PDF-Signaturprüfung schlägt fehl: Diagnose und Lösungen

Der häufigste Grund für eine fehlgeschlagene Signaturprüfung: Das Signaturzertifikat ist nicht in der Vertrauensliste Ihres PDF-Viewers enthalten. Adobe Acrobat vertraut standardmäßig Zertifikaten, die von anerkannten globalen CAs ausgestellt wurden (z.B. DigiCert, GlobalSign, Comodo). Deutsche Behörden-Zertifikate (z.B. von D-Trust) müssen manchmal manuell als vertrauenswürdig eingestuft werden. Lösung in Adobe Acrobat Reader: Öffnen Sie Bearbeiten > Voreinstellungen > Signaturen > Verifikation > Weitere Informationen. Unter 'Vertrauenswürdige Zertifikate' können Sie das Zertifikat des Unterzeichners als vertrauenswürdig einstufen. Für amtliche deutsche Signaturen: Laden Sie die 'Bundesnetzagentur-Vertrauensliste' (EU TSL) in Acrobat, um alle deutschen Signaturzertifikate automatisch zu vertrauen.

1. 1Öffnen Sie das PDF in Adobe Acrobat Reader und klicken Sie auf das Signaturfeld.
2. 2Wählen Sie 'Signatureigenschaften anzeigen' > 'Unterzeichnerzertifikat anzeigen'.
3. 3Klicken Sie auf 'Zu vertrauenswürdigen Zertifikaten hinzufügen'.
4. 4Bestätigen Sie die Vertrauensstufen (Signatur, Zertifizierungsstellen).
5. 5Schließen Sie den Dialog und prüfen Sie erneut die Signatur – sie sollte jetzt gültig erscheinen.

Eine der ernsthafteren Ursachen: Das Dokument wurde nach der Unterzeichnung verändert. Digitale Signaturen werden über einen Hash-Wert des Dokumenteninhalts erstellt – wenn sich auch nur ein Bit des Inhalts ändert, stimmt der Hash nicht mehr und die Signatur wird als ungültig markiert. Das klingt alarmierend, kann aber auch durch harmlose automatische Änderungen verursacht werden: Metadaten-Aktualisierungen durch bestimmte PDF-Viewer, automatische Seitennummerierungen oder Datumsstempel durch Drucker-Software. Um zu prüfen, was geändert wurde: In Adobe Acrobat Pro gibt es unter 'Signatureigenschaften > Geänderter Inhalt verwalten' eine Ansicht, die zeigt, was nach der Signatur geändert wurde. Wenn nur Metadaten oder Anmerkungen geändert wurden und der Unterzeichner das erlaubt hat, ist die Signatur für den dokumenteninhalt trotzdem gültig. Wenn Seiteninhalt geändert wurde, ist die Signatur ungültig und das Dokument muss neu unterzeichnet werden.

PDF-Signaturprüfungen erfordern oft einen Online-Zugriff auf den OCSP-Service (Online Certificate Status Protocol) oder die Zertifikats-Sperrliste (CRL) des Zertifikat-Ausstellers, um zu prüfen, ob das Zertifikat widerrufen wurde. Wenn keine Internetverbindung besteht oder der OCSP-Service nicht erreichbar ist, kann die Prüfung fehlschlagen. Lösung: Stellen Sie eine stabile Internetverbindung sicher und versuchen Sie die Prüfung erneut. In Acrobat können Sie unter Voreinstellungen > Signaturen > Verifikation die Option 'Online-Überprüfung wenn möglich' aktivieren. Wenn das OCSP-Service dauerhaft nicht erreichbar ist (z.B. bei einem sehr alten Zertifikat), können Sie in Acrobat auch die 'Offline'-Verifikation versuchen, die nur auf dem lokalen Informationsstand basiert.

Es gibt verschiedene Signaturformate in PDFs: PAdES (PDF Advanced Electronic Signatures, European Standard), CMS/PKCS#7 (älteres Format), und proprietäre Signaturformate mancher Softwarehersteller. Wenn ein Viewer eine Signatur in einem Format erstellt hat, das ein anderer Viewer nicht vollständig unterstützt, kann die Prüfung fehlschlagen. Besonders häufig: Signaturen, die mit Adobe Acrobat erstellt wurden, können in anderen Viewern nicht immer korrekt geprüft werden. Signaturen mit deutschem eID-Basiszertifikat können in Adobe ohne die korrekte Vertrauensliste nicht verifiziert werden. Für die Prüfung von deutschen eID-Signaturen: Nutzen Sie den kostenlosen 'Governikus Prüfprotokoll-Service' des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter www.bsi.bund.de.