Die neuen Möglichkeiten der elektronischen Signatur - die neue Verordnung über elektronische Identifizierung und Vertrauensdienste (eidas) ZKI AK Verzeichnisdienste Datum: 12.09.2016 Verfasser: Andreas Weise 1
Die EU-Verordnung eidas Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC 2
IN EUROPA ELEKTRONISCH ZU SIGNIEREN IST HEUTE NOCH SCHWIERIG WWW 13 Millionen EU Bürger arbeiten in einem anderen EU- Land 150 Millionen EU Bürger kaufen online ein 3
INSBESONDERE WEGEN DER VIELZAHL AN REALISIERUNGEN Keine Einheitlichkeit in Europa!!! 1999 2006 2005 2002 2009 2013 2006 2003 2010 2013 2009 2006 2004 2007 2007 2006 verpflichtend freiwillig Jahr = Start 4
KERNPUNKTE DER EIDAS-VERORDNUNG (REGULATION NO 910 / 2014) Ziel Schaffung eines digitalen Binnenmarkts der eid-mittel und TSP in Europa Gegenseitige Anerkennung der notifizierten eid Systeme Festlegung eines Rechtsrahmens für betroffene Dienste Schaffung einer gemeinsamen Grundlage für sichere elektronische Interaktion zwischen Unternehmen, Bürgern und öffentlichen Verwaltungen Betroffene Dienste Notifizierte Systeme (eid) (Identifizierung/Authentisierung) und Vertrauensdienste (TSP) Ausgenommen: Geschlossene Nutzergruppen der Privatwirtschaft oder der Behörden, z.b. EGVP, Firmenkarten, Register Status In Kraft getreten August 2014 - Durchführungsrechtsakte sind die Verbindung von technischen Normen und Verordnung Im Forum elektronische Vertrauensdienste AK A (TeleTrusT) und AG B (Bitkom) werden aktuelle Vorschläge der Durchführungsakte kommentiert. i Durch den gesetzgeberischen Charakter für die Mitgliedsstaaten müssen SigG/SigV angepasst werden 5
ROADMAP DER EIDAS-VERORDNUNG REICHT BIS IN 2018 HINEIN 2014 2015 2016 2017 2018 2019 eidas-verordnung 17.09.2014 Inkrafttreten eidas-verordnung Trust Services 01.07.2016 Inkrafttreten Regelung Vertrauensdienste Elect. Identification Übergangsphase 18.09.2018 Inkrafttreten eid-anerkennung 30.06.2017 Beendigung der alten Dienste 6
Die eidas Verordnung wird über Durchführungsrechtsakte und technische Standards spezifiziert Kapitel I. Allgemeine Bestimmungen II. Elektronische Identifizierung III. Vertrauensdienste IV. Elektronische Dokumente V. Durchführungs- Bestimmungen VI. Schluss- Bestimmungen Rechtlich Abschnitt 1. Allgemeine Bestimmungen Artikel 2. Aufsicht 3. Qualifizierte Vertrauensdienste 4. Elektronische Signaturen 5. Elektronische Siegel 6. Elektronische Zeitstempel 7. Zustellung elektronischer Einschreiben 8. Website- Authentifizierung 13-16 17-19 20-27 25-34 35-40 41-42 43-44 45 Durchführungsrechtsakte (implementing acts) Art. 27 (5) + Art. 37 (5) 2015/1506 Art. 20 (4) Art. 19 (4) Art. 28 (6) +Art. 38 (6) (2015/02 Ident) Art. 42 (4) Art. 22(5) 2015/1505 Art. 30 + 39 Anhang II 2016/650 ETSI Conformity Assessment Framework CEN QSSE Technisch Festlegungen Signaturformate Anforderungen an Konformitätsbewertungsstelle Anforderungen für (Web-) Cert- VDAs Anforderungen für Qualifizierte VDA Qualifizierte Zeitstempeldienste TSL-Dienste Definitionen Q-Signatur erstellungs einheiten TS 103171 v.2.1.1(1) EN 319 403 EN 319 401 EN 319 411-1 EN 319 411-2 EN 319 421 TS 119 612 ISO 15408 EN 419 211 7
VERTRAUENSDIENSTE GEMÄß EIDAS FÜR DIE UNTERSCHIEDLICHSTEN BEREICHE Fortgeschrittene / qualifizierte Signaturen (auch fernausgelöst) Qualifizierte Websitezertifikate Fortgeschrittene/ qualifizierte Siegel Elektronische Einschreib- Zustelldienste Vertrauensdienste qualifizierte Zeitstempel Elektronisches Dokument Prüf und Bewahrungsdienste 8
NEU: DIE FERNSIGNATUR (FÜR NATÜRLICHE PERSONEN) Natürliche Person Vertra g Signieren Vertrag Behörde / Unternehmen 2-Faktor-Authentisierung Vertrauensdiensteanbieter (TSP) für Signaturerzeugung Vertrag Technische Umsetzung Signaturauslösemechanismus befindet sich unter alleiniger Kontrolle des Schlüsselinhabers (natürliche Person) Schlüsselmaterial und Zertifikat wird im HSM unter Hoheit eines Vertrauensdiensteanbieters (TSP) gespeichert Unsere Vision Orchester von Identifikations- und Authentifizierungsmechanismen ermöglichen die Signatur in der Cloud 9
