Viele Firmen möchten ihre Unterschriftsprozesse digitalisieren, haben jedoch Sorge um die Sicherheit ihrer Daten und Dokumente – und das berechtigt. Denn im Rahmen von eSigning-Verfahren werden oft sensible Informationen versendet. [...]
Damit Ihre Dokumente und Daten nicht in fremde Hände gelangen, sollten Sie bei der Wahl eines eSigning-Anbieters auf bestimmte Sicherheitskriterien achten.
Zugriffsrechte
Ein seriöser eSigning-Anbieter sollte Zugriffsrechte auf das absolute Minimum beschränken – also auf Sie als Initiator und die Unterzeichner als Gegenpartei. Viele Anbieter vermarkten die „Regel des geringsten Privilegs“ als Sicherheitsmaßnahme.
Doch in der Praxis bedeutet diese Regel oft, dass Ihre Dokumente (also auch Verträge mit sensiblen Informationen) durch den Anbieter einsehbar sind. Egal, wie der Anbieter dies argumentiert – sobald Ihre Dokumente Ihre IT-Umgebung verlassen, haben Sie als Nutzer keine volle Kontrolle mehr über den Zugriff auf diese. Vor allem, wenn es um Patentverträge oder NDAs geht, kann dies zu gefährlichen Angriffsmöglichkeiten führen.
Das gleiche Problem entsteht auch, wenn Sie Tools mit KI-Features nutzen. Denn um Analysen durchführen und Vorschläge liefern zu können, liest und verarbeitet die KI Ihre Inhalte. Um Ihre Dokumente wirklich vertraulich zu halten, sollten Sie auf das Zero-Trust-Prinzip setzen.
Statt auf das Versprechen der Anbieter zu verantwortungsbewusstem Datenumgang zu vertrauen, wählen Sie einen Anbieter, der von vornherein keinen Zugriff auf die Inhalte hat. Hierbei spricht man auch von Zero-Knowledge.
Datenverschlüsselung
Die (richtige) Verschlüsselung Ihrer Daten ist ein entscheidendes Sicherheitsmerkmal. Denn diese kann auf verschiedene Arten und zu verschiedenen Zeiten stattfinden. Verschlüsseln Anbieter Ihre Dokumente erst serverseitig, ist es schon zu spät. Denn ist der Server des Anbieters oder seine Software kompromittiert, können Dokumente von Angreifern ausgelesen werden – dies bleibt möglicherweise über Monate hinweg unbemerkt.
Weiterhin sollten Sie keinen Anbieter wählen, der den Entschlüsselungsschlüssel direkt mit den verschlüsselten Dokumenten sendet. Ein zuverlässiger eSigning-Dienstleister vermeidet dies und nutzt eine vollständige Ende-zu-Ende-Verschlüsselung.
Compliance
Die Einhaltung gesetzlicher Vorschriften ist ein weiteres wichtiges Kriterium. Stellen Sie sicher, dass Ihr Anbieter alle relevanten Gesetze und Sicherheitsstandards erfüllt. In Europa sind das insbesondere die DSGVO und die eIDAS-Verordnung, in Österreich kommt das Signatur- und Vertrauensdienstegesetz (SVG) hinzu.
Doch je nach Unternehmensstandort und konkretem Anwendungsfall können noch weitere Vorschriften für Sie relevant sein. Sie sollten unbedingt darauf achten, dass Ihr Wunschanbieter und seine Server ISO 27001-zertifiziert sind.
Transparenz
eSigning-Anbieter sollten transparent mit ihren Prozessen umgehen. Das bedeutet: Sie sollten Ihnen klare Informationen darüber liefern, wo Ihre Daten gespeichert werden, wie lange sie aufbewahrt werden und wer Zugriff darauf hat.
Auch die Art der Datenverschlüsselung sollte offen kommuniziert werden. Falls ein Anbieter hierzu keine Auskunft gibt, können Sie das als Warnsignal betrachten.
Sicherheitsfeatures
Eine eSigning-Software beinhaltet im Idealfall verschiedene Sicherheitsfeatures. Dazu gehören:
- Audit-Trails: Audit-Trails sind Protokolle, die alle Aktivitäten bezüglich Ihrer Daten aufzeichnen. Ein Anbieter, der Audit-Trails anbietet, kann dabei helfen, Sicherheitsverletzungen schnell zu identifizieren und zu adressieren.
- Zwei-Faktor-Authentifizierung (2FA): Indem Sie die Identität eines Unterzeichners durch zwei verschiedene Faktoren bestätigen lassen, verringern Sie das Risiko unberechtigter Zugriffe.
- Passwortschutz: Manche Anbieter lassen Sie ein starkes Passwort für Ihre Dokumente generieren. Das Passwort können Sie dem Unterzeichner durch eigene Kommunikationskanäle zukommen lassen und so eine weitere Sicherheitsstufe einbauen.
Weiterhin ist es empfehlenswert, auf stabile Server und die ständige Erreichbarkeit des eSigning-Anbieters zu achten. Zuverlässige Anbieter führen regelmäßige Sicherheits-Audits durch – sowohl intern als auch von externen Prüfern.
Fazit
Digitalisierung sollte nie ohne Datenschutz passieren. Um die Vorteile von eSigning risikofrei zu nutzen, sollten Sie bei der Anbieterwahl auf die oben genannten Kriterien achten. Eine eSigning-Lösung, die all diese Anforderungen erfüllt, ist Certifaction. Der Schweizer Anbieter nutzt lokale Datenverarbeitung und volle Ende-zu-Ende-Verschlüsselung, um Sie vor Datenmissbrauch zu schützen.
In diesem Whitepaper erfahren Sie mehr zum Privacy-First eSigning von Certifaction.
Be the first to comment