Elektronische eIDAS-Signaturen: Qualifiziert oder Fortgeschritten – Wann empfiehlt sich was?

Die Verordnung über elektronische Identifizierung und Vertrauensdienste (EU-Verordnung 910/2014 / EG – auch als eIDAS bekannt) ist eine komplexe Reihe von Gesetzen (einschließlich technischer Standards), die die Messlatte für die Bereitstellung elektronischer Vertrauensdienste in allen EU-Mitgliedstaaten höher legen. Dieser Artikel versucht, bei der Entscheidungsfindung zu helfen, ob die Implementierung fortgeschrittener oder qualifizierter elektronischer Signaturen im Kontext von eIDAS die richtige Wahl ist. Denn obwohl die Verordnung in allen 28 Mitgliedstaaten bereits in vollem Umfang in Kraft ist, bleibt die Mehrheit der Unternehmen im privaten Sektor entweder hinter dieser Entwicklung zurück oder scheint in einem Nebel der Verwirrung verloren.

In Europa gibt es über 23 Millionen kleine und mittlere Unternehmen. Es gibt viel Irritationen im Umgang mit eIDAS und viele dieser Unternehmen verfügen über nur wenige Informationen, um das Gesetz einfach zu erklären.

eIDAS für den Privatsektor und öffentliche Dienste

Es ist zwar richtig, dass der Privatsektor weniger von eIDAS betroffen ist als öffentliche Dienste und Regierungsbehörden. Aber unabhängig davon geben die meisten Unternehmen anderen Hindernissen die Schuld an ihrem späten Eintritt. Mangelndes Interesse ist nicht der Hauptgrund für den langsamen Start von eIDAS.

Die Terminologie führt neue Begriffe und Konzepte ein, die schwer zu verstehen sind, einschließlich z.B. elektronische Geräte und Datentypen – Identifikationen, Zertifikate, Signaturen, Siegel, Zeitstempel, Erstellungsdaten und Geräte – die jeweils in drei Sicherheitsstufen unterteilt sind, wobei die rechtlich bedeutsamen Stufen von „fortgeschritten“ und „qualifiziert“ gebildet werden. Ein weiterer Hauptgrund für das mangelnde Verständnis der Gesetzgebung ist die komplexe Architektur des Regulierungstextes. Das schriftliche Material enthält die Verordnung selbst, nicht weniger als sieben Durchführungsrechtsakte und etwa 30 Normen, technische Standards, Spezifikationen usw.

Um ehrlich zu sein, bleiben viele der von der EU-Kommission festgelegten Regeln absichtlich etwas ungenau, so dass den Aufsichtsbehörden der für die Umsetzung der Verordnung zuständigen Mitgliedstaaten Raum für eine Auslegung bleibt. Der verallgemeinerte Text eines so facettenreichen Themas, kombiniert mit vielen überlappenden Anforderungen, macht es selbst für Experten schwierig, eIDAS zu verstehen. Daher besteht Klärungsbedarf.

Vertrauensdienste

Trust Service Provider (TSPs) sind dafür verantwortlich, die elektronische Identifizierung von Unterzeichnern und eID-Diensten sicherzustellen, indem sie starke und sichere Mechanismen für die Authentifizierung, die Bereitstellung digitaler Zertifikate und elektronischer Signaturen verwenden. Änderungen an den Daten müssen dem Absender und Empfänger der Daten deutlich angezeigt werden. Außerdem müssen Datum und Uhrzeit von Änderungen mit einem beigefügten elektronischen Zeitstempel angegeben werden.

eIDAS und die Rolle der QTSPs

Nach eIDAS gilt eine fortgeschrittene elektronische Signatur (AdES) als rechtsverbindlich, während eine qualifizierte elektronische Signatur (QES), wie sie beispielsweise von qualifizierten Vertrauensdienstleistern (QTSPs) erstellt wird, den höchsten Beweiswert aufweist und das digitale Äquivalent einer handschriftlichen Signatur darstellt (wenn sie als Beweismittel vor einem Gericht verwendet wird). Sie kann nicht einfach angefochten werden, da die Urheberschaft als nicht widerlegbar angesehen wird.

Im Rahmen von eIDAS unterhält die EU eine EU-Vertrauensliste, die die Anbieter und Dienstleistungen enthält, die einen qualifizierten Status erhalten. Wenn eine Entität nicht auf dieser Liste steht, darf sie keine qualifizierten Vertrauensdienste bereitstellen. Die Anbieter, die auf der EU-Vertrauensliste aufgeführt sind, müssen die strengen Richtlinien einhalten, die unter eIDAS erstellt wurden, was der permanenten Kontrolle der entsprechenden Conformity Assesment Bodies (CAB/ Konformitätsbewertungsstelle) sowie der Behörden der jeweiligen Nationalstaaten unterliegt.

Vergleich fortgeschrittener und qualifizierter elektronischer Signaturen

Sowohl fortgeschrittene als auch qualifizierte Unterschriften müssen mit einem hohen Maß an Vertrauen unter der alleinigen Kontrolle des Unterzeichners bleiben. Außerdem sind beide gesetzlich verpflichtet, auf die elektronischen Daten zurückzugreifen, mit denen sie erstellt wurden. Schließlich müssen die Erstellungsdaten der elektronischen Signatur so gesichert werden, dass die Möglichkeit einer unerkennbaren Änderung der Daten ausgeschlossen ist.

Diese Anforderungen erzwingen zwar eine sichere, überprüfbare Umgebung zur Authentifizierung und Speicherung der Signaturerstellungsdaten, schützen jedoch nicht unbedingt vor beispielsweise Brute Force-Angriffen oder anderen Attacken, die eine starke Verwaltung des Verschlüsselungsschlüssels erfordern. Und in dieser Hinsicht hat die QES ein viel höheres Sicherheitsniveau.

Ein QES ist eine „fortgeschrittene elektronische Signatur mit einem digitalen Zertifikat, das von einem sicheren (qualifizierten) Gerät zur Erstellung von Signaturen verschlüsselt wurde“ (UK Government, 2014) – und zwar durch einen qualifizierten Vertrauensdienstleister.

Für QES müssen das Signaturerstellungsgerät und andere am Signaturaktivierungsprozess beteiligte Komponenten auch gemäß den spezifischen, hochsicheren technischen Anforderungen zertifiziert werden, die von ETSI (Standardisierungsstelle) gestellt werden. Einfach ausgedrückt, QES verbessert die Sicherheitsanforderungen und die Rechtssicherheit, die AdES bietet.

Laut Gesetz gilt eine QES als Äquivalent zu einer handschriftlichen Unterschrift innerhalb der EU. Die Unterschrift des Treuhandanbieters bestätigt das Zertifikat des Unterzeichners, das aus dem gleichen Grund die elektronische Unterschrift des Unterzeichners offiziell „qualifiziert“. Diese absoluten Anforderungen bieten QES im Vergleich zu AdES eine höhere technische Sicherheit.

Technische Sicherheits- und Rechtssicherheitsvorteile qualifizierter elektronischer Signaturen

Technische Sicherheit

Alle qualifizierten Signaturen müssen mit einem QSCD (Qualified Signature Creation Device) erstellt werden. Es ist jedoch wichtig, zwischen lokaler Signatur und Remote-Signatur zu unterscheiden.

Lokale Signatur ist, wenn ein Endbenutzer / Verbraucher ein persönliches Gerät (z. B. eine Smartcard) besitzt, auf dem der Signaturschlüssel gespeichert ist, und dann das Gerät verwendet, um den Signaturprozess zu initiieren. In diesem Fall müssen die Smartcard und der Kartenleser zertifiziert sein, um als QSCD zu fungieren.

Bei der Fernsignatur wird der Signaturschlüssel durch die Hardware eines TSP (ein Hardware-Sicherheitsmodul in einem Rechenzentrum) geschützt, und der Unterzeichner greift remote (online) auf den Signaturschlüssel zu, um den Signaturprozess mit einer starken Authentifizierung zu starten. In diesem Fall ist ein Signaturaktivierungsmodul (SAM) innerhalb des Hardware-Sicherheitsmoduls (HSM) für die sichere Initiierung des Signaturprozesses verantwortlich. Das SAM und das HSM müssen zertifiziert sein, um als QSCD zu fungieren.

Der Lebenszyklus der Zertifikat- und Schlüsselverwaltung wird vollständig innerhalb der Grenzen eines Hardware Security Module (HSM) verwaltet. Alle Signaturerstellungsdaten werden verschlüsselt und in einem Keystore gespeichert und durch den Signaturschlüssel geschützt, wodurch die Signaturschlüssel sicher im HSM verbleiben.

