eIDAS 2: Alles, was Sie wissen müssen

Die elektronische Identifizierung (eID) ist eine digitale Methode zum Nachweis der Identität einer Person. Sie ermöglicht es Einzelpersonen, auf sichere Weise auf Online-Dienste zuzugreifen, elektronische Transaktionen durchzuführen und mit Behördenplattformen zu interagieren. Ein eID-System stellt sicher, dass Personen, die die Dienste in Anspruch nehmen, diejenigen sind, die sie vorgeben zu sein, und mindert so das Risiko von Identitätsdiebstahl und Betrug.

Als eine Form der digitalen Identitätsverifizierung stützen sich eIDs in hohem Maße auf verschiedene Authentifikatoren. Kurz gesagt: Authentifizierung ist der Prozess, der sicherstellt, dass die von Benutzer:innen oder Geräte behauptete Identität gültig ist.

Bei der Verifizierung der digitalen Identität wird in der Regel eine Kombination aus bis zu drei Authentifizierungsfaktoren verwendet:

1. Wissensbasierte Authentifizierung: Benutzer:innen geben etwas ein, das nur sie wissen können, wie ein Passwort oder einen Code.
2. Besitzbasierte Authentifizierung: Benutzer:innen stellen etwas zur Verfügung, über das nur sie selbst verfügen können, wie ein elektronisches Dokument, einen Reisepass oder eine Smartcard.
3. Biometrische Authentifizierung: Die physischen Merkmale der Benutzer:innen werden mittels Fingerabdruck oder Gesichtserkennung verifiziert.

Nach der Verifizierung wird der Person der Zugriff auf die gewünschten Online-Dienste gewährt, und ihre digitale Identität kann für weitere Verifizierungen verwendet werden.

Dies ist deutlich effizienter als herkömmliche, papierbasierte Verfahren. Anstatt manuelle oder persönliche Kontrollen durchzuführen, können Organisationen den Arbeitsablauf rationalisieren und menschliche Fehler vermeiden. Dies schafft nicht nur ein komfortableres Benutzererlebnis, sondern unterstützt auch das Risikomanagement und den Datenschutz in großem Umfang.

Anwendungsfälle der elektronischen Identifizierung

Unzählige Branchen nutzen die digitale Identifizierung, um Kund:innen, Bürger:innen und Mitarbeiter:innen schnell und nahtlos zu authentifizieren.

• Online-Banking: eID-Systeme ermöglichen es Finanzinstituten sicherzustellen, dass nur autorisierte Personen auf Konten zugreifen können, und schützen so vor potenziellem Betrug.
• Öffentlicher Sektor: Digitale Identitätsdienste ermöglichen es den Bürgerinnen und Bürgern, online auf wichtige Behördendienste zuzugreifen, wie z. B. die Steuererklärung, die Beantragung von Sozialleistungen und den Zugriff auf persönliche Unterlagen. Dadurch werden Besuche bei den Behörden überflüssig, was den Verwaltungsaufwand verringert und die Dienstleistungserbringung insgesamt verbessert.
• Professionelle Dienstleistungen: Jurist:innen, Wirtschaftsprüfer:innen und andere Fachkräfte können die eID nutzen, um die Identität von Kund:innen aus der Ferne zu verifizieren und so die Einhaltung gesetzlicher und regulatorischer Anforderungen sicherzustellen. Dieser sichere Verifizierungsprozess optimiert die Kundenbindung, das Document Signing und die Bereitstellung sensibler Dienstleistungen und stärkt so das Vertrauen in professionelle Beziehungen.
• Online-Einzelhandel: Durch die Verifizierung der Identität von Kund:innen bei digitalen Transaktionen stellt eID sicher, dass Käufe autorisiert sind. Es vereinfacht auch die Kaufabwicklung, so dass Kund:innen Transaktionen schnell und sicher abschließen können, ohne wiederholt persönliche Daten eingeben zu müssen. Diese verbesserte Nutzererfahrung kann zu einer höheren Kundenzufriedenheit und Kundenbindung führen.

eIDAS steht für Electronic Identification, Authentication and Trust Services. Als umfassende EU-Verordnung vereinheitlicht sie alle europäischen eID- und Vertrauensdienste unter einem gemeinsamen Rechtsrahmen.

Vor eIDAS gab es keinen einheitlichen Ansatz für die Verifizierung elektronischer Identitäten. Jeder EU-Mitgliedstaat hatte seine eigenen rechtlichen Anforderungen und seine eigene Infrastruktur für Vertrauensdienste, die jedoch in anderen Ländern nicht funktionierten. Diese zersplitterte Landschaft erschwerte die Absicherung grenzüberschreitender Transaktionen und behinderte die Effizienz von Online-Diensten und E-Commerce-Plattformen.

Die Europäische Kommission verabschiedete 2014 die eIDAS-Verordnung, die drei einheitliche Grundsätze festlegt:

1. Gegenseitige Anerkennung: Im Rahmen von eIDAS sind alle EU-Länder gesetzlich verpflichtet, die eID-Systeme der anderen anzuerkennen. Das bedeutet, dass eine in einem EU-Mitgliedstaat ausgestellte nationale eID oder ein Vertrauensdienst in allen anderen Mitgliedstaaten akzeptiert werden muss.
2. Interoperabilität: eIDAS gewährleistet auch die Kompatibilität zwischen verschiedenen elektronischen Identifizierungslösungen. Einzelpersonen und Organisationen können dieselbe digitale Identität reibungslos auf verschiedenen Plattformen und über verschiedene Dienste hinweg nutzen.
3. Sicherheit: Die Verordnung stellt außerdem sicher, dass digitale Identitäten und elektronische Transaktionen gegen Betrug und Cyber-Bedrohungen geschützt sind, und sorgt so für ein sicheres und vertrauenswürdiges Umfeld in der gesamten EU.

Diese EU-Verordnung gilt für alle 27 Mitgliedstaaten. Die Einhaltung der Vorschriften ist auch für EU-Organisationen mit digitalen Angeboten, die eine sichere Identifizierung erfordern, wie z. B. im Bankwesen oder im elektronischen Handel, obligatorisch. Ebenso gilt sie für jeden in der Europäischen Union tätigen Vertrauensdiensteanbieter (TSP), der sich von einer benannten Aufsichtsbehörde zertifizieren lassen muss, um zu bestätigen, dass die Dienste der Organisation den eIDAS-Standards entsprechen.

Was ist ein Vertrauensdiensteanbieter?

Ein Vertrauensdiensteanbieter ist eine juristische oder natürliche Person, die elektronische Signaturen, Siegel und Zertifikate erstellt, verifiziert und aufbewahrt. Vertrauensdiensteanbieter (TSPs) stellen außerdem die Vertraulichkeit und Nichtabstreitbarkeit von Informationen sicher und authentifizieren Websites oder Unterzeichner:innen.

Ihre Dienste bieten die notwendigen Mechanismen zur Verifizierung der Authentizität und Integrität eines elektronischen Dokuments, einer Identität oder einer Kommunikation. Sie sind ein wesentlicher Bestandteil der eIDAS-Verordnung und gewährleisten, dass Online-Interaktionen genauso sicher und vertrauenswürdig sind wie ihre papiergestützten Gegenstücke.

Dementsprechend können eIDAS-Vertrauensdienste Folgendes umfassen:

1. Elektronische Signaturen
   Eine elektronische Signatur funktioniert genauso wie eine handschriftliche Unterschrift. Sie wird verwendet, um Dokumente digital zu signieren und auf diese Weise sicher und nachprüfbar zu gewährleisten, dass die Unterzeichnenden die sind, für die sie sich ausgeben, und dass das Dokument seit dem Anbringen der Unterschrift nicht verändert wurde. eIDAS klassifiziert diese Signaturen in drei Stufen:

   • Einfache elektronische Signatur: Grundlegende Sicherheit für Anwendungen mit geringem Risiko.
   • Fortgeschrittene elektronische Signatur: Ein höheres Maß an Sicherheit, da die Signatur eindeutig mit der unterzeichnenden Person verknüpft ist und alle Änderungen an den signierten Daten erkannt werden können.
   • Qualifizierte elektronische Signatur: Stellt die höchste Sicherheitsstufe dar und ist rechtlich gleichwertig mit einer handschriftlichen Unterschrift. Sie muss mit einem Qualified Signature Creation Device erstellt werden und auf einem qualifizierten digitalen Zertifikat basieren.

   Eine QSCD ist eine Art von kryptografischer Hardware, wie z. B. ein Hardware-Sicherheitsmodul (HSM), das einen eIDAS-Zertifizierungsprozess durchlaufen hat.
    

2. Elektronische Siegel
   Ein elektronisches Siegel ähnelt einer elektronischen Signatur, wird aber von juristischen Personen (z. B. Unternehmen) und nicht von Einzelpersonen verwendet. Es stellt die Herkunft und Integrität eines Dokuments sicher, indem es nachweist, dass es von einer bestimmten Einrichtung ausgestellt und nicht verändert wurde.
3. Zeitstempel
   Ein Zeitstempel beweist, dass ein bestimmtes elektronisches Dokument oder ein bestimmter Datensatz zu einem bestimmten Zeitpunkt existiert hat. Es ist eine sichere Methode, um den Ursprung der Erstellung, der Übermittlung oder des Empfangs eines Dokuments nachzuweisen, was eine weitere Ebene der Integrität und des Vertrauens darstellt.
4. Digitale Zertifikate
   Kurz gesagt ist ein digitales Zertifikat eine Datei, die die Authentizität eines Geräts, Servers, Benutzers bzw. einer Benutzerin oder einer Entität mithilfe von Kryptografie mit öffentlichem Schlüssel nachweist. Es enthält eine Kopie eines öffentlichen Schlüssels der Zertifikatinhaber:innen, der mit einem entsprechenden privaten Schlüssel abgeglichen werden muss, um seine Echtheit zu überprüfen.

Die Europäische Verordnung zur digitalen Identität, auch bekannt als eIDAS 2, ist eine aktualisierte Version der ursprünglichen eIDAS-Rechtsvorschriften. Sie wurde im April 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat einen Monat später in Kraft.

Obwohl die erste Auflage in vielerlei Hinsicht erfolgreich war, gab es noch viel zu verbessern. Der ursprüngliche Rahmen für die digitale Identität war in den einzelnen EU-Mitgliedstaaten unterschiedlich weit verbreitet, was zu Unstimmigkeiten und Schwierigkeiten bei der Nutzung von eIDs und Vertrauensdiensten führte. Im Jahr 2021 konnten nur 59 % der EU-Bürger:innen eine vertrauenswürdige eID grenzüberschreitend nutzen.

eIDAS 2 behebt diese Unzulänglichkeiten durch die Einführung einer Reihe bedeutender Änderungen.

Die europäische digitale Geldbörse (EUDI Wallet)

Zuvor konnten EU-Länder freiwillig nationale eID-Systeme melden, die andere Länder anerkennen mussten. Allerdings wurde kein Land gezwungen, ein elektronisches Identifizierungssystem einzuführen, wenn es noch keines hatte – daher die unterschiedlichen Einführungsraten.

Nun müssen alle Mitgliedstaaten Unternehmen und Bürgerinnen und Bürgern eine sichere digitale Geldbörse anbieten, die ihre nationalen eIDs mit Nachweisen anderer personenbezogener Daten wie Führerscheinen, Diplomen und Bankkonten verknüpfen kann. Dies ermöglicht die Schaffung einer universellen EU-Geldbörse für digitale Identitäten, die es Einzelpersonen ermöglicht, persönliche Daten, Anmeldeinformationen und Attribute zu speichern, zu verwalten und selektiv weiterzugeben.

Ziel ist es, den Europäern bei der Nutzung von Online-Diensten die volle Kontrolle über ihre Daten zu geben und die unnötige Weitergabe von Daten zu reduzieren. Dienstanbieter, die Kundenidentitäten verifizieren, müssen diese Geldbörsen zur Authentifizierung akzeptieren.

Die EU-Geldbörse für digitale Identitäten zeichnet sich durch drei wesentliche Merkmale aus:

1. Sicherheit: Die Aktualisierung steht im Einklang mit bestehenden Gesetzen zur Cybersicherheit, wie der Datenschutz-Grundverordnung (DSGVO), die die Einhaltung dieser Standards vorschreibt. Außerdem ermöglicht sie es öffentlichen Stellen, elektronische Zertifikate auszustellen, und hilft Organisationen dabei, Qualifikationen in ganz Europa anzuerkennen, wobei der Datenschutz im Vordergrund steht.
2. Zweckmäßigkeit: Die EUDI-Wallet erleichtert den Bürgern den Zugriff auf öffentliche Dienste, die Bewerbung um einen Arbeitsplatz und das Reisen in ganz Europa. Mit diesem Tool können sie Identitätsdaten an Organisationen zu Authentifizierungszwecken weitergeben und so den Zugriff auf wichtige grenzüberschreitende Aktivitäten vereinfachen.
3. Interoperabilität: Die Verordnung fördert auch ein einheitliches Konzept, das die Akzeptanz digitaler Identitäten in der gesamten EU fördert. Sie bietet eine gemeinsame technische Struktur und Standards für Bürger:innen und Anbieter von Online-Diensten. Diese Harmonisierung stellt sicher, dass digitale Identitätslösungen in der gesamten EU anerkannt und vertrauenswürdig sind.

Die Mitgliedstaaten müssen den Bürgern bis 2026 eine nationale digitale Geldbörse zur Verfügung stellen.

Ein erweiterter Geltungsbereich

Die europäische Verordnung zur digitalen Identität stärkt den Rahmen für qualifizierte Vertrauensdiensteanbieter (QTSPs) – Einrichtungen, die für das Angebot sicherer und zuverlässiger Vertrauensdienste zertifiziert sind – erheblich. QTSPs müssen sich an strenge Regulierungsstandards halten, die unter anderem vorschreiben, Sicherheitsprotokolle zu implementieren, sich regelmäßigen Audits zu unterziehen und sich von einer benannten Aufsichtsbehörde zertifizieren zu lassen.

Darüber hinaus wurde mit eIDAS 2 der Anwendungsbereich der Vorschrift um drei neue qualifizierte Vertrauensdienste erweitert:

1. Elektronische Archivierungsdienste: Die Archivierung ermöglicht die sichere Speicherung elektronischer Dokumente und Daten. Diese Dienste gewährleisten, dass die archivierten Daten authentisch und unverändert bleiben. Qualifizierte elektronische Archivierungsdienste, die mit eIDAS 2 eingeführt wurden, müssen strengen Standards entsprechen, um die Integrität und den rechtlichen Wert elektronischer Dokumente während der gesamten Aufbewahrungsfrist zu gewährleisten.
2. Elektronische Hauptbücher: Dieser Dienst nutzt die Blockchain-Technologie, um eine sichere und unveränderliche Aufzeichnung von Transaktionen und Daten zu ermöglichen. Dadurch wird sichergestellt, dass elektronische Daten zuverlässig nachverfolgt und verifiziert werden können, was verschiedene Anwendungen und Anwendungsfälle wie Finanztransaktionen, Supply Chain Management und vieles mehr unterstützt.
3. Verwaltung von elektronischen Fernsignatur- und Siegelerstellungsgeräten: Dieser Vertrauensdienst ermöglicht es Anbietern elektronischer Signaturen, Unterzeichnungs- und Versiegelungsprozesse aus der Ferne auf sichere Weise zu verwalten, und gewährleistet, dass die Unterzeichner:innen die volle Kontrolle über den Unterzeichnungsprozess behalten, auch wenn sie die Unterschrift nicht physisch leisten.

Die Einhaltung von eIDAS wird unterschiedlich gehandhabt, je nachdem, ob Ihre Organisation in der EU ansässig ist oder ob Sie ein Anbieter von Vertrauensdiensten sind. Hier finden Sie die wichtigsten Instrumente, die beide Seiten zur Vereinfachung der rechtlichen Anforderungen nutzen können:

Unternehmen in der EU

Organisationen mit Diensten, die eine Identitätsverifizierung erfordern, müssen ein robustes Authentifizierungssystem implementieren. Insbesondere für europäische Unternehmen, ob sie sich nun auf eine bestimmte lokale Lösung, eine regionale Strategie oder einen globalen Ansatz konzentrieren, verändert sich die regulatorische Landschaft in der EU rapide – mit der Harmonisierung als oberstem Ziel. Dabei werden eIDAS-Zertifikate und qualifizierte elektronische Signaturen verwendet, also Bescheinigungen, die die Identität und Authentizität verifizieren. Digitale Verifizierungsprozesse sollten in die Geschäftsabläufe integriert werden, um das Onboarding und die Transaktionsauthentifizierung zu optimieren und sicherzustellen, dass nur autorisierte Personen auf sensible Dienste und Daten zugreifen können.

Vertrauensdiensteanbieter

TSPs müssen QSCDs verwenden, um qualifizierte elektronische Signaturen zu erstellen. Diese Geräte stellen sicher, dass die Signaturerstellungsdaten (z. B. private Schlüssel) in einer sicheren Umgebung generiert, verwaltet und gespeichert werden, um unbefugten Zugriff zu verhindern.

Die Dienstanbieter sollten außerdem eine robuste Public Key Infrastructure (PKI) zur Verwaltung digitaler Zertifikate und kryptografischer Schlüssel einrichten. PKI ermöglicht die sichere Ausstellung, Verteilung und Verifizierung von digitalen Zertifikaten und gewährleistet, dass elektronischen Signaturen und anderen Diensten vertraut werden kann. Die TSPs müssen sicherstellen, dass ihre PKI-Vorgänge den eIDAS-Anforderungen entsprechen, einschließlich der Aufrechterhaltung von Praktiken zur sicheren Schlüsselverwaltung.

Identitäts- und Zugriffsverwaltungssysteme (IAM) sind für TSPs ebenfalls von entscheidender Bedeutung, um Benutzeridentitäten zu verwalten und den Zugriff auf ihre Dienste zu kontrollieren. Diese Systeme sollten starke Authentifizierungsmethoden wie die Multifaktor-Authentifizierung (MFA) enthalten, um die Identität der Benutzer:innen zu verifizieren. IAM-Lösungen können auch sicherstellen, dass nur autorisierte Personen sensible Vorgänge durchführen können, wie z. B. die Ausstellung von Zertifikaten oder die Erstellung elektronischer Signaturen.

Als Gründungsmitglied des Cloud Signature Consortium und Anbieter von Infrastrukturlösungen für das Bereitstellen von Vertrauensdiensten unterstützt Entrust Sie bei der Einhaltung von eIDAS. Unsere Lösungen versetzen Sie in die Lage, qualifizierte Signaturen zu erzeugen und konforme Vertrauensdienste auf einer starken, sicheren Grundlage aufzubauen.