Digitale Signaturen und Verwaltungsdokumente:
Warum sie ohne Zeitstempel ablaufen

Das wenig bekannte Problem digitaler Signaturen

Wenn ein Dokument mit einem italienischen qualifizierten Zertifikat digital signiert wird, ist die Signatur gültig und überprüfbar, solange das Zertifikat gültig ist. Von italienischen TSPs (ArubaPEC, InfoCert, Namirial, PosteCom) ausgestellte qualifizierte Zertifikate haben typischerweise eine Laufzeit von drei Jahren. Nach Ablauf gibt jedes Überprüfungstool (Aruba Sign, Dike, FirmaCerta, AgID-Dienste) «Signatur nicht gültig» auf diesen Dokumenten zurück.

Die technische Überprüfung ist korrekt: Zum Zeitpunkt der Prüfung ist das Zertifikat nicht mehr gültig, und ohne eine unabhängige Bescheinigung, die beweist, wann die Signatur tatsächlich angebracht wurde, kann der Verifizierer nicht zwischen einer legitimen Signatur (angebracht während der Zertifikatsgültigkeit) und einer betrügerischen (angebracht nach Ablauf mit einem kompromittierten Zertifikat) unterscheiden.

Die von der eIDAS-Verordnung (EU 910/2014) und dem italienischen Kodex für die digitale Verwaltung (CAD, Art. 20) vorgesehene Lösung ist der qualifizierte Zeitstempel: eine von einer Time Stamping Authority (TSA) ausgestellte Bescheinigung, die rechtlich bindend Datum und Uhrzeit der Signaturanbringung bescheinigt. Mit dem Zeitstempel bleibt die Signatur auch nach Ablauf des Zertifikats des Unterzeichners zeitlich gültig.

Die vier CAdES-Signaturstufen

Das durch ETSI EN 319 122 standardisierte CAdES-Format (CMS Advanced Electronic Signatures) sieht vier Stufen zunehmender Haltbarkeit vor. Die typische Datei mit der Erweiterung .p7m kann zu einer dieser Stufen gehören:

• 1CAdES-BES (Basic Electronic Signature) — minimal konforme Signatur, enthält die kryptographische Signatur, das Zertifikat des Unterzeichners und ein signingTime-Attribut vom Unterzeichner selbst deklariert (nicht zertifiziert). Es ist der Standard der meisten Desktop-Tools. Nur gültig, solange das Zertifikat gültig ist.
• 2CAdES-T (Timestamped) — fügt einen von einer TSA ausgestellten qualifizierten Zeitstempel hinzu. Der Stempel wird in den unsignierten Attributen des PKCS#7-Umschlags angebracht und ist rechtlich einklagbar. Bleibt über den Ablauf des Signaturzertifikats hinaus überprüfbar, bis zum Ablauf des TSA-Zertifikats selbst (typischerweise 5-10 Jahre).
• 3CAdES-LT (Long Term) — enthält Zeitstempel + alle Widerrufsinformationen (CRL oder OCSP-Antwort) zum Zeitpunkt der Signatur. Ermöglicht die zukünftige Überprüfung der Signatur auch wenn die ursprünglichen CAs nicht mehr erreichbar sind. Geeignet für Jahrzehntverträge.
• 4CAdES-LTA (Long Term Archival) — fügt einen periodischen Re-Timestamping- Mechanismus hinzu, der vor kryptographischer Obsoleszenz schützt. Es ist die Stufe, die von qualifizierten Ersatzkonservierungsdiensten für mehrjährige Archivierung verwendet wird.

Für PDFs gibt es ein entsprechendes spezifisches Format: PAdES (PDF Advanced Electronic Signatures), mit denselben Stufen BES / T / LT / LTA. PAdES hat den Vorteil, die Signatur in das PDF selbst zu integrieren, sodass es auch ohne externe Tools von Acrobat Reader geöffnet werden kann.

Wie man überprüft, ob die eigene Signatur einen Zeitstempel hat

Die Überprüfung der eigenen Signaturstufe ist einfach und erfordert keine kommerziellen Tools. Mit openssl (verfügbar unter Linux, macOS und Windows) können alle Attribute einer .p7m-Datei untersucht werden:

openssl cms -cmsout -inform DER -in dokument.pdf.p7m -print

Worauf in der Ausgabe zu achten ist:

• Unter signedAttrs muss signingTime (das deklarierte Datum) und idealerweise signingCertificateV2 (Hash des Zertifikats des Unterzeichners) erscheinen.
• Unter unsignedAttrs muss für CAdES-T signatureTimeStampToken (OID 1.2.840.113549.1.9.16.2.14) erscheinen. Wenn die Ausgabe <ABSENT> anzeigt, ist die Signatur auf BES-Niveau (ohne Zeitstempel).
• Für CAdES-LT/LTA sollten auch certificate-values und revocation-values gesucht werden.

Die drei Risiken der Online-Veröffentlichung signierter Dokumente

Für Unternehmen, die die öffentliche Verwaltung bedienen, ist es gängige Praxis, einige digital signierte Verwaltungsdokumente online zu veröffentlichen (Ersatzerklärung DURC, Rückverfolgbarkeit von Finanzströmen, Eigenerklärungen), um die Vertragsgestaltung mit RUPs und Beschaffungsstellen zu erleichtern. Es ist eine effiziente Praxis, birgt jedoch drei unterschiedliche Risiken, die oft nicht gemeinsam betrachtet werden.

• 1Exposition sensibler personenbezogener Daten — die Rückverfolgbarkeit der Finanzströme enthält die dedizierte Unternehmens-IBAN, die Steuernummern der zur Bewegung berechtigten Personen, die persönliche Wohnadresse des gesetzlichen Vertreters. Diese Daten in Aggregation bilden das Basiskit für BEC-Betrug (Business Email Compromise), gezielte Phishing-Versuche und Identitätsdiebstahlversuche. Der DSGVO-Grundsatz der Datenminimierung (Art. 5) empfiehlt, keine Daten offenzulegen, die nicht unbedingt erforderlich sind.
• 2Stiller Signaturablauf— wenn das Dokument in CAdES-BES (ohne Zeitstempel) signiert ist, wird die Signatur bei Ablauf des Zertifikats (typischerweise 3 Jahre) nicht mehr überprüfbar. Das Dokument bleibt online, herunterladbar, scheinbar gültig, aber jeder automatische Verifizierer stuft es als «Signatur nicht gültig» ein. Ein RUP, der es für ein Vergabeverfahren verwenden wollte, würde sich mit einem unbrauchbaren Dokument wiederfinden.
• 3Obsoleszenz der deklarierten Daten — INPS/INAIL-Registrierungsnummern können sich ändern, dedizierte IBANs für Aufträge können aktualisiert werden, der angewendete Tarifvertrag kann variieren, neue Verwalter können beitreten. Ein vor drei Jahren veröffentlichtes Dokument könnte Informationen enthalten, die nicht mehr genau sind, mit Auswirkungen auf die materielle Gültigkeit der Erklärung.

Wie man den Zeitstempel korrekt aktiviert

Die wichtigsten italienischen TSPs bieten qualifizierte Zeitstempeldienste an, die mit den am weitesten verbreiteten Signaturtools integrierbar sind. Die Kosten sind gering (typischerweise 20-50 Euro pro Jahr für ein KMU) und die Aktivierung erfordert wenige Minuten Konfiguration.

• 1Zeitstempelpaket erwerben— TSPs verkaufen Pakete von 100, 250 oder 500 Zeitstempeln mit mehrjähriger Gültigkeit. Bei ArubaPEC heißt der Dienst «Aruba TimeStamp», bei InfoCert ist er in «InfoCert Sign» integriert, bei Namirial ist er Teil von «DigitalSign». Kosten ab 15-25 Euro für 100 Zeitstempel.
• 2Signaturtool konfigurieren — in den Einstellungen des Tools (Aruba Sign, Dike GoSign, FirmaCerta, DigitalSign) TSA-Anmeldeinformationen eingeben und CAdES-T oder PAdES-T als Standardsignaturstufe auswählen. Von diesem Moment an enthält jedes signierte Dokument automatisch einen Zeitstempel.
• 3Ergebnis überprüfen — nach der Konfiguration ein Testdokument signieren und mit dem Überprüfungstool oder mit openssl untersuchen. Das Attribut signatureTimeStampToken muss in den unsignierten Attributen erscheinen. Auch das Datum des Zeitstempels überprüfen: Es sollte (annähernd) mit dem Zeitpunkt der Signatur übereinstimmen.
• 4Für Langzeitarchivierung — wenn Dokumente über 5-10 Jahre aufbewahrt werden müssen (Bilanzen, mehrjährige Verträge, Gesellschaftsverträge, Gesellschafterbeschlüsse), einen qualifizierten Ersatzkonservierungsdienst in Betracht ziehen, der periodisches Re-Timestamping und Aktualisierung der Widerrufsinformationen (CAdES-LTA) garantiert.

Das korrekte Muster für Verwaltungsdokumente der PA

Unter Berücksichtigung der drei Risiken — Datenschutz, Ablauf und Obsoleszenz — ist das solideste operative Muster für Unternehmen, die die PA bedienen, auf die öffentliche Veröffentlichung signierter Dokumente zu verzichten und stattdessen ein anforderungsbasiertes Modell einzuführen:

• Eine öffentliche Seite listet die verfügbaren Dokumente auf (Ersatzerklärung DURC, Rückverfolgbarkeit von Finanzströmen, Antimafia-Erklärung, allgemeine Anforderungen, Handelsregisterauszug) mit den normativen Referenzen, aber veröffentlicht die signierten PDFs nicht.
• Ein dedizierter Kontaktkanal (typischerweise eine spezifische PA-E-Mail) erhält die Anfragen von RUPs und antwortet mit frisch signierten Dokumenten, mit aktuellem Zertifikat und aktualisierten Daten, in garantierten Zeiten (24-48 Arbeitsstunden).
• Nur die rein öffentlichen Dokumente (ISO-Zertifizierungen, ACN-Bescheinigungen, Handelsbroschüren) bleiben von der Website herunterladbar: Sie sind dafür konzipiert, verbreitet zu werden, enthalten keine sensiblen personenbezogenen Daten und sind ohne Auswirkungen erneuerbar.

Dieses Modell steht im Einklang mit dem DSGVO-Grundsatz der Datenminimierung (Art. 5), reduziert die Angriffsfläche für BEC-Betrug und Phishing, eliminiert das Risiko von Dokumenten mit still abgelaufener Signatur und hält die Dokumentation immer relevant für das spezifische Vergabeverfahren.

Der AtWorkStudio-Ansatz

AtWorkStudio hat sich entschieden, keine signierten Verwaltungsdokumente online zu veröffentlichen, aus den dargelegten Gründen. Wer Dokumentation für die Vertragsgestaltung über MePA, Consip-Konventionen oder Direktverhandlungen benötigt, kann an pa@atworkstudio.it schreiben: Er erhält innerhalb von 24 Arbeitsstunden die mit aktuellem Zertifikat und Zeitstempel signierten Dokumente, die für das spezifische Verfahren relevant sind.

Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, mit ACN QC1-Qualifikation für drei Cloud-Dienste im PA-Katalog. Wir sind Mitglieder von Clusit (Italienischer Verband für Informationssicherheit) und Confindustria Piacenza (RICT-Cluster).