FAQ

Was bedeutet die Fehlermeldung: “Serial Number Mismatch. We strongly advise to go through the Pre-Signing Process in order to retrieve the actual StepUp SerialNumber“. Diese Fehlermeldung deutet darauf hin, dass bei einem PWD/OTP Prozess das Passwort zurückgesetzt und neu gewählt wurde ohne eine neue Identifikation mit entsprechendem Step-up Process gemäss Reference Guide durchzuführen. Häufig passiert dieser Fehler, wenn die SIM Karte gewechselt wird oder auf Mobile ID App gewechselt wird. Es ist sehr wichtig, dass bei einer Aktivierung einer neuen SIM Karte oder der Aktivierung der Mobile ID App (sofern man vorher Mobile ID genutzt hat) die Wiederherstellungsoption gewählt wird (mobileid.ch).

Ich habe korrekt mich mit PWD/OTP, Mobile ID oder Mobile ID App authentifiziert – dennoch funktionierte die Signatur nicht … was kann die Ursache sein?

Ursachen sind:

• Sie haben beim PWD/OTP Verfahren ein neues Passwort gesetzt. Das darf nur in Ausnahmesituationen bei einer internen Registrierungsstelle durchgeführt werden und muss sonst immer im Rahmen einer Neuidentifikation stattfinden.
• Sie hatten bisher mit PWD/OTP authentifiziert und haben nun mit einer Schweizer Mobilfunknummer ihre Mobile ID oder international die Mobile ID App freigeschaltet. In diesem Fall muss auch eine Neuidentifikation stattfinden, da sich das zur Identität gehörende Authentifizierungsmittel geändert hat.
• Sie haben die SIM gewechselt, bzw. den Mobilfunkprovider. Dadurch hat sich bei einem MobileID Einsatz die MobileID Authentifizierung geändert. Hierfür ist ebenfalls eine Neuidentifikation notwendig
• Liegt keiner dieser Ursachen vor, sollten Sie ein Ticket eröffnen.

Häufig beziehen sich die Meldungen auf die fehlende Integrität, d.h. das Dokument weist Änderungen nach Setzen der Signatur auf. Z.B. wurden Elemente aus dem Netz nachträglich noch eingesetzt. Das kann vermieden werden, indem konsequent der PDF/A Standard PADES in letzter Ausprägung zur Signatur verwendet wird. Hinweise zur korrekten Bildung eines PADES Dokumentes finden Sie hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Es gilt zu beachten, dass die Validatoren EU weit noch nicht harmonisiert sind. D.h. Prüfportale können eine elektronische qualifizierte Signatur als “ungültig” darstellen, obwohl diese den Anforderungen an die eIDAS Verodnung genügt. Seitens der EU wird an der Harmonisierung gearbeitet.

“Unterschrift ist gültig jedoch konnte die Sperrung der Identität des Unterzeichners nicht überprüft werden” lautet die Aussage von Adobe, wenn kein LTV Format verwendet wurde. Hintergrund ist, dass dann Adobe bei einem 10 Minuten Zertifikat noch versucht die Gültigkeit zu prüfen. Wurde kein Langzeitvalidierungsformat verwendet, welches die Gültigkeitsinformationen zum Zeitpunkt der Signatur abspeichert, kann auf diese nach einiger Zeit nicht mehr zugegriffen werden. Daher sind Signaturen mit Kurzzeitzertifikaten (aber auch langzeitbeweisbare Signaturen) immer im LTV Format abzuspeichern. Hinweise finden Sie unter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Diese Nachricht wird in zwei Fällen ausgelöst:

a) wenn Sie gerade mit der Swisscom RA App identifiziert wurden und vorgängig bei Ihrem Authentisierungsmittel eine Änderung stattgefunden hat (SIM Karte/Vertrags- Wechsel, Mobile ID Reset, Passwort für die Signatur wurde geändert, Wechsel von PWD/OTP auf Mobile ID)

In diesem Fall ist alles OK und Sie können weiter wie gewohnt bis zu stufe qualifiziert signieren. Sie müssen nichts tun.

b) wenn neue Nutzungsbestimmungen zur Verfügung stehen, die akzeptiert werden müssen und seit der letzten erfolgreichen Signatur bei Ihrem Authentisierungsmittel eine Änderung stattgefunden hat (SIM Karte/Vertrags- Wechsel, Mobile ID Reset, Passwort für die Signatur wurde geändert, Wechsel von PWD/OTP auf Mobile ID)

In dem Fall müssen Sie zwingend neu identifiziert werden um Qualifiziert signieren zu können.

Der verify Call zur Überprüfung, ob eine Person dem RA-Service bekannt ist, gibt folgende Fehlermeldung zurück:

{

“statusCode”: 404,

“message”: “Cannot check jurisdiction of unknown user with msisdn XXXXXXXXX”,

“exceptionClass”: “EvidenceVerificationException”

}

Das ist ein Zeichen, dass diese Person dem RA-Service nicht bekannt ist. Es kann sein, dass sie zwar identifiziert wurde, aber die per SMS zugesandten Nutzungsbedingungen nicht akzeptiert hat. Dann wird die Person nach kurzer Zeit (ca. 2 Wochen) gelöscht.

Auf dieser Signatur Check Seite können Sie jederzeit prüfen, ob Sie elektronisch signieren können oder Sie eine neue Registrierung benötigen:

https://check-signature.scapp.swisscom.com/

Bei einem positiven Ergebnis wird Ihnen angezeigt, mit welcher Signaturart (QES, FES) und in welchem Rechtsraum (EU, Schweiz) Sie elektronisch signieren können.

Bei einem negativen Ergebnis wird Ihnen der Grund für eine erneute Registrierung und Identifikation für die elektronische Signatur angezeigt.

Um elektronisch signieren zu können müssen Sie bei einem Vertrauensdienst angemeldet sein. Dieser muss Sie mit speziellen, auditieren Verfahren vor Ort oder aus der Ferne eindeutig identifizieren und Ihnen ein Mittel übergeben, mit dem Sie zukünftig Signaturen freigeben können, sozusagen ein “digitaler Stift” zum Signieren. Damit ersparen Sie sich, dass Sie jedes Mal sich identifizieren müssen.

Die Freigabemittel (Fachsprache auch “Authentisierungsmittel”) können folgende sein:

• Eine App auf Ihrem Handy, die jedes Mal automatisch aktiviert wird, sobald Sie eine elektronische Signatur durchführen wollen. Diese fragt Sie z.B. nach einem Fingerabdruck auf Ihrem Fingerabdruckleser Ihres Handys (“Fingerprint”) oder ein Bild Ihres Gesichtes (“Face-ID”). Eine solche App ist z.B. Mobile ID, die Ihnen Swisscom kostenfrei zur Verfügung stellt. Sofern Sie nicht in der Schweiz wohnen, müssen Sie die Mobile ID App zunächst in Ihrem App-Store herunterladen und auf Ihrem Handy installieren, bevor Sie sie zur Registrierung nutzen können. Auf Schweizer SIM Karte ist eine Mobile-ID Applikation bereits installiert, die ggfs. Nur über die Seite https://mobileid.ch aktiviert werden muss.
• Sofern Sie keine App installieren wollen, wird die Signaturapplikation Sie stattdessen nach einem Passwort fragen und Ihnen eine SMS mit einem Einmalcode zusenden, den Sie in ein passendes Eingabefeld der Signaturapplikation eingeben müssen. Das Passwort wird im Registrierungsprozess erstmalig gesetzt. Sie können mit diesem Verfahren direct den Identifikationsprozess bei unseren Partnern starten, müssen aber dafür für jede Signatur immer gut Ihr Passwort Wissen!

Sie haben somit häufig mit 2 Apps oder zwei Programmen zu tun:

• Die App oder das Programm unseres Identifikationspartners, das Sie identifiziert. Mit der App oder dem Programm haben Sie nach der Identifikation lange Zeit nichts mehr zu tun, Sie können im Falle einer App diese auch wieder von Ihrem Handy deinstallieren, sofern Ihre Registrierung gut verlaufen ist!
• Die App oder die Passwort-Einmalcode Kombination, die Sie später zur Freigabe der Signatur benötigen. Diese wird während des Identifikationsprozesses erstmalig verwendet, damit Ihre Identifikation mit Ihrem persönlichen Freigabemittel verbunden wird. Es wird also sicher gestellt, dass der «digitale Stift» Ihnen gehört!

Das Gesetz schreibt darüber hinaus noch vor, dass Sie die Nutzungsbestimmungen des Vertrauensdienstes akzeptieren müssen. Wir nutzen diesen Umstand und werden Sie im Registrierungsprozess diese Nutzungsbestimmungen elektronisch signieren lassen. Dabei verwenden Sie zum ersten Mal Ihr Freigabemittel und können damit z.B. auch das Passwort erstmalig setzen oder verwenden zum ersten Mal die Mobile ID. Die Nutzungsbestimmungen werden

• entweder während der Registrierung bereits akzeptiert (z.B. im Auto-Ident Verfahren der Firma NECT in der EU),
• oder im Nachgang zur Registrierung durch eine SMS, die wir Ihnen zusenden und in denen sich ein Link auf eine Webseite befindet, auf der die Nutzungsbestimmungen akzeptiert werden können.

Bitte beachten Sie, dass manche Verfahren parallel im Hintergrund Ihre Daten nochmals manuell überprüfen müssen. Hierfür muss ein freier Mitarbeiter verfügbar sein. Deswegen muss bei manchen automatischen Verfahren auch 15 Minuten oder länger gewartet werden.

Probleme können an unterschiedlichen Stellen im Identifikationsprozess auftreten, weswegen eine individuelle Analyse sehr aufwändig sein kann und viele Spezialisten benötigt. Beispiele sind:

• bei unserem Partner, der Ihre Identifikation durchführt,
• bei unserem Website-Host, der Ihren Registrierungswunsch nicht korrekt startet,
• beim Aussenden, Zustellen oder Empfang von SMS durch die jeweilige Telefongesellschaft(en),
• beim Erkennen Ihres Ausweisdokumentes, der Kamera, des NFC Empfangsmoduls,
• bei der App zur Identifikation oder dem Betriebssystem Ihres Mobilgerätes,
• bei der Freigabeapp,
• bei einer Ablehnung aufgrund von regulatorisch vorgeschriebenen Riskobewertungen,
• bei der Übermittlung & Abgleich der Registrierungsdaten ,
• etc.

Sie sehen an dem Prozess sind viele Stellen beteiligt und individuell Fehler ausfindig machen, kann äusserst aufwändig sein und ist zeitlich und personell nicht immer zu schaffen. Leider sind die Verfahren auch regulatorisch so komplex, dass in der Regel immer 5-10% nicht vollständig aus der Ferne registriert werden können. Mit der elektronischen Identität schaffen alle Länder derzeit die Voraussetzung, dass das in Zukunft besser wird.

Bitte beachten Sie, dass Aufenthaltstitel (CH), Führerscheine/Führerausweise, Ausweiskopien NICHT für die Identifikation anerkannt werden, sondern nur maschinenlesbare Personalausweise/ID-Karten aus der EU/EWR und der Schweiz sowie ansonsten ausschliesslich maschinenlesbare Reisepässe. Im eID Verfahren für Deutschland wird nur der deutsche Personalausweis akzeptiert.

Gegebenenfalls konnten aber auch die Sicherheitsmerkmale bzw. die Daten Ihres Ausweises nicht richtig gelesen werden. Achten Sie auf eine gute Ausleuchtung und versuchen Sie die Identifikation noch einmal (kostenfrei) mit dem Link in der Bestätigungs-E-Mail (Absender „Support Trust Services – GSD-TS“), die Sie von uns erhalten haben.

Versuchen Sie zunächst die Seite Smartflow aufzurufen und geben Sie ihre Mobilfunknummer ein. Für den Login benötigen Sie einen Einmalcode, den Sie per SMS zugestellt bekommen. Sofern Sie diese SMS auch nicht erreicht, können wir Ihnen dann leider nicht weiterhelfen, da Ihre Mobilnummer bzw. Ihre Telefongesellschaft unsere SMS derzeit nicht empfangen kann oder möchte, Sie bekommen Ihre Identifikation zurückerstattet. Geben Sie dennoch Ihre Mobilnummer uns mit, so dass wir die Telefongesellschaften für das nächste Mal entsprechend kontaktieren können.
Sofern die SMS erhalten wurde, können Sie auf der angegebenen Seite die Nutzungsbestimmungen akzeptieren.

Versuchen Sie es zunächst kostenfrei noch ein weiteres Mal über den Link, in der Bestätigungs-E-Mail (Absender „Support Trust Services – GSD-TS“).

Wenn ein weiteres Mal die Identifikation nicht funktioniert, lassen Sie sich gemäss 3-Step Selfsupport Verfahren kostenfrei einen Voucher für eine Videoidentifikation geben oder lassen Sie sich bei Kartenzahlung den gezahlten Betrag zurückerstatten. Ein Operator kann im Rahmen einer Videoidentifikation Sie besser durch den Prozess führen, als ein automatisiertes Verfahren das machen kann.

Haben Sie bereits ein SMS empfangen mit einem Link zu den Nutzungsbestimmungen der Swisscom Trust Services und diese bereits akzeptiert? Sofern Sie die SMS nicht finden, gehen Sie auf die Seite Smartflow und loggen sich mit Ihrer Mobilnummer ein und versuchen dort die Nutzungsbestimmungen zu akzeptieren. Sofern das nicht möglich ist, wiederholen Sie kostenfrei den gesamten Prozess über den Link, in der Bestätigungs-E-Mail (Absender „Support Trust Services – GSD-TS“).

Wenn ein weiteres Mal die Identifikation nicht funktioniert, lassen Sie sich gemäss 3-Step Self-Support kostenfrei einen Voucher für eine Videoidentifikation geben oder lassen Sie sich bei Kartenzahlung den gezahlten Betrag zurückerstatten. Ein Operator kann im Rahmen einer Videoidentifikation Sie besser durch den Prozess führen, als ein automatisiertes Verfahren das machen kann.

Nach Auslösen einer Identifikation erhalten Sie von uns eine Bestätigungs-E-Mail (Absender „Support Trust Services – GSD-TS“). Diese enthält auch einen Link, um kostenfrei die Identifikation zu wiederholen. Sollten Sie diese E-Mail nicht auffinden, schauen Sie zunächst auch in dem „SPAM“ Ordner Ihres E-Mail Postfaches. Vielleicht wurde sie versehentlich als „SPAM“ eingestuft. Ansonsten gab es vielleicht auch ein technisches Problem. Lassen Sie sich über das 3-Step-Support Verfahren einen neuen Gutschein geben.

Sie können kostenfrei testen, ob Sie bereit sind zum Signieren:

Check Signature (swisscom.com)

Wir wissen, dass insbesondere die Rückzahlung natürlich wenig zufriedenstellend für Sie ist, denn Sie wollen ja elektronisch signieren. Zahlreiche Partner bieten auch im Rahmen ihrer Büros oder Filialen eine persönliche Identifikation im face2face Verfahren an. Sprechen Sie Ihren Partner ggfs. auf diese Möglichkeit an. In der Schweiz können die Bürger hiervon auch kostenfrei in den Swisscom Filialen profitieren oder beim Partner Ylex. Aber auch hier müssen Sie mindestens einen maschinenlesbaren Reisepass oder ID-Karte/Personalausweis aus der EU/EWR oder Schweiz vorlegen können.

Swisscom baut sein Netz an Swisscom Shops kontinuierlich aus, in denen Sie sich identifizieren lassen können. Wir werden auf dem Webauftritt laufend informieren. Im Ausland wird es Identifikationen nur über Partner geben, die das anbieten. Mittelfristig sucht Swisscom die Anbindung an bestehende Identitäten (z.B. Identitätsfeststellung online durch eine Bank oder eine staatliche eID).

Bei der Identifizierung wird das Authentisierungsmittel (z.B. konkret die Mobilfunknummer) abgefragt. Mit dieser wird bereits eine erste Signatur durchgeführt, typischerweise die Signatur der Nutzungsbestimmungen, die akzeptiert wurden (step-up Authentication). Diese Signatur wird zum All-in Signing Service übertragen. Damit kennt das All-in Signing System genau das Authentisierungsmittel.

Eine RA-Agentur erhält einen Speicherbereich (einen sogenannten “Tenant”), in dem nur die Personen verwaltet werden, die vom RA-Master Agenten oder anderen RA-Agenten seiner Agentur identifiziert wurden. Die identifizierten Personen in diesem Tenant kann der RA-Master Agent auch verwalten und z.B. als RA-Agent benennen.
Hat sich nun eine Person durch ein anderes Verfahren des Smart Registration Service identifiziert (z.B. Videoidentifikation in der EU), so kann der RA-Master Agent diese Person nicht zum RA-Agenten ernennen, sie ist einem anderen Tenant zugeordnet. Sie muss durch ihn neu identifiziert werden.
Die einzige Ausnahme ist der allererste RA-Master Agent: Dieser wird sowieso durch eine Person von Swisscom oder z.B. eine Videoidentifizierung identifiziert und landet damit standardmässig im “falschen” Tenant. Bei der Einrichtung der Agentur wird der benannte RA-Master Agent gesucht und dann in den korrekten neuen Tenant der RA-Agentur verschoben. Weitere Verschiebungen sind aber nicht möglich.

Auf dieser Signatur Check Seite können Sie jederzeit prüfen, ob Sie elektronisch signieren können oder Sie eine neue Registrierung benötigen:

https://check-signing.trustservices.swisscom.com/

Bei einem positiven Ergebnis wird Ihnen angezeigt, mit welcher Signaturart (QES, FES) und in welchem Rechtsraum (EU, Schweiz) Sie elektronisch signieren können.

Bei einem negativen Ergebnis wird Ihnen der Grund für eine erneute Registrierung und Identifikation für die elektronische Signatur angezeigt.

Indirekt geschieht das. Praktisch ist der Ablauf folgender: Die RA Agentur ernennt zuerst einen RA-Master Agenten. Dieser wird von Swisscom oder einem Swisscom Partner identifiziert und durchläuft eine Schulung. Anschliessend erhält er eine Bedienoberfläche mit der er weitere alleinig von ihm identifizierte Personen zu RA-Agenten oder RA-Master Agenten machen kann. Diese müssen aber ebenfalls eine automatisiert ausgelöste e-Learning Schulung durchlaufen.

Grundsätzlich muss Swisscom die Daten bei geleisteter Signatur sehr lange (11 Jahre in der Schweiz oder 35 Jahre in der EU) behalten. Aber Personen können vom RA-Master Agenten oder von der Swisscom inaktiv gesetzt werden, so dass diese nicht mehr signieren können.

Im Durchschnitt wird eine Identifizierung binnen 2 Minuten abgeschlossen.

Halten Sie die Kamera so hoch, dass das komplette Ausweisdokument vom Ausschnitt (ggfs. noch unscharf) erfasst wird. Führen Sie die Kamera langsam an den Ausweis näher, er fängt dann wieder an zu fokussieren.

Aus Datenschutzgründen schliessen wir derzeit keinen RA-Agenturvertrag mit Firmen ausserhalb der genannten Rechtsgebiete und lehnen auch eine Verarbeitung durch RA-Agenten von Personen mit Wohnsitz in diesen Ländern ab

Eine spezielle Anleitung ist nicht nötig, denn der Ablauf ist genau gleiche wie bei einer „scharfen“ Identifikation mit der RA App. Der Demo Mode ist im Basis Training für RA Agenten beschrieben.

In den Demo-Mode der RA App gelangen Sie, indem Sie sich mit folgenden Angaben einloggst:

• Handynummer:                +41123456789
• Firmenbezeichnung:      demo

Das ist korrekt. Wenn eine Person keinen maschinen-lesbaren Ausweis/ID oder Reisepass besitzt, kann sie nicht mit der RA App für die elektronische Signatur identifiziert werden und kann somit den Signing Service nicht nutzen.

Nein. Es ist untersagt, kopierte ID Dokumente mit der RA App zu erfassen. Der Grund ist, dass bei einer Kopie die Sicherheitsmerkmale nicht überprüft werden können.

Nein, das ist nicht zulässig. Die RA App wurde für die Face-to-Face Identifikation zertifiziert und darf entsprechend auch nur im persönlichen Kontakt angewendet werden.

Da Mobile ID eine persönliche Authentisierungsmethode ist, muss der Benutzer sie selbst aktivieren. Der Nutzer sollte die Mobile ID immer vor der Identifikation mit der RA App oder Smart Registration Service aktivieren, damit dieser Mobile ID als Authentisierungsmethode zur Signatur nutzen kann. Der Benutzer soll bitte den Anweisungen auf www.mobileid.ch folgen, Menüpunkt „MY MOBILE ID“. Auf dieser Webseite ist auch ein FAQ mit ausführlichen Informationen für Benutzer verfügbar.

Grundsätzlich wird alle 3 Tage 5 mal versucht, die SMS zuzustellen. Erst wenn alle Versuche scheitern ist eine Neuidentifikation notwendig.

Sofern Sie die Nutzungsbestimmungen noch nicht akzeptiert haben, können Sie diese ablehnen. Sofern Sie diese bereits akzeptiert haben und unseren Service genutzt haben, sind wir verpflichtet, Ihre Daten gesetzlich für 35 Jahre in der EU bzw. 11 Jahre in der Schweiz aufzuheben. Sie müssen einfach den Signaturservice nicht weiter in Anspruch nehmen

Beim Passwort/SMS-Code Verfahren gibt es leider keine Möglichkeit der Wiederherstellung, ein User muss auf jedem Fall neu identifiziert werden, nachdem er sein Passwort geändert hat.

Nein. Sie haben damit ein neues Authentifizierungsmittel, welches initial nicht mit der Identifikation erfasst wurde. D.h. Sie müssen sich neu identifizieren lassen unter Nutzung der MobileID.

Für die qualifizierte Signatur ist eine 2-Faktor Authentisierung vorgeschrieben: “Besitz” und “Wissen”, d.h. nur der Besitz (SMS) reicht nicht.

Nein, für fortgeschrittene Signatur reicht OTP.

Im Passwort/Einmalcodeverfahren bilden das Passwort und der Einmalcode die zwei Faktoren, die notwendig sind für die Ausstellung einer qualifizierten Signatur. Sobald ein Faktor nicht mehr vorhanden ist, ist die zwei-Faktoren Authentisierung nicht mehr gegeben und damit muss das neue Authentisierungsverfahren an eine neue Registrierung gebunden werden.

Mit einem Faktor (Einmalcode) ist aber eine fortgeschrittene Signatur weiterhin möglich.

In den Anfängen der Signatur gab es lokale Registrierungsstellen, die dann das neue Passwort wieder an die Registrierung knüpfen konnten – diese Projekte laufen nun aus und das Verfahren des Passwort Rücksetzens wird in Q1/2022 auch entsprechend entfernt.

Bereits im Popup Bildschirm nach Betätigen der Taste zum Passwort Rücksetzen wird angezeigt, dass eine neue Registrierung mit dem Rücksetzen des Passwortes verbunden ist, d.h. sobald Sie das Passwort zurücksetzen, müssen Sie bestätigen, dass Sie sich neu registrieren lassen.

Da beide Methoden sowohl neben dem Besitz der Rufnummer auch die Eingabe ein Geheimnis verlangen, kann nach Übernahme der Rufnummer keine Signatur für die vorgängig bestehende digitale Identität ausgelöst werden. D.h. die Person muss neu identifiziert werden.

Da eine Festnetznummer praktisch nicht einer Person zugeordnet werden kann, ist das nicht möglich. Mit der SMS soll ja sichergestellt werden, etwas zu erreichen, was alleinig und ohne Ausnahme der signierenden Person zugeordnet ist.

Moderne Geräte verfügen über WIFIcalling. Mit diesen kann auch in einer WIFI Zone signiert werden. Ohne Internet ist hingegen keine Fernsignatur möglich.

Im Falle einer MobileID können Sie mit einem Wiederherstellungscode die MobileID auf die neue SIM übertragen (https://www.mobileid.ch/de/login). Im Falle von PWD/OTP und gleicher Rufnummer bleibt ebenfalls Ihre Möglichkeit zur Authentifikation bestehen.

Im Standardfall erhält der Kunde nach der Identifikation zunächst die Nutzungsbestimmungen zum Signaturservice der Swisscom. Diese bestätigt er und löst damit eine erstmalige Signatur dieser Bedingungen aus, in dessen Kontext er auch erstmalig das Passwort festlegen kann. Sogenannte “step-up” Authentisierung.

Standardmässig werden von Seiten Swisscom im Moment nur diese Methoden angeboten. Das Angebot wird aber in Zukunft ausgearbeitet, so dass – sofern die Zulassung vorliegt – auch biometrische Methoden möglich sein können. Des weiteren begleitet Swisscom optional auch den Kunden, falls dieser mit einer auditierten Lösung bei der Anerkennungsstelle eine weitere Signatur zulassen möchte. Hierbei fallen weitere Kosten an.

Basis der 2-Faktor Authentisierung ist die Tatsache, dass beide Faktoren im Zusammenhang mit der Authentisierung erfasst werden müssen, d.h. es darf dann kein Passwort gewählt werden, welches nur die Teilnehmerapplikation kennt, der Teilnehmer selber wurde aber mit RA-App identifiziert. D.h. so ein Ausnahmetatbestand könnte man sich höchstens vorstellen, wenn der Teilnehmer selber eine freigegebene Identifikation per RA-Delegation durchführt und darüber hinaus das Authentisierungsverfahren so gestaltet, dass in einer kurzen Session beide Faktoren (Login, SMS-Freigabe) durchgeführt werden. Sowohl das eigene Identifikationsverfahren als auch dieser Session Ablauf ist in einem Umsetzungskonzept detailliert zu beschreiben und benötigt eine Freigabe. Es fallen hier zusätzliche Kosten an.

Sofern Sie identifiziert wurden und bisher PWD/OTP genutzt haben:

• Wenn Sie die Mobile ID App nutzen wollen, müssen Sie sich in jedem Fall neu mit dieser identifizieren
• Wenn Sie Mobile ID (Schweizer Mobilnummer) nutzen wollen, müssen Sie sich in jedem Fall neu mit dieser identifizieren

Sofern Sie identifiziert wurden und bisher die Mobile ID genutzt haben:

• Wenn Sie jetzt die Mobile ID App nutzen wollen (das wird nur möglich sein auf einer SIM Karte, die nicht Mobile ID unterstützt) und dabei den Recovery Code der Mobile ID nutzen, können Sie weiter signieren
• Sofern Sie die App aktivieren OHNE Recovery Code, müssen Sie sich neu identifizieren lassen
• Sofern Sie PWD/OTP nutzen wollen, müssen sie sich neu identifizieren lassen

Sofern Sie identifiziert wurden und bisher die Mobile ID App genutzt haben:

• Wenn Sie jetzt die Mobile ID der SIM Karte nutzen wollen (das wird nur möglich sein auf einer Schweizer SIM Karte) und dabei den Recovery Code der Mobile ID App nutzen, können Sie weiter signieren
• Sofern Sie die Mobile ID der SIM Karte aktivieren OHNE Recovery Code, müssen Sie sich neu identifizieren lassen
• Sofern Sie PWD/OTP nutzen wollen, müssen sie sich neu identifizieren lasse

D.h. Mobile ID und Mobile ID App sind aufeinander abgestimmte Authentisierungsverfahren, PWD/OTP ist ein komplett anderes Authentisierungsverfahren. Die Fernsignatur verlangt immer, dass während der Registrierung (also während der Identifikation) auch das Authentisierungsmittel aufgenommen wird. Daher wird in manchen Fällen eine neue Identifizierung notwendig sein.

Als RA-Agent sollten Sie über die Support Seite Swisscom informieren, sofern das Gerät nicht korrekt gegen Zugriff geschützt war (8-stelliges Passwort etc.) oder Sie noch eingeloggt in der RA-App waren, da hier auch datenschutzrechtliche Probleme entstehen. Für Signaturen müssen Sie die SIM Karte sperren lassen, ihre Zugangsdaten ggfs. Ändern und bis zur Ausstellung einer neuen SIM Karte die Signatur unterlassen.

Swisscom kann die Zustellqualität der SMS nur ungenügend beeinflussen: der einzige Faktor, den Swisscom beeinflussen kann, ist dass die SMS abgesetzt wurde. Ob aber die Empfangsvoraussetzungen vor Ort ausreichend sind oder der binnenländische oder ausländische Roamingpartner die Zustellung durchgeführt hat, kann nur unzureichend garantiert warden und richtet sich nach den nationalen und internationalen Zusammenarbeit der Telekommunikationsfirmen.

Eine Nutzung des Absenders “Swisscom” oder eines anderen kurzen Absenders wäre sicherlich hilfreich. Wir haben allerdings festgestellt, dass solche SMS häufig als SPAM eingestuft werden.

Ab dem Start des Signaturvorgangs, haben Sie insgesamt 15 Minuten Zeit, um ihr sicheres Passwort und den einmaligen SMS Code in den Webbrowser einzugeben.

Ja nach 5 Jahren müssen auch für fortgeschrittene Signaturen identifizierte Personen neu identifiziert werden. Allerdings reicht es bei fortgeschrittenen Signaturen aus, wenn zum Zeitpunkt der Antragstellung der Ausweis gültig war. Läuft dieser binnen der 5 Jahre ab, ist keine Neuidentifizierung notwendig. Bei qualifizierten Signaturen ist eine Identifizierung hingegen längstens so lange gültig, wie der Ausweis gültig war oder bis maximal 5 Jahre nach dieser Identifizierung. Bei bestimmten Verfahren (z.B. Bankidentifikation) können auch kürzere Gültigkeiten regulatorisch notwendig sein.

Ja, das ist alleinige Aufgabe der Teilnehmerapplikation, die dann immer wieder den Hash mit dem Signaturwunsch zum All-in Signing Service sendet. Es können damit beliebig viele Signaturen für das digitale Dokument erzeugt werden.

Ja, aber das verlangt 2 Kommunikationskanäle und Setups, d.h. die Signatur muss zunächst authentisiert durch den Signierenden über den einen Kanal personensigniert werden (on Demand) und dann geschützt durch ein SSL Authentisierungszertifikat über einen zweiten Kanal organisationssignert (mit zuvor angelegtem statischen Zertifikat).

Ja, mit einer Freigabe können mehrere Dokumente signiert werden. Maximal ca. 250.

Mit Siegeln können XML Signaturen nach dem XADES Standard durchgeführt werden. Clientseitig muss der XADES Standard vorbereitet werden. Hierzu ist in der Implementierung der Aufruf der “plain signature” zu  beachten. Personensignaturen nach dem XML Standard sind vorerst (noch) nicht möglich.

Für Signaturen im Rechtsraum Schweiz: www.validator.ch (Achtung, der Validator entspricht nicht immer dem neuesten Stand). Für Signaturen im Rechtsraum EU: https://www.signatur.rtr.at/de/vd/Pruefung.html

Es gilt zu beachten, dass die Validatoren EU weit noch nicht harmonisiert sind. D.h. Prüfportale können eine elektronische qualifizierte Signatur als “ungültig” darstellen, obwohl diese den Anforderungen an die eIDAS Verodnung genügt. Seitens der EU wird an der Harmonisierung gearbeitet.

Nur QES Signaturen können validiert werden. FES kann nicht validiert werden.

Ja, z.B.:

https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/

https://www.bcge.ch/pdf/conditions-self-en.pdf

Viele Beispiele finden sich auch auf unseren Partnerseiten: https://trustservices.swisscom.com/partner

Grundsätzlich wird bei einem Zeitstempel die Zone mitgespeichert (das Offset). Insofern werden alle lokale Programme die tatsächliche Ortszeit anzeigen.

Grundsätzlich liefert Swisscom einen signierten Hash und unterstützt damit PADES (PDF) Formate und bei Organisationszertifikaten auch XADES (XML) Formate. Worddateien werden nicht signiert, sind aber auch gesetzlich hierfür nicht vorgesehen.

Nein.

Nein, derzeit gibt es nur einen gemeinsamen Zeitstempel.

Ja, auf dem Markt sind verschiedene Libraries vorhanden, die eine schnelle Implementierung einer Teilnehmerapplikation ermöglichen. Alle haben speziell auch für den Swisscom Service einen besonderen Support:

• Intarsys, Deutschland: stellt verschiedene Lösungen zur Verfügung zum Handling und Einbindung von Signaturen: https://www.intarsys.de/produkte/fernsignatur

Intarsys ist Premium-Partner der Swisscom und kennt technisch den AIS Service sehr gut und kann hier im Consulting unterstützen.

• PDF-Tools, Schweiz: 3-Heights PDF Suite. http://www.pdf-tools.com/pdf20/de/produkte/pdf-security-signature/pdf-security/
• iText, Belgien: https://itextpdf.com/de/products/product-tour. Swisscom nutzt in seinen Beispielen iText, allerdings sind die Beispiele “out of date”, d.h. einige Funktionalitäten haben sich geändert. Aber das prinzipielle Handling ist dort ersichtlich: https://github.com/SCS-CBU-CED-IAM/itext-ais
• Setasign, Deutschland: Einige Kunden setzen SetaPDF ein, welche spezielle Lösung auch für den Swisscom Service bietet: https://www.setasign.com/products/setapdf-signer/demos/swisscom-all-in-signing-service/
• Blocksigner, Schweiz (Skribble.com): https://api.skribble.com/swagger-ui.html

Grundsätzlich lehnt Swisscom jegliche Verantwortung für das Funktionieren dieser Libraries ab. Diese können Fehler enthalten und bedürfen besonderes Wissen und Fachkenntnisse. Die Verwendung geschieht auf eigene Verantwortung durch den Teilnehmer.

Nein. Swisscom hat sogar die Auflage, bei der Einbindung des PWD/OTP Screens als “iFrame” eine Möglichkeit zu geben, dass eine externe Person prüfen kann, dass diese von Swisscom stammt. Hier können z.B. die Standard Browser Funktionen genutzt werden, die Swisscom unter seinem Webseitenlink gemäss Kapitel 4 der Nutzungsbestimmungen publiziert. Weitere Informationen auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide 

Nein, siehe Anleitung unter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Ja. Allerdings nur als iFrame, siehe Anleitung unter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Ja. Im Rahmen des Protokolls kann, wie im Reference Guide (www.swisscom.com/signing-service ) unter “Step-Up Methode” beschrieben, im “Message” Feld der Textblock mit der Überschrift zur Nachricht für die Willensbekundung und mit “Language” die Spracheinstellung konfiguriert werden. Für das SMS Eingabefenster kann ebenfalls die Sprache mit dem “Language” Parameter eingestellt werden.

Grundsätzlich dient der verifyCall dazu, zu prüfen, ob ein Signierender bereits registriert ist. Wählt man im verify call das Pseudonym, so reicht die Angabe von Land und Mobilnummer.

https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

Screen Scrapping wird als Interface nicht unterstützt. Entwickler müssen damit rechnen, dass die Screens verändert werden. Zudem widerspricht es dem “Sole Control” Gedanken des direkten Zugriffs des Signierenden auf das Unterschriftenzertifikat. Weitere Informationen zur Einbettung eines iFrames auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Im Prinzip ja. Sofern im Signaturzertifikat genau der Name erscheinen soll, wie im Ausweisdokument, muss auch die Anfrage den genauen Namen mit allen Zunamen wie im amtlichen Dokument enthalten. Wenn das zu aufwändig ist, kann das “Template” Feature genutzt werden (https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes). Es ermöglicht die exakte Übernahme des Namens, Vornamens etc. so wie dieser im RA-Service (SRS) abgespeichert wurde.

Swisscom kann den Dienst aber auch so konfigurieren, dass anstelle des Namens im Zertifikat die Mobilnummer als Pseudonym genommen wird. Es steht dann weiterhin dem Anwender frei im “Common Name” (CN) den gewöhnlichen Vor- und Zunamen (unabhängig vom Ausweisdokument) zu nutzen. Der RA-Service VerifyCall verifiziert in diesem Falle nur die Mobilnummer, die während der Identifikation angegeben wurde und das Heimatland gemäss Ausweisdokument. Die Nutzung des Pseudonyms im VerifyCall ist unabhängig davon, ob das Pseudonym auch im Signing Request genutzt wurde.

Das Zugangszertifikat kann ein selbst signiertes Zertifikat sein. Beispielweise mit openssl Software.

Anforderungen an den Distinguished Name:

• CN=<URL des Teilnehmersystems, welches die Kommunikation mit AIS durchführt oder andere eindeutige Identifikation des Teilnehmersystems>
• O=<Name der Organisation>
• Email=<E-Mail Adresse für Informationen am Ende des Gültigkeitszeitraumes>
• C=<Land der Organisation>

Folgende weitere Anforderungen sind bei der Erstellung des Zertifikates zu berücksichtigen:

• Maximale Laufzeit 3 Jahre
• Hashalgorithmus minimum SHA-256
• Key length minimum 3072 bit

Für Zugangszertifikate im Rahmen der geregelten (ZertES) oder qualifizierten (eIDAS) Siegelerstellung gelten noch besondere Bedingungen: Der private Schlüssel des Zugangszertifikates muss in einer gemeinsamen Zeremonie eines Registrierungsstellenvertreters von Swisscom auf einem kryptographischen Modul erstellt werden. Dieses Modul muss den Anforderungen an FIPS 140-2 level 2 entsprechen oder ähnlichen Sicherheitsstufen, z.B. Yubikey, Feitan Key oder Microsoft Key Vault. Alternativ kann auch ein Konzept eingereicht werden, wie die Zuordnung des Zugangszertifikates zum Verantwortlichen der Organisation anderweitig erzielt werden kann.

Die Einbettung von signierten Hashes sollte man PDF Spezialisten oder entsprechenden Libraries überlassen. Der Platz für die Signatur muss vorausberechnet werden (siehe hierzu https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4).

Eine folgende Lösung kann eine Lösung bieten. Diese stellen wir hier ohne Garantie vor, da Swisscom sich nur auf den Service und nicht auf die Signaturapplikation fokussiert:

• Erzeuge ein PDF mit leerem und vorausgefülltem Signaturfeld
• Der Byterange sollte mit Nullen bis zur erwarteten Grösse gefüllt werden
• Bilde den Hash des Dokumentes
• Signiere den Hash mit dem All-in Signing Service
• Fülle den signierten Hash in das leere Signaturfeld
• Iteriere bis zum leeren Signaturfeld
• Ermittele den Byte range des leeren Signaturfeldes
• Berechne den Offset des byte range
• Öffne das Dokument mit dem leeren Signaturfeld im read-write mode und suche den Offset, wo der Hash eingefügt wurde

Wichtig ist auch die Einhaltung des PADES Standards und der LTV Vorgaben. Siehe hierzu https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Es gibt einen Test- und Demomode, mit dem man die App ausprobieren kann, bei der aber keine Daten übermittelt werden. Hierzu muss in der Anmeldung die Mobilfunknummer +41001234567 eingegeben werden und als Firmenbezeichnung “demo”.

In den zurückgegebenen Paramtern des Verify Call wird der sogenannte “Serial” mit zurückgegeben. Sollte dieser mit “SAS” beginnen (also SASxxxxxxx), so nutzt der Kunde das PWD/OTP Verfahren. Sollte dieser mit “MID” beginnen (also MIDxxxxxx), so nutzt der Kunde das Mobile ID Verfahren. Dabei kann aber nicht zwischen Mobile ID App und Mobile ID SIM Card unterschieden werden.

Dennoch können die Ergebnisse verwendet werden, um z.B. besondere Hilfetexte (z.B. bei vergessenem Passwort etc.) dem Kunden mitzugeben, oder bestimmt auf die Bestätigung auf dem Handy zu verweisen.

Voraussetzung für die Inbetriebnahme ist eine vom Kunden unterzeichnete und von der globalen Registrierungsstelle geprüften “Konfigurations- und Annahmeerklärung”. In dieser werden die Pflichten des Betreibers einer Signaturapplikation festgehalten (z.B. die Möglichkeit der vollständigen Anzeige des zu unterzeichnenden Dokuments, Absicherung des Zugangs zum Service), aber auch die Ausprägung des Service.

Weitere Voraussetzung ist ein Zugangszertifikat, welches die Kommunikation der Signaturapplikation zum Signaturservice absichert.

