Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Best Practices

eIDAS-konforme digitale Signaturen mit PGP/GPG-Integration

SecTepe Redaktion
|
|
6 Min. Lesezeit

Wer 2026 noch Verträge ausdruckt, unterschreibt, scannt und per Mail zurückschickt, hat einen 90-Sekunden-Vorgang in einen 20-Minuten-Vorgang verwandelt – und das Original-Beweisstück (das Papier) verloren. eIDAS-konforme digitale Signaturen lösen das. SecTepe.Core integriert sie zusammen mit PGP/GPG für eine Komplett-Workflow-Lösung.

Drei Signatur-Stufen nach eIDAS

  • EES (Einfache elektronische Signatur): jede elektronische Bestätigung. Niedrige Beweiskraft, aber für viele interne Workflows ausreichend.
  • FES (Fortgeschrittene elektronische Signatur): eindeutig dem Signator zuordenbar, technisch manipulationssicher. Geeignet für Risiko-Akzeptanz, interne Genehmigungen, Lieferanten-AGBs.
  • QES (Qualifizierte elektronische Signatur): gleichgestellt mit handschriftlicher Unterschrift, ausgestellt von qualifiziertem Trust-Service-Provider mit qualifiziertem Signaturzertifikat. Pflicht für besondere Verträge (z. B. Schriftform-Erfordernis).

SecTepe.Core unterstützt alle drei Stufen, mit klarer UI-Indikation, welche Stufe für welches Dokument verwendet wird.

Wo PGP/GPG zusätzlich eine Rolle spielt

eIDAS regelt rechtlich; PGP/GPG ist die etablierte Krypto-Welt für E-Mail-Signaturen, Code-Signing und Backup-Verschlüsselung. SecTepe.Core integriert beide so, dass Doppel-Schlüssel-Verwaltung vermieden wird:

  • Schlüssel-Hub: jeder User hat einen zentralen Schlüsselbund (eIDAS-Zertifikat, PGP-Schlüssel, S/MIME), gespeichert in OpenBao.
  • Verwendungs-Kontext bestimmt Schlüssel: Risiko-Akzeptanz im ISMS → eIDAS FES; vertrauliche Mail an Auditor → PGP; Code-Commit-Signing → PGP.
  • Lifecycle-Verwaltung: Schlüssel-Erneuerung, Revocation und Trust-Chain-Updates laufen zentral.

Workflow-Beispiel: Restrisiko-Akzeptanz

  1. Risiko-Manager erstellt im Risk-Modul einen Akzeptanz-Antrag mit dokumentiertem Restrisiko.
  2. Top-Management bekommt Notification mit Link zum Antrag.
  3. Top-Management öffnet Dokument im Portal, prüft Inhalt, klickt „Mit FES signieren".
  4. Plattform fordert Multi-Faktor-Bestätigung an (FIDO2-Key oder TOTP).
  5. Signatur wird angebracht, Audit-Log mit Identität + Zeitstempel + Hash des Dokuments wird geschrieben.
  6. Signiertes Dokument wird in einem WORM-Archiv (Object-Lock COMPLIANCE) abgelegt – Long-Term-Validierung möglich auch nach 10 Jahren.

Long-Term-Validierung: das vergessene Detail

Eine Signatur, die heute gültig ist, kann in 10 Jahren ungültig sein – wenn das Signatur-Zertifikat zwischenzeitlich abgelaufen ist und die ursprüngliche Trust-Chain nicht mehr verifiziert werden kann. eIDAS adressiert das mit AdES-LTV (Long-Term Validation): das signierte Dokument enthält zum Signatur-Zeitpunkt zusätzlich Zertifikats-Status (OCSP/CRL) und einen vertrauenswürdigen Zeitstempel. Auch wenn das Zertifikat später verfällt, bleibt die Signatur beweisbar gültig.

SecTepe.Core wendet LTV automatisch an für alle Signaturen, die in der Risk-Akzeptanz, in Lieferanten-Verträgen oder in Audit-Belegen verwendet werden.

Integration mit OnlyOffice für kollaborative Dokumente

Verträge entstehen kollaborativ in OnlyOffice. SecTepe.Core erlaubt Signatur-Workflows direkt aus OnlyOffice heraus: Dokument finalisieren, Signatur-Felder platzieren, Empfänger-Signatur-Anforderungen verschicken. Audit-Trail enthält alle Editing-Sessions, Signatur-Zeitpunkte und finale Hash-Verankerung.

Compliance-Mapping

  • eIDAS-Verordnung 910/2014: gesetzliche Grundlage in der EU.
  • BSI TR-03114: technische Richtlinie für vertrauenswürdige Anwendungen.
  • ISO 27001 A.5.34: Anforderungen an Datenschutz und Schutz von PII – elektronische Signaturen sind Teil der Authentizitäts-Maßnahmen.
  • ISO 14533: Long-Term-Erhaltung elektronischer Signaturen (LTV).

Realistische Trust-Service-Provider-Wahl

Für QES braucht es einen qualifizierten Trust-Service-Provider (QTSP). In Deutschland sind etabliert: D-Trust, T-Systems Trust Center, Bundesdruckerei, Telesec. Für FES reicht oft ein internes CA-Setup, gestützt von OpenBao als CA-Manager. Die Wahl hängt am gewünschten Beweis-Niveau und am Empfänger-Erwartungs-Bild.

Fazit

Digitale Signaturen sind 2026 Pflicht-Infrastruktur, nicht Premium-Feature. Eine Plattform, die eIDAS und PGP/GPG zusammen mit zentraler Schlüssel-Verwaltung, OnlyOffice-Integration und Long-Term-Validierung anbietet, eliminiert den Print-Sign-Scan-Workflow vollständig – und liefert gleichzeitig einen Audit-Trail, der jedem Wirtschaftsprüfer-Wunsch gerecht wird.

Alle Artikel ansehen Mehr aus dieser Kategorie