Was ist die "qualifizierte elektronische Signatur"?
Gelegentlich erhalten Sie von uns Dateien (meist, aber nicht nur, PDF-Dateien), die mit einer "qualifizierten elektronischen Signatur" (QES) versehen sind.
Die QES ersetzt die eigenhändige Unterschrift! Etwas, was ohne QES also ausgedruckt und von Hand unterschrieben werden muss, erfordert nun keinen Medienbruch (und kein Baumsterben) mehr. Wenn alle Beteiligten (meist Wunschdenken…) also über eine QES verfügen, dann lassen sich auch mehrseitige Willenserklärungen (die meisten Verträge) ohne Medienbruch schließen.
Meist wird die QES auch durch eine Unterschrifts-/Stempelgrafik in der Datei dargestellt. Dieses Bild hat allerdings keinerlei Bedeutung. Von Bedeutung ist nur die anhand eines privaten Zertifikatsteils erzeugte Signatur (Zeichenfolge), die an die Datei angehängt wird.
Geregelt ist die QES in der sogenannten eIDAS-Verordnung (EU 910/2014), insbesondere in den Abschnitten Artikel 3 Nr. 12 und Artikel 25 II und III.
Die QES kann in verschiedenen Formen kommen. Wir verwenden derzeit (12/2021) Smartcards die vom Trust Center der Deutschen Telekom ausgestellt werden. Im Rahmen des Ausstellungsprozesses werden die Identität des Karteninhabers und die Zusatzmerkmale der Signatur (z.B. Berufszulassung) vom Trust Center überprüft. Sollte z.B. die Berufszulassung widerrufen werden, so widerruft auch das Trust Center die zugehörige QES und eine Überprüfung der QES schlägt dann fehl.
Wie prüft man die qualifizierte elektronische Signatur
Wenn eine PDF Datei mit einer QES signiert ist, erhalten Sie häufig beim Öffnen bereits im PDF-Reader einen Hinweis wie z.B. "Die Datei ist mit mindestens einer Signatur versehen. Alle Signaturen sind gültig." Häufig steht da auch "ungültig" oder "nicht verifiziert". Das Prüfergebnis aus einem PDF-Reader ist weitgehend nutzlos, wenn es um qualifizierte Signaturen geht.
Um qualifizierte Signaturen zu prüfen, benötigen Sie eine Software, die den Ansprüchen der eIDAS-Verordnung entspricht. Zum Beispiel den lizenzkostenfreien digiSeal reader von secrypt. Diese Verifikationsprogramme prüfen beim Start alle Widerrufslisten (="der und der darf keine QES mehr leisten") und geben Ihnen mit einem Prüfprotokoll Sicherheit/Dokumentation über die Validität einer Signatur.