Netidee Blog Bild
PDF-Signaturen – ein Marktüberblick und Einordnung von open-pdf-sign
Geschichte, Marktteilnehmer und unser Platz in der Welt der PDF-Signatur (12.06.2022)
Förderjahr 2021 / Projekt Call #16 / ProjektID: 5822 / Projekt: open-pdf-sign

Wie wie bereits in vorhergehenden Blogbeiträgen berichtet haben, möchten wir mit open-pdf-sign das Rad nicht neu erfinden. PDF-Signaturen als Technik gibt es seit der 1999 veröffentlichten PDF-Version 1.6, der aktuell gebräuchliche PAdES-Standard (ETSI EN 319 142) wurde von ETSI 2016 verabschiedet. Selbst die von der EU finanzierte Open Source-Softwarekomponente “DSS”, die wir nutzen, wurde bereits 2016 auf GitHub in einer ersten Version veröffentlicht.

Einer breiteren Öffentlichkeit in Österreich sind digitale PDF-Signaturen spätestens seit der Einführung der Bürgerkarte 2003 bekannt - wenngleich sie damals kaum Verbreitung fand. Das erhöhte sich mit der 2012 eingeführten Handy-Signatur. Wenngleich der Weg, um zu einer Signatur zu kommen, damals schwierig war.

Neben der von A-Trust angebotenen Software PDF-Over, gibt es eine ganze Reihe weiterer Software-Lösungen, um in Verbindung mit einer Handy-Signatur oder einer anderen qualifizierten Signature bzw einem qualifizierten Siegel PDFs zu signieren. Anbieter sind neben A-Trust etwa Primesign oder sproof. Auch in anderen EU-Ländern und Ländern außerhalb der EU, wie der Schweiz, gibt es Softwarelösungen um solche qualifizierten Signaturen zu erstellen.

All diesen Lösungen gemein ist aber eins: Mit der digitalen Unterschrift soll eine rechtliche Funktion erfüllt werden - entweder soll sie eine handschriftliche Unterschrift ersetzen oder ist sonstwie aus formellen Gründen, etwa im Rahmen einer Ausschreibung notwendig. Diese rechtliche Komponente ist unter Umständen schwierig zu erfüllen, wie sich etwa erst kürzlich im September 2021 zeigte, als eine Auftragsvergabe der ÖBB angefochten wurde, weil die schweizer Signatur eines Vergabewerbers nicht den rechtlichen Anforderungen genügte.

Die Positionierung von open-pdf-sign ist eine andere: Wir wollen gar nicht erst rechtlichen Anforderungen genügen oder handschriftliche Unterschriften ersetzen. Viel mehr wollen wir die Authentizität eines PDFs ähnlich sicherstellen, wie das SSL bereits aktuell mit Websites macht. So ist durch das “Schloss”-Symbol in der Adressleiste des Browser aktuell bereits eindeutig sichtbar, dass dieser Blogartikel von “netidee.at” stammt - und nicht etwa vom lokalen WLAN oder dem verwendeten Internetanbieter. Wird jedoch ein PDF von netidee.at heruntergeladen und weitergeleitet, ist die Herkunft nicht mehr nachvollziehbar.

Mit open-pdf-sign wird sich das ändern: Da jedes einzelne PDF einer Web-Präsenz direkt mit dem SSL-Zertifikat signiert werden kann, ist somit nachvollziehbar, dass ein PDF tatäschlich von einer bestimmten Website stammt - nicht mehr, nicht weniger. Es werden keine Rechtswirkungen nachgewiesen, aber eine Unsicherheit der Authentizität von Dokumenten im Internet geschlossen.

Thomas Schreiber

Profile picture for user Thomas Schreiber
Thomas besitzt Master in Informatik der TU Wien und Wirtschaftsrecht der WU. Er widmet sich der Schnittstelle zwischen Recht und Technik.
Neben seinem Hauptberuf in der RTR-GmbH beschäftigt er sich als Programmierer von FlexLex mit der Erstellung von PDFs für den Buchdruck, als Mitgründer von NetzBeweis mit digitaler Signatur.

Skills:

Backend Entwicklung
,
Frontend Entwicklung
CAPTCHA
Diese Frage dient der Überprüfung, ob Sie ein menschlicher Besucher sind und um automatisierten SPAM zu verhindern.
    Datenschutzinformation
    Der datenschutzrechtliche Verantwortliche (Internet Privatstiftung Austria - Internet Foundation Austria, Österreich) würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: