Ist Adobe Sign eine sichere E-Signatur Lösung für Unternehmen?

Heute Morgen hat eine Nachbarin an meiner Tür geklingelt, einen USB-Stick in ihrer Hand und ein entschuldigendes Lächeln im Gesicht. “Haben Sie einen Drucker mit Scanfunktion? Ich muss dringend ein Dokument mit Unterschrift versenden und mein Drucker spinnt seit gestern.” Ich bejahe und bitte sie herein. In meinem Arbeitszimmer macht sie sich ans Werk, stöpselt ihren USB-Stick an den Computer, schmeißt den Drucker an und atmet erleichtert auf, als die gedruckten Blätter summend aus dem Gerät kommen. Nach der Unterzeichnung scannt sie alles und schickt es weg. Nachmittags klingelt es erneut an der Tür. “Darf ich noch mal an den Drucker? Auf dem Dokument war ein Fehler und ich muss alles noch einmal schicken”, entschuldigt sie sich und verdreht die Augen.

Solche oder ähnliche Situationen sind uns aus der Vergangenheit und auch jetzt im Home Office noch bekannt. Sie erraten wahrscheinlich, was ich meiner Nachbarin empfohlen habe. Ein gutes Tool für E-Signaturen spart Zeit und reduziert die Arbeitsschritte auf ein Minimum, denn dank des rein digitalen Workflows sind Ausdrucke nicht mehr notwendig. Einerseits wird dadurch der administrative Aufwand der Mitarbeiter*innen am Modern Workplace spürbar reduziert, andererseits werden Prozesse beschleunigt, etwa Vertragsabschlüsse oder die Erteilung von dringenden Genehmigungen. Die rechtliche Grundlage für digitale Unterschriften hat die europaweite eIDAS-Verordnung der EU bereits 2016 geschaffen. Was Unternehmen also noch fehlt, ist eine sichere und vertrauenswürdige E-Signatur Lösung. Die Frage, ob Adobe Sign ein passendes Tool ist, beantworte ich in diesem Beitrag ausführlich für Sie.


INHALT
Was ist Adobe Sign
Das Adobe Sign Ökosystem
Rechtskonformität mit Adobe Sign
Adobe Sign Architektur
Datenschutz & Datensicherheit
ROI-Steigerung mit Adobe Sign
Fazit

Was ist Adobe Sign?
Mit der cloud-basierten Software Adobe Sign für Unternehmen erstellen, unterschreiben, verfolgen und archivieren Sie Dokumente, ohne diese analog ausdrucken oder ablegen zu müssen. Adobe Sign unterstützt sowohl elektronische Unterschriften als auch digitale Signaturen und erfüllt dabei zahlreiche gesetzliche Auflagen. Mit einer elektronischen Unterschrift erklären Anwender*innen ihr Einverständnis oder ihre Genehmigung in einem digitalen Formular oder Dokument. Die digitale Signatur ist eine Spezialform der elektronischen Unterschrift unter Verwendung einer zertifikatbasierten ID, mit der sich der Unterzeichner identifizieren muss.

Wie vertrauenswürdig ist das Ökosystem von Adobe Sign?
Als Erstes denkt man bei Sicherheit eines Cloud-Dienstes wie Adobe Sign natürlich an eine sichere IT, d.h. der Schutz vor Cyber-Attacken oder vor Datenmissbrauch. Darüber hinaus spielen aber auch andere Sicherheitsaspekte eine essentielle Rolle, wenn es um die Entscheidung geht die Anwendung in den unternehmensrelevanten Systemen und Strukturen zu integrieren:

• Compliance:
  Mit Adobe Sign lassen sich digitale Dokumente an jedem Standort, zu jedem Zeitpunkt und von jedem Gerät aus erstellen, unterschreiben, verfolgen, verwalten und archivieren.
  
  
• Rechtsverbindlichkeit:
  Die E-Signatur Lösung von Adobe Document Cloud unterstützt elektronische Unterschriften und digitale Signaturen, die in der EU, den USA und den meisten Industrieländern rechtsverbindlich sind.
  
  
• Authentifizierung & Zertifizierung:
  Dank mehrerer Authentifizierungsmethoden sowie Zertifizierung von Dokumenten in Adobe Sign ist ein umfassender elektronischer Unterschriftenprozess gewährleistet.
  
  
• Technische & systemrelevante Sicherheit:
  Der Cloud-Dienst erfüllt neben relevanten gesetzlichen Auflagen und Branchenstandards auch hohe Sicherheitsstandards wie umfassende Prüfkontrollen auf mehreren Ebenen, neueste Verschlüsselungstechnologien und höchster Netzwerkschutz.

Obwohl es keine absolute Sicherheit geben kann, ist das Ökosystem von Adobe Sign für Unternehmen als sehr sicher und vertrauenswürdig einzuschätzen. Denn E-Signatur Lösung erfüllt sowohl die technischen und rechtsverbindlichen Sicherheitsanforderungen als auch die betriebswirtschaftliche Relevanz einer lohnenswerten Unternehmenslösung. Auf einzelne Aspekte möchte ich im Folgenden noch näher eingehen.

Wie hoch ist die rechtliche Sicherheit?
Im Jahr 2016 trat die eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste in Kraft und Artikel 25 stellt heute die rechtsverbindliche Grundlage für digitale Unterschriften in alle EU-Mitgliedsstaaten dar:

Artikel 25 - Rechtswirkung elektronischer Signaturen

1. Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.
2. Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.
3. Eine qualifizierte elektronische Signatur, die auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, wird in allen anderen Mitgliedstaaten als qualifizierte elektronische Signatur anerkannt. Quelle: eIDAS Portal

• Einfache elektronische Signatur:
  Die einfache E-Signatur ersetzt die handschriftliche Unterschrift, etwa durch Einfügen einer Grafik am Ende eines Dokuments oder einer E-Mail. In Unternehmen wird sie für formfreie Vereinbarungen, Bestellungen, Protokolle oder Dokumente des unternehmensinternen Verkehrs verwendet.
  
  
• Fortgeschrittene elektronische Signatur:
  Für die fortgeschrittene elektronische Signatur muss der Unterzeichner eindeutig authentifiziert und identifiziert sowie nachträgliche Manipulationen des Dokuments ausgeschlossen werden können. Dafür sind digitale Signaturverfahren wie ein einmaliger und geheimer Software-Schlüssel erforderlich. Im Geschäftsalltag findet sie dort Anwendung, wo Unterschriften im Falle eines Gerichtsverfahrens eine tragfähige Beweiskraft erhalten sollen.
  
  
• Qualifizierte elektronische Signatur:
  Bei der qualifizierten elektronischen Signatur muss der Unterzeichner über einen aktuellen öffentlichen Signaturschlüssel verfügen. Dafür identifiziert er oder sie sich bei einem Zertifizierungsdienstanbieter per Ausweisdokument und erhält ein Zertifikat, das i.d.R. 2-5 Jahre Gültigkeit besitzt. In Unternehmen wird diese qualifizierte E-Signatur etwa für Abrechnungen oder Dokumenten offizieller Einrichtungen wie Sozialversicherungsträger o.ä. notwendig.

Adobe Sign für Unternehmen bietet alle Funktionen, um rechtsgültige E-Signaturen in der EU sowie nach internationalem Standard durchzuführen. Die rechtlich bedingte Sicherheit mit Adobe Sign ist für Unternehmen also sehr hoch.

Wie hoch ist die technische Sicherheit von Adobe Sign?
In Bezug auf IT-Sicherheit einer Software spielen mehrere Faktoren eine entscheidende Rolle, so auch bei Adobe Sign für Unternehmen:

1. Architektur:
   Um Transaktionen performant und in großem Umfang zu skalieren sowie zu verarbeiten, werden die Daten in verteilten, redundanten Datenbank-Clustern gespeichert, die wiederum durch mehrer Werkzeuge überwacht werden. (s. Abb. 1) So finden unter anderem auf der Service-Ebene Kontrollen für API-Schnittstellen der Client- und Webservices statt, Anfragen und Traffic werden verwaltet und Cyber-Angriffe abgewehrt. Auf der Business-Ebene überprüft die Capability-basierte Sicherheit, welche Ressourcen verfügbar sind und welche entsprechenden Vorgänge durch authentifizierte Anwender*innen oder Apps ausgeführt werden dürfen. Um Phishing oder Spamming beim E-Mail-Verkehr zu vermeiden, ermöglicht Adobe Sign die Authentifizierung mithilfe von bewährten Systemen, z.B. DKIM (Domain Key Identified Mail) und SPF (Sender Policy Framework).
   
