Digitale Signaturlösungen: Sicherheit und Compliance für elektronische Dokumente und Daten einvoice & digitale Signatur Rechtliche Rahmenbedingungen und operative Umsetzung Lobster Innovation Days 2016 Tutzing, der 23.09.2016 Tel.: +49 (0)30 756 59 78-0 Fax: +49 (0)30 756 59 78-18 mail@secrypt.de www.secrypt.de
Agenda 2016 secrypt im Überblick Grundlagen Lösungsfindung Anwendungsszenarien Nutzen und Umsetzung
2016 secrypt im Überblick
secrypt Überblick 2016 2002 gegründet mit Sitz in Berlin, seit 2005 ISO 9001 zertifiziert Kernkompetenzen Beratungsdienstleistungen und Softwarelösungen auf Basis von Standardprodukten für den gesamten Signatur-Lifecycle, von der Signaturerzeugung in allen relevanten Signaturformaten über die Signaturverifikation bis hin zur Signaturarchivierung Regelkonforme Einbindung der Produkte in die elektronischen dokumentengebundenen Prozesse Ziele Gewährleistung von Authentizität, Manipulationsschutz und Vertraulichkeit für elektronische Geschäftsprozesse
secrypt im Überblick 2016 Mitgliedschaften Hier bringen wir technologisches und juristisches Fachwissen rund um die elektronische Signatur ein BITKOM - Sprachrohr der IT-, Telekommunikations- und Neue-Medien-Branche IT-Sicherheitsverband TeleTrusT Competence Center für die Elektronische Signatur im Gesundheitswesen (CCESigG) PDF/A Competence Center VeR - Verband elektronische Rechnung Verein Sichere Identität Berlin-Brandenburg e.v.
secrypt - unsere Produkte sind im Einsatz für 2016 Industrie Dienstleistung Handel Energie IT/TK Transport Pharma Finanz Versicherung
secrypt - unsere Produkte sind im Einsatz für 2016 Healthcare E-Government
secrypt - Partnerintegrationen 2016 Industrie Dienstleistung E-Government Healthcare
secrypt - Partnerintegrationen 2016 Erfassung Capture Service- Provider
2016 Grundlagen
Grundlagen 2016 In Kürze: Was ist eine elektronische Signatur? Technisch Ein mit dem privaten Schlüssel des Unterzeichnenden verschlüsselter Hash-Wert eines Datensatzes Rechtlich eidas-verordnung und Erfüllung Schriftformerfordernis in der elektronischen Kommunikation ( 126 Abs. 1 BGB) Praktisch Sichert die elektronische Signatur die Authentizität und Integrität von Daten und Dokumenten. Es wird gewährlistet dass, der Absender der Daten authentisch ist und die verschickten Daten auf dem Weg durch die digitale Welt nicht verändert wurden und damit unverfälscht sind (= Integrität der Daten)
Grundlagen 2016 Gesetzliche Grundlagen eidas-verordnung (Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt) Ziel ist der einheitliche Umgang mit elektronischen Signaturen und Identifizierungen von Personen und Unternehmen Elektronische Signaturen, elektronische Siegel und Zeitstempel europäischer Vertrauensdiensteanbieter werden dann in allen EU-Mitgliedsstaaten akzeptiert Ergänzungen: Nationale Gesetzgebungen und/oder branchenspezifische Empfehlungen Erfüllung Schriftformerfordernis in der elektronischen Kommunikation ( 126 Abs. 1 BGB) Umsatzsteuergesetz (UStG) 14 Ausstellung von Rechnungen Competence Center für die Elektronische Signatur im Gesundheitswesen e.v. (CCESigG)
Grundlagen 2016 Formen der elektronischen Signatur (Einfache) elektronische Signatur simpelste Form, es ist keine spezielle Signatursoftware notwendig z.b. eingescannte Unterschrift, E-Mail-Footer-Unterschrift Fortgeschrittene elektronische Signatur und fortgeschrittenes elektronisches Siegel Signatur basiert auf kryptografischen Schlüsseln, die einem Signaturschlüssel-Inhaber zuzuordnen sind und so seine Identifizierung ermöglichen Signatur muss mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann (z.b. persönliche Signaturkarte oder Zertifikatsdateien) Verknüpfung der Signatur mit den zu signierenden Daten in einer Form, die nachträgliche Veränderungen der Daten erkennen lässt z.b. E-Mail-Signatur, Signatur mit Softzertifikat oder auf Basis biometrischer Merkmale (Fingerabdruck etc.)
Grundlagen 2016 Formen der elektronischen Signatur Qualifizierte elektronische Signatur durch eine natürliche Person ist ausschließlich dem Signaturschlüsselinhaber zugeordnet ermöglicht die Identifizierung des Signaturschlüsselinhabers und gewährleistet Integrität und Authentizität der signierten Dokumente Signaturerzeugung mit Signaturanwendungskomponente und einer sicheren Signaturerstellungseinheit (Signaturkarte mit Zertifikat und Kartenleser) oder NEU ab dem 01.07.2016 Schlüsselmaterial und Zertifikat wird im HSM unter Hoheit des Vertrauensdiensteanbieters verwaltet => Mobile-Signatur (Fern-Signatur) Die qualifizierte elektronische Signatur ersetzt die per Gesetz geforderte Schriftform auf Papier (nach 126 BGB) und ist damit gleichgestellt mit der eigenhändigen Unterschrift
Grundlagen 2016 Formen der elektronischen Signatur Qualifiziertes elektronisches Siegel durch eine juristische Person (Organisation) entspricht der qualifizierten elektronischen Signatur, ersetzt aber NICHT die persönliche Unterschrift gewährleistet Integrität und Authentizität der signierten Dokumente und ermöglicht die Identifizierung des Signaturschlüsselinhabers Signaturerzeugung mit Signaturanwendungskomponente und einer sicheren Signaturerstellungseinheit (Signaturkarte mit Zertifikat und Kartenleser) oder NEU ab dem 01.07.2016 Schlüsselmaterial und Zertifikat wird im HSM unter Hoheit des Vertrauensdiensteanbieters verwaltet => Mobile-Signatur (Fern-Signatur) Rechtlich besitzt das qualifizierte Siegel einen sehr hohen Beweiswert (Beweis der Vermutungsbasis). In einem Streitfall ist daher zunächst der Beweis des Gegenteils erforderlich (sog. Beweislastumkehr).
Grundlagen 2016 Formen der elektronischen Signatur Elektronischer Zeitstempel Mit einem qualifizierten elektronischen Zeitstempel lässt sich rechtsverbindlich nachweisen, dass eine bestimmte elektronische Datei in einem bestimmten Zustand zu einem bestimmten Zeitpunkt vorlag Der Zeitstempel wird dabei nicht durch einen lokalen Computer bestimmt, sondern wird innerhalb eines akkreditierten Trustcenters erzeugt und basiert somit auf der amtlichen Zeit Einsatz für den Integritätsschutz und die Nachweisbarkeit der Archivierung von Dokumenten u.a. bei der Langzeitarchivierung, beim Übersignieren und beim Posteingangsstempel Umsetzung der Langzeitbeweiswerterhaltung mit amtlichen Zeitstempeln
2016 Lösungsfindung
Lösungsfindung 2016 Die Rahmenbedingungen und der PROZESS bestimmen die Lösung Lösungsfindung unter Beachtung der individuellen Anforderungen Welche Rahmenbedingungen sind zu beachten? (extern, intern, Gesetze, Compliance, Technik, Zugriff auf Daten, )? Zentrale oder dezentrale Abwicklung? Wer ist beteiligt? Was ist das Ziel? Lösung = Module + Integrationen +.
Lösungsfindung 2016 Systemarchitektur - Integration in prozessführende Applikationen
Lösungsfindung 2016 Integration in prozessführende Applikationen
2016 Anwendungsszenarien
Anwendungsszenarien 2016 Grundsätzliche Abgrenzung Signieren von eingescannten Dokumenten und digitalen Originalen am Arbeitsplatz Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung (digiseal office -> PIN-Eingabe je Vorgang oder je Batch) Automatisiertes serverbasiertes Signieren Einsatz im zentralen und automatisieren Prozess (digiseal server -> Signieren, Verifizieren, Zeitstempeln,.) Langzeitbeweiswerterhaltung für das digitale Archiv Einsatz für die dauerhafte elektronische Beweiswerterhaltung im Archiv mit amtlichen Zeitstempeln (digiseal archive -> Basis: ArchiSig & LTANS/ERS)
Anwendungsszenarien 2016 Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung Szenarien Dokumentenfreigabe & Mitzeichnung im Prozess z. B.: Qualitätssicherung und Vertragsmanagement im Unternehmen Betriebsinterne Dokumentation oder Freigaben Antragsbearbeitung bei Banken und Sozialversicherungen Umsetzung Arbeitsplatzlösung für Einzel- und/oder Stapelsignatur Kombi-Signatur Mobil-Signatur (Fernsignatur)
Anwendungsszenarien 2016 Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung Praxisbeispiel Hersteller Werkzeugmaschinen u. Automationstechnik Anforderungen / Eckdaten Userbezogene Signatur von Messberichten und Prüfdokumententationen inkl. Prozessteuerung aus dem SAP rechtsichere und nachvollziehbare Dokumentation Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung digiseal office pro 100 und digiseal office connector SAP Langzeitbeweiswerterhaltung für das digitale Archiv digiseal archive (Campus inkl. Verifikation)
Anwendungsszenarien 2016 Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung Dokumente signieren, z.b. PDF, DOC, XML, TIFF auch mehrere Signaturen in einem Dokument PDF/PAdES-Signatur mit individuellem Grafik-Signet, z. B. eingescannte Unterschrift Dokumente mit einem Zeitstempel versehen Elektronisch signierte Dokumente prüfen Dokumente ver- und entschlüsseln Dokumente in den Archivstandard PDF/A wandeln Integration in Bestandssysteme über C-API digiseal office pro für Stapelsignatur (100 / 250 / 500)
Anwendungsszenarien 2016 Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung Fernsignatur (Mobil-Signatur) 1. Nutzer öffnet eine Signaturanwendung (Nutzerkomponente) und meldet sich mit Benutzername und Passwort (Faktor 1) an 2. Anschließend markiert er ein Dokument und betätigt Schaltfläche "Signieren" 3. Der Hash-Wert des Dokumentes wird zusammen mit weiteren Daten zum Schutz der Transaktion (SAD) über einen sicheren Kommunikationskanal (SAP) an den VDA gesendet 4. VDA startet Authentifizierungsanfrage und Anwender authentifiziert sich z.b. mittels Fingerabdruck (Faktor 2) über eine App auf seinem Smartphone (Kanal 2) SAD: Signaturaktivierungsdaten SAP: Signaturaktivierungsprotokoll 5. Bei erfolgreicher Authentifizierung wird der Hash-Wert mit beim VDA hinterlegten Signaturschlüssel signiert und 6. an die Nutzerkomponente des Anwenders gesendet
Anwendungsszenarien 2016 Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung Praxisbeispiel Stahlwerk Anforderungen / Eckdaten Signaturlösung mit Integration in das webbasierte DMS SharePoint qualifizierte und biometrische Signatur und zentrale Verifikation Rechtsichere und nachvollziehbare Dokumentation (Arbeitsschutz, Personaldokumente) Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung inkl. zentraler Verifikation und Speicherung digiseal office pro 100 inkl. SignDoc SDK und digiseal relay + digiseal server (Verifikation)
Anwendungsszenarien 2016 Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung Kombi-Signatur 1. Gespräch zwischen Mitarbeiter und Vorgesetzten inklusive Durchsicht des elektronischen Dokuments 2. Mitarbeiter bestätigt, alle Erläuterungen verstanden zu haben 3. Mitarbeiter unterschreibt auf Unterschriften-Pad und seine biometrische Signatur (u.a. Schreibdruck, Schreibgeschwindigkeit, Schreibbeschleunigung) wird verschlüsselt in das Dokument eingebettet 4. Vorgesetzter signiert unmittelbar danach mit seiner Signaturkarte (qualifizierte Signatur) und bestätigt, dass der Mitarbeiter in seiner Anwesenheit unterschrieben hat. Das Dokument wird digital versiegelt 5. Ablage des elektronisch signierten Dokuments im digitalen Archiv, wo es z. B. im PDF/A-Format organisationsweit schnell verfügbar ist
