Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste nach eidas-verordnung. Berlin, 22. Juni 2017

Ähnliche Dokumente
Conformity Assessment Herausforderungen bei der Prüfung von Vertrauensdiensten

Erfüllung der Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben nach eidas-verordnung durch D -Dienste

Fernsignaturen mit der Online-Ausweisfunktion

Neue Vertrauensdienste unter eidas Was bringen Siegel, Web-Serverzertifikate, Validierungs-, Bewahrungsdienste?

Durchführung der eidas-verordnung - eidas-durchführungsgesetz

Innovative Siegel und Signaturlösungen nach eidas für die Justiz. Aktuelle Stunde im Rahmen des EDV-Gerichtstags 2016

Neue Wege zur Sicherheit und Vertrauen für Deutschland und Europa Hamburg,

Projekt: Unterschrift unterwegs

Die neuen Möglichkeiten der elektronischen Signatur -

eidas - Chancen und Risiken Neue Services. Neue Anforderungen an Vertrauensdiensteanbieter.

Das neue Vertrauensdienstegesetz Was hat sich geändert? Dr. Armin Jungbluth BMWi, Leiter des Referats Rechtsrahmen digitale Dienste, Medienwirtschaft

eidas Status Anerkennungsverpflichtung notifizierter Systeme Was ist zu beachten?

Countdown für die eidas-verordnung Wie Vertrauensdienste die Behördenkommunikation verändern werden 4. Fachkongress des IT-Planungsrats

Cybercrime. eidas Summit. von Beweisen und Vermutungen. Dr. Viola Bensinger GREENBERG TRAURIG GERMANY, LLP RECHTSANWÄLTE

Stellungnahme der Bundesärztekammer

eidas: Antworten auf häufig gestellte Fragen, neue Dienste und Zertifikatsklassen

Auswirkungen der eidas-verordnung auf das nationale Recht. eidas-verordnung und E-Justice/E-Government

eidas VO Eine Übersicht

Zukunft der elektronischen Identität und Signatur Der neue EU-Rahmen (eidas-vo) Peter Kustor

DIGITALE IDENTITÄTEN / AUTHENTISIERUNGSMITTEL IM NATIONALEN UND INTERNATIONALEN UMFELD

eidas-vertrauensdienste als neue Standardverfahren EDV-Gerichtstag Symposium bea+

Verfahrensbeschreibung zur Qualifikation

CEN Normungsaktivitäten mit Bezug zu eidas (EU-VO 910/2014) Workshop Elektronisches Siegel im Sinne der eidas-verordnung

eidas und der Personalausweis

Regulatorische Bereiche der eidas

Grenzüberschreitende gegenseitige Anerkennung elektronischer Identifizierungsmittel im E-Government gemäß eidas-verordnung

AK E-Zustellung Verordnung des Europäischen Parlament. Markus Knasmüller

Neues aus der europäischen und internationalen Standardisierung zum - Thema Bewahrung -

Stand der Anpassung des nationalen Rechts an die eidas-verordnung

BESCHLÜSSE. (Text von Bedeutung für den EWR)

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die eidas - Verordnung. Erste Anwendungen deutscher Vertrauensdiensteanbieter

Workshop elektronisches Siegel im BMW. Dr. Gisela Meister, G&D 7. März 2016

Man soll die Dinge so einfach wie möglich machen, aber nicht einfacher." - Chancen und Handlungsempfehlungen

Natürliche und juristische Personen in (qualifizierten) eidas Vertrauensdiensten

Die eidas-vo und ihre legistische Begleitung in Ö (insbes. SVG, SVV)

Vergaberechtliche Änderungen im Oberschwellenbereich durch das eidas-durchführungsgesetz ab dem

Ulrich Emmert. e s b Rechtsanwälte

NUTZENPOTENZIALE DER EUROPÄISCHEN VERORDNUNGEN FÜR DIE IT SICHERHEIT

aufgrund des 217f Absatz 4b SGB V

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Lösungen im digitalen Binnenmarkt: Siegel, Zeitstempel und Signaturen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Vertrauensdienste gemäß eidas und PSD2

Elektronische Identifikation und Vertrauensdienste

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Entwurf eines eidas-durchführungsgesetzes - Verbändeanhörung

Vertrauensdiensteanbieter:

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Wichtigkeit des Beweiswerterhaltes elektronischer Daten

DEUTSCHE eid-infrastruktur FIT FÜR EUROPA? Jens Bender BSI

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Ermittlung der Schutzanforderungen und erforderlicher Maßnahmen anhand einer Datenschutz-Folgenabschätzung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Neue EU-Verordnung eidas: Was sie jetzt über elektronisches Unterschreiben wissen sollten

Vertrauenswürdige Geschäftsprozesse durch eidas

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Einfluss der eidas auf die Online- Signaturfunktion. Datum: Ort: Berlin Verfasser: Thomas Stoppe/ Enrico Entschew

Sicherheit von Fernidentifizierungsverfahren. Saarbrücken, 20. September 2017

Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Konformitätsbewertungsbericht Konformitätsbewertung eines Teils (Modul) eines Vertrauensdienstes gemäß eidas

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Bundesministerium für Wirtschaft und Energie Frau Sabine Maass Scharnhorststraße Berlin. per an

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

E-Government Forum. Austauschs- und Koordinationsgremium 10. Mai 2017

Die grenzüberschreitende gegenseitige Anerkennung elektronischer Identifizierungsmittel im E-Government nach Umsetzung der eidas-verordnung

1 Grundlagen. Stand: 13. März 2015

Vertrauensdienstegesetz (VDG)

eid-servers go eidas TREATS (TRans-European AuThentication Services; 2015-DE-IA-0065):

Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate

Aktueller Stand zur Vertrauensdiensteverordnung. Fabienne Fuchslocher BMWi, Referentin des Referats Rechtsrahmen digitale Dienste, Medienwirtschaft

eid Peter Parycek, Donau-Universität Krems, 06. Mai 2015

Anwendungsszenarien für das qualifizierte Siegel nach eidas

Amtsblatt der Europäischen Union L 33. Rechtsvorschriften. Rechtsakte ohne Gesetzescharakter. 61. Jahrgang. Ausgabe in deutscher Sprache

Vertrauensdiensteanbieter:

Beweissicherheit durch Vertrauensdienste und eidas-verordnung. S a a r b r ü c k e n, 2 4. S e p t e m b e r

Elektronische Fernsignatur mittels Smartphone gemäß neuer EU-Verordnung eidas

Trustcenter der Deutschen Rentenversicherung

Interoperable Servicekonten ein praktischer Ansatz

Wege zum mobilen E-Government: Fernsignatur und Servicekonten Bremer Rathaus, Quelle: FHB Finanzsenatorin

Evolution der Signatur Elektronisch unterzeichnen und Prozesse beschleunigen. cuacademy, Hamburg, , Stefan Heins

Die Bedeutung der eidas-verordnung für Behörden. Chancen und Herausforderungen im E-Government. Steffen Schwalm, Theresa Vogt.

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit der. die Erfüllung aller relevanten Anforderungen der Verordnung

Elektronische Identifikation und Vertrauensdienste

Einsatz für das EPDG Pragmatische Erfüllung der hohen Sicherheitsanforderungen

Stellungnahme. Referentenentwurf einer Vertrauensdiensteverordnung. 27. Juli 2018 Seite 1. Einleitung

Perspektiven interoperabler Bürgerkonten

LIMITE DE RAT DER EUROPÄISCHEN UNION. Brüssel, den 1. Juni 2011 (OR. en) 10222/2/11 REV 2. Interinstitutionelles Dossier: 2011/0070 (APP) LIMITE

Digitalisierung in der Justiz: Vertrauen durch IT-Sicherheit

6. Inf or ma tio nst ag "El ekt ron isc he Sig nat ur" Ge me ins am F ir m. Ve ran sta ltu ng

Referentenentwurf. des Bundesministeriums für Wirtschaft und Energie

BUNDESGESETZBLATT FÜR DIE REPUBLIK ÖSTERREICH. Jahrgang 2016 Ausgegeben am 3. August 2016 Teil II

Bundesgesetz über das elektronische Patientendossier (EPDG)

Transkript:

Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste nach eidas-verordnung Berlin, 22. Juni 2017

Inhalt 1. Vertrauensdienste in der eidas-verordnung 2. Identifizierung bei Ausstellung qualifizierter Zertifikate 3. Authentifizierung bei Erstellung qualifizierter Signaturen und Siegel 4. Identifizierung und Authentifizierung bei Nutzung qualifizierter Zustelldienste 5. Vertrauensniveaus von Identifizierungsverfahren 6. Vertrauensniveaus von Authentifizierungsverfahren Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 2

1. Vertrauensdienste in der eidas-verordnung

Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG Schaffung eines umfassenden europäischen Rechtsrahmens, um sichere und nahtlose elektronische Transaktionen zwischen Unternehmen, Bürgern und öffentlichen Verwaltungen zu ermöglichen Elektronische Identifizierung verpflichtende Anerkennung ab 09/2018 Personen und Unternehmen sollen mit ihren eigenen eids Dienste in anderen EU- Ländern nutzen können Vertrauensdienste seit 07/2016 Sollen grenzüberschreitend in ganz Europa funktionieren Sollen gleichen Rechtsstatus haben wie Papierverfahren Stärkung und Erweiterung der Vorschriften der SigRL Elektronische Signaturen, Siegel und Zeitstempel Dienste für die Zustellung elektronischer Einschreiben Zertifikate für die Website-Authentifizierung Bewahrungsdienste Elektronische Dokumente seit 07/2016 Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 4 http://eur-lex.europa.eu/legal-content/de/txt/?uri=celex:32014r0910&from=de

Vertrauensniveaus elektronischer Identifizierungssysteme Art. 8 Abs. (2) Die Sicherheitsniveaus niedrig, substanziell bzw. hoch erfüllen folgende Kriterien: a/b/c) Das Sicherheitsniveau niedrig / substanziell / hoch bezieht sich auf ein elektronisches Identifizierungmittel im Rahmen eines elektronischen Identifizierungssystems, das ein begrenztes/substanzielles/höheres Maß an Vertrauen in die beanspruchte oder behauptete Identität einer Person //als ein Identifizierungsmittel mit dem Sicherheitsniveau substanziell vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich /entsprechender/ technischer Überprüfungen deren Zweck in der Minderung der Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung besteht gekennzeichnet ist. Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 5

Vertrauensniveaus elektronischer Identifizierungssysteme (2) Art. 8 Abs. (3) fordert eine Festlegung von Mindestanforderungen, die unter Bezugnahme auf die Zuverlässigkeit und Qualität folgender Elemente festgelegt [werden]: a) des Verfahrens zum Nachweis und zur Überprüfung der Identität natürlicher oder juristischer Personen, die die Ausstellung elektronischer Identifizierungsmittel beantragen; b) des Verfahrens zur Ausstellung der beantragten elektronischen Identifizierungsmittel; c) des Authentifizierungsmechanismus, bei dem die natürliche oder juristische Person die elektronischen Identifizierungsmittel verwendet, um einem vertrauenden Beteiligten ihre Identität zu bestätigen; d) der Einrichtung, die die Identifizierungsmittel ausstellt; e) jeder anderen Stelle, die mit dem Antrag für die Ausstellung elektronischer Identifizierungsmittel befasst ist; f) technischer und sicherheitsbezogener Spezifikationen der ausgestellten elektronischen Identifizierungsmittel. Durchführungsverordnung (EU) 2015/1502 Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 6 http://eur-lex.europa.eu/legal-content/de/txt/?uri=celex:32015r1502

Arten von Vertrauensdiensten Art. 3 Nr. 16.: Vertrauensdienst ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird [ ] Erstellung, Überprüfung und Validierung von elektronischen Signaturen, Siegeln und Zeitstempeln sowie von diese Dienste betreffenden Zertifikaten Ersetzung der Signatur-Richtlinie [ ] neu: Fernsignaturen neu: elektronische Siegel als Herkunftsnachweis (Bezug zu juristischer Person) Bewahrungsdienste Dienste für die Zustellung elektronischer Einschreiben Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln Nachweis der Absendung und des Empfangs der Daten Schutz vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung Erstellung, Überprüfung und Validierung von Zertifikaten für die Webseiten-Authentifizierung Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 7

2. Identifizierung bei Ausstellung qualifizierter Zertifikate

Qualifizierte elektronische Zertifikate Art. 3 Nr. 12.: Qualifizierte elektronische Signatur ist eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht. Art. 3 Nr. 14.: Zertifikat für elektronische Signaturen ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt. Art. 3 Nr. 15.: Qualifiziertes Zertifikat für elektronische Signaturen ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für elektronische Signaturen, das die Anforderungen des Anhangs I erfüllt. Entspr. Art. 3 Nrn. 27., 29., 30. für qualifizierte elektronische Siegel Art. 3 Nr. 39.: Qualifiziertes Zertifikat für die Website-Authentifizierung ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für Website- Authentifizierung, das die Anforderungen des Anhangs IV erfüllt. Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 9

Anforderungen an die Identifizierung (Art. 24 Abs. 1) [1/2] Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird. Die Informationen nach Unterabsatz 1 werden vom qualifizierten Vertrauensdiensteanbieter im Einklang mit dem nationalen Recht entweder unmittelbar oder unter Rückgriff auf einen Dritten wie folgt überprüft: Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 10

Anforderungen an die Identifizierung (Art. 24 Abs. 1) [2/2] a) durch persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person oder b) aus der Ferne mittels elektronischer Identifizierungsmittel, für die vor der Ausstellung des qualifizierten Zertifikats eine persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person gewährleistet war und die die Anforderungen gemäß Artikel 8 hinsichtlich der Sicherheitsniveaus substanziell oder hoch erfüllen, oder c) durch ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a oder b ausgestellt wurde, oder d) durch sonstige Identifizierungsmethoden, die auf nationaler Ebene anerkannt sind und gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten. Die gleichwertige Sicherheit muss von einer Konformitätsbewertungsstelle bestätigt werden. Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 11

Nationale Anerkennung sonstiger Identifizierungsmaßnahmen VDG-Entwurf 11 Identitätsprüfung (1) Die Bundesnetzagentur legt nach Anhörung der betroffenen Kreise und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Verfügung im Amtsblatt fest, welche sonstigen Identifizierungsmethoden im Sinne des Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d Satz 1 der Verordnung (EU) Nr. 910/2014 anerkannt sind und welche Mindestanforderungen dafür jeweils gelten. regelmäßige Überprüfung vorläufige Anerkennung innovativer Identifizierungsmethoden Anerkennung nur sinnvoll, sofern Vertrauensniveau hoch erreichbar (ansonsten keine Gleichwertigkeit möglich) Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 12

3. Authentifizierung bei Erstellung qualifizierter Signaturen und Siegel

Anforderungen an qualifizierte el. Signaturerstellungseinheiten (Anh. II) Qualifizierte elektronische Signaturerstellungseinheiten müssen durch geeignete Technik und Verfahren zumindest gewährleisten, dass a) die Vertraulichkeit der zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten angemessen sichergestellt ist, b) die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten praktisch nur einmal vorkommen können, c) die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die elektronische Signatur bei Verwendung der jeweils verfügbaren Technik verlässlich gegen Fälschung geschützt ist, d) die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden können. [...] Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 15

Authentifizierung mit qualifizierten el. Signatur-/Siegelerstellungseinheiten Konformitätsnachweis durch Zertifizierung nach CC-Schutzprofil (gem. Art. 30, 39) verbindliche Normen gemäß Durchführungsrechtsakt 2016/650: ISO/IEC 15408, 1-3; 18045:2008: Evaluationskriterien und Bewertungsmethoden EN 419 211 Schutzprofile für sichere Signaturerstellungseinheiten, Teile 1 bis 6 Es können keine Annahmen an die Umgebung gestellt werden; daher: Signaturschlüssel muss auch bei Verlust der SmartCard sicher bleiben Schutz gegen Extraktion aus dem Chip Schutz gegen Seitenkanalangriffe Schutz vor Manipulation der PIN-Authentifizierung qualifizierte Signaturerstellungseinheiten werden bzgl. der Authentifizierung i. d. R. Vertrauensniveau hoch erreichen können Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 16

Anforderungen an die Authentifizierung für qualifizierte Fernsignaturen Konformitätsnachweis durch Zertifizierung nach CC-Schutzprofil (gem. Art. 30, 39) verbindliche Normen noch in Arbeit, zunächst Zertifizierung nach Art. 30 Abs. 3 b) Standardisierung des Verfahrens bei CEN durch EN 419 241-1 sowie die Schutzprofile PP EN 419 241-2 und PP EN 419 221-5 Vertrauensdiensteanbieter muss QSCD in gesichertem Rechenzentrum betreiben: Personal darf Sicherheitsmechanismen nicht manipulieren können Schutz gegen Extraktion aus Speicher des HSM Schutz vor Manipulation der Authentifizierungsmechanismen Identifizierung und Authentifizierung demnach mindestens auf Niveau substanziell nach Durchführungsrechtsakt (EU) 2015/1502 insbesondere dynamische Zwei-Faktor-Authentifizierung für die Faktoren kann angenommen werden, dass diese nur unter der Kontrolle oder im Besitz der Person, der sie gehören, verwendet werden können Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 17

Qualifizierte Fernsignaturen Umsetzung Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 18

4. Identifizierung und Authentifizierung bei Nutzung qualifizierter Zustelldienste

Identifizierung für qualifizierte Dienste für die Zustellung elektronischer Einschreiben Art. 44. Abs. (1) Qualifizierte Dienste für die Zustellung elektronischer Einschreiben müssen folgende Anforderungen erfüllen: [ ] b) Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher. c) Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher. [ ] Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 20

Identifizierung für qualifizierte Dienste für die Zustellung elektronischer Einschreiben Art. 44. Abs. (1) Qualifizierte Dienste für die Zustellung elektronischer Einschreiben müssen folgende Anforderungen erfüllen: [ ] b) Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher. hoch? c) Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher. [ ] substanziell? Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 21

Identifizierung für qualifizierte Dienste für die Zustellung elektronischer Einschreiben Art. 44. Abs. (1) Qualifizierte Dienste für die Zustellung elektronischer Einschreiben müssen folgende Anforderungen erfüllen: [ ] b) Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher. c) Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher. [ ] Konsequenzen: Beweiswirkung qualifizierter Einschreiben (Art. 43 Abs. 2): Vermutung der Unversehrtheit der Daten, der Absendung dieser Daten durch den identifizierten Absender und des Empfangs der Daten durch den identifizierten Empfänger [ ] Wiederverwendung des Art. 24 Abs. 1 liegt nahe Unterscheidung mit hohem Maß an Vertrauenswürdigkeit : eids auf Niveau hoch Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 22

Authentifizierung für qualifiz. Dienste für die Zustellung elektronischer Einschreiben Art. 44. Abs. (1) Qualifizierte Dienste für die Zustellung elektronischer Einschreiben müssen folgende Anforderungen erfüllen: [ ] b) Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher. c) Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher. [ ] Authentifizierung? Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 23

Authentifizierung für qualifiz. Dienste für die Zustellung elektronischer Einschreiben Art. 44. Abs. (1) Qualifizierte Dienste für die Zustellung elektronischer Einschreiben müssen folgende Anforderungen erfüllen: [ ] b) Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher. c) Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher. [ ] Identifizierung erfordert Sicherstellung, dass die handelnde Person auch diejenige ist, die auf entsprechendem Niveau identifiziert wurde Identifizierung ergibt sich aus Erstregistrierung und Authentifizierung Authentifizierung daher mindestens auch auf Vertrauensniveau substanziell Unterscheidung mit hohem Maß an Vertrauenswürdigkeit : Authent. auf Niveau hoch Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 24

Guidelines for TSPs operating electronic registered delivery services Non-Paper im Auftrag der Expert Group (AT, CZ, DE, FR, IT): The identification of sender and addressee according to Art. 44.1 (b) and (c) has to meet the requirements according to Art. 24.1. For the identification of the sender, the eid means in case of Art. 24.1 (b) shall meet the requirements of level high according to Commission Implementing Regulation (EU) 2015/1502 to reach the high level of confidence required from Art. 44.1 (b). In the case of a common understanding that the sender and addressee are persons acting in the process of sending and receiving a message (if applicable, through legitimate representation by a natural person), and that the required proofs of sending and receiving shall comprise the person involved in the sending process or empowered to receive a message, the following recommendation should be published: The authentication of a previously identified sender or addressee according to Art. 44.1 (b), (c) shall meet the requirements w.r.t. authentication mechanisms for assurance level high or substantial, respectively, according to Commission Implementing Regulation (EU) 2015/1502. Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 25 https://circabc.europa.eu/w/browse/b1a45a4e-7278-48ff-ab82-93694df5bfcc

5. Vertrauensniveaus von Identifizierungsverfahren

Anwendungsgebiete für Identifizierungsverfahren Grundlage Anwendung gesetzl. Anforderung (gekürzt) 3, 4 GwG 6 Abs. 2 GwG Art. 24 Abs. 1 eidas-vo z. B. Kontoeröffnung Prüfung Originaldokument/ beglaubigte Kopie; eid; qes; persönliche Anwesenheit Ausstellung qualifizierter Zertifikate 111 Abs. 1 TKG Freischaltung von Prepaid- Mobilfunkdiensten 3 Abs. 3 De- Mail-G div. / keine Eröffnung eines De-Mail- Kontos z. B. Altersverifikation, Online- Zugänge,... eid*, qes; sonstige national anerkannte Verfahren mit gleichwertiger Sicherheit andere geeignete Verfahren eid; qes; sonstige geeignete technische Verfahren mit gleichwertiger Sicherheit Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 27

Ziele einer sicheren Identifizierung Gewährleistung einer zuverlässigen Identifizierung: Existenz: Es gibt eine Person, auf die alle angegebenen Attribute zutreffen. Legitimität: Alle Attribute gehören zu der handelnden Person. Eindeutigkeit: Keine zwei Personen verfügen über identische Werte Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 28

Vertrauensniveaubewertung von Verfahren zur Identitätsprüfung natürlicher Personen Neue Technische Richtlinie des BSI TR-03147 Vergleichbarkeit von Identifizierungsverfahren durch Vertrauensniveaus angelehnt an eidas-verordnung und ISO 29115 Rechtssicherheit für Diensteanbieter Vermeidung anwendungsspezifischer Zusatzanforderungen Festlegung des Vertrauensniveau für den konkreten Einsatzzweck in Fachgesetzen / durch Aufsichtsstellen Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 29 https://www.bsi.bund.de/de/publikationen/technischerichtlinien/tr03147/index_htm.html

Projekt Perso-Ident Einheitliche Vertrauensniveaubewertungen für personenbezogene Identitätsprüfungsverfahren Grundlage: BSI TR-03147 Arbeitspakete (Auszug): Erstellung einer Prüfberichtsvorlage Auswahl von zwei konkret zu prüfenden Verfahren und Umsetzungen Vertrauensniveaubewertung der zwei festgelegten Verfahren und Umsetzungen ggf. Überarbeitung der Prüfberichtsvorlage Veröffentlichung der Ergebnisse Laufzeit ca.: 10/2017 06/2018 Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 30

6. Vertrauensniveaus von Authentifizierungsverfahren

Anwendungsgebiete für Authentifizierungsverfahren Grundlage Anwendung gesetzl. Anforderung (gekürzt) Art. 30 eidas-vo EN 419 211 EN 419 241-1 Implementierung qualifizierter elektronischer Signaturerstellungseinheiten 4 De-Mail-G Anmeldung zu einem De- Mail-Konto Art. 97 PSD II Zugriff auf Zahlungskonto Auslösung Zahlungsvorgang Zugang zu Servicekonten substanziell oder höher zwei geeignete und voneinander unabhängige (einmalige, geheime) Sicherungsmittel starke Kundenauthentifiz. (2FA) dynamische Authentifizierung div. / keine Online-Zugänge,... Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 32

Vertrauensniveaus von Authentifizierungsverfahren Vertrauensniveau Anforderungen (IA 2015/1502) Authentisierungsmittel (bsp.) niedrig + zuverlässige Überprüfung + Schutz gegen Angreifer mit Angriffspotenzial enhanced basic substanziell + dynamische Authentifizierung + Schutz gegen Angreifer mit Angriffspotenzial moderate Nutzername/Passwort Softwarezertifikat Softwarezertifikat? Hardware-Token hoch + Schutz gegen Angreifer mit Angriffspotenzial high Hardware-Token Online-Ausweisfunktion Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 33

Vertrauensniveaubewertung von Authentifizierungsverfahren Technische Richtlinie des BSI TR-03107 Elektronische Identitäten und Vertrauensdienste im E-Government Teil 1: Vertrauensniveaus und Mechanismen angepasst an eidas-verordnung Lebenszyklus des Authentifizierungsverfahrens: Ausgabe Beteiligte Stellen Authentisierungsmittel Authentisierungsprotokoll Absicherung Sperren, Rückruf Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 34 https://www.bsi.bund.de/de/publikationen/technischerichtlinien/tr03107/index_htm.html

Projekt Pro-eID Bewertung von der Projektgruppe eid des IT-Planungsrats vorgeschlagener Identifizierungs- und Authentisierungsverfahren Grundlage: BSI TR-03107-1 Arbeitspakete (Auszug): Erstellung einer Prüfberichtsvorlage Auswahl von drei konkret zu prüfenden Verfahren und Umsetzungen Vertrauensniveaubewertung der drei festgelegten Verfahren und Umsetzungen ggf. Überarbeitung der Prüfberichtsvorlage Veröffentlichung der Ergebnisse Laufzeit ca.: 08/2017 04/2018 Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 35

Vielen Dank für Ihre Aufmerksamkeit! Kontakt Dr. Ulf Löckmann ulf.loeckmann@bsi.bund.de Tel. +49 (0) 228 99 9582 5767 Fax +49 (0) 228 99 10 9582 5767 Bundesamt für Sicherheit in der Informationstechnik Referat D 11 eid-anwendungen im E-Government Godesberger Allee 185-189 53175 Bonn www.bsi.bund.de Dr. Ulf Löckmann Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste 22.06.2017 Seite 36

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback