SucheSupportKostenloser Test
Kontakt
Sectigo Blog

Was ist eine qualifizierte elektronische Signatur (QES)?

Die qualifizierte elektronische Signatur (QES) ist die sicherste und rechtlich verbindlichste Form der elektronischen Signatur gemäß der EU-eIDAS-Verordnung. Im Gegensatz zu einfachen oder fortgeschrittenen Signaturen erfordert die QES eine strenge Identitätsprüfung, qualifizierte Zertifikate und vertrauenswürdige Anbieter, wodurch sie einer handschriftlichen Unterschrift gleichgestellt ist. Sie wird in Finanzen, Gesundheitswesen, Verwaltung und regulierten Branchen genutzt.

Sectigo Team
Von Sectigo Team, Digitales Vertrauen schaffen18. August 20258 Min. Lesezeit

Elektronische Signaturen bieten eine optimierte Methode, um Dokumente mit Identitäten zu versehen. Diese oft als E-Signaturen bezeichneten Signaturen umfassen elektronische Entitäten, die eindeutig mit Datensätzen verknüpft sind, die die Absicht der Person zum Unterzeichnen belegen.

Viele Arten von Signaturen versprechen Schutz für Einzelpersonen und Organisationen, aber nur wenige bieten die Rechtssicherheit und Zuverlässigkeit, die qualifizierte elektronische Signaturen (QES) bieten.

Die Europäische Kommission definiert eine QES als fortgeschrittene elektronische Signatur, die „mit einer qualifizierten Signaturerstellungseinrichtung erstellt wurde“ und „auf einem qualifizierten Zertifikat für elektronische Signaturen basiert“.

Dies steht in engem Zusammenhang mit der eIDAS-Verordnung der Europäischen Union: Elektronische Identifizierung, Authentifizierung und Vertrauensdienste. eIDAS stellt sicher, dass EU-Bürger und Unternehmen bei Aufenthalten in anderen Mitgliedstaaten auf öffentliche Online-Dienste zugreifen können, indem sie nationale elektronische Identifizierungssysteme nutzen. Diese Verordnung wurde im Laufe der Zeit weiterentwickelt und umfassender gestaltet, um einen einheitlichen Schutz über Grenzen hinweg zu gewährleisten.

Im Mittelpunkt der heutigen Regelung steht die Bezeichnung „qualifiziert“, die angibt, dass elektronische Signaturen strenge gesetzliche Standards der EU erfüllen und in der Praxis einer handschriftlichen Unterschrift gleichwertig sind.

Arten von elektronischen Signaturen

QES ist nur eine von drei Hauptarten elektronischer Signaturen, die in der eIDAS-Verordnung der EU beschrieben sind. Weitere Signaturen sind:

  • Einfache elektronische Signatur (SES). Einfache elektronische Signaturen erfordern nur eine begrenzte Überprüfung und bieten eine unkomplizierte Lösung, insbesondere wenn es vor allem auf Komfort ankommt. Obwohl sie rechtlich bindend sein können, sind sie aus Sicherheits- oder Compliance-Gründen oft weniger ideal.
  • Fortgeschrittene elektronische Signatur (AES). Fortgeschrittene elektronische Signaturen bieten ein höheres Maß an Vertrauen als SES und erfordern eine stärkere Verbindung zwischen den Unterzeichnern (denjenigen, die elektronische Signaturen leisten) und den Signaturen selbst. Diese können von Zertifizierungsstellen (CAs) zertifiziert und von Zustelldiensten mit Prüfpfaden übertragen werden.

QES erweitert AES durch verbesserte Sicherheit und die Erfüllung zusätzlicher eIDAS-Anforderungen. Es basiert auf PKI-basierten digitalen Zertifikaten und schreibt einen formellen Identitätsprüfungsprozess durch einen qualifizierten Vertrauensdienstleister (QTSP) vor.

Merkmale und Vorteile qualifizierter elektronischer Signaturen

Qualifizierte elektronische Signaturen bieten das höchste Maß an Sicherheit und Rechtssicherheit unter den Optionen für elektronische Signaturen. Zu den wichtigsten Vorteilen gehören:

  • EU-akkreditierte Ausstellung. Nicht jeder Vertrauensdienstleister kann als „qualifiziert” angesehen werden. Um den qualifizierten Status zu erhalten, müssen Anbieter strenge Audits durchlaufen, die die Einhaltung strenger gesetzlicher Verpflichtungen bestätigen. Die EU-Mitgliedstaaten erstellen vertrauenswürdige Listen von QTSPs, während die Europäische Kommission Listen vertrauenswürdiger Listen zusammenstellt. Elektronische Signaturen können nur dann als QES gelten, wenn die QTSP, die diese Signaturen erstellen, in den vertrauenswürdigen Listen aufgeführt sind. Kurz gesagt: Die Gültigkeit von QES hängt von offiziell anerkannten Anbietern ab, die eine verbesserte Compliance und grenzüberschreitende Vertrauenswürdigkeit versprechen.
  • Durch qualifizierte Zertifikate abgesichert. QES werden durch qualifizierte digitale Zertifikate abgesichert, die nur nach strengen Identitätsprüfungsverfahren ausgestellt werden. Diese basieren auf qualifizierten Signaturerstellungspflichten (QSCDs), zu denen USB-Token oder Smartcards gehören können. Unternehmen können auch qualifizierte elektronische Siegel beantragen, die die Herkunft und Integrität von Dokumenten bestätigen, ohne jedoch die Identität der Personen zu bestätigen.
  • Strenge Identitätsprüfung. Bei QES umfasst die strenge Identitätsprüfung häufig eine persönliche Überprüfung, wobei auch eine sichere Videoidentifizierung möglich ist, insbesondere wenn die Überprüfung aus der Ferne durchgeführt werden muss. Einige Bürger können möglicherweise staatlich ausgestellte digitale Ausweise zur Identitätsprüfung verwenden.
  • Strenge eIDAS-Anforderungen. QES hat aufgrund der einzigartig strengen Anforderungen der eIDAS erhebliches rechtliches Gewicht. Diese umfassen nicht nur die Identitätsprüfung, sondern auch die Ausstellung durch zugelassene QTSPs sowie die Verwendung zugelassener QSCDs. Hinzu kommen Audits durch verifizierte Stellen und detaillierte Aufzeichnungen, sodass ein von Natur aus strenger Prozess entsteht, der Vertrauen, Verantwortlichkeit und die Einhaltung gesetzlicher Vorschriften fördert.

So erhalten Sie eine QES

Der QES-Prozess mag komplex erscheinen, aber die zusätzlichen Schritte sind entscheidend. Hier kommen die einzigartigen Vorteile der QES zum Tragen. Befolgen Sie diese Schritte, um eine QES zu erhalten und ihre vielen Vorteile zu nutzen: starke Identitätsprüfung, rechtliche Sicherheit und grenzüberschreitende Anerkennung.

Beantragen Sie die QES

Der QES-Prozess beginnt mit der Auswahl eines QTSP. Sectigo ist beispielsweise ein akkreditierter QTSP. Überprüfen Sie die EU-Vertrauenslisten, um die Akkreditierung zu überprüfen. Diese Listen sind auf der Website der Europäischen Kommission leicht zugänglich. Es ist zwar wichtig, mit einem tatsächlich qualifizierten TSP zusammenzuarbeiten, aber Sie möchten auch sicher sein, dass Sie diesen Prozess problemlos bewältigen können. Beachten Sie diese zusätzlichen Faktoren:

  • Methoden zur Identitätsprüfung. Überlegen Sie, ob Ihr bevorzugter Ansatz zur Identitätsprüfung abgedeckt ist. Je nach Ihrem Standort ist beispielsweise eine persönliche Überprüfung (unter Einbeziehung von Registrierungsstellen) möglicherweise nicht praktikabel.
  • Benutzerfreundlichkeit und Support. Prüfen Sie die Benutzeroberfläche, Integrationsoptionen und Tutorials oder andere Ressourcen, um festzustellen, wo während des QES-Prozesses Probleme auftreten könnten und wie diese überwunden werden können. Bevorzugen Sie reaktionsschnelle Anbieter, die rund um die Uhr Unterstützung per Telefon, E-Mail oder Live-Chat anbieten.
  • Berücksichtigen Sie die QSCD. Während QSCDs häufig Hardware wie Smartcards und USB-Token erfordern, bevorzugen einige Benutzer die vergleichsweise bequemen Hardware-Sicherheitsmodule (HSMs), die einen Fernzugriff ermöglichen und dennoch ein hohes Maß an Sicherheit bieten.

Identitätsprüfung

Die Identitätsprüfung ist wohl der wichtigste Aspekt des QES-Prozesses, da sie bestätigt, dass die Personen, die Signaturen erstellen, tatsächlich die sind, für die sie sich ausgeben. Wählen Sie für diesen kritischen Schritt eine Verifizierungsmethode auf der Grundlage der verfügbaren QTSP-Optionen und individuellen Präferenzen.

Fordern Sie anschließend das Zertifikat über die QTSP-Plattform an und geben Sie die erforderlichen persönlichen Daten ein. Anschließend wird entweder ein persönlicher Termin oder ein Videoanruf vereinbart. Halten Sie amtliche Dokumente wie Reisepass oder Führerschein bereit. Bei Videoanrufen kann es erforderlich sein, besonders auf Sicherheitsmerkmale Ihres Ausweises oder Reisepasses hinzuweisen. Möglicherweise werden dabei Gesichtserkennung oder andere biometrische Daten erfasst.

Ausstellung des Zertifikats und Bereitstellung des QSCD

Nach erfolgreicher Identitätsprüfung ist der QTSP berechtigt, ein qualifiziertes Zertifikat auszustellen, das über den ausgewählten QSCD gespeichert wird. Wenn dies eine Hardwarelösung erfordert, kann der QSCD per Post versandt oder persönlich übergeben werden. Fernsignaturlösungen können innerhalb von QTSP-kontrollierten HSMs verwaltet werden.

Erstellen und Verwenden der Signatur

Nach der Identitätsprüfung müssen möglicherweise bestimmte Treiber oder Software installiert werden, um den Rest des QES-Prozesses zu erleichtern. Der Zugriff auf Dokumente erfolgt häufig über spezielle Signaturplattformen, die möglicherweise Aufforderungen zum „Anwenden der Signatur” anzeigen. An dieser Stelle kann die QES ausgewählt werden, wobei die Signatursysteme eine Verbindung zu den QSCDs herstellen. Möglicherweise muss an dieser Stelle eine zuvor ausgewählte PIN eingegeben oder ein anderer Authentifizierungsprozess durchgeführt werden.

Anschließend überprüft die QES die Integrität, macht das Dokument fälschungssicher und stellt sicher, dass unbefugte Änderungen leicht erkannt werden können. Die QES bestätigt außerdem die Authentizität des Unterzeichners aufgrund ihres strengen Identitätsprüfungsprozesses.

Anwendungsfälle für qualifizierte elektronische Signaturen

QES erfüllt viele Funktionen in einer Vielzahl von Branchen. Während SES oder AES für bestimmte Szenarien mit geringem Risiko bevorzugt werden können, ist QES die sicherere Option, wenn Compliance oder rechtliche Durchsetzbarkeit im Vordergrund stehen. Zu den wichtigsten Anwendungsfällen gehören:

  • Hochwertige Transaktionen. Wenn viel auf dem Spiel steht (wie dies häufig bei großen Transaktionen in Bereichen wie Immobilien oder Finanzen der Fall ist), bietet QES ein höheres Maß an Sicherheit. Dies ist ein Schlüsselelement der digitalen Transformation im sich schnell entwickelnden Finanzsektor.
  • Stark regulierte Branchen. Der Dollarwert eines Vertrags sollte nicht der einzige Faktor sein, der über die Notwendigkeit von QES entscheidet. Auch die regulatorischen Rahmenbedingungen sollten berücksichtigt werden. In Branchen wie Energie oder Banken können strenge Anforderungen ein höheres Maß an Sicherheit oder Identitätssicherung erfordern.
  • Behördliche Dokumente. Von Genehmigungen bis hin zu Steuererklärungen unterstützt QES viele offizielle Einreichungen im öffentlichen Sektor. Dies bringt digitale Innovationen in Behörden und ermöglicht ihnen, den Bürgern durch optimierte, sichere (und leicht zugängliche) Lösungen einen besseren Service zu bieten.
  • Dokumente im Gesundheitswesen. QES wird für alles von Einverständniserklärungen von Patienten bis hin zu Entlassungsberichten verwendet und unterstützt die Telemedizin und optimiert Arbeitsabläufe im Gesundheitswesen, ohne die digitale Sicherheit zu beeinträchtigen.

Warum Sectigo für Ihre Signaturanforderungen?

Sind Sie bereit für den nächsten Schritt zur Sicherung qualifizierter elektronischer Signaturen? Wenden Sie sich an Sectigo, um fachkundige Unterstützung zu erhalten. Als akkreditierter QTSP bietet Sectigo eine breite Palette vertrauenswürdiger Lösungen für Bürger und Unternehmen, darunter:

Mit einem umfassenden eIDAS-Produktportfolio ermöglicht Sectigo Unternehmen und Bürgern die Optimierung ihrer Arbeitsabläufe bei gleichzeitiger Erfüllung wichtiger Compliance- und Sicherheitsziele. Kontaktieren Sie uns, um zu erfahren, wie Sie digitales Vertrauen vereinfachen können.

Verwandte Beiträge:

Leitfaden zur EU-eIDAS-Verordnung und zur Gewährleistung der Compliance

eIDAS 2.0: Vorteile, Kontroversen und die Zukunft digitaler Identitäten

Welche verschiedenen Arten von E-Signaturen gibt es? Anwendungsfälle, Beispiele und mehr