Besichtigung des „eIDAS-Ökosystems”

Die „Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG”, die gemeinhin als „eIDAS-Verordnung” bekannt ist, verspricht das Vertrauen und die Effizienz von elektronischen Transaktionen in Europa zu steigern. In diesem Blogeintrag wollen wir ins Gedächtnis zurückrufen, worum es in der eIDAS-Verordnung geht, und wir möchten Sie herzlich einladen, mit uns zu einem „virtuellen Aussichtspunkt” hinaufzusteigen, von dem aus die wesentlichen Teile und Dienste des „eIDAS-Ökosystems“ und ihr Zusammenspiel erkennbar werden, so dass Sie die existierenden Vertrauensdienste in einer interaktiven eIDAS-Landkarte erkunden und das generelle Potential  und Ihre individuellen Vorteile  durch diese EU-Verordnung erkennen können.

Das „eIDAS-Ökosystem” auf einem Blick

Wie in der Abbildung gezeigt, umfasst das „eIDAS-Ökosystem” insbesondere den „Benutzer”, der einen „eIDAS-basierten Transaktionsdienst” nutzt. Dieser Transaktionsdienst greift wiederum auf eine Reihe von weiteren „eIDAS-Diensten” zu, deren Vertrauenswürdigkeit durch das „eIDAS Vertrauenssystem” sichergestellt wird.

Das „eIDAS Vertrauenssystem”, welches auf Grund der ausgefeilten, darin zusammenwirkenden Mechanismen eine gesonderte Behandlung in einem zukünftigen Blogeintrag verdient, stellt die vertrauenswürdige Basis für das „eIDAS-Ökosystem” bereit, die durch eine sorgfältig ausgewählte Kombination von Maßnahmen wie Akkreditierung, Konformitätsbewertung, Überwachung und Vorfallsbehandlung erreicht wird.

Während auch das Reich der „eIDAS-basierten Transaktionsdienste” facettenreich genug ist, um besser in zukünftigen Blogeinträgen behandelt zu werden, sollen die „eIDAS-Dienste“ im Folgenden kurz vorgestellt und näher erläutert werden, da sie das funktionale Herz des „eIDAS-Ökosystems“ bilden.

Die „eIDAS-Dienste” umfassen den „Identifizierungsdienst” (eID-Service) gemäß Kapitel II der eIDAS-Verordung und verschiedene „Vertrauensdienste“ (Trust Services) gemäß Artikel 3 (16) und Kapitel III der eIDAS-Verordnung. Diese umfasst insbesondere

Identifizierungsdienst (eID-Service)

Der „Identifizierungsdienst“ (eID-Service) ermöglicht die sichere Identifizierung und Authentifizierung von Benutzern und juristischen Personen. Hierbei können die gemäß
Artikel 9 notifizierten Identifizierungssysteme sowie weitere geeignete Mittel zur Identifizierung und Authentifizierung genutzt werden. Für die Bewertung des Sicherheitsniveaus eines Identifizierungssystems bzw. Identifizierungsmittels sind in Artikel 8 der eIDAS-Verordnung die Stufen „niedrig“, „substanziell“ und „hoch“ definiert und detaillierte Anforderungen finden sich im zugehörigen Durchführungsrechtsakt DVO (EU) 2015/1502. Notifizierte Identifizierungssysteme, die zumindest die Stufe „substanziell“ erreichen, werden gemäß Artikel 6 der eIDAS-Verordnung von den EU-Mitgliedsstaaten bei grenzüberschreitenden Transaktionen gegenseitig anerkannt.

Zertifizierungsdienst (Certification Authority, CA)

Ein „Zertifizierungsdienst” (Certification Authority, CA) erzeugt elektronische Zertifikate und stellt diese für Benutzer und andere Entitäten (Zertifikatsinhaber, Subject) aus. Dies kann entweder direkt oder vermittelt über einen entsprechenden Dienst, wie z.B. dem „eIDAS-basierten Transaktionsdienst“ oder dem „Signatur- und Siegelerstellungsdienst“ (SigS) erfolgen. In diesem Fall interagiert der Dienst mit dem CA-System und bestimmt zusammen mit dem „Identifizierungsdienst” die Identität des Zertifikatsinhabers, indem die entsprechenden Identitätsattribute geprüft und bestätigt werden, die schließlich mit dem öffentlichen Schlüssel des Zertifikatsinhabers kombiniert und zur Erstellung des Zertifikates vom „Zertifizierungsdienst“ signiert werden.

Zeitstempeldienst (Time Stamping Authority, TSA)

Die Möglichkeit die Existenz bestimmter Daten zu einem bestimmten Zeitpunkt beweisen zu können, ist eine Anforderung, die bei vielen elektronischen Transaktionen (z.B. für elektronische Signaturen, bei der Verwaltung elektronischer Rechte, bei elektronischen Verträgen oder für beweiskräftige Aufzeichnungen) benötigt wird. Zu diesem Zweck erhält ein „Zeitstempeldienst“ (Time Stamping Authority, TSA) die mit einem Zeitstempel zu versehenden Daten, oder einen Hashwert davon, und liefert einen Zeitstempel zurück, der neben dem Hashwert der Daten eine zuverlässige Zeitangabe umfasst und mit einer Signatur des Zeitstempeldienstes versehenen ist.

Signatur- und Siegelerstellungsdienst (Signature Generation & Sealing Service SigS)

Der „Signatur- und Siegelerstellungsdienst” (Signature Generation & Sealing Service, SigS) ermöglicht die Erzeugung von (qualifizierten) elektronischen Signaturen gemäß Abschnitt 4 und (qualifizierten) elektronischen Siegeln gemäß Abschnitt 5 der eIDAS-Verordnung in technischen Formaten, wie z.B. CAdES, XAdES und PAdES.

Validierungsdienst (Validation Service, ValS)

Die (qualifizierten) elektronischen Signaturen und Siegel, die mit dem oben erläuterten SigS erzeugt werden, können mit dem „Validierungsdienst“ (Validation Service, ValS) geprüft werden. Hierzu nutzt der ValS die in den Vertrauenslisten gemäß Artikel 22, bzw. dem Durchführungsbeschluss DFB (EU) 2015/1506 und ETSI TS 119 162(v2.1.1), enthaltenen Zertifikate als Vertrauensanker und führt eine Signaturprüfung gemäß EN 319 102-1 in Verbindung mit einer geeigneten Signaturprüfungspolitik (Signature Validation Policy) durch.

Bewahrungsdienst (Preservation Service, PresS)

Die langfristige Aufbewahrung signierter Dokumente macht eine Form der Aufbewahrung notwendig, die die Lesbarkeit und den Erhalt der Beweiskraft der Dokumente und Signaturen unabhängig vom Speichermedium sicherstellt. Um die rechtliche Gültigkeit und die Beweiskraft elektronischer Signaturen und Siegel langfristig zu erhalten, müssen geeignete Bewahrungstechniken eingesetzt werden, wie sie in ETSI SR 019 510 beschrieben sind. Die Aufbewahrungstechniken, die von einem „Bewahrungsdienst“ (Preservation Service, PresS) gemäß Artikel 34 der eIDAS-Verordnung umgesetzt werden müssen, können sich auf Evidence Records gemäß RFC 4998 oder RFC 6283 oder die kontinuierliche Konservierung von Signaturen mit Archivzeitstempeln gemäß CAdES oder XAdES stützen.

Zustelldienst (Electronic Delivery Service, EDS)

In der papierbasierten Welt kann durch den Versand eines Briefs als Einschreiben sicher erkannt werden, dass ein Brief wirklich den Empfänger erreicht hat. Diese Dienstleistung wird durch die Postdienstleister angeboten. In diesem Fall schreibt der Absender seine Nachricht auf ein Stück Papier und steckt dieses in einen abgeschlossenen Umschlag, auf dem die Adresse des Empfängers vermerkt ist und verschickt diesen schließlich mit der Post. Die Zurechenbarkeit, die Vertraulichkeit und die Unversehrtheit des Briefs wird weitgehend durch den Absender sichergestellt, während der Postdienstleister vor allem die Gewähr für die Verfügbarkeit und die korrekte Zustellung der Sendung übernimmt.

Gemäß Artikel 44 der eIDAS-Verordnung müssen „qualifizierte Dienste für die Zustellung elektronischer Einschreiben […] folgende Anforderungen erfüllen:

  1. Sie werden von einem oder mehreren qualifizierten Vertrauensdiensteanbietern erbracht.
  2. Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher.
  3. Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher.
  4. Das Absenden und Empfangen der Daten ist durch eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel eines qualifizierten Vertrauensdiensteanbieters auf eine Weise gesichert, die die Möglichkeit einer unbemerkten Veränderung der Daten ausschließt.
  5. Jede Veränderung der Daten, die zum Absenden oder Empfangen der Daten nötig ist, wird dem Absender und dem Empfänger der Daten deutlich angezeigt.
  6. Das Datum und die Zeit des Absendens, Empfangens oder einer Änderung der Daten werden durch einen qualifizierten elektronischen Zeitstempel

Vor dem Hintergrund dieser Anforderungen ist es offensichtlich, dass ein „Zustelldienst“ (Electronic Delivery Service, EDS) eine Vielzahl weiterer eIDAS-Dienste umfasst bzw. nutzen muss. Dies umfasst z.B. den „Identifizierungsdienst“, den „Signatur- und Siegelerstellungsdienst“ (SigS), den „Validierungsdienst“ (ValS), den „Zeitstempeldienst“ (TSA) und muss die vom „Zertifizierungsdienst“ (CA) bereitgestellten Zertifikatstatusinformationen auswerten.

Entdecken Sie das Potenzial von eIDAS mit der interaktiven eIDAS-Landkarte

Der EDS ist ein schönes Beispiel dafür, dass verschiedene grundlegende „eIDAS-Dienste“ zu einem umfassenderen „eIDAS-Dienst“ bzw. einem „eIDAS-basierten Transaktionsdienst“ für anwendungsspezifische Anforderungen zusammengefasst werden können. Ein zentraler Aspekt der eIDAS-Verordnung ist, dass durch sie die regulatorischen Anforderungen für elektronische Identifizierungsdienste und Vertrauensdienste europaweit harmonisiert werden und auch der rechtliche Effekt von notifizierten Identifizierungssystemen (siehe Artikel 6), elektronischen Signaturen (siehe Artikel 25), elektronischen Siegeln (siehe Artikel 35), Zeitstempeln (siehe Artikel 41), elektronischen Zustelldiensten (siehe Artikel 43) und nicht zuletzt elektronischen Dokumenten (siehe Artikel 46) nun europaweit einheitlich geregelt ist.

Deshalb können Anbieter und Nutzer von Vertrauens- und Transaktionsdiensten aus der großen Anzahl qualifizierter Vertrauensdiensteanbieter, die derzeit im Europäischen Markt aktiv sind, auswählen und diese über die heute bereitgestellte interaktive eIDAS-Landkarte leicht erkunden. Diese Landkarte bietet jeweils einen tagesaktuellen Überblick über die am Europäischen Markt agierenden Vertrauensdiensteanbieter und ihre derzeit angebotenen Vertrauensdienste.

Der individuelle Nutzen der eIDAS-Verordnung – Was bringt mir eIDAS?

Welche spezifischen Vorteile und welchen Nutzen die eIDAS-Verordnung für Sie genau bereithält, hängt von Ihrer spezifischen Rolle im „eIDAS-Ökosystem“ ab. Der Vorteil für Anbieter von „eIDAS-Diensten“ ist, dass diese nun ihre Dienste in ganz Europa anbieten und verkaufen können, was neue und sehr interessante Vermarktungsmöglichkeiten beinhaltet. Der Vorteil für Benutzer ist, dass diese nun aus einer Vielzahl von angebotenen Vertrauensdiensten mit wohldefinierter Vertrauenswürdigkeit wählen können und die mit der Nutzung dieser Dienste verbundenen Rechtsfolgen klar definiert sind. Der möglicherweise größte mit der eIDAS-Verordnung einhergehende Vorteil existiert jedoch für „eIDAS-basierte Transaktionsdienste“, die Gegenstand eines zukünftig erscheinenden Blogeintrags sein werden.

Danksagung

Wir erkennen dankbar an, dass dieser Blogeintrag auf Inhalten aufbaut, die im FutureTrust-Projekt erarbeitet wurden, das unter dem Förderkennzeichen No. 700542 Fördermittel aus dem Forschungs- und Innovationsprogramm „Horizont 2020“ der Europäischen Union erhalten hat.