GlobalSign Blog

01 Sep 2017

Die eIDAS-Signaturverordnung und was sie für Unternehmen bedeutet

Im Online-Umfeld Vertrauen aufzubauen ist einer der Schlüssel für die wirtschaftliche und soziale Entwicklung. Mangelndes Vertrauen führt dazu, dass Verbraucher, Unternehmen und Behörden eher zögerlich sind elektronische Transaktionen und Dienste zu nutzen. Erst recht, wenn sie fürchten, dass die Rechtssicherheit nicht gegeben ist.

eIDAS ist ein EU-Standard für das Signieren und Beglaubigen von elektronischen Dokumenten. Dank der elektronischen Signaturen soll das Verschicken sicher und konsistenter ablaufen. Ein Faktor, der entscheidend dazu beiträgt, das notwendige Vertrauen zu schaffen.

Was ist eIDAS?

eIDAS dient dazu, das Vertrauen in elektronische Transaktionen im Binnenmarkt der EU zu stärken. Die Verordnung fungiert als gemeinsame Grundlage für die sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlicher Verwaltungen. Öffentliche und private Online-Dienstleistungen und der elektronische Geschäftsverkehr sollen effizienter ablaufen und der elektronische Handel in der Union gesteigert werden.

Die Verordnung ersetzt die aktuelle Signaturverordnung. Sie beseitigt damit die  zwischen den europäischen Ländern bestehenden gesetzlichen Unterschiede in Bezug auf digitale Signaturen. eIDAS wurde vom Rat für Allgemeine Angelegenheiten im Juli 2014 angenommen, und die Regulierungen für Vertrauensdienste traten zum 1. Juli 2016 in Kraft. Die verbindliche gegenseitige Anerkennung von elektronischen Identitäten (eIDs) gilt ab Mitte 2018. eIDAS umfasst Authentifizierung, Signatur-Siegel, registrierte Zustellungsdienste und Zeitstempel.

Was kann eIDAS?

Die Signaturverordnung (Richtlinie 1999/93/EG) gibt es seit 15 Jahren. Was ihr fehlt sind definierte Pflichten für die nationale Aufsicht von Dienstanbietern. Neue Technologien, die seit der Umsetzung der Richtlinie entwickelt wurden, sind nicht berücksichtigt.

eIDAS hebt die alte Verordnung für digitale Signaturen auf eine neue Ebene und will:

  • Grenzüberschreitende elektronische Transaktionen sicherer und vertrauenswürdiger machen.
  • Transparenz und Standardisierung im EU-Markt ermöglichen.
  • Haftung gewährleisten.
  • Bürgern, die in einen anderen EU-Mitgliedstaat umziehen, helfen, den bürokratischen Aufwand Online-Verwaltung reduzieren.
  • Verwaltungslasten für Unternehmen verringern, das heißt, Gemeinkosten senken und Gewinne erhöhen.
  • Mehr Flexibilität und Komfort bei Serviceleistungen der Behörden.

Für wen ist eIDAS?

Alle Personen oder Unternehmen, die in der EU operieren und elektronische Signaturen zu Identitätsverifizierung und für elektronische Transaktionen einsetzen, sollten sicherstellen, dass sie diese Verordnungen einhalten.

e-Signaturen im Sinne von eIDAS – qualifizierte versus  fortgeschrittene versus elektronische Siegel

Die eIDAS-Verordnung enthält Definitionen für fortgeschrittene elektronische Signaturen (AdES) und qualifizierte elektronische Signaturen (QES). Sie werden festgelegt um beim Signieren von Dokumenten für Konsistenz in allen EU-Mitgliedstaaten zu sorgen. Sowohl AdES als auch QES weisen die Identität des Unterzeichners nach und sind das Äquivalent zu einer handschriftlichen Unterschrift.

Der Hauptunterschied zwischen beiden liegt in der Akzeptanz durch andere EU-Mitgliedstaaten (d. h. andere Staaten als das Herkunftsland des Vertrauensdiensteanbieters). AdES kann von anderen Mitgliedstaaten akzeptiert werden, QES muss akzeptiert werden. Es ist außerdem beachtenswert, dass einer AdES die Rechtswirkung und Zulässigkeit als Beweismittel in Gerichtsverfahren nicht deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie nicht alle Anforderungen einer qualifizierten elektronischen Signatur erfüllt.

eIDAS führt zusätzlich die Anerkennung von elektronischen Siegeln ein.  Sie entsprechen Signaturen, betreffen aber nur juristische Personen und Körperschaften. Firmen können so Dokumente als Abteilung signieren, statt einen autorisierten Unterzeichner verwenden zu müssen.

Zeitstempel sollen bei allen elektronischen Signaturen eingesetzt werden, um die mit der Signierung verknüpfte Zeit zu verifizieren.

Sicherheitsniveau

Artikel 8 der neuen Verordnung legt drei Sicherheitsstufen für Identifizierungssysteme fest, die direkt proportional zu ihrer Rechtswirkung sind - niedrig, substanziell und hoch. Unabhängig vom Sicherheitsniveau sind Staaten, die ein Identitätssystem notifiziert haben, für dieses, die Registrierung der Datenbearbeiter und Identitäts- und Authentifizierungsanbieter im notifizierten System, haftbar.

Leider ist die Formulierung in der Verordnung an dieser Stelle etwas vage und wenig hilfreich, wenn es um das Erklären von Thesen geht:

“Das Sicherheitsniveau „niedrig“ bezieht sich auf ein elektronisches Identifizierungsmittel im Rahmen eines elektronischen Identifizierungssystems, das ein begrenztes Maß an Vertrauen in die beanspruchte oder behauptete Identität einer Person vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Überprüfungen — deren Zweck in der Minderung der Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung besteht — gekennzeichnet ist.” (Quelle)

Man sieht aber auch, wie vorhandene Signatur-Berechtigungsnachweise in diesen mehrstufigen Ansatz passen. Zum Beispiel:

  1. Niedrige Sicherheit bietet begrenztes Vertrauen in die Identität des Unterzeichners. Diese Art von Berechtigungsnachweis weist nur die Inhaberschaft einer E-Mail-Adresse nach.
  2. Substanzielle Sicherheit bietet ein begrenztes Maß an Vertrauen in die behauptete Identität eines Unterzeichners. Um dieses Sicherheitsniveau zu erreichen, müssen Sie eventuell die Inhaberschaft einer E-Mail-Adresse und die Identität des Unterzeichners nachweisen.
  3. Hohe Sicherheit bietet ein hohes Maß an Vertrauen in die behauptete Identität einer Person. Neben dem Nachweis der Identität der Person, umfasst eine Signierung mit hoher Sicherheit beispielsweise auch das Unternehmen, das die Person vertritt.

eIDAS-Regelungen für Vertrauensdiensteanbieter

Damit elektronische Signaturen die eIDAS-Qualifikationen erfüllen, müssen sie über ein digitales Zertifikat erstellt werden, das bei einem "Vertrauensdiensteanbieter", wie einer Zertifizierungsstelle (Certificate Authority (CA)), erworbenen wurde. Es liegt in der Verantwortung des Vertrauensdiensteanbieters, die von eIDAs festgelegten Richtlinien zu befolgen.

Sie verifizieren die Identität von Attributen der Person, der das Zertifikat ausgestellt wird und haben darüber hinaus weitere Verpflichtungen:

  1. Die Person muss persönlich anwesend sein (für niedrige Sicherheit reicht die elektronische Anwesenheit)
  2. Sie unterrichten die Aufsichtsstelle über alle Änderungen bei der Erbringung ihrer Vertrauensdienste und einen beabsichtigten Widerruf von Zertifikaten.
  3. Sie schulen Personal in Bezug auf Best Practices für die Sicherheit und den Schutz personenbezogener Daten.
  4. Sie speichern Daten und Zertifikate sicher und zuverlässig und ergreifen Maßnahmen gegen Datenfälschung und Datendiebstahl.
  5. Sie bewahren Daten über Zertifikate auch nach dem Widerruf eines Zertifikats für einen angemessenen Zeitraum auf. Das sollte in einer Zertifikatdatenbank erfolgen, wo alle Änderungen, wie z. B. Widerruf, registriert sind.

Zusammenfassung

Die eIDAS-Regelungen sind an vielen Stellen vage formuliert und legen keine bestimmte Technologie oder einen bestimmten Validierungsprozess fest. Das hat zur Folge, dass die Definitionen durchaus unterschiedlich interpretiert werden können.

Aber was wir aus der Verordnung zumindest erahnen können ist, dass ein Gericht oder eine Behörde erkennen muss, dass eine elektronische Signatur mit einer von einem Vertrauensdiensteanbieter ausgestellten Signierung kryptografisch signiert und zeitgestempelt ist, um Manipulationen zu vermeiden.

Wir halten Sie weiter zu eIDAS auf dem Laufenden, beispielsweise dazu, wie vorhandene digitale Signatur-Lösungen in die Verordnung passen.

Melden Sie sich zu unserem Webinar an um mehr über digitale Signaturen zu erfahren, z. B. wie sie funktionieren, was sie zu einer praktikablen Alternative für handschriftliche Unterschriften macht und Optionen wie Sie digitale Signaturen am besten in Ihre Workflows integrieren.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren