Glossar.
XiTrust > Ressourcen >
Ein kleines Lexikon zu verschiedensten Begriffen
im Zusammenhang mit dem Thema E-Signatur.
Ein kleines Lexikon zu verschiedensten Begriffen im Zusammenhang mit dem Thema E-Signatur.
Public-Key-Infrastruktur, Vertrauensdiensteanbieter, Hashwert etc.: Wenn man mit dem Thema E-Signatur in Berührung kommt, stößt man schnell auf die unterschiedlichsten Begriffe, die auf den ersten Blick etwas kompliziert erscheinen mögen.
Keine Sorge – im nachfolgenden Glossar erklären wir Ihnen alles, was Sie wissen müssen, auf einfache und verständliche Weise. Zusätzlich finden Sie bei einigen Begriffen Links zu weiterführenden Informationen.
A
Eine API (engl. Abkürzung für application programming interface) oder Programmierschnittstelle bezeichnet den Programmteil eines Softwaresystems, der die Anbindung dieses Systems an ein anderes Softwaresystem ermöglicht.
Wie die E-Signatur-Lösung MOXIS via API nahtlos in Drittsysteme wie SAP, Salesforce oder SharePoint integriert werden kann, erfahren Sie hier.
Die A-Trust GmbH (vollständig: A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH) ist ein österreichisches Trust Center und qualifizierter Vertrauensdiensteanbieter für elektronische Zertifikate gemäß eIDAS-Verordnung. A-Trust verantwortet außerdem die Entwicklung und die komplette technische Infrastruktur der Handy-Signatur.
XiTrust ist zweitgrößer Anteilseigner der A-Trust GmbH. Weitere Gesellschafter sind die Wirtschaftskammer Österreich, die Notartreuhandbank AG, der Österreichische Rechtsanwaltskammertag, die Raiffeisen Informatik GmbH sowie die Raiffeisen Bank International AG.
B
Wird zur elektronischen Erfassung einer eigenhändigen Unterschrift ein Gerät wie ein Signaturpad, Tablet etc. eingesetzt, kann die mitgeführte biometrische Unterschrift als Identifizierungsmerkmal verwendet werden, sofern das Gerät die Erfassung von biometrischen Daten ermöglicht.
Wichtige biometrische Merkmale in diesem Kontext sind: zweidimensionales Schriftbild der Unterschrift (Mustererkennung), Schreibgeschwindigkeit, Schreibrichtung, Reihenfolge der Segmente, Schreibpausen, Druckverlauf.
Mithilfe der biometrischen Unterschrift kann ein elektronisches Dokument mit einer digitalen Signatur versehen werden. Rechtlich hat eine auf diese Weise erzeugte Signatur den Status einer fortgeschrittenen Signatur laut eIDAS-Verordnung.
C
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, das US-Behörden den Zugriff auf gespeicherte Daten im Internet ermöglicht. Das 2018 in Kraft getretene Gesetz verpflichtet in den USA ansässige Internet-Unternehmen, IT-Dienstleister oder Cloud-Anbieter dazu, US-Behörden diesen Zugriff auch dann zu gewährleisten, wenn die Speicherung der Daten nicht in den USA erfolgt.
Der CLOUD Act erfüllt nicht die Anforderungen der EU-weit gültigen Datenschutzgrundverordnung (DSGVO).
Bei einem Certificate Signing Request (CSR; deutsch: Zertifikatsignierungsanforderung) oder Certification Request handelt es sich um einen digitalen Antrag bei der Registrierungsstelle (CA), mittels einer digitalen Signatur ein digitales Zertifikat zu erstellen.
D
In der Informationssicherheit versteht man unter Datenintegrität im weitesten Sinne die Verhinderung unautorisierter Modifikation von digitalen Informationen.
Mit Hilfe einer digitalen Signatur kann die Datenintegrität gewährleistet werden. In der praktischen Anwendung bedeutet dies zumeist, dass ein Dokument nicht verändert worden ist oder es nachvollziehbar ist, wenn es Abweichungen gibt.