Rechtssicherung

Über die Anforderungen an AdES hinaus legt die eIDAS-Verordnung die Anforderungen für die Bereitstellung qualifizierter Vertrauensdienste fest, so dass erstellte qualifizierte elektronische Signaturen die gleiche Rechtssicherheit wie handschriftliche Unterschriften in allen EU-Mitgliedstaaten aufweisen. Das ist überall dort relevant wo europäische oder nationale Gesetze bei der Bestimmung von Unterzeichnungsformalitäten für die Vertragserfüllung die Schriftformerfordernis festlegen: hier können QES bei digitalen Dokumenten die handschriftliche Unterschriften gleichrangig ersetzen. Zu diesen Verträgen gehören beispielsweise Arbeitsverträge, Ausschreibungen, Mietwagenversicherungen und mehr.

Es ist aber auch sinnvoll, QES einzusetzen, wenn hohe Geldwerte oder der Schutz des Lebens ein höheres Sicherheitsniveau erfordern (wobei die „qualifizierten“ Sicherheitsmerkmale ein wichtiger Aspekt in der zusammengesetzten Sicherheitsarchitektur sind). Der „qualifizierte Status“ sollte auch dort angewendet werden, wo ein hoher Beweiswert für die rechtliche Nichtzurückweisung wichtig ist (auch wenn dies nicht gesetzlich vorgeschrieben ist).

Aufwand und Kosten

Aufwand

Eine der größten Herausforderungen, um den qualifizierten Status zu erreichen, ist die Kundenidentifikation. Qualifizierte Vertrauensdienstleister müssen nachweisen, dass die Identität ausreichend überprüft wird. Derzeit führen die meisten Banken und Regierungen, die eIDAS anwenden, einen KYC-Prozess durch, der die physische Anwesenheit des Benutzers erfordert, um die Daten anschließend digital zu nutzen.

Um den Onboarding-Prozess zu beschleunigen, können solche Überprüfungen entweder direkt oder mithilfe eines Identitätsprüfungsunternehmens online durchgeführt werden.

Die Auslagerung an Identitätsprüfungsunternehmen würde den Aufwand reduzieren, einen Signaturdienst intern einzurichten, um ihn den Kunden anzubieten. Aber selbst eine solche Vorableistung kann sich für groß angelegte Bereitstellungen erheblich auszahlen. In Deutschland z.B. gehört VERIMI zu den renommiertesten Identitätsprüfern.

Kosten

Sowohl für fortgeschrittene als auch für qualifizierte elektronische Signaturen fallen für eine Institution wiederkehrende und einmalige Gebühren an.

Bei Verwendung eines qualifizierten Vertrauensdienstleisters muss das Unternehmen je nach Volumen jährliche Nutzungsgebühren zahlen, die mit denen fortgeschrittener elektronischer Signaturen vergleichbar sind. Es gibt jedoch andere Faktoren, einschließlich Technologie- und Bereitstellungsmodelle, die die Kosten bei der Kostenschätzung weiter erschweren. Abhängig vom Umfang der Bereitstellung kann ein Unternehmen die wiederkehrenden Kosten senken, indem einige der Dienste intern in Anspruch genommen werden.

Wenn Sie „qualifiziert“ werden, wird ein jährliches Audit durchgeführt, bei dem wichtige Aspekte der Architektur und der Einhaltung von eIDAS Regeln validiert werden.

Insgesamt können die Kosten für qualifizierte Signaturdienste auf das 2-3-fache höher geschätzt werden als für einen erweiterten Signaturdienst.

Fazit

Der Artikel versuchte, bei der Entscheidungsfindung zwischen fortgeschrittenen und qualifizierten elektronischen Signaturen zu helfen. Es zeigt, dass qualifizierte elektronische Signaturen erforderlich sind, wenn die Signaturprozesse für Verträge und Dokumente automatisiert oder vollständig digital abgeschlossen werden, für die eine „handschriftliche Signatur“ erforderlich ist bzw. Schriftformerfordernis gesetzlich vorliegt. Sie ermöglichen die Konzeption skalierbarer Prozesse, die den Personalbestand, den Aufwand und die Zeit erheblich reduzieren.

Nachdem der Prozess für qualifiziertes elektronisches Signieren implementiert und die Benutzer registriert wurden, können qualifizierte elektronische Signaturen angