Digitale Unterschrift in PDFs

Einführung:
Digitale Signaturen sorgen für Sicherheit, Vertrauen und oft auch Rechtsverbindlichkeit bei digitalen Dokumenten. Doch was genau leisten sie – und was lässt sich mit den an unserer Hochschule verfügbaren DFN-Zertifikaten technisch und rechtlich umsetzen?

Signaturarten laut eIDAS-Verordnung:
Die EU-Verordnung eIDAS unterscheidet drei Signaturstufen:

  1. Einfache elektronische Signatur
    → geringe Beweiskraft, rechtlich meist nicht ausreichend
  2. Fortgeschrittene elektronische Signatur
    → für viele interne oder geschäftliche Zwecke geeignet
  3. Qualifizierte elektronische Signatur
    → rechtlich der handschriftlichen Unterschrift gleichgestellt

Wichtig: Die aktuell über die DFN-PKI bereitgestellten Zertifikate ermöglichen keine qualifizierten Signaturen. Fortgeschrittene Signaturen sind jedoch unter bestimmten Voraussetzungen möglich.

Wann ist eine Signatur „fortgeschritten“?
Laut Artikel 26 der eIDAS-Verordnung müssen vier Kriterien erfüllt sein:

  • Die Signatur ist eindeutig einer Person zugeordnet.
  • Die Identität der signierenden Person ist nachvollziehbar.
  • Die Signaturerstellung erfolgt unter alleiniger Kontrolle der unterzeichnenden Person.
  • Eine nachträgliche Änderung der signierten Daten ist erkennbar.

Welche Zertifikate aus der DFN-PKI sind geeignet?
Nicht alle Zertifikate erfüllen die Voraussetzungen. Nicht geeignet sind z. B. „E-Mail-only“-Zertifikate ohne Namensangabe.

Geeignet sind hingegen u. a.:

  • User-Zertifikate aus der DFN-Verein Community PKI
  • HARICA-Zertifikate (Profil IV+OV)

Voraussetzung:

  • Der vollständige Name ist im Zertifikat enthalten.
  • Die Identitätsprüfung wurde dokumentiert.
  • Der private Schlüssel wird sicher gespeichert (z. B. Krypto-Token, HSM).
  • Die Signatursoftware erkennt Manipulationen am Dokument.
  • Nachweise werden sicher archiviert (z. B. mit Vier-Augen-Prinzip).

Alternative: Fernsignaturen von Drittanbietern
Bei qualifizierten oder besonders sicheren Anforderungen lohnt sich ein Blick auf kommerzielle Fernsignatur-Dienste. Diese bieten rechtssichere Signaturen nach vorheriger Identifikation (z. B. via eID-Ausweis). Der Anbieter kontrolliert hier alle vier eIDAS-Kriterien.

Fazit:
Für viele typische Anwendungsfälle an der Hochschule – etwa in internen Prozessen oder der Kommunikation mit Dritten – ist eine fortgeschrittene elektronische Signatur ausreichend, sofern die technischen und organisatorischen Anforderungen erfüllt werden.

Für rechtlich verbindliche Signaturen bleibt die qualifizierte elektronische Signatur das Mittel der Wahl – aktuell nicht über die DFN-PKI verfügbar.

Anleitung zum Konfigurieren und Anwenden der digitalen Unterschrift im Adobe Acrobat Reader