dokumente ohne Ausdrucke rechtsgültig unterschrieben werden.
ISO-27001-Zertifizierung
Zertifiziert Systeme, die der internationalen Norm ISO 27001 entsprechen. Diese Norm setzt hohe Standards an Informationssicherheits-Managementsysteme und verspricht in Folge einen grossen Schutz vor dem unbefugten Zugriff auf gespeicherte Daten. Server, die Certifaction zur Speicherung von Nutzerdaten nutzt, sind allesamt ISO-27001-zertifiziert.
Stapelsignatur
Auch: Multi-Sign / Batch Signing
Viele Anwendungsfälle erfordern es, dass eine grössere Anzahl an Dokumenten auf einmal unterschrieben werden – durch den Benutzer selbst und/oder durch Gegenparteien. Certifaction unterstützt sämtliche Fälle.
Privacy-First
Das Motto von Certifaction, auf Deutsch übersetzt „Datenschutz zuerst“. Es unterstreicht die hohen Standards, die Certifaction in diesem Bereich setzt etwa mithilfe lokaler Datenverarbeitung und End-to-End-Encryption (E2EE).
Rule of Least Privilege
Verfahrensregel innerhalb von Unternehmen, die besagt, dass externe Akteure Zugriffsrechte auf bestimmte Daten anfordern dürfen, wenn diese für ihre Tätigkeit benötigt werden wie beispielsweise für einen eSigning-Anbieter, der digital unterschriebene Dokumente verarbeitet.
Sie steht damit im Kontrast zur Rule of No Privilege, bei der keine solchen Zugriffsrechte vergeben werden.
Signaturstandards
Oberbegriff für alle standardmässig im eSigning genutzen Verfahren. Diese unterscheiden sich beispielsweise in der Art und Weise, wie Unterzeichner digital identifiziert werden. Erfahren Sie mehr über eSignatur-Standards.
Vertragsmanagement
Features, die die Organisation von Verträgen innerhalb eines Unternehmens erleichtern.
ZertES
(ZertES = Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate)
Schweizer Bundesgesetz, das die Rechtsgültigkeit von elektronischen Signaturen regelt. Digitale Signaturen von Anbietern wie Certifaction, die die Anforderungen von ZertES erfüllen, haben in der Schweiz volle Rechtsgültigkeit.
Audit Trail
Sogenannte Audit Trails sind technische Aufzeichnungen, die (in diesem Falle) der Nichtabstreitbarkeit digitaler Unterschriften dienen. Der Signaturanbieter und gegebenenfalls involvierte Partnerunternehmen zeichnen die notwendigen Daten auf, um bei Bedarf eine vollständige Beweisführung gewährleisten zu können.
Je nach Signaturtyp ist die Beweiskraft unterschiedlich stark. Die qualifizierte elektronische Signatur ist gerichtlich anerkannt, hat die höchste Beweiskraft und kann mit sehr geringem Aufwand validiert werden.
CLOUD Act
Kurz für Clarifying Lawful Overseas Use of Data Act.
US-amerikanisches Bundesgesetz, welches der US-Regierung ermöglicht, Daten von US-amerikanischen Unternehmen gleichgültig vom Standort der Speicherung beispielsweise im Zuge strafrechtlicher Ermittlungen anzufordern. Dies betrifft auch von US-amerikanischen Unternehmen gespeicherte Daten auf europäischen Servern.
Digital Twin
Eine von Certifaction entwickelte Lösung, die es erlaubt, digital signierte Dokumente mit einem QR-Code auszudrucken oder mit anderen PDFs zu verschmelzen, ohne die Vorteile von digitalen Unterschriften aufzugeben. Über den QR-Code kann jederzeit das digitale Original abgerufen werden, womit die Rechtsgültigkeit der Unterschrift(en) verifiziert werden kann.
Dies ermöglicht unter anderem eine sichere Speicherung digital abgeschlossener Verträge in Papierform. Erfahren Sie mehr über den digitalen Zwilling.
End-to-End-Encryption (E2EE)
(E2EE)
Ein Verfahren, das bei der Übertragung von Daten zur Anwendung kommt. Hier werden die Daten bereits vor der Übertragung kodiert, sodass diese auch nicht dann ausgelesen werden können, wenn eine dritte Partei sie auf dem Weg dazwischen abfängt.