Whitfield „Whit“ Diffie (*1944 in Washington, D. C.) ist ein US-amerikanischer Kryptographie-Experte und IT-Pionier. Gemeinsam mit Martin Hellman gehört er zu den Begründern der Public-Key-Kryptographie.
Im Zusammenhang mit der rechtsgültigen digitalen Unterschrift kann eine digitale Identität mit einem virtuellen Ausweisdokument verglichen werden, das die Identität der unterschreibenden Person zweifelsfrei bestätigt. Das zugrundliegende digitale Zertifikat muss dabei von einem qualifizierten Vertrauensdiensteanbieter ausgestellt werden.
Beispiele für solche digitale Identitäten sind die Handy-Signatur bzw. ID Austria, xIDENTITY, Swisscom MobileID oder sign-me.
Weitere Informationen zum Thema digitale Identität finden Sie hier.
Die Begriffe digitale Signatur und elektronische Signatur werden oft synonym verwendet. Die digitale Signatur beschreibt ein rein technisches Verfahren, bei dem bei dem ein Sender mit Hilfe eines geheimen Signaturschlüssels (dem Private Key) zu einer digitalen Nachricht einen Wert mittels einer Hashfunktion berechnet. Über diesen Wert kann mit Hilfe des öffentlichen Verifikationsschlüssels (dem Public Key) die Integrität der Nachricht geprüft werden. Der öffentliche Schlüssel kann mittels eines digitalen Zertifikats einer Person zugeordnet und somit die Identität des Senders überprüft werden. Zur Erzeugung und Bereitstellung solcher Zertifikate ist eine sogenannte Public-Key-Infrastruktur (PKI) erforderlich.
Begrifflich gesehen bedeutet dies: Durch den Einsatz von digitalen Signaturen können sichere elektronische Signaturen erzeugt werden.
Die Datenschutzgrundverordnung der EU (DSGVO) ist eine Gesetzesreihe, die seit dem 25. Mai 2018 in Kraft ist und die Datenschutzbestimmungen der EU-Mitgliedsstaaten vereinheitlicht hat. Ziel der Verordnung ist ein besserer Schutz der Persönlichkeitsrechte des Einzelnen – besonders in Bezug auf Sammlung, Verarbeitung und Speicherung persönlicher Daten bei Unternehmen, die Online-Dienste anbieten.
Ein zentrales Element der DSGVO sind die beiden Grundsätze Privacy by Design und Privacy by Default. Durch sie soll sichergestellt werden, dass die grundsätzlichen Datenschutzanforderungen bei der Verwendung eines Dienstes von der ersten Nutzung an gewahrt sind – auch dann, wenn die vorgegebenen Voreinstellungen des Dienstes von der betroffenen Person zunächst nicht geändert werden.
Die D-Trust GmbH mit Sitz in Berlin ist ein Unternehmen der Bundesdruckerei-Gruppe und stellt als qualifizierter Vertrauensdiensteanbieter rechtssichere und zertifizierte Vertrauensdienste wie digitale Zertifikate und elektronische Signaturen zur Verfügung.
E
Die eIDAS-Verordnung bildet seit dem 1. Juli 2016 den gesetzlichen Rahmen für elektronische Signaturen in der Europäischen Union.
Alle Details zur eIDAS-Verordnung finden Sie hier.
Die Begriffe elektronische Signatur bzw. E-Signatur und digitale Signatur sind in der Praxis meist nicht voneinander abgegrenzt, wobei es sich bei der elektronischen Signatur jedoch um einen rein rechtlichen Terminus handelt.
In der eIDAS-Verordnung ist die elektronische Signatur definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“. Dabei kann es sich in der einfachsten Form z. B. um eine E-Mail-Signatur in Textform handeln (einfache elektronische Signatur, SES). Die höchste in der eIDAS-Verordnung definierte Stufe ist die qualifizierte elektronische Signatur (QES), die in ihrer Rechtswirkung der handschriftlichen Signatur gleichgestellt ist.
Unter einer Entscheidungsebene versteht man in MOXIS eine Stufe der Signaturhierarchie in einem bestimmten Unterschriftenprozess. Sind alle Unterschriften auf einer Stufe geleistet worden, steigt das Dokument auf zur nächsten Ebene der Signaturhierarchie.
Weitere Informationen zu den Entscheidungsebenen in MOXIS finden Sie hier.
Der Europäische Interoperabilitätsrahmen (englisch European Interoperability Framework; Abkürzung: EIF), hat das Ziel, die Interaktion zwischen europäischen Verwaltungen zu erleichtern, deren Zusammenarbeit zu unterstützen und elektronische Dienstleistungen zu ermöglichen. Interoperabiliät ist ein zentraler Baustein des E-Governments.
G
Die Abkürzung GDPR steht für General Data Protection Regulation und ist die englische Bezeichnung für die Datenschutzgrundverordnung (DSGVO).
H
Die Handy-Signatur ist ein digitaler Ausweis bzw. eine digitale Identität und ermöglicht Bürger*innen mit Wohnsitz in Österreich die Nutzung verschiedener E-Government-Services. Außerdem können durch die Handy-Signatur Dokumente mit einer qualifizierten elektronischen Signatur (QES) versehen werden. In Österreich gibt es mehr als 3,1 Millionen aktive Nutzer*innen der Handy-Signatur (Stand: Juni 2022). Ab Herbst 2022 ist die Handy-Signatur sukzessive von der ID Austria abgelöst worden.
Weitere Informationen zur Handy-Signatur finden Sie hier.
In der Kryptographie werden Hashwerte verwendet, um einen Inhalt nahezu eindeutig, aber mit wenig Speicherplatz zu identifizieren, ohne dabei etwas über den Inhalt selbst zu verraten.
I
Die ID Austria ersetzt seit Herbst 2022 in Österreich die Handy-Signatur als digitalen Identitätsnachweis und weist erweiterte Funktionalitäten (bspw. Nutzung als digitaler Führerschein etc.) auf.
Weitere Informationen zur ID Austria finden Sie hier.
Die Norm ISO 19005 spezifiziert das Dateiformat PDF/A, das als Teilmenge des Dokumentformats PDF für die Langzeitarchivierung von PDF-Dateien maßgeblich ist. In der Norm ist festgelegt, wie die Elemente von PDF-Dateien im Hinblick auf die Langzeitarchivierung verwendet werden müssen (z. B. Einbettung von Bildern und Schriftarten, Farbdarstellung oder auch Verwendung von Elementen wie digitale Signaturen).
Der ursprüngliche Standard PDF/A-1 (mit der zugrundeliegenden Norm ISO 19005-1) wurde im Jahr 2005 basierend auf der Version PDF 1.4 geschaffen und ist bis heute gültig. Mittlerweile existieren weitere Standards; zuletzt wurde PDF/A-4 (oder PDF/A-NEXT) veröffentlicht. Dieser Standard basiert auf der Version PDF 2.0, die maßgebende Norm ist ISO 19005-4.
L
Unter Langzeitarchivierung (engl. Long Term Validation, LTV) versteht man die langfristige Aufbewahrung und die Erhaltung der dauerhaften Verfügbarkeit digitalisierter Informationen. Oft stehen dabei gesetzliche Vorgaben für die Aufbewahrungspflicht im Vordergrund: Beispielweise müssen im medizinischen Umfeld bestimmte Dokumente bis zu 30 Jahre lang aufbewahrt werden.
Digitale Signaturen verfügen über eine begrenzte Gültigkeitsdauer, weil die Zertifikate, auf denen die Signaturen basieren, mit einem Ablaufdatum versehen sind; meist sind dies fünf Jahre ab Ausstellung. Nach diesem Ablaufdatum wird die Signatur in einem Prüftool wie dem Adobe Reader als ungültig angezeigt.
Dieses Problem lässt sich durch den Einsatz von LTV-fähigen Signaturen umgehen. Die dafür benötigten Prüfinformationen können nachträglich abgerufen werden, sie können aber auch nach dem PAdES-Standard direkt beim Signaturvorgang in die Signatur eingebettet werden. Voraussetzung dafür sind dementsprechend beschaffene Zertifikate. Dokumente, die mit LTV-fähigen Signaturen versehen sind, eignen sich für die sichere Langzeitarchivierung sensibler und kritischer Informationen.
Georg Lindsberger hat das Unternehmen XiTrust im Jahr 2002 unter dem Namen XiCrypt gegründet und ist der CEO von XiTrust.
M
Medienbrüche entstehen bei der Informationsverarbeitung, wenn Daten und Informationen innerhalb eines Prozesses von einem auf ein weiteres Informationsmedium übertragen werden müssen. Beispiel: Dokumente müssen zum Signieren ausgedruckt und anschließend wieder eingescannt werden. Elektronische Signaturen gewährleisten medienbruchfreie Signaturprozesse.
Die MOXIS-Instanz MEQA (MOXIS External QuickSign Application) steht für eine eigene Software-Plattform, deren Architektur von MOXIS getrennt ist und es externen Personen ohne eigenen MOXIS-Zugang ermöglicht, Dokumente elektronisch zu unterschreiben. Dabei verlassen ausschließlich die betreffenden Dokumente das Unternehmen, die externen Unterschreiber haben jedoch keinen Zugriff auf die MOXIS-Installation des Unternehmens.
O
On-Premises oder On-Prem bezeichnet ein Nutzungs- und Lizenzmodell für serverbasierte Software, bei dem der Lizenznehmer die Software in eigener Verantwortung auf Hardware betreibt, die nicht vom Anbieter der Software bereitgestellt wird – beispielsweise in einem eigenen Rechenzentrum oder auf gemieteten Servern eines fremden Rechenzentrums.
Das Gegenmodell dazu ist Software as a Service (SaaS).
P
Die Abkürzung PAdES steht für PDF Advanced Electronic Signatures. Mit PAdES wird der bestehende PDF-Standard erweitert, um PDF-Dateien für die Möglichkeit der digitalen Signatur anzupassen.
Das Privacy Shield war ein Abkommen zwischen der Europäischen Union und den USA. Dieses Abkommen regelte die Möglichkeiten der Übermittlung von personenbezogenen Daten von der EU in die USA.
Nach einer Beschwerde des österreichischen Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde in Bezug auf die Weiterleitung persönlicher Daten von Facebook Irland an den US-Mutterkonzern wurde der Europäische Gerichtshof (EuGH) eingeschaltet. Dieser erklärte das Privacy Shield am 16. Juli 2020 schlussendlich für ungültig (Urteil „Schrems II“).
Als Private Cloud wird eine Form des Cloud-Service (z. B. bei einem SaaS-Modell) bezeichnet, bei dem der Service für jeden Lizenznehmer bzw. Kunden jeweils in einer eigenen dedizierten Cloud-Umgebung zur Verfügung gestellt wird.
Die Produktvariante MOXIS Enterprise Cloud wird für jeden Kunden in einer eigenen Private Cloud gehostet und betrieben. Alle Details zu den verschiedenen MOXIS-Varianten finden Sie hier.
Die Public Cloud bezeichnet eine Form des Cloud-Service (z. B. bei einem SaaS-Modell), bei dem der Service von mehreren Lizenznehmern bzw. Kunden gemeinsam genutzt wird.
Die Produktvariante MOXIS Professional Cloud wird für alle Kunden gemeinsam in einer Public Cloud gehostet und betrieben, wobei jedem Kunden eine eigene Instanz in der Cloud zur Verfügung gestellt wird. Alle Details zu den verschiedenen MOXIS-Varianten finden Sie hier.
Der Begriff Public-Key-Infrastruktur (PKI, engl. public key infrastructure) bezeichnet in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann.
Q
Die qualifizierte elektronische Signatur (QES) ist laut eIDAS-Verordnung die hochwertigste Form der digitalen Unterschrift. Nur sie ist in ihrer Rechtswirkung der handschriftlichen Signatur gleichgestellt.
Weitere Informationen zur QES finden Sie hier.
R
Öffentliches oder betriebsinternes Fachpersonal, das zur Ausstellung digitaler Identitäten berechtigt ist.
S
Software as a Service (SaaS) bezeichnet ein Nutzungs- und Lizenzmodell für serverbasierte Software, bei dem die Software und die notwendige IT-Infrastruktur vom Softwareanbieter betrieben und vom Lizenznehmer als Dienstleistung genutzt werden. Für die Nutzung und den Betrieb wird üblicherweise ein zeitbasiertes Nutzungsentgelt bezahlt (z. B. monatliches Abonnement).
Das Gegenmodell dazu ist der Softwarebetrieb On-Premises.
Die Stapelsignatur bezeichnet einen Spezialfall der digitalen Signatur, bei dem mehrere Dokumente im Zuge eines einzigen Signaturvorganges mit einer digitalen Signatur versehen werden.
Mehr zur Möglichkeit der Stapelsignatur in MOXIS finden Sie hier.
Die Swisscom Trust Services AG ist ein Vertrauensdiensteanbieter, der qualifizierte elektronische Signaturen in den Rechtsräumen EU und Schweiz zur Verfügung stellt.
Die Swisscom Trust Services AG ist eine Tochtergesellschaft des Schweizer Telko-Unternehmens Swisscom AG.
T
Eine Trusted Third Party (TTT) bezeichnet in der Kryptographie eine dritte Instanz, der zwei andere Parteien vertrauen. Ein zentrales Einsatzfeld der TTT ist die Schlüssel- und Identitätszertifizierung. Gleichzeitig erfüllt die TTT eine schlichtende Funktion.
V
Vertrauensdiensteanbieter ermöglichen eine vertrauenswürdige Kommunikation für sichere elektronische Transaktionen im digitalen Raum. Dabei handelt es sich in der Regel um elektronische Zertifikate, digitale Signaturen und Siegel. Vertrauensdiensteanbieter stellen diese Dienste der Öffentlichkeit bereit. Die spezifischen Anforderungen an Vertrauensdiensteanbieter in der Europäischen Union sind in der eIDAS-Verordnung formuliert.
Der Begriff Vertrauensdiensteanbieter wird zumeist synonym mit Trust Center verwendet.
X
xIDENTITY ist die digitale Identität, die als gemeinsames Service von XiTrust und A-Trust angeboten wird. Eine solche digitale Identität ist erforderlich, um Dokumente per qualifizierter elektronischer Signatur und somit rechtsgültig digital unterschreiben zu können.
Für Personen mit Wohnsitz in Österreich erfüllt die Handy-Signatur die Funktion der digitalen Identität.
Alle weiteren Infos rund um xIDENTITY finden Sie hier.
Das Unternehmen XiTrust wurde von CEO Georg Lindsberger im Jahr 2002 unter dem Namen XiCrypt gegründet und bietet sichere Enterprise-Lösungen im Bereich der digitalen Unterschrift an. Der vollständige Unternehmensname lautet XiTrust – The eSignature Company, der offizielle Firmenwortlaut ist XiTrust Secure Technologies GmbH.
XiTrust ist außerdem zweitgrößer Anteilseigner der A-Trust GmbH.
Weitere Informationen zum Unternehmen XiTrust finden Sie hier.
Z
Hinter der Abkürzung ZertES steckt das Schweizer Bundesgesetz über die elektronische Signatur (vollständig: Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate).
Das ZertES regelt den Einsatz von elektronischen Signaturen in der Schweiz und ist das Pendant zur EU-weit gültigen eIDAS-Verordnung.
Ein (digitales) Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zur Prüfung erforderlichen Daten. Ausgestellt wird das Zertifikat durch eine offizielle Zertifizierungsstelle (CA).
Eine Zertifizierungsstelle (engl. Certification Authority, CA) hat die Aufgabe, digitale Zertifikate herauszugeben und zu überprüfen. Die Zertifizierungsstelle bildet damit den Kern einer Public-Key-Infrastruktur (PKI).
Als Zwei-Faktor-Authentisierung (2FA, auch: Zwei-Faktor-Authentifizierung) wird ein digitaler Identitätsnachweis bezeichnet, der durch die Kombination zweier voneinander unabhängiger Faktoren erfolgt (z. B. Passwort + Mobiltelefon zum Erhalt eines Zugangscodes).
Mehr zur Zwei-Faktor-Authentisierung beim digitalen Unterschreiben mit MOXIS finden Sie hier.