FERNSIGNATUREN BIETEN EINE EINFACHERE NUTZBARKEIT UND PROFESSIONELLES SCHLÜSSEL-MANAGEMENT Anwendungsbereich Einsatz durch natürliche Personen bei Transaktionen und Kommunikation mit Unternehmen und Behörden Vorteile Potential für hohe Marktdurchdringung, da einfachere Nutzbarkeit und professionelles Management der Schlüssel Schnelle Verfügbarkeit für potentiellen Unterzeichner Voraussichtlich kostengünstiger, da keine spezifische Hardware auf Seiten des Unterzeichners notwendig i eidas (Erwägungsgrund 52): Die Erstellung elektronischer Fernsignaturen [ ] soll aufgrund der vielfältigen damit verbundenen wirtschaftlichen Vorteile ausgebaut werden. 10
NEU: DAS SIEGEL DIE ELEKTRONISCHE UNTERSCHRIFT FÜR DIE JURISTISCHE PERSON Definition Dienen als Nachweis, dass ein elektronisches Dokument von einer juristischen Person ausgestellt wurde und belegen die Unversehrtheit und den Ursprung des Dokuments Ausprägungen Fortgeschrittenes Siegel Qualifiziertes Siegel (Unterschied: Sichere Siegelerstellungseinheit + qualifiziertem Zertifikat) Technische Umsetzung Fernsiegelung analog zu der Fernsignierung Ersatz für persönliche Unterschrift Herkunftsnachweis Rechtswirkung eidas Art. 35 (2): Für ein qualifiziertes elektronisches Siegel gilt die Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunftsangabe der Daten, mit denen das qualifizierte elektronische Siegel verbunden ist. i Behördensiegel und Unternehmensstempel werden ins Internetzeitalter überführt rechtsverbindlich und europaweit anerkannt 11
NEU: DER ZEITSTEMPEL - DEFINIERTES BEWEISMITTEL VOR GERICHT Definition Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und dadurch den Nachweis erbringen, dass diese anderen Daten zu diesem Zeitpunkt vorhanden waren. Ausprägungen Qualifizierter Zeitstempel Technische Umsetzung Betrieb des qualifizierten Zeitstempeldienstes ausschließlich beim Vertrauensdiensteanbieter (Sicherheitsniveau nach EN 319 421) Anbindung des Dienstes gemäß internationalem Standard: RFC 3161 Rechtswirkung eidas Art. 41 (2): Für qualifizierte elektronische Zeitstempel gilt die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen Daten. i Zeitstempel konservieren die Zeit verknüpft mit der koordinierten Weltzeit: Änderungen sind nicht unbemerkt möglich! 12
NEU: DAS QUALIFIZIERTE WEBSITE-ZERTIFIKAT Definition Ermöglicht die Authentifizierung einer Website und verknüpft die Website mit der natürlichen oder juristischen Person, der das Zertifikat ausgestellt wurde. Ausprägungen Qualifiziertes SSL/ TLS -Zertifikat, welches den Besitz der angegebenen Domain garantiert Technische Umsetzung Funktionsweise analog zum klassischen SSL/ TLS-Zertifikat Vertrauensstellung wird durch europäischer Vertrauensliste (Trusted Services List) erbracht i Der Vertrauensstatus eines qualifizierten Website-Zertifikats ist unabhängig vom Rootstore der Betriebssysteme und Browser. 13
EIDAS WIRKT AN MEHREREN STELLEN IN EINEM TYPISCHEN E-TRANSAKTION-WORKFLOW BEISPIEL BUNDESMELDEGESETZ Website besuchen Website-Authentifizierung Vermieter Einloggen / Registrieren Ist die Website gefälscht? eid/ Identifikation Formular ausfüllen und unterzeichnen esignatur (Fernsignatur) Formular erstellen Antragseingang bestätigen Zeitstempel Behörde Bestätigung erstellen Siegel E-registrierte Zustellung Bescheinigung zustellen Aufbewahrung Vorgang archivieren xxx eidas relevante Komponente 14
Disclaimer Lassen Sie uns darüber reden! Andreas Weise & Katrin Oesterreich E-Mail: katrin.oesterreich@bdr.de Telefon: +49-30-2598 1822 Hinweis: Diese Präsentation ist Eigentum der Bundesdruckerei GmbH. Sämtliche Inhalte auch auszugsweise dürfen nicht ohne die Genehmigung der Bundesdruckerei GmbH vervielfältigt, weitergegeben oder veröffentlicht werden. Copyright 2016 by Bundesdruckerei GmbH. 15