Certifaction nutzt dieses Verfahren, um sensible Daten wirkungsvoll vor unbefugten Zugriffen zu schützen. Auch Certifaction selbst ist damit technisch nicht in der Lage, Dokumente einzusehen.
Fortgeschrittene eSignatur (FES)
Die Fortgeschrittene elektronische Signatur ist ein Signatur-Standard, bei dem Unterzeichner mithilfe eines Mobiltelefons bei jeder Signatur ihre Identität bestätigen. Da keine weiteren Faktoren überprüft werden, besteht das Risiko, dass die SIM-Karte weitergeben wurde oder in falsche Hände gelangt ist. Die Verlässlichkeit der Identifikation hängt vom jeweiligen Mobilfunkanbieter des Unterzeichners ab. Die Daten können gegebenenfalls veraltet, unvollständig oder sogar falsch sein.
Lebenszyklus-Updates
Für Dokumente
Ermöglichen den Status bzw. die Validität elektronischer Dokumente aufgrund vorher festgelegter Regeln zu ändern. In Zusammenarbeit mit Certifaction ausgestellte elektronische Arztrezepte werden beispielsweise nach dem Einlösen in einer Apotheke automatisch geupdatet, sodass diese nicht mehr für eine weitere Abholung (etwa in einer anderen Apotheke) genutzt werden können.
No-Sign-Listen
Zumeist manuell angelegte Listen von Dokumenten, die nicht für die Unterzeichnung mithilfe digitaler Signaturen in einem Unternehmen freigegeben sind. Dies betrifft in den meisten Fällen besonders sensible Daten.
No-Sign-Listen werden in Unternehmen genutzt, die ihrem eSigning-Anbieter nicht vertrauen. Certifaction setzt deshalb auf End-to-End-Encryption (E2EE) und lokale Datenverarbeitung, da diese Verfahren eine extrem hohe Dokumentensicherheit versprechen und No-Sign-Listen unnötig machen.
Qualifizierte eSignatur (QES)
Ein vom Gesetzgeber definierter Signatur-Standard, der in den meisten Ländern der handschriftlichen Unterschrift rechtlich gleichgestellt ist. Verträge mit Formvorschrift müssen elektronisch zwingend mit einer Qualifizierten elektronischen Signatur unterschrieben sein, um rechtsgültig zu sein.
Eine solche Signatur gilt als nicht abstreitbar und ihre Validierung ist dank amtlicher Prüf-Websites sehr einfach.
Rule of No Privilege
Verfahrensregel innerhalb von Unternehmen, bei der Zugriffsrechte auf Daten nicht an externe Akteure vergeben werden. Dies kann im eSigning etwa durch lokale Datenverarbeitung und End-to-End-Verschlüsselung (E2EE) erreicht werden, wie Certifaction sie nutzt.
Single Sign-On (SSO)
Bei Single Sign-on oder Einmalanmeldung wird ein bereits existierendes Authentifizierungssystem genutzt, um sich in weitere Systeme einzuloggen. Somit entfällt die Verwendung eines zusätzlichen Passworts. Bei Certifaction können sich Benutzer beispielsweise mit ihrem Microsoft-Konto anmelden. Es sind aber auch kundenspezifische Integrationen möglich.
VideoIdent
Verfahren zur Identifikation von Personen beispielsweise für eine Qualifizierte Elektronische Signatur (QES). Die Identifikation geschieht durch eine:n menschliche:n Mitarbeiter:in, der/die in einem Videoanruf live die Identität eines Menschen mithilfe einer Kamera und Identifikationsdokumenten überprüft.
Zertifizierung
Prozess, um ein Dokument als Original bzw. als offizielles Dokument auszuzeichnen, um Fälschungen vorzubeugen. Universitäten können beispielsweise Diplome digital zertifizieren lassen, damit deren Validität sich hinterher unabhängig überprüfen lässt.
AutoIdent
AutoIdent ist ein vom Anbieter IDNow entwickeltes Verfahren zur vollautomatischen Identifizierung von Menschen mithilfe einer (Handy-)Kamera und eines Identifikationsdokuments (bspw. Reisepass). Das Verfahren kann unabhängig von der Tageszeit uneingeschränkt für die zweifelsfreie Identifikation eines Unterzeichners genutzt werden.
