Kurze Antwort
Quick Answer
Sicheres Zertifikat-Teilen bedeutet, Qualitätsdokumente – MTCs, CoCs, ZfP-Berichte – über einen kontrollierten Kanal an Kunden zu übermitteln, der den Empfänger authentifiziert, den Zugriff protokolliert, unbefugte Weitergabe verhindert und Ihre internen Systeme nicht offenlegt. Die Optionen reichen von verschlüsselter E-Mail mit zugangskontrollierten Links bis hin zu zweckgebauten Kundenportalen mit dokumentenspezifischen Berechtigungen.
Wenn ein Kunde ein Zertifikat anfordert, ist die einfachste Reaktion, ein PDF an eine E-Mail anzuhängen und es zu senden. Das Problem liegt nicht beim PDF – es liegt bei allem, was E-Mail nicht leisten kann: Zustellungsbestätigung, Nachweis darüber, wer das Dokument aufgerufen hat, Versionskontrolle bei Ablösung des Zertifikats und jegliche Garantie, dass das Dokument nicht an unbefugte Parteien weitergeleitet wurde.
Für Qualitätszertifikate – die proprietäre Werkstoffdaten, Wärmerückverfolgbarkeit und Lieferanteninformationen enthalten – ist kontrollierte Verteilung eine echte Anforderung, kein theoretisches Anliegen.
Was „sicher" für die Zertifikatsverteilung bedeutet
Sicherheit beim Zertifikat-Teilen umfasst mehrere verschiedene Eigenschaften:
Authentifizierung: Der Empfänger ist, wer er vorgibt zu sein. Sie teilen mit dem richtigen Kundenkontakt, nicht mit einer unverifizierten E-Mail-Adresse.
Autorisierung: Der Empfänger ist berechtigt, die spezifischen geteilten Dokumente zu empfangen. Ein Kunde sollte nur auf Zertifikate seiner eigenen Bestellungen zugreifen können – nicht auf Aufträge anderer Kunden.
Vertraulichkeit: Der Inhalt ist bei Übertragung und Speicherung geschützt. Verschlüsselte Übertragung und zugangskontrollierte Speicherung.
Audit-Trail: Ein Protokoll darüber, wer wann auf was zugegriffen hat. Wenn Fragen zur Dokumentauthentizität oder zum Zeitpunkt entstehen, können Sie genau nachweisen, wann das Zertifikat geteilt und aufgerufen wurde.
Integritätsverifizierung: Das empfangene Dokument stimmt mit dem gesendeten Dokument überein – es wurde nicht bei der Übertragung oder nach der Lieferung verändert.
Persistente Zugriffskontrolle: Wenn der Zugriff auf ein geteiltes Dokument widerrufen werden muss – weil der Empfänger die Rolle gewechselt hat, das Zertifikat abgelöst wurde oder die Geschäftsbeziehung endete – können Sie ihn widerrufen, ohne sich darauf verlassen zu müssen, dass der Empfänger seine Kopie löscht.
E-Mail bietet keine dieser Eigenschaften zuverlässig. Ein sicherer Freigabemechanismus bietet sie alle.
Häufige Zertifikat-Freigabeszenarien und ihre Risiken
Szenario 1: E-Mail-Anhang (Häufigste Methode, am wenigsten kontrolliert)
Per E-Mail gesendete PDFs sind:
- Nach dem Senden nicht verfolgbar – Sie haben keine Sichtbarkeit, ob sie geöffnet, weitergeleitet oder gedruckt wurden
- Unwiderruflich – wenn ein Zertifikat abgelöst wird oder ein Fehler gefunden wird, können Sie das Original nicht zurückrufen
- Ungesichert – E-Mail ist standardmäßig nicht verschlüsselt; Anhänge können bei der Übertragung abgefangen werden
- Nicht authentifiziert – jeder, der die weitergeleitete E-Mail erhält, besitzt das Dokument
E-Mail-Anhänge sind für wenig sensible Dokumente und vertrauensvolle langfristige Kundenbeziehungen akzeptabel. Sie sind unzureichend für regulierte Branchen, sensible Aufträge oder Kontexte, in denen die Dokumentenkontrolle auditiert wird.
Szenario 2: Freigegebener Ordner (Bequem, hohes Risiko)
Einem Kunden Zugang zu einem freigegebenen Ordner (Dropbox, SharePoint, Google Drive) zu geben, erzeugt:
- Keine Einschränkung darüber, worauf er innerhalb dieses Ordners zugreifen kann
- Keine Zugriffskontrolle pro Dokument oder pro Auftrag
- Keinen aussagekräftigen Audit-Trail des Zugriffs
- Exposition, wenn das Kundenkonto kompromittiert wird
- Keine Möglichkeit, die Weitergabe zu kontrollieren
Ordnerbasiertes Teilen ist weit verbreitet, weil es einfach ist. Es scheitert an nahezu jedem Sicherheits- und Auditkriterium.
Szenario 3: Lieferantenportal des Kunden (Sein System, Ihre Daten)
Viele große Kunden verlangen, dass Lieferanten Zertifikate direkt in ihr Lieferantenportal hochladen. Dies ist aus Kundenperspektive sicher – sie kontrollieren den Zugang. Aus Ihrer Sicht bedeutet es:
- Sie haben über Ihre eigenen Protokolle hinaus keinen Nachweis darüber, was von wem hochgeladen wurde
- Sie können nicht überprüfen, ob das Dokument korrekt empfangen wurde
- Das Portal bewahrt möglicherweise keine Dokumente über die Aufbewahrungsfrist des Kunden hinaus auf
- Sie sind abhängig von der Verfügbarkeit des Systems des Kunden und seiner Aufzeichnungsführung
Das Hochladen in ein Kundenportal erfüllt die Lieferanforderung, sollte aber Ihr eigenes Aufbewahrungssystem nicht ersetzen. Behalten Sie Ihre eigene Kopie.
Szenario 4: Zweckgebautes Zertifikat-Freigabe-Portal (Höchste Kontrolle)
Ein zweckgebautes Portal für die Freigabe von Qualitätsdokumenten bietet:
- Kundenseitige Zugriffskontrollen – jeder Kunde sieht nur seine eigenen Zertifikate
- Dokumenten- oder auftragsbezogene Zugriffsberechtigungen – teilen Sie genau das, was autorisiert ist
- Ablaufende Links mit optionaler erneuter Authentifizierung
- Zugriffsprotokolle, die zeigen, wer welches Dokument eingesehen oder heruntergeladen hat
- Zugriffsbenachrichtigung (nützlich zur Zustellungsbestätigung)
- Dokumentenablösung – wenn ein aktualisiertes Zertifikat das Original ersetzt, wird der Kunde zur neuen Version geleitet
- Keine Offenlegung interner Systeme, ERP-Daten oder Informationen anderer Kunden
Dies ist das angemessene Modell für jede Organisation, die regelmäßig an mehrere Kunden liefert und Qualitätsaudits unterliegt.
Technische Umsetzung: Was ein sicheres Freigabesystem erfordert
Ob Sie ein Freigabesystem aufbauen oder bewerten – diese technischen Eigenschaften sind relevant:
Zugriffssteuerungsarchitektur
Jede Dokumentenfreigabe sollte auf folgendes beschränkt sein:
- Einen bestimmten Kunden (Mandantenisolierung – keine kundenseitige übergreifende Sichtbarkeit)
- Einen bestimmten Auftrag, eine Bestellung oder eine Lieferung (nicht die gesamte Zertifikatsbibliothek)
- Einen bestimmten autorisierten Kontakt oder eine Gruppe von Kontakten beim Kunden
Rollenbasierter Zugriff auf Empfängerseite: Manche Kontakte benötigen Lesezugriff; andere benötigen möglicherweise Download-Rechte.
Linkbasiertes Teilen mit Authentifizierung
Sichere Links sollten:
- Pro Empfänger oder pro Freigabeereignis eindeutig sein
- Zeitlich begrenzt sein (Ablaufdatum dem Verwendungszweck angemessen)
- Optional eine Empfängerauthentifizierung erfordern (E-Mail-Verifizierung, Passwort oder SSO)
- In einem Zugriffsprotokoll erfasst werden, wenn sie angeklickt oder heruntergeladen werden
Ein Link, der für jeden funktioniert, der ihn besitzt, auf unbegrenzte Zeit, ist kein sicheres Teilen – es ist ein anderes Verteilungsmodell.
Anforderungen an das Auditprotokoll
Für regulierte Branchen muss das Auditprotokoll folgendes erfassen:
- Dokumentenkennung
- Freigabeereignis: Zeitstempel, wer die Freigabe autorisiert hat, Empfänger
- Zugriffsereignis: Zeitstempel, Empfängeridentität, Aktion (Einsehen, Herunterladen, Drucken)
- Eventuelle Widerrufsereignisse
Dieses Protokoll muss unveränderlich sein – es darf nachträglich nicht bearbeitet werden können.
Dokumentenintegrität
Das geteilte Dokument muss manipulationssicher sein. Optionen:
- PDF mit kryptografischer digitaler Signatur von der Zertifikatsautorität Ihrer Organisation
- Hash-Verifizierung – der Empfänger kann den Dokumenten-Hash mit dem Original abgleichen
- Wasserzeichen – datums- und empfängerspezifische Wasserzeichen, die unbefugte Weitergabe erschweren
Keine Offenlegung interner Systeme
Der externe Zugang zu Ihrem Zertifikatsportal muss vollständig von Ihrem internen Netzwerk, ERP oder Betriebssystemen isoliert sein. Das Portal arbeitet mit den minimal notwendigen Daten – es stellt nur freigegebene, finalisierte Zertifikate bereit – und bietet keinen Weg zu internen Systemen, selbst wenn ein Kundenkonto kompromittiert wird.
Was Sie Kunden sagen, die „Direktzugang" fordern
Manche Kunden fordern direkten Zugang zu Ihrem System – ein Login zu Ihrem ERP oder Dokumentenmanagementsystem, damit sie Zertifikate selbst abrufen können. Die Sicherheitsargumente gegen eine solche Gewährung sind stark:
- Direkter Systemzugang legt interne operative Daten jenseits von Zertifikaten offen
- Ein kompromittiertes Kundenkonto wird zu einer Bedrohung innerhalb Ihres Perimeters
- Sie können nicht kontrollieren, worauf ein Kunde zugreift, sobald er ein System-Login hat
- Das Risiko einer kundenseitigen Datenvermischung ist erheblich
Die angemessene Antwort ist, ein zweckgebautes Freigabeportal anzubieten, das Kunden Self-Service-Zugang zu ihren eigenen Zertifikaten gibt – ohne Systemzugang. TestCert bietet dieses Modell: Kunden erhalten eine dedizierte, zugangskontrollierte Ansicht ihrer eigenen Dokumentation. Nichts weiter.
Was ist das häufigste Sicherheitsrisiko beim Zertifikat-Teilen heute?
Das häufigste Risiko ist unkontrollierte Verteilung über E-Mail-Weiterleitung. Ein Zertifikat, das an einen Kontakt in einer Kundenorganisation gesendet wurde, kann intern, an Subunternehmer oder – im schlimmsten Fall – in Foren veröffentlicht oder an Wettbewerber weitergegeben werden. Für Dokumente mit proprietären Werkstoffchemiedaten ist dies ein echtes geistiges Eigentumsanliegen. Linkbasiertes Teilen mit Zugriffskontrollen und Auditprotokollierung eliminiert den Großteil dieses Risikos.
Haben Kunden das Recht, Originale zu erhalten, oder können wir Kopien senden?
Dies hängt von den Anforderungen des Kunden-PO und der anwendbaren Norm ab. Die meisten Qualitätsrahmenwerke akzeptieren authentifizierte Kopien oder PDF-Versionen anstelle von Papieroriginalen. Manche ASME-Anwendungen verlangen handschriftlich unterzeichnete Originale für bestimmte Dokumenttypen. Pharmakunden nach 21 CFR Part 11 können Aufzeichnungen verlangen, die die Anforderungen an elektronische Aufzeichnungen erfüllen. Klären Sie dies beim Auftragseingang – PDF ist für die meisten kommerziellen Fertigungen akzeptabel, sofern der Kunde nichts anderes angibt.
Wie gehen wir mit einem Kunden um, der sagt, er habe ein von uns gesendetes Zertifikat nie erhalten?
Ein zweckgebautes Freigabesystem mit Zugriffsprotokoll eliminiert die meisten dieser Streitfälle – Sie können das Freigabeereignis und das Zugriffsereignis (oder dessen Fehlen) nachweisen. Bei E-Mail ist „nie erhalten" viel schwieriger aufzulösen. Best Practice: Verwenden Sie zustellungsverfolgte Freigabe-Links statt E-Mail-Anhängen und senden Sie eine Folgebenachrichtigung, wenn der Link nach einem definierten Zeitraum nicht aufgerufen wurde. Fordern Sie bei kritischen Lieferungen eine schriftliche Empfangsbestätigung der Dokumentation.
Können wir einen Standard-Dateifreigabedienst wie SharePoint oder Dropbox für das Kunden-Zertifikats-Teilen verwenden?
Diese Dienste können mit geeigneter Konfiguration genutzt werden, erfordern aber sorgfältige Zugriffssteuerungseinrichtung. Jeder Kunde muss einen vollständig isolierten Bereich haben – keine gemeinsamen Ordner für mehrere Kunden. Der Zugriff muss auf Dokument- oder Ordnerebene konfiguriert sein, nicht nur auf Site-Ebene. Auditprotokollierung muss aktiviert und überwacht werden. Der einfachste und auditierteste Ansatz ist eine zweckgebaute Qualitätsdokument-Freigabelösung statt der Anpassung eines allgemeinen Dateispeichers.
Was sollte mit geteilten Zertifikaten geschehen, wenn die Kundenbeziehung endet?
Wenn eine Kundenbeziehung endet, widerrufen Sie den aktiven Freigabezugang, sodass der Kunde keine Dokumente mehr aus dem Portal herunterladen kann. Bewahren Sie Ihre eigenen Kopien der geteilten Zertifikate für die erforderliche Aufbewahrungsfrist auf – das Ende einer Kundenbeziehung beendet nicht Ihre Aufbewahrungspflicht. Dokumentieren Sie den Zugriffswiderruf und die auf archivierte Aufzeichnungen angewendete Aufbewahrungsrichtlinie.
Ready to automate your certificate workflow?
Try TestCert free