:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die eIDAS-Verordnung Mit eIDAS mehr Vertrauen und Effizienz im Business
Noch sind grenzüberschreitende, durchgehend digitale Geschäfte in der EU schwierig. Das soll sich ändern. Denn ein digitaler europäischer Binnenmarkt ist wichtig, um weltweit konkurrenzfähig zu bleiben. Mit der eIDAS-Verordnung hat die EU-Kommission den rechtlichen Rahmen dafür geschaffen. Was bedeutet eIDAS für Unternehmen? Und welche Chancen eröffnen sich?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Durchgehend digitale Prozesse ermöglichen es Unternehmen, schneller und agiler zu handeln und Kosten zu sparen. Das ist heute unerlässlich, um auf einem globalisierten Markt wettbewerbsfähig zu bleiben. Doch gerade bei Vertragsabschlüssen oder im behördlichen Bereich ist oft noch eine Unterschrift auf Papier nötig. Dokumente müssen ausgedruckt und verschickt werden, oder es ist gar die persönliche Anwesenheit des Unterzeichners nötig. Das bremst Prozesse aus und führt zu Medienbrüchen, die fehleranfällig sind.
Zwar gibt es in den einzelnen EU-Ländern bereits etliche Dienste, die digitale Signaturen und einen elektronischen Identitätsnachweis einsetzen. Grenzüberschreitende digitale Transaktionen waren bisher jedoch kompliziert, weil ein einheitlicher Sicherheitsstandard fehlte. Mit der eIDAS-Verordnung, kurz für „EU-Verordnung 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“, hat die EU-Kommission nun einen gemeinsamen rechtlichen Rahmen geschaffen und so den Weg für einen digitalen europäischen Binnenmarkt bereitet. eIDAS wurde am 17. September 2014 verabschiedet und gilt weitestgehend seit dem 1. Juli 2016. Erst jetzt kommt ihre Umsetzung aber nach und nach in Schwung.
:quality(80)/images.vogel.de/vogelonline/bdb/1534100/1534192/original.jpg "Digital, schnell und sicher – Vertrauensdienste für Privatpersonen am Beispiel eines Kreditantrags.")
:quality(80)/images.vogel.de/vogelonline/bdb/1534100/1534193/original.jpg "Elektronische Siegel ermöglichen unter anderem komplett digitale Bewerbungsverfahren – ganz ohne beglaubigte Kopien.")
:quality(80)/images.vogel.de/vogelonline/bdb/1534100/1534194/original.jpg "Vertrauen als Service: Im Fokus der eIDAS-Verordnung steht die Fernsignatur.")
:quality(80)/images.vogel.de/vogelonline/bdb/1534100/1534195/original.jpg "Wer pro Tag Zehntausende Dokumente elektronisch signieren oder siegeln muss, sollte in eine QSEE vor Ort investieren.")
eIDAS im Kurzüberblick
eIDAS umfasst Regelungen zu zwei Bereichen: die elektronische Identifikation (eID) und Vertrauensdienste. Als eID dürfen die EU-Länder weiterhin ihre bereits eingeführten, individuellen Lösungen behalten. In Deutschland ist das die Online-Ausweisfunktion des Personalausweises. Seit dem 29. September 2018 müssen die Mitgliedsstaaten aber die jeweiligen elektronischen Identifizierungsdokumente der anderen Länder anerkennen. Unter die Vertrauensdienste fallen Services in vier Bereichen: Die Erstellung, Überprüfung und Validierung von elektronischen Signaturen (eSignature), Siegeln (eSeal) und elektronischen Zeitstempeln (eTimestamp), die Zustellung von elektronischen Einschreiben, Zertifikate für die Website-Authentifizierung und die Bewahrung von elektronischen Signaturen, Siegeln und Zertifikaten.
Qualifizierte Zertifikate und elektronische Unterschriften
Ein wichtiger Vertrauensdienst ist die Bereitstellung von eIDAS-konformen Zertifikaten, mit denen die Authentizität einer Website garantiert wird. Denn wenn ein Anwender digitale Transaktionen online durchführt, muss er sicher sein, dass hinter einer Internetpräsenz auch tatsächlich eine vertrauenswürdige Person oder ein seriöses Unternehmen steht, zum Beispiel die dargestellte Bank oder Behörde. Ein qualifiziertes Zertifikat ordnet die Website eindeutig einer Person oder Organisation zu.
Möchte eine Person oder ein Unternehmen Dokumente digital unterzeichnen, ist eine sichere elektronische Unterschrift nötig. Für natürliche Personen ist dies die qualifizierte elektronische Signatur, für juristische Personen wie Organisationen und Unternehmen das qualifizierte elektronische Siegel. Signatur und Siegel belegen die Identität des Unterzeichners eindeutig und garantieren, dass das Dokument nach dem Unterzeichnen nicht mehr verändert wurde. eIDAS-konforme Signaturen und Siegel beruhen auf Public-Key-Infrastruktur, müssen von einer qualifizierten elektronischen Signatur- und Siegelerstellungseinheit erstellt werden und ein qualifiziertes Zertifikat nutzen.
:quality(80)/images.vogel.de/vogelonline/bdb/805700/805793/original.jpg "Elektronische und handgeschriebene Unterschriften schließen sich gegenseitig nicht aus. (© jd-photodesign - Fotolia.com)")
Elektronische Signatur
Ist die Unterschrift bald nichts mehr wert?
