Vorbereitung des Dokuments
Um Dokumente elektronisch signieren zu können, was für elektronische Eingaben bei der Verwaltung meist notwendig ist, muss das Dokument zuerst in ein für die Signatur geeignetes Format umgewandelt werden. In der Praxis ist das meist das PDF-Format oder dessen archivierbare Variante PDF/A.
Die Umwandlung des Dokuments kann mit dem Druckertreiber Microsoft Print-to-PDF, mit den Microsoft-Office-Produkten, mit Libre Office (Freeware) oder einem der zahlreichen, frei verfügbaren PDF-Konversionsprogramme erfolgen.
Für elektronische Eingaben bei Behörden ist das PDF/A-Format (ISO 32000-x, ISO 19005-x, ISO 14289) nicht zwingend, aber gleichwohl empfohlen, respektive erwünscht.
Mitarbeitende der Bundesverwaltung erstellen PDF/A Dokumente meist über Funktionen des Geschäftsverwaltungssystems (GEVER) oder Fachanwendungen.
Wahl und Beschaffung eines Zertifikats
Um ein Dokument signieren zu können, wird ein Signaturschlüssel mit zugehörigem Zertifikat benötigt. Vom schweizerischen Signaturgesetz (ZertES) geregelte Zertifikate sind das persönliche qualifizierte Zertifikat und das geregelte elektronische Siegel für Organisationen. Ein qualifiziertes Zertifikat ist vorzugsweise zu wählen, falls die damit ausgeführten Signaturen das höchste Vertrauen geniessen, über den höchsten Beweiswert verfügen und auch das Erfordernis der Schriftform gemäss Artikel 12-14 Obligationenrecht (OR, SR 220)) erfüllen sollen.
Mitarbeitende der Bundesverwaltung müssen Zertifikate über die gemäss ZertES anerkannte Anbieterin Swiss Government PKI beim BIT beziehen. Die Swiss Government PKI beliefert jedoch nur die Verwaltung mit Zertifikaten. Personen ausserhalb der Verwaltung beschaffen ihre Zertifikate über eine der drei privaten Anbieterinnen von Zertifizierungsdiensten (Weitere Informationen finden Sie unten unter Angebote der Privatwirtschaft)
Für die Beschaffung eines qualifizierten Zertifikates ist immer eine gesetzlich genau vorgeschriebene persönliche Identifikation der Person unter Vorlage von Pass oder Identitätskarte oder eine Identifikation über ein ebenfalls gesetzlich geregeltes Video-Identifikationsverfahren zuhanden der gewählten anerkannten Anbieterin von Zertifizierungsdiensten notwendig. Qualifizierte Zertifikate werden entweder lokal auf Smartcard oder als Zugriff auf ein qualifiziertes Zertifikat angeboten, das auf einem sog. Remote Signing Service hinterlegt ist.
Sofern aufgrund der Wahl des anwendbaren Rechts elektronische Signaturen ausgeführt werden, die im EU-Raum Gültigkeit haben sollen, so sollte eine Anbieterin von Zertifizierungsdiensten gewählt werden, die auch gemäss europäischer eIDAS Verordnung anerkannt ist. Beim Signaturvorgang über den Remote Signing Service einer dieser Anbieterinnen kann für jeden einzelnen Signaturvorgang gewählt werden, ob mit einem geregelten bzw. qualifizierten Zertifikat nach Schweizer Recht oder einem Zertifikat nach EU-Recht signiert werden soll. Die zwei anderen Anbieterinnen bieten ebenfalls qualifizierte Zertifikate nach EU-Recht an.
Lokale Zertifikate auf Smartcard
Zertifikate auf Smartcard sind heute eher die Ausnahme, da diese auf Tablets und Smartphones nicht eingesetzt werden können. Bei den nach ZertES anerkannten Anbieterinnen von Zertifizierungsdiensten können lokale Zertifikate auf Smartcard auf Wunsch aber immer noch bezogen werden.
Um mit lokalen Zertifikaten signieren zu können, werden meist sog. Treiberprogramme für den Smartcard-Leser (meist ein USB-Stick) und für die Smartcard, wie auch eine lokal installierte Anwendung zum Signieren, z.B. der Adobe Acrobat Reader benötigt. In der Anwendung zum Signieren muss ein Zeitstempeldienst konfiguriert werden, damit einer qualifizierten Signatur auch der gesetzlich geforderte Zeitstempel beigefügt wird. Erkundigen Sie sich bei ihrer Anbieterin bezüglich der Notwendigkeit einer Treiberinstallation auf ihrer Systemplattform (Windows, Apple, Linux) und der Konfiguration des Zeitstempeldienstes.
Nutzung von Remote Signing Services
Alle anerkannten Anbieterinnen von Zertifizierungsdiensten verfügen über zentrale Remote Signing Services im Internet, auf denen entweder Zertifikate für eine identifizierte Person hinterlegt werden können, oder auf denen bei jedem Signaturvorgang ein kurzzeitig gültiges Zertifikat für die vom System identifizierte Person generiert wird (die damit ausgeführte Unterschrift bleibt dabei gültig)
Beim Signaturvorgang wird der Hash (Fingerprint des Dokuments) mit dem Signaturschlüssel und dem zugehörigen Zertifikat auf dem Remote Signing Service signiert. Dabei muss je nach Remote Signing Service entweder in einer Smartphone App oder via Mobile ID auf dem Smartphone eine PIN eingegeben werden. Der signierte Hash wird danach an die Endbenutzer-Anwendung zurückgegeben, die den Vorgang steuert und die erzeugte Signatur in das Dokument einfügt. Die Mobile ID kann auf allen Smartphones mit SIM-Karte einer schweizerischen Mobilfunk-Anbieterin aktiviert werden.
Je nach Remote Signing Service bzw. damit verbundenen Endbenutzer-Anwendung
- muss das zu signierende Dokument dabei auf eine Web-Anwendung hochgeladen werden, die den gesamten Signaturvorgang steuert und die Signatur in das Dokument einfügt. Das signierte Dokument wird zum Schluss heruntergeladen;
- oder es wird von einer lokal installierten Signieranwendung nur der Hash des Dokuments gebildet, dieser an den Remote Signing Service geschickt, dort signiert und an die lokale Anwendung zurückgeschickt. Diese fügt den signierten Hash in das Dokument ein. Das Dokument selbst bleibt in diesem Fall immer lokal.
Wenn ein hoher Grad an Vertraulichkeit benötigt wird, oder wenn Standesregeln es verbieten (z. B. Anwaltschaft, Notariat, Treuhand etc.) Dokumente mit vertraulichem Inhalt auf eine zentrale Web-Anwendung hochzuladen, ist für das Signieren entweder ein lokales Zertifikat auf Smartcard mit einer lokalen Anwendung zum Signieren oder ein Remote Signing Service mit einer lokalen Anwendung zum Signieren zu wählen, damit das Dokument lokal bleibt.
