Digitale Signatur – ja oder nein? Die konkrete Zielsetzung des Unternehmens und branchenspezifische Verordnungen bestimmen über den Einsatz digitaler Signaturen. SER bietet Orientierungshilfe bei der Definition der Anforderungen und entwickelt maßgeschneiderte Sicherheitskonzepte. Das Spektrum der SER-Lösungen zur elektronischen Signierung und Archivierung von Dokumenten reicht von der einfachen, software-gestützten Verschlüsselung bis hin zur höchsten Sicherheitsstufe der qualifizierten, personenbezogenen digitalen Signatur mit Anbieterakkreditierung.
Wann ist eine digitale Signatur tatsächlich vorgeschrieben? Sinnvoll und notwendig ist sie nur in einigen ausgewählten Anwendungsfeldern und nur für einen Bruchteil von Dokumenten. Im Sozialversicherungsbereich beispielsweise gibt es klare Vorschriften, wann und wie Belege bereits beim Scannen digital zu signieren sind. Per EDI elektronisch übermittelte Bestellungen oder Rechnungen dagegen müssen nicht digital signiert werden. Dies gilt ebenso bei der Archivierung solcher Belege. Innerhalb eines Unternehmens hängt die Anwendung digitaler Signaturen wiederum von den definierten Sicherheitsmaßnahmen ab. In der Regel reichen hier für Zeichnungs- und Genehmigungsverfahren nachvollziehbare und dokumentierte Prozesse aus.
Das Signaturverfahren in Verbindung mit dem DOXiS Archiv
Innerhalb des DOXiS Archivs können digitale Signaturen zu Dokumenten abgelegt sowie von den Clients erstellt und geprüft werden. Zu jedem Dokument im DOXiS Archiv können mehrere digitale Signaturen als Annotation gespeichert werden. Das eigentliche Dokumentformat und damit auch die Lesbarkeit der Dokumente bleibt hiervon unberührt. Ebenso gibt es keine technische Einschränkung, welche Dokumentformate digital signiert werden können.
Die Erstellung und Prüfung einer digitalen Signatur erfolgt integriert in den DOXiS Clients auf Basis von Standard-Schnittstellen, über die die eigentliche Signatur-Software von Drittherstellern angesprochen wird. Auf Windows-Betriebssystemen wird hierzu die Microsoft Crypto-API verwendet, so dass alle hierzu konformen Signatur-Komponenten eingesetzt werden können. Die Erstellung der Signatur erfolgt direkt aus der Dokumentenanzeige, um eine größtmögliche Sicherheit zu gewährleisten. Es können sowohl neue Dokumente als auch bereits archivierte Dokumente signiert werden.
Dieses Standard-Verfahren kann in DOXiS um eine Reihe von spezifischen Aspekten ergänzt werden, um jeweils konkrete Projektbedürfnisse zu erfüllen:
· Massensignaturverfahren: Massensignaturverfahren kommen in der Regel dann zum Einsatz, wenn die Überführung von Papierbelegen in elektronische Dokumente durch eine digitale Signatur abgesichert werden muss, um die rechtlichen Voraussetzungen für die Vernichtung der Papierbelege zu schaffen. Dies ist aktuell für Sozialversicherungsträger von Bedeutung, während im Normalfall die Revisionssicherheit des Archivs völlig ausreichend ist. Die Einbindung von Massensignaturverfahren erfolgt bereits beim Scannen durch eine Integration von entsprechender Spezial-Software (z.B. von Authentidate, SecCommerce oder secunet) in SERcapture.
· Prüfung bei der Übernahme in das Archiv: Vor der Übernahme erfolgt eine Prüfung der Gültigkeit der Digitalen Signatur. Das Ergebnis der Prüfung wird gegebenenfalls durch einen qualifizierten Zeitstempel dokumentiert und ebenfalls archiviert. Eine solche Vorgehensweise kann die Notwendigkeit eines Nachsignierens je nach Anwendungsfall vermeiden.
So funktioniert die digitale Signatur
Die Erstellung einer Digitalen Signatur erfolgt immer nach dem gleichen Muster: Von dem zu signierenden Dokument wird ein "Fingerabdruck" genommen (ein sog. Hash-Wert), der anschließend mit dem persönlichen Schlüssel des Unterschreibenden mit kryptographischen Verfahren verschlüsselt wird. Digitale Signaturen verschlüsseln somit nicht das Dokument und eignen sich damit nicht zur Geheimhaltung. Vielmehr stellen sie sicher, dass das Dokument in der vorliegenden Form (Integrität) von der signierenden Person (Authentizität) unterschrieben wurde. Die Schlüssel werden von einem sog. Trustcenter vergeben.
Wann ist eine digitale Signatur tatsächlich vorgeschrieben? Sinnvoll und notwendig ist sie nur in einigen ausgewählten Anwendungsfeldern und nur für einen Bruchteil von Dokumenten. Im Sozialversicherungsbereich beispielsweise gibt es klare Vorschriften, wann und wie Belege bereits beim Scannen digital zu signieren sind. Per EDI elektronisch übermittelte Bestellungen oder Rechnungen dagegen müssen nicht digital signiert werden. Dies gilt ebenso bei der Archivierung solcher Belege. Innerhalb eines Unternehmens hängt die Anwendung digitaler Signaturen wiederum von den definierten Sicherheitsmaßnahmen ab. In der Regel reichen hier für Zeichnungs- und Genehmigungsverfahren nachvollziehbare und dokumentierte Prozesse aus.
Das Signaturverfahren in Verbindung mit dem DOXiS Archiv
Innerhalb des DOXiS Archivs können digitale Signaturen zu Dokumenten abgelegt sowie von den Clients erstellt und geprüft werden. Zu jedem Dokument im DOXiS Archiv können mehrere digitale Signaturen als Annotation gespeichert werden. Das eigentliche Dokumentformat und damit auch die Lesbarkeit der Dokumente bleibt hiervon unberührt. Ebenso gibt es keine technische Einschränkung, welche Dokumentformate digital signiert werden können.
Die Erstellung und Prüfung einer digitalen Signatur erfolgt integriert in den DOXiS Clients auf Basis von Standard-Schnittstellen, über die die eigentliche Signatur-Software von Drittherstellern angesprochen wird. Auf Windows-Betriebssystemen wird hierzu die Microsoft Crypto-API verwendet, so dass alle hierzu konformen Signatur-Komponenten eingesetzt werden können. Die Erstellung der Signatur erfolgt direkt aus der Dokumentenanzeige, um eine größtmögliche Sicherheit zu gewährleisten. Es können sowohl neue Dokumente als auch bereits archivierte Dokumente signiert werden.
Dieses Standard-Verfahren kann in DOXiS um eine Reihe von spezifischen Aspekten ergänzt werden, um jeweils konkrete Projektbedürfnisse zu erfüllen:
· Massensignaturverfahren: Massensignaturverfahren kommen in der Regel dann zum Einsatz, wenn die Überführung von Papierbelegen in elektronische Dokumente durch eine digitale Signatur abgesichert werden muss, um die rechtlichen Voraussetzungen für die Vernichtung der Papierbelege zu schaffen. Dies ist aktuell für Sozialversicherungsträger von Bedeutung, während im Normalfall die Revisionssicherheit des Archivs völlig ausreichend ist. Die Einbindung von Massensignaturverfahren erfolgt bereits beim Scannen durch eine Integration von entsprechender Spezial-Software (z.B. von Authentidate, SecCommerce oder secunet) in SERcapture.
· Prüfung bei der Übernahme in das Archiv: Vor der Übernahme erfolgt eine Prüfung der Gültigkeit der Digitalen Signatur. Das Ergebnis der Prüfung wird gegebenenfalls durch einen qualifizierten Zeitstempel dokumentiert und ebenfalls archiviert. Eine solche Vorgehensweise kann die Notwendigkeit eines Nachsignierens je nach Anwendungsfall vermeiden.
So funktioniert die digitale Signatur
Die Erstellung einer Digitalen Signatur erfolgt immer nach dem gleichen Muster: Von dem zu signierenden Dokument wird ein "Fingerabdruck" genommen (ein sog. Hash-Wert), der anschließend mit dem persönlichen Schlüssel des Unterschreibenden mit kryptographischen Verfahren verschlüsselt wird. Digitale Signaturen verschlüsseln somit nicht das Dokument und eignen sich damit nicht zur Geheimhaltung. Vielmehr stellen sie sicher, dass das Dokument in der vorliegenden Form (Integrität) von der signierenden Person (Authentizität) unterschrieben wurde. Die Schlüssel werden von einem sog. Trustcenter vergeben.
