Krux mit der Sicherheit

Die Unterschrift im digitalen Zeitalter

Ungeachtet des digitalen Zeitalters ist die Planungs- und Bauindustrie nach wie vor eine papierintensive Branche. Gerade, wenn es um Druck und Ablage von großformatigen Plänen für Genehmigungen geht. Zahlreiche Unternehmen in der Architektur, Ingenieur- und Bauwesen-Branche (kurz AEC) haben zwar inzwischen elektronische Arbeitsabläufe eingeführt. Eine Komponente tendiert aber nach wie vor dazu, in der Papierwelt stecken zu bleiben: die Signatur.

Viele verlassen sich lieber auf Ausdrucken und handschriftlich persönliches Unterschreiben.

Anzeige

Warum digitale Signaturen und Siegel für die AEC-Branche so wichtig sind

“Ein typisches Bauvorhaben in einem Umfang von 100 Millionen Dollar erzeugt 150.000 einzelne Dokumente: Technische Zeichnungen, Verträge/juristische Dokumente, Bestellungen, Auskunftsverlangen und Pläne”. (1) Selbst, wenn man nur ein Viertel davon unterschreiben müsste (angesichts der oben aufgeführten Art der Dokumente eine eher konservative Schätzung) wären das immer noch 37.500 Dokumente – für ein einziges Projekt! Wenn diese Dokumente ausgedruckt und unterschrieben sind, müssen sie noch an den Empfänger übermittelt werden. Das treibt die Kosten weiter in die Höhe. Die „AEC-Branche gibt geschätzte 500 Millionen Dollar und mehr pro Jahr dafür aus, Pläne mit Kurierdiensten (…) von einem Fachbereich in den nächsten zu transportieren.“ (2)

Gemeinkosten senken

Ein typisches Bauvorhaben produziert Zehntausende von Einzeldokumenten. Aber nicht nur den immensen Papierverbrauch kann man mithilfe digitaler Signaturen erheblich senken. Auch bei anderen Gemeinkosten lässt sich sparen. Die Kostensenkungen, die mit einer Umstellung auf digitale Signaturen verbunden sind, sind erheblich. Vor allem, wenn man sämtliche Ausdrucke, Kopien, Kurierdienste, Archivierung und so weiter mit berücksichtigt. Andere, weniger offensichtliche Kosten entstehen durch das Wechseln zwischen elektronischen Prozessen und papierbasierten Arbeitsabläufen. Die manuelle Wiederaufnahme, aufgrund eines sozusagen zweigleisigen Verfahrens mit Papier und elektronischen Dateien plus Entwurfsänderungen in Papierform (von externen Partnern), wird in der Entwurfsphase auf ein Kostenvolumen von 463 Millionen Dollar und 28 Millionen Dollar in der Bauphase geschätzt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Projektzeitpläne verkürzen

Neben den Kosten spielt der Faktor Zeit auf Projektplanebene eine wichtige Rolle. Es kostet Zeit ein Dokument auszudrucken, den notwendigen Unterzeichner zu finden, dann das Dokument zu scannen und per E-Mail oder Post an den Empfänger zu senden … und dabei ist noch nicht berücksichtigt, das vielleicht mehrere Unterschriften benötigt werden, gerade in der Architektur- und Baubranche absolut üblich. Schätzungen zufolge könnte man mit einem nahtlos ablaufenden elektronischen Prozess die Zeitpläne um bis zu 10 Prozent komprimieren (3).

Inzwischen gibt es aber offenkundig Fortschritte was die Nutzung von digital signierten und versiegelten Dokumenten anbelangt. Um die Vorteile einer digitalen Signatur in die Praxis umzusetzen, akzeptieren inzwischen immer mehr Bau- und polizeiliche Behörden digital übermittelte Dokumente zur Planprüfung und Freigabe. Trotzdem wissen viele Architekten und Bauunternehmer nicht ausreichend darüber Bescheid, wo überall digitale Signaturen und Siegel anstelle von physisch gestanzten Siegeln (auch bekannt als “wet seals”) erlaubt sind. Einige Länder sind in dieser Hinsicht Vorreiter, etliche weitere schließen sich diesem Trend an, und auch staatliche Gremien ziehen nach. Allerdings sind eine Reihe von Verordnungen zu berücksichtigen. Sie rücken die beiden Themen Vertrauen und Identität bei elektronischen Transaktionen in den Vordergrund. Zu diesen Richtlinien zählen eIDAS, FDA CFR 21 Part 11 (4) und die US-amerikanischen Anforderungen für Architektur und Technik (5). Sie haben die Nachfrage nach vertrauenswürdigen, hochsicheren digitalen Signaturen befeuert.

Die Krux mit der Sicherheit: Digitale Signatur ist nicht gleich digitale Signatur

Es ist wichtig zu wissen, dass “elektronische Signatur” ein Oberbegriff ist, der NICHT mit einer echten “digitalen Signatur” gleichzusetzen ist. Einfache E-Signaturbilder, die von einem Unterzeichner in Dokumente eingefügt werden, sind keine Gewähr, dass die digital signierten oder versiegelten Dokumente nicht zu einem bestimmten Zeitpunkt nach ihrer Erstellung verändert worden sein könnten. Eine echte digitale Signatur basiert auf kryptographischer Technologie, bei der die Identität des Unterzeichners von einem Dritten überprüft wird.

Komplex und kompliziert?

Die gängigste Option, digitale Signaturen in eine Dokumentenplattform zu integrieren, besteht seit Jahren darin, die komplexen kryptografischen Komponenten zusammenzustellen und die Integration im Wesentlichen intern aufzubauen. Dazu zählen:

  • Signaturzertifikate – Ausgestellt auf die Identitäten des verifizierten Signaturgebers. Sie werden zum Einfügen der Signatur verwendet.
  • Widerrufdienste (z. B. OCSP, CRL) – Sie prüfen den Status/die Gültigkeit der Signaturzertifikate.
  • Zeitstempeldienste – Anstatt sich auf die lokale Systemuhr zu verlassen, kann der Zeitstempel eines Drittanbieters in die Signatur eingebettet werden, um mehr Sicherheit dazu zu bieten, wann die Signatur tatsächlich eingefügt wurde. Technisch ist das bei einer digitalen Signatur nicht erforderlich, aber man braucht den Zeitstempel oft, um Branchen- und Rechtsvorgaben zu erfüllen (6).
  • Kryptografische Hardware – (normalerweise Hardware-Sicherheitsmodule [HSMs], die entweder vor Ort installiert und gepflegt oder von einem Dritten gehostet werden) zum Speichern und Schützen der privaten Schlüssel der Signaturgeber.
  • Mitarbeiter mit Kryptografie- und PKI-Kenntnissen – Zum Einrichten und Pflegen der Integrationen und Hardware.

Jede einzelne dieser Komponenten muss beim Einfügen einer Signatur separat mit separaten API-Aufrufen an die betreffende Plattform zurückgesendet werden. Das ist so aufwendig wie es klingt. Das für solche Integrationen benötigte kryptografische Wissen ist zudem nicht ganz unerheblich.

Cloud-basierte Plattformen unterstützen existierende Workflows

Cloud-basierte Dienste sollen hier Abhilfe schaffen. Sie liefern alle Komponenten, die man für eine einfache Bereitstellung digitaler Signaturen auf der betreffenden Plattform braucht. Investitionen in Hardware und komplexe eigene Entwicklungen entfallen. Zudem lassen sich moderne Services praktisch beliebig skalieren und digitale Signaturfunktionen in jedem Workflow flexibel einsetzen.

Was für die betreffenden Unternehmen innerhalb der AEC-Branche besonders ins Gewicht fällt:

Sie müssen kein eigenes kryptografisches und PKI-Know-how aufbauen oder große Investitionen und Entwicklungskosten tätigen.

Cloud-basierte Dienste bieten:

  • Mehr Flexibilität bei Signieridentitäten – Bei HSM-Bereitstellungen werden im Allgemeinen nur Identitäten auf Unternehmens- oder Abteilungsebene unterstützt. Es gibt aber Dienste, die auch individuelle Identitäten unterstützen, so dass Mitarbeiter oder Kunden in ihrem eigenen Namen signieren können.
     
  • Skalierbar – Wenn man expandiert, erfordern separat bezogene Bereitstellungen meist zusätzliche HSM-Partitionen und Konfigurationen. Bei Cloud-basierten Diensten skaliert die Lösung mit dem Wachstum des Unternehmens.
     
  • Wer verwaltet die privaten Schlüssel? – Bei HSM-Bereitstellungen ist der Dienstanbieter für die Verwaltung privater Schlüssel verantwortlich. Dies bedeutet in der Regel Investitionen in und Pflege von on-premises HSMs (mit Backup). Oder man findet einen Cloud-HSM-Anbieter, muss dann aber komplexe Integrationen in die bestehende Plattform einkalkulieren. Aktuelle Dienste erledigen das über eine REST-API und brauchen keine internen Ressourcen.
     
  • Standardmäßig hohe Verfügbarkeit – HSM-Bereitstellungen kommen nicht ohne zusätzliche, redundante Auslegung aus, was die Kosten in die Höhe treibt. Cloud-basierte Dienste sind standardmäßig hoch verfügbar.
     
  • Best-Practices –Anforderungen – Wenn Trust-Programme (z. B. Adobe Approved Trust List [AATL]) ihre Anforderungen aktualisieren, neue Vorschriften in Kraft treten oder HSM-Anbieter neue Hardware und Firmware veröffentlichen, werden Cloud-Dienste entsprechend aktualisiert. Zusätzliche Entwicklungsinvestitionen bleiben überschaubar und das Unternehmen richtlinienkonform.

Fazit

Unternehmen aus der Architektur- und Baubranche profitieren von der Nutzung digitaler Signaturen. Signaturfunktionen, die sich in die eigene Dokumentenmanagement-Plattform integrieren lassen, machen es leichtr, innerhalb bestehender Prozesse vertrauenswürdige, konforme Signaturen hinzuzufügen. Durch die Nutzung eines Zertifikats werden Dateien von beispielsweise Adobe und Microsoft Office als vertrauenswürdig eingestuft. Der Benutzer kann echte digitale, zeitgestempelte Signaturen und Siegel erstellen, die vom Unterzeichner stammen und verifiziert werden. Und man muss kein Experte für Kryptografie und Public Key Infrastructure sein.

Quellen:

(1) https://www.economist.com/business/2000/01/13/new-wiring

(2) https://www.cadalyst.com/aec/digital-asset-management-aeco-aec-focus-column-3674

(3) https://www.nist.gov/el/fire-research-division-73300

(4) https://www.globalsign.com/en/blog/what-is-cfr-21-part-11/

(5) https://www.globalsign.com/de-de/blog/staatliche-anforderungen-an-digitale-signaturen-architektur-ingenieur-baubranche/

(6) https://www.globalsign.com/de-de/blog/was-ist-ein-zeitstempel/

Toms Lea

GlobalSign -

EMEA Marketing Managerin

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.