Komfortable digitale Signaturen – „What You See Is What You Sign“ | Nexus Group

Wie „What You See Is What You Sign“ funktioniert?

GASTBLOG von Jan Kjærsgaard, Senior Cryptography Manager bei Cryptomathic, einem führenden Anbieter von sicheren digitalen Signaturlösungen: What You See Is What You Sign (WYSIWYS) definiert einen Teil des Prozesses für digitale Signaturen. Dabei wird sichergestellt, dass der Nutzer das Dokument vor dem Unterzeichnen gelesen hat, das richtige Dokument unterzeichnet und mit den darin enthaltenen Bedingungen einverstanden ist.

Wenn Sie etwas in Ihrem Webbrowser lesen, wie können Sie dann sicher sein, dass der Text echt ist und wirklich aus der angegebenen Quelle stammt? In der digitalen Welt ist das Konzept WYSIWYS Teil eines Signaturprozesses, der mehrere Schritte umfasst:

  1. Das Dokument oder die Transaktion wird vorbereitet
  2. Der Unterzeichner sieht und liest das Dokument
  3. Der Unterzeichner genehmigt das Dokument
  4. Die Unterschrift wird erstellt
  5. Die im Dokument genehmigten Maßnahmen oder Transaktionen werden ausgeführt

Lesen Sie die Checkliste „6 Faktoren, die Sie bei der Auswahl einer E-Signatur-Lösung berücksichtigen sollten“


Beidseitiges Authentifizieren

In den Schritten 1 und 5 geht es darum, dass das Unternehmen eine Unterschrift benötigt, um bestimmte Dinge zu tun. Dabei ist die Art des Dokuments unerheblich – es kann sich um einen Vertrag, eine Steuererklärung oder eine Finanztransaktion handeln. Nach der Unterzeichnung können die Anwendungen, die diese Unterschrift erfordern, das Dokument verwenden und mit der Verarbeitung fortfahren, also z. B. ein Bankkonto eröffnen, ein Haus kaufen, Angaben überprüfen, Geld überweisen usw.

Im 2. Schritt wird dem Nutzer über seinen Webbrowser das Dokument präsentiert, das eine Signatur erfordert. Bevor er darauf vertraut, dass das Remote-System echt ist, sollte der Nutzer überprüfen, ob die angezeigte Internetadresse (URL) korrekt ist und im Browser ein Symbol für eine sichere Verbindung (meist ein Vorhängeschloss o. Ä.) angezeigt wird. Zudem kann das Remote-System ein zu unterzeichnendes Dokument nur dann bereitstellen, wenn der Nutzer sich zuvor durch seine Credentials authentifiziert hat. Die Authentifizierung auf beiden Seiten stellt sicher, dass Dokumente nur zwischen eindeutig identifizierten Stellen, dem Remote-System und dem Anwender, ausgetauscht werden können.

Bedienkomfort an erster Stelle

Werden Geschäfte online abgewickelt, muss die Benutzeroberfläche bequem zu bedienen und über verschiedene Geräten erreichbar sein. Wenn dedizierte Hardware oder spezielle Software erforderlich sind und das bevorzugte Tablet oder der Browser des Nutzers nicht unterstützt werden, leidet der Bedienkomfort und die Nutzer neigen dazu, auf einen komfortableren Service umzusteigen.

Komfortabel sollte auch die Verwaltung der erforderlichen kryptographischen Schlüssel sein, ebenso wie die Bestätigung der Bedingungen des Signaturdienstes. Während der Nutzer die Bedingungen verstehen und aktiv akzeptieren muss, sollte die Integration einer Public Key Infrastructure (PKI) im Hintergrund erfolgt sein. In einer digitalen Welt sieht der Benutzer nicht die eigentlichen Daten, die signiert werden. Stattdessen interpretiert und rendert die E-Signing-Lösung die Daten in ein lesbares Format, das in einem Browser angezeigt wird.

WYSIWYS erstellt einen vertrauenswürdigen Viewer im Browser

Bei WYSIWYS geht es darum, das Vertrauen in digitale Transaktionen zu stärken, damit Nutzer sicher ein können, dass die Inhalte, die sie auf ihren Displays sehen und unterzeichnen, auch wirklich echt sind. Konzepte wie WYSIWYS stellen sicher, dass Prozesse für digitale Signaturen gegen betrügerische Aktivitäten wie MITM-Attacken (MITM – Man-in-the-Middle) geschützt sind.

Dafür werden die Daten auf einem Remote-Server gerendert, bevor die so generierten Bilder oder Daten im Browser dargestellt werden. WYSIWYS erstellt einen vertrauenswürdigen und komfortablen Viewer, der Nutzern ermöglicht, Dokumente auf PCs, Tablets und Smartphones zu lesen und zu unterzeichnen, ohne dass er dafür Software auf dem Gerät installieren muss.

Keine spezielle Software erforderlich

Dieses Konzept hat mehrere Vorteile. Weil das zu signierende Dokument (im PDF- oder XML-Format) auf dem Remote-Server verbleibt und nie vollständig zum Browser übertragen wird, ist gewährleistet, dass auch wirklich das richtige Dokument unterzeichnet wird. Die Darstellung der gerenderten Bilder im Browser ist auf allen Geräten problemlos möglich und erfordert keine spezielle Software.

Dabei übernimmt der Mini-Client im Webbrowser die komplexe Aufgabe, die für die qualifizierte elektronische Signatur (QES) erforderlichen erweiterten Signaturobjekte im Browser zu erzeugen. Für QES müssen zusätzliche Formate, Prozesse, Zertifikate, Widerrufsinformationen und Zeitstempel erfasst werden. Daher sollten diese komplexen Aufgaben auf das Backend-System verlagert werden.

Höchste Sicherheitsstufe

Sobald der Nutzer die Inhalte des Dokuments gelesen und akzeptiert hat (Schritt 3), kann die digitale Signatur erstellt werden (Schritt 4). In der Regel muss er dafür einen oder mehrere Authentifizierungsfaktoren bereitstellen. Diese sind erforderlich, um den Signaturschlüssel über ein erweitertes Protokoll vom Web-Client in dem Teil des Remote-Systems zu aktivieren, der Zugriff auf den Signaturschlüssel hat. Das Protokoll und die Authentifizierungsinformationen stellen dabei sicher, dass das richtige Dokument signiert wird.

Richtig implementiert, bietet WYSIWYS ein Höchstmaß an Sicherheit, Rechtssicherheit und Benutzerfreundlichkeit.

Checkliste: 6 Faktoren, die Sie bei der Auswahl einer E-Signatur-Lösung berücksichtigen sollten

Published 13/12 2018

News and Blog