Ab 1.7.2016 gilt eIDAS in Deutschland

06.06.2016

 eIDAS ist die neue Richtlinie zu Vertrauensdiensten, elektronischen Signaturen, sicheren Nachrichten, Zeitstempeln und Siegeln. Diese Richtlinie gilt in Deutschland ab dem 1.7.2016. Das Webinar des Banking Club informiert.

In dem kostenfreien Webinar des Banking Club zusammen mit KOFAX und PROJECT CONSULT am 9.6.2016, 10:00, diskutieren wir Inhalte und Auswirkungen von eIDAS: "RICHTLINIE 1999/93/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen".

Folien und Aufzeichnung des Webinars werden auch hier im Anschluss bereitgestellt. Zur Anmeldung auf XING: http://bit.ly/25IcEIc.

Der Text der eIDAS-Richtlinie, deutsche Version: http://bit.ly/eIDAS_DE

Das Webinar setzt sich zusammen aus Präsentationsteilen von Jörg Lenz, KOFAX, und Dr. Ulrich Kampffmeyer. Der Teil "Neue EU-Verordnung eIDAS: Was sie jetzt über elektronisches Unterschreiben wissen sollten" von Dr. Ulrich Kampffmeyer beinhaltet folgende Themen: 

  1. Einführung
    Elektronische Unterschrift/Digitale Signatur als Baustein der Digitalen Transformation
  2. eIDAS EU-Verordnung 910/2014
    Entwicklung und Inhalte
  3. Konkrete Änderungen durch eIDAS
    Nationale Sonderlocken und andere Formen von Signaturen
  4. Bedeutung in und außerhalb der öffentlichen Verwaltung
    Wie steht es im Finanzsektor?
  5. Ausblick
    Handlungszwänge

Kommentare

Die PROJECT-CONSULT-Folien von Dr. Ulrich Kampffmeyer im Banking-Club-Webinar am 9.6.2016 gibt es hier als PDF: http://bit.ly/PC_eIDAS

Den erweiterten Foliensatz von KOFAX und PROJECT CONSULT mit Zusatzfolien gibt es hier: http://bit.ly/KOFAX-eIDAS

Die Aufzeichnung des Webinars (Präsentation/Sprache als Video) findet sich hier: https://www.csnstart.de/flashvideo/kofax/.

Weitere Hinweise und Links finden sich am Ende der Gesamtpräsentation von KOFAX

 

Wir bitten um Entschuldigung!

Leider war es durch ein technisches Problem nicht möglich, diejenigen, die sich nur auf XING angemeldet hatten, in die Zugangsdatenbank des Webinar-Systems zu übernehmen. Obwohl XING eine Bestätigungs-Nachricht versendet hatte, waren diese Teilnehmer dem Webinar-System des Banking Club nicht bekannt und konnten leider nicht teilnehmen.
Ferner ist PROJECT CONSULT der Fehler in Ankündigungen unterlaufen, von einem "kostenfreien" Webinar zu schreiben. Dies war falsch. Nur Banking Club Mitglieder hatten einen freien Zugang, alle anderen mussten 69,00 € bei der Anmeldung auf der Banking-Club-Webseite bezahlen.

Für diese beiden Probleme möchten wir um Entschuldigung bitten.

Danke für die Folien. Wegen der technischen Probleme habe ich ja die Hälfte nicht mitbekommen. Mein Eindruck ist, das eIDAS viel zu komplex ist. Die Vielzahl der Signaturmöglichkeiten ist unüberschaubar, schon gar nicht die rechtliche Bedeutung. Für den öffentlichen Deinst in D sind mir keine Gesetzentwürfe bekannt. Die Splittung der Verantwortlichekeit auf BMI und BMWi macht das Leben nicht leichter. Da raunt man dann im BMWi, dass man wohl das deutsche Signaturgesetz abschaffen müsse, um eIDAS kompatibel zu werden. Auf der anderen Seite schafft der föderale Flickenteppich in den 16 Provinzen es ja nicht hinter dem EGovG des Bundes her zu kommen. Pervers ist ja heute schon, dass ich für ein Führungszeugnis online einen nPA brauche, für eine Gewerbeanmeldung in Berlin aber eine qualifizierte Signatur nach deutschem Recht. Die ist weder wie angekündigt mit der Gesundheitskarte gekommen (die TK hat mich ganz verdattert angesehen), noch mit der Jobcard, die als Elena erst mal wieder aus dem Markt ging, und nur wenige wissen, dass die Bundesdruckerei (für deren Existenz wohl dieser ganze Hardware-Unsinn wie der überteuerte Personalausweis (für den man ihn Berlin 8 Wochen zur Beantragung braucht und dann noch ein paar Wochen wegen zentraler Fertigung (statt im 3D-Drucker nahezu grenzkostenlos :-)) geschaffen wurde. Besonders skurril wird es, dass jetzt da beA (Portal für Rechtsanwälte, mit dem sie mittels qualifizierter Signatur Gerichten Schriftsätze hoch laden sollen) erneut vor die Wand gefahren ist und ohne neuen Termin (September 2016 ist im BER-Modus aufgehoben) unbestimmt verschoben worden ist: http://www.lto.de/recht/job-karriere/j/bea-anwaltspostfach-bea-verschiebt-start-zum-zweiten-mal-kein-neuer-termin/ Das Perverse daran ist, dass Deutsche einer internationalen Sonderbehandlung unterzogen werden ohne jeden Nutzen mit technischem Firlefanz und Anwälte in UK und USA ihre Schriftsätze an Gerichte mittels einfachem Webserver, User und Passwort als E-Filing hochladen. Deutsche Juristen verhöhnen und verspotten deutsche Juristen. In mir verfestigt sich der Eindruck, dass das hier die Baustellen sind, mit denen Deutschland und die EU massiv am Brexit arbeiten. Wer will schon freiwillig mit Hirntoten zusammenarbeiten? In Deutschland wird bei der Gewerbeanmeldung von der öffentlichen Hand immer noch auf die EU-Dienstleistungsrichtlinie geschissen und die EU verächtlich gemacht. Nach Artikel 8 müssten EU-Ausländer ihr Gewerbe einfach und online machen können. Wir haben aber gesetzlich Mauern dagegen hochgezogen, damit sie es nicht können (Qualsig, eID und De-Mail bekommt man im EU-Ausland nicht). Meine Empfehlung ist es, im Zusammenhang mit dem öffentlichen Dienst die nächsten Jahre sich nicht mit eIDAS zu beschäftigen, da es teurer und aufwändiger werden wird als mit Papier. Nach England schicke ich meine Verträge mit eingescannter Unterschrift elektronisch, in Deutschland mit Papier.

Lieber Wolfgang Ksoll,

danke für den Kommentar - aber eIDAS ist nun mal europaweit bindend auf allen Ebenen der öffentlichen Verwaltung und muss umgesetzt werden. Punkt. Daran, dass wir in Deutschland mal wieder ganz weit hinten sind und unseren Sonderlocken frönen, daran haben wir uns doch schon gewöhnt, oder?

Ich persönlich halte das "Siegel", ob nun qualifiziert oder nicht - für einen herausragenden Fortschritt, der es erlaubt, die personengebundene Signatur in vielen Verfahren - beim Scannne, bei Ausschreibungen und so weiter - erstmal innerhalb der öffentlichen Verwaltung selbst abzuschaffen. Eingänge wie Ausgänge wie interne Prozesse und Dokumente - alles lässt sich serverbasiert signieren.

Im G2C Government to Citizen und C2G muss aber noch einen Schritt weitergehen und die komplexen Verfahren abschaffen: Login auf gesicherten Portalen mit einfacher Authentifizierung (nein, nicht die eiD, nicht die Siganturkarte, vielleicht eher Handy-Signatur oder Paypal) zum Beispiel.

Aber SIe haben Recht, wenn es um die aktuelle Gesetzeslage geht. Diese ist mittlerweile chaotisch. Alle unterschiedlichen proprietären und hinderlichen Anforderungen auf Bundes- wie auf Landes- wie auf Branchen- und wie auf Sonstwie-Ebene müssen entschlackt werden. qeS und De-Mail raus, eIDAS rein! Alle Gesetze und Verordnungen gehören angepasst. Und - die GoBD machen es für Handels- und Steuerrecht vor - es gilt komplett "signaturfreie" Räume zu schaffen - wo immer möglich.

Es wäre also falsch, wenn sich die öffentliche Verwaltung nicht konsequent mit eIDAS beschäftigt und dieses umsetzt. Wir werden in Europa immer mehr abgehängt und eigentlich bietet eIDAS die Chance, die alten Zöpfe einmal anzuschneiden. Dies gilt besonders für den ganzen BSI 03125, BIS 03138 und sonstigen Kram.

Ulrich Kampffmeyer

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Lieber Herr Kampffmeyer, die EU-Dienstleistungsrichtlinie war auch verbindliches Recht in Deutschland. Wir hätten nach Artikel 8 EU-DLR eine einfache Anmeldung vollständig online ermöglichen müssen. Deutschland hat drauf geschissen. Wir haben es mit §3a VwVfG im Bund und allen Ländern schlichtweg hinterfotzig boykottiert. Warum soll ich bei so viel Hass auf Europa durch deutsche Parlamente jetzt plötzlich optimistisch werden? Die Briten sind beim Brexit-Wunsch ehrlicher. Auch sind jegliche Hinweis auf zusätzliche Hardware und Software völlig hirnrissig, solange man a) nachweist, dass man sie im Gegensatz zum Ausland braucht und b) nachweist mit seriöser WiBe, dass sie wirtschaftlich sind. Bisher haben wir nichts nützliches mit dem ganzen Signaturkram, eID und De-Mail zustande gebracht. Ein bisschen Wirtschaftsförderung für esoterische Technikfummelei und böse Subventionen für die Bundesdruckerei. Als preis haben wir mehrere hunderte Millionen verballert und sind nicht mal in der EU kompatibel oder wenigstens compliant. Dieser hirnrissige Ruf nach immer mehr Sonderlösung zersetzt die EU, zersetzt die Glaubwürdigkeit des Staates. Die USA brauchen den Schnickschanck nicht, haben dafür aber Microsoft, Google, Facebook, Amazon. Und wir jammern bloß dämlich rum, dass es mit dem Datenschutz so schlimm sein und ziehen Mauern in Europa ein wie die Faschisten auf dem Balkan gegen Flüchtlingen, die vor österreichischen Und deutschen Waffen in Syrien um ihr Leben rennen. Wir stärken den rechten Rand mit unseren technischen Sonderlösungen, der uns das E-Government mit seiner Provinzialität zerstört. Deswegen bin ich mit der Hyperkomplexität von eIDAS überhaupt nicht zufrieden, sondern glaube, dass das ein weiterer Sargnagel für Europa ist. Es ist absurdf, wenn man nicht kompromissfähig ist, dass man dann sagt, dann müssen alle das akzeptieren, was jeder auf den Markt schmissen will. Das ist für die Tonne, wenn ich das mal so salopp sagen darf :-)

Lieber Wolfgang Ksoll,

nehmen wir nur die deutschen Sonderlocken als Maßstab, dann ist die eIDAS ein erheblicher Fortschritt, da sie ein breites Feld einfacher und akzeptabler Lösungen anbietet. Und warum sollte aus einem Paypal in Europa nicht auch ein VDA nach eIDAS werden können? Ich sehe eIDAS nicht als hyperkomplex sondern als viele neue Optionen für moderne Lösungen bietend. Dass wir um irgendeine Form der Identifikation, Authentifikation, digitale Identitäten, Prüfbarkeit etc. nicht herumkommen, dürfte klar sein. 

