| DET VIGTIGSTE I KORTHED Ikke blot billeder: Det visuelle billede af en underskrift på en PDF-fil har ingen juridisk betydning – det afgørende er det kryptografiske certifikat i baggrunden. De tre søjler i valideringen: Ved valideringen kontrolleres altid den underskrivende persons identitet, dokumentets uforfalskethed (integritet) og certifikatets gyldighed. EUTL-faktoren: En kvalificeret elektronisk signatur (QES) er kun 100 % retligt anerkendt i hele Europa, hvis Trust Service Provideren (TSP) er opført på EU’s officielle tillidsliste (EUTL). Den amerikanske konkurrencemæssige ulempe: Mange amerikanske værktøjer fejler i europæiske kontrolværktøjer (som f.eks. den statslige RTR-akkrediteringstjeneste), da de ikke forankrer certifikatkæder tilstrækkeligt. |
Indledning: Hvorfor »kontrol« er selve grundlaget for digitale processer
I mange virksomheder er digital underskrivning af kontrakter for længst blevet standard. Men mens der investeres enorme mængder energi i selve underskrivningen, forbliver et grundlæggende spørgsmål i den daglige B2B-drift ofte ubesvaret: Hvordan kontrollerer De de dokumenter, der kommer tilbage til Deres virksomhed i underskrevet form?
Virksomheder udveksler dagligt følsomme kontrakter – lige fra ansættelseskontrakter i HR-afdelingen over leverandøraftaler til omfattende finansielle transaktioner. Hvis man her stoler på, at en indscannet underskrift eller et simpelt visuelt pladsholderbillede i en PDF-fil er juridisk gyldigt, påtager man sig en enorm risiko med hensyn til overholdelse af lovgivningen og erstatningsansvar. Kun en systematisk, kryptografisk verifikation giver dig den retsgyldige sikkerhed for, at din kontraktpartner rent faktisk er den, han udgiver sig for at være, og at kontraktteksten ikke er blevet manipuleret efterfølgende.
Den tekniske anatomi: Hvad sker der, når man verificerer en digital signatur?
Når du verificerer en digital signatur (f.eks. via sproof Validator, Acrobat Reader, statslige valideringstjenester som Rundfunk und Telekom Regulierungs-GmbH i Østrig eller et specialiseret program), foregår der i baggrunden en proces i tre trin:
1. Kontrol af dokumenters integritet (hash-sammenligning)
Ved signering komprimeres hele filindholdet ved hjælp af en algoritme til et entydigt digitalt fingeraftryk – den såkaldte hashværdi. Kontrolværktøjet beregner denne hashværdi på ny, når filen åbnes. Hvis den aktuelle hashværdi stemmer nøjagtigt overens med den værdi, der blev krypteret på signaturtidspunktet, står det fast: Dokumentet er ikke blevet ændret med et eneste tegn siden underskrivelsen.
| sproof Insight vs. den amerikanske markedsleder: sproof sign forankrer hver enkelt signatur kryptografisk direkte og juridisk bindende i PDF-filen på underskrivningstidspunktet. Amerikanske udbydere som DocuSign placerer ofte kun signaturer som visuelle billeder på dokumentet undervejs i processen og tilføjer først det endelige samlede segl ved den afsluttende download. Dette gør det vanskeligt for kontrolværktøjer efterfølgende at spore nøjagtigt, hvornår hvilke konkrete ændringer i formularfelterne blev foretaget. |
2. Validering af det digitale certifikat (identiteten)
Hver avanceret (FES) eller kvalificeret elektronisk signatur (QES) er uløseligt knyttet til et digitalt certifikat. Dette certifikat fungerer som et digitalt identitetsbevis. Kontrolværktøjet udtrækker certifikatets metadata for at aflæse underskriverens navn, den verificerede e-mail-adresse og udstederen (Trust Service Provider, forkortet TSP).
