Europäische Impulse für digitale Signaturen

Auf dem 25. Smartcard-Workshop des Fraunhofer SIT in Darmstadt lebte die Vergangenheit auf. Zum silbernen Jubiläum sprachen vor allem die Preisträger früherer Jahre. Dennoch war der Blick in die Zukunft gerichtet. eIDAS, die europäische Verordnung für Vertrauensdienste hat das Zeug, den überschaubaren deutschen Markt der Produktion und Prüfung digitaler Zertifikate nachhaltig zu verändern. Das Vorbild kommt aus Österreich.

Am 1. Juli 2016 wird die 18 Jahre alte deutsche Signaturrichtlinie durch die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt abgelöst. Diese Verordnung unterscheidet sich von den deutschen Vorschriften vor allem dadurch, dass in ihrem Gesetzestext keine Anforderungen an die Signaturanwendungskomponenten stellt, die bei der Erstellung und Überprüfung von digitalen Signaturen, Zeitstempeln und Siegeln eingesetzt werden. Während die deutsche Signaturrichtlinie zum Beipsiel eine "sichere Lese- und Anzeigeeinheit" (Karten-Lesegerät mit BSI-Siegel) vorschreibt, ist dies nach der EU-Verordnung nicht mehr notwendig. Allein die Identität desjenigen, der eine digitale Unterschrift leistet, muss mit dem Sicherheitsniveau "hoch" nachgewiesen werden.

Wie Dennis Kügler vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Vortrag auf dem Workshop ausführte, wird es künftig ausreichen, wenn sich jemand mit der eID-Funktion des Personalausweises bei einem Zertifikatsdienst anmeldet und dort eine Stellvertretersignatur beziehungsweise eine einmalig gültige Ad-Hoc-Signatur bestellt. Von der Funktionalität her könnte die österreichische Handysignatur das Vorbild sein: Hier wird die digitale Signatur über ein Webformular bestellt, durch einen Server erzeugt und mit einer mTAN via Handy (als zweitem sicheren Kanal) bestätigt. Das gesamte Verfahren läuft im Browser ab und "erfordert ein hohes Maß an Vertrauen in den Dienstanbieter und den Webbrowser", wie Kügler nüchtern formulierte.

Seitens des BSI gehört Jens Bender zu den Fachleuten die sich mit der praktischen Umsetzung der eIDAS-Verordnung beschäftigen und Chancen wie Risiken der europäischen Vereinheitlichung vermessen. In seinem Workshop-Vortrag wies Bender darauf hin, dass es in den EU-Staaten sehr unterschiedliche Definitionen des "öffentlichen Sektors" gibt, in dem die unterschiedlichen Vertrauensdienste angeboten werden. So ist in Deutschland die De-Mail als öffentlicher Zustelldienst definiert (der von der Verordnung betroffen ist), während in anderen Ländern sichere E-Mail-Zustellungen als rein privatwirtschaftlich organisierte Leistungen angesehen werden. Hier müssen EU-Kommission und Mitgliedsstaaten mit sogenannten "Durchführungsrechtsakten" in "Implementationsakten" festsetzen, was im jeweiligen Land der äquivalente Dienst sein soll und wie dieser über Proxy Services oder Middleware-Umsetzer zu erreichen ist.

Was die deutschen Anbieter von Stempeldiensten, Signaturen und Zustelldiensten anbelangt, so haben sie sich im Januar 2015 unter Schirmherrschaft des DIHK zu einem Forum elektronische Vertrauensdienste zusammengeschlossen, um ihre Interessen zu koordinieren. Dieses Forum ist in zwei Arbeitskreise unterteilt, wobei der bei Teletrust angesiedelte Arbeitskreis A die Anbieter von PKI-Lösungen, Zeitstempeln und Archivierungsdiensten umfasst, während Arbeitskreis B die Interessen der Nutzer bündeln soll. Wie Gisela Meister als Leiterin des Forums ausführte, ist höchste Eile geboten. Bereits Ende September 2015 müssen alle Standards feststehen, die europaweit gelten sollen und dann von den "Implementationsakten" berücksichtigt werden müssen.

Die Vorträge auf dem Smartcard-Workshop machten deutlich, welch überragende Bedeutung eIDAS für den internationalen Austausch von Dokumenten, Unterschriften und Zeitstempeln beziehungsweise Archivierungsdiensten haben wird. Was bisher im nationalen Korsett eingezwängt war, muss sich nun im Wettbewerb des europäischen Binnenmarktes am Markt bewähren und gegen markttaugliche Lösungen aus anderen Ländern durchsetzen. Ob dabei die in Deutschland entwickelte qualifizierte elektronische Signatur "nach einem nun fast 20jährigen Schattendasein aus der Regulierungsnische heraus den Zugang zum Markt findet", wie dies Arno Fiedler in seinem Beitrag formulierte, wird sich zeigen müssen. (ps)