Datenresidenz
Der Ort, an dem Daten physisch gespeichert werden. Certifaction speichert Daten ausschliesslich auf ISO-27001-zertifizierten Servern in der Schweiz. Viele andere Anbieter speichern Daten hingegen in einem Server-Netzwerk mit verschiedenen Standorten, wobei der exakte Speicherort oft unklar ist.
eIDAS
(eIDAS = electronic IDentification, Authentication and Trust Services)
Eine von der EU beschlossene Verordnung, die die technischen Anforderungen und die Rechtsgültigkeit elektronischer Signaturen im EU-Raum regelt. Elektronische Unterschriften von eIDAS-zertifizierten Anbietern sind in der gesamten EU rechtsgültig.
ESIGN
(ESIGN =Electronic Signatures in Global and National Commerce Act)
US-Bundesgesetz, welches unter anderem die Rechtsgültigkeit von elektronischen Signaturen klärt. Elektronische Signaturen von Anbietern, die die Anforderungen von ESIGN erfüllen, haben in den USA volle Rechtsgültigkeit.
Formvorschrift
Eine besondere Anforderung an bestimmte Verträge. Welche Verträge dies genau betrifft, ist in jedem Land unterschiedlich geregelt. Beispielsweise gibt es in Deutschland keine Formvorschrift für die meisten B2B-Verträge, sodass diese auch über eine E-Mail oder eine WhatsApp-Nachricht rechtsgültig geschlossen werden können. Ein Konsumentenkredit-Vetrag oder einen Audit-Bericht beispielsweise jedoch nicht, da es für diese eine gesetzlich geregelte Formvorschrift gibt.
Verträge mit Formvorschrift können in den meisten Fällen ebenfalls elektronisch unterschrieben werden, allerdings ist hierfür eine Qualifizierte Elektronische Signatur (QES) notwendig.
Lokale Datenverarbeitung
Bezeichnet den Vorgang, Daten nicht erst nach der Übermittlung an einen Software-Anbieter, sondern bereits vor dem Versenden etwa auf dem eigenen Endgerät oder einem on-premise installierten Server zu verarbeiten. Dies ermöglicht unter anderem die Verschlüsselung von Daten vor dem Versenden (s. auch End-to-End-Encryption (E2EE))
On-premise-Implementierung
Bezeichnet in Unternehmen die Installation eines bspw. von einem externen SaaS-Anbieter stammenden Servers direkt am Unternehmensstandort. Auf diese Weise bleiben Daten stets im Unternehmens-eigenen Datenkreislauf, was die Datensicherheit erhöht.
Rechtsgültigkeit
Bezeichnet die Eigenschaft beispielsweise von Vertragsunterschriften, vor Gericht Bestand zu haben. In Europa und der Schweiz sind digitale Signaturen gesetzlich anerkannt und besitzen volle Rechtsgültigkeit, sofern diese den jeweiligen gesetzlichen Anforderungen entsprechen.
Schriftform
Gesetzliche Vorgabe an bestimmte Dokumente und Verträge, die beispielsweise zwingend die Archivierung in Papierform verlangt.
UETA
(UETA = Uniform Electronic Transactions Act)
US-amerikanische Rahmenverordnung, die das Ziel hat, die Rechtsgültigkeit von eSignaturen in allen US-amerikanischen Bundesstaaten anzugleichen und miteinander kompatibel zu machen.
Zero-Document-Knowledge
Konzept, welches besagt, dass beim Verarbeiten eines Dokuments keinerlei Wissen über den Inhalt von diesem an den verarbeitenden Anbieter übertragen wird. Eines der herausragenden Merkmale von Certifaction, da dank lokaler Datenverarbeitung und End-to-End-Encryption (E2EE) keinerlei Daten über den Inhalt des Dokuments selbst an unsere Server übertragen werden.
Im unwahrscheinlichen Fall eines Datenleaks könnten so lediglich sehr stark verschlüsselte Dokumente erbeutet werden. Selbst der schnellste Quanten-Supercomputer kann diese Dokumente nicht entschlüsseln.