Elektronische Identifizierung: eIDAS ab dem 1.7.2016 im Einsatz


EU-Verordnung Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS)

 

Ab dem 1.7.2016 können in allen 28 EU-Mitgliedstaaten und im Europäischen Wirtschaftsraum (EWR – Island, Liechtenstein, Norwegen) Vertrauensdienste nach der eIDAS-Verordnung angeboten werden. Neben einer Neuregelung der elektronischen Signaturen zählen dazu auch Dienste rund um

  • elektronische Siegel und Zeitstempel,
  • Zustellung elektronischer Einschreiben und
  • Webseiten-Zertifikate.

 

 

Elektronische Identifizierung

Vereinfacht werden soll die Identifizierung für grenzüberschreitende Abwicklung von Verwaltungsdienstleistungen auf europäischer Ebene (z.B. die eID-Funktion des Personalausweises, siehe unten). Auch in der Privatwirtschaft können unter den Regeln der eIDAS-Verordnung eID-Systeme grenzüberschreitend eingesetzt werden.

Dabei wird nicht ein einheitlicher europäischer eID-Standard geschaffen, sondern es erfolgt eine gegenseitige Anerkennung der in den Mitgliedstaaten bereits vorhandenen oder künftig in den Mitgliedsländern noch einzuführenden elektronischen Identifizierungssysteme.

Aus deutscher Sicht hat die künftige Notifizierung von eIDs folgende Auswirkungen:

  • Deutsche Bürgerinnen und Bürger sollen sich künftig mit der eID-Funktion des Personalausweises und des elektronischen Aufenthaltstitels für Drittstaaten gegenüber Behörden und kommerziellen Dienstleistungen (dies aber ohne Anerkennungspflicht) anderer EU-Staaten einfach und sicher elektronisch identifizieren können. Hierzu müssen andere Mitgliedstaaten die erforderlichen technischen Voraussetzungen schaffen, damit deutsche Identifizierungsmittel in dem E-Government-Angebot des jeweiligen Mitgliedstaates zur Identifizierung deutscher Bürgerinnen, Bürger und Unternehmen genutzt werden können.
  • Zudem müssen deutsche Behörden auf allen staatlichen Ebenen die Voraussetzungen schaffen, damit sich Bürgerinnen, Bürger und Unternehmen anderer EU-Staaten mit den von ihren jeweiligen Heimatstaaten notifizierten elektronischen Identifizierungsmitteln einfach und sicher gegenüber deutschen Verwaltungsdienstleistungen identifizieren können.

Unterschieden wird zwischen den Vertrauensniveaus „niedrig“, „substanziell“ und „hoch“. Ein elektronisches Identifizierungsmittel wird nur dann als „substanziell“ oder „hoch“ anerkannt, wenn der Mitgliedstaat dieses im Rahmen eines in der eIDAS-Verordnung festgelegten Verfahrens auf dem entsprechenden Vertrauensniveau notifiziert hat.

 

 

Vertrauensdienste

Die eIDAS-Verordnung sieht Vertrauensdienste in folgenden Bereichen vor:

  • Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln,
  • Zustellung elektronischer Einschreiben,
  • Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung,
  • Bewahrung von elektronischen Signaturen, Siegeln oder Zertifikaten, die diese Dienste betreffen.

Anbieter qualifizierter Dienste, die die Konformität mit den besonderen Anforderungen an solche Dienste nach eIDAS-Verordnung nachweisen und dafür den Qualifikationsstatus verliehen bekommen, können ihre Dienste mit dem neuen Vertrauenssiegel der Europäischen Union bewerben.

 

 

Vertrauenssiegel der Europäischen Union

 

 

Praxishinweis:

Erbringen Unternehmen grenzüberschreitende Online-Dienste, kann dies eine wesentliche Erleichterung bedeuten. Dies vor allem dann, wenn Kunden aus anderen EU-Mitgliedstaaten die Online-Dienste nutzen.

Unternehmen haben dabei darauf zu achten, dass sie einen Dienstleister einsetzen, der rechtskonforme Vertrauensdienste anbietet.

 

 

 

Elektronische Signaturen, Siegel und Zeitstempel

Die Verwendung elektronischer Signaturen und Zeitstempel ist bisher durch die Signaturrichtlinie geregelt, die in Deutschland seit 2001 mit Signaturgesetz und Signaturverordnung umgesetzt wird. Das Bundesamt für Sicherheit und Informationstechnik ist als anerkannte Bestätigungsstelle verantwortlich für die Bestätigung von Produkten (Signaturerstellungseinheiten, Signaturanwendungskomponenten, Terminals und Chipkartenleser) nach dem Signaturgesetz.

Mit Einführung der eIDAS-Verordnung wird die Signaturrichtlinie aufgehoben; Signaturgesetz und -verordnung bleiben weiterhin gültig und finden dort Anwendung, wo sie der eIDAS-Verordnung nicht widersprechen.