Nach der Prüfung des Dokumentes erhält unser Setup Service den Auftrag zur Aufschaltung des Service mit dem zugesendeten Zugangszertifikat und der gewählten Ausprägung in der Konfigurations- und Annahmeerklärung. Bei qualifizierter Signatur wird der Service zunächst immer nur auf dem Niveau “fortgeschritten” freigeschaltet. Anschliessend wird der in der Konfigurations- und Annahmeerklärung genannte Ansprechpartner um eine Beispielsignatur mit der fortgeschrittenen Signatur gebeten. Ist diese einwandfrei, wird der Service umgeschaltet auf das Niveau “qualifiziert”, sofern dieses verlangt wurde. Hierüber wird der Kunde ebenfalls benachrichtigt. Er hat nun 10 Tage Zeit etwaige Unregelmässigkeiten direkt an das Setup Team zurückzumelden. Sollten diese in dieser Zeit nicht aufgetreten sein, ist der Anschluss an der Service abgenommen. Weitere Incidents können dann über den 1st Level Support an Swisscom gemeldet werden im Falle eines Direktvertrages mit Swisscom, andernfalls an den Reselling Partner.

Im Falle eines Siegels benötigt es neben der Konfigurations-  und Annahmeerklärung durch den Betreiber der Signaturplattform noch einen Zertifikatsantrag für das Siegelzertifikat, ein Organisationszertifikat. Im Gegensatz zum Zertifikat für die Personensignatur wird das Siegelzertifikat für drei Jahre ausgestellt. Der Zertifikatsantrag muss unterzeichnet werden von berechtigten Personen der Organisation. Die Berechtigung kann sich aus dem Register ergeben (z.B. Prokura) oder auch eine eingeschränkte Handlungsvollmacht sein, die Prokurist z.B. für die Operatoren im Rechenzentrum ausgestellt hat. Hierbei müsste Swisscom dann einen Nachweis dieser Vollmacht erhalten. Diese Personen werden vorab auch noch durch einen Vertreter der Registrierungsstelle von Swisscom persönlich mit RA-App identifiziert. Das kann z.B. auch ein RA-Agent sein, der die persönliche Identifikation vorgenommen hat. Dadurch kann die Person den Antrag mittels elektronischer Unterschrift unterzeichnen. Der Antrag wird hierzu unsigniert an Swisscom zugesendet und Swisscom lädt die Personen zur elektronischen Signatur ein. Jetzt unterscheiden sich die weiteren Schritte je nach Art des Siegels:

Fortgeschrittene Signatur: Der Antragsteller sendet Swisscom ein SSL Zertifikat zu, welches er als Zugangszertifikat für die Schnittstelle zum Siegel verwenden will.

Qualifizierte/Geregelte Signatur: Der Antragsteller vereinbart mit Swisscom einen Termin für eine gemeinsame Erstellung eines privaten Schlüssels. Dieser muss auf einem kryptographischen Device der Qualifizierung FIPS 140-2 level 2 oder ähnlich erstellt werden (z.B. Yubikey, Feitan key, Key Vault HSM Microsoft, etc.) Basierend auf diesen Schlüssel wird dann ein Zugangszertifikat erstellt. D.h. für den Signaturvorgang muss der Zugang mittels diesem Zertifikat freigegeben werden. Alternativ kann auch ein Konzept eingereicht werden, wie die Zuordnung des Zugangszertifikates zum Verantwortlichen der Organisation anderweitig erzielt werden kann.

Nein, nur PADES/CADES im Bereich von Siegeln und PADES für persönliche Signaturen.

Sie dient Swisscom als Unterstützung für die Namensfindung der ClaimedID, also des Zugangs zum Signing Service.

Sind optional immer möglich (einfach hierfür das Feld ankreuzen)

Im Moment sind wir dabei die Kapazitäten durch andere Algorithmen (Vorerzeugung von Schlüsseln) und HW Ausbau stark auszubauen. Da mehrere Kunden den Service nutzen gehen wir pro Kunde durchschnittlich von einer Maximallast von einer Anfrage pro Sekunde aus. Höhere Performance, d.h. besonders reservierte Kapazitäten sind optional möglich.

Ca. 250. Die Beschränkung ergibt sich weniger aus dem Service als aus den Security Systemen.

Bitte beachten Sie, dass wir eine WAF im Einsatz haben, um unseren Service vor Denial-of-Service Attacken zu schützen. Bitte kontaktieren Sie uns vor einem solchen Test.

Für die Signatur muss eine Willensbekundung (Authorisierung) mit Mobile ID (SIM/App) oder PWD/OTP abgegeben werden. Nach Anfrage hat der Nutzer in der Regel 80 Sekunden Zeit die Authorisierung einzugeben. Der Wert ist nicht einstellbar.

Jede Signatur wird einzeln berechnet, d.h. in diesem Beispiel werden 5 Signaturen abgerechnet.

Nein diese werden über zwei verschiedene ClaimedIDs angebunden und verrechnet.

Swisscom berechnet keine Kosten beim Versand der Mobile ID oder SMS. Allenfalls im Roaming können je nach Tarif des Roaming Partners ggfs. Kosten anfallen.

Hierbei müssen 2 Benutzeraccounts (ClaimedIdentity) eröffnet werden, jeder Account ist mit einer Abrechnungsmethode verbunden. Beide Accounts können über eine Schnittstelle, d.h. dem gleichen Endpunkt angesprochen werden. D.h. die Teilnehmerapplikation muss selber entscheiden, über welchen Account sie eine Signaturanfrage sendet. Pro Account fällt eine Servicegebühr an. Es werden am Monatsende 2 Rechnungen ausgestellt. Es fallen daher die Servicegebühren im Vertrag doppelt an.

Hier fallen keine Kosten an.

Ja, es wird unterschieden, ob die Signierenden zu den Nutzungsbedingungen der Schweiz oder der EU oder beiden zugestimmt haben. Alle Daten werden von der Swisscom (Schweiz) AG auch für die Swisscom IT Services Finance S.E. in Wien verarbeitet.

Der Distinguished Name enthält entweder den Vornamen, Nachnamen und das Geburts-/Registrierungs- oder Heimatland der Person oder ein Pseudonym mit einer Seriennummer, die sich durch die Registrierungsstelle eindeutig auf eine Person zurückführen lässt. Organisationsnamen werden nur in Sonderfällen zugelassen.

Die Schweiz ist nicht in der EU und hat somit national nicht die Gesetzgebung der EU, die sogenannte Datenschutz-Grundverordnung (DSGVO) eingeführt. Grundsätzlich ist die DSGVO auch dann anwendbar, wenn die Unternehmen ihren Sitz in der Schweiz haben und Dienstleistungen in der EU anbieten.

Somit gelten für Swisscom die gleichen Pflichten im Umgang mit den Daten wie für alle anderen Organisationen, die die DSGVO einhalten müssen:

• informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
• “Privacy by design” und “Privacy by default” garantieren
• einen Vertreter für Datenschutzfragen benennen
• ein Verzeichnis der Verarbeitungstätigkeiten erstellen
• Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
• eine Datenschutz-Folgenabschätzung durchführen

Alle Applikationen, die den Datenschutz betreffen und zur Datenverarbeitung eingesetzt werden, z.B. auch die RA-App müssen DSGVO konform sein. Swisscom gibt hierfür auf seinen Seiten:
Schweiz: www.swisscom.com/signing-service

Österreich: www.swisscom.at

Entsprechende Datenschutzerklärungen gemäss DSGVO ab.

Schweiz galt immer schon und gilt gemäss Art. 45 DSGVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschluss) als sicheres Drittland, d.h. die üblichen Genehmigungen wie bei anderen Drittländern (z.B. USA) sind hier nicht notwendig. Die Schweiz verfügt dank ihres Datenschutzgesetzes und der laufenden Anpassung an die DSGVO über ein “angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten” nach EU-Kriterien, d.h. ist faktisch bei der Datenübertragung so wie ein EU Land zu behandeln:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Swisscom muss im Rahmen seiner fortlaufenden Auditierungen sowohl gegenüber der Anerkennungsstelle in der Schweiz als auch gegenüber der Konformitätsbewertungsstelle in Österreich, dass alle für die Ausstellung von digitalen Signaturen notwendigen strengen Datenschutzauflagen eingehalten werden. D.h. über einer Selbstdeklaration hinaus sind Vertrauensdienstanbieter und Zertifizierungsdienste durch die Gesetzgebung und den angewandten internationalen Normen, wie z.B. ETSI 319 401, verpflichtet einen angemessenen Datenschutz aller persönlichen Daten nachzuweisen und auditieren zu lassen.

Die nachzuweisenden und zu auditierenden Datenschutzanforderungen gelten auch für die Registrierungsstellentätigkeit – einer Aufgabe eines Vertrauensdienstanbieters und Anbieters von Zertifizierungsdiensten. Damit ist auch der Datenschutz auf der RA-App als Teil des Registrierungsprozesses gewährleistet. Die RA-App selber speichert keine persönlichen Daten permanent. Es können auch keine Daten exportiert werden. Sobald die Identifikation abgeschlossen wurde, werden die Daten vom RA-Agenten signiert übermittelt als sogenannte Evidenz. Diese Evidenzen werden bei Swisscom im RA-Service unter strengen Sicherheitsauflagen (z.B. 4-Augen Zugang) aufbewahrt. Nur wenige Personen haben Zugang zu diesen Daten und dürfen diese nur aufgrund eines richterlichen Beschlusses weitergeben oder in Bezug auf die Qualität der Identifikation prüfen. Swisscom haftet nach dem Gesetz für die ordnungsgemässe Durchführung der Signatur und damit auch der Identifikation unbegrenzt.

RA Master Agenten haben einen Webzugang auf ein Portal, in welchem sie alle von den RA-Agenten identifizierten Personen mit Namen, Vornamen, Ablaufdatum des ID Dokumentes und Mobilfunknummer einsehen können. Die Ausweisdokumente und Fotos (sogenannte “Evidenzen”) sind nicht zugreifbar oder exportierbar.

Swisscom ist gesetzlich verpflichtet, für die Signatur Personendaten aufzunehmen. Sie ist damit für diese Daten verantwortlich. Somit kann Swisscom auch nicht die Rolle eines Auftragsverarbeiters spielen, auch wenn es für die Signatur z.B. Mitarbeiterdaten eines Kundenunternehmens erhält. Ähnlich wie Telekom- oder Postdienstleister hat hier Swisscom einen gesetzlichen Auftrag. Swisscom hat wiederum mit den Nutzungsbestimmungen ein gesetzliches Vertragsverhältnis mit den Signierenden. Hierin akzeptiert der Signierende auch die Datenverwendung.

Mit der RA-App verlagert Swisscom die Aufnahme von Identitätsdaten an einen externen Dienstleister, der in den Verträgen “RA-Agentur” genannt wird. Hierfür sieht die Datenschutzgrundverordnung die Auftragsverarbeitung vor. Die RA-Agentur muss die Vorgaben der Auftragsdatenverarbeitung daher einhalten.

Auch in rein Schweizer Projekten wird die Einhaltung der DSGVO Auftragsdatenverarbeitung eingefordert. Das hat zwei Gründe:

• Einerseits kann selten garantiert werden, dass in der Schweiz identifizierte Personen nicht EU Bürger sind, die dem Marktprinzip der DSGVO unterliegen,
• Andererseits kann die RA-App nicht so eingesetzt werden, dass nur Personen für die Schweiz identifiziert werden, d.h. es findet immer eine Auftragsdatenverarbeitung auch für Swisscom IT Services Finance S.E. in Wien statt.

Es gibt Projekte, in denen Swisscom auf gesetzlich anerkannte Identifikationsverfahren bei Dritten aufsetzt und diese auch auditieren lässt. Typisches Beispiel ist hier eine Bank, die im Rahmen ihres KYC Prozesses eine Präsenzidentifikation einer Person durchführt. In diesem Falle erhält Swisscom eine Kopie dieser Daten für ihre eigene Geschäftszwecke (Signatur). Eine Auftragsdatenverarbeitung ist hier nicht notwendig, da zwei verantwortliche Parteien für die Daten vorhanden sind. Umgekehrt wird hierbei auch nicht das Joint Controllership Prinzip der DSGVO herangezogen, da die Aufnahme nicht einem gleichen Geschäftszweck dient und beide im Sinne des gemeinsamen Geschäftszwecks verantwortlich handeln. Die Bank handelt für ihren Geschäftszweck, z.B. Kontoeröffnung und Swisscom verfolgt seinen Geschäftszweck, die Ausstellung von Signaturen. Dennoch beinhalten unsere Verträge zur “Delegation der Registrierungsstellentätigkeit” in diesem Fall auch ein Minimum an Regelungen, wie in Bezug auf Datenschutz und DSGVO vorgegangen wird.

Bei einer Fernsignatur verwaltet Swisscom treuhänderisch die Schlüssel zu den Signaturzertifikaten. Bei einer Personensignatur werden die Signaturzertifikate nur für die Signatur erzeugt und verlieren nach ca. 10 Minuten ihre Gültigkeit. Unternehmenszertifikate für Siegel haben Gültigkeiten von bis zu 3 Jahren. Der private Schlüssel muss dabei laut Gesetz auf einer (qualifizierten) Signaturerstellungseinheit gespeichert werden. Der Speicher hierfür ist ein Gerät, welches hauptsächlich nur für die Schlüsselspeicherung konzipiert ist, das HSM (Hardware Security Modul). Es unterliegt einer strengen Regulierung, Auditierung, in Bezug auf Fähigkeiten und Zugang zu diesem Gerät. Für Signaturen in der EU und in der Schweiz gelten besonders hohe Fähigkeiten, die nur von wenigen HSM Herstellern weltweit zur Verfügung gestellt werden.

Regelung zur Löschung von Personendaten bei Zertifizierungs- und Vertrauensdiensten

Evidenzdaten von Personen, die noch nicht signiert haben, aber eine Registrierung durchgeführt haben, werden nach 15 Tagen Erinnerung per SMS gelöscht, wenn die Nutzungsbestimmungen der Swisscom noch nicht akzeptiert und signiert wurden.

Personen, die bereits signiert haben, unterliegen mit Ihren Daten für eine qualifizierte Signatur der Aufbewahrungspflicht des österreichischen Signaturgesetzes (SVG §10 (3)) von über 30 Jahren bzw. der Aufbewahrungspflicht des schweizerischen Signaturgesetzes (ZertES bzw. ausgeführt in der Verordnung zum Signaturgesetz VZertES, Art. 9 (3)) von über 10 Jahren.

Bei fortgeschrittenen Signaturen betragen die Aufbewahrungsfristen gemäss der auditierten Normen 7 Jahre.

Die Aufbewahrungsfristen werden jedem Signierenden in den Nutzungsbestimmungen Schweiz und EU (Kapitel 7.4) und Datenschutzerklärungen (Kapitel 5) angezeigt und vom Signierenden akzeptiert (DSGVO Art 6 (1) (a,b)). Gemäss Art 6 (1) (c) DSGVO ist der Vertrauensdienst darüber hinaus verpflichtet, die Einhaltung der rechtlichen Verpflichtung in der Aufbewahrung der Daten sicherzustellen sowie auch die automatische Löschung der Daten nach der Aufbewahrungszeit.

Vertrauensdienste sind verpflichtet, beim Logging und Archivierung der Daten die ETSI Vorschriften, insbesondere EN 319411-1 (6.4.6) einzuhalten und werden dementsprechend laufend von Konformitätsbewertungsstellen auditiert und den Aufsichtsstellen überwacht. Das Audit wird bei Swisscom von der KPMG ausgeführt. In Österreich untersteht der Vertrauensdienst Swisscom IT Services und Finance S.E. der Kontrolle der RTR GmbH als Aufsichtsstelle, in der Schweiz untersteht Swisscom (Schweiz) AG als Zertifizierungsdienst der Kontrolle des BaKOM.

Hintergrund der Vorschriften liegt in der notwendigen Beweisführung, die ein Zertifizierungs- bzw. Vertrauensdienst ermöglichen muss, falls die Gültigkeit einer Signatur vor Gericht angezweifelt wird.

Beides sollten Personen aus der IT sein, die die Applikation kennen. Es muss nicht eine Person mit der offiziellen Rolle “Datenschutz” sein. Swisscom will hier einfach das 4-Augen Prinzip beibehalten. Die Rollen sind: Auskünfte geben können über die Administration der Benutzerapplikation (wer hat Zugang, was könnte ein Administrator manipulieren, wo hakt es ggfs., SSL Connection zu Swisscom) und beim Sicherheitsverantwortlichen Themen wie Virenschutz, Zugangskontrolle allgemein, etc.

Zum einen kann eine interne Gesellschaft bei entsprechendem Volumen “Reselling Partner” von Swisscom werden für andere Gesellschaften. Dann geht der Zahlungsfluss direkt nur über diese einzelne Gesellschaft. Es kann auch eine Gesellschaft die komplette Verantwortung für den Betrieb der Teilnehmerapplikation übernehmen. Auch dann gehen Rechnungen nur über diese Gesellschaft. Sie kann dann Mitarbeiter der anderen Gesellschaften identifizieren.

Sofern alle Gesellschaften unabhängig die Teilnehmerapplikation betreiben wollen (mit jeweils eigener Haftung und Verantwortung) und auch selber RA-Agenten stellen wollen, bedarf es für jede Gesellschaft einen eigenen Vertrag.

Swisscom investiert jährlich hohe Summen in die fortwährenden Audits. Um dennoch das Angebot eines Trust Service Providers am Markt preisgünstig platzieren zu können, wird dieser Service in einer standardisierten Form angeboten. Es findet pro Kunde kein “Projekt” statt, sondern Signaturen werden als Plattformgeschäft verkauft. Das heisst insbesondere:

• Es ist der Standardprozess der Bestellung mit den durch die Auditoren mitgeprüften Vertragstexten einzuhalten.
• Weitere Assessments durch Teilnehmer und die Prüfung und Annahme eigener Vertragstexte sind im Angebot nicht inbegriffen.

Viele Aspekte des Trust Service Providers unterliegen nicht nur Auflagen in der Ausführung des Services sondern auch in der Festschreibung wichtiger Pflichten, Haftungsregelungen und Mitwirkungsleistungen in den Vertragsunterlagen. Daher unterliegen diese Vertragsunterlagen auch der Auditierung bzw. werden auch den staatlichen Konformitätsbewertungsstellen vorgelegt. Daher können weder Änderungen des Rechtssystems akzeptiert werden, noch vertragliche Beilagen des Teilnehmers insbesondere, wenn diese fremden, anwendbaren Recht unterliegen.

Ist es dennoch notwendig, vertragliche Texte anzupassen, vertragliche Regelungen hinzuzufügen (z.B. eigene Code of Conducts, Data Protection Declaration etc.), besondere Assessmentfragebögen zu bearbeiten oder haben Sie gar Fehler oder unklare Formulierungen entdeckt, so melden sie diese bitte an unser Produktmanagement.

Sofern allfällige Fehler oder Unklarheiten ersichtlich sind, wird ein entsprechender Change Prozess seitens Produktmanagement hierzu angestossen und schnell möglichst umgesetzt.

Für die Bewertung anderer Fragen wird ein Bearbeitungsteam gebildet, dass die entsprechenden Experten (z.B. Rechtsabteilung, Sicherheitsverantwortlicher, Compliance Officer, etc.) heranzieht und eine Bewertung der Anfrage durchführt. Hierfür wird eine Bearbeitungsgebühr von CHF 6’000 fällig. Sofern das Expertenteam nicht direkt eine Lösung erarbeiten konnte, wird dieses eine Antwort und Angebot erarbeiten, welche weiteren Schritte seitens Swisscom vorstellt und abschätzt.

Nein, nur für den Betrieb der Signaturapplikation benötigt es keine Zertifizierung und kein offizielles Audit mit Zertifikat. Der Kunde gibt im Rahmen einer “Konfigurations- und Annahmeerklärung” eine Selbstdeklaration ab, die Signaturapplikation ordnungsgemäss zu betreiben, d.h. z.B. den Hash eines Dokumentes nicht auszutauschen und dem Kunden das zu signierende Dokument auch tatsächlich anzuzeigen (WYSIWYS = “What you see is what you sign”). Auch der Datenverkehr sollte verschlüsselt zur Swisscom erfolgen und der Grundschutz in Bezug auf Viren und Angriffe sollte wie bei jedem anderen System gewährleistet sein. Nur eine eigene Identifikation insbesondere auch in Bezug mit einer eigenen Authentisierungsmethode kann ein Audit mit Zertifikat notwendig machen. In der Schweiz kann eine Identifikation mit Authentisierungsmethoden von Swisscom vereinfacht durch ein geeignetes vom Kunden vorgelegtes und von Swisscom abgenommenes “Umsetzungskonzept” abgehandelt werden, in der EU ist in der Regel ein Audit notwendig. Eine Authentisierungsmethode muss in der Regel immer zertifiziert werden, da hierdurch der “alleinige Zugriff” (im ETSI Kontext “Sole Control” genannt) sichergestellt werden sollte.

Grundsätzlich ist nach dem Gesetz Swisscom unbegrenzt haftbar für die Falschausstellung von qualifizierten Zertifikaten. Im Rahmen der fortgeschrittenen Zertifikate kann diese Haftung begrenzt werden. Swisscom schliesst hierfür auch entsprechende Pflichtversicherungen ab. Im Rahmen von Fehlern auf der Signaturapplikation (z.B. der Austausch eines Hashes eines Dokumentes) oder bei Fehlern bei der Identifikation durch dritte Registrierungsstellen, wird Swisscom seinerseits diese Dritte in Haftung nehmen. Um die Risiken einer Haftung zu vermeiden, werden an den Ausstellungs- und Vertragsprozess hohe Anforderungen gestellt und generell auch die Möglichkeit einer Auditierung der beteiligten Dritten gefordert.

Die schweizerische Gesetzgebung, d.h. das Schweizerische Bundesgesetz über die elektronische Signatur (ZertES), sieht die Einzelheiten vor, nachdem Unternehmer als Zertifizierungsdienst anerkannt sind. Die akkreditierte Anerkennungsstelle für die Anerkennung von Swisscom als Zertifizierungsdienst in der Schweiz ist die KPMG (Akkr. Nr. SCESm 0071). Sie stellt eine Konformitätsbewertungsbestätigung aus (zu finden unter www.swisscom.com/signing-service).  Die Schweizerische Akkreditierungsstelle SAS führt eine Liste der akkreditierten Zertifizierungsdiensten: Link

Mit dem Inkrafttreten der Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt der Europäischen Union (eIDAS) wurde die Basis für eine europaweite, rechtsgültige elektronische Kommunikation und sichere elektronische Identifizierung geschaffen. Mit Hilfe der Vertrauensdienste, wie elektronischen Signaturen, Siegeln, Zeitstempeln, Zustelldiensten und Zertifikaten zur Authentifizierung, können Unternehmen, Verwaltungen und Privatpersonen digitale Dokumente wie Angebote, Bestellungen, Verträge u.v.m. innerhalb der Europäischen Union auf einer einheitlichen Rechtsbasis austauschen. Damit löst die neue EU Verordnung das nationale Signaturgesetz und Signaturverordnungen ab.

Nach dieser EU-Verordnung (EU) Nr. 910/2014/EU (eIDAS-Verordnung) haben sogenannte nationale Vertrauenslisten eine konstitutive Wirkung. Mit anderen Worten, ein Vertrauensdienst und die von ihm erbrachten Vertrauensdienstleistungen werden nur dann qualifiziert und überall in der EU als qualifiziert betrachtet, wenn sie in den sogenannten “Trusted Lists” erscheinen. Folglich profitieren die Nutzer (Bürger, Unternehmen oder öffentliche Verwaltungen) nur dann von der Rechtswirkung eines bestimmten qualifizierten Vertrauensdienstes, wenn dieser in den Vertrauenslisten als qualifiziert aufgeführt ist. Swisscom ist mit seiner Tochtergesellschaft in Österreich “Swisscom IT Services Finance S.E.”, Wien in dieser Vertrauensliste aufgenommen worden mit qualifizierten Zertifikaten und Siegeln:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance S.E. hat Swisscom (Schweiz) AG mit dem Betrieb des Vertrauensdienstes beauftragt und auch die Registrierungsstellentätigkeit an Swisscom (Schweiz) AG delegiert. Swisscom(Schweiz) AG bietet somit den Dienst am Markt an und nimmt auch vertragliche Dokumente im Auftrag der Swisscom IT Services Finance S.E. entgegen.

Swisscom kann grundsätzlich nur bestätigen, dass es nach der eIDAS Verordnung der EU und nach dem ZertES Gesetz der Schweiz in beiden Rechtssystemen qualifizierte Signaturen ausstellen kann. Hierbei werden die qualifizierten Schweizer Signaturen nur in der Schweiz qualifiziert anerkannt und die eIDAS qualifizierten Signaturen in der EU.

Ob die qualifizierte Signatur für einen beliebigen Vertrag zulässig ist, muss in jedem Falle von einem Juristen geprüft werden. Swisscom darf hierzu keinerlei Rechtsauskunft geben. Das hängt nicht nur mit der Signatur zusammen, sondern auch aufgrund ggfs. anderer Punkte, die in Verträgen vereinbart werden können. Beispielsweise kann die Forderung einer “Rücksendung per Einschreiben” dazu führen, dass eine elektronische Signatur gar nicht geleistet werden kann, da ein postalischer Papierweg vorgeschrieben ist.

Grundsätzlich gilt in beiden Rechtssystemen EU und Schweiz die Beweisumkehr (bzw. in Deutschland auch Anscheinsbeweis gegenüber dem Augenscheinsbeweis) in Bezug auf qualifizierte Signaturen. D.h. eine Gegenseite muss beweisen, dass die qualifizierte Signatur nicht ordnungsgemäss erfolgt ist, falls diese angefochten wird. Und natürlich kann Swisscom anhand der von KPMG testierten Überprüfungen nachweisen, dass die qualifizierte Signatur ordnungsgemäss erfolgt.

Die Aufbewahrungsfristen der Identitätsfeststellung und des Tätigkeitjournals und damit auch die Beweisfristen betragen in der Schweiz 11 Jahre und in der EU 35 Jahre. Swisscom verwendet grundsätzlich den Langzeitvalidierungsstandard von ETSI (LTV).

Long Term Validation bedeutet eine Signatur so zu validieren, dass sie für lange Zeit valide bleibt. Die LTV Validierung lässt eine Validierung aber nur so lange zu, wie das Wurzelzertifikat für den Zeitstempel nicht abgelaufen ist. Es empfiehlt sich daher bei Langzeitbeweiserhaltung die Dokumente vor Ablauf nochmals mit einem Zeitstempel zu versehen, damit die Integrität und Aussagekraft des Signaturbeweises weiterhin gegeben ist.

Grundsätzlich sollten PDF Dokumente auch in sicheren Archiven verwaltet werden. Es kann eine Situation in 5, 10 oder 20 Jahren kommen, dass die Signaturalgorithmen “geknackt” werden, d.h. es könnte damit die Unversehrtheit oder Authentizität nicht mehr gewährleistet sein. Gute Archivsysteme sehen daher regelmässige Resignatur z.B. mit einem Zeitstempel vor, der immer den neuesten Algorithmus nutzt und damit die Integrität des Dokumentes sicherstellt.

Im WWW findet man hierzu verschiedene optimierte Verfahren, z.B. “Archisig”. Das deutsche BSI hat auch eine technische Richtlinie „Beweiswerterhaltung kryptographisch signierter Dokumente“ herausgebracht. Sie ist die Spezifikation sicherheitstechnischer Anforderungen für den langfristigen Beweiswerterhalt von kryptographisch signierten elektronischen Dokumenten und Daten nebst zugehörigen elektronischen Verwaltungsdaten (Metadaten).

Eine für diese Zwecke definierte Middleware (TR-ESOR-Middleware) im Sinn dieser Richtlinie umfasst alle diejenigen Module und Schnittstellen, die zur Sicherung und zum Erhalt der Authentizität und zum Nachweis der Integrität der aufbewahrten Dokumente und Daten eingesetzt werden.

Nein.

Mit der Vertragskündigung werden noch existierende, gültige Siegelzertifikate widerrufen (revoziert).

Gesetzlich ist geregelt, wie so ein “shutdown” Scenario abzulaufen hat: In der CP/CPS des Zertifizierungsdienstes bzw. Vertrauensdienstes sind die genauen Abläufe beschrieben. Es muss einen Shut-Down Plan geben und die benachrichtigte Aufsichtsstelle bzw. das BAKOM benennt dann in der Regel einen Nachfolger, der den Dienst für die Kunden anbieten könnte. Dieser Nachfolger erhält dann in der Regel auch die Certificate Revocation List und damit die Liste über die Gültigkeiten der Zertifikate, sofern Swisscom die nicht weiter noch selber publiziert. Die Liste wird weiterhin für Jahre betrieben, so dass die Gültigkeit von Unterschriften auch weiterhin geprüft werden kann. Die Evidenzen zu den Registrierungen für den Service müssen entsprechend den Aufbewahrungsfristen auch nach einer Beendigung über 11 oder sogar 35 Jahre aufbewahrt werden, Swisscom oder ein benannter Nachfolger müssen ein Archivierungssystem dafür erstellen, damit in juristischen Verhandlungen auch auf diese Information zurückgegriffen werden kann. Die geleisteten Identifikationen können bei einem eventuellen Nachfolger nicht mehr genutzt werden, d.h. neue Registrierungen sind in diesem Falle notwendig.

Elektronische Unterschriften können in einem Rechtsstreitverfahren als Beweismittel vorgelegt werden. In der Regel – mit Ausnahme der qualifizierten Signatur – unterliegen sie der freien Beweiswürdigung. Da “einfache” und “fortgeschrittene” elektronische Signaturen kaum oder nur sehr grob gesetzlich definiert sind, obliegt es dem Gericht, so eine Signatur zu akzeptieren oder nicht. Die Partei, die diese Signaturen als gültig vorweisen möchte, muss hierzu die entsprechenden Beweise herbeiführen. Im Falle von Swisscom ist es hilfreich, dass auch die fortgeschrittenen Signaturen einer sehr strengen Prüfung nach dem ETSI Standard für “NCP+” Signaturen unterliegen und somit solche Auditreports herangezogen werden können. Im Falle einer qualifizierten Signatur gilt die Beweisumkehr. Da diese genau gesetzlich bestimmt ist und z.B. sowohl die Schweiz als auch Österreich im Web Validatoren für die Gültigkeiten solcher Signaturen anbieten, werden diese Signaturen erstmal als gültig angesehen, bis eine Partei das Gegenteil beweist und damit auch beweist, dass die Aufsichtsstelle oder das BAKOM sowie die Auditoren ihren Pflichten nicht nachgekommen ist.  Nach 11 Jahren in der Schweiz oder 35 Jahren in Österreich kann eine Beweisführung auch im qualifizierten Bereich Schwierigkeiten machen, da die Unterlagen zur Registrierung vernichtet werden müssen. Dennoch ist die Unterschrift immer noch als “qualifiziert” ersichtlich.

Im Rahmen einer Beweisführung nach vielen Jahren sollte auch beachtet werden, dass elektronisch archivierte Dokumente von Zeit zu Zeit immer wieder mit Zeitstempel versehen werden sollten. Es kann passieren, dass Algorithmen entschlüsselt werden und nicht mehr so robust sind. Ein Zeitstempel versiegelt das Dokument wieder mit den neuesten Algorithmen und schützt damit die Integrität des Dokumentes inklusive der Unterschriften.

Qualifizierte eIDAS Signaturen gelten nur im EU (und EWR) Raum als “qualifiziert”, genauso gelten ZertES Signaturen auch nur im Schweizer Raum als qualifiziert. D.h. bei der Rechtswahl eines dritten Staates können diese Signaturen nicht mehr ihre “qualifizierte” Wirkung erzielen oder werden ggfs. sogar nicht anerkannt.

Schweiz (QES), ZertES:

Die CP/CPS sieht vor, dass die durchgeführte Identifikation und die hinterlegte Dokumentation während max. 5 Jahren verwendet werden kann, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises vor der Fünfjahresfrist endet oder das Identifikationsverfahren seitens des Auditors keine 5 Jahre zulässt.

Die Aufbewahrungsfrist gemäss Art. 11. Abs. 1 VZertES (Tätigkeitsjournal) gilt: “Die anerkannten Anbieterinnen bewahren die Eintragungen betreffend ihre Tätigkeiten sowie die dazugehörenden Belege während elf Jahren auf.” Swisscom versteht diese Frist auch als Aufbewahrungsfrist für die im ID-Prozess vorgelegten Unterlagen, insbesondere Ausweiskopie.

1 Jahr Reserve wurde als “Sicherheitspuffer” hinzugerechnet, um zu vermeiden, dass Swisscom RA-Stellen die 11 Jahre anders berechnen könnten, wodurch Swisscom in Grenzfällen keine Dokumentation mehr hätte, wichtig insbesondere in Anwendung von Art. 17 ZertES (Unbeschränkte Haftung).

• So kommt man bei QES CH auf die 17 Jahre, welche in den Nutzungsbestimmungen  auch offengelegt werden.

Europa, (QES), eIDAS:

Gleiche Begründung und Herleitung wie bei der QES in der Schweiz nur mit dem Unterschied, dass in Österreich die gesetzliche Aufbewahrungsfrist 30 Jahre beträgt.  Der Artikel 10.1 aus dem SVG (Signatur- und Vertrauensdienstegesetz) lautet:

Zugangsrechte und Aufbewahrungsdauer

• 10. (1) Auf Ersuchen von Gerichten oder anderen Behörden hat ein qualifizierter VDA Zugang zur Dokumentation nach Art. 24 Abs. 2 lit. h eIDAS-VO und seiner Zertifikatsdatenbank zu gewähren.

(2) […].

(3) Die Dokumentation ist vom qualifizierten VDA 30 Jahre, gerechnet ab dem im qualifizierten Zertifikat eingetragenen Ende der Gültigkeit oder, mangels eines solchen, 30 Jahre ab dem Zeitpunkt des Anfallens von einschlägigen Informationen über die von dem qualifizierten VDA im Rahmen seiner Tätigkeit ausgegebenen und empfangenen Daten, aufzubewahren.

• So kommt man bei einer QES in Österreich auf die 36 Jahre, welche in den eIDAS Nutzungsbestimmungen auch offengelegt werden.

Fortgeschrittene Signaturen (eIDAS, ZertES)

Die CP/CPS sieht vor, dass die durchgeführte Identifikation und die hinterlegte Dokumentation während max. 5 Jahren verwendet werden kann, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises vor der Fünfjahresfrist endet oder das Identifikationsverfahren keine 5 Jahre zulässt.

Es gibt im Bereich FES keine gesetzliche Aufbewahrungsfristen, da die Aufbewahrungsfristen  nicht gesetzlich geregelt sind. Die ETSI-Normen sehen aber eine Frist von 7 Jahren vor. Diese Angabe ergibt sich aus der ETSI Richtlinie EN 319 411-01:

6.4.6 Records archival

The following particular requirements apply:

NOTE: ETSI TS 101 533-1 [i.13] suggests provisions on how to preserve digital data objects.

1. a) The TSP shall retain the following for at least seven years after any certificate based on these records ceases to be valid:
2. i) log of all events relating to the life cycle of keys managed by the CA, including any subject key pairs

generated by the CA (see clause 6.4.5, item g));

6. ii) documentation as identified in clause 6.3.4.

1 Jahr Reserve wurde als “Sicherheitspuffer” hinzugerechnet, um zu vermeiden, dass die Swisscom RA-Stellen die 11 Jahre anders berechnen könnten.

• So kommt man bei FES auf die 13 Jahre, welche in den Nutzungsbestimmungen offengelegt werden.

1. Mündlicher Vertragsabschluss: Sehr schwierig zu beweisen (nur mit Zeugen)
2. Signiert mit einer einfachen Signatur, z.B. eingescanntes Signaturbild: Die Generierung dieser Signatur muss im Zweifelsfalle vor Gericht geprüft werden. Da das Verfahren sehr leicht gefälscht werden kann, kommt es auch hier auf andere Beweismittel an, z.B. Zeugen.
3. FES: Für eine endgültige Feststellung des Signaturbeweises müssen auch hier beide Parteien vor Gericht gehen. Das Gericht wird einen Spezialisten beauftragen, die fortgeschrittene elektronische Signatur von Swisscom zu untersuchen. Aufgrund der Audits auch im fortgeschrittenen Bereich, kann eine sehr gute Beweisführung gelingen. Dennoch ist eine FES in der Beweiskraft schlechter als eine QES, z.B. aufgrund der 1-Faktor Authentisierung bei der Signatur (ein gestohlenes Smartphone könnte ggfs. eine Signatur auslösen), der Art und Weise der Registrierung und die Archivzeiten der Evidenzen und Logs sind auf 7 Jahre begrenzt.
4. QES: Die Verifikation der Signatur kann direkt via https://validator.ch oder https://www.signatur.rtr.at/de/vd/Pruefung.html erfolgen. Die Parteien müssen dafür nicht vor Gericht gehen. Eine Beweisführung, dass diese Feststellung eine Fälschung ist, wird schwierig sein. QES Signaturbelege werden so lange aufbewahrt, wie es auch in den Geschäftsbüchern vorgesehen ist, mehr als 10 Jahre in der Schweiz und 35 Jahre in der EU.

Aufgrund der DSGVO Bestimmungen und der Tatsache, dass es dort kein Konzernprivileg gibt, muss es im Rahmen des RA-Agenturvertrages zwischen jeder Firma des Konzerns und Swisscom einen eigenen RA-Agenturvertrag geben.

Für die Langzeitvalidierung einer Signatur empfehlen wir unbedingt den PAdES LTA Standard (siehe ETSI TS 103 172). Weitere Hinweise dazu auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . PDFs selber sollten dem PDF/A Standard erfüllen.

Bei einer Fernsignatur verwaltet Swisscom treuhänderisch die Schlüssel zu den Signaturzertifikaten. Bei einer Personensignatur werden die Signaturzertifikate nur für die Signatur erzeugt und verlieren nach ca. 10 Minuten ihre Gültigkeit. Hiermit vermeiden wir die Meldung einer Kompromittierung des Zertifikates, d.h. ein Zertifikat kann nicht kompromittiert werden. Das Verfahren hat mehrere Vorteile:

Der Endnutzer muss nicht mit Swisscom Kontakt haben (z.B. ein Userkonto, um Zertifikate zu Revozieren)

Auf Seiten der Empfänger von signierten Dokumenten entfällt das Handling mit Sperrlisten und OCSP (online Überprüfung von Gültigkeit von Zertifikaten)

Security Probleme bei Applikationen, die nur auf regelmässigen Sperrlisten Update setzen, werden vermieden

OCSP Abfragen führen zu zeitlichen Verzögerungen beim Empfänger

Zudem liefert ein Kurzzeitzertifikat immer eine positive Antwort – eine OCSP Abfrage kann immer nur eine negative Antwort geben.

Wichtig, die Unterschrift welche mit der QES geleistet wurde ist natürlich weiterhin gültig, unabhängig vom Zertifikat.

Die Kurzzeitzertifikate werden aufgrund von Registrierungen des Registrierungsservice ausgestellt, d.h. sie basieren auf Registrierung und Authentisierungsmittel. Ein Kurzzeitzertifikat wird nur erzeugt, sofern eine Authentisierung (Freigabe) im 2FA Verfahren vorliegt.

Beispiel zur Analogie im Papierumfeld: Ich unterschreibe einen Vertrag mit einem Tintenschreiber. Die Tinte im Schreiber ist nach der Unterschrift leer. Der Vertag bleibt natürlich gültig.

Bei der Unterschrift mit einer QES gelten folgende Beweisfristen:

Die Aufbewahrungsfristen der Identitätsfeststellung und des Tätigkeitjournals und damit auch die Beweisfristen betragen für EU Signaturen in Österreich (hier sind wir akkreditiert) 35 Jahre in der Schweiz 10 Jahre.

Durch die PAdES B LTA Norm können Signaturen aufgrund von Kurzzeitzertifikaten auch lange Zeit nach Ablauf validiert werden.

Die Algorithmen zur Hashbildung (Prüfsummenbildung) und Verschlüsselung des Hashes richten sich nach den Empfehlungen des ETSI Standards ETSI TS 119 312, die wiederum auch die NIS Standards befolgen. Diese Algorithmen haben bestimmte Annahmen über Zeiträume von 1->6 Jahren, in denen sie stabil sind. Entwicklungen (z.B. Cracken von Algorithmen) können hier aber schnell auch zu Änderungen führen. Swisscom Trust Services ändert z.B. jetzt wieder seine Wurzel CA, um den Anforderungen > 6 Jahren zu befolgen. Im Herbst dieses Jahres wird wiederum eine Neuauflage der Spezifikation erwartet.

Für eine Langzeitvalidierung ist es daher notwendig regelmässig die Integrität auf Basis neuester Algorithmen zu gewährleisten, z.B. jährliches Zeitstempeln aller Dokumente oder Verwendung entsprechender Archivierungslösungen. Stichwort «Beweiswerterhaltung» – siehe hierzu die DIN 31647:2015-05.