3. Sammenligning med Den Europæiske Unions liste over pålidelige udbydere (EUTL)
eIDAS-forordningen sikrer maksimal beviskraft på europæisk plan. Stærkt regulerede brancher kræver som standard en QES, da kun denne juridisk set er 100 % ligestillet med en håndskrevet underskrift. Ved kontrol af en QES sammenligner softwaren den udstedende TSP med Europa-Kommissionens officielle tillidsliste (EUTL). Hvis udbyderen ikke er akkrediteret der, mister underskriften sin status som QES.
Hvorfor visse signaturer bliver markeret som »ugyldige« i europæiske kontrolværktøjer
Et hyppigt fænomen i europæiske juridiske afdelinger: En kontrakt, der er underskrevet via et amerikansk værktøj, uploades til RTR’s (Østrig) officielle kontroltjeneste og klassificeres straks som »ugyldig« eller »teknisk ikke verificerbar«.
Der er en grund til dette: Manglende EUTL-akkreditering. Mange globale hyperscalere bruger deres egne certifikatkæder til deres standardsignaturer, som ganske vist er markeret som »grønne« på kommercielle lister (som f.eks. Adobe Approved Trust List – AATL), men som ikke opfylder de strenge lovgivningsmæssige kriterier fra de europæiske tilsynsmyndigheder.
Trin for trin: Sådan kontrollerer du en digital signatur i praksis
For virksomheder findes der primært tre velafprøvede metoder til at validere signaturer på en revisionssikker måde:
- Metode 1: Automatiseret validering via software og API (til store virksomheder) Store organisationer kan ikke kontrollere indgående dokumenter manuelt. Her kommer moduler som sproof Validate til anvendelse. Via en REST-API scannes kontrakter automatisk ved modtagelsen, kontrolleres kryptografisk og arkiveres med et uforanderligt revisionsspor (audit trail) i jeres dokumenthåndteringssystem (DMS).
- Metode 2: Validering direkte i sproof sign-platformen Hvis du administrerer dokumenter i dit centrale sproof sign-dashboard, er et enkelt klik nok. Hold blot musen over signaturfeltet i dokumentredigeringsprogrammet. Værktøjet viser dig straks i et overlay, om underskriften er gyldig, hvilken sikkerhedsstandard (EES, FES, QES) der er tale om, og hvilken Trust Service Provider der har udstedt certifikatet.
- Metode 3: Manuel kontrol via Adobe Acrobat Reader Takket være den globale PAdES-standard kan LTV-kompatible (Long-Term Validation) signaturer også kontrolleres offline i Adobe Reader. Adobe bruger til dette formål de indlejrede revalideringsdata (CRL/OCSP) til at bekræfte underskriftens historiske gyldighed gennem årtier.
Sæt en stopper for den juridiske usikkerhed inden for dokumenthåndtering
Automatiser dine verifikationsprocesser og beskyt din virksomhed mod overtrædelser af lovgivningen. Med sproof Sign og sproof Validate vælger du en 100 % europæisk løsning – helt uden tilknytning til USA, fuldt ud i overensstemmelse med GDPR og certificeret i henhold til ISO 27001.
Aftal en uforpligtende demo-aftale nu eller prøv sproof sign gratis
Ofte stillede spørgsmål om emnet
-
+–Was ist der Unterschied zwischen der visuellen Unterschrift und dem digitalen Zertifikat?Das Bild der Unterschrift auf dem PDF dient rein der optischen Information für den Menschen. Rechtlich und technisch bindend ist… mere
Das Bild der Unterschrift auf dem PDF dient rein der optischen Information für den Menschen. Rechtlich und technisch bindend ist ausschließlich das digitale Zertifikat, das in den maschinenlesbaren Daten des PDF-Dokuments kryptografisch verankert ist. Ein reines Bild ohne Zertifikat bietet kaum Beweiskraft als elektronische Unterschrift.
-
+–Kann eine digitale Signatur geprüft werden, wenn keine Internetverbindung besteht?Ja, sofern die Unterschrift den Standard LTV (Long-Term Validation) unterstützt. Bei LTV-aktivierten Signaturen werden alle notwendigen Sperrinformationen des Zertifikats direkt… mere
Ja, sofern die Unterschrift den Standard LTV (Long-Term Validation) unterstützt. Bei LTV-aktivierten Signaturen werden alle notwendigen Sperrinformationen des Zertifikats direkt beim Signieren in das PDF eingebettet.
