Die Gratwanderung zwischen gesetzlicher Vorgabe und der sich schnell ändernden Technologien bleibt problematisch Wie wird die eidas-verordnung, die am 1.7.16 in Kraft getreten ist, praktisch umgesetzt? Werden künftig alle elektronischen Dokumente gesiegelt oder signiert sein? Und welche Chancen haben deutsche Anbieter am Markt? Über diese Fragen sprach der SIDBB e.v. mit eidas-experte Arno Fiedler. Frage 1: Das deutsche Signaturgesetz soll nach den Plänen des Bundesministeriums für Wirtschaft und Energie bis Ende 2016 durch ein neues Vertrauensdienstegesetz abgelöst werden. Was bedeutet dies für deutsche Unternehmen? Greift das Gesetz über die eidas-verordnung hinaus? Arno Fiedler: Die eidas Verordnung ist unmittelbar geltendes Recht in Deutschland. Es gibt ein paar Punkte, die über die EU-Verordnung hinaus zusätzlich in die nationalen Gesetze der Länder festgeschrieben werden müssen. Dazu gehören im Wesentlichen: Haftung, Zuständigkeit, Datenschutz und eventuelle Bußgelder. Deutschland geht noch einen Schritt weiter und integriert in das neue Vertrauensdienstegesetz Regelungen aus dem bisherigen Signaturgesetz. Sie sollen eidas ergänzen. Dazu zählen etwa die detaillierte Vorgabe von Sperrgründen, die Benutzung von Attributzertifikaten und Hinweise auf Gültigkeitsmodelle. Inwieweit beides miteinander harmoniert, werden wohl erst die entsprechenden Erfahrungen nach Verabschiedung des Gesetzes im Jahr 2017 zeigen. Frage 2: Wird der Einsatz von elektronischen Vertrauensdiensten auch zukünftig nicht regulatorisch bestimmt, sondern grundsätzlich durch den wirtschaftlichen Vorteil für Unternehmen angetrieben? A.F.: eidas selbst schreibt die Anwendungen von Vertrauensdiensten wie elektronische Siegel oder Zeitstempel grundsätzlich nicht vor. Dafür werden wohl eher fachgesetzliche Vorgaben, etwa das Emissionsschutzgesetz, sorgen. Es sieht vor, dass der Handel mit Emissionszertifikaten nur mit qualifizierten Signaturen erfolgen darf. Ein weiteres Beispiel ist die european payment
directive II, die vorschreibt, dass im Zahlungsverkehr das qualifizierte Websitezertifikat angewendet werden soll. Ab dem Jahr 2018 müssen die europäischen Vergabeportale über die in eidas geregelten Verfahren nutzbar sein. Es könnte durchaus sein, dass diese vereinfachte Vergabepraxis in naher Zukunft mandatorisch wird und Unternehmen dazu angehalten werden, elektronische Vertrauensdienste zu implementieren. Frage 3: Wie wichtig ist Ihrer Meinung nach eine schnelle Adaption der Vertrauensdienste, vor allem für kleine und mittelständische Unternehmen? Werden die Preise für diese Dienstleistungen künftig fallen und die Anwendung einfacher? A.F.: Es gibt bereits mehrere Anbieter in Deutschland, die Signaturen und Zeitstempel und zukünftig auch elektronische Siegel anbieten. Viele der Lösungen lassen sich leicht in den Workflow einbinden, da sie von Programmen wie dem Adobe Reader unterstützt werden. Ich denke nicht, dass die Preise für die Services in naher Zukunft fallen werden. Es wird sich also nicht lohnen, mit der Implementierung zu warten. Frage 4: Können die Unternehmen sich darauf verlassen, dass kurzfristig alle europäischen Geschäftspartner und Behörden in der Lage sein werden, signierte und gesiegelte Dokumente zu identifizieren? A.F.: Das sollte keine großen Hürden darstellen, da gängige PDF-Reader und Office-Produkte über entsprechende Funktionen verfügen werden. Letztendlich bleibt es aber dem Empfänger überlassen, ob er dem gesiegelten Dokument vertrauen möchte. Eine 100-prozentige Sicherheit kann es nicht geben genau wie bei papierbasierten Dokumenten. Frage 5: Wie lange dauert eine Prüfung durch die qualifizierten Vertrauensdiensteanbieter? Muss dafür noch einmal Kontakt zu einer Behörde aufgenommen werden? A.F.: Wer ein personen- oder organisationsbezogenes qualifiziertes Siegel oder Zertifikat erhalten möchte, muss sich zuerst identifizieren lassen. Dafür wird in Deutschland die Primäridentität verwendet, also der Personalausweis oder Reisepass. In anderen Ländern reicht bereits der
Führerschein aus. Das klassische Post-Ident-Verfahren wird dabei zunehmend durch das komfortablere Video-Ident-Verfahren abgelöst werden. Dadurch können große Fortschritte gemacht werden und es sollte zukünftig möglich sein, einen Identifikationsprozess via Smartphone abzuschließen und ein Zertifikat innerhalb weniger Stunden zu erhalten. Frage 6: Welche Branchen können Ihrer Meinung nach am stärksten von den neuen technischen Möglichkeiten profitieren? A.F.: Überall dort, wo heute Bescheinigungen erstellt werden, ergeben sich Vorteile. Zum Beispiel die Kontoauszüge einer Bank. Diese könnten zukünftig per Mail verschickt werden oder Online in einem Portal zum Abruf bereit stehen. Das könnte auch Vorgänge, die das Finanzamt betreffen, deutlich vereinfachen. Weite Anwendungen finden sich im Bildungs- und Kulturbereich. Berufsqualifikationen könnten zukünftig einfach mit einer elektronischen Urkunde bescheinigt werden. Somit werden Qualifikationen transparenter und für Jedermann überprüfbar. Frage 7: Sind Ihnen Fälle bekannt, in denen Betrüger es geschafft haben, Signaturen oder Siegel zu fälschen? Wie sicher sind die Dokumente vor einer Manipulation? A.F.: Die Siegel verwenden die höchstmögliche kryptografische Sicherheit, so dass man ihnen vertrauen kann. Problematisch ist das What-you-see-is-what-you-sign-problem. Das ist immanent und es hat hier bereits Manipulationsversuche gegeben. Hier hilft nur der gesunde Menschenverstand. An sich liegt aber ein ausreichendes Sicherheitsniveau vor. Gerade wenn man vergleicht, wie einfach sich eine Unterschrift auf Papier fälschen lässt und wie schwer es ist, diese auf Echtheit zu prüfen. Frage 8: Wie wird sich die Zahl der Anbieter der qualifizierten Dienste Ihrer Meinung nach entwickeln? Wird es für Unternehmen schwierig sein, auf dem wachsenden Markt den Überblick zu behalten? A.F.: Der Markt ist in Deutschland übersichtlich und wird aller Voraussicht nach auch so bleiben. Im europäischen Wettbewerb sieht es da etwas anders aus. Es gibt mittlerweile amerikanische
Wettbewerber, die sich durch Zukäufe den Marktzugang gesichert haben und nun in Marketing und PR investieren. In Italien gibt es bereits einen sehr hoch entwickelten Signaturmarkt, der durch gesetzliche Vorgaben im Steuerbereich starke Unternehmen geschaffen hat, die ihre Produkte sicherlich auch in Deutschland anbieten werden. Die Schweizer dürfen trotz ihres großen Know-hows nicht in der EU anbieten. Das trifft durch den Brexit künftig sicher auch britische Anbieter. In Deutschland dürfen drei bis vier Anbieter das europäische Vertrauenssiegel führen, im gesamteuropäischen Raum sind es etwa 15 bis 20 Anbieter. Durch die strengeren Vorgaben und den europäischen Wettbewerb wird es eher zu einer Bereinigung des Marktes kommen, auf dem sich momentan noch über 100 Anbieter befinden. Frage 9: Was sind Ihrer Meinung nach die größten Hürden der eidas-verordnung in Bezug auf die Vertrauensdienste und wie kann hier noch nachgebessert werden? A.F.: Die Gratwanderung zwischen gesetzlicher Vorgabe und der sich schnell ändernden Technologien bleibt problematisch. Fragen wie Was genau sind die Anforderungen an einen qualifizierten Zeitstempel? oder Welche Bedingungen muss ein Anbieter erfüllen? bleiben offen bzw. sind nicht transparent nachvollziehbar. Ursprünglich sollten technische Anforderungen ausschließlich in europäischen Normen verankert werden diese sind aber leider nicht verpflichtend. So können Anbieter und Regulierungsbehörden zum Beispiel vorhandene ETSI- Normen (European Telecommunication Standard Institut) ignorieren. Das erschwert die Umsetzung und schafft nationale Freiräume, die zum einen die Operabilität erschweren, aber noch viel wichtiger, eine Vergleichbarkeit der Sicherheitsniveaus gefährden. Es bleibt zu hoffen, dass diese Faktoren in den nächsten vier bis fünf Jahren durch den Markt gelöst werden. Herr Fiedler, vielen Dank für das Gespräch.
Arno Fiedler ist Geschäftsführer der Nimbus Technologieberatung GmbH in Berlin. Ehrenamtlich engagiert er sich auch als Vorstandsmitglied des Vereins Sichere Identität Berlin- Brandenburg.