   [Abb. 1: Logische Architektur von Adobe Sign, Quelle: Technische Überblick über Adobe Sign]
   
   
2. Identitätsmanagement:
   Für ein sicheres Identitätsmanagement setzt Adobe Sign auf verschiedene lizenzierte und/oder verifizierte Anwenderrollen, wie u.a. Absender, Unterzeichner und Genehmiger, sowie mehrere Ein- und Multi-Faktor-Authentifizierungsmethoden. Die Adobe Sign ID basiert beispielsweise auf der Verifizierung der E-Mail-Adresse plus Kennwort eines*r lizenzierten Anwenders*in. Für höhere Sicherheitsstandards stehen zusätzliche Authentifizierungsmöglichkeiten wie SMS, Telefon oder KBA (Knowledge-Based Authentification) zur Verfügung.
   
   
3. Zertifizierung von Dokumenten:
   Damit die Integrität und Vertraulichkeit jedes einzelnen Dokuments garantiert ist, werden finale PDF-Dokumente über eine PKI (Public Key Infrastructure) mit einer digitalen Signatur zertifiziert. Die PKI-Schlüssel speichert Adobe in einem speziellen Hardware-Sicherheitsmodul, um Cyberkriminalität vorzubeugen. Zusätzlich können Anwender*innen die Datei durch ein persönliches Kennwort schützen.
   
   
4. Netzwerksicherheit:
   Die komplexe Sicherheitsarchitektur von Adobe Sign besteht aus extern erreichbaren Webserver und Mailserver (davon 3-4 in Europa), virtuellen Cloud-Netzwerken ohne Verbindung zu anderen Adobe Sign-Instanzen sowie privaten und öffentlichen Subnetzen und verschiedenen Client-Endpunkten. (vgl. Abb. 2) Jede Komponente verfügt über eigene sicherheitsrelevante Standards, was in Summe eine hohe Netzwerksicherheit bedeutet.
   
   [Abb. 2: Sicherheitsarchitektur, Quelle: Technischer Überblick über Adobe Sign]
   
   
5. Netzwerkschutz:
   Neueste Firewall-Technologien und andere Überwachungs-Tools an allen Netzwerkpunkten überprüfen und erkennen ungewöhnliche bzw. gefährliche Aktivitäten, sodass sich typische Sicherheitsrisiken wie DDoS-Angriffe oder IP-Spoofing vermeiden lassen.
   
   
6. Verschlüsselung:
   Bei Adobe Sign werden Dokumente im Ruhemodus mit 256-Bit-AES verschlüsselt und in verschlüsselten Storage-Containern gesichert. Nur berechtigte Anwender*innen haben Zugriff auf diese Dateien. Die Sicherheitsschlüssel werden ebenfalls in einer sicheren Umgebung mit eingeschränktem Zugriff gespeichert.
   
   
7. Risikokontrolle:
   Mithilfe von Penetrationstests und proaktiven Sicherheitsmaßnahmen versucht Adobe potenzielle Sicherheitslücken frühzeitig aufzudecken und zu schließen. Regionale Disaster-Recovery-Pläne in den USA und Europa stellen die betriebliche Kontinuität und hohe Verfügbarkeit der Adobe Sign Dienste sicher. Für seine Kunden strebt der Anbieter eine RPO (Recovery Point Objective) von 2 Stunden sowie eine RTO (Recovery Time Objective) von 8 Stunden an. Um Kundendaten korrekt zu isolieren und zu schützen, müssen alle Partner von Adobe Sign strenge Sicherheits- und Kontrollmechanismen anwenden.

Wie gut sind Datenschutz & Datensicherheit von Adobe Sign?
Die Datenschutz und Datensicherheit von Adobe Sign für Unternehmen sind insgesamt sehr hoch, denn während des gesamten Produktzyklus kommen zahlreiche Methoden, Prozesse und Werkzeuge zum Einsatz, die höchste Sicherheitsstandards erfüllen. Das SPLC-Programm (Secure Product Lifecycle) von Adobe umfasst etwa folgende Vorkehrungen:

• führende Sicherheitstechnologien zur Authentifizierung und Identifizierung von unterzeichnenden Personen sowie zur Wahrung der Vertraulichkeit von Daten und Integrität von Dokumenten
• in Rechenzentren der Kategorie “Tier 4” (ANISI) gehostete & von Amazon Web Services und Microsoft Azure verwaltete Service-Infrastruktur
• Überprüfung der Compliance-Nachweise, z.B. SOC 2 Type-2 und ISO 27001-Berichte
• Überwachung aller Komponenten mithilfe von IDS-Lösungen (Intrusion Detection Systems) und IPS-Systemen (Intrusion Prevention Systems)
• Zugriff nur für sehr ausgewählte Personengruppen, etwa autorisierte Mitarbeiter von Adobe oder zertifizierten Partnern, z.B. bei der Performance-Überwachung oder technischen Support-Anfragen

Wie steigert Adobe Sign den ROI?
Neben technischen und rechtsverbindlichen Sicherheitsaspekten stellt sich in Unternehmen natürlich auch immer die Frage, welchen Mehrwert ein neues Tool denn eigentlich hat. Die aktuellen Ergebnisse des Forrester Report Total Economic Impact of Adobe Sign zeigen, dass die moderne E-Signatur Lösung durchaus positive Auswirkungen auf die betriebswirtschaftliche Erfolgssicherung haben kann.

Durch den Einsatz von Adobe Sign für Unternehmen verzeichnen Organisationen eine Steigerung des ROI (Return of Investment) um bis zu 420% (vgl. Abb. 3 & 4) Dies beruht grundlegend auf 2 Prozessoptimierungen:

• 28-mal kürzere Time-to-Business
  Der typische Workflow eines Kaufvertrags umfasst ca. 32 Schritte, von denen 15 manuell ausgeführt werden müssen. Wenn wir an meine Nachbarin denken, dann zählen hierzu mindestens 2-maliges Ausdrucken und Scannen, mehrfacher E-Mail-Versand, Review-Schleifen und Freigaben. Der Workflow mit Adobe Sign für denselben Kaufvertrag umfasst nur mehr 7 digitale und 0 manuelle Schritte aufgrund von automatisierten sowie synchronen Bearbeitungsfunktionen.
  
  
• 125 Stunden Arbeitszeitersparnis pro Benutzer und Jahr
  Bereits ab dem 3. Jahr verzeichnen Organisationen jährlich rund 125 Stunden Zeitersparnis pro Anwender*in.

Abb. 3 & 4: Typischer Workflow und neuer Workflow mit Adobe Sign, Quelle: Adobe Sign deutsch]

Insgesamt lässt sich also eine deutlich kürzere Zykluszeit für jedes einzelne zu unterzeichnende Dokument sowie erkennbare Zeit- und Ressourceneinsparung verzeichnen. In Summe bedeutet dies eine bemerkenswerte Effizienzsteigerung der Unternehmensprozesse sowie eine spürbar höhere Kundenzufriedenheit.

FAZIT: Adobe Sign ist eine sichere E-Signatur Lösung für Unternehmen
Adobe Sign ist eine sehr sichere E-Signatur Lösung für Unternehmen. Sowohl aus Sicht der IT-Sicherheit als auch auch mit Blick auf rechtsverbindliche Grundlagen sowie auf die betriebswirtschaftliche Erfolgssicherung. Der Schritt in Richtung papierlosem Büro ist verhältnismäßig schnell und risikofrei, denn Sie können das E-Signatur Tool einfach in einer Abteilung ausprobieren, da nur die einzeln durchgeführten Transaktionen abgerechnet werden. Es ist also weder eine anfängliche Investition noch der Kauf einer vertraglich gebundenen Lizenz erforderlich.

Probieren Sie Adobe Sign einfach aus.
Dabei unterstütze ich Sie gerne und freue mich auf ein persönliches Gespräch mit Ihnen.