-
+–Was bedeutet es, wenn ein Prüftool meldet: „Identität des Ausstellers unbekannt“?Diese Meldung erscheint meist dann, wenn das Dokument mit einem Tool signiert wurde, dessen Stammzertifikat nicht in der EUTL-Liste der… mere
Diese Meldung erscheint meist dann, wenn das Dokument mit einem Tool signiert wurde, dessen Stammzertifikat nicht in der EUTL-Liste der EU oder im lokalen Windows/Adobe-Zertifikatsspeicher hinterlegt ist. Die Integrität des Dokuments kann zwar intakt sein, der Status als rechtssichere “Qualifizierte Elektronische Signatur” (QES) ist damit jedoch hinfällig.
-
+–Was passiert, wenn ein Dokument nach dem Signieren leicht verändert wird (z. B. durch das Hinzufügen einer Seitenzahl)?Sobald ein PDF-Dokument nach dem Aufbringen einer digitalen Signatur auch nur minimal verändert wird, bricht die kryptografische Siegelkette auf. Jedes… mere
Sobald ein PDF-Dokument nach dem Aufbringen einer digitalen Signatur auch nur minimal verändert wird, bricht die kryptografische Siegelkette auf. Jedes professionelle Prüftool meldet sofort, dass das Dokument manipuliert wurde und die Signatur somit ungültig ist. Bei sproof ist durch die tiefe Verankerung im PDF genau nachvollziehbar, ob und welche Änderungen im Nachgang vorschriftswidrig vorgenommen wurden.
-
+–Wie lang ist eine digitale Signatur gültig und überprüfbar?Standardmäßige Signaturen können nach dem Ablauf des zugrunde liegenden Zertifikats (meist nach 2 bis 3 Jahren) oft nicht mehr fehlerfrei… mere
Standardmäßige Signaturen können nach dem Ablauf des zugrunde liegenden Zertifikats (meist nach 2 bis 3 Jahren) oft nicht mehr fehlerfrei validiert werden. sproof Sign nutzt daher konsequent den LTV-Standard (Long-Term Validation). Hierbei werden die Sperrinformationen (wie CRL- oder OCSP-Listen) zum Zeitpunkt der Unterschrift direkt in das Dokument eingebettet. Dadurch lässt sich die Gültigkeit der Signatur auch noch nach Jahrzehnten revisionssicher und unabhängig vom Aussteller prüfen.
-
+–Kann man mehrere digitale Signaturen auf einem einzigen Dokument unabhängig voneinander prüfen?Ja. Wenn mehrere Personen ein Dokument nacheinander unterzeichnen (sequentieller Workflow), enthält das PDF eine Historie von sogenannten Revisionsständen. Ein Prüftool… mere
Ja. Wenn mehrere Personen ein Dokument nacheinander unterzeichnen (sequentieller Workflow), enthält das PDF eine Historie von sogenannten Revisionsständen. Ein Prüftool (z.B. sproof Validate) validiert jede Signatur einzeln für den Zustand des Dokuments, der zum jeweiligen Unterzeichnungszeitpunkt vorlag.
-
+–Warum ist der Prüfbericht (Audit Trail) für Compliance-Manager:innen so wichtig?Der Audit Trail (Prüfprotokoll) liefert die lückenlose, gerichtsverwertbare Historie des gesamten Signaturprozesses. Er dokumentiert, wann wer das Dokument eingesehen, freigegeben… mere
Der Audit Trail (Prüfprotokoll) liefert die lückenlose, gerichtsverwertbare Historie des gesamten Signaturprozesses. Er dokumentiert, wann wer das Dokument eingesehen, freigegeben und signiert hat, inklusive der genutzten Verifikationsmethode (z. B. Zwei-Faktor-Authentifizierung oder qualifizierte eID). Dieses Protokoll dient bei Audits oder rechtlichen Streitigkeiten als primärer Beweis dafür, dass die Signatur ordnungsgemäß zustande gekommen ist.




