GoSign-Sicherheitslücke erschüttert digitale Signatur-Branche

Eine kritische Schwachstelle in der GoSign Desktop-Anwendung wirft neue Fragen zur Sicherheit elektronischer Signaturen auf. Während Branchenführer wie Docusign und Adobe ihre Plattformen verstärken, zeigt der Vorfall: Die Bedrohungslage verschärft sich dramatisch.

Am 15. November entdeckten Sicherheitsforscher mehrere gravierende Schwachstellen in GoSign Desktop, einer Signaturlösung des italienischen Anbieters Tinexta InfoCert, die von Behörden und Unternehmen europaweit genutzt wird. Die Lücken ermöglichten potenziell Remote-Code-Ausführung durch Angreifer – ein Albtraum-Szenario für digitale Geschäftsprozesse.

Besonders brisant: Der Hersteller veröffentlichte zwar am 4. November einen Patch, verschwieg jedoch eine wesentliche Schwachstelle im Zusammenhang mit der TLS-Verschlüsselung. Diese Informationslücke blieb im Update unbehoben. Das Unternehmen verzichtete zudem auf eine öffentliche Ankündigung und erwähnte die Sicherheitslücke nicht einmal im Changelog.

Passend zum Thema digitale Signaturen und IT‑Sicherheit: Studien zeigen, dass 73% der deutschen Unternehmen auf Cyberangriffe nicht ausreichend vorbereitet sind — ein Risiko, das auch Signatur‑Tools und Vertragsabläufe gefährdet. Dieses kostenlose E‑Book erklärt aktuelle Bedrohungen, pragmatische Schutzmaßnahmen für Signaturplattformen und konkrete Schritte für Admins und Entscheider, um Lücken zu schließen. Inklusive Checkliste für sichere Konfigurationen und Update‑Prozesse. Jetzt kostenlosen Cyber-Security-Report herunterladen

Branchenriesen rüsten auf

Die Reaktion der Marktführer ließ nicht lange auf sich warten. Docusign präsentierte am 17. November umfangreiche Sicherheitsverbesserungen in seinen November-Versionshinweisen. Dazu zählen erweiterte Aktivitätsprotokolle für Maestro-Workflows und optimierte Telefonauthentifizierung.

Einen Tag zuvor, am 14. November, wurde das Unternehmen zum sechsten Mal in Folge als Leader im Gartner Magic Quadrant für Contract Life Cycle Management ausgezeichnet. Die KI-gestützte Intelligent Agreement Management-Plattform setzt offenbar Maßstäbe.

Auch Adobe zieht nach: Die kürzlich aktualisierten Vorabversionshinweise zu Acrobat Sign kündigen einen „Digital Signature Mode for Sender” an. Diese Funktion soll digitale Signaturanforderungen durchsetzen und Compliance bei regulierten Transaktionen sicherstellen.

Fünf Sicherheitsregeln für Nutzer

Was bedeutet das konkret für Anwender? Experten empfehlen dringend folgende Maßnahmen:

Multi-Faktor-Authentifizierung (MFA) aktivieren: Diese Zusatzschicht verlangt neben dem Passwort einen zweiten Nachweis – etwa per SMS-Code oder Authenticator-App. Das Risiko unberechtigter Zugriffe sinkt drastisch.

Audit-Trails systematisch prüfen: Ein lückenloser Prüfpfad dokumentiert jede Aktion am Dokument – inklusive Zeitstempel, IP-Adressen und Authentifizierungsmethoden. Regelmäßige Kontrollen können verdächtige Aktivitäten frühzeitig aufdecken.

Anbieter-Compliance überprüfen: Sicherheitsversprechen allein reichen nicht. Achten Sie auf international anerkannte Standards wie SOC 2 Type II und ISO 27001-Zertifizierungen. Diese unabhängigen Audits belegen echtes Sicherheitsengagement.

Signaturtypen unterscheiden: Eine einfache elektronische Signatur ist nicht dasselbe wie eine digitale Signatur. Letztere nutzt Public Key Infrastructure (PKI), verschlüsselt die Signatur und bettet einen digitalen Fingerabdruck ins Dokument ein. Jede nachträgliche Änderung macht die Signatur sofort ungültig.

Software aktuell halten: Installieren Sie Sicherheitsupdates umgehend – selbst wenn Hersteller sich in Schweigen hüllen.

Die Quanten-Bedrohung am Horizont

Der GoSign-Vorfall offenbart jedoch nur die Spitze des Eisbergs. Am 17. November warnten Sicherheitsexperten vor dem „Q-Day” – jenem Moment, an dem Quantencomputer leistungsfähig genug sein werden, um heutige Verschlüsselungsstandards zu knacken.

Das würde die gesamte digitale Vertrauensinfrastruktur kompromittieren, einschließlich der digitalen Zertifikate und Public-Key-Systeme, auf denen elektronische Signaturen basieren. Ein Wettlauf gegen die Zeit hat begonnen.

Das US-amerikanische National Institute of Standards and Technology (NIST) hat bereits neue Post-Quanten-Standards fertiggestellt, darunter CRYSTALS-Dilithium für digitale Signaturen. Die Integration dieser Algorithmen in die globale Finanz- und Geschäftswelt wird allerdings eine Herkulesaufgabe.

KI, Biometrie und digitale Brieftaschen

Die Zukunft verspricht dennoch Fortschritte. Mit der eIDAS 2.0-Verordnung führt Europa die EU Digital Identity Wallet ein – eine staatlich zertifizierte Smartphone-App zur sicheren Verwaltung offizieller Dokumente und Identitätsnachweise. Neue Vertrauensdienste wie elektronische Attributbescheinigungen werden die Online-Identitätsprüfung grundlegend verändern.

Auf der CAIRO ICT 2025-Konferenz diskutierten Experten zudem KI-gestützte „Smart Agency”-Szenarien, bei denen Künstliche Intelligenz stellvertretend für Menschen signieren könnte. Biometrische Authentifizierung per Fingerabdruck oder Gesichtserkennung entwickelt sich parallel zum Standard für Identitätsprüfungen.

Schnellere, sicherere digitale Vereinbarungen stehen in Aussicht – vorausgesetzt, die grundlegenden Sicherheitsherausforderungen werden endlich konsequent angegangen.

PS: Sie möchten Ihre digitalen Unterschriften und Vertragsprozesse schnell absichern, ohne das IT‑Budget zu sprengen? Unser Gratis-Leitfaden zeigt, wie kleine Maßnahmen große Wirkung erzielen — von Zugangssteuerung über MFA bis zu Patch‑Management und Monitoring. Ideal für IT‑Verantwortliche und Sicherheitsbeauftragte, die pragmatische, sofort umsetzbare Schritte suchen. Gratis-Leitfaden zur IT‑Sicherheit für Unternehmen herunterladen