Elektronische Signaturen für den Alltag Chancen durch eidas Remote Signaturen The XignQR System Markus Hertlein hertlein@xignsys.com XignSYS IT-Trends Sicherheit 20.04.2016 1
Unsere Vernetzte Welt Extrem starke Vernetzung im privaten und geschäftlichen Umfeld Trend 2016: Digitale Transformation Verlagerung hin zu XaaS BYOD und Mobilität 2
Status QUO elektronische Signaturen 3 Formen der elektronischen Signaturen Einfache el. Signatur Fortgeschrittene el. Signatur Qualifizierte el. Signatur Deutsches Signaturgesetzt regelt Sichere Signaturerstellungseinheit Chipkarten Signaturanwendungskomponente Kartenlesegerät Qualifiziertes Zertifikat Bindet die Schlüssel an den Nutzer (vgl. digitaler Personalausweis) 3
Qualifizierte elektronische Signaturen - Herausforderungen Benötigt Zusatzhardware Unkomfortabel und kostenintensiv Begrenzte Anzahl an Use Cases Mobiler Einsatz nur schwer möglich International unterschiedliches Recht an die Anforderungen an QES à Fehlende Mobilität à Fehlende Akzeptanz à unflexibel à Kein Verbreitung 4
eidas EU-Verordnung für die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im europäische Binnenmarkt Löst das deutsche Signaturgesetz ab Dient der Stärkung des Vertrauens in EU-weite elektronische Transaktionen Ermöglicht den EU weiten rechtsgültigen digitalen Handel Vereinheitlichung der Standards und Abläufe Erlaubt rechtsgültige Fernsignaturen QES aus der Cloud 5
Fernsignaturen à à Unterschreiben von Transaktionen, Dokumenten, Verträgen,... In der Cloud EU-weit rechtsgültig Verzicht auf teure und unkomfortable Zusatzhardware Mobiles Arbeiten wird vereinfacht Erschaffen von neuen Anwendungsfällen und neuen Märkten Digitalisierung von Prozessen à Förderung von QES Erhöht Benutzerfreundlichkeit und senkt Kosten 6
Fernsignaturen Sicherheit Signaturauslösemechanismus befindet sich unter alleiniger Kontrolle des Schlüsselinhabers Schlüsselmaterial und Zertifikat wird im HSM unter Hoheit eines Vertrauensdiensteanbieters (VDA) gespeichert Keine Aussage zur Signaturerstellungseinheit Starke 2-Faktor Authentifizierung als Auslöser XignQR als Ansatz für den Alltag 7
Fernsignaturen Auslösen mit XignQR 1. Nutzer bekommt QR Code präsentiert Bei Login / Shopping / Transaktionen / Signaturen 2. Nutzer scannt/fotografiert QR Code 3. Nutzer prüft Daten und bestätigt 4. Fertig! 8
XignQR Konzept und Merkmale Personalisiertes Smartphone als PAD QR Code / NFC als Einsprungspunkt Trennung von Prozessen und Datenerfassung Trusted Third Party Flexible Anbindung über bestehende Protokolle System wächst in die Umgebung nicht die Umgebung an das System Gänzlicher Verzicht auf Passwörter nutzen starker Kryptographie Gewährleisten von Integrität, Authentizität und Vertraulichkeit 9
XignQR Vorteile für Endnutzer, Anbieter und Unternehmen Personalisiertes Smartphone als PAD QR Code / NFC als Einsprungspunkt Trennung von Prozessen und Datenerfassung Trusted Third Party Flexible Anbindung über bestehende Protokolle System wächst in die Umgebung nicht die Umgebung an das System Gänzlicher Verzicht auf Passwörter nutzen starker Kryptographie Gewährleisten von Integrität, Authentizität und Vertraulichkeit 10
XignQR Sicherheit Starke passwortlose Authentifizierung Kein Brute-Force oder Phishing Kontextbasierte Informationen erhöhen die Echtheit und Vertraulichkeit E2E-Verschlüsselung und gegenseitige Authentifizierung verhindern Datendiebstahl Sicherheit und Risikomanagement auf Bankenniveau (vgl. Verlust von EC-, Kredit-, SIM-Karte) Verzicht auf sichtbar sensiblen Informationen 11
XignQR the Quick Response authentication and signature system Interoperabel und einfache Integration Hohe Sicherheit / geringe Komplexität PKI basierte Challenge Response Multifaktor-Authentifizierung Adaptive Sicherheit / Usability Verzicht auf Zusatzhardware Erhöhen der Benutzerfreundlichkeit Datenschutz und Selbstbestimmung Datensparsamkeit bei Verwendung von Nutzerdaten 12
XignQR Merkmale Eine Registrierung und Plattformunabhängigkeit Viele Anwendungen und Märkte in der realen und digitalen Welt mit riesigen Kundenklientel Datenschutz und sicherheit made in Germany Höchste Sicherheitsmerkmale und Datensparsamkeit Nicht trackbar und die Möglichkeit zur Pseudonymität Einfache Integration, Wartbarkeit und Risikomanagement Geringe Interaktion à Einfach, schnell, benutzerfreundlich Keine Passwörter, nur scannen, bestätigen, fertig! Hohe Nutzerakzeptanz und schnelle Verbreitung Reduzierte Komplexität QR Code + Smartphone: kleiner Absprung, höher Conversions Verwendung aus der Cloud oder on-premise à Kosten- und aufwandsreduzierend 13
XignQR Vorteile Nutzer Keine zusätzlichen Schritte Nur noch Scannen und Bestätigen Kein Passwort und Benutzername Weniger Interaktion Kein Suchen oder Probieren von Benutzernamen-Passwort-Kombinationen Einfache Registrierung Datenhoheit und Verwaltbarkeit Eine Registrierung à ein Account à keine Datenstreuung à minimaler Verwaltungsaufwand Gesteigertes Bewusstsein Weiß jederzeit was, wann, wieso zu tun ist prägnante Hinweise, z.b. Ausführungsreihenfolge oder benötigte Daten für... à Bessere Nutzungserfahrung 14
XignQR Vergleich Heute & Morgen Heutige XignQR Situation Situation 15
Kontakt Room for Questions Wenn sie Fragen haben, zögern sie nicht uns zu kontaktieren Markus Hertlein XignSYS hertlein@xignsys.com 16