Das brauchen Sie für die elektronische Unterschrift
Bisher war es für Anwender recht kompliziert, ein Dokument elektronisch zu unterschreiben. Sie benötigten dafür eine eigene Signaturerstellungseinheit, zum Beispiel eine Chipkarte, und mussten sich um die Aufbewahrung und das Management der Schlüssel selbst kümmern. Mit eIDAS wird das deutlich einfacher. Als eine der wichtigsten Neuerungen führt die Verordnung die elektronische Fernsignatur ein. Damit können Anwender den gesamten Prozess der Schlüsselerstellung, Schlüsselverwaltung und elektronischen Unterschrift an einen Vertrauensdiensteanbieter auslagern. Dieser signiert ein Dokument dann im Auftrag des Anwenders, wobei sich der Unterzeichnungsprozess zum Beispiel ganz einfach per App auf dem Smartphone anstoßen lässt.
Vertrauensdiensteanbieter, die die elektronische Fernsignatur anbieten möchten, brauchen dafür eine qualifizierte Signatur- und Siegelerstellungseinheit (QSEE). Sie setzt sich aus einem Hardware-Sicherheitsmodul (HSM) als Kryptographie-Einheit und einem Signatur-Aktivierungsmodul (SAM) zusammen. Das HSM generiert, speichert und verwaltet die Schüssel und führt den eigentlichen Signaturvorgang durch. Das SAM wiederum autorisiert den Signaturprozess und löst ihn aus. Es verifiziert die Daten für die Signatur und aktiviert den zugehörigen Schlüssel im HSM. Sowohl HSM als auch SAM müssen in einer manipulationssicheren Umgebung betrieben werden. Dabei kann das SAM entweder extern auf einem Standardserver oder intern im HSM laufen. Letzteres hat für Entwickler den entscheidenden Vorteil, dass sie Teile der HSM-Zertifizierung weiterverwenden können und von bestehenden Sicherheitsvorkehrungen profitieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1525500/1525559/original.jpg "Bochumer Forscher haben eine Methode entdeckt, um digital signierte PDF-Dokumente zu verändern, ohne die Signatur dabei ungültig werden zu lassen. (gemeinfrei)")
Sicherheitslücke in digitalen Signaturen
Forscher umgehen PDF-Signaturen
Was bringt eIDAS in der Praxis?
eIDAS vereinfacht digitale Prozesse über alle Branchen hinweg und soll sogar für KMU Geschäftsabläufe sicherer und effizienter machen. So werden zum Beispiel Bankgeschäfte für Kunden noch komfortabler, indem sie schnell und unkompliziert online einen Kredit beantragen können. Im behördlichen Bereich wird es möglich, online an einer europaweiten Ausschreibung teilzunehmen und den kompletten Vorgang digital abzuwickeln. Auch für den Gesundheitssektor ist eIDAS interessant. So können Ärzte und Krankenhäuser die qualifizierte elektronische Signatur zum Beispiel nutzen, um Arztbriefe zu unterzeichnen oder die Patientenaufnahme zu vereinfachen. Patienten erhalten die Dokumente für die Aufnahme im Krankenhaus dann elektronisch und unterzeichnen mit einer Signatur-App am Smartphone. Die Unterlagen können anschließend medienbruchfrei weiterverarbeitet werden.
Fazit
Mit eIDAS will die EU-Kommission den Weg für den digitalen Binnenmarkt bereiten und so für wirtschaftlichen Aufschwung sorgen. Der rechtliche Rahmen dafür ist gesteckt. Bisher haben in Deutschland jedoch erst fünf Prozent der Organisationen eIDAS weitestgehend oder vollständig umgesetzt – so eine Studie von Fraunhofer FOKUS. Es besteht also noch Handlungsbedarf. Für Unternehmen, die Vertrauensdienste anbieten wollen, ist jetzt der richtige Zeitpunkt, aktiv zu werden.
Über den Autor: Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und war von 2011 bis 2019 CEO der Utimaco Gruppe. Anfang Januar 2019 wechselte er die Position zum CSO (Chief Strategy Officer). Neben einem Master Abschluss in Physik an den Universitäten Paderborn und Kaiserslautern hat Malte Pollmann eine Ausbildung in General Management bei INSEAD in Fontainebleau genossen. Parallel zu seiner Arbeit bei Utimaco ist er auch im Aufsichtsrat der ‚International School of IT-Security‘ isits AG, Bochum.
(ID:45804198)
:quality(80)/p7i.vogel.de/wcms/bc/56/bc569df2055a071b322e72e49e4acba4/0109626074.jpeg "Bei der Nutzung von digitalen Diensten in Deutschland ist immer noch Luft nach oben, insbesondere im Vergleich zum Rest der EU. Nutzer entscheiden sich aufgrund von Bedenken, oder Unwissenheit, oft für analoge Prozesse, wo digitale Verfahren schon längst zur Verfügung ständen. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/2d/dd2d73c173c13d187969b615dc001a52/0114780632.jpeg "Das Klischee, dass Deutsche gegenüber neuen Technologien eher konservativ eingestellt sind, wird durch eine aktuelle Studie bestätigt. Stefan Auerbach, CEO von Utimaco interpretiert die Ergebnisse. (Bild: Kiattisak - stock.adobe.com)")