eSigning und Datensicherheit: Darauf sollten Sie bei der Anbieter-Wahl achten

Viele Firmen möchten ihre Unterschriftsprozesse digitalisieren, haben jedoch Sorge um die Sicherheit ihrer Daten und Dokumente – und das berechtigt. Denn im Rahmen von eSigning-Verfahren werden oft sensible Informationen versendet. [...]

Foto: SteveBuissinne/Pixabay

Damit Ihre Dokumente und Daten nicht in fremde Hände gelangen, sollten Sie bei der Wahl eines eSigning-Anbieters auf bestimmte Sicherheitskriterien achten.

Zugriffsrechte

Ein seriöser eSigning-Anbieter sollte Zugriffsrechte auf das absolute Minimum beschränken – also auf Sie als Initiator und die Unterzeichner als Gegenpartei. Viele Anbieter vermarkten die „Regel des geringsten Privilegs“ als Sicherheitsmaßnahme.

Doch in der Praxis bedeutet diese Regel oft, dass Ihre Dokumente (also auch Verträge mit sensiblen Informationen) durch den Anbieter einsehbar sind. Egal, wie der Anbieter dies argumentiert – sobald Ihre Dokumente Ihre IT-Umgebung verlassen, haben Sie als Nutzer keine volle Kontrolle mehr über den Zugriff auf diese. Vor allem, wenn es um Patentverträge oder NDAs geht, kann dies zu gefährlichen Angriffsmöglichkeiten führen.

Das gleiche Problem entsteht auch, wenn Sie Tools mit KI-Features nutzen. Denn um Analysen durchführen und Vorschläge liefern zu können, liest und verarbeitet die KI Ihre Inhalte. Um Ihre Dokumente wirklich vertraulich zu halten, sollten Sie auf das Zero-Trust-Prinzip setzen.

Statt auf das Versprechen der Anbieter zu verantwortungsbewusstem Datenumgang zu vertrauen, wählen Sie einen Anbieter, der von vornherein keinen Zugriff auf die Inhalte hat. Hierbei spricht man auch von Zero-Knowledge.

Datenverschlüsselung

Die (richtige) Verschlüsselung Ihrer Daten ist ein entscheidendes Sicherheitsmerkmal. Denn diese kann auf verschiedene Arten und zu verschiedenen Zeiten stattfinden. Verschlüsseln Anbieter Ihre Dokumente erst serverseitig, ist es schon zu spät. Denn ist der Server des Anbieters oder seine Software kompromittiert, können Dokumente von Angreifern ausgelesen werden – dies bleibt möglicherweise über Monate hinweg unbemerkt.

Weiterhin sollten Sie keinen Anbieter wählen, der den Entschlüsselungsschlüssel direkt mit den verschlüsselten Dokumenten sendet. Ein zuverlässiger eSigning-Dienstleister vermeidet dies und nutzt eine vollständige Ende-zu-Ende-Verschlüsselung.

Compliance

Die Einhaltung gesetzlicher Vorschriften ist ein weiteres wichtiges Kriterium. Stellen Sie sicher, dass Ihr Anbieter alle relevanten Gesetze und Sicherheitsstandards erfüllt. In Europa sind das insbesondere die DSGVO und die eIDAS-Verordnung, in Österreich kommt das Signatur- und Vertrauensdienstegesetz (SVG) hinzu.

Doch je nach Unternehmensstandort und konkretem Anwendungsfall können noch weitere Vorschriften für Sie relevant sein. Sie sollten unbedingt darauf achten, dass Ihr Wunschanbieter und seine Server ISO 27001-zertifiziert sind.

Transparenz

eSigning-Anbieter sollten transparent mit ihren Prozessen umgehen. Das bedeutet: Sie sollten Ihnen klare Informationen darüber liefern, wo Ihre Daten gespeichert werden, wie lange sie aufbewahrt werden und wer Zugriff darauf hat.

Auch die Art der Datenverschlüsselung sollte offen kommuniziert werden. Falls ein Anbieter hierzu keine Auskunft gibt, können Sie das als Warnsignal betrachten.

Sicherheitsfeatures

Eine eSigning-Software beinhaltet im Idealfall verschiedene Sicherheitsfeatures. Dazu gehören:

  • Audit-Trails: Audit-Trails sind Protokolle, die alle Aktivitäten bezüglich Ihrer Daten aufzeichnen. Ein Anbieter, der Audit-Trails anbietet, kann dabei helfen, Sicherheitsverletzungen schnell zu identifizieren und zu adressieren.
  • Zwei-Faktor-Authentifizierung (2FA): Indem Sie die Identität eines Unterzeichners durch zwei verschiedene Faktoren bestätigen lassen, verringern Sie das Risiko unberechtigter Zugriffe.
  • Passwortschutz: Manche Anbieter lassen Sie ein starkes Passwort für Ihre Dokumente generieren. Das Passwort können Sie dem Unterzeichner durch eigene Kommunikationskanäle zukommen lassen und so eine weitere Sicherheitsstufe einbauen.

Weiterhin ist es empfehlenswert, auf stabile Server und die ständige Erreichbarkeit des eSigning-Anbieters zu achten. Zuverlässige Anbieter führen regelmäßige Sicherheits-Audits durch – sowohl intern als auch von externen Prüfern.

Fazit

Digitalisierung sollte nie ohne Datenschutz passieren. Um die Vorteile von eSigning risikofrei zu nutzen, sollten Sie bei der Anbieterwahl auf die oben genannten Kriterien achten. Eine eSigning-Lösung, die all diese Anforderungen erfüllt, ist Certifaction. Der Schweizer Anbieter nutzt lokale Datenverarbeitung und volle Ende-zu-Ende-Verschlüsselung, um Sie vor Datenmissbrauch zu schützen.

In diesem Whitepaper erfahren Sie mehr zum Privacy-First eSigning von Certifaction.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*