Als neuen Dienst führt die eIDAS-Verordnung die elektronischen Siegel ein. Technisch sind diese vergleichbar mit den elektronischen Signaturen. Der wesentliche Unterschied ist die Zuordnung zu einer juristischen anstatt einer natürlichen Person (sog. Organisationszertifikate). Während mit elektronischen Signaturen eine Willenserklärung abgegeben werden kann, dient das elektronische Siegel einer Institution als Herkunftsnachweis: Es kann überall dort eingesetzt werden, wo eine persönliche Unterschrift nicht notwendig, aber der Nachweis der Authentizität gewünscht ist (z.B. bei amtlichen Bescheiden, Urkunden, Rechnungen, Kontoauszügen etc.).

Eine Zertifizierung nach der Technischen Richtlinie BSI TR-03145 erfüllt die technischen und organisatorischen Sicherheitsanforderungen der eIDAS-Verordnung für qualifizierte Signatur- und Siegelzertifikate.

 

 

Praxishinweis:

Unternehmen müssen demnach beim Einsatz eines elektronischen Siegels nicht mehr Zertifikate für jeden berechtigten Mitarbeiter ausstellen. Vielmehr kann deren Nutzung flächendeckend im Unternehmen erfolgen oder auch an bestimmte Funktionen, Bevollmächtigungen, Berechtigungen im Unternehmen gebunden werden. Das Siegel bestätigt – ähnlich wie die elektronische Signatur – den Ursprung (die Echtheit) und die Unversehrtheit eines elektronischen Dokuments des betreffenden Unternehmens.

Der Aufwand für rechtsverbindliche elektronische Prozesse und Dokumente wird somit erheblich verringert. Der Wegfall des Personen- bzw. Kartenbezugs, z.B. beim ersetzenden Scannen, vereinfacht die Abläufe.

 

 

Elektronische Zeitstempel verknüpfen Datum und Uhrzeit (basierend auf der „koordinierten Weltzeit“) mit den Daten in elektronischer Form. Durch diesen Nachweis lassen sich unbemerkte Veränderungen der elektronischen Daten weitgehend ausschließen. Bedeutung hat der qualifizierte Zeitstempel u.a. beim ersetzenden Scannen von Papierrechnungen sowie bei der beweiswerterhaltenden Langzeitspeicherung (Bewahrungsdienste für die qualifizierte elektronische Signatur).

 

 

Signatur- und Siegelerstellungseinheiten

Zur sicheren Speicherung der für die Signatur-/Siegelerstellung notwendigen kryptographischen Schlüssel werden qualifizierte Signatur-/Siegelerstellungseinheiten eingesetzt (kurz: QSEEs). Dies entspricht der sicheren Signaturerstellungseinheit nach der bisherigen Signaturgesetzgebung. Die Validierung der qualifizierten elektronischen Signatur (wie auch des Siegels) darf nur durch qualifizierte Vertrauensdienste erbracht werden.

Gemäß der eIDAS-Verordnung müssen QSEEs nach Common Criteria zertifiziert werden. Eine Liste der zugehörigen Protection Profiles wurde in einem Durchführungsrechtsakt festgelegt. Die Liste der zertifizierten Produkte findet sich hier.

 

 

Praxishinweise:

Die Signatur nach eIDAS-Verordnung ist auch dann möglich, wenn die Signaturdateien (Schlüssel) auf sicheren Servern des Dienstleisters liegen; diese müssen nicht mehr zwingend auf der Signaturkarte (Smartcard) des Nutzers gespeichert werden. Die Signatur lässt sich dann auch extern auslösen, beispielsweise über ein mobiles Endgerät (sog. Fernsignaturen, z.B. „Handy-Signatur“).

Sobald ein Eintrag der Zertifizierung in die Vertrauensliste erfolgt ist, darf das Vertrauenssiegel genutzt und der Betrieb als qualifizierter Vertrauensdiensteanbieter aufgenommen werden. Dies gibt den Anwendern die nötige Sicherheit, welcher Anbieter die Maßgaben der eIDAS-Verordnung erfüllt sowie einen vertrauenswürdigen Dienst für vertrauliche elektronische Geschäftsprozesse anbietet.

 

 

Zustellung elektronischer Einschreiben

Ein Dienst zur Zustellung elektronischer Einschreiben ist nach der eIDAS-Verordnung „ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird“. Ermöglicht wird die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln. Dabei wird u.a. der Nachweis der Absendung, Zustellung und des Empfangs der Daten/einer Nachricht erbracht. Die Dienste schützen zudem die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung.

In Deutschland regelt das De-Mail-Gesetz seit 2011 Dienste für den sicheren, vertraulichen und nachweisbaren elektronischen Geschäftsverkehr. Zuständige Behörde für diese Dienste ist das Bundesamt für Sicherheit und Informationstechnik (BSI), deren Technische Richtlinie BSI TR-01201 (De-Mail) auch eine wesentliche Grundlage der Akkreditierung entsprechender Anbieter darstellt. Welche Anforderungen an qualifizierte Dienste zur Zustellung elektronischer Einschreiben nach eIDAS-Verordnung gestellt werden, finden Sie hier.

 

 

Bewahrungsdienste

Ein Bewahrungsdienst nach der eIDAS-Verordnung ist „ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird“ und der „die Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten“ ermöglicht (beweissichere Langzeitspeicherung). Aufgrund der Zentralisierung des standardisierten Langzeitarchivs dürfte die Hardwarebindung bei der elektronischen Archivierung überflüssig werden.

[Anm. d. Red.]              

 

 

 

BC 7/2016