Digitale Signaturen

Aufgrund der immer stärker fortschreitenden Digitalisierung, auch in Bezug auf Instituts-interne oder auch -übergreifende Arbeitsabläufe wird der Bedarf nach der Sicherstellung von ausgetauschten Informationen und deren absendenden Instanzen immer größer. Um diesem Bedarf entgegenzukommen, ist der Einsatz von personenbezogenen Sicherheitszertifikaten sinnvoll, um Dokumente und E-Mails digital signieren zu können. Der allgemeine Umgang mit personenbezogenen Sicherheitszertifikaten am DESY wird im Folgenden sowie auf weiteren Webseiten erläutert.

Hierzu werden vorerst die wichtigsten Fragen beantwortet, was besonders im Umgang mit diesen beachten werden sollte und in welcher Form digitale Signaturen nutzbar sind. In den weiterführenden Links wird weiterhin beschrieben, wie man digitale Signaturen beantragen und auf seinem Rechner (vorerst nur Windows) installieren kann. Im letzten Punkt wird darauf eingegangen, wie digitale Signaturen beim Nachrichtenverkehr und in verschiedenen Dokumenten (wie Word, Excel oder PDF) anwendbar sind.

Allgemeines

Was ist ein personenbezogenes Sicherheitszertifikat?

Personenbezogene Sicherheitszertifikate (sog. Nutzerzertifikate) sind personenbezogene digitale Zertifikatsdateien, mit denen sich Nutzer*innen digital ausweisen können. Ein solches Zertifikat ist insofern gewissermaßen das Äquivalent eines Personalausweises und dient dazu, diesen digitalen Personalausweis eindeutig einer Person zuzuordnen. Diese Zuordnung wird von einer Zertifizierungsstelle beglaubigt, indem sie das Zertifikat mit ihrer eigenen digitalen Unterschrift versieht.

Dieser digitale Personalausweis kann in vielen Programmen und Browsern z.B. zum Signieren und Verschlüsseln von E-Mails eingesetzt werden.

Ein Sicherheitszertifikat liegt der Person, der das Zertifikat gehört, in Form einer Datei vor. Diese Datei hat üblicherweise die Endung .p12, in manchen Fällen kann sie auch das Windows-spezifische Format .pfx beispielsweise tragen. Neben diesen Formaten gibt es noch weitere Datei-Endungen, die eine Zertifikatsdatei ggf. tragen kann.

Was ist eine digitale Signatur?

Mithilfe eines personenbezogenen Sicherheitszertifikates können E-Mails oder auch Dokumente (z.B. PDFs oder Word Dokumente) digital unterschrieben (signiert) werden. Durch die digitale Signatur gewährleistet die versendende Person, dass die E-Mails oder Dateien von ihr verfasst und beim Übermitteln nicht verändert wurden. Die digitale Signatur ist damit in etwa vergleichbar mit der Unterschrift auf einem Papierdokument. - Sie versichert die Echtheit der Person, die als Absender angegeben ist.

Weshalb ist der Einsatz digitaler Signaturen sinnvoll?
Mithilfe von digitalen Signaturen kann bei Bedarf das aufwendige Drucken, Unterschreiben und erneutes Einscannen wichtiger Dokumente vermieden werden. Haben Sie ein persönliches Sicherheitszertifikat und verwenden eine Anwendung, mit der es möglich ist, die erforderlichen Dokumente digital zu signieren, ist dies ein entsprechend schnellerer und unkomplizierterer Weg für eine Unterschrift.

Insbesondere im E-Mail-Verkehr können digitale Signaturen zudem das Risiko erfolgreicher Phishing-Angriffe verringern. Da Phishing E-Mails immer echter und realistischer aussehen, kann die digitale Unterschrift von E-Mails dabei helfen, echte von unechten E-Mails zu unterscheiden.

DO's AND DON'T's

Sichern Sie Ihre Zertifikatsdatei

Speichern Sie Ihre Zertifikatsdatei sicher ab (auch abgelaufene Zertifikate). Hierfür bietet sich beispielsweise das Laufwerk H: an oder auch Ihr persönliches AFS-Verzeichnis. Der Vorteil bei diesen zentralen Speichersystemen ist, dass von den dort abgespeicherten Daten täglich eine Sicherung erzeugt wird. So müssen Sie nicht befürchten, dass Ihre Zertifikatsdatei plötzlich nicht mehr zugänglich ist, wenn beispielsweise Ihr Rechner einmal neu installiert wird oder ihre lokale Festplatte defekt ist. Ein Speichern der Zertifikatsdatei lokal auf Ihrem Rechner ist daher nicht empfehlenswert.