Swisscom Trust Services ist eine reine Plattformdienstleistung, die hoch standardisiert und reguliert anhand von Standardworkflows zur Abwicklung die gesetzlich vorgeschriebenen Signaturdienstleistungen allen Signierenden als Fernsignatur einer Vielzahl von Kunden in Europa zur Verfügung stellt. Das hierzu bereitgestellte Standardvertragswerk wurde bei den Aufsichtsbehörden eingereicht und/oder entsprechend auditiert. Swisscom Trust Services erbringt somit mit Ausnahme von gesondert beauftragten Beratungsleistungen im Vorfeld keine projektspezifischen Leistungen im Rahmen der Signatur oder der Registrierung oder Aufwände für Vertragsverfahren, die vom Standardvertragsworkflow abweichen.

Somit können wir allen Kunden und Partnern gleiche günstige Preise gemäss Leistungs- und Preisverzeichnis anbieten. Wir bitten um Verständnis.

Das betrifft insofern und inbesondere (aber nicht ausschliesslich) auch:

• Abschluss aller zusätzlichen Vereinbarungen und Verträge, z.B. Code of Conducts, Vereinbarungen zur Aufnahme im Lieferantenverzeichnis, Procurement Policies, Anti-Corrpution Directives, projekt- oder kundenspezifische AGBs, Datenschutzerklärungen, Datenschutzverarbeitungen, etc., da diese auch die standardisierten, regulierten Verträge aushebeln könnten.
• Änderungen an den Verträgen, insbesondere auch anwendbares Recht, abweichende Versicherungswünsche.
• Abweichungen von den Vertragsprozessen, z.B. Nutzung von weiteren Plattformen für Lieferantenregistrierung/Vertragsunterzeichnung
• Besondere Vereinbarungen zur Einsichtnahme in Architektur oder Offenlegung von Realisierungsdetails (z.B. Backupverfahren, Programmier- und Sicherheitsdetails wie Zugriffsschutz, zugänge, kryptographische Verfahren, Desaster Recovery etc.). Alle Hinweise zur Praxis der Dienstausübung veröffentlicht Swisscom in ihrer CP/CPS (https://trustservices.swisscom.com/repository ) und dem Basisdokument zur CP/CPS. Aus Sicherheitsgründen werden weitere Details keinem Kunden herausgegeben, so dass nicht ein Wissen aufgebaut werden kann, um ggfs. zielgerichtet Attacken zu entwerfen.
• Anfragen auf Anschlüsse an das betriebsinterne Monitoring, Swisscom veröffentlicht Störungen seines Service über die Web-seite https://trustservices.swisscom.com/status-service , die auch im Rahmen des RSS Protokolls abonniert wer-den kann. Darüberhinausgehende Eingriffe in das System zu Monitoringzwecken werden aus Sicherheitsgründen nicht zugelassen.

Die Zertifizierungs- und Vertrauensdienste müssen ihre Praktiken und Abläufe, wie sie einen Dienst ausführen, in einem sogenannten „CP/CPS“ (Certificate Policy/Certificate Practise Statement) Dokument beschreiben. Die Dienste werden nicht nur zu Beginn der Tätigkeit, sondern regelmässig durch staatlich anerkannte Auditoren auditiert und die Anerkennungsstelle (Schweiz) bzw. Aufsichtsstelle (EU) des Staates entscheiden anhand der Audits über die Zulassung, Weiterbetrieb oder Erweiterung der Zertifizierungsdienste und Vertrauensdienste und stellen damit den hohen Qualitätsstandard im Markt für alle Signierenden sicher. Neben den allgemeinen gesetzlichen Vorgaben müssen zahlreiche Normen der europäischen Standardisierungsstellen ETSI und CEN eingehalten werden.

Der Staat publiziert die Einhaltung der Normen und Auditstandards und damit auch die Zulassung als anerkannter Zertifizierungs- bzw. Vertrauensdienst auf seinen Webseiten:

• Schweiz:
• EU (Trust List):

Gemäß der eIDAS-Verordnung müssen die Vertrauensdiensteanbieter auf nationaler Ebene akkreditiert werden und die nationalen Gesetze, Regeln und Vorschriften der nationalen Aufsichtsbehörde befolgen, sofern nicht eine andere EU-weite Verordnung bestimmte Regeln festlegt, wie die Durchführungsbeschlüsse der EU-Kommission, z. B. für die ADES-Standards oder die Sicherheitsstufen der eID oder einige Regeln aus der eIDAS-Verordnung selbst. So hat jedes Land unterschiedliche nationale Standards für seine Vetrauensdiensteanbieter; in Deutschland muss zum Beispiel das BSI einige Aspekte genehmigen, in Frankreich das Institut ANSII. In einigen Ländern ist z.B. die Videoidentifikation vollständig erlaubt. In anderen ist sie verboten, und in Drittländern ist sie nur mit kurzfristigen Zertifikaten erlaubt.
Die EU-Verordnung eIDAS sieht jedoch vor, dass alle qualifizierten elektronischen Signaturen von einem national akkreditierten Vertrauensdiensteanbieter in einem beliebigen EU-Land von allen EU-Mitgliedern akzeptiert werden müssen. So kann ein in Frankreich akkreditierter Vertrauensdiensteanbieter seine QES, die auf den französischen Vorschriften basieren, in Deutschland verkaufen, und ein österreichischer Vertrauensdiensteanbieter, wie z.B. die Swisscom, muss nur die österreichischen Vorschriften befolgen und kann seine qualifizierten Signaturen in anderen EU-Ländern verkaufen. Die EU-Vertrauensliste ist der Standardanker und bestätigt, dass eine qualifizierte Signatur, die von einem der dort aufgeführten Vertrauensdiensteanbietern ausgestellt wurde, akzeptiert werden muss.
Mit der Version 2 der eIDAS-Verordnung werden die EU-Länder versuchen, die Teile der Akkreditierung, z.B. die Art und Weise, wie man sich für einen Dienst registrieren lassen kann, mehr und mehr zu harmonisieren, und sie wollen sogar eine EU-eWallet als Basis für die zukünftige Identifikation für jeden vertrauenswürdigen Dienst schaffen.

Auf der Website von Mobile ID finden Sie ein detailliertes FAQ für ihre Problembehandlung.

Bitte schauen Sie das FAQ von Mobile ID an, dort werden ganz viele Fragen zu Mobile ID beantwortet.

Neben einer Docusign Lizenz, muss von Docusign oder seinem Reseller das Produkt “Docusign Express SKU” erworben werden und ein Ticket für die Erstellung des Swisscom Pens (des Auswahlfeldes für die Swisscom Signatur) muss beim Docusign Support eingereicht werden. Bei Swisscom müssen Sie den Docusign Connector bestellen und einen Servicevertrag zur Signatur abschliessen.

You don’t have the correct assurance level to sign this document. Please contact the RA Agent of your company” wird als Fehlermeldung herausgegeben.

Die Gesamtprüfung im Validator zeigt die Nichtgültigkeit an, sofern eine Signatur nicht den Erfordernissen von eIDAS respektive ZertES entspricht. Da Docusign neben der QES von Swisscom ebenfalls noch ein eigenes Siegel der Firma Entrust hinzufügt, welches die Erfordernisse der Gesetzgebung nicht erfüllt wird neben der gültigen QES Signatur das Siegel moniert und führt insgesamt zu einer negativen Bewertung. Dennoch ist vor Gericht natürlich die QES gültig. Mit einem Ticket an den Docusign Support kann dieses Siegel auf Wunsch auch unterdrückt werden.

Der Docusign Validator wird selber derzeit nicht weiter gepflegt und akzeptiert keine Signaturen der Schweiz.

Bitte mit dem Docusign Support besprechen: Swisscom berechnet jeweils einen Connector pro “Docusign Customer Account ID”

Im SRS-Video Verfahren ist es möglich folgende Agenten Sprachen auszuwählen: Deutsch, Englisch, Kroatisch, Französisch und Spanisch. Der Sprachparameter muss beim Request mitgegeben werden. Siehe hierzu den Integration Guide: LINK

Bitte beachten Sie, dass die Service Zeiten für Französisch (8:00-16:00 Mo.-Fr) und Spanisch (14:00-21:00 Mo.-Fr.) eingeschränkt sind. Die Wartezeiten können bei diesen zwei Sprachen auch bis zu 6 Minuten betragen.

Nein, nach dem Klicken auf den Button wird der Prozess sofort gestartet. Es geht auch gar nicht darum, ob der betroffene RA Agent das E-Learning absolvieren „möchte“. Es geht vielmehr darum, ob Sie als verantwortlicher Master RA Agent der Meinung sind, dass dem RA Agenten eine weitere Schulung guttun würde, da Sie Wissenslücken festgestellt haben.

Im Admin Portal können Sie nur die Nutzer einsehen, die durch ihre “eigenen” RA Agenten mit der RA App identifiziert wurden. Wenn Sie eine identifizierte Person in Ihrer RA Agentur nicht finden können, dann ist diese Person entweder noch nicht für die elektronische Signatur identifiziert oder wurde durch einen RA Agenten einer anderen RA Agentur identifiziert., z.B. in einem Swisscom Shop oder auch via Video-Identifikation.

Aus datenschutzrechtlichen Gründen können User im Admin Portal nur mit der Mobilnummer gesucht werden. Bei der Suche muss diejenige Mobilnummer angegeben werden, die bei der Identifikation dieser Person hinterlegt wurde.

Nein, eine Liste aller User einer RA Agentur aus dem Admin Portal zu erhalten ist aus datenschutzrechtlichen Gründen nicht möglich.

Als Master RA Agent sehen Sie nur die RA Agenten und User derjenigen RA Agentur, bei der Sie gerade angemeldet sind. Der Name der RA Agentur wird oben rechts im Admin Portal angezeigt. Aus rechtlichen Gründen müssen die beiden RA Agenturen auseinandergehalten werden.

Im Menüpunkt der RA Agenten gibt es keinen „Resend T&C“-Button. Den „Resend T&C“ Button gibt es nur im Menüpunkt „User“, um diesen daran zu erinnern, die Nutzungsbestimmungen des Signing Services zu akzeptieren.
Hinweis: Der RA Service versendet an die identifizierten Personen automatisch Reminder für die Akzeptanz der Nutzungsbestimmungen, alle 3 Tage, maximal sind es 5 SMS. Eine identifizierte Person hat also insgesamt 15 Tage Zeit, die Nutzungsbestimmungen zu akzeptieren. Tut sie dies nicht, wird der Datensatz gelöscht und die Person muss erneut identifiziert werden.

In der Liste der „RA Agents“ gibt es die grünen kleinen Kästchen mit einem Link, z.B.:

Wenn Sie auf dieses Kästchen klicken, wird der Link zum E-Learning bzw. zum Pflichtenheft in die Zwischenablage kopiert und Sie können ihn z.B. via Mail an den angehenden RA Agenten senden.

Aber der RA Service versendet an die angehenden RA Agenten automatisch Reminder-SMS für das E-Learning, alle 3 Tage, maximal sind es 5 SMS. Wenn der angehende RA Agent das E-Learning nicht innerhalb von 15 Tagen absolviert, wird die Rollenzuweisung vom System gelöscht und muss allenfalls wiederholt werden.

Ja. Massgeblich ist hier der Status zum Zeitpunkt der Identifizierung.

Der Button „Register as agent“ kann erst dann betätigt werden, wenn der User identifiziert wurde, er die Nutzungsbestimmungen des Signing Service akzeptiert hat und mindestens 1 grüner Balken in seinem User-Eintrag vorhanden ist. Der User muss im Status „Confirmed & Signed“ sein.

Ja, das ist möglich.

Nein, bei allen Angaben und auch Eingaben im Admin Portal wird nicht zwischen Gross- und Kleinschreibung unterschieden.

Es ist nicht nötig, einem Nutzer die Befähigung elektronisch zu signieren zu entziehen (archivieren), da die Registrierung persönlich ist und der Nutzer seine Registrierung auch bei anderen Signaturportalen nutzen kann. Falls Sie dem Nutzer die Befähigung dennoch entziehen möchten, dann klicken Sie beim entsprechenden User-Eintrag auf das kleine rote Serversymbol, damit wird der Eintrag archiviert und der Nutzer kann nicht mehr signieren.

Ja. Einen RA Agenten entfernen erfolgt über den „Delete agent“- Button im RA Agenten Eintrag im Admin Portal.

Ja, organisationsfremde Personen können sich in den ausgewählten Swisscom Shops für die QES registrieren lassen. Auch Sie als RA Agent können selbstverständlich organisationsfremde Personen mit der RA App registrieren. Als Master RA Agent dürfen Sie aber keinen organisationsfremden Personen die RA Agenten Rolle in Ihrer RA Agentur zuweisen.

Möglichkeit 1: Die Person nochmals selbst mit der RA App registrieren. Dann erscheint diese Person auch im Admin Portal Ihrer RA Agentur bei Ihren Usern und Sie können ihr dann die gewünschte Rolle selbst zuweisen.

Möglichkeit 2: Die Person registriert sich mittels Video Identifikation oder im Swisscom Shop und meldet es Ihnen. Danach melden Sie uns über das Kontaktformular [Link], dass diese Person RA Agent in Ihrer RA Agentur werden soll (Option: „Unsichtbaren“ Nutzer zum RA Agenten ernennen). Bitte geben Sie unbedingt Namen und Mobilnummer dieser Person an. Wir übernehmen dann die Rollenzuweisung und geben Ihnen entsprechend Feedback.

Als Master RA Agent können Sie nicht selbst die Person einer anderen RA Agentur zuweisen, aber wir können Usern die Rolle „Master RA Agent“ in Ihrer RA Agentur zuweisen. Melden Sie uns dafür über das Kontaktformular [Link] unbedingt den Namen und Mobilnummer dieses Users (Option: „Unsichtbaren“ Nutzer zum RA Agenten ernennen). Wir übernehmen dann die Rollenzuweisung und geben Ihnen entsprechend Feedback.

