Dokumentsignatur

Ein Käufer  fordert den Lieferanten auf, in einem Dokument einige organisatorische Zusicherungen zu machen und das Dokument digital zu signieren. Der Lieferant fragt und als Dienstleister und der Ball landet bei mir, weil ich ja schon sowas wie Signatur und Verschlüsselung gemacht habe.

European export control classification

Der sperrige Name des Excel Dokuments enthielt den String "european export control classification".

Beim Blick in dieses Dokument gibt es drei sichtbare Karteikarten:

Beachten Sie, dass das Dokument bei mir im "Geschützten Modus" geöffnet wurde. Eine Bearbeitung erfordert die Freigabe, was in Zeiten von Emotet und Office Makro Viren natürlich unglücklich ist.

Das ist nur ein Beispiel-Formular. Jede Firma scheint hier immer wieder was eigenes zu erstellen, aber alle haben meist die gleichen Inhalte. Teils als Excel-Datei aber auch als Word-Datei

  • Supplier info and signature
    Hier muss der Lieferant nicht nur seine vollständige Adresse hinterlegen sondern auch Organisationsstrukturen und andere Abhängigkeiten beisteuern. Auf dieser Seite muss dann eine Art "Signature" erfolgen
  • Part List
    Diese Seite ist dann schon eher das Metier von Excel. Hier gibt es eine Liste mit allen Einzelteilen, die vom Lieferant an den Käufer geliefert werden. Die Liste enthält Teilenummer beim Käufer, Beschreibung, Teilenummer beim Lieferanten, Originaler Lieferant und sein Ursprungsland. Auch Aussagen zur militärischen Nutzung, Lizenzabhängigkeiten sind gefordert
  • Sonstiges
    Eine dritte Seite ist für weitere Teile vorgesehen, für die es Export-Beschränkungen gibt.

Wenn Sie nach dem Begriff "european export control classification" suchen, finden sich weitere Dokumente von Firmen, die für ihre Lieferanten entsprechende Anleitungen veröffentlicht haben oder Fachartikel

Solche Zusicherungen in Form von DOCX, XLSX oder PDF-Dateien scheinen also nicht unüblich sein und da es sich dabei um eine verbindliche Aussage handelt, möchte der Empfänger natürlich sicherstellen, dass die Datei unverändert und von einer qualifizierten Stelle erstellt wurde.

eSignatur <> digitale Signatur

Der Begriff "Digitale Signatur" hat eigentlich immer etwas mit Zertifikate, öffentlichen und privaten Schlüsseln und Vertrauen zu tun. Die verwendete Software aber auch das Speicherformat muss in der Lage sein, digitale Signaturen zu erstellen, anzufügen, abzuspeichern und bei geöffneten Dokumenten zu prüfen.

Die Funktion unterscheidet sich so erst mal nicht von einer E-Mail, die per SMIME oder PGP signiert oder vielleicht sogar noch verschlüsselt wird. Durch eine zusätzliche Verschlüsselung könne der Ersteller nicht nur ein Mitlesen auf dem Transportweg verhindern sondern auch sicherstellen, dass nur der gewünschte Empfänger die Information lesen kann. Digitale Signatur hat aber nichts mit "Rights Management" zu tun, bei der das Dokument nicht nur signiert und verschlüsselt wird, sondern auch der Zugriff auf die Inhalte abhängig von der Person beschränkt wird. So kann ich als Autor bestimmen, wer das Dokument drucken, ändern, weiterleiten darf und ob es nach einiger Zeit verfällt.

Eine reine digitale Signatur stellt nur sicher, dass das Dokument selbst unverändert ist und ich kann die Identität des Signierers überprüfen. Als Empfänger kann ich das Dokument natürlich nicht nur öffnen, sondern in der Regel auch Drucken, weiterleiten und sogar verändern. Bei einer Veränderung allerdings wird die Signatur ungültig. Das ist ja auch der Sinn einer Signatur.

Im Markt der "Dokumentsignatur" tummeln sich natürlich noch andere Anbieter, die eine vergleichbare Funktion versprechen aber vielleicht nicht den Anforderungen der anderen Seite entsprechen. Hier mal zwei Beispiele.

Office Dokumente mit Zertifikaten

Wenn wir uns aber auch die klassischen Office Produkte Word, Excel, PowerPoint und die damit verbundenen Dateiformate DOCX, XLSX, PPTX konzentrieren. Microsoft selbst hat entsprechende Anleitungen zur Signatur von Office-Dateien bereit gestellt.

Passend dazu gibt es natürlich auch Videos anderer Autoren:

Add Digital Signature in Excel
https://www.youtube.com/watch?v=ajhyYRrV2cs

How to Digitally Sign a Microsoft Excel Document
https://www.youtube.com/watch?v=7wzO0ELkk-E

Es wird aber nun klar, dass wir auf jeden Fall ein Zertifikat einer vertrauenswürdigen PKI benötigen. Sicher würde auch ein selbstsigniertes Zertifikat oder ein Zertifikat ihrer eigenen privaten PKI funktionieren, aber ob die Empfängerseite dies als ausreichend vertrauenswürdige akzeptiert, ist zumindest fraglich.

Das Zertifikat ist nun aber nicht ein "Computerzertifikat", welches Sie sicher schon für den ein oder anderen öffentlich erreichbaren Webserver gekauft und installiert haben, sondern Personen-Zertifikat. es ähnelt quasi einem SMIME-Zertifikat zur Signatur einer E-Mails nur dass hier die Identität des Benutzers, z.B. Vorname, Nachname, Firma  etc. im CN steht und als Verwendungszweck ist nicht „ComputerAuthentifizierung“ sondern „Clientauthentifizierung (1.3.6.1.5.5.7.3.2)“ festgelegt ist.

Die Besonderheit bei "Dokument-Signatur liegt wohl darin, dass ein höherer Aufwand für die Verifikation zu betreiben ist. Die ausstellende Zertifizierungsstelle belegt quasi, dass die Daten im CN korrekt sind. Bei einem Zertifikat für SMIME reicht es die Mailadresse z.B. durch eine Challenge-Mail zu verifizieren. Wer aber Dokument mit seinem vollen Namen, Adresse und Firma signieren will, muss auch die Gültigkeit nachweisen. Die Zertifizierungsstelle muss also Personalausweis, Meldebescheinigung o.ä. überprüfen, was sich natürlich auf den Preis auswirkt. Allerdings gibt es auch hier unterschiede, die im Detail zu betrachten sind.

Microsoft verweist in seiner OnlineHilfe nur auf zwei Zertifizierungsstellen.

Allerdings stellen fast alle großen Zertifizierungsstellen entsprechende Zertifikate aus. Eine Suche im Internet (Jan 2020) hat sehr viele Links geliefert

Let's Encrypt stellt (Jan 2020) noch keine SMIME oder Personen-Zertifikate aus. Leider haben unsere hiesigen Banken und Sparkassen aber auch die Politik verschlafen, als PKI Personen-Zertifikate mit den EC-Karten/Kreditkarten oder dem Personalausweis bereitzustellen.

Bild der Unterschrift

Sowohl die Office-Programme als auch Adobe können eine "Unterschrift" in dem Dokument einfügen. Die Idee dahinter ist aber, dass Sie ihre klassische Unterschrift als Computergrafik (JPG-Datei o.ä.) in das Dokument einfügen und danach das gesamte Dokument digital signieren. Letztlich hat die Grafik keine verbesserte Aussagekraft.

Ich würde eher vorsichtig damit sein, meine "richtige" Unterschrift als Computergrafik einzubinden, da es den Missbrauch merklich erleichtert.

Weitere Links