What is the difference between electronic and digital signatures?

An electronic signature is any electronic indication of intent to sign (typed name, drawn signature, click-to-sign). A digital signature uses cryptographic certificates to verify identity and detect tampering.

Are PDF digital signatures legally binding?

Yes, in most jurisdictions. The US ESIGN Act, EU eIDAS regulation, and similar laws in 60+ countries recognize digital signatures as legally equivalent to handwritten signatures.

What does the green checkmark mean on a signed PDF?

It means the signature is valid: the signer's identity is verified by a trusted certificate authority, and the document has not been modified since signing.

Can I sign a PDF for free?

Yes. Tools like ThePDF's signature tool, LibreOffice Draw, and Okular allow free PDF signing. For legally binding digital signatures, you need a certificate from a CA.

What happens if a signed PDF is modified?

The signature becomes invalid. PDF viewers show a warning that the document was altered after signing. The cryptographic hash no longer matches.

PDF-Digitale Signaturen: Wie sie funktionieren und warum sie wichtig sind

31. März 2026 · 12 Min. Lesezeit

Digitale Signaturen sind zum Rückgrat sicherer Dokumenten-Workflows in Wirtschaft, Verwaltung und rechtlichen Kontexten geworden. Im Gegensatz zu einem einfachen gescannten Signaturbild verwendet eine digitale PDF-Signatur kryptografische Technologie, um Authentizität nachzuweisen, Manipulationen zu erkennen und rechtliche Gültigkeit zu bieten, die vor Gericht Bestand hat.

Ob Sie Verträge unterzeichnen, behördliche Einreichungen vornehmen oder interne Genehmigungen verwalten – das Verständnis der Funktionsweise digitaler Signaturen hilft Ihnen, die richtige Lösung zu wählen und häufige Fallstricke zu vermeiden, die Ihre Dokumente ungültig machen können.

Inhaltsverzeichnis

Elektronische vs. digitale Signaturen: Den Unterschied verstehen
Wie digitale Signaturen funktionieren: Die technische Grundlage
Zertifikatstypen und Vertrauensstufen
Signaturvalidierung und Verifizierungsprozess
Rechtliche Stellung und regulatorische Compliance
So implementieren Sie digitale Signaturen in Ihrem Workflow
Schritt für Schritt: Wie man ein PDF digital signiert
Häufige Probleme und Fehlerbehebung
Best Practices für die Verwaltung digitaler Signaturen
Zukünftige Trends in der Technologie digitaler Signaturen
Häufig gestellte Fragen
Verwandte Artikel

Elektronische vs. digitale Signaturen: Den Unterschied verstehen

Die Begriffe „elektronische Signatur" und „digitale Signatur" werden häufig synonym verwendet, repräsentieren aber grundlegend unterschiedliche Technologien mit unterschiedlichen Sicherheitsmerkmalen und rechtlichen Implikationen.

Eine elektronische Signatur ist jede elektronische Angabe der Absicht, ein Dokument zu unterzeichnen. Diese breite Kategorie umfasst getippte Namen, gescannte Signaturbilder, Checkbox-Vereinbarungen und sogar das Klicken auf eine „Ich akzeptiere"-Schaltfläche. Elektronische Signaturen stützen sich hauptsächlich auf Audit-Trails und Authentifizierungsmethoden wie E-Mail-Verifizierung oder SMS-Codes zur Identitätsfeststellung.

Eine digitale Signatur hingegen ist eine spezifische Art elektronischer Signatur, die Public Key Infrastructure (PKI) und kryptografische Zertifikate verwendet. Digitale Signaturen erstellen einen mathematischen Beweis dafür, dass das Dokument nicht verändert wurde und dass der Unterzeichner einen spezifischen privaten Schlüssel besitzt, der von einer vertrauenswürdigen Zertifizierungsstelle verifiziert wurde.

Merkmal	Elektronische Signatur	Digitale Signatur
Definition	Jede elektronische Angabe der Absicht zu unterzeichnen	Kryptografische Signatur mit PKI-Zertifikaten
Technologie	Variiert (Bild, getippter Text, Klick-Tracking)	Public/Private-Key-Kryptografie mit Hash-Funktionen
Beispiele	Getippter Name, gezeichnete Signatur, Klick-zum-Akzeptieren	Zertifikatsbasierte Signatur mit Hash-Verifizierung
Identitätsverifizierung	Variiert (E-Mail, Telefon, SMS oder keine)	Zertifizierungsstelle verifiziert Identität vor Ausstellung
Manipulationserkennung	Kein eingebauter Mechanismus	Ja – jede Änderung macht die Signatur ungültig
Rechtliches Gewicht	In den meisten Fällen gültig unter ESIGN/UETA	Höchstes rechtliches Gewicht, besonders unter EU eIDAS
Typische Kosten	Normalerweise kostenlos oder günstiges Abonnement	Zertifikatskosten 20-300 €/Jahr je nach Typ
Am besten geeignet für	Allgemeine Geschäftsdokumente, interne Genehmigungen	Behördliche Einreichungen, regulierte Branchen, hochwertige Verträge

Für die meisten persönlichen und routinemäßigen geschäftlichen Anwendungsfälle sind elektronische Signaturen ausreichend und bequemer. Digitale Signaturen werden unerlässlich, wenn Sie Folgendes benötigen:

Regulatorische Compliance in Branchen wie Gesundheitswesen (HIPAA), Finanzen (SOX) oder Pharmazie (21 CFR Part 11)
Behördliche Dokumenteneinreichungen (Steuererklärungen, Genehmigungsanträge, Gerichtsdokumente)
Grenzüberschreitende Rechtsvereinbarungen, bei denen eIDAS oder ähnliche Vorschriften gelten
Hochwertige Verträge, bei denen das Streitrisiko die zusätzliche Sicherheit rechtfertigt
Langfristige Dokumentenarchivierung mit verifizierbarer Authentizität (10+ Jahre)

Profi-Tipp: Wenn Sie unsicher sind, welchen Typ Sie benötigen, prüfen Sie Ihre Branchenvorschriften oder fragen Sie Ihren Rechtsbeistand. Viele Organisationen verwenden elektronische Signaturen für interne Workflows und digitale Signaturen für externe Rechtsdokumente.

Wie digitale Signaturen funktionieren: Die technische Grundlage

Digitale Signaturen basieren auf Public Key Infrastructure (PKI), derselben kryptografischen Technologie, die HTTPS-Websites, verschlüsselte E-Mails und VPN-Verbindungen sichert. Das Verständnis der grundlegenden Mechanik hilft Ihnen, Probleme zu beheben und fundierte Entscheidungen über die Zertifikatsauswahl zu treffen.

Der Vier-Schritte-Signaturprozess

Schritt 1: Hash-Erstellung
Wenn Sie ein PDF signieren, erstellt die Software zunächst einen kryptografischen „Fingerabdruck" des Dokumenteninhalts mithilfe einer Hash-Funktion (typischerweise SHA-256 oder SHA-512). Dieser Hash ist eine Zeichenfolge fester Länge, die das Dokument eindeutig repräsentiert – selbst die Änderung eines einzelnen Zeichens erzeugt einen völlig anderen Hash.

Schritt 2: Verschlüsselung mit privatem Schlüssel
Der Hash wird dann mit Ihrem privaten Schlüssel verschlüsselt, den nur Sie besitzen. Dieser verschlüsselte Hash wird zur eigentlichen digitalen Signatur. Da nur Ihr privater Schlüssel diese spezifische verschlüsselte Ausgabe erstellen kann, beweist dies, dass Sie (und nur Sie) das Dokument signiert haben.

Schritt 3: Einbettung in das PDF
Der verschlüsselte Hash wird zusammen mit Ihrem öffentlichen Zertifikat (das Ihren öffentlichen Schlüssel und Identitätsinformationen enthält) direkt in die PDF-Dateistruktur eingebettet. Die PDF-Spezifikation enthält dedizierte Signaturfelder, die das visuelle Erscheinungsbild des Dokuments bewahren und gleichzeitig diese kryptografischen Daten hinzufügen.

Schritt 4: Verifizierung durch Empfänger
Wenn jemand das signierte PDF öffnet, entschlüsselt die Reader-Software automatisch die Signatur mit Ihrem öffentlichen Schlüssel (aus dem eingebetteten Zertifikat), berechnet einen neuen Hash des aktuellen Dokumenteninhalts und vergleicht die beiden. Wenn sie übereinstimmen, wird das Dokument als seit der Signierung unverändert verifiziert.

Die drei Sicherheitsgarantien

Dieser kryptografische Prozess bietet drei kritische Sicherheitseigenschaften:

Authentifizierung – Der Unterzeichner ist, wer er vorgibt zu sein, verifiziert durch eine vertrauenswürdige Zertifizierungsstelle, die seine Identität vor Ausstellung des Zertifikats validiert hat
Integrität – Das Dokument wurde seit der Signierung nicht verändert. Selbst eine einzelne Pixeländerung oder Metadatenmodifikation führt zum Scheitern der Validierung
Nichtabstreitbarkeit – Der Unterzeichner kann nicht glaubhaft leugnen, das Dokument signiert zu haben, da nur sein privater Schlüssel die Signatur hätte erstellen können

Schneller Tipp: Ihr privater Schlüssel sollte niemals Ihren Computer oder Hardware-Token verlassen. Legitime Signaturdienste fordern Sie niemals auf, Ihren privaten Schlüssel hochzuladen oder zu teilen – wenn sie das tun, ist es keine echte digitale Signatur.

Zeitstempel-Autoritäten und Langzeitvalidierung

Eine kritische, aber oft übersehene Komponente ist die Zeitstempel-Autorität (TSA). Wenn Sie ein Dokument signieren, fügt ein vertrauenswürdiger Zeitstempel-Server einen kryptografisch verifizierten Zeitstempel hinzu, um genau zu beweisen, wann die Signatur erstellt wurde.

Dies ist wichtig, weil Zertifikate ablaufen, typischerweise nach 1-3 Jahren. Ohne vertrauenswürdigen Zeitstempel könnte eine Signatur ungültig werden, sobald das Zertifikat abläuft, selbst wenn das Dokument signiert wurde, während das Zertifikat gültig war. Der Zeitstempel beweist, dass die Signatur während der Gültigkeitsdauer des Zertifikats erstellt wurde, was eine Langzeitvalidierung (LTV) für Dokumente ermöglicht, die jahrzehntelang verifizierbar bleiben müssen.

Zertifikatstypen und Vertrauensstufen

Nicht alle digitalen Signaturzertifikate sind gleich. Der Typ des von Ihnen verwendeten Zertifikats bestimmt, wie viel Vertrauen Empfänger in Ihre Signatur setzen und ob sie automatisch von PDF-Readern validiert wird.

Zertifikatstyp	Ausgestellt von	Vertrauensstufe	Typische Kosten	Bester Anwendungsfall
Selbstsigniert	Sie erstellen es selbst	Niedrig (Empfänger muss manuell vertrauen)	Kostenlos	Interne Dokumente, Tests, persönliche Nutzung
Klasse 1 (E-Mail-validiert)	Kommerzielle CA	Mittel (E-Mail-Besitz verifiziert)	20-50 €/Jahr	Risikoarme Geschäftsdokumente, Routineverträge
Klasse 2 (Identitätsvalidiert)	Kommerzielle CA	Hoch (behördlicher Ausweis verifiziert)	75-150 €/Jahr	Rechtsverträge, Finanzdokumente, Personalakten
Klasse 3 (Organisationsvalidiert)	Kommerzielle CA	Sehr hoch (Organisation verifiziert)	150-300 €/Jahr	Unternehmenseinreichungen, behördliche Einreichungen, hochwertige Verträge
Qualifiziert (eIDAS)	EU-qualifizierter TSP	Höchste (gleichwertig mit handschriftlich)	200-500 €/Jahr	EU-Rechtsdokumente, grenzüberschreitende Vereinbarungen, Regierungsverträge

Adobe Approved Trust List (AATL)

Damit ein Zertifikat automatisch in Adobe Acrobat und Reader (die die Mehrheit der PDF-Nutzer repräsentieren) vertraut wird, muss die ausstellende Zertifizierungsstelle auf der Adobe Approved Trust List (AATL) stehen. Dies ist eine kuratierte Liste von CAs, die Adobe auf Sicherheitspraktiken und Zuverlässigkeit geprüft hat.

Zu den wichtigsten AATL-Mitgliedern gehören DigiCert, GlobalSign, Entrust, IdenTrust und Sectigo. Wenn Sie ein Zertifikat von einem dieser Anbieter erwerben, sehen Empfänger beim Öffnen Ihrer signierten Dokumente keine Vertrauenswarnungen.

Hardware-Token vs. Software-Zertifikate

Digitale Signaturzertifikate können auf zwei Arten gespeichert werden:

Software-Zertifikate werden als verschlüsselte Dateien auf Ihrem Computer oder in cloudbasierten Schlüsselverwaltungssystemen gespeichert. Sie sind bequem, aber potenziell anfällig, wenn Ihr Computer kompromittiert wird