Authentifizierung als Schlüssel zum Schutz vor Cyberangriffen

Es wird geschätzt, dass die Kosten von Cyberangriffen Ende 2024 weltweit mehr als 10,5 Billionen US-Dollar betragen werden. Schwachstellen in digitalen Authentifizierungsprozessen sind eine der häufigsten Ursachen für erfolgreiche Angriffe auf IT-Systeme. Die Gewährleistung von IT-Sicherheit ist daher ein wichtiger Wirtschaftsfaktor, meint Markus Vesely, CEO von A-Trust. [...]

Markus Vesely, CEO von A-Trust (c) A-Trust
Markus Vesely, CEO von A-Trust (c) A-Trust

Cyberangriffe werden als wachsendes Problem eingeschätzt, besonders im Bereich der digitalen Identität. Wie können Unternehmen diesen Herausforderungen in Bezug auf digitale Authentifizierung und Sicherheitslücken begegnen, um ihre Systeme vor solchen Angriffen zu schützen?

Cybersicherheit spielt sich auf vielen unterschiedlichen Ebenen ab, grundsätzlich beginnt sie aber immer bei der kleinsten Einheit – dem Individuum. Zu den wichtigsten Maßnahmen zum Schutz vor Cyberangriffen gehört daher, neben der Schulung des Personals in sicherheitsrelevanten Themen, die Mehrfaktor-Authentifizierung, beispielsweise für den Zugriff auf Benutzerkonten oder eben auch für die Auslösung von Signaturen. Hier kann beispielsweise ein FIDO-Token (auch: FIDO-Sicherheitsschlüssel) als zweiter Faktor verwendet werden, der unter anderem auch als weiterer Faktor für die unterschiedlichsten Dienste oder zur Festplattenverschlüsselung genutzt werden kann.  

Dank einer digitalen Authentifizierung von Personen durch den Login mittels der Qualifizierten Elektronischen Signatur (QES) können Unternehmen wiederum die Identität der Nutzer:innen von eigenen Services o.Ä. prüfen bzw. feststellen. 

Unternehmen können sich außerdem durch qualifizierte Signaturservices vor Cyberkriminalität schützen: Mittels der QES kann sichergestellt werden, dass Integrität und Authentizität von Dokumenten gewahrt bleiben. Ähnlich ist es bei qualifizierten Siegeln: auch hier kann jederzeit nachgeprüft werden, ob das Dokument wirklich vom jeweiligen Unternehmen besiegelt wurde, ohne nachträglich verändert worden zu sein. Je mehr Unternehmen auf qualifizierte Lösungen setzen, desto sicherer wird das Umfeld für alle. Wer die qualifizierte Signatur bzw. das qualifizierte Siegel im Unternehmen etabliert, schafft also nicht nur für das eigene Unternehmen Sicherheit, sondern auch für alle Stakeholder:innen.

Die Qualifizierte Elektronische Signatur (QES) gilt als essenzielles Element im Portfolio von A-Trust. Wie erleichtert diese eIDAS-konforme Signatur nationale und grenzüberschreitende Transaktionen und wie hilft sie dabei, manuelle und papierbasierte Prozesse zu eliminieren?

Insbesondere bei international wirksamen Vereinbarungen stellen manuelle, papierbasierte Vertragsprozesse rechtliche und Compliance-Risiken dar und verzögern die Abschlüsse. Abläufe, bei denen Daten gedruckt, gescannt, gefaxt und neu eingegeben werden müssen, sind nicht nur schwerfällig, sondern verursachen auch zusätzliche Kosten und binden wichtige Personalressourcen.

Signaturprozesse können dank QES vollständig digital abgebildet und so wesentlich effizienter gestaltet werden. Ein simples Beispiel hierfür wäre ein Vertrag, der in einem Unternehmen aufgesetzt wird und sowohl von der eigenen Geschäftsführung als auch einem Geschäftspartner bzw. einer Geschäftspartnerin unterzeichnet werden soll. Dafür würde der Vertrag zuallererst einmal – wahrscheinlich in doppelter Ausführung – ausgedruckt werden, um diesen händisch zu signieren. Anschließend würde dieser entweder per Post oder, nach Einscannen des Dokuments, digital an das Partnerunternehmen versendet werden, wo es dann wiederum erneut ausgedruckt werden müsste. Nach einer weiteren händischen Signatur, würde das Original (oder eines der Originale) wieder per Post seinen Weg zurück zum Ursprungsunternehmen aufnehmen (oder ggf. wiederum gescannt und rückversendet werden). 

Zum Vergleich: In einem vollständig digitalisierten Szenario würde das Dokument als PDF gespeichert und den Signator:innen in der verwendeten Signatursoftware bzw. -plattform zugewiesen. Diese unterschreiben das Dokument digital binnen Sekunden zeit- und ortsungebunden. Alle Beteiligten können das europaweit rechtsgültig unterschriebene Dokument nun downloaden und ablegen und haben so nicht nur eine Menge Zeit gespart und Ressourcen geschont, sondern können sich außerdem sicher sein, dass alle Schritte nachvollziehbar sind und der Vertrag nachträglich nicht verändert werden kann. 

Wer auf höchste Beweiskraft setzten will, wählt qualifizierte Signaturlösungen wie die QES, das qualifizierte Siegel oder auch einen in Signaturlösungen implementierten qualifizierten Zeitstempel sowie Long-Term-Validation (LTV). Sie bieten zusätzliche Nachvollziehbarkeit und Beweiskraft und tragen zu dem für Unternehmen im Wettbewerb so wichtigen Vertrauen seiner Geschäftspartner bei. 

Beim qualifizierten Zeitstempel wird die verwendete Uhrzeit regelmäßig gegenüber mehreren vertrauenswürdigen Zeitquellen synchronisiert. Dies garantiert z.B. bei offiziellen Ausschreibungen, dass ein Dokument zu einem bestimmten Referenzzeitpunkt existiert hat. Er bestätigt auch, dass das Dokument genau in dieser Form vorlag, da bei nachträglichen Veränderungen des Schriftstückes der Zeitstempel seine Gültigkeit verliert. 

Die Long-Term-Validation (LTV) stellt sicher, dass Unterschriften auch zukünftig als zum Zeitpunkt der Unterschrift gültig erkennbar sind, unabhängig davon, ob das Zertifikat bereits abgelaufen ist beziehungsweise widerrufen wurde oder die Zertifizierungsstelle noch besteht. Dafür wird zum Zeitpunkt der Unterschrift ein qualifizierter Zeitstempel angebracht und neben der Unterschrift werden auch noch alle aktuellen Widerrufslisten gespeichert. Dies bedeutet höchste Beweiskraft und Nachvollziehbarkeit und garantiert eine maximale (rechtliche) Absicherung.

Könnten Sie erklären, wie das Hash-Signing von A-Trust die Sicherheit und Effizienz von digitalen Signaturprozessen verbessert, insbesondere in Bezug auf Cloud-Anwendungen?

Mit Hash-Signing ist in den meisten Fällen Client-Side-Hash-Signing gemeint. Das bedeutet, dass die Dokumente auf Seiten bzw. im System der Nutzenden verschlüsselt werden. Dadurch liegt die Datensouveränität bei den Kund:innen, denn A-Trust bietet Signaturprozesse an, bei welchen nicht die Dokumente selbst, sondern nur der verschlüsselte Hash-Wert an den Vertrauensdiensteanbieter versendet werden. Kund:innen entscheiden also, welche Signatursoftware bzw. Signaturplattform sie verwenden, und somit auch, ob sie überhaupt eine Cloud-Anwendung nutzen möchten – seitens A-Trust ist dies aber nicht nötig. 

Bei der Verwendung unserer Signatur-Box werden die Dokumente in einem Server, der direkt im Unternehmen des Kunden bzw. der Kundin steht oder im Rechenzentrum gehostet wird, verschlüsselt, bevor Sie signiert werden. Auch hier obliegt die Datenhoheit vollständig dem jeweiligen Unternehmen. Bei einer On-premise-Lösung kann so sichergestellt werden, dass alle Dokumente in den „eigenen vier Wänden“ bleiben. So werden auch die striktesten Compliance-Anforderungen gewahrt.

In der heutigen Arbeitswelt, die sich durch Flexibilität und Nachhaltigkeit auszeichnet, spielen digitale Lösungen eine entscheidende Rolle. Wie ermöglicht die Digitalisierung von Prozessen, insbesondere im Kontext von Homeoffice und mobilen Arbeitsformen, ein optimiertes Arbeiten und trägt gleichzeitig zur Nachhaltigkeit bei?

Die Digitalisierung unterstützt die Individualisierung der Arbeitsmodelle und Zeit- sowie Ortsunabhängigkeit sind Eigenschaften, die gerade in dynamischen und immer weiter flexibilisierten Arbeitswelten relevanter denn je sind. So ermöglicht zum Beispiel die von A-Trust angebotene QES xIDENTITY (EU-Identity mobile), Verträge von ganz Europa aus online abzuschließen. Wenn Mitarbeiter:innen unabhängig vom Wohnort europaweit digital eindeutig identifiziert werden und dadurch rechtsgültig Dokumente elektronisch signieren können, ist sowohl dem entsprechenden Unternehmen als auch der Umwelt gedient. Denn damit einher geht ein großes Einsparungspotenzial: Ressourcen „fressende“ Prozesse fallen weg oder können zumindest verringert werden – seien es CO2-intensive Aspekte wie Papierherstellung, Transportmittel im Fall von Dienstreisen, die Energieversorgung von Büroräumlichkeiten usw., aber auch Zeit und Energie raubende administrative Routinetätigkeiten von Mitarbeiter:innen. Dank der Stapelsignatur können beispielsweise in nur einem Signaturvorgang zahlreiche Dokumente gleichzeitig signiert und an die nächste Person weiterversendet werden.

In der A-Trust Signatur App kann seit Kurzem nachgesehen werden, wie viele Ressourcen durch die eigene Verwendung der A-Trust-QES in den vergangenen Jahren geschont werden konnten und wie viel Strom, Papier und Wasser insgesamt gespart wurden. Beispielsweise konnten mit den 52,7 Millionen digitalen Signaturen, die 2023 über die A-Trust-QES getätigt wurden, ca. 335 Tonnen Holz oder 5,6 Millionen Liter Wasser gespart und der CO2-Ausstoß um 108 Tonnen verringert werden – das entspricht in etwa dem CO2-Ausstoß, welchen 344 Personen verursachen, die mit dem Flugzeug von Wien nach Mallorca reisen. 

Für große Unternehmen mit strengen Compliance-Richtlinien ist ein optimierter Workflow bei gleichzeitiger Sicherheit von entscheidender Bedeutung. Wie unterstützt A-Trust diese Unternehmen, um ihre Dokumente rechtsgültig zu besiegeln und gleichzeitig höchste Sicherheitsstandards zu gewährleisten?

Damit kooperative Geschäftsprozesse garantiert DSGVO-konform und unter voller Compliance digital abgewickelt werden können, sind ein sicherer Dokumentenaustausch und sichere Signaturvorgänge nötig. Wer sich hier auf Hash-Signing, die Signatur-Box oder die Produkte der A-Trust-Partner:innen verlässt, profitiert von praktikablen Lösungen, die einfach in den Unternehmensalltag zu implementieren und integrieren sind: Auch Stapelsignaturen – mehrere PDF-Dokumente werden mit einem Schlag in einem Signaturvorgang unterzeichnet – sind möglich. Bei allen A-Trust-Lösungen wird dafür gesorgt, dass die sensiblen Daten immer unter Hoheit des Betriebes verbleiben, egal wo sich der oder die Unterzeichnende gerade real befindet. 

Einen weiteren Aspekt deckt das qualifizierte Firmensiegel ab. Es hilft unter anderem bei der Erfüllung rechtlicher Anforderungen, wie beispielsweise der Einhaltung der Auflagen für E-Rechnungen zwischen Wirtschaftstreibenden gemäß §11 Abs. 2 des UstG. Das qualifizierte Firmensiegel gewährleistet nämlich sowohl die Echtheit der Herkunft der Rechnung als auch die Unversehrtheit des Inhaltes.

Wie unterscheiden sich die angebotenen Lösungen von A-Trust, wie z.B. gehostete Alternativen, die Signatur-Box oder Stapelsignaturen? Welche Vorteile bieten sie verschiedenen Unternehmen in Bezug auf Sicherheit, Compliance und Effizienz?

Digitale Prozesse und digitale Signaturen helfen Unternehmen dabei, Ihre Prozesse effizient zu optimieren. Mit der QES – welche in den unterschiedlichsten Lösungen von A-Trust und den Partnerunternehmen integriert ist – setzt man hierbei auf die sicherste Form der elektronischen Signatur. 

Ob gehostete bzw. On-premise-Signatur-Box oder Partnerlösungen mittels Hash-Signing: Sicher und effizient sind alle dieser Lösungen, wobei eine On-premise-Lösung die strikteste Compliance erfüllen kann, weil garantiert keine Daten das Unternehmen verlassen. Dies kann gerade für Organisationen und Unternehmen, welche mit sensibelsten Daten (wie beispielsweise Patient:innendaten) hantieren, enorm wertvoll sein. Die verschiedenen Alternativen sind dabei für unterschiedliche Bedürfnisse konzipiert – über Hash-Signing integrieren A-Trust-Partner:innen die QES besonders unkompliziert. Das Resultat für Kund:innen ist eine breite Auswahl an Lösungen: Die Signatur-Box kann als On-premise oder gehostete Lösung individuell vom Unternehmen in die eigene Signaturumgebung implementiert werden. Die Stapelsignatur, bei welcher mehrere Dokumente in nur einem Signaturprozess qualifiziert unterzeichnet werden können, ist dabei in allen Alternativen integriert bzw. integrierbar.

Wer lieber auf eine fertige Signaturplattform bzw. -software zurückgreifen möchte, findet die A-Trust-QES auch in den Lösungen der A-Trust-Partner:innen. Außerdem kann ein Signatur-Workflow mit A-Trust-QES in unterschiedliche Systeme, wie beispielsweise Dokumentenmanagementsysteme, Customer-Relation-Management-Systeme oder Content-Management-Systeme integriert werden, wodurch noch umfassendere und ganzheitliche digitale Prozesse möglich sind. 


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*