Einführung
Dokumente sind ein wesentlicher Bestandteil des Geschäftslebens. Sie enthalten wichtige Informationen und erfüllen eine Vielzahl von Funktionen, sowohl innerhalb eines Unternehmens als auch als gängigstes und effektivstes Kommunikationsmittel mit der Außenwelt. Tatsächlich besteht eine der grundlegenden Annahmen für die effektive Erstellung und Übermittlung von Dokumenten darin, dass Dokumente ihren Ursprungsort häufig mehrere Male verlassen müssen.
Der Zweck und die Funktion eines Dokuments sind praktisch unbegrenzt. Es kann Transaktionen aufzeichnen, vertrauliche und geschützte Informationen übermitteln, zeitnahe Nachrichten bereitstellen und vieles mehr. Doch unabhängig von der spezifischen Anwendung waren und sind Dokumente immer das am weitesten verbreitete „Werkzeug“ zur Übermittlung wichtiger Informationen.
Dokumentintegrität
Sicherzustellen, dass eine Nachricht korrekt ist, dass sie tatsächlich von dem Absender stammt und dass sie auf ihrem Weg nicht verändert wurde, war im Laufe der aufgezeichneten Geschichte ein Schlüsselelement der Dokumentenübermittlung. Einige der frühesten „Technologien“, wie unsichtbare Tinte, lassen sich bis in die Zeit der Griechen und Römer zurückverfolgen. Es wurden 3500 Jahre alte ägyptische Tontafeln gefunden, die verschlüsselte Informationen enthielten. Seit der Erfindung des Papiers werden Unterschriften und Wachssiegel verwendet, um die Gültigkeit eines Dokuments nachzuweisen. Einfach ausgedrückt: Dokumente sind die Quelle der unbestreitbaren Wahrheit.
Die Technologie des 21. Jahrhunderts bringt jedoch eine Reihe neuer Risiken mit sich. Nahezu alle Kommunikationen beginnen und enden heute als elektronische Dokumente. Wir gehen davon aus, dass die Informationen, die wir benötigen, in verschiedenen Formen übermittelt und genutzt werden können – in gedruckter Form, per Fax, per E-Mail, auf einer Webseite oder in einer beliebigen Kombination dieser Formate.
Das PDF-Format ist zu Recht zum Industriestandard für elektronische Dokumente geworden. Von einem internationalen Standardisierungsgremium festgelegte und verwaltete Regeln definieren, wie Inhalte in einem PDF kodiert werden. So wird sichergestellt, dass das Dokument in einer Weise wiedergegeben wird, die mit der ursprünglichen Komposition übereinstimmt, unabhängig davon, welches Gerät oder welche Geräte zum Drucken oder Anzeigen verwendet werden.
PDFs an sich sind jedoch weder sicher noch betrugssicher. Genau wie die Papierdokumente zuvor müssen PDF-basierte elektronische Dokumente bei der Übertragung geschützt werden, um sicherzustellen, dass die darin enthaltenen Informationen nicht von unbefugten Empfängern eingesehen oder manipuliert werden. Angesichts der zahlreichen gut publizierten Datendiebstähle, Spoofing- und Phishing-Betrügereien in den letzten Jahren sind wir uns alle der Risiken bewusst, die mit den Annehmlichkeiten unserer digitalen Welt einhergehen.
Tatsächlich waren digitale Dokumente bis vor kurzem noch anfälliger als Papierdokumente. Die darin enthaltenen Informationen können relativ leicht verändert werden, ohne dass sich das Erscheinungsbild des Dokuments oder die Identität des mutmaßlichen Absenders offensichtlich ändern. Und die Folgen können für Verbraucher und Unternehmen schwerwiegend sein.
Risikoprofile für das Unternehmen
Finanzdokumente wie Transaktionsauszüge enthalten Inhalte, die automatisch und unvermeidlich die Aufmerksamkeit von Hackern, Phishern und anderen „bösen Jungs“ auf sich ziehen. Obwohl wir uns alle des Wertes persönlicher Informationen und der Wichtigkeit ihres Schutzes bewusst sind, übertragen Verbraucherschutzgesetze die Verantwortung für den Schutz von Dokumenten mit persönlichen und vertraulichen Informationen zunehmend auf Unternehmen. Wenn ein Unternehmen die Vorschriften nicht einhält, entstehen direkte und greifbare Schäden, die oft mit hohen Geldbußen und Strafen verbunden sind. Es gibt die Kosten für Programme, wie z. B. die Bereitstellung kostenloser Kreditreparaturdienste für Verbraucher, die durch gefälschte Dokumente geschädigt wurden. Und dann gibt es die indirekten und weniger greifbaren Kosten, die noch heimtückischer und langwieriger sein können, wie z. B. ein beschädigter Ruf und der Verlust zukünftiger Einnahmen aufgrund des verringerten Kundenvertrauens.
Unternehmen haben eine treuhänderische, rechtliche und sogar ethische Verantwortung, die Informationen zu schützen, die sie besitzen, insbesondere wenn sie an andere Personen, wie etwa ihre Kunden, übermittelt und von diesen abgerufen werden. Die meisten Sicherheitssysteme funktionieren auf funktionaler Ebene mit definierten Sicherheitsrichtlinien, Firewalls und anderen Tools und Verfahren zur Implementierung. Was jedoch erforderlich ist, ist eine Strategie und Lösung, die auf praktischer Dokumentebene funktioniert und jedes einzelne Dokument schützt, egal wohin es während seines Lebenszyklus führt, innerhalb und außerhalb der physischen und elektronischen Mauern des Unternehmens.
Sichere Authentifizierung
Mit Signed PDF bietet Crawford Technologies eine Lösung, die auf der Ebene des einzelnen Dokuments funktioniert, um den Inhalt des Dokuments zu verifizieren und zu schützen. Wenn ein PDF-Dokument erstellt oder aus einem anderen Format konvertiert wird, wird der Inhalt des Dokuments gelesen und zur automatischen Berechnung eines Hashwerts verwendet, wobei die gängigsten kryptografischen Hash-Algorithmen zum Einsatz kommen.
Der Hash wird zusammen mit dem öffentlichen Schlüssel des Kunden als Signatur im PDF gespeichert. Wenn der Empfänger das PDF öffnet, wird der Inhalt des PDF validiert, indem der Hash des Dokuments mithilfe des eingebetteten öffentlichen Schlüssels mit dem Hash in der digitalen Signatur verglichen wird. Das PDF sieht wie ein Standard-PDF aus, aber wenn es manipuliert wurde, wird die digitale Signatur ungültig und der Kunde erhält eine Warnung.
Alternative Lösungen
Es gibt alternative Lösungen, die einen eingeschränkteren Schutz bieten und in Verbindung mit Signed PDF verwendet werden können. Beispielsweise können PDFs vor unbeabsichtigtem Zugriff geschützt werden, indem bei ihrer Erstellung einfach ein Kennwort angegeben wird. Das kennwortgeschützte Dokument ist während der Übertragung relativ sicher, kann aber dennoch vom Empfänger oder einem Insider, der das Kennwort kennt, manipuliert werden.
Dokumente können digital signiert werden, sodass ersichtlich ist, wer das Dokument signiert hat. Dies ist jedoch nicht dasselbe wie ein signiertes PDF. Diese Art der digitalen Signatur identifiziert, wer ein Dokument erstellt oder freigegeben hat, und kann mehrere Formen annehmen. Eine davon ist ein digitales Zertifikat, ein von einem Dritten validiertes Identifizierungselement. Das Vertrauen in den Dritten (und den Validierungsprozess) gibt dem Empfänger eines Dokuments mit dieser Form der digitalen Signatur die Gewissheit, dass das Dokument von der Quelle stammt, von der es angeblich stammt. Dadurch können Spoofing und einige andere Formen des Betrugs ausgeschlossen werden, der Prozess ist jedoch nicht darauf ausgelegt, den Inhalt des Dokuments zu sichern – er identifiziert lediglich, wer es gesendet hat.
Eine weitere Form der digitalen Signatur ist die Unterschriftenerfassung. Dabei wird anstelle einer handschriftlichen Unterschrift ein elektronisches Faksimile an ein Dokument angehängt, um nachzuweisen, dass der Unterzeichner das Dokument rechtsgültig unterzeichnet. Technologien und Gesetze, die sie regeln, sind unterschiedlich, aber allgemein akzeptierte Praxis ist, dass das elektronische Faksimile anstelle einer handschriftlichen Unterschrift verwendet werden kann. Auch hier ist der Inhalt nicht geschützt. Tatsächlich ist hier ein größeres Vertrauenselement im Spiel, da es keine dritte Partei gibt, die die Identität der Person bestätigt, die das Faksimile an das Dokument anbringt.
Zusammenfassung
Als umfassende Authentifizierungslösung ist Signed PDF das zuverlässigste Format zum Kodieren von Dokumenten. Es bietet Schutz vor praktisch allen Bedrohungen, einschließlich Betrug, den die meisten anderen Schutzsysteme nicht abdecken. Es schützt die Dokumente zu jedem Zeitpunkt des Kommunikationsprozesses und, was am wichtigsten ist, über alle Kanäle, die wir heute nutzen.
Signierte PDFs bieten zu Beginn des elektronischen Lebenszyklus Schutz, der dann über alle Vertriebskanäle hinweg bestehen bleibt, auch wenn das Dokument von Parteien außerhalb des Unternehmens aufgerufen und kontrolliert wird. Aus der Sicht des Empfängers ist es einfach. Er erhält eine Warnung, wenn das empfangene PDF verändert wurde, und weiß, dass das Dokument möglicherweise nicht legitim ist.
Für den Dokumentenanbieter ist die Implementierung der leistungsstarken Funktionen von Signed PDF unkompliziert und flexibel und bietet eine Auswahl an Optionen für Integration und Verarbeitung. PDFs können im Produktions-Batchmodus oder bei Bedarf beim Abruf digital signiert werden, was dem Anbieter eine beispiellose Automatisierung und Durchsatzleistung bietet.
Signiertes PDF stellt eine einzigartige neue Gesamtlösung zum Dokumentenschutz dar.