Es gilt die rechtliche Situation in all den Gesetzen und Verordnungen zu entschlacken und endlich mal auf einen praktikablen, einheitlichen Stand ohne Sonderlocken zu bringen. Hier sehe ich eIDAS als Chance und nicht als weiteres Hindernis, wenn es denn uns gelingt, die alten deutsche Zöpfe abzuschneiden.

Ulrich Kampffmeyer

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Früher sagte man mir immer bei einem Drei-Buchstaben-Konzern aus USA: "Wer zu allen Seiten offen ist, kann nicht ganz dicht sein!" Spaß beiseite. Der Behördenspiegel reduziert eIDAS auf das Siegel, das endlich das anonyme Abteilungs- und Organistaionzertfikat bringt (ohne jede rechtlich Bedeutung in Deutschland, ausser dass es gilt :-) Der Behördenspiegel bestätigt damit schön meine These dass die "Öffnung" eine Überforderung in einer eh schon digitalisierungshemmenden Landschaft in Deutschland ist. Das wird voll gegen die Wand fahren. BS und mein Kommentar dazu hier: http://www.government2020.de/blog/?p=1743

... fragt die Fachzeitschrift eGovernment Computing. Und natrlich kommen dort auch eher die Befürworter und Förderer - bisheriger deutscher Sonderlocken - zu Wort. Ein besondere Rolle spielt dabei, wie man die Sonderlocken TR-ESOR, TR-Resiscan, De-Mail usw. in die neue Welt "hinüberretten" kann. Zitat "Nun ist die Langzeitaufbewahrung zur Beweiswerterhaltung kryptographisch signierter Dokumente zwar in der TR-ESOR geregelt, aber eben nicht als Dienst eines Vertrauensdiensteanbieters ausgestaltet. Das von der EU-Kommission mandatierte Normungsinstitut ETSI hat erst vor einigen Monaten seine Arbeit aufgenommen, um zusammenzutragen, welche vergleichbaren Anforderungen es in allen Mitgliedstaaten gibt. Auch bei den elektronischen Einschreib-Zustelldiensten geht es um mehr als De-Mail in Deutschland. In den Projekten, die dem Erlass der eIDAS-Vorordnung vorangegangen sind, ging es hier um registered delivery – also um Kommunikationsinfrastrukturen, bei denen der Anbieter die Teilnehmer kennt oder identifiziert hat. Wenigstens der ePost-Brief kann diese Anforderungen erfüllen."

Mit diesem "Mindsetting" kann man keinen Nutzen aus eIDAS ziehen. Bisherige Sonderlocken werden parallel weitergeführt und kreieren letztlich noch mehr Verwirrung und Chaos.

In Österreich ist man da schon deutlich weiter und nutzt eIDAS als Chance zum Aufräumen!

Wolfgang Ksoll geht noch einen Schritt weiter. Der bekannte Kritiker des E-Government in Deutschland, lehnt auch eIDAS ab, weil es immer noch zu kompliziert, mit zu vielen Optionen und zu wenig Durchsetzungsmöglichkeiten ausgestattet ist. Er setzt auf auf Verfahren ganz ohne die bürokratischen Hürden der Vergangenheit. Ksoll weist auch darauf hin, dass das BMWi der Meinung ist, man müsse das deutsche Signaturgesetz abschaffen um es durch eIDAS zu ersetzen. Aber in den Gremien wird weiter herumlaviert und auch der neue Bericht des Deutschen Normenkontrollrats vom 14.6.2016 "E-Government in Deutschland: Wie der Aufstieg gelingen kann", zeigt wieder mehr Probleme als Lösungen auf. Grundtenor - lasst uns einfach weitermachen wie bisher, es wird schon werden.

In Bezug auf die Umsetzung von E-Governement in Europa gibt es für Deutschland im Ranking nicht mehr viele Stufen, die man absteigen kann, um ganz unten im Bodensatz zu enden.

"Warten oder Starten?" - die Antwort ist: STARTEN und die alten Zöpfe abschneiden!

 

Ulrich Kampffmeyer

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

eIDAS Tag - auch in Deutschland?

Die "VERORDNUNG (EU) Nr. 910/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATESv om 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG" ist am 1.7.2016 europaweit in Kraft getreten.

Europaweit euphorische Nachrichten -  in Deutschland verhaltene Adaption und viel Kritik, z.B. hier auf Facebook https://www.facebook.com/groups/239005502901015/permalink/841894799278746/ eIDAS erhält zwar Vorrang vor dem deutschen SIgnaturgesetz, aber es wird schon an einer Gesetzsvorlage für Vertrauensdienste in Deutschland gebastelt. Die Branche geht davon aus, dass bestimmte Vorgaben für die qualifizierte elektronische Signatur (qeS) deutscher Prägung erhalten bleiben - nix mit Fortschritt und nix mit Harmonisierung. Neben dem drohenden Überleben von deutschen Sonderlocken sind die Probleme der gegenseitigen Anerkennung von SIgnaturen im technischen Djungel verschiedener Formate und Systeme erst im Ansatz erkennbar. 

Informationen und Quellen gibt es auch in einer Webinar-Aufzeichnung von uns:

Folien (kostenfrei + registrierungsfrei): http://bit.ly/KOFAX-eIDAS

WebCast (kostenfrei + registrierungsfrei): https://www.csnstart.de/flashvideo/kofax/

Die EU-Verordnung in Deutsch: http://bit.ly/eIDAS_DE

Die Standardisierungsinstitution ETSI hat eine Sammlung von technischen Standards herausgegeben, die für eIDAS eine Rolle spielen. Die komplette Liste mit Links zu den Spezifikationen gibt es hier: http://bit.ly/ETSI_eIDAS Die Sammlung dürfte sich im Rahmen der Harmonisierung und gegeseitigen Anerkennung von elektronischen Signaturen in Europa als sehr nützlich erweisen.

