Qualifizierte Signaturen

Bei den von der WWUCA ausgestellten Zertifikaten handelt es sich um fortgeschrittene Zertifikate gemäß eIDAS-Verordnung der EU.

Für den elektronischen Schriftverkehr zwischen der Universität und Behörden und Gerichten sind unter Umständen qualifizierte Zertifikate erforderlich.

Der Unterschied ist nicht technischer, sondern administrativer und organisatorischer Natur. Die kryptografische Sicherheit ist also identisch. Aber es ist sehr viel komplizierter, qualifizierte Zertifikate zu erhalten.

Der nachfolgende subjektive Erfahrungsbericht beschreibt, wie ich mir ein qualifiziertes Zertifikat besorgt und erfolgreich zum Signieren eingesetzt habe.

Technische Voraussetzungen

Zum Signieren benötigt werden sinnvollerweise (Preise von Anfang 2021, gerundet):

Wenn größere Mengen Dokumente im Stapelbetrieb signiert werden sollen, benötigt man etwas teurere Software (z. B. digiseal® office Pro für ca. 190 € bzw. ca. 480 € je nach maximaler Stapelgröße) und etwas teurere Signaturkarten (z. B. D-Trust-Multicard für ca. 350 € pro Jahr oder ca. 520 € alle drei Jahre).

Wenn die elektronischen Unterschriften nicht von einer natürlichen Person, sondern von der Universität, einer juristischen Person, geleistet werden sollten, benötigt man die sehr viel teureren Siegelkarten für ca. 1100 € pro Jahr oder ca. 2200 € alle drei Jahre, allerdings nur eine einzige für die Universität und nicht eine pro natürlicher Person. (Dazu müssen die Verwaltungsprozesse der Universität so angepasst werden, dass die elektronischen Signaturen an einer zentralen Stelle erstellt werden können.)

Zeitaufwand für die Vorbereitung

Während die Beschaffung der Hardware und der Software innerhalb weniger Tage durchgeführt werden kann, kann der Erwerb einer ersten Signaturkarte nach meiner Erfahrung mehrere Monate dauern, insbesondere wenn in eine persönliche Signaturkarte die Organisationszugehörigkeit eingetragen werden soll (was natürlich gemacht werden sollte, wenn eine Person nicht als Privatperson, sondern als Vertreter dieser Organisation auftritt).

Mir wurde allerdings gesagt, dass die lange Bearbeitungszeit teilweise auf die Corona-Pandemie zurückzuführen sei.

Vorbereitende Überlegungen und Bestellung der Karte

Aus einem gescheiterten Projekt zur Nutzung der eID-Funktion des neuen Personalausweises besaß ich bereits den oben genannten Kartenleser, er wurde aber erst nach Erhalt der Signaturkarte benötigt.

Alle berechtigten Anbieter qualifizierter Zertifikate findet man auf der von der EU angebotenen Seite https://esignature.ec.europa.eu/efda/tl-browser/, relevant sind die mit “QCert for ESig” (Signaturkarten-Anbieter) und “QCert for ESeal” (Siegelkarten-Anbieter) markierten Anbieter.

Da die D-Trust GmbH (Bundesdruckerei) der einzige deutsche Anbieter ist, der sowohl für jeden Deutschen persönliche Signaturkarten als auch Siegelkarten für Firmen und Organisationen anbietet, die wie oben beschrieben für die Universität von Interesse sein können, entschied ich mich, dort eine damals angebotene für zwei Jahre gültige D-Trust-Card 3.1 zu bestellen.

(Die oben genannte Software wird von D-Trust für die Verwendung mit der Signatur- bzw. Siegelkarte empfohlen.)

Von https://www.bundesdruckerei.de/de/bestellen aus kam ich zum Online-Antragsformular für die gewünschte Signaturkarte.

Dort habe ich am 7. August ich meine persönlichen Identitätsdaten, Meldeanschrift, Kontaktdaten einschließlich einer Handynummer für das SMS-TAN-Verfahren, und Ausweisdaten angeben, weiterhin die gewünschte Art der Identifizierung (Post-Ident) und ob das Zertifikat veröffentlicht werden soll.

Da ich auch meine Organisationszugehörigkeit aufnehmen lassen wollte, wie es natürlich diejenigen machen werden, die die Universität nach außen vertreten, musste ich die die Angaben zur Organisation ausfüllen, ob ich zeichnungsberechtigt bin oder wer zeichnungsberechtigt ist und welche andere Person aus der Organisation sperrberechtigt sein soll, d. h. meine Signaturkarte sperren lassen darf (beispielsweise weil ich aus der Organisation ausscheide; ich habe den Personalverantwortlichen der WWU IT benannt).

Auch konnte ich meine Berufsbezeichnung eintragen lassen (für mich uninteressant).

Weiterhin musste ich festlegen, an welche möglicherweise unterschiedliche Adressen die Signaturkarte und der PIN-Brief geschickt werden sollten und wohin die Rechnung adressiert werden sollte. Die Karte hatte ich an die Dienstadresse, den PIN-Brief an meine Privatadresse und die Rechnung nach Absprache an die WWU IT schicken lassen.

Alle diese Angaben musste ich nachweisen: Meine Identität beispielsweise per Post-Ident, meine Organisationszugehörigkeit durch eine Bescheinigung (in meinem Fall durch den Personalverantwortlichen der WWU IT) usw. Eine telefonische Rückfrage bei der D-Trust-Hotline ergab, dass statt des bei Hochschulen und Behörden nicht vorhandenen Handelsregisterauszugs die Mitarbeiterbescheinigung mit dem offiziellen Dienstsiegel versehen werden musste.

Urlaubszeitbedingt hatte ich zwei Monate gebraucht, bis ich universitätsintern alle Nachweise beisammen hatte. Unter anderem musste erst einmal geklärt werden, ob das Dienstsiegel der Universität überhaupt wie hier von D-Trust verlangt für eine einfache Bescheinigung verwendet werden darf, dass ich Mitarbeiter der Universität bin.

Das Post-Ident-Verfahren hatte ich in einer Postagentur durchgeführt und dabei das fertige Antragsformular und alle Nachweise einschließlich einer stellenweise geschwärzten Kopie meines Personalausweises als Anlage dem Post-Ident-Brief an die D-Trust GmbH beigelegt.

Nach wenigen Tagen erhielt ich am 12. Oktober die Eingangsbestätigung und die Anforderung einer offiziellen Bestellung durch die Einkaufsabteilung meines Unternehmens. Mit Unterstützung des Geschäftszimmers konnte ich das Bestellschreiben noch am gleichen Tag an D-Trust übermitteln.

Als ich nach knapp vier Wochen noch nichts gehört hatte, hatte ich bei der D-Trust-Hotline angerufen. Diese hat mir bestätigt, dass meine Unterlagen angekommen, aber noch nicht in Bearbeitung waren. Sie konnte mir aber nicht sagen, wie lange es noch dauern würde, und bat um Verständnis für Corona-bedingte Verzögerungen.

Am 18. November erhielt ich eine E-Mail mit einem Link, unter dem ich mir eine Woche lang (nicht länger!) die zur Initialisierung der Signaturkarte benötigte Software herunterladen konnte. Diese Software läuft nur unter Windows. Die E-Mail enthielt auch Links auf die Anleitungen zur Inititalisierung einer Signaturkarte (auch als Video) oder Siegelkarte.

Am 3. Dezember wurde ich per E-Mail informiert, dass die Signaturkarte am gleichen Tag versendet wurde. Als das Schreiben nach ein oder zwei Tagen ankam, stellte sich heraus, dass der zweijährige Gültigkeitszeitraum der Signaturkarte bereits am 18. November begonnen hatte.

Mit Schreiben vom 7. Dezember erhielt ich ein oder zwei Tage später den PIN-Brief mit getrennt aufzurubbelnder Transport-PIN, Card-PIN, Card-PUK und Signatur-PUK. Die Transport-PIN wird nur zur Initialisierung und zum ersten Setzen der Signatur-PIN benötigt. Die Signatur-PIN wird zum Signieren, die Card-PIN zum Verschlüsseln und Authentifizieren benötigt.

Das Schreiben enthielt zusätzlich eine Aufforderung zur Empfangsbestätigung. Ich hatte maximal zwei Wochen Zeit (nicht länger!), online per SMS-TAN oder per Brief mit eigenhändiger, zum Personalausweis identischer Unterschrift den Empfang von Karte und PIN-Brief zu bestätigen, ansonsten wäre die Karte gesperrt worden und hätte ich eine neue Signaturkarte kaufen müssen!

Initialisierung der Signaturkarte

Zur Initialisierung benötigt werden:

  • ein PC unter Windows (es funktioniert problemlos auch mit einer virtuellen Maschine im VMware Workstation Player; man erhält im Verlauf der Initialisierung aber ein Warnung, dass man bei einem Einsatz in einer Virtualisierungsumgebung zusätzliche Sicherheitsmaßnahmen beachten sollte),

  • die installierte Treiber-Software für den Kartenleser,

  • die von D-Trust heruntergeladene Kartenaktivierungssoftware und

  • natürlich die inzwischen von D-Trust freigeschaltete Signaturkarte.

Die Installation der Kartenleser-Treiber-Software funktionierte genau nach der Bedienungsanleitung des Kartenlesers.

Die Aktivierung funktionierte genau nach der von D-Trust zur Verfügung gestellten Anleitung.

(Erst viele Wochen später hatte ich wieder Zeit und Ruhe, meine Experimente fortzusetzen.)

Verwendung der Signaturkarte

Dieser Abschnitt wird noch überarbeitet und um weitere Erfahrungen ergänzt.

Zum Signieren benötigt werden:

  • ein PC unter Windows (es funktioniert problemlos auch mit einer virtuellen Maschine im VMware Workstation Player),

  • die installierte Treiber-Software für den Kartenleser,

  • eine entsprechende Software wie beispielsweise digiseal® office und

  • natürlich die Signaturkarte.

Diese Software bietet verschiedene Möglichkeiten zum Signieren eines Dokuments.

Aktuell habe ich erst eine sehr einfach nutzbare Möglichkeit ausprobiert:

  • Es steht ein Druckertreiber zur Verfügung, mit dem man ein Dokument in eine signierte PDF/A-Datei drucken kann.

Ich kann also mit jeder Software, die eine Möglichkeit zum Drucken bietet, ein signiertes Dokument erzeugen. Beim „Drucken“ erscheint dann ein Fenster, welches einen problemlos durch den Signaturprozess führt. Meine allererste qualifizierte Signatur habe ich mit der Druckfunktion im einfachen Windows-Editor erstellt.

Einfache PDF-Reader zeigen nur die eingefügte Siegel-Grafik an. Nur mächtigere PDF-Reader wie der originale Acrobat Reader sind in der Lage, digitale Signaturen zu prüfen. Klicken Sie dazu auf die Siegel-Grafik.

Jede so erzeugte qualifizierte Signatur erfordert einige Mausklicks und die Eingabe der Karten-PIN am Kartenleser, dieser wird vorher in einen „sicheren Modus“ geschaltet. Offensichtlich bedeutet das, dass eine kryptographisch gesicherte Kommunikation zwischen dem Kartenleser und der Signatursoftware auf dem PC aufgebaut wird.