Ich suche nach einem Verfahren, mit dem Mitglieder:innen eines gemeinnützigen Vereins, Dokumente digital und rechtskräftig unterschreiben können. Die die Mitglieder:innen über ganz Deutschland verteilt wohnen, müssen aktuell die Dokumente quer durch die Repubilk geschickt werden, wenn z.B. eine Satzungsänderung beschlossen werden soll. Das ist so kein Zustand.
Daher habe ich angefangen zu recherchieren und die Lösung scheint qualifizierte elektronische Signatur (kurz: QES) zu heißen. Soweit ich das bisher verstehe, gibt es zur Umsetzung aktuell zwei Möglichkeiten:
Signatur mittels Signaturkarte → Fällt weg, da hierzu eine teure Signaturkarte der Bundesdruckerei sowie ein spezielles Kartenlesegerät notwendig sind
Die Signatur unter Verwendung eines Vertrauensdienstanbieters, was durch eIDAS möglich wurde. Hierbei scheint ein externer Dienst den Signaturvorgang zu übernehmen, sofern ich mich vorher mit meine ePerso ausgewiesen habe.
Nun habe ich folgende Fragen an die community:
Wieso ist es technisch eigentlich nicht möglich, direkt mit dem Perso digital zu signieren? Wäre es nicht sinnvoller, direkt auf dem Perso ein entsprechendes Zertifikat zu installieren?
Was sind eure Erfahrungen mit QES? Welche Dienste hierfür kennt ihr, was könnt ihr empfehlen, was nicht?
Kenn jemand die von Nextcloud unterstützen Dienste LibreSign, Docusign oder eideasy? Gibt es hierzu Erfahrungen/Empfehlungen?
Was ist aus sicht des Datenschutzes dazu zu sagen, dass ein dritter (privater & kostenpflichtiger) Dienst in meine Unterschrift einbezogen wird? Spontan löst das kein gutes Gefühl bei mir aus.
Technisch wäre das sicher möglich, aber vielleicht nicht sinnvoll.
Wenn die Karte dich online authentisiert, bekommt sie vom Herausforderer wahrscheinlich eine Zufallszahl, die sie mit dem auf der Karte gespeicherten Private Key signiert/verschlüsselt. Nur die Karte kann dieses Chiffrat erzeugen und damit bist du authentisiert.
Wenn hingegen ein ganzes Dokument signiert werden soll, müsste eigentlich das ganze Dokument durch die Karte geschleust werden und dort (gehasht und) signiert werden. Damit ist die Karte überfordert. Also müsste man außerhalb der Karte das Dokument hashen und den Hashwert von der Karte signieren lassen. Die Karte wäre also nur ein dummer kryptografischer Dienstleister, der signiert, was man ihr vorsetzt. Das heißt, ein mit Malware befallener Rechner könnte ein manipuliertes Dokument signieren lassen.
Das System wäre also nur so sicher, wie der PC, an dem es angewendet wird.
Selbst wenn die Karte es selbst hashen würde, müsste sie DIR anzeigen, was sie signiert.
Ja, das klint sehr sinnvoll, was du schreibst. Vielen Dank für deine ausführliche Erklärung! Somit erklärt sich auch, wieso ein externer Dienst für die Signatur herangezogen wird, der dann die nötige Rechenleistung ohne weiteres erbringen kann.
Dennoch hat das für mich einen Beigeschmack, einen externen Dienstleister für meine Unterschrift einzubinden. Wie bewertest du das?
Für mich wäre das wohl keine Option.
Ich kenne die Konzepte nicht, aber ich hätte dazu etliche Bedenken/Fragen:
wenn ein Dienstleister meine Signatur erzeugen kann, dann braucht er Zugriff auf meinen Private Key (für mich eher ein GAU)
Ist mein Schlüssel in der Cloud gespeichert? Wie ist er geschützt?
wie ist dann sicher gestellt, dass der Dienstleister mit meinem Schlüssel nicht noch das ein oder andere Dokument unterschreibt?
wie kann ich vor dem Signiervorgang sicher stellen, dass das Dokument nicht manipuliert wurde?
Diese Dienstleister heißen „Vertrauensdienstleister“. Das suggeriert, dass man obiges eben nicht sicherstellen kann sondern vertrauen muss.
Ich kenne deine Aufgabenstellung nicht genau, aber könnte man das nicht auch mit email und PGP lösen?
Bist du inzwischen bei der Frage weiter gekommen? Insbesondere eine Einschätzung zu den von Nextcloud unterstützen Diensten interessiert mich, da wir vor der gleichen Frage stehen.
Nee. Aus Sicht von Datenschutz und IT-Sicherheit bestimmt heikel.
Mein Eindruck ist, dass ein Dienst wie Docusign jedenfalls den Zweck erfüllt.
Das ist nicht toll. Aber das passiert auch, wenn man mit der Kreditkarte bezahlt bei der PIN-Eingabe. Oder wenn man eine Überweisung durchführt. Wir sind heute noch lange nicht da, dass man so etwas ohne Drittanbieter realisieren kann. Technisch wäre es alles umsetzbar. Aber es ist nicht allgemein anerkannt.
Docusign benutzen wir bei der Arbeit. Funktioniert gut aber auf der Einstiegswebseite zumindest finden sich gleich Akamai, AWS und Google Tagmanager. Und es ist eine US Firma. Datenschutzmäßig sicher nicht optimal.
Leider nein. Alle Möglichkeiten, die ich bisher gefunden habe, haben mich nicht überzeugt. Wenn bei uns wirklich noch einmal darauf ankommt, im großen Stil Unterschriften sammeln zu müssen, dann wird es vermutlich auf einen Vertrauensdienstanbieter wie DocuSign rauslaufen, so wie bei @elfchen auf Arbeit. Begeistert bin ich davon aber ehrlich gesagt nicht.
Nur mal so vor sich hin gedacht:
Wäre es nicht möglich, das der das Dokument „normal“ unterschreibt und sich über die Übersendung auhentifiziert?
Zum Beispiel über PGP-Versand oder über hochladen über einen einmaligen Zugang zum hochladen, wobei die Zugangsdaten und einen anderen Weg übermittelt werden.
Es geht ja darum zu beweisen das derjenige Kenntnis und zugestimmt hat.
Wäre für dich eine ‚Fernsignatur‘ ok? Dabei melden sich die Vereinsmitglieder hier an, laden das Dokument hoch, und bekommen es unterschrieben zum Download zurück. Sign-Me ist von D-Trust/Bundesdruckerei und ist mmn der von der Bundesregierung vorgesehene Weg, wie ein Otto Normalo mit dem nPA rechtssicher elektronisch unterschreibt. Nicht nur dein Vereinsdokument, sondern auch andere Dokumente, wann immer Bedarf dazu besteht.
Den Vorteil sehe ich darin, dass du die Signatur-Geschichte nicht in dein System integrieren musst. Die Mitglieder laden nur die neue Satzung runter, und unterschrieben wieder hoch. Du brauchst keine Auftragsdatenverarbeitung. Loose coupling Außerdem muss sich der Bürger vielleicht eh bald mit Sign-Me vertraut machen…
Außerdem muss sich der Bürger vielleicht eh bald mit Sign-Me vertraut machen…