Die eIDAS-Verordnung

Mit eIDAS mehr Vertrauen und Effizienz im Business

| Autor / Redakteur: Malte Pollmann / Peter Schmitz

Elektronische Identifikati­ons- und Trust-Services wie eSignature, eTime­stamp und eSeal sollen die grenzüberschreitenden Geschäftsabläufe von Unternehmen sicherer und effizienter machen.
Elektronische Identifikati­ons- und Trust-Services wie eSignature, eTime­stamp und eSeal sollen die grenzüberschreitenden Geschäftsabläufe von Unternehmen sicherer und effizienter machen. (Bild: gemeinfrei)

Noch sind grenzüberschreitende, durchgehend digitale Geschäfte in der EU schwierig. Das soll sich ändern. Denn ein digitaler europäischer Binnenmarkt ist wichtig, um weltweit konkurrenzfähig zu bleiben. Mit der eIDAS-Verordnung hat die EU-Kommission den rechtlichen Rahmen dafür geschaffen. Was bedeutet eIDAS für Unternehmen? Und welche Chancen eröffnen sich?

Durchgehend digitale Prozesse ermöglichen es Unternehmen, schneller und agiler zu handeln und Kosten zu sparen. Das ist heute unerlässlich, um auf einem globalisierten Markt wettbewerbsfähig zu bleiben. Doch gerade bei Vertragsabschlüssen oder im behördlichen Bereich ist oft noch eine Unterschrift auf Papier nötig. Dokumente müssen ausgedruckt und verschickt werden, oder es ist gar die persönliche Anwesenheit des Unterzeichners nötig. Das bremst Prozesse aus und führt zu Medienbrüchen, die fehleranfällig sind.

Zwar gibt es in den einzelnen EU-Ländern bereits etliche Dienste, die digitale Signaturen und einen elektronischen Identitätsnachweis einsetzen. Grenzüberschreitende digitale Transaktionen waren bisher jedoch kompliziert, weil ein einheitlicher Sicherheitsstandard fehlte. Mit der eIDAS-Verordnung, kurz für „EU-Verordnung 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“, hat die EU-Kommission nun einen gemeinsamen rechtlichen Rahmen geschaffen und so den Weg für einen digitalen europäischen Binnenmarkt bereitet. eIDAS wurde am 17. September 2014 verabschiedet und gilt weitestgehend seit dem 1. Juli 2016. Erst jetzt kommt ihre Umsetzung aber nach und nach in Schwung.

eIDAS im Kurzüberblick

eIDAS umfasst Regelungen zu zwei Bereichen: die elektronische Identifikation (eID) und Vertrauensdienste. Als eID dürfen die EU-Länder weiterhin ihre bereits eingeführten, individuellen Lösungen behalten. In Deutschland ist das die Online-Ausweisfunktion des Personalausweises. Seit dem 29. September 2018 müssen die Mitgliedsstaaten aber die jeweiligen elektronischen Identifizierungs­dokumente der anderen Länder anerkennen. Unter die Vertrauensdienste fallen Services in vier Bereichen: Die Erstellung, Überprüfung und Validierung von elektronischen Signaturen (eSignature), Siegeln (eSeal) und elektronischen Zeitstempeln (eTimestamp), die Zustellung von elektronischen Einschreiben, Zertifikate für die Website-Authentifizierung und die Bewahrung von elektronischen Signaturen, Siegeln und Zertifikaten.

Qualifizierte Zertifikate und elektronische Unterschriften

Ein wichtiger Vertrauensdienst ist die Bereitstellung von eIDAS-konformen Zertifikaten, mit denen die Authentizität einer Website garantiert wird. Denn wenn ein Anwender digitale Transaktionen online durchführt, muss er sicher sein, dass hinter einer Internetpräsenz auch tatsächlich eine vertrauenswürdige Person oder ein seriöses Unternehmen steht, zum Beispiel die dargestellte Bank oder Behörde. Ein qualifiziertes Zertifikat ordnet die Website eindeutig einer Person oder Organisation zu.

Möchte eine Person oder ein Unternehmen Dokumente digital unterzeichnen, ist eine sichere elektronische Unterschrift nötig. Für natürliche Personen ist dies die qualifizierte elektronische Signatur, für juristische Personen wie Organisationen und Unternehmen das qualifizierte elektronische Siegel. Signatur und Siegel belegen die Identität des Unterzeichners eindeutig und garantieren, dass das Dokument nach dem Unterzeichnen nicht mehr verändert wurde. eIDAS-konforme Signaturen und Siegel beruhen auf Public-Key-Infrastruktur, müssen von einer qualifizierten elektronischen Signatur- und Siegelerstellungseinheit erstellt werden und ein qualifiziertes Zertifikat nutzen.

Ist die Unterschrift bald nichts mehr wert?

Elektronische Signatur

Ist die Unterschrift bald nichts mehr wert?

16.12.14 - Mit der neuen eIDAS-Verordnung soll der Austausch elektronischer Unterschriften ab dem Jahr 2016 EU-weit einheitlich geregelt werden. Was das für die gute alte Unterschrift bedeutet, erklärt Hans-Günter Börgmann, Geschäftsführer des Archivierungsspezialisten Iron Mountain Deutschland. lesen

Das brauchen Sie für die elektronische Unterschrift

Bisher war es für Anwender recht kompliziert, ein Dokument elektronisch zu unterschreiben. Sie benötigten dafür eine eigene Signaturerstellungseinheit, zum Beispiel eine Chipkarte, und mussten sich um die Aufbewahrung und das Management der Schlüssel selbst kümmern. Mit eIDAS wird das deutlich einfacher. Als eine der wichtigsten Neuerungen führt die Verordnung die elektronische Fernsignatur ein. Damit können Anwender den gesamten Prozess der Schlüsselerstellung, Schlüsselverwaltung und elektronischen Unterschrift an einen Vertrauensdiensteanbieter auslagern. Dieser signiert ein Dokument dann im Auftrag des Anwenders, wobei sich der Unterzeichnungsprozess zum Beispiel ganz einfach per App auf dem Smartphone anstoßen lässt.

Vertrauensdiensteanbieter, die die elektronische Fernsignatur anbieten möchten, brauchen dafür eine qualifizierte Signatur- und Siegelerstellungseinheit (QSEE). Sie setzt sich aus einem Hardware-Sicherheitsmodul (HSM) als Kryptographie-Einheit und einem Signatur-Aktivierungsmodul (SAM) zusammen. Das HSM generiert, speichert und verwaltet die Schüssel und führt den eigentlichen Signaturvorgang durch. Das SAM wiederum autorisiert den Signaturprozess und löst ihn aus. Es verifiziert die Daten für die Signatur und aktiviert den zugehörigen Schlüssel im HSM. Sowohl HSM als auch SAM müssen in einer manipulationssicheren Umgebung betrieben werden. Dabei kann das SAM entweder extern auf einem Standardserver oder intern im HSM laufen. Letzteres hat für Entwickler den entscheidenden Vorteil, dass sie Teile der HSM-Zertifizierung weiterverwenden können und von bestehenden Sicherheitsvorkehrungen profitieren.

Forscher umgehen PDF-Signaturen

Sicherheitslücke in digitalen Signaturen

Forscher umgehen PDF-Signaturen

07.03.19 - Forschern der Ruhr-Universität Bochum ist es gelungen, die Inhalte von signierten PDF-Dokumenten zu ändern, ohne die Signatur dabei ungültig werden zu lassen. Fast alle getesteten PDF-Anwendungen bemerkten die Manipulation nicht. Signierte PDF-Dateien werden von vielen Firmen für Rechnungen verwendet; manche Staaten schützen damit auch Regierungsdokumente. lesen

Was bringt eIDAS in der Praxis?

eIDAS vereinfacht digitale Prozesse über alle Branchen hinweg und soll sogar für KMU Geschäftsabläufe sicherer und effizienter machen. So werden zum Beispiel Bankgeschäfte für Kunden noch komfortabler, indem sie schnell und unkompliziert online einen Kredit beantragen können. Im behördlichen Bereich wird es möglich, online an einer europaweiten Ausschreibung teilzunehmen und den kompletten Vorgang digital abzuwickeln. Auch für den Gesundheitssektor ist eIDAS interessant. So können Ärzte und Krankenhäuser die qualifizierte elektronische Signatur zum Beispiel nutzen, um Arztbriefe zu unterzeichnen oder die Patientenaufnahme zu vereinfachen. Patienten erhalten die Dokumente für die Aufnahme im Krankenhaus dann elektronisch und unterzeichnen mit einer Signatur-App am Smartphone. Die Unterlagen können anschließend medienbruchfrei weiterverarbeitet werden.

Fazit

Mit eIDAS will die EU-Kommission den Weg für den digitalen Binnenmarkt bereiten und so für wirtschaftlichen Aufschwung sorgen. Der rechtliche Rahmen dafür ist gesteckt. Bisher haben in Deutschland jedoch erst fünf Prozent der Organisationen eIDAS weitestgehend oder vollständig umgesetzt – so eine Studie von Fraunhofer FOKUS. Es besteht also noch Handlungsbedarf. Für Unternehmen, die Vertrauensdienste anbieten wollen, ist jetzt der richtige Zeitpunkt, aktiv zu werden.

Über den Autor: Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und war von 2011 bis 2019 CEO der Utimaco Gruppe. Anfang Januar 2019 wechselte er die Position zum CSO (Chief Strategy Officer). Neben einem Master Abschluss in Physik an den Universitäten Paderborn und Kaiserslautern hat Malte Pollmann eine Ausbildung in General Management bei INSEAD in Fontainebleau genossen. Parallel zu seiner Arbeit bei Utimaco ist er auch im Aufsichtsrat der ‚International School of IT-Security‘ isits AG, Bochum.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45804198 / Benutzer und Identitäten)