Innerhalb ETSI ist das Technische Kommitee TC ESI für das Thema "Electronic Signatures and Infrastructures standardization" zuständig. Die Ergebisse des Kommitees sollen die Umsetzung der EU Richtlinie 910/2014 unterstützen. 

Die Pressemitteilung der ETSI vom 8.7.2016:

<Zitat> ETSI publishes European Standards to support eIDAS regulation

Electronic signatures, electronic seals and electronic time-stamps support the digital economy. 

Since 1 July 2016 the major part of the European Union's (EU) eIDAS regulation applies. The eIDAS regulation is Regulation (EU) N°910/2014 on electronic identification and trust services for electronic transactions in the internal market.

To support this new regulation in Europe as well as the needs of the international community to provide trust and confidence in electronic transactions, ETSI’s Technical Committee on Electronic Signatures and Infrastructures (TC ESI) has published a set of standards for trust services providers (TSP), electronic signatures, electronic seals and electronic time-stamps. The set includes a total of 19 European Standards along with guidance documents and test specifications.

A first series of European Standards, which addresses security and policy requirements, is used by conformity assessment bodies to audit trust service providers and assess their conformity with relevant requirements of the eIDAS Regulation. These standards also form an audit scheme recognized by CA / Browser Forum for certification authorities issuing certificates for website authentication.

A second series of European Standards covers digital signature creation and validation. Digital signatures specified in these standards aim at supporting electronic signatures, advanced electronic signatures, qualified electronic signatures, electronic seals, advanced electronic seals, and qualified electronic seals as defined in the regulation. The well-known signatures formats CAdES, XAdES, PAdES and the signature container format ASiC have now become European Standards.

To facilitate the implementation and the use of products and services based on digital signatures, provide mutual recognition and cross-border interoperability, ETSI TC ESI has released an update of Technical Report TR 119 000 describing the general structure for digital signature standardization and outlining existing and potential standards for such signatures. Stakeholders benefit as well from the publication of test specifications for interoperability and conformance testing.

ETSI is now working on complementing this set of standards with specifications on e-Delivery trust services, registered e-mail trust services, signature creation and signature validation by trust service providers.

A complete list of ETSI’s eIDAS standards is available at:
https://portal.etsi.org//TBSiteMap/ESI/ESIActivities.aspx, from where they can be downloaded.
</Zitat>

Das Technische Kommitee zur Elektronischen Signature Infrastruktur (TC ESI) des europäischen Standardisierungsorgan ETSI (www.ETSI.org) hat drei technische Spezifikationen für Cloud-basiertre digitale Signaturen herausgebracht, die mobile Geräte unterstützen. Damit werden Signaturen nach eIDAS standardisiert auch auf Mobiltelefonen aber auch zukünftig im IOT-Bereich einsetzbar. Dabei handelt es sich um die ETSI Standards TS 119 431-1, ETSI TS 119 431-2 und ETSI TS 119 432.

Der Vorteil dieser drei Spezifikationen liegt darin, dass digitale Signaturen in der Cloud generiert und den Nutzern bereitgestellt werden können, ohne dass es spezieller Sicherheitsgeräte oder spezieller Software bedarf. Dies fördert den Einsatz von mobilen Signaturen, Fernsignaturen und Signatur-Infrastrukturen in der Cloud. Dies wird mittelfristig den Einsatz kartenbasierter Signaturen, wie die deutsche QES, die neben der Karte auch noch ein sicheres Kartenlesegerät erfordert, ablösen. 

In der Mitteilung heißt es (http://bit.ly/ETSIdigsig):

"ETSI TS 119 431 parts 1 and 2 define those policy and security requirements which can be used by Conformity Assessment Bodies to certify that a trust service provider follows best practices for the operation of such cloud-based signature creation services, in particular in the context of the eIDAS Regulation (EU) 910/2014. ETSI’s work complements the CEN publications EN 419241-1:2018 (general requirements for trustworthy systems supporting server signing) and EN 419241-2:2019 (protection profile for a qualified electronic signature creation device (QSCD) for server signing), which provide the essential core of secure signing in the cloud.

ETSI TS 119 432 specifies the protocol allowing a client application to request the creation of a digital signature to a server. This specification establishes a protocol for secure communication between the different components needed to create a secure digital signature in the cloud, in line with the security standards laid down in the eIDAS Regulation. Two bindings are specified for this protocol: XML, which builds on the OASIS DSS-v2.0 specification, and JSON, which builds on the Cloud Signature Consortium (CSC) specification. ETSI collaborated with OASIS and CSC to produce its protocol specification."

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Nun gibt es von der ETSI auch einen Standard für die "Preservation" von Signaturen:  ETSI TS 119 511.

ETSI PreS eSig Preservation

Damit sind wir auch leider wieder beim alten deutschen Thema des Nachsignierens. Gut das beim Scannen von Dokumenten und bei Rechnungen in Deutschland keine Signaturen benötigt werden. Auch im Umfeld des größten Wachstums, bei mobilen und Cloud-Signaturen dürfte der Ablauf von Zertifikaten keine Rolle mehr spielen. Bei der Archivierung sowieso nicht, da man beim Speichern in einer revisionssicheren Archivierung oder Blockchain den Nachweis hat, dass zum Zeitpunkt der Speicherung die Signatur gültig war und dass sie danach nicht mehr veränderbar war, bzw, sogar der Nachweis, dass sie nicht verändert wurde.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Die europäische eIDAS-Richtlinie ist seit 1.7.2016 geltendes Recht in Deutschland. Dennoch hat der Bundestag auf die Schnelle am 22.6.2017 - gegen die Stimmen der Grünen - das "Gesetz zur Durchführung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-Durchführungsgesetz)" durchgewunken.

