Zum Hauptinhalt springen
Bild
lila Hexagonmuster

Die Verordnung über elektronische Identifizierung, Authentifizierung und Vertrauensdienste (eIDAS) ist eines der einflussreichsten und umfassendsten Gesetze in der Europäischen Union (EU). Im Rahmen von eIDAS kann jeder EU-Bürger das nationale elektronische Identifizierungssystem seines Landes nutzen und in jedem EU-Land unkompliziert elektronische Signaturen erzeugen.

Aber was genau ist eIDAS? Wie funktioniert das?Und vor allem, was kann Ihr Unternehmen tun, um sie richtig umzusetzen?

Lesen Sie weiter, um sich mit den eIDAS-Grundlagen vertraut zu machen, was die Verordnung beinhaltet und wie Sie die Einhaltung der Vorschriften mithilfe zertifizierter und sicherer Lösungen zukunftssicher machen können.

Was ist eIDAS?

eIDAS ist eine EU-Verordnung, mit der ein rechtlicher Rahmen geschaffen wurde, um sicherzustellen, dass elektronische Transaktionen sicherer, schneller und effizienter sind, unabhängig davon, in welchem EU-Land sie stattfinden. Ziel der eIDAS-Verordnung ist es, die Schaffung eines europäischen Binnenmarktes für sicheren elektronischen Handel zu fördern.

Zum Verständnis: eIDAS ist nicht die erste EU-Verordnung über elektronische Transaktionen. Die Richtlinie über elektronische Signaturen aus dem Jahr 1999 verfolgte einen ganz anderen Zweck: Sie sollte die elektronische Signatur in allen Mitgliedstaaten formell zum rechtlichen Äquivalent der handschriftlichen Unterschrift erklären.

Die Richtlinie gab jedoch auch jedem EU-Land die Freiheit, seine eigenen Regeln für die Sicherheit elektronischer Transaktionen festzulegen. Jeder hatte seine eigenen rechtlichen Anforderungen, Richtlinien für den Umgang mit Daten und eine eigene Infrastruktur für Vertrauensdienste, aber die meisten funktionierten nicht grenzüberschreitend.

So hat ein in einem Land unterzeichnetes elektronisches Dokument in einem anderen Land unter Umständen nicht die gleiche Rechtswirkung. Probleme wie diese führten zu Uneinheitlichkeit in der gesamten EU und zu Verwirrung über die Rechtmäßigkeit und Gültigkeit der elektronischen Identifizierung. Schlimmer noch, der grenzüberschreitende Handel wurde dadurch extrem erschwert.

Die EU beschloss 2014, dieses Problem mit der Einführung von eIDAS zu lösen. Die Gesetzgebung trat 2016 in vollem Umfang in Kraft. Ab diesem Zeitpunkt galten in allen EU-Mitgliedstaaten einheitliche Standards für elektronische Identitäten, Authentifizierung und Signaturen.

Letztendlich bewirkt der eIDAS-Rahmen Folgendes:

  1. Es wird sichergestellt, dass Personen und Unternehmen ihr eigenes nationales elektronisches Identitätssystem nutzen können, um online auf öffentliche Dienste zuzugreifen.
  2. Es entsteht ein europäischer Binnenmarkt für Vertrauensdienste, indem sichergestellt wird, dass alle Identitätssysteme grenzüberschreitend funktionieren und den gleichen rechtlichen Status wie eine herkömmliche handschriftliche Unterschrift haben.

Wer und was ist von der eIDAS-Verordnung betroffen?

Im Großen und Ganzen hat eIDAS Auswirkungen für:

  • Bürger der EU-Länder
  • Unternehmen/Organisationen, die ihren Hauptsitz in der EU haben oder mit anderen EU-Unternehmen/-Organisationen und/oder -Bürgern zu tun haben
  • EU-Vertrauensdiensteanbieter (Trust Service Provider, TSP) schützen EU-Transaktionen über ein öffentliches Netz, insbesondere solche, die kommerzielle oder rechtliche Angelegenheiten betreffen, bei denen die Authentifizierung der digitalen Identität wichtig ist. Ein TSP ist jede Stelle, die an der Erstellung, Validierung und Aufbewahrung von elektronischen Identitäten, elektronischen Signaturen, elektronischen Siegeln oder digitalen Zertifikaten beteiligt ist.

Im Folgenden finden Sie eine nicht vollständige Liste digitaler Transaktionen, die unter eIDAS fallen:

  • Reisebezogene Transaktionen
  • Elektronische Rechnungsstellung im Geschäftsverkehr zwischen Unternehmen
  • Behördliche Dienstleistungen, z. B. Stimmzettel oder Steuererklärungen
  • Bankvereinbarungen, Investitionen und Darlehen
  • Website-Authentifizierung
  • Zahlungsdienste von Dritten

Die eIDAS-Verordnung verlangt außerdem, dass Behördendienste sowie kommerzielle und öffentliche Dienste einheitliche Signaturformate und europaweite Identitäten anerkennen. Mit anderen Worten: Der elektronische Personalausweis eines Bürgers muss in jedem EU-Mitgliedstaat gleichermaßen anerkannt werden. Insbesondere liegt die Last der Einhaltung der Vorschriften bei den Vertrauensdiensteanbietern und nicht bei den Verbrauchern selbst.

Welche Vorteile hat eIDAS?

Die Einführung von elektronischen Identifizierungs- und Vertrauensdiensten kann viele Vorteile haben. Laut Europäischer Kommission zählen dazu folgende Vorteile:

  1. Bessere Benutzererfahrung: Die Arten von Authentifizierungsdiensten, die eIDAS ermöglicht, gewährleisten eine reibungslose Produktlieferung für die Verbraucher. Noch wichtiger ist, dass sie das Vertrauen und die Zufriedenheit erhöhen, indem sie den Kunden ein höheres Maß an Sicherheit während des Transaktionsprozesses bieten.
  2. Erhöhte Sicherheit: Mit eIDAS können Einzelpersonen bequem auf eine breite Palette von Online-Diensten zugreifen, ohne ihre Daten preiszugeben. Unternehmen unterliegen strengeren Datenschutzanforderungen und müssen sicherstellen, dass sie mit den personenbezogenen Daten der Verbraucher mit größter Sorgfalt und im Einklang mit ihren rechtlichen Verpflichtungen umgehen.
  3. Straffung der grenzüberschreitenden Effizienz: Mit eIDAS müssen sich Unternehmen nicht mehr mit komplexen und unterschiedlichen Systemen herumschlagen, die sich je nach Standort unterscheiden, was früher ein häufiges Problem im internationalen E-Commerce war. Nun können Unternehmen Transaktionen unabhängig davon durchführen, in welchem EU-Mitgliedstaat sie sich gerade befinden.

Natürlich hat eIDAS auch positive sozioökonomische Auswirkungen. Die Verordnung fördert das digitale Wirtschaftswachstum durch die Beseitigung von Hindernissen für den elektronischen Handel, die sonst Online-Dienste erschweren.

Was ist die elektronische Identität?

Eine elektronische Identifizierung oder „eID“ ist ein elektronisches Mittel zur Überprüfung der digitalen Identität einer Person. Nach Ansicht der Europäischen Kommission ist eine sichere elektronische Identität für das tägliche Leben in der digitalen Welt unerlässlich.

Sie kann zum Abrufen von E-Mails, zum Online-Shopping, zum Entsperren von Geräten und für viele andere regelmäßige Aktivitäten verwendet werden. Die elektronische Identifizierung kann auch die eindeutige Identifizierung einer Person gewährleisten und sicherstellen, dass die richtige Dienstleistung an die Person geliefert wird, die tatsächlich Anspruch darauf hat. Die eIDs wiederum sind ein wesentlicher Aspekt des Online-Bankings und anderer sensibler digitaler Transaktionen.

eIDAS-Sicherheitsniveaus

Der Begriff „Sicherheitsniveau“ bezieht sich darauf, wie sicher ein Diensteanbieter sein kann, dass die von einer Person angegebene Identität korrekt ist. Mit anderen Worten, es ist der Grad des Vertrauens, den man hat, dass jemand derjenige ist, der er vorgibt zu sein, wenn er eine eID für den Zugang zu einem Online-Dienst verwendet.

Im Rahmen von eIDAS muss ein eID-System nach drei Sicherheitsniveaus klassifiziert werden:

  1. Niedrig: Das eID-System verwendet eine einfache Authentifizierung, wie z. B. Passwörter, mit wenigen Überprüfungen der Identität während des Registrierungsprozesses.
  2. Substanziell: Das System verwendet eine Zwei-Faktor-Authentifizierung mit zusätzlichen Überprüfungen während des Registrierungsprozesses.
  3. Hoch: Der höchste Grad an Sicherheit wird durch ausgeklügelte, mehrstufige Authentifizierungsmechanismen mit umfassenden Identitätsprüfungen erreicht.

Alle drei Niveaus stützen sich in hohem Maße auf die Authentifizierung, bei der es sich im Wesentlichen um den Prozess der Überprüfung einer elektronischen Identifizierung handelt. Dazu gehört die Erfassung relevanter Identitätsdaten, d. h. von Informationen über eine natürliche oder juristische Person, die nur die tatsächliche Person mitteilen kann. Im Allgemeinen werden bei den Authentifizierungsmethoden drei Faktoren zur Identitätsüberprüfung verwendet:

  1. Wissensbasierte Authentifizierung: Der Unterzeichner gibt etwas an, das nur er kennt, z. B. ein Passwort oder einen Code.
  2. Besitzbasierte Authentifizierung: Der Unterzeichner stellt etwas zur Verfügung, über das nur er selbst verfügen kann, z. B. ein Ausweisdokument oder eine Chipkarte.
  3. Biometrisch gestützte Authentifizierung: Der Unterzeichner wird anhand seiner physischen Merkmale verifiziert, z. B. durch Fingerabdrücke oder Gesichtserkennung.

Die eIDAS-Verordnung legt nicht fest, welche Technologien oder Authentifizierungsmethoden erforderlich sind, um die einzelnen Sicherheitsniveaus zu erfüllen. Aus diesem Grund entwickeln die EU-Länder ihre eigenen eID-Systeme. Obwohl sie auf den eIDAS-Grundsätzen beruhen, steht es jedem Staat frei, sein System so zu gestalten, dass es seiner jeweiligen technologischen Landschaft entspricht.

Eine Studie von 2022 gibt Aufschluss darüber, wie die EU-Mitgliedstaaten ihre Systeme gestalten. Die Ergebnisse zeigen Folgendes:

  • Die eID-Systeme von 25 Ländern bieten eine hohe Sicherheit.
  • 20 Länder bieten eine substanzielle Sicherheit.
  • 12 Länder bieten eine niedrige Sicherheit.

Wie Sie sehen können, tendiert die EU zu einer größeren Sicherheit, was die Bedeutung einer sicheren elektronischen Identifizierung unterstreicht.

Was sind eIDAS-Vertrauensdienste?

Vertrauensdienste beziehen sich auf ein breites Spektrum von Authentifizierungs- und Signaturaktivitäten zum Schutz elektronischer Transaktionen. Einige der gängigsten Vertrauensdienste sind:

  • Zertifikate: Eine Methode zur Sicherstellung der Identität einer Person ist die Ausstellung eines digitalen Zertifikats durch eine dritte Behörde. Kurz gesagt ist ein Zertifikat eine Datei, die die Authentizität eines Geräts, Servers, Benutzers oder einer Entität durch Kryptografie mit öffentlichen Schlüsseln nachweist. Es enthält eine Kopie eines öffentlichen Schlüssels des Zertifikatsinhabers, der mit einem entsprechenden privaten Schlüssel abgeglichen werden muss, um seine Echtheit zu überprüfen.
  • Elektronischer Zeitstempel: Die Zeitstempelung ist ein Verfahren, bei dem Datum und Uhrzeit elektronisch und kryptografisch an ein Dokument, seine Unterschrift und andere Informationen gebunden werden, wodurch seine Existenz zu einem bestimmten Zeitpunkt bestätigt wird. Die Genauigkeit des Datums und der Uhrzeit wird vom Vertrauensdiensteanbieter garantiert und kann nicht von Dritten manipuliert werden. Dies kann aus vielen Gründen rechtlich wichtig sein, ist aber besonders hilfreich, wenn vertragliche Vereinbarungen streitig sind.
  • Elektronische Signatur und elektronisches Siegel: Eine elektronische Signatur ist wie ihr handschriftliches Gegenstück eine Möglichkeit, die Echtheit eines Rechtsdokuments zu bestätigen und die Absicht zu bekunden, an die darin enthaltenen Bestimmungen gebunden zu sein. Ein elektronisches Siegel hingegen repräsentiert eine ganze Organisation/ein Unternehmen und nicht nur eine Person.
  • Digitale Signatur: Eine digitale Signatur ist eine Art von elektronischer Signatur, die mit einem digitalen Zertifikat und einem privaten Signaturschlüssel erstellt wird. Da digitale Signaturen fälschungssicher sind, stellen sie sicher, dass ein Dokument nach seiner Unterzeichnung nicht mehr verändert wurde.

Organisationen/Unternehmen, die einen der oben genannten Punkte unterstützen, gelten als Vertrauensdiensteanbieter und müssen daher der eIDAS-Verordnung einhalten.

Arten elektronischer Signaturen gemäß eIDAS

eIDAS definiert drei Arten von elektronischen Signaturen, die ein Diensteanbieter anbieten kann:

1. Einfache elektronische Signatur

Die Europäische Kommission betrachtet die einfache elektronische Signatur als die einfachste der drei Möglichkeiten. Sie ist wie folgt definiert: „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Im Grunde genommen kann etwas so Einfaches wie das Kritzeln Ihres Namens auf einem elektronischen Dokument eine einfache elektronische Signatur darstellen.

2. Fortgeschrittene elektronische Signatur

Eine fortgeschrittene elektronische Signatur hat genauere Anforderungen. Zum Beispiel muss sie folgende Anforderungen erfüllen:

 

  • Sie ist eindeutig dem Unterzeichner zugeordnet und ermöglicht die Identifizierung des Unterzeichners.
  • Sie wird so erstellt, dass der Unterzeichner sie unter seiner alleinigen Kontrolle verwenden kann.
  • Sie ist so mit dem Dokument verbunden, dass eine nachträgliche Veränderung erkannt werden kann.

Normalerweise wird eine fortgeschrittene elektronische Signatur mit digitalen Zertifikaten und kryptografischen Schlüsseln erstellt, so dass sie auch als digitale Signatur betrachtet werden kann. Sie können aber auch biometrische Daten, Zugangscodes und andere elektronische Mittel verwenden.

 

3. Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur ist die anspruchsvollste der drei Möglichkeiten und bietet das höchste Maß an Sicherheit. Es sind jedoch zwei zusätzliche Anforderungen zu beachten:

  1. Eine qualifizierte elektronische Signatur kann nur mit einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt werden. Eine QSCD ist eine Art von kryptografischer Hardware, wie z. B. ein Hardware-Sicherheitsmodul (HSM), das einen eIDAS-Zertifizierungsprozess durchlaufen hat.
  2. Eine qualifizierte Signatur muss auch auf einem qualifizierten Zertifikat beruhen. Im Rahmen von eIDAS unterliegt ein qualifiziertes Zertifikat strengeren Anforderungen als ein typisches digitales Zertifikat. Außerdem kann es nur von einem qualifizierten Vertrauensdiensteanbieter (QSTP) wie Entrust ausgestellt werden. QSTPs sind Unternehmen/Organisationen, die von einer zuständigen nationalen Behörde geprüft und mit einem qualifizierten Status versehen wurden, wie er in der Vertrauensliste der EU aufgeführt ist.

Verstärken Sie Ihre eIDAS-Konformität mit Entrust-Lösungen

Wir bei Entrust wissen, dass die Einhaltung von Vorschriften nicht einfach ist. Das gilt auch für die eIDAS-Verordnung. Egal, ob Sie ein EU-Unternehmen oder ein Anbieter von Vertrauensdiensten sind, Sie wollen den Verbrauchern eine sichere und nahtlose Transaktion bieten, unabhängig davon, wann und wo sie stattfindet.

EU-Unternehmen: Erzeugen Sie fortgeschrittene und qualifizierte Signaturen und Siegel mit Entrust

Entrust ist ein Gründungsmitglied des Cloud Signature Consortium, eine weltweit vertrauenswürdige Zertifizierungsstelle, ein Mitglied der Adobe Approved Trust List und ein nach EU eIDAS qualifizierter Vertrauensdiensteanbieter. Wir können Ihnen bei der Einrichtung von Diensten für elektronische Signaturen auf der Grundlage unserer fortgeschrittene und qualifizierte Signaturen gemäß eIDAS helfen.

Informieren Sie sich über unser Signierportal und testen Sie es kostenlos unter signhost.com.

Vertrauensdiensteanbieter: Aufbau eines eIDAS-Vertrauensdienstes

Für den Betrieb Ihrer Vertrauensdienste ist eine starke Root of Trust erforderlich. Entrust kann Ihnen helfen, eine eIDAS-zertifizierte qualifizierte Signaturerstellungseinheit mit nShield HSMs in Kombination mit dem Entrust Signature Activation Module einzusetzen.

Unsere HSMs ermöglichen es Vertrauensdiensteanbietern, das Vertrauen zu maximieren und rechtsverbindliche Transaktionen über Grenzen hinweg zu ermöglichen – und das alles bei erhöhter Sicherheit. Dienstleister können nShield HSMs verwenden, um digitale Zertifikate, Zeitstempel oder digitale Signaturen im Rahmen von eIDAS-konformen Lösungen auszustellen.

Entrust kann auch Engines für digitale Signaturen zur Erzeugung von eIDAS-konformen digitalen Signaturen bereitstellen. Kombiniert mit Entrust PKI-Lösungen und Entrust-Lösungen für Identitäts- und Zugriffsverwaltung haben Sie alles, was Sie brauchen, um Ihren eigenen Signierdienst einzurichten.

Möchten Sie mehr über die Einhaltung von eIDAS erfahren? Laden Sie noch heute das E-Book herunter.