SSL, TSL, Public Key… Alles, was Sie über digitale Zertifikate wissen müssen

SSL-Zertifikat, TSL-Zertifikat, qualifiziertes Zertifikat… vielleicht haben Sie einen dieser Begriffe schon einmal gehört, ihn aber als zu technisch abgetan und in Ihre IT-Abteilung vertrieben. Im Zeitalter der Digitalisierung, in dem Dokumente zunehmend dematerialisiert und mit elektronischer Unterschrift versehen per Email oder Onlineportal an ihren Empfänger zugestellt werden, ist es beinahe ein Muss, zu verstehen, was sich hinter diesen Kürzeln verbirgt.

Wie können Sie sicherstellen, dass eine Website vertrauenswürdig ist und dass die Implementierung neuer digitaler Prozesse wie der elektronischen Signatur für Ihre Daten nicht gefährlich ist? Genau hier setzt das digitale Zertifikat an, da es die Authentifizierung der Unterzeichner und die Datenverschlüsselung garantiert.

Lassen Sie uns daher in diesem Artikel einen genaueren Blick auf digitale Zertifikate werfen und die Antwort auf die folgenden Fragen finden:

Ein digitales Zertifikat, auch elektronisches oder Public-Key-Zertifikat genannt, ist ein Datensatz, der als “digitaler Personalausweis” dazu dient:

• eine natürliche oder juristische Person zu identifizieren und zu authentifizieren,

• den Datenaustausch zwischen Rechnern zu verschlüsseln,

• online in absoluter Sicherheit Dokumente zu unterzeichnen.

Ein solches Zertifikat kann auf zwei Arten konkretisiert werden:

• virtuell auf Software,

• oder materiell auf Hardware - es wird dann in Form eines USB-Sticks oder einer Smart Card ausgeführt.

Der am häufigsten verwendete Standard für die Erstellung digitaler Zertifikate im Allgemeinen ist X.509 und das bekannteste digitale Zertifikat, welches speziell für die Sicherung der für die Datenübertragung genutzten Internetverbindung zuständig ist, ist das TSL bzw. SSL-Zertifikat. Hierzu später aber mehr.

Digitale Zertifikate werden generell in drei Klassen aufgeteilt, die jeweils einen unterschiedlichen Sicherheitsgrad aufweisen:

Garantiert, dass eine E-Mail-Adresse des Absenders einer Information vorhanden ist, authentifiziert jedoch nicht die Identität des Inhabers des Zertifikats.

Die Identität des Zertifikatsinhabers und seines Unternehmens wird garantiert. Die Belege hierfür wurden von der Zertifizierungsstelle, die das digitale Zertifikat ausgestellt hat, übermittelt und verifiziert.

Zusätzlich zu der Authentifizierung gemäß den Standards der Klasse II wird hier auch die physische Bestätigung der Identität des Inhabers eingefordert. Zudem wird das Zertifikat auf Hardware (wie einer Signaturkarte oder einem anderen Speichermedium) aufbewahrt.

Das Secure Socket Layer (SSL) Zertifikat (unter diesem Namen am weitesten verbreitet, aber seit seiner letzten Version umbenannt in Transport Layer Security-Zertifikat, TLS) ist ein elektronisches Zertifikat für die Datenverschlüsselung, das den Übertragungsweg von Daten zwischen Webserver und Browser (Client) sichert.

Das SSL-Zertifikat ist das bekannteste digitale Zertifikat und besteht aus einem Datenpaket, welches ähnlich einem Vertrag bestimmte Eigenschaften der Kommunikationspartner bestätigt, um festzustellen, dass diese tatsächlich diejenigen sind, für die sie sich ausgeben.

Es besteht aus einem Datensatz, der unter anderem die folgenden Elemente enthält:

• eine spezielle Schlüsselinfrasturktur: einen öffentlichen kryptografischen Schlüssel (engl. public key), der mit dem privaten kryptografischen Schlüssel (engl. private key) eines Unternehmens oder einer Privatperson verbunden ist,

• URLs von sicheren Websites,

• den Firmennamen eines Unternehmens, bei OV-SSL (Organization-Validation-Zertifikat) und EV-SSL (Extended-Validation-Zertifikat).

SSL-Zertifikate werden auf einem Server installiert und verschlüsseln vertrauliche Daten, um eine sichere Verbindung zwischen den an einer Datentransaktion beteiligten Akteuren zu gewährleisten. Sie werden besonders für Bankgeschäfte (Kreditkartentransaktionen, Logins usw.) oder die Übertragung sensibler Daten wie IDs und Passwörter verwendet.

Eine SSL-Verbindung wird durch ein Vorhängeschloss-Symbol und das "https"-Protokoll in der Browserleiste gekennzeichnet:

SSL-Zertifikate kommen in verschiedenen Arten vor. Ein Rapid-SSL-Zertifikat beispielsweise sind jeweils für eine Domain oder Subdomain. Ein Wildcard-SSL-Zertifikat hingegen kann alle Subdomains einer bestimmten Domain einbinden und sichern.

Wie das Zertifikat kann auch die elektronische Signatur in drei Kategorien eingeteilt werden, die ebenfalls jeweils unterschiedlichen Graden an Sicherheit und Authentifizierung entsprechen.

Für die zwei höchsten dieser Kategorien ist die Verwendung eines digitalen Zertifikats nötig - im Falle der strengsten Klasse sogar gesetzlich vorgeschrieben. Es ist nämlich genau dieses digitale Zertifikat, das es ermöglicht, den Unterzeichner eindeutig zu identifizieren und die Integrität des zu unterzeichnenden Dokuments zu gewährleisten.

Für eine fortgeschrittene elektronische Signatur (Kategorie 2), ist es nötig, den Signaturersteller im Bedarfsfall identifizieren zu können. Hierfür kann (muss aber nicht zwangsläufig) ein digitales Zertifikat genutzt werden.

Bei der Erstellung einer qualifizierten elektronischen Signatur (Kategorie 3) wird jedoch zwingend ein so genanntes qualifiziertes Zertifikat benötigt. Dieses ist ein digitales Zertifikat, welches spezifische, in der Verordnung (EU) Nr. 910/2014 (auch eIDAS-Verordnung genannt) näher bestimmte Inhalte enthält. Es sorgt dafür, dass die Unterschrift denselben Grad an Rechtsgültigkeit erhält, wie eine handschriftliche Unterschrift.

Gemäß eIDAS-Verordnung muss das qualifizierte Zertifikat für eine elektronische Signatur die folgenden Daten beinhalten:

• Angaben über den Aussteller;

• ein den Zertifikatsinhaber eindeutig kennzeichnender Name oder ein Pseudonym sowie ggf. weitere Attribute;

• Signaturprüfschlüssel des Inhabers;

• Seriennummer;

• die fortgeschrittene (eIDAS-Verordnung) bzw. qualifizierte (in Deutschland) elektronische Signatur des ausstellenden Zertifizierungsdiensteanbieters;

• Angaben zum Beginn, Ende sowie eventuellen Beschränkungen des Geltungs- oder Anwendungsbereichs des Zertifikats.

Qualifizierte elektronische Zertifikate werden nach vorheriger Prüfung und Akkreditierung des jeweiligen Vertrauensdienstleisters durch die zuständigen Behörden (in Deutschland von der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen) ausgegeben.

Simpel gesagt ist ein elektronisches Zertifikat dafür unerlässlich, eine Person zu authentifizieren, ihren Zugang zu übermittelten Daten zu sichern und ihr die Möglichkeit zu geben, eine elektronische Unterschrift zu erstellen. Ganz wichtig - wie bereits erwähnt, ist eine digitale Signatur ohne ein qualifiziertes digitales Zertifikat rechtlich nicht mit einer eigenhändigen Unterschrift gleichwertig.

Ein digitales Zertifikat ist eine Garantie für die Sicherheit und ein Echtheitsnachweis der Identität des Unterzeichnenden, der einzigen Person mit Unterschriftsbefugnis. Das Zertifikat stellt die Verbindung zwischen der elektronischen Signatur und der unterzeichnenden Person her, soweit es Informationen enthält, die für die Authentifizierung dieser Person und die Gewährleistung der Unveränderlichkeit des Dokuments wesentlich sind.

In welchen Fällen können elektronische Signaturen verwendet werden? Dank elektronischer Signaturen wird der Austausch von Informationen in vielen Fällen erleichtert, beschleunigt und gesichert, beispielsweise bei:

• der Unterzeichnung einer Rechnung oder Bestellung,

• dem Abschließen von Verträgen jeglicher Art,

• Reaktionen auf Ausschreibungen,

• dem Unterschreiben amtlicher Dokumente (z.B. Steuer- und Sozialversicherungserklärungen),

• dem gesicherten Zugriff auf Ihre Mailbox oder Website.

Möchten Sie mehr über die Rechtsgültigkeit der elektronischen Signatur sowie ihre Eigenschaften und Anforderungen erfahren?

Ein qualifiziertes digitales Zertifikat kann nur von einer anerkannten Organisation ausgestellt werden, die von der Bundesnetzagentur oder einer äquivalenten Institution eines anderen EU-Landes als qualifizierter Vertrauensdiensteanbieter akkreditiert wurde. Diese Dienstleister sind vertrauenswürdige Dritte, die gemäß Vertrauensdienstegesetz (VDG) und der eIDAS-Verordnung berechtigt sind, solche Zertifikate auszustellen.

Dieser deutsche und europäische Rechtsrahmen garantiert das Vertrauen und die Sicherheit des Online-Datenverkehrs für die Nutzer, sowohl in den Unternehmen als auch im öffentlichen Auftragswesen.

Zu den bekanntesten und meistgenutzten qualifizierten Vertrauensdiensteanbieter in Deutschland zählen wir beispielsweise die:

• Deutsche Telecom AG,

• Deutsche Post AG,

• Bundesnotarkammer oder

• Bundesagentur für Arbeit.

Quelle: Europäische Kommission

Wie bereits erwähnt, kann ein elektronisches Zertifikat nur von einem durch die zuständige Behörde akkreditierten qualifizierten Zertifikatsanbieter bezogen werden. In Deutschland führt die Bundesnetzagentur eine entsprechende Liste solcher Anbieter.

In den meisten Fällen wird das Zertifikat an eine natürliche Person ausgestellt, die im Namen einer Gesellschaft handelt. Die Bescheinigung muss jedoch den Firmennamen der Gesellschaft oder öffentlichen Einrichtung enthalten, für die die natürliche Person handelt.

Für den Erhalt eines digitalen Zertifikats gelten bestimmte Bedingungen:

• das Zertifikat muss der DSGVO entsprechen,

• bis zum Erhalt dieses digitalen Dokuments sollten in der Regel einige Wochen eingeplant werden.

Wenn die Rahmenbedingungen des digitalen Zertifikats jetzt geklärt sind, wie können Sie Ihre Dokumente basierend auf einem solchen Datenset einfach online signieren und gleichzeitig die Sicherheit Ihrer Daten gewährleisten? Wie funktioniert’s in der Praxis?

Online-Software für die Erstellung elektronischer Signaturen fördert die Digitalisierung und erleichtert die Dematerialisierung von Unternehmen in vielerlei Hinsicht, wodurch Kosten eingespart werden können:

• Dokumente können schneller unterschrieben werden.

• Dank qualifizierter Zertifikate behalten sie denselben rechtlichen Wert wie händig unterschriebene Schriftstücke.

• Unternehmen können einen ökologisch verantwortungsbewussten Ansatz verfolgen, indem Sie das Drucken Ihrer Dokumente einstellen bzw. einschränken.

• Das Risiko des Verlusts von Dokumenten wird reduziert, wenn deren physische Übertragung eingestellt wird.

• Der Datenaustausch wird vereinfacht und die grenzüberschreitende Mobilität von Informationen gefördert.

Einige Anbieter von Software für digitale Signaturen wie DocuSign oder Yousign sind auch als Zertifizierungsstellen anerkannt. Sie sind somit berechtigt, elektronische Zertifikate auszustellen. Sie haben die Garantie, dass die vorgeschlagene Zertifizierung und die elektronische Signatur den erforderlichen Rechtswert haben, um mit absoluter Sicherheit zu unterschreiben.

Das französische Unternehmen Yousign hat die doppelte Rolle eines Herstellers webbasierter Software für elektronische Signaturen und einer EU-weit akkreditierten Zertifizierungsstelle.

Die Anwendung ist eIDAS- und ETSI-zertifiziert und besitzt das von ANSSI (französisches Äquivalent zur Bundesnetzagentur) ausgestellte Sicherheitsvisum. Somit legt Yousign großen Wert darauf, ein Höchstmaß an Sicherheit für Ihre Daten zu gewährleisten.

Der Funktionsumfang von Yousign umfasst unter anderem:

• die Erstellung einer elektronischen Signatur,

• einen digitalen Safe,

• Archivierung mit Beweiskraft,

• die Zeitstempelung von Unterschriften und Dokumenten.

Sie wissen nun: digitale Zertifikate, insbesondere das berühmte SSL-Zertifikat, bezeugen und gewährleisten die Sicherheit der Datenübertragung im Netz, da sie ein Garant für die Authentifizierung der Identität von Akteuren im Netz sind. Ein gültiges SSL-Zertifikat wird durch ein Schlosssymbol neben der URL-Anzeige dargestellt und durch ein SSL-Protokoll dokumentiert. Elektronische Zertifikate können nur von offiziell akkreditierten Zertifizierungsstellen ausgestellt werden. Zudem ermöglichen digitale Zertifikate die Erstellung elektronischer Signaturen, welche die Digitalisierung Ihres Unternehmens vorantreiben können.

Neben der Verbindungs- und Website-Sicherheit ermöglichen diese Datensätze also nicht nur das sorglose Navigieren und den verschlüsselten Datenaustausch im Netz, sondern sie haben auch eine direkt modernisierende Auswirkung auf Unternehmen, die sich für ihren Einsatz z.B. im Bereich des Dokumentenmanagements entscheiden.