Warum musste denn dieses Gesetz zusätzlich sein? Was ähnliches hatten wir doch auch gerade bei der elektronischen Rechnung. Sollen so die bisherigen deutsch-speziellen Lösungen gerettet werden?

Auch möchte man die europäischen Partner daran erinnern, dass auch diese jetzt die deutschen Sonderlocken gefälligst zu unterstützen haben. 

Ein Argument ist daher, dass die deutschen Vertrauensdienste nunmehr explizit im Gesetz benannt werden. In der eIDAS ging es nur um die grundsätzlichen Verfahren und Typen von Diensten. Generell wird die bisherige Rechtsnorm für elektronische Signaturen nunmehr in ein "Vertrauensdienstegesetz" umgewandelt. Neuer Titel auf Linie der eIDAS-Richtlinie verdeckt den bekannten Inhalt. Also Tschüss "Gesetz über Rahmenbedingungen für elektronische Signaturen" - aber offenbar leben Totgesagte länger. Zu den nunmehr konkret benannten Diensten gehören die eID, De-Mail, die qualifizierte elektronische Signatur und dann sind wir auch sehr schnell mittels eines kurzen Umweges bei TR Resiscan, TR ESOR und Co..

Das eIDAS-Durchführungsgesetz soll "die erforderlichen Voraussetzungen für einen effektiven Vollzug" der EU-Vorgaben schaffen. Und es werden mit dem eIDAS-Durchführungsgesetz auch gleich neue Zuständigkeiten und Befugnisse kreiert - bei den beteiligten Behörden wie Bundesnetzagentur oder Bundesamt für Sicherheit in der Informationstechnik (BSI). Damit ist auch wohl "sichergestellt", dass wir von den deutschen Sonderlocken nicht ohne Weiteres wegkommen und dass auch die neuen Verfahren wie "Siegel" so aufwändig wie möglich gestaltet werden (siehe z.B. hier http://bit.ly/eSiegel). Da keine "neuen Kosten durch die nationale Reform mit den qualifizierten elektronischen Vertrauensdiensten für die Wirtschaft" - laut Bundesregierung - "entstehen", geht es wohl mit den uralten Konzepten von qES und De-Mail weiter. Die in der Presse vielbeschworenen zusätzlichen Kosteneinsparungs- und Effizienzsteigerungsprotentiale bleiben dann wohl auf der Strecke. 

Langsam verliere selbst ich den Überblick. Das Vertrauensdienstegesetz ist ja nur der BMWI-Teil der Umsetzung von eIDAS. Der BMI-Teil fehlt ja noch, wo es um Identität statt Vertrauen geht. Aber dafür haben wir da Siegel. Und eIDAS haben wir nur, weil man sich in der EU seit 20 Jahren angiftete und keinen gemeinsamen Standard zustande bekam mit den extremen Positionen de Briten, denen eine Zeichenkette mit Namen oder eine eingescannte Unterschrift braucht und auf der anderen Seite die Deutschen mit ihrer qualifizierten Signatur. Interessanterweise traut sich ja niemand zu sagen, warum die deutschen Juristen so misstrauisch sind, dass es ihnen an jedem Vertrauen mangelt. Mittlerweise habe ich den Verdacht, dass hier Schindluder getrieben wird mit der Verfassung und der von ihr geforderten Verhältnismäßigkeit. 20 Jahre nach SigG kann man immer noch nicht ein Kind im Standesamt online anmelden (sondern muss in langen Schlangen in Berlin stehen, wo sich die Leute schon um 4 Uhr morgens anstellen), sich im Meldeamt nicht ummelden oder Führerschein, Personalausweis oder Pass online bestellen. Digitales Entwicklungsland mit hyperkomplexer Technologie, die bei Bürger und Wirtschaft nicht ankommt. Und zu allem Überdruss wird die nicht akzeptierte Technologie nun auch noch in einem deutschnationalen zentralstaatlichen Portal zusammen gebunden für Bund, Länder und Gemeinden. Die Verfassung wird geändert, der starke Mann soll es richten und alle zusammen rennen in die gleiche falsche Richtung, die man im Ausland empirisch gesichert nicht braucht. Zynisch am Rande ist dann noch, dass das Portal von den Leuten gebaut wird, die gerade in der Bundesagentur für Arbeit (Wortspiel für Beschäftigungstherapie?) ein SOA-Portal völlig unagil über mehrere Jahre gegen die Wand gefahren haben mit einem Totalschaden von 60 Mio. €.
Ich war mein Leben lang mutig und habe während meines Bergbaustudiums in den Annalen der Physik von 1905 die spezielle Relativitätstheorie von Albert Einstein gelesen und verstanden. Aber was hier den Deutschen zugemutet wird grenzt ans Unfassbare.
Mir fällt fast nur noch der Cicero ein, über den der Robert Harris eine fasznierende Trilogie geschrieben hat.
"Quo usque tandem abutere, Catilina, patientia nostra?" „Wie lange noch, Catilina, wirst du unsere Geduld missbrauchen?“ (Cicero, Catilinaria 1).
Wie lange wollen uns die Underperformer noch von der Digitalisierung abhalten? Müssen wir tatsächlich die Biologie abwarten bis die Verhinderer, Saboteure und Weltentrückten dem Helmut Kohl hinterher gehen? Da waren ja die Hippies in Kalifornien trotz ihres bekifften Haschischgenusses noch realistischer und schrieben wunderschönen Code mit lustigen Kommentaren im Sourcecode vom Berkeley Unix und dem TCP/IP.
Möglicherweise kann der Germane diesen fortgesetzten Unsinn nur mit Mike Krüger ertragen: "Mein Gott Walter! "
https://www.youtube.com/watch?v=ubKinQvpc6w

Das BSI hat in einer Pressemitteilung bekannt gegeben (http://bit.ly/BSIeID), das die Notifizierung des Personalausweises erfolgreich abgeschlossen wurde und ab 29.9.2018 die deutsche eID in Verwaltungsverfahren auch außerhalb von Deutschland zur Authentifizierung anerkannt ist. Ein Schritt nach vorn für den "Online-Ausweis" und die eID ... wenn sie denn jeder auf seiner nPA neuen Personalausweis aktiviert hätte. Nun gilt es noch einmal einen Blick auf die Liste der Anwendungen zu werfen (oder diese zu suchen :) ) wo man denn als Bürger sinnvoll die Funktion nutzen kann.

Aus der Presseerklärung:

<Zitat> "Deutschland hat als erster Mitgliedstaat diese Notifizierung erfolgreich abgeschlossen. Im Rahmen des Notifizierungsverfahrens wurde das deutsche eID-System von technischen Experten nahezu aller EU-Mitgliedstaaten begutachtet. Dabei kamen die Mitgliedstaaten in ihrer Stellungnahme übereinstimmend zu dem Ergebnis, dass die eID-Funktion alle Anforderungen der eIDAS-Verordnung für das Vertrauensniveau "hoch" erfüllt.

Damit sind nun alle EU-Mitgliedstaaten ab dem 29.09.2018 verpflichtet, ihre Verwaltungsverfahren, die eine elektronische Identifizierung auf "substanziellem" oder "hohem" Vertrauensniveau benötigen, für die deutsche Online-Ausweisfunktion zu öffnen. Unternehmen können den elektronischen Identitätsnachweis auf freiwilliger Basis anerkennen.

Bereits seit Ende Januar kann die Online-Ausweisfunktion zur grenzüberschreitenden Identifizierung an der niederländischen nationalen eID-Infrastruktur genutzt werden, an die nun schrittweise niederländische Verwaltungsverfahren angeschlossen werden." </Zitat>

Seit geraumer Zeit gilt auch in Deutschland eIDAS. Mit dieser gesetzlichen Regelung erhalten Anwender neue Möglichkeiten zum Einsatz verschiedenster Signaturen, von der biomterischen bis zur Fernsignatur. Genutzt wird dies aber nicht überall. So sind in einer ganzen Reihe Branchen, konkret mal die öffentliche Verwaltung, Sozialversicherungen, EHealth u.a., immer noch die qualifizierten elektronischen Signaturen (QES) unterwegs, die bei der Archivierung unsägliche Verfahren wie TR 03125 nach sich ziehen. 

Ändert sich etwas?

Ja, an einigen Fronten. Da ist zum Einen der Wegfall von immer mehr Schriftformerfordernissen nach BGB §126, die auch damit die Notwendigkeit qualifizierten Signierens elektronischer Dokumente obsolet machen. Da gibt es neue Techniken wie Blockchain, die in öffentlichen verteilten wie auch abgemagert in geschlossenen Inhouse-Verfahren Authentizität, Integrität und Unveränderbarkeit absichern können. Da ist die Änderung des § 203 StGB seit November 2017, die die Anforderungen an eine Offenlegung fremder Geheimnisse durch Berufsgeheimnisträger entschärfen. Letzteres erlaubt nunmehr sogar die Speicherung von Dokumenten aus den sensitiven Bereichen in der Cloud.

Warum dann noch immer beim Erfassen und Versenden personen- und kartengebundene qualifizierte elektronische Signaturen auftauchen verwundert, da man auch Server-basiert auf Siegel oder Zeitstempel setzen kann. Zudem wird in Bezug auf den "Beweiswert" immer noch viel Angst verbreitet. In Gerichtsverfahren legen alle Seiten zunächst Kopien vor. Erst wenn es Abweichungen im Inhalt gibt, spielt die Orginalität eine Rolle. Da kann es sogar hinderlich sein, wenn man unterschiedliche Qualitäten in seiner elektronischen Akte hat - einerseits Scans mit Signatur, andererseits empfangene und selbsterzeugte elektronische Dokumente ohne. Ein qualifizierter Zeitstempel, der einfach alle Dokumente, Datensätze und Audit-Trails durchgängig automatisch signiert schafft eine einheitliche Qualität. Und dann kann man natürlich auch noch die Prüfsummen und Metadaten von Dokumenten in einem Blockchain-Audit-Trail verwalten und so zusätzlich absichern.

Schlägt man nun noch die Brücke zu Cloud, so sind hier Zeitstempel und Fernsignaturen deutlich einfacher zu integrierende und zu nutzende Verfahren als die gute alte QES mit ihrem Zahlenpad am PC. Und bei Thema Cloud kommt natürlich noch zusätzlicher Druck durch mobile Verfahren, die auch mobile Signaturen benötigen. Diesen Entwicklungen werden sich auch die traditionell auf die QES eingeschworenen Branchen nicht entziehen können. Und bei Unternehmen der freien Wirtschaft sollte man das Thema QES heute erst garnicht mehr anfangen. Ob sich hier dann der neue Personalausweis mit der eID als Alternative anbietet ist auch eher unwahrscheinlich.

Die Digitalisierung, die Digitale Transformation, die laufende Digitale Revolution - sie erfordern Automatisierung und Verfahren ohne Medienbrüche, die allen Beteiligten bis zum Endverbraucher hin offen stehen. Altertümliche manuelle oder semi-automatische Verfahren mit QES sind hier ein Hindernis mit Langzeit-Wirkung. Es wird Zeit die Optionen von eIDAS und anderer, fortschrittlicherer Richtlinien zu nutzen.

Eine Frage, die in der Beratung rund um Fernsignaturen* und Fernsiegel immer wieder auftaucht:

Warum gibt es so gravierende Unterschiede bei den Verfahren zur Identifizierung von Zertifikatsnutzern je nach Herkunftsland des Vertrauensdiensteanbieters? Und was kann man als Unternehmen der Privatwirtschaft in Deutschland machen um doch papierlose Prozesse rechtskonform umzusetzen, insbesondere wenn sich mit Vorgängen im Banking oder bei Versicherungen beschäftigt?

Die Vertrauensdiensteanbieter unterliegen den unterschiedlich strikten Vorgaben ihrer jeweiligen nationalen Aufsichtsbehörden. Für Anbieter aus Deutschland sind diese Anforderungen im Vertrauensdienstegesetz (VDG) und in Verfügungen der Bundesnetzagentur (BNetzA) festgelegt. Die BNetzA muss dabei das „Einvernehmen“ mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herstellen, das wiederum dem Bundesministerium des Innern, für Bau und Heimat untersteht.

Neben technischen Aspekten sind damit für die Vorgaben auch politische Motive relevant. So sind in der EU derzeit die Vorgaben recht unterschiedlich. Die Vorgaben in Deutschland sind vergleichsweise restriktiv.

Die derzeit gültige Verfügung zu § 11 VDG stammt vom 14. Juni 2018. In Mitteilung Nr. 208/2018 befristet die Bundesnetzagentur die Anerkennung des Video-Ident Verfahrens zur Zertifikatsausgabe zum 31.12.2020 und beschränkt es auf die Ausgabe einmalig nutzbarer Zertifikate, sogenannter Ad-Hoc-Zertifikate - zum Teil auch als Kurzzeitzertifikate bezeichnet.

Eine Vereinheitlichung der Vorschriften für Verfahren zur Identifizierung von Zertifikatsnutzern wird immer wieder gefordert Sie ist jedoch bislang nicht in Sicht.
- Im Forum der Europäischen Aufsichtsbehörden für Vertrauensdiensteanbieter (FESA) wird bislang ergebnislos über eine Angleichung der Anforderungen an die Videoidentifizierung für Vertrauensdiensteanbieter auf europäischer Ebene diskutiert.
- Die Europäische Kommission hat derzeit kein Mandat eine solche Vereinheitlichung voranzutreiben.

Deutsche Unternehmen können auch Vertrauensdienste aus anderen EU-Ländern mit Diensten aus Deutschland kombiniert einsetzen. Die EU-Verordnung 910/2014 eIDAS ermöglicht dies. So können beispielsweise zur rechtskonformen Erfassung neuer Kunden die Dienstleister für Identifizierung und der Herausgabe von Zertifikaten aus unterschiedlichen Ländern zusammenarbeiten. Das gilt auch für die Nutzung von Zeitstempeln, Websitezertifikaten oder Diensten für die Langzeitbewahrung. Derartige Kombinationen sind ausdrücklich auch auf der Ebene qualifizierter elektronischer Vertrauensdienste erlaubt.

Anbieter von Verfahren zur Videoidentifikation arbeiten mittlerweile mit Vertrauensdiensten aus anderen EU-Ländern zusammen, da sich die Gestaltung digitaler Strecken mit deutsche Vertrauensdiensteanbietern häufig als zu komplex erwiesen hat und von den Nutzern nicht akzeptiert wurde.

********************

Links:
Bundesnetzagentur Mitteilung Nr. 208/2018 - Verfügung zu § 11 VDG, 14. Juni 2018
https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/QE…

Hilfe zur Begriffsklärung:

* Fernsignatur = Bezeichnung für ein Verfahren, bei dem Zertifikate zur Erzeugung von Signaturen bei auf Bedarf über das Internet abgerufen werden. Weil der Zugriff über das Internet erfolgt, wird für dieses Verfahren auch der Begriff Cloud-Signatur verwendet. Als besonders sicher gelten Verfahren bei den die Zertifikate aus einem Hardware-Sicherheitsmodul (HSM) abgerufen werden. Dieses Hardware-Sicherheitsmodul kann sich beispielsweise bei einem bei einem Vertrauensdiensteanbieter befinden. Lokale Signaturen werden mit Zertifikaten erzeugt, die auf Smartcards oder anderen sicheren Tokens ausgegeben werden und für die weitere Hardware wie Kartenleser erforderlich sind. In vielen Fällen werden diese Verfahren zunehmend durch Fernsignaturen abgelöst.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO

Die EU eIDAS-Richtlinie gilt nun seit 3 Jahren in Deutschland. Passend zu ihrer eIDAS-Konferenz hat der BITKOM eine Studie zum Thema "eIDAS und der ECM-Markt | Elektronische Identifizierung und Vertrauensdienste als Chance für die Digitalisierung" herausgegeben: http://bit.ly/BITKOM-eIDAS. Der Leitfaden soll auch etwas Licht in das Wirrwarr in Europa mit all seinen unterschiedlichen Standards bringen und die Rolle des Informationsmanagement beleuchten.

Ein kurzer Blick auf das Inhaltsverzeichnis des rund 40seitigen Leitfadens:

Vorwort
Executive Summary 
1 Einführung 
2 Die eIDAS-Elemente im Überblick
2.1 Identifizierungsdienst 
2.2 Signatur- und Siegelerstellungsdienst
2.3 Bewahrungsdienst
2.4 Validierungsdienst
2.5 Einschreib- und Zustelldienst
2.6 Zeitstempeldienst
2.7 Vertrauensdiensteanbieter
3 Nutzen von eIDAS für den ECM-Markt
3.1 Einsatzszenarien im ECM-Umfeld
3.2 Einsatzszenarien in Abteilungen und Branchen
4 Zukunftsweisende Initiativen: Vereinheitlichung der Vertrauensdienste
5 Anhang 01 ‒ Die eIDAS Werkzeuge im Detail
5.1. Elektronische Dokumente ‒ Grundlage für die Digitalisierung
5.1.1 Elektronische Signaturen
5.1.2 Elektronische Siegel
5.1.3 Zeitstempel
5.1.4 Elektronische Einschreib- und Zustelldienste
5.1.5 Validierungs- und Bewahrungsdienste
5.1.6 Zertifikate für Website-Authentifizierung
5.2 Anhang 02 ‒ Das »eIDAS-Vertrauenssystem«

Eine nützliche und klare Zusammenfassung. Besonders durch Zeitstempel, Siegel, Fernsignaturen und mobile Signaturen wurde der Markt geöffnet. Jedoch zeigt sie auch, wie sich einige "alte" Elemente aus Deutschland immer noch fortpflanzen. Gemeint sind das Nachsignieren zum "Beweiserhalt" und De-Mail. 

Das eIDAS-Vertrauenssystem ist nicht gerade übersichtlich, zumal es für jeden EU-Staat gelten muss, da die gegenseitige Anerkennung von eIDs, Signaturen und anderen eIDAS-Komponenten zwingende Voraussetzung ist. Ein Interoperabilitäs-, Mapping- und Harmonisierungs-Vertrauensdienst würde sich gut machen. Und man darf nicht vergessen, dass eIDAS nicht nur qualifizierte Signaturen und Vertrauensdienste beinhaltet, für die nicht das ganze Konvolut der Dienste notwendig ist. Man denke hier z.B. an biometrische Signaturen. Das Schaubild zeigt die Situation für qualifizierte Signaturen, Stempel und Siegel.

eIDAS Vertrauenssystem

Kritisch sehen wir hier nur zwei Komponenten (denn alle anderen sind sinnvoll und notwendig, wenn man mit qualifizierten Zertifikaten arbeiten will/muss): PreS und EDS. 

Bei PresS handelt es sich um den Preservation Service entsprechend ETSI SR 019 510, Artikel 34 eIDAS. Positiv ist anzumerken, dass als erstes auf Nachweisdateien (Evidence Records) gemäß RFC 4998 oder RFC 6283 verwiesen wird. In solchen Audittrails (oder Aufzeichnungen als Blockchain) wird die Nchvollziehbarkeit und die Unverändertheit sichergestellt. Erst an zweiter Stelle wird von kontinuierlicher Konservierung von Signaturen mit Archivzeitstempeln gemäß CAdES oder XAdES gesprochen. Hier sind wir dann wieder bei der BSI Richtlinie 03125 TR-ESOR. Diese wird nicht erwähnt, aber ergibt isch in Deutschland implizit durch die Verankerung im eGovG.

Auch EDS, der Einschreib- und Zustelldienst, ist neutral beschrieben. In Deutschland würde man hier einerseits beim öffentlichen De-Mail landen. Andererseits wären aber auch Dienste wie beN (besondere elektronische Notarpostfach), beA (besondere elektronische Anwaltspostfach) oder das EGVP (Elektronischen Gerichts- und Verwaltungspostfach) hierunter fallen. De-Mail hat sich nicht durchgesetzt und beA ist immer noch problembehaftet.  Immerhin ist die Beschreibung im Leitfaden so neutral, dass auch andere Lösungen möglich sind. 

All diese Verfahren dienten der Identifikation, Kommunikation und Sicherung von Inhalten. Das Thema ECM Enterprise Content Management kommt dann beim Thema Sicherung und Speicherung zum Tragen. Hierbei geht es um die Integration von Komponenten in den Client, die Nutzung von Diensten auf Serverebene und ein klein wenig eigenständige ECM-Funktionalität. Im Leitfaden wird folgende Auflistung gegeben:

[Zitat aus 3.1] Einsatzszenarien im ECM-Umfeld ECM-Hersteller haben Signaturtechnologien:

  • Archivierung von signierten und gestempelten Objekten
  • Erstellung von Einzel- und Massensignaturen (Zeitstempel, Signaturen, Siegel)
  • Integration in Scan-Komponenten
  • Nutzung in Freigabe- oder Workflow-Prozessen
  • Signaturprüfung
  • Beweiswerterhaltung durch Nachsignatur

Die ersten beiden Punkte sowie Punkt 4 und 5 machen Sinn Bei Punkt 2 sind wir bei der alten strittigen Frage, warum beim Scannen signiert werden soll. Und die Beweiswerterhaltung in einem revisionssicheren Archiv mit Audittrail ist unnötig. Proprietäre Anwendungen, die nur einen technologischen Klotz am Bein bedeuten, sollte man tunlichst vermeiden (z.B. Massensignatur beim Scannen, wo nur jedes 50ste Blatt oberflächlich angeguckt wird oder das Nachsignieren bei Dokumenten mit einer Aufbewahrungsfrist von 50 oder mehr Jahren). Es geht einfacher und genau so sicher (verfälschungssicher, nachvollziehbar) ohne den Kropf von TR-Resican und TR-ESOR. Andere EU-Staaten machen es - ebenfalls mit eIDAS - einfacher. Dies zeigt auch glücklicherweise der Abschnitt 3.2 mit den ECM-Szenarien, wo auf vereinfachte Verfahren mit Fernsignaturen und andere technische Ansätze verwiesen wird. Die ausführlichen Beispielbeschreibungen sind hier hilfreich. 

Und auch das Problem der Vielfalt von Vertrauensdiensten wird angesprochen, jedoch bieten die unterschiedlichen Initiativen (Verimi, netID Foundation, SkIDentity, YES, ID4me) keine aktuellen Lösungen. 

Besonders die öffentliche Verwaltung, die immer noch an den liebgewonnenen deutschen Sonderlocken hängt, sollte sich diesen Leitfaden zu Gemüte führen. Nicht umsonst schneidet das E-Government in Deutschland bei der aktuellen europäischen DESI-Studie mit Platz 26 von 28 ab. Und bei Digitalisierung selbst liegt Deutschland nur mal eben im Mittelfeld.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Neuen Kommentar schreiben

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.
Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.