Elektronische Signaturverordnung eIDAS ist gestartet – wie geht es weiter?
Mit der neuen Signaturverordnung eIDAS rückt Europa ein Stück weiter zusammen, wird der "digital single market" in Angriff genommen. Für Firmen ist das eine große Erleichterung, doch was hat der Bürger davon?
(Bild: Bundesdruckerei)
Um Mitternacht am Freitag ist die erste Stufe der eIDAS-Verordnung (electronic Identification and Signature) in Kraft getreten. Nun existiert ein EU-Standard für das Signieren und Beglaubigen elektronischer Dokumente, die sicher grenzüberschreitend verschickt werden können. "Der Autokauf in Spanien, die Hausvermietung in Griechenland oder der Vertrag mit einer irischen Versicherung", all das kann elektronisch abgewickelt werden, ohne dass der Bürger reisen muss oder riskieren muss, das wichtige Dokumente auf dem Postweg verloren gehen.
Was kann eIDAS?
So jubelt man bei 1&1, GMX und Web.de, weil man zu den ersten Firmen gehört, die nach eIDAS zertifiziert wurden. Auch die Bundesdruckerei freut sich und bietet eine Infografik an, die von einer "zusätzliches Wirtschaftsleistung" von 415 Milliarden dank eIDAS spricht. Doch was hat der Bürger von der neuen Verordnung?
Offiziell heißt eIDAS in klaren Verwaltungsdeutsch "Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG". eIDAS ersetzt auf der ersten Stufe nicht nur die EU-Signaturrichtlinie von 1999, sondern weitgehend auch das deutsche Signaturgesetz, weil die Verordnung das höhere Gesetz ist und "Anwendungsvorrang" besitzt.
eIDAS regelt die Erstellung, Überprüfung und Aufbewahrung von qualifizierten elektronischen Signaturen, Zeitstempeln, Siegeln und Website-Authentifizierung sowie die Zustellung von elektronischen Einschreiben im öffentlichen Sektor.
Zertifizierung von Anbietern
Fast alle technischen Bestimmungen zu eIDAS sind in ETSI-Normen wie ETSI EN 319 401, ETSI EN 319 411-2 oder ETSI TS 319 411-3 festgelegt. Das führt dazu, dass Anbieter von Vertrauensdiensten, Zeitstempeln und Siegeln relativ schnell zertifiziert werden können. Auch die Webseiten-Authentifizierung erfolgt nach gängigen Standards. Für sie ist in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig, das die eng an die Extended Validation Zertifikate angelehnte Prüfung durchführt und das Europa-Logo vergibt.
(Bild: BSI)
"Anbietern, die einen entsprechenden Konformitätsbewertungsbericht vorlegen, kann dann zeitnah der Status als qualifizierter Vertrauensdiensteanbieter nach eIDAS-VO verliehen werden. Zu laufenden Verfahren gibt das BSI keine Auskunft, allerdings gibt es für uns keinen Grund zu der Annahme, dass in der Wirtschaft kein Interesse an einer solchen Verleihung bestünde," heißt es beim BSI auf Anfrage von heise online. Wir wollten wissen, ob es in der Wirtschaft überhaupt ein Interesse gibt, das Logo zu führen, das ein junger slowenischer Designer entworfen hat.
Trusted List of Trusted Lists
Für die Prüfung der Trustcenter mitsamt den von ihnen angebotenen Signaturen, Zeitstempel und Siegel ist die Bundesnetzagentur zuständig. Sie führt als oberste deutsche Behörde die nationale Trusted List der zugelassenen Anbieter. Dieser Trusted List entspricht eine von der EU-Kommission geführten Trusted List of Trusted Lists (PDF-Datei). Ferner gewinnt mit eIDAS das Forum of European Supervisory Authorities for Trusted Services an Bedeutung, denn hier sind die nationalen Behörden zusammengeschlossen, die nach der eIDAS-Verordnung einander zur Amtshilfe verpflichtet sind.
Angenommen, ein junger deutscher Student möchte sich bei einer slowenischen Universität immatrikulieren, die Dokumente seiner Abschlüsse verlangt. Dazu müsste er einen deutschen Dienstleister finden, der die Dokumente zertifiziert und einen slowenischen, der das akzeptiert. Hätte Slowenien keinen solchen Dienst (es hat natürlich mehrere Anbieter), sind die Aufsichtsbehörden der anderen Mitgliedsstaaten verpflichtet, dem Land mit "aller gebotenen Fachkunde" zur Seite zu stehen. Auf diese Weise soll gewährleistet sein, dass die eIDAS-Infrastruktur sich schnell im europäischen Wirtschaftsraum (EWR) durchsetzt.
Elektronische Einschreiben
Gehen wir einen Schritt weiter und nehmen einmal an, dass der Student seine Unterlagen als elektronisches Einschreiben verschicken soll. Auch das wird von eIDAS abgedeckt und könnte ab nun funktionieren. Nur gibt es noch keine Standards, weil elektronische Einschreiben recht spät in den eIDAS-Katalog aufgenommen wurden.
Was es gibt, wurde Im Rahmen des eDelivery-Projekts bei eSENS als Pilotprojekt ausprobiert. Da wurde ein deutsches elektronisches Einschreiben als De-Mail aufgegeben und in einen französischen Lettre Recommandée en Ligne und in die österreichische E-Zustellung umgesetzt, aber fertige Lösungen fehlen noch auf lange Zeit.
Fernsignatur via Mobilgerät
Die größte Auswirkung von eIDAS für den Einzelnen wird mit der sogenannten Fernsignatur kommen, die Länder wie Österreich bereits besitzen, die aber vom deutschen Signaturgesetz nicht abgedeckt war. Dabei wird der private Signaturschlüssel zentral bei einem Vertrauensdiensteanbieter in einer sicheren Signaturerstellungseinheit in Form eines nach Common Criteria zertifizierten Hardware Security Modules (HSM) gespeichert und kann dann von einem Handy oder Tablet aus genutzt werden.
So kann der normale Bürger qualifizierte Signaturen erstellen, ohne auf zusätzliche Hardware wie Kartenlesegeräte oder Signaturkarten angewiesen zu sein. Digitale Signaturen mit dieser Form einer mobilen "Handy-Signatur" sind dank eIDAS rechtlich einer eigenhändigen Unterschrift gleichgestellt.
Nicht so einfach
Doch die neue elektronische Freizügigkeit existiert vorerst nur "auf Papier". Wir wollten von der Bundesnetzagentur wissen, wie einfach eine deutsche und eine österreichische Handy-Signatur ausgetauscht werden können: "Ob und wie weit in Österreich die dafür erforderlichen Vorarbeiten bereits abgeschlossen sind, ist nicht bekannt. Gemäß eIDAS-Verordnung ist die qualifizierte Signatur generell der eigenhändigen Unterschrift gleichgestellt, es bestehen allerdings Zweifel, ob eine derart weitreichende Festlegung europarechtlich tragfähig ist. Insbesondere problematisch dürften die Bereiche sein, in denen die qualifizierte Signatur als Ersatz der eigenhändigen Unterschrift generell ausgeschlossen ist.
Inwieweit der Anscheinsbeweis nur für "lokal erzeugte" Signaturen (bei denen das Signierequipment/die Chipkarte unter der alleinigen Kontrolle des Inhabers steht) gelten können, das muss der Gesetzgeber oder im Einzelfall durch Gerichte geklärt werden," erklärte Michael Reifenberg, Pressesprecher der Bundesnetzagentur. Im Klartext: ehe die einfache mobile Signatur genutzt werden kann, müssen die Bedenken der Sicherheitsfundamentalisten ausgeräumt werden. So einfach, wie man sich das im eIDAS feiernden Brüssel vorstellt, wird es wohl nicht ablaufen.
(kbe)