Standard RA Agenten können Personen mit der RA App für die elektronische Signatur identifizieren und registrieren.

Master RA Agenten können sich zusätzlich beim Admin Portal anmelden und dort die User, RA Agenten und Master RA Agenten der eigenen RA Agentur administrieren. Ausserdem sind Master RA Agenten Ansprechpartner für Ihre Standard RA Agenten, wenn diese mal Fragen oder Probleme haben sollten. Master RA Agenten können sich wiederum mit Fragen und Problemen via Kontaktformular [Link] an uns wenden.

Zwei Master RA Agenten zu haben ist sinnvoll. Sie müssen nicht unbedingt weitere Standard RA Agenten ernennen, da Master RA Agenten ebenfalls Personen mit der RA App identifizieren können. Wir empfehlen aber grundsätzlich einen guten Mix aus Standard und Master RA Agenten für Ihre RA Agentur.

Ja, das ist problemlos möglich. Um Master RA Agent zu werden, muss die Person sich via RA App identifizieren lassen. Es spielt dabei keine Rolle, welcher RA Agentur der RA Agent angehört, der die Identifikation durchführt.

Es ist nur so, dass Sie den User-Eintrag dieser Person anschliessend nicht unter Ihren eigenen Usern im Admin Portal sehen werden. Deshalb können Sie dieser Person die Rolle des Master RA Agenten dann nicht selbst zuweisen, das müssten wir für Sie übernehmen. Eine Meldung kann über das Kontaktformular [Link] erfolgen (Option: „Unsichtbaren“ Nutzer zum RA Agenten ernennen).

Nein, ein Master RA Agent darf niemals organisationsfremden Personen die Rolle eines RA Agenten in seiner RA Agentur zuweisen. Wenn erwünscht, könnte der Kunde einen eigenen RA Agentur-Vertrag mit Swisscom abschliessen.

Sie können als Master RA Agent externe (z.B. temporäre) Mitarbeitende zum Standard RA Agenten ernennen, wenn der besagte Mitarbeitende im Auftrag ihrer Organisation arbeitet und auch einen gültigen Vertrag mit Ihrer Firma oder Organisation hat.

Bitte nicht vergessen, bei diesem externen Mitarbeiter die Rolle „RA Agent“ wieder zu löschen, falls er nicht mehr für Ihre Organisation arbeitet.

Sie dürfen für das Unternehmen agieren, das einen gültigen RA-Agentur Vertrag mit Swisscom hat und dessen Master RA Agent sie zum RA-Agenten benannt hat. Voraussetzung ist jeweils, dass sie einen laufenden Vertrag mit diesem Unternehmen haben, z.B. einen Arbeitsvertrag, temporär oder fix, einen Projektauftrag oder ähnliches. Wenn eine Person für zwei Unternehmen arbeitet, dann müssen beide Unternehmen einen RA Agentur Vertrag haben und diese Person muss in beiden RA-Agenturen eine RA-Agenten-Rolle haben, damit sie auch für beide RA Agenturen Personen identifizieren kann.

Ein kleiner Hinweis: Sie können als RA-Agent beliebig Personen identifizieren, auch Personen von fremden Unternehmen oder Privatpersonen. Es dürfen einfach keine unternehmensfremden RA-Agenten für eine RA-Agentur tätig sein.

Oft kommt es vor, dass sich ein RA Agent von sich aus beim Master RA Agenten meldet, weil er im Nachhinein unsicher ist, z.B. weil er die RA App „ausgetrickst“ hat. Oder Sie als Master RA Agent sehen im Admin Portal in den Daten Ihrer User Namen, die so nicht stimmen können, z.B. „Dtt“ statt „Ott“, oder „Alexan“ statt „Alexandra“. In solchen Fällen muss die Identifikation wiederholt werden und Sie sollten den RA Agenten auf seine Pflichten hinweisen, evtl. sogar nochmals ein Training auslösen.

Leider gibt es keine zuverlässige Methode, mit der fehlerhafte Registrierungen festgestellt werden können, ausser die konkrete Kontrolle von User-Einträgen anhand der während der Identifikation vorgelegten ID-Dokumente. Solche Prüfungen machen wir von Swisscom oder unsere Auditoren jedoch nur stichprobenartig.

Wir haben ein paar wenige Kollegen und auch Partner in Deutschland, die Identifikationen mit der RA App durchführen. Einfacher wäre es natürlich, das Video Identifikationsverfahren, SRS Bank, SRS eID oder SRS Selfie Ident zu nutzen, um Personen im EU-Raum für QES zu registrieren. Diese Identifikationen sind im Rechtsraum Schweiz für die QES leider nicht zugelassen, hier muss zwingend mittels RA App registriert werden.

Mehr Informationen hierzu findest du unter SRS Direct

Probieren Sie mal Folgendes:

• Starten Sie das Mobiltelefon neu: Ein Reboot tut bekanntlich immer gut!
• Für Nutzer von Mobile: Testen Sie Ihre Mobile ID unter mobileid.ch/login
• In folgenden Situationen müssen Sie erneut identifiziert werden.
  Sie haben,
  • Eine neue Mobilnummer
  • Eine neue SIM-Karte
  • Ein neues Mobiltelefon
  • Auf eSIM gewechselt
  • Ihre Mobile ID (SIM) bzw. Mobile ID App aktiviert, ohne den Recovery Code zu verwenden
  • Einen Wechsel der Authentisierungsmethode vorgenommen, z.B. von Mobile ID SIM auf Mobile ID App oder umgekehrt; von Passwort SMS-Code Verfahren auf Mobile ID und umgekehrt
  • Ihr sicheres Passwort geändert bei der Nutzung des Passwort/SMS-Code Verfahrens
  • Ihren Mobilfunkvertrag übertragen, bspw. auch den Provider gewechselt
  • Einen neuen Reisepass oder eine neue ID/Ausweis bekommen, da das alte Dokument abgelaufen war

Bitte prüfen Sie hier ob Sie korrekt registriert sind: https://check-signing.trustservices.swisscom.com/

Sie müssen ein erfolgreiches Ergebnis bei diesem Check haben ansonsten können Sie sich nicht einloggen: Sie müssen neu identifiziert werden.

Nach der erneuten Identifikation muss Ihnen auch die Rolle Master RA Agent neu zugewiesen werden, denn es gibt ja einen neuen User-Eintrag.

Für Nutzer in der Schweiz hat die Mobile ID auf der SIM-Karte Priorität gegenüber der Mobile ID App. Wir empfehlen sich für eine Mobile ID Methode zu entscheiden und die andere Methode zu deaktivieren. Die Deaktivierung der jeweiligen Mobile ID Methode, können Sie im Mobile ID Dashboard vornehmen: www.mobileid.ch/login

Im Admin Portal erhalten Sie keine Benachrichtigung. Nutzer bekommen 3 Monate und nochmals 1 Monat vor Ablauf von Ausweis oder Pass einen Hinweis per SMS. Und als Master RA Agent sind Sie ebenfalls ein Nutzer.

Möglichkeit 1: Sie haben nicht alle Wissensfragen beantwortet, deswegen ist das E-Learning noch nicht abgeschlossen. Bitte beantworten Sie alle Wissensfragen, so dass Ihnen der grüne Pokal angezeigt wird. Anschliessend erhältst du eine weitere SMS mit dem Link zum Pflichtenheft. Erst wenn Sie das Pflichtenheft akzeptiert haben, können Sie sich in die RA App einloggen.

Möglichkeit 2: Sie haben

• Ihr Passwort für das Password/SMS-Code Verfahren geändert bzw. neu gesetzt
• die MobileID (SIM oder App) nach deiner Identifizierung aktiviert
• MobileID neu aktiviert oder den Mobile-PIN gewechselt, ohne den Mobile ID Recovery Code zu verwenden
• Eine neue SIM-Karte, eine eSIM, eine neue Mobiltelefonnummer oder ein neues Mobiltelefon erhalten,
• Ihren Provider gewechselt

Bei jedem dieser Ereignisse kann Swisscom nicht mehr garantieren, dass die gleiche Person im Besitz der Telefonnummer ist, welche bei der Identifikation durch den RA-Agenten validiert wurde. Aus Sicherheitsgründen müssen Sie sich neu identifizieren lassen und Ihren Master RA Agent bitten, Ihnen die RA Agenten Rolle erneut zuzuweisen.

Bitte beachten: die RA Agenten Rolle muss zuerst gelöscht und anschliessend komplett neu zugewiesen werden.

Ein angehender RA Agent hat 15 Tage Zeit für das Absolvieren des E-Learnings. Wenn der RA Agent diese Frist für das Absolvieren des Basis E-Learnings verpasst, wird die Rollenzuweisung vom System gelöscht und der Master RA Agent muss die RA Agenten Rolle neu zuweisen.

Standard RA Agenten haben keinen Einblick auf die von ihnen identifizierten User.

Es geht auch ohne. Für User und RA Agenten, die die Mobile ID nicht nutzen wollen oder können, bieten wir das Passwort/SMS-Code Verfahren als Authentisierungsmethode an. Dieses Verfahren richten Sie nach der Identifikation beim Akzeptieren der Nutzungsbestimmungen für den Signing Service ein.

Kommt es zu einem Sicherheitsvorfall, analysieren wir als erstes, was genau vorgefallen ist. Dann machen wir eine Abschätzung der Auswirkungen sowie des Risikos für unseren Service und allenfalls betroffene Personen. Nach dieser Bewertung werden Massnahmen abgeleitet, die den Sicherheitsvorfall beheben und ähnliche Vorfälle vermeiden sollen. Die betroffenen Kunden werden beim Umsetzen bestimmter Massnahmen benachrichtigt und sensibilisiert.

Ein Beispiel:

Ein Kunde hat organisationfremde Personen als RA Agenten in seiner RA Agentur ernannt. Swisscom hat davon Kenntnis bekommen und einen Sicherheitsvorfall eröffnet, da dies aufgrund der Compliance Vorgaben nicht zulässig ist. Die Abschätzung und Bewertung von Swisscom hat ergeben, dass dies ein Sicherheitsvorfall für den Service ist. Daraufhin hat Swisscom den Kunden zu diesem Thema sensibilisiert und ihn aufgefordert, bei allen organisationfremden Personen die RA Agenten Rolle zu entziehen. Zusätzlich hat Swisscom das Thema in den Schulungsunterlagen geschärft.

Sobald RA Agenten in der Agentur „hinterlegt“ sind, kann der Name der RA Agentur nicht mehr angepasst werden. Bei einer Änderung des Firmennamens müssen wir eine neue RA Agentur anlegen und das Netz von RA Agenten muss neu aufgebaut werden.

Das kommt darauf an, welche Nutzungsbestimmungen eine Person nach ihrer Registrierung akzeptiert hat. Grundsätzlich empfehlen wir den Kunden, beide Nutzungsbestimmungen des Signing Service für die Rechtsräume Schweiz (nach ZertES-Bundesgesetz) und EU/EWR (nach eIDAS- Verordnung) zu akzeptieren, damit sie sich alle Möglichkeiten offenhalten.

Und dann kommt es noch darauf an, welche Signaturapplikation unserer Partner die Person für Ihre elektronische Unterschrift nutzen möchte

Wir empfehlen, zunächst die „nasse“ Signatur vorzunehmen, das Dokument anschliessend einzuscannen (als PDF) und zuletzt die elektronische Signatur anzubringen.

Allerdings sollte vorher abgeklärt werden, ob dies von den Rechtsdiensten der involvierten Parteien auch so akzeptiert wird. Wichtig ist, danach beide Versionen (die mit der „nassen“ Signatur und die elektronische Fassung) aufzuheben.

„Fortgeschritten“ und „Qualifiziert“ sind Ausdrücke aus den Signaturgesetzen und bezeichnen die „Güte“ oder Beweiskraft von elektronischen Signaturen und digitalen Zertifikaten.

Qualifizierte elektronische Signaturen sind die hochwertigsten und sind gemäss Gesetz der handschriftlichen Unterschrift gleichgesetzt. Für die Identifikation für diesen Level sowie für die Erstellung der elektronischen Signaturen und der zugrundeliegenden digitalen Zertifikate gibt es strenge Regeln, detaillierte Anweisungen für die Ausgestaltung der Signatur und hohe Auflagen, die Swisscom erfüllt. Wir sind diesbezüglich auch zertifiziert.

Fortgeschrittene elektronische Signaturen sind nicht so hochwertig und sind gesetzlich auch nicht geregelt. Sie sind lediglich als Beweismittel vor Gericht zugelassen, es muss dann z.B. während eines Gerichtsverfahrens überprüft werden und das Gericht muss die Wirkung der Unterschrift nach einer genauen Analyse würdigen. Jedoch gibt es auch für diesen Level Regularien der ETSI (Europäisches Normeninstitut) die fortgeschrittenen Signaturen in verschiedenen Qualitäten (LCP, NCP, NCP+) unterstützen. Swisscom erfüllt dabei die höchste Norm „NCP+“ und ist damit auch auditiert. Swisscom ist mit dieser auch mit einem grünen Haken in der Adobe Trust List gelistet. Ein solches Audit kann dann bei einer Beweiswürdigung als wichtiges Beweismittel helfen.

D.h. mit der qualifizierten Signatur ist man immer auf der sicheren Seite. Es hängt somit vom konkreten Fall und dem damit verbundenen Risiko ab, ob man auf eine QES verzichtet. Auch früher sind Verträge auf Handschlag (ggfs. mit Zeugen) oder einfach mit E-Mail-Austausch abgeschlossen worden, bei denen man sich sicher war, dass diese Verträge gerichtlich kaum behandelt werden würden. Ähnlich ist hier eine Bewertung für oder gegen eine QES durchzuführen.