Vermeiden Sie Verschlüsselung

Wir raten Ihnen dringend von der Verschlüsselung von Dateien, E-Mails oder anderen Daten ab! Hintergrund hier ist, dass diese Daten unwiderruflich verloren sind, sollten Sie Ihre Zertifikatsdatei verlieren. Auch wenn Ihr Zertifikat abgelaufen ist und Sie bereits ein neues Zertifikat verwenden, müssen Sie im Besitz der alten Zertifikatsdatei sein, um weiterhin auf Ihre älteren verschlüsselten E-Mails und Dokumente zugreifen zu können.

Sollte Ihnen die erforderliche Zertifikatsdatei abhandengekommen sein, kann auch DESY-IT nicht bei der Wiederherstellung der Daten helfen.

Personenbezogenes Sicherheitszertifikat beantragen

Bevor Sie Ihre E-Mails oder Dokumente digital unterschreiben können, benötigen Sie ein personenbezogenes Sicherheitszertifikat (sog. Nutzerzertifikat).

Eine Schritt-für-Schritt-Anleitung zur Beantragung und der Installation Ihres personenbezogenen Sicherheitszertifkates finden Sie auf folgender Webseite:

https://it.desy.de/dienste/uco/dokumentation/digitale_signaturen/nutzerzertifikat_beantragen/

Zertifikatsdatei einsetzen

Ihre Zertifikatsdatei können Sie in zahlreichen Programmen verwenden. So ist es Ihnen beispielsweise möglich, E-Mails oder verschiedene Dokumente zu signieren. Hierbei wird Ihr Zertifikat mit der zu signierenden E-Mail oder dem Dokument verbunden und so digital bestätigt, dass Sie die Datei digital signiert haben. Sollten Änderungen im Dokument vorgenommen werden, wird Ihre Unterschrift automatisch aus dem Dokument entfernt.

Informationen zur Verwendung Ihrer Zertifikatsdatei für unterschiedliche Anwendungszwecke finden Sie auf den folgenden Webseiten:

E-Mails digital signieren

https://it.desy.de/dienste/uco/dokumentation/digitale_signaturen/e_mails_digital_signieren

Dokumente digital signieren

Das Signieren von Dokumenten ist mit Nutzerzertifkaten des Anbieters Geant/Sectigo zurzeit leider nicht möglich. Das interne Signieren von Dokumenten ist normalerweise auch nicht erforderlich bzw. reichen hier digitale Workflows wie z.B. solche die via GO oder FMS abbildbar sind. Sollten digitale Signaturen auf Dokumenten erforderlich sein und keine andere Lösung infrage kommen, muss der Einsatz einer Drittanbieter Software in Erwägung gezogen werden.

Digitale Signaturen überprüfen

Wenn Sie selber signierte E-Mails oder Dokumente erhalten, sollten Sie prüfen, ob die digitale Signatur der absendenden Person gültig ist. Wie Sie dies in unterschiedlichen Anwendungen tun können, ist auf folgender Webseite beschrieben:

https://it.desy.de/dienste/uco/dokumentation/digitale_signaturen/e_mail_signaturen_pruefen

Daten verschlüsseln

Wir raten Ihnen dringend von der Verschlüsselung von Dateien, E-Mails oder anderen Daten ab! Hintergrund hier ist, dass diese Daten unwiderruflich verloren sind, sollten Sie Ihre Zertifikatsdatei verlieren. Auch wenn Ihr Zertifikat abgelaufen ist und Sie bereits ein neues Zertifikat verwenden, müssen Sie im Besitz der alten Zertifikatsdatei sein, um weiterhin auf Ihre älteren verschlüsselten E-Mails und Dokumente zugreifen zu können.

Sollte Ihnen die erforderliche Zertifikatsdatei abhandengekommen sein, kann auch DESY-IT nicht bei der Wiederherstellung der Daten helfen.