Anwendungsszenarien 2016 Einsatz am Einzelarbeitsplatz, mit manueller Vorgangsbestätigung digiseal relay (Relay-Server-Architektur) Signatur-Software meldet sich regelmäßig bei zentralem Relay-Server über eine abgesicherte Verbindung Der Relay-Server führt Buch, welche Signatur-Clients zur Verfügung stehen (Presence) Der Relay-Server leitet Signaturbefehle ( Signiere Dokumenten-Stapel A, Signiere PDF-Dokument B etc.) an ausgewählte Signatur-Clients weiter (Relay)
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren Szenarien Prozesse mit definiertem und einheitlichem Ablauf die automatisch abgearbeitet werden können z.b. Umsetzung zentrale Signaturerzeugung beim Scannen und Signieren zentrale Signaturerzeugung für Laborbefunde oder unkritische Dokumente zentrale Signaturerzeugung & -verifikation bei der elektronischen Rechnungsverarbeitung, bei Personenstandsregistern oder im Gerichtsbriefkasten zentrale Identifikation der Behörde oder Organisation serverbasiertes Signaturerzeugung durch eine natürliche Person (QES) oder durch eine juristische Person (elektronisches Siegel) serverbasiertes verifizieren, zeitstempeln und/oder versenden
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren Praxisbeispiel Hersteller von Farben, Lacken, Anforderungen / Eckdaten automatisierte Erzeugung von Massensignaturen Signatur von EDIfact-Nachrichten sowie von PDF-Rechnungen Unterstützung deutscher und Schweizer Signaturkarten Prozessteuerung über Lobster Einsatz am zentralen Signatur- und Verifikationsserver digiseal server, inkl. jährlichem Volumen von 60.000 WE paralleler Prozess und Ansprache einer zweiten Signaturkarte
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren Praxisbeispiel Hersteller von Leuchtmittel+Leuchten Anforderungen / Eckdaten automatisierte Erzeugung von Massensignaturen Signatur von PDF-Rechnungen Prozessteuerung über Lobster Einsatz mit zentralem Signaturserver digiseal server, inkl. jährlichem Volumen von 10.000 WE paralleler Prozess und Ansprache einer zweiten Signaturkarte
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren Praxisbeispiel Weltweit agierender Hersteller Anforderungen / Eckdaten Nachweis der Authentizität und Integrität automatisierte Erzeugung von Massensignaturen Signatur von PDF-Rechnungen Prozessteuerung über Lobster, weltweiter Versand Einsatz mit zentralem Signaturserver digiseal server, ggf. mandantenabhängig paralleler Prozess und Ansprache einer zweiten Signaturkarte
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren einvoice voll automatisierter (Windows-) Systemdienst für die automatisierte Signaturerzeugung, Signaturverifikation und Zeitstempelung skalierbare Lösung Dokumentenführendes System steuert den Prozess (einfache Integration über diverse Schnittstellen) Einsatz der E-Signatur mit persönlichem Zertifikat oder als "Unternehmenssiegel"
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren einvoice Echtheit der Herkunft der elektronischen Rechnung (Authentizität) d.h. der Rechnungssteller muss eindeutig und sicher identifiziert werden können 233 MwStSystRL (Mehrwertsteuersystemrichtlinie) Unversehrtheit des Inhalts der elektronischen Rechnung (Integrität) d.h. die Unverändertheit des Rechnungsinhalts muss nachgewiesen werden können 1 2 3 elektronische Rechnung mit elektronischer Signatur EDI-Rechnung mit Individualvereinbarung alternative gleichwertige Verfahren Rechnungssteller Rechnungsempfänger
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren einvoice Mehrwert für das digitale Signieren elektronischer Rechnungen Medienbrüche entfallen, Abwicklungsschritte werden in durchgängigen Prozess integriert erhöhte Automatisierung der einzelnen Prozessstufen hohe Spareffekte über den gesamten Prozess hinweg eröffnet Liquiditätsvorteile, steigert Cashflow und erfüllt Compliance-Gebote das signierte Rechnungsdokument selbst ist authentisch und integer digiseal -Produkte unterstützen das ZUGFeRD-Format und sind international einsetzbar entsprechende Verarbeitungsprozesse inkl. Archivierung können von externen Dienstleistern umgesetzt werden
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren Praxisbeispiel Krankenkasse Anforderungen / Eckdaten Datenerfassung eingehender Dokumente (ersetzendes Scannen) Eingangsnachweis und automatische Prozessabbildung Einsatz am zentralen Signaturserver digiseal server, inkl. jährlichem Volumen von 7.500.000 WE Paralleler Prozess und Ansprache weiterer Signaturkarten inkl. Test- und Backup-System
Anwendungsszenarien 2016 Automatisiertes serverbasiertes Signieren Scannen & Signieren Beglaubigung der Übereinstimmung der elektronischen Datei mit dem papiergebundenen Ursprungsdokument und eindeutige Identifizierung des Prüfers bzw. Unterzeichners Sicherung des elektronischen Dokumentes im weiteren Bearbeitungsverlauf vor unbemerkter Manipulation Rechtssicherheit durch Umsetzung der TR RESISCAN (TR 03831 Ersetzendes Scannen ) des Bundesamtes für Sicherheit in der Informationstechnik
Anwendungsszenarien 2016 Langzeitbeweiswerterhaltung für das digitale Archiv Szenarien gesetzeskonforme Langzeit-Beweiswerterhaltung elektronischer Dokumente interne Langzeit-Beweiswerterhaltung signierter Daten Dienstleister als elektronische Bewahrungsdienst für (qualifizierte) elektronische Signaturen und Daten Umsetzung dauerhafte elektronische Beweiswerterhaltung mit amtlichen Zeitstempeln mit vorgelagerter Verifikationslösung
Anwendungsszenarien 2016 Langzeitbeweiswerterhaltung für das digitale Archiv Praxisbeispiel Dienst der Krankenkasse Anforderungen / Eckdaten dauerhafte elektronische Beweiswerterhaltung mit vorgelagerter Verifikationslösung Integration in die Archiv-Lösung Einsatz als automatische Lösung Signaturverifikation mit 1x digiseal server und LTANS/ERS mit 1x digiseal archive qualifizierte Zeitstempel
Anwendungsszenarien 2016 Langzeitbeweiswerterhaltung für das digitale Archiv gesetzeskonforme Langzeit-Beweiswerterhaltung elektronischer Dokumente gemäß 17 Signaturverordnung (SigV) Nachweis von Veränderungen elektronisch archivierter Dokumente schnelle Verarbeitung großer Dokumentenmengen durch effizientes Hash-Baum-Verfahren automatisierter Dienst unter Windows und Linux Dokumentation aller durchgeführten Prozessschritte Verwaltung von Hash-Bäumen, (Zeitstempel-) Signaturinformationen und Datenstrukturen in einer Standard-Datenbank (ODBC)
2016 Nutzen und Umsetzung
Nutzen elektronischer Signaturlösungen 2016 Die digitale Transformation - elektronischer Geschäftsprozesse Umsetzung effizienter elektronischer Geschäftsprozesse inkl. Aufbewahrung der zugehörigen Unterlagen / Dokumentationen in digitaler Form Elektronische Signaturen auf Basis von State-of-the-Art-Kryptographie-Verfahren gemäß dem Stand der Technik sorgen für Integrität und Authentizität Vermeidung von Medienbrüchen und Reduzierung von Kosten Steigerung der Effektivität durch ortsungebundene Freigaben und einfache Statusüberwachung
Nutzen elektronischer Signaturlösungen 2016 Schaffung und Erhöhung des digitalen Beweiswertes Integrität und Authentizität sind entscheidende Eigenschaften zum Beweiswert Neue Werte rücken in das Zentrum der Aufmerksamkeit von IT-Strategie, Compliance und gesellschaftlichem Diskurs. Vertraulichkeit, Manipulationsschutz, Urhebernachweis und der digitale Beweiswert
Umsetzung elektronischer Signaturlösungen 2016 INDIVIDUELLE Anforderungen und Rahmenbedingungen Was ist das Ziel? Welche Rahmenbedingungen sind zu beachten? (extern, intern, Gesetze, Compliance, Technik, Zugriff auf Daten, )? Wer ist Wie am Prozess beteiligt? Welche prozessführende Applikation ist im Einsatz? Welche Dokumente / Daten sind betroffen? Wann soll die Lösung realisiert werden?
Umsetzung elektronischer Signaturlösungen 2016 secrypt - Spezialist und Branchenkenner Umfassende Erfahrungen mit der technischen Einbindung elektronischer Signaturen und Zeitstempel vielschichtige Anforderungen an individuelle Signaturlösungen wurden in diversen Projekte und Einsatzszenarien realisiert die gesetzlichen sowie technischen Grundlagen und Rahmenbedingungen bilden die Basis unserer Lösungen
Vielen Dank! 2016 Vielen Dank für Ihre Aufmerksamkeit. Wir sind jederzeit gern für Sie da. Frank Lüneburg Senior Account Manager E-Mail: frank.lueneburg@secrypt.de Mob: +49 162 20042 54 Tel.: +49 (30) 756 59 78-0 Fax: +49 (30) 756 59 78-18 Internet: www.secrypt.de