Ohne Vertrauen in der Online-Welt existiert kein wirtschaftliches Wachstum sowie keine soziale Entwicklung. Aufgrund dieses fehlenden Vertrauens und der daraus resultierenden Unsicherheit halten sich Behörden, Bürger und Unternehmen zurück elektronische Dienste zu nutzen. Die “analoge” Identifizierung lässt sich bis jetzt durch den Vergleich einer Person mit Personalausweis inklusive eines beglaubigten Lichtbildes durchführen. Dieses Szenario kennt man bereits aus Personenkontrollen der Polizei.
Eine Online-Version der “analogen” Identifizierung wurde bereits in Form einer geldwäschekonformen Video-Identifizierung ins Leben gerufen, in der sich die zu identifizierende Person mit einem beglaubigten Ausweisdokument von einem zuverlässigen Dritten identifizieren lassen muss. Natürlich entsteht durch diesen einseitigen Prozess so keine digitale Identität, sondern ist in dieser Form nur ein digitales Identifizierungsverfahren. Dieser Video-Ident lässt sich aber verschlüsselt abspeichern, durch Sicherheitstoken transportieren sowie autorisieren, und dadurch kann eine digitale Identität gebildet werden.
Eine neue “ausweislose” Identifizierung wurde durch die EU-Richtlinie eIDAS geschaffen. Aber was versteht man unter “eIDAS”? Die Übersetzung der englischen Abkürzung lautet electronic IDentification, Authentication and trust Services, die der elektronischen Variante einer eigenhändigen Signatur entspricht. Diese kann der Unterzeichner als Nachweis seiner Annahme oder seiner Einwilligung auf ein Dokument nutzen. Die Umsetzung wird durch eine eingescannte händische Unterschrift oder durch einen Klick auf einer Schaltfläche von einer Webseite wie “Ich akzeptiere” oder ähnliches veranschaulicht.
Diese digitale Identität sorgt für Sicherheit bei elektronischen Transaktionen, die die Arbeit mit Behörden erheblich erleichtert. Außerdem wird das Vertrauen in elektronische Dienste im Binnenmarkt der EU gestärkt. Aktuell wird die Verordnung zur elektronischen Signatur durch die eIDAS-Signaturverordnung ersetzt, die die bestehenden gesetzlichen Unterschiede bezüglich digitaler Signaturen verabschiedet. Im Juli 2014 wurde eIDAS vom Rat für Allgemeine Angelegenheiten angenommen und zum 1. Juli 2016 sind die Regulierungen für Vertrauensdienste in Kraft getreten.
Die eIDAS setzt sich aus zwei unterschiedlichen Schwerpunkten zusammen. Zum einen wird die “sehr einfache” sowie sichere elektronische Kommunikation gewährleistet und gleichzeitig ein einheitliches Sicherheitsniveau für elektronische Identifizierung geschaffen. Beispiele für Identifikationsmittel laut eIDAS sind Bank -, Gesundheits-, oder Sozialversicherungskarten sowie der deutsche Personalausweis mit der Online-Ausweis-Funktion. Der zweite Kernpunkt der eIDAS Verordnung beinhaltet die qualifizierten elektronischen Vertrauensdienste, die durch digitale Unterschriften, digitale Siegel, Zeitstempel, Zertifikate und Zustell- und Bewahrungsdienste gekennzeichnet werden. Diese Vertrauensdienste dienen der sicheren Webseiten-Authentifizierung.
E-Signaturen von eIDAS
Fortgeschrittene elektronische Signaturen (AdES) sowie qualifizierte elektronische Signaturen (QES) sind in der eIDAS-Verordnung festgehalten. Diese sorgen beim Signieren von Dokumenten für Vereinheitlichung in allen EU-Mitgliedstaaten. Die beiden Begriffe unterscheiden sich in der Akzeptanz durch andere EU-Mitgliedstaaten - andere Staaten und nicht das Herkunftsland des Vertrauensdiensteanbieters sind hier gemeint. AdES kann von anderen Mitgliedstaaten akzeptiert werden, wohingegen QES akzeptiert werden muss. AdES sowie QES bestätigen die Identität des Unterzeichners, welches gleichzeitig das Produkt einer äquivalenten eigenhändigen Unterschrift ist. Elektronische Siegel ermöglichen Firmen Dokumente als Abteilung zu signieren und folglich keinen autorisierten Unterzeichner zu verwenden. Die elektronischen Siegel entsprechen Signaturen, die sich aber nur auf Körperschaften und juristische Personen beziehen.
Das Sicherheitsniveau
Artikel 8 der neuen Verordnung definiert drei Sicherheitsstufen für Identifizierungssysteme: niedrig, substanziell und hoch. Bei der niedrigen Sicherheit existiert ein begrenztes Vertrauen in die Identität der zu unterzeichnenden Person, welche nur durch die Inhaberschaft einer E-Mail-Adresse belegt wird. Die substanzielle Sicherheit präsentiert ein begrenztes Volumen an Vertrauen in die behauptete Identität des Unterzeichners. Die Inhaberschaft einer E-Mail-Adresse sowie die Identität der signierenden Person muss nachgewiesen werden, damit das Sicherheitsniveau realisiert wird. Für die hohe Sicherheit, die ein hohes Maß an Vertrauen in die behauptete Identität des Unterzeichners bietet, muss nicht nur der Identitätsnachweis der Person vorliegen, sondern auch das Unternehmen hinter der Person stehen und diese vertreten.
Welche Vorteile hat eIDAS?
Die eIDAS Verordnung erzielt Nutzen für Unternehmen aller Branchen, da bisher in der EU viele Hemmnisse und Hürden bei der Nutzung digitaler Transaktionen existierten. Unterschiedliche technische und fachliche Standards, welche juristisch und technisch nicht zusammenpassten, konnten nicht grenzüberschreitend genutzt werden. Die Vereinheitlichung erfolgt durch eIDAS, die diese Hürde bewältigt.
Die Umsetzung in der Praxis
Ein Nutzer, der einen deutschen Personalausweis mit eingeschalteter Online-Ausweis-Funktion besitzt, kann sich digital in einem anderen Land wie beispielsweise in Österreich für ein Online-Dienst identifizieren. Zusätzlich gelingt einem das Signieren per Smartphone für die Nutzung von Verträgen. Als Online-Stempel für Verwaltungsbereiche und Organisation fungiert das elektronische Siegel.
Quellen:
Bundesdruckerei(Hrsg)(15.07.2019): eIDAS – Sichere elektronische Transaktionen in der EU
DocuSign(Hrsg.)(k.A): Die eIDAS-Verordung: Grundlagen, www.docusign.de
DocuSign(Hrsg.)(k.A.): Elektronische Signaturen, www.docusign.de
Global Sign Blog (Hrsg.)(01.09.2017): Die eIDAS-Signaturverordnung und was sie für Unternehmen bedeutet, www.globalsign.com
