Die Zukunft der Vertrauensdienste: CAST-Workshop zu eIDAS
Das deutsche Signaturgesetz hat mit der europäischen Verordnung über Vertrauensdiensteanbieter sein Lebensende erreicht. Die qualifizierte elektronische Signatur erscheint als Auslaufmodell. Europas Experten beraten, wie die Zukunft aussehen könnte.
Im April dieses Jahres hat das Europaparlament in Abstimmung mit der Europäischen Rat dem Vorschlag für eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS) zugestimmt. Derzeit wird das umfangreiche Verordnungspaket, das Mitte 2016 das deutsche Signaturgesetz ersetzt, in alle EU-Sprachen übersetzt. Wenn diese Übersetzungen abgeschlossen sind, wird die Verordnung im September 2014 wirksam und muss bis Juni 2016 umgesetzt werden. Auf dem CAST-Workshop über Public Key Infrastrukturen diskutierten Experten, was dies für deutsche Trust Service Provider bedeutet.
(Bild: dpa)
Die eIDAS-Verordnung soll vor allem dafür sorgen, das Bürger aus Ländern mit eID-Systemen diese in anderen Ländern benutzen können, wenn dort ebenfalls eID-Systeme im Einsatz sind. Im Kern geht es aus deutscher Sicht darum, dass der deutsche Personalausweis mit seiner eID Funktionen anerkannt wird und elektronische Signaturen, Zeitstempel und Siegel deutscher Vertrauensdienste (Trust Service Provider, TSP) grenzübergreifend anerkannt werden.
e-Post-Brief und De-Mail nicht betroffen
Betroffen sind alle Dienste, die die Erstellung, Überprüfung und Validierung von elektronischen Signaturen, Siegeln, Zeitstempeln, Einschreib-Zustelldiensten und Zertifikaten für die Website-Authentifizierung anbieten bzw. diese Signaturen und Zertifikate aufbewahren. Nicht betroffen sind proprietäre Vertrauensdienste in geschlossenen Benutzergruppen wie etwa der e-Post-Brief und die De-Mail. Mit Ausnahme von Artikel 29 der Verordnung, der die Zertifizierung von qualifizierten TSP als "Durchführungsrechtsakte der EU" regelt, werden alle übrigen Bestimmungen als "implementing acts" im Beratungsverfahren von Expertengruppen aller Mitgliedsländer ausgehandelt.
Dabei steht viel auf dem Spiel, gerade aus deutscher Sicht: Was wird etwa aus der qualifizierten elektronischen Signatur, wenn europaweit nur fortgeschrittene Signaturen gelten? Was wird aus den eID-Funktionen des Personalausweises (nPA)? Was bedeutet es in Zeiten von PRISM und Tempora, wenn Verschlüsselungszertifikate für jede Mail-Adresse mit einem Escrow-Verfahren beim TSP gespeichert werden und eine Ende-zu-Ende-Verschlüsselung aufgehoben werden kann?
Deutschland gut aufgestellt
In seinem Referat über die "Chancen und Risiken von eIDAS" machte der PKI-Spezialist Clemens Wanko, von TÜV IT deutlich, dass deutsche Technologien und Anbieter im europäischen Rahmen gut aufgestellt sind, da sie überwiegend normenkonform zu den ETSI-Normen und Standards arbeiten. Als großes Problem wertete er die anstehenden Definitionen "gleichwertiger Verfahren" und die Tatsache, dass die EU-Verordnung keine übergeordnete Schlichtungsstelle für Schlichtung und einheitliche Interpretation des Verordnungstextes kennt.
Die frisch pensionierte Datenschützerin Gisela Quiring-Kock vom Büro des hessischen Datenschutzbeauftragten vermisste im Verordnungstext genaue Definitionen, was eigentlich "Identifizierungsdaten" sind und wie es um den Datenschutz dieser Daten bestellt ist. Sie forderte einen verschlossenen Briefumschlag bei e-Mail-Systemen ohne Key Escrow der Schlüssel, aber mit der Möglichkeit für jeden EU-Bürger, eine Ende-zu-Ende-Verschlüsselung ohne zusätzliche Hard- und Software durchzuführen. Außerdem beschwerte sich Quiring-Kock über die schlampige Übersetzung der Verordnung.
Jürgen Schwemmer von der Bundesnetzagentur wies auf den sportlichen Zeitplan bei den "implementing acts" hin. Übergangsweise könnten nationale Regelungen bis 2019 die sich abzeichnenden Regelungslücken füllen, wenn die Experten sich im Jahr 2015 nicht einigen können. (axk)
