Dokumentsignatur
Ein Käufer fordert den Lieferanten auf, in einem Dokument einige organisatorische Zusicherungen zu machen und das Dokument digital zu signieren. Der Lieferant fragt und als Dienstleister und der Ball landet bei mir, weil ich ja schon sowas wie Signatur und Verschlüsselung gemacht habe.
European export control classification
Der sperrige Name des Excel Dokuments enthielt den String "european export control classification".
- European Union Export Controls
https://www.ecustoms.com/about-us/visual_trade_compliance_resources/eu_export_controls/ - Export Control Classification Number
https://de.wikipedia.org/wiki/Export_Control_Classification_Number
Beim Blick in dieses Dokument gibt es drei sichtbare Karteikarten:
Beachten Sie, dass das Dokument bei mir im "Geschützten Modus" geöffnet wurde. Eine Bearbeitung erfordert die Freigabe, was in Zeiten von Emotet und Office Makro Viren natürlich unglücklich ist.
Das ist nur ein Beispiel-Formular. Jede Firma scheint hier immer wieder was eigenes zu erstellen, aber alle haben meist die gleichen Inhalte. Teils als Excel-Datei aber auch als Word-Datei
- Supplier info and signature
Hier muss der Lieferant nicht nur seine vollständige Adresse hinterlegen sondern auch Organisationsstrukturen und andere Abhängigkeiten beisteuern. Auf dieser Seite muss dann eine Art "Signature" erfolgen - Part List
Diese Seite ist dann schon eher das Metier von Excel. Hier gibt es eine Liste mit allen Einzelteilen, die vom Lieferant an den Käufer geliefert werden. Die Liste enthält Teilenummer beim Käufer, Beschreibung, Teilenummer beim Lieferanten, Originaler Lieferant und sein Ursprungsland. Auch Aussagen zur militärischen Nutzung, Lizenzabhängigkeiten sind gefordert - Sonstiges
Eine dritte Seite ist für weitere Teile vorgesehen, für die es Export-Beschränkungen gibt.
Wenn Sie nach dem Begriff "european export control classification" suchen, finden sich weitere Dokumente von Firmen, die für ihre Lieferanten entsprechende Anleitungen veröffentlicht haben oder Fachartikel
- Guide to complete supplier’s declarations of MAN Diesel &
Turbo SE
https://www.mandieselturbo.com/docs/default-source/man-documentation_supplierdocuments_files/01---guide-to-complete-supplier's-declaration---mdt-se.pdf - The concept of European export controls on technology
transfers: Risks and strategies for international companies
https://worldcustomsjournal.org/Archives/Volume%2013%2C%20Number%201%20(Mar%202019)%20copy%201/1877%2001%20WCJ%20v13n1%20Haellmigk.pdf?_t=1563333690
Solche Zusicherungen in Form von DOCX, XLSX oder PDF-Dateien scheinen also nicht unüblich sein und da es sich dabei um eine verbindliche Aussage handelt, möchte der Empfänger natürlich sicherstellen, dass die Datei unverändert und von einer qualifizierten Stelle erstellt wurde.
eSignatur <> digitale Signatur
Der Begriff "Digitale Signatur" hat eigentlich immer etwas mit Zertifikate, öffentlichen und privaten Schlüsseln und Vertrauen zu tun. Die verwendete Software aber auch das Speicherformat muss in der Lage sein, digitale Signaturen zu erstellen, anzufügen, abzuspeichern und bei geöffneten Dokumenten zu prüfen.
- Wikipedia: Digital signature
https://en.wikipedia.org/wiki/Digital_signature
Die Funktion unterscheidet sich so erst mal nicht von einer E-Mail, die per SMIME oder PGP signiert oder vielleicht sogar noch verschlüsselt wird. Durch eine zusätzliche Verschlüsselung könne der Ersteller nicht nur ein Mitlesen auf dem Transportweg verhindern sondern auch sicherstellen, dass nur der gewünschte Empfänger die Information lesen kann. Digitale Signatur hat aber nichts mit "Rights Management" zu tun, bei der das Dokument nicht nur signiert und verschlüsselt wird, sondern auch der Zugriff auf die Inhalte abhängig von der Person beschränkt wird. So kann ich als Autor bestimmen, wer das Dokument drucken, ändern, weiterleiten darf und ob es nach einiger Zeit verfällt.
Eine reine digitale Signatur stellt nur sicher, dass das Dokument selbst unverändert ist und ich kann die Identität des Signierers überprüfen. Als Empfänger kann ich das Dokument natürlich nicht nur öffnen, sondern in der Regel auch Drucken, weiterleiten und sogar verändern. Bei einer Veränderung allerdings wird die Signatur ungültig. Das ist ja auch der Sinn einer Signatur.
Im Markt der "Dokumentsignatur" tummeln sich natürlich noch andere Anbieter, die eine vergleichbare Funktion versprechen aber vielleicht nicht den Anforderungen der anderen Seite entsprechen. Hier mal zwei Beispiele.
- DokuSign
https://www.docusign.com/how-it-works/electronic-signature/digital-signature/digital-signature-faq
https://www.docusign.com/how-it-works/electronic-signature/digital-signature
Soweit ich das verstanden habe, sind das keine Zertifikate für den Einsatz mit Word.
Die eSignature kostete 2020 ca. 120€/Jahr - Adobe eSign
https://acrobat.adobe.com/us/en/sign/digital-signatures.html 10 US$/Monat
https://acrobat.adobe.com/de/de/sign/pricing/plans.html 12€/Monat
Klar, dass auch der Erfinder des PDF-Formats für deren Signatur eine Lösung anbietet
Office Dokumente mit Zertifikaten
Wenn wir uns aber auch die klassischen Office Produkte Word, Excel, PowerPoint und die damit verbundenen Dateiformate DOCX, XLSX, PPTX konzentrieren. Microsoft selbst hat entsprechende Anleitungen zur Signatur von Office-Dateien bereit gestellt.
- Hinzufügen oder Entfernen einer digitalen Signatur in
Office-Dateien
https://support.office.com/de-de/article/hinzuf%C3%BCgen-oder-entfernen-einer-digitalen-signatur-in-office-dateien-70d26dc9-be10-46f1-8efa-719c8b3f1a2d - Erhalten eines digitalen Zertifikats und Erstellen einer
digitalen Signatur
https://support.office.com/de-de/article/erhalten-eines-digitalen-zertifikats-und-erstellen-einer-digitalen-signatur-e3d9d813-3305-4164-a820-2e063d86e512 - Digital signatures and certificates
https://support.office.com/en-us/article/digital-signatures-and-certificates-8186cd15-e7ac-4a16-8597-22bd163e8e96
Passend dazu gibt es natürlich auch Videos anderer Autoren:
Add Digital Signature in Excel
https://www.youtube.com/watch?v=ajhyYRrV2cs
How to Digitally Sign a Microsoft Excel Document
https://www.youtube.com/watch?v=7wzO0ELkk-E
Es wird aber nun klar, dass wir auf jeden Fall ein Zertifikat einer vertrauenswürdigen PKI benötigen. Sicher würde auch ein selbstsigniertes Zertifikat oder ein Zertifikat ihrer eigenen privaten PKI funktionieren, aber ob die Empfängerseite dies als ausreichend vertrauenswürdige akzeptiert, ist zumindest fraglich.
Das Zertifikat ist nun aber nicht ein "Computerzertifikat", welches Sie sicher schon für den ein oder anderen öffentlich erreichbaren Webserver gekauft und installiert haben, sondern Personen-Zertifikat. es ähnelt quasi einem SMIME-Zertifikat zur Signatur einer E-Mails nur dass hier die Identität des Benutzers, z.B. Vorname, Nachname, Firma etc. im CN steht und als Verwendungszweck ist nicht „ComputerAuthentifizierung“ sondern „Clientauthentifizierung (1.3.6.1.5.5.7.3.2)“ festgelegt ist.
Die Besonderheit bei "Dokument-Signatur liegt wohl darin, dass ein höherer Aufwand für die Verifikation zu betreiben ist. Die ausstellende Zertifizierungsstelle belegt quasi, dass die Daten im CN korrekt sind. Bei einem Zertifikat für SMIME reicht es die Mailadresse z.B. durch eine Challenge-Mail zu verifizieren. Wer aber Dokument mit seinem vollen Namen, Adresse und Firma signieren will, muss auch die Gültigkeit nachweisen. Die Zertifizierungsstelle muss also Personalausweis, Meldebescheinigung o.ä. überprüfen, was sich natürlich auf den Preis auswirkt. Allerdings gibt es auch hier unterschiede, die im Detail zu betrachten sind.
Microsoft verweist in seiner OnlineHilfe nur auf zwei Zertifizierungsstellen.
- GlobalSign
https://www.globalsign.com/en/digital-signatures/
ca. 300-400€/Jahr - Identrust
https://www.identrust.com/certificates/digital-signing-sealing
anscheinend nur US GOV
Allerdings stellen fast alle großen Zertifizierungsstellen entsprechende Zertifikate aus. Eine Suche im Internet (Jan 2020) hat sehr viele Links geliefert
- Document Signing Certificates (ab 299 US$)
https://www.digicert.com/document-signing/ - SSL Business (ab 50€)
https://www.ssl.com/s-mime-client-and-document-signing-certificates/ - Document Signing Certificates (Ab 315 US$/Jahr)
https://sectigo.com/ssl-certificates/document-signing-certificates - Document Signing Certificates (259US$/Jahr)
https://www.entrustdatacard.com/products/digital-signing-certificates/document-signing - Comodo Personal Authentication (ab 44€/Jahr)
https://www.leaderssl.de/suppliers/comodo/products/cpac
Let's Encrypt stellt (Jan 2020) noch keine SMIME oder Personen-Zertifikate aus. Leider haben unsere hiesigen Banken und Sparkassen aber auch die Politik verschlafen, als PKI Personen-Zertifikate mit den EC-Karten/Kreditkarten oder dem Personalausweis bereitzustellen.
Bild der Unterschrift
Sowohl die Office-Programme als auch Adobe können eine "Unterschrift" in dem Dokument einfügen. Die Idee dahinter ist aber, dass Sie ihre klassische Unterschrift als Computergrafik (JPG-Datei o.ä.) in das Dokument einfügen und danach das gesamte Dokument digital signieren. Letztlich hat die Grafik keine verbesserte Aussagekraft.
Ich würde eher vorsichtig damit sein, meine "richtige" Unterschrift als Computergrafik einzubinden, da es den Missbrauch merklich erleichtert.
Weitere Links
- Office-Dokumente und Sicherheit
- Asymmetric Keys
https://docs.microsoft.com/de-de/windows/win32/seccrypto/public-private-key-pairs?redirectedfrom=MSDN - Wikipedia: Digital signature
https://en.wikipedia.org/wiki/Digital_signature - Entrust Document Signing Certificates
https://www.entrust.com/get-support/ssl-certificate-support/entrust-document-signing-certificates-faq/