eIDAS

EU-Richtlinie als Wegbereiter für den digitalen Binnenmarkt

04.03.2019
Von   
Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und war von 2011 bis einschließlich 2018 CEO der Utimaco-Gruppe. Anfang Janar 2019 wechselte er die Position zum CSO (Chief Strategy Officer). Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV. Pollmann studierte Physik an den Universitäten Paderborn und Kaiserslautern und absolvierte eine Ausbildung in General Management bei INSEAD in Fontainebleau. Er ist Aufsichtsratsmitglied der International School of IT-Security (isits AG) in Bochum.
Die eIDAS-Verordnung sichert der EU bezüglich Digitalisierung auf wirtschaftlicher Ebene die Zukunftsfähigkeit. Durch ein einheitliches Sicherheitsniveau für grenzüberschreitende digitale Transaktionen eröffnen sich neue Möglichkeiten für Unternehmen.

Transaktionen zwischen zwei Unternehmen, Unternehmen und Kunden oder Behörden und Bürgern finden zunehmend online statt. Auf nationaler Ebene funktioniert das schon ganz gut. Schwieriger wird es bei grenzüberschreitenden Geschäften. Hierfür fehlte bisher ein , EU-weit einheitlicher Rechtsrahmen. Hier setzt die eIDAS-Verordnung an. Sie soll durchgehend digitale Transaktionen in Europa ermöglichen und damit die Wettbewerbsfähigkeit von europäischen Unternehmen verbessern. Sie ermöglicht einen digitalen Binnenmarkt innerhalb der EU.

eIDAS gilt seit dem 1. Juli 2016 und steht für "Electronic Identification, Authentication and Trust Services".
eIDAS gilt seit dem 1. Juli 2016 und steht für "Electronic Identification, Authentication and Trust Services".
Foto: Pe3k - shutterstock.com

Bereits am 17. September 2014 ist die EU-Verordnung 910/2014 in Kraft getreten. Sie gilt weitestgehend seit dem 1. Juli 2016 und ersetzt die bisherige EU-Signatur-Richtlinie 1999/93/EG. eIDAS steht für "electronic IDentification, Authentication and trust Services". In Deutschland wird auch von IVT gesprochen, was sich von "Identifizierung und Vertrauensdienste für elektronische Transaktionen" ableitet.

Das regelt eIDAS

eIDAS umfasst EU-weite Regelungen zu zwei wichtigen Bereichen: die elektronische Identifikation (eID) und Vertrauensdienste. Zur elektronischen Identifikation dient zum Beispiel die Online-Ausweisfunktion des Personalausweises. Seit dem 29. September 2018 sind EU-Länder zudem dazu verpflichtet, die jeweiligen elektronischen Identifizierungsdokumente der anderen Länder anzuerkennen.

Digital, schnell und sicher – Vertrauensdienste für Privatpersonen am Beispiel eines Kreditantrags.
Digital, schnell und sicher – Vertrauensdienste für Privatpersonen am Beispiel eines Kreditantrags.
Foto: Utimaco

Vertrauensdienste sind Services, die Herkunft, Vertrauenswürdigkeit und Unveränderbarkeit eines Dokuments garantieren, bei bindenden Verträgen sind diese also essentiell. eIDAS stellt sicher, dass solche Dienste EU-weit denselben Sicherheitsstandards und demselben rechtlichen Rahmen folgen. Die Verordnung sieht daher Services in folgenden Bereichen vor:

Digitale Signaturen

Mit einer elektronischen Signatur können Anwender digitale Dokumente rechtssicher und komfortabel über PC, Tablet und Smartphone unterschreiben. Juristische Personen wie Behörden, Organisationen oder Unternehmen verwenden dafür ein elektronisches Siegel. Elektronische Zeitstempel dienen dazu, Dokumente eindeutig einem bestimmten Zeitpunkt zuzuordnen. Sie stellen zudem sicher, dass die Dokumente ab diesem Zeitpunkt nicht mehr verändert wurden.

Nachverfolgung und Vertrauenswürdigkeit

Die wahrscheinlich wichtigste und bekannteste, nachvollziehbare Briefdienstleistung ist und bleibt das Einschreiben. Dabei ist nicht nur die Identität des Absenders garantiert, sondern auch die Zustellung. Damit dies auf digitalem Weg genauso gut funktioniert wie postalisch, müssen die entsprechenden Vertrauensdienste-Anbieter nachweisen können, dass die Daten abgesendet und empfangen wurden. Im Rahmen der eIDAS wurde zudem ein qualifiziertes Website-Zertifikat eingeführt. Es ordnet eine Website eindeutig einer Person oder Organisation zu. So weiß ein Anwender, dass hinter einer Internetpräsenz auch tatsächlich eine vertrauenswürdige Person oder ein seriöses Unternehmen steht - und nicht der nächste Internetbetrug lauert.

Rechtssichere Speicherung

Damit elektronische Signaturen, Siegel und Zertifikate sicher eingesetzt werden können und auch bei archivierten Dokumenten auf lange Zeit Bestand haben, müssen sie rechtssicher gespeichert werden. Diese Leistung erbringen die Bewahrungsdienste.

Die Fernsignatur und was man dafür braucht

Eine der wichtigsten Neuerungen von eIDAS ist die Fernsignatur. Ein Anwender kann jetzt einen Vertrauensdiensteanbieter beauftragen, ein Dokument in seinem Namen zu signieren. Das bedeutet Entlastung. Unternehmen brauchen keine eigene Signaturerstellungseinheit mehr und müssen sich auch nicht um das Schlüsselmanagement kümmern. Lediglich ein mobiles Gerät, wie sein Smartphone oder Tablet wird benötigt.

Vertrauen als Service: im Fokus der eIDAS-Verordnung steht die Fernsignatur.
Vertrauen als Service: im Fokus der eIDAS-Verordnung steht die Fernsignatur.
Foto: Utimaco

Dienstleister, die einen Fernsignatur-Service anbieten möchten, brauchen eine qualifizierte Signatur- / Siegelerstellungseinheit (QSEE). Sie besteht aus einem zertifizierten Signatur-Aktivierungsmodul (SAM) und einem zertifizierten Hardware-Sicherheitsmodul (HSM) als Kryptographie-Einheit. Um größtmögliche Sicherheit zu gewähren, gilt es, beides in einer manipulationssicheren Umgebung zu betreiben. Das SAM dient dazu, den Signaturvorgang zu autorisieren. Es verifiziert die Daten, um den Signaturprozess auszulösen, und aktiviert den zugehörigen Signatur-Schlüssel im Kryptographie-Modul. Dieses wiederum erstellt, verwaltet und speichert die Schlüssel sicher und verwendet sie für den eigentlichen Signaturvorgang.

eIDAS nimmt Fahrt auf

Obwohl die eIDAS-Verordnung bereits 2014 verabschiedet wurde, kommt ihre Umsetzung in Deutschland erst jetzt so richtig in Schwung. Seit 2016 können sich Vertrauensdiensteanbieter für das EU-Vertrauenssiegel qualifizieren, indem sie ihre eIDAS-Konformität nachweisen. Seitdem haben die Trust Center angefangen, ihre Verfahren umzustellen. Manche technischen Richtlinien befinden sich noch in der finalen Phase der Definition. Dennoch nimmt die Umsetzung Fahrt auf und wird künftig Prozesse quer über alle Branchen hinweg verbessern.