Authentifizierung als Schlüssel zum Schutz vor Cyberangriffen

Es wird geschätzt, dass die Kosten von Cyberangriffen Ende 2024 weltweit mehr als 10,5 Billionen US-Dollar betragen werden. Schwachstellen in digitalen Authentifizierungsprozessen sind eine der häufigsten Ursachen für erfolgreiche Angriffe auf IT-Systeme. Die Gewährleistung von IT-Sicherheit ist daher ein wichtiger Wirtschaftsfaktor, meint Markus Vesely, CEO von A-Trust. [...]

Markus Vesely, CEO von A-Trust (c) A-Trust
Markus Vesely, CEO von A-Trust (c) A-Trust

Cyberangriffe werden als wachsendes Problem eingeschätzt, besonders im Bereich der digitalen Identität. Wie können Unternehmen diesen Herausforderungen in Bezug auf digitale Authentifizierung und Sicherheitslücken begegnen, um ihre Systeme vor solchen Angriffen zu schützen?

Cybersicherheit spielt sich auf vielen unterschiedlichen Ebenen ab, grundsätzlich beginnt sie aber immer bei der kleinsten Einheit – dem Individuum. Zu den wichtigsten Maßnahmen zum Schutz vor Cyberangriffen gehört daher, neben der Schulung des Personals in sicherheitsrelevanten Themen, die Mehrfaktor-Authentifizierung, beispielsweise für den Zugriff auf Benutzerkonten oder eben auch für die Auslösung von Signaturen. Hier kann beispielsweise ein FIDO-Token (auch: FIDO-Sicherheitsschlüssel) als zweiter Faktor verwendet werden, der unter anderem auch als weiterer Faktor für die unterschiedlichsten Dienste oder zur Festplattenverschlüsselung genutzt werden kann.  

Dank einer digitalen Authentifizierung von Personen durch den Login mittels der Qualifizierten Elektronischen Signatur (QES) können Unternehmen wiederum die Identität der Nutzer:innen von eigenen Services o.Ä. prüfen bzw. feststellen. 

Unternehmen können sich außerdem durch qualifizierte Signaturservices vor Cyberkriminalität schützen: Mittels der QES kann sichergestellt werden, dass Integrität und Authentizität von Dokumenten gewahrt bleiben. Ähnlich ist es bei qualifizierten Siegeln: auch hier kann jederzeit nachgeprüft werden, ob das Dokument wirklich vom jeweiligen Unternehmen besiegelt wurde, ohne nachträglich verändert worden zu sein. Je mehr Unternehmen auf qualifizierte Lösungen setzen, desto sicherer wird das Umfeld für alle. Wer die qualifizierte Signatur bzw. das qualifizierte Siegel im Unternehmen etabliert, schafft also nicht nur für das eigene Unternehmen Sicherheit, sondern auch für alle Stakeholder:innen.

Die Qualifizierte Elektronische Signatur (QES) gilt als essenzielles Element im Portfolio von A-Trust. Wie erleichtert diese eIDAS-konforme Signatur nationale und grenzüberschreitende Transaktionen und wie hilft sie dabei, manuelle und papierbasierte Prozesse zu eliminieren?

Insbesondere bei international wirksamen Vereinbarungen stellen manuelle, papierbasierte Vertragsprozesse rechtliche und Compliance-Risiken dar und verzögern die Abschlüsse. Abläufe, bei denen Daten gedruckt, gescannt, gefaxt und neu eingegeben werden müssen, sind nicht nur schwerfällig, sondern verursachen auch zusätzliche Kosten und binden wichtige Personalressourcen.

Signaturprozesse können dank QES vollständig digital abgebildet und so wesentlich effizienter gestaltet werden. Ein simples Beispiel hierfür wäre ein Vertrag, der in einem Unternehmen aufgesetzt wird und sowohl von der eigenen Geschäftsführung als auch einem Geschäftspartner bzw. einer Geschäftspartnerin unterzeichnet werden soll. Dafür würde der Vertrag zuallererst einmal – wahrscheinlich in doppelter Ausführung – ausgedruckt werden, um diesen händisch zu signieren. Anschließend würde dieser entweder per Post oder, nach Einscannen des Dokuments, digital an das Partnerunternehmen versendet werden, wo es dann wiederum erneut ausgedruckt werden müsste. Nach einer weiteren händischen Signatur, würde das Original (oder eines der Originale) wieder per Post seinen Weg zurück zum Ursprungsunternehmen aufnehmen (oder ggf. wiederum gescannt und rückversendet werden). 

Zum Vergleich: In einem vollständig digitalisierten Szenario würde das Dokument als PDF gespeichert und den Signator:innen in der verwendeten Signatursoftware bzw. -plattform zugewiesen. Diese unterschreiben das Dokument digital binnen Sekunden zeit- und ortsungebunden. Alle Beteiligten können das europaweit rechtsgültig unterschriebene Dokument nun downloaden und ablegen und haben so nicht nur eine Menge Zeit gespart und Ressourcen geschont, sondern können sich außerdem sicher sein, dass alle Schritte nachvollziehbar sind und der Vertrag nachträglich nicht verändert werden kann. 

Wer auf höchste Beweiskraft setzten will, wählt qualifizierte Signaturlösungen wie die QES, das qualifizierte Siegel oder auch einen in Signaturlösungen implementierten qualifizierten Zeitstempel sowie Long-Term-Validation (LTV). Sie bieten zusätzliche Nachvollziehbarkeit und Beweiskraft und tragen zu dem für Unternehmen im Wettbewerb so wichtigen Vertrauen seiner Geschäftspartner bei. 

Beim qualifizierten Zeitstempel wird die verwendete Uhrzeit regelmäßig gegenüber mehreren vertrauenswürdigen Zeitquellen synchronisiert. Dies garantiert z.B. bei offiziellen Ausschreibungen, dass ein Dokument zu einem bestimmten Referenzzeitpunkt existiert hat. Er bestätigt auch, dass das Dokument genau in dieser Form vorlag, da bei nachträglichen Veränderungen des Schriftstückes der Zeitstempel seine Gültigkeit verliert. 

Die Long-Term-Validation (LTV) stellt sicher, dass Unterschriften auch zukünftig als zum Zeitpunkt der Unterschrift gültig erkennbar sind, unabhängig davon, ob das Zertifikat bereits abgelaufen ist beziehungsweise widerrufen wurde oder die Zertifizierungsstelle noch besteht. Dafür wird zum Zeitpunkt der Unterschrift ein qualifizierter Zeitstempel angebracht und neben der Unterschrift werden auch noch alle aktuellen Widerrufslisten gespeichert. Dies bedeutet höchste Beweiskraft und Nachvollziehbarkeit und garantiert eine maximale (rechtliche) Absicherung.

Könnten Sie erklären, wie das Hash-Signing von A-Trust die Sicherheit und Effizienz von digitalen Signaturprozessen verbessert, insbesondere in Bezug auf Cloud-Anwendungen?

Mit Hash-Signing ist in den meisten Fällen Client-Side-Hash-Signing gemeint. Das bedeutet, dass die Dokumente auf Seiten bzw. im System der Nutzenden verschlüsselt werden. Dadurch liegt die Datensouveränität bei den Kund:innen, denn A-Trust bietet Signaturprozesse an, bei welchen nicht die Dokumente selbst, sondern nur der verschlüsselte Hash-Wert an den Vertrauensdiensteanbieter versendet werden. Kund:innen entscheiden also, welche Signatursoftware bzw. Signaturplattform sie verwenden, und somit auch, ob sie überhaupt eine Cloud-Anwendung nutzen möchten – seitens A-Trust ist dies aber nicht nötig. 

Bei der Verwendung unserer Signatur-Box werden die Dokumente in einem Server, der direkt im Unternehmen des Kunden bzw. der Kundin steht oder im Rechenzentrum gehostet wird, verschlüsselt, bevor Sie signiert werden. Auch hier obliegt die Datenhoheit vollständig dem jeweiligen Unternehmen. Bei einer On-premise-Lösung kann so sichergestellt werden, dass alle Dokumente in den „eigenen vier Wänden“ bleiben. So werden auch die striktesten Compliance-Anforderungen gewahrt.

In der heutigen Arbeitswelt, die sich durch Flexibilität und Nachhaltigkeit auszeichnet, spielen digitale Lösungen eine entscheidende Rolle. Wie ermöglicht die Digitalisierung von Prozessen, insbesondere im Kontext von Homeoffice und mobilen Arbeitsformen, ein optimiertes Arbeiten und trägt gleichzeitig zur Nachhaltigkeit bei?

Die Digitalisierung unterstützt die Individualisierung der Arbeitsmodelle und Zeit- sowie Ortsunabhängigkeit sind Eigenschaften, die gerade in dynamischen und immer weiter flexibilisierten Arbeitswelten relevanter denn je sind. So ermöglicht zum Beispiel die von A-Trust angebotene QES xIDENTITY (EU-Identity mobile), Verträge von ganz Europa aus online abzuschließen. Wenn Mitarbeiter:innen unabhängig vom Wohnort europaweit digital eindeutig identifiziert werden und dadurch rechtsgültig Dokumente elektronisch signieren können, ist sowohl dem entsprechenden Unternehmen als auch der Umwelt gedient. Denn damit einher geht ein großes Einsparungspotenzial: Ressourcen „fressende“ Prozesse fallen weg oder können zumindest verringert werden – seien es CO2-intensive Aspekte wie Papierherstellung, Transportmittel im Fall von Dienstreisen, die Energieversorgung von Büroräumlichkeiten usw., aber auch Zeit und Energie raubende administrative Routinetätigkeiten von Mitarbeiter:innen. Dank der Stapelsignatur können beispielsweise in nur einem Signaturvorgang zahlreiche Dokumente gleichzeitig signiert und an die nächste Person weiterversendet werden.

In der A-Trust Signatur App kann seit Kurzem nachgesehen werden, wie viele Ressourcen durch die eigene Verwendung der A-Trust-QES in den vergangenen Jahren geschont werden konnten und wie viel Strom, Papier und Wasser insgesamt gespart wurden. Beispielsweise konnten mit den 52,7 Millionen digitalen Signaturen, die 2023 über die A-Trust-QES getätigt wurden, ca. 335 Tonnen Holz oder 5,6 Millionen Liter Wasser gespart und der CO2-Ausstoß um 108 Tonnen verringert werden – das entspricht in etwa dem CO2-Ausstoß, welchen 344 Personen verursachen, die mit dem Flugzeug von Wien nach Mallorca reisen. 

Für große Unternehmen mit strengen Compliance-Richtlinien ist ein optimierter Workflow bei gleichzeitiger Sicherheit von entscheidender Bedeutung. Wie unterstützt A-Trust diese Unternehmen, um ihre Dokumente rechtsgültig zu besiegeln und gleichzeitig höchste Sicherheitsstandards zu gewährleisten?

Damit kooperative Geschäftsprozesse garantiert DSGVO-konform und unter voller Compliance digital abgewickelt werden können, sind ein sicherer Dokumentenaustausch und sichere Signaturvorgänge nötig. Wer sich hier auf Hash-Signing, die Signatur-Box oder die Produkte der A-Trust-Partner:innen verlässt, profitiert von praktikablen Lösungen, die einfach in den Unternehmensalltag zu implementieren und integrieren sind: Auch Stapelsignaturen – mehrere PDF-Dokumente werden mit einem Schlag in einem Signaturvorgang unterzeichnet – sind möglich. Bei allen A-Trust-Lösungen wird dafür gesorgt, dass die sensiblen Daten immer unter Hoheit des Betriebes verbleiben, egal wo sich der oder die Unterzeichnende gerade real befindet. 

Einen weiteren Aspekt deckt das qualifizierte Firmensiegel ab. Es hilft unter anderem bei der Erfüllung rechtlicher Anforderungen, wie beispielsweise der Einhaltung der Auflagen für E-Rechnungen zwischen Wirtschaftstreibenden gemäß §11 Abs. 2 des UstG. Das qualifizierte Firmensiegel gewährleistet nämlich sowohl die Echtheit der Herkunft der Rechnung als auch die Unversehrtheit des Inhaltes.

Wie unterscheiden sich die angebotenen Lösungen von A-Trust, wie z.B. gehostete Alternativen, die Signatur-Box oder Stapelsignaturen? Welche Vorteile bieten sie verschiedenen Unternehmen in Bezug auf Sicherheit, Compliance und Effizienz?

Digitale Prozesse und digitale Signaturen helfen Unternehmen dabei, Ihre Prozesse effizient zu optimieren. Mit der QES – welche in den unterschiedlichsten Lösungen von A-Trust und den Partnerunternehmen integriert ist – setzt man hierbei auf die sicherste Form der elektronischen Signatur. 

Ob gehostete bzw. On-premise-Signatur-Box oder Partnerlösungen mittels Hash-Signing: Sicher und effizient sind alle dieser Lösungen, wobei eine On-premise-Lösung die strikteste Compliance erfüllen kann, weil garantiert keine Daten das Unternehmen verlassen. Dies kann gerade für Organisationen und Unternehmen, welche mit sensibelsten Daten (wie beispielsweise Patient:innendaten) hantieren, enorm wertvoll sein. Die verschiedenen Alternativen sind dabei für unterschiedliche Bedürfnisse konzipiert – über Hash-Signing integrieren A-Trust-Partner:innen die QES besonders unkompliziert. Das Resultat für Kund:innen ist eine breite Auswahl an Lösungen: Die Signatur-Box kann als On-premise oder gehostete Lösung individuell vom Unternehmen in die eigene Signaturumgebung implementiert werden. Die Stapelsignatur, bei welcher mehrere Dokumente in nur einem Signaturprozess qualifiziert unterzeichnet werden können, ist dabei in allen Alternativen integriert bzw. integrierbar.

Wer lieber auf eine fertige Signaturplattform bzw. -software zurückgreifen möchte, findet die A-Trust-QES auch in den Lösungen der A-Trust-Partner:innen. Außerdem kann ein Signatur-Workflow mit A-Trust-QES in unterschiedliche Systeme, wie beispielsweise Dokumentenmanagementsysteme, Customer-Relation-Management-Systeme oder Content-Management-Systeme integriert werden, wodurch noch umfassendere und ganzheitliche digitale Prozesse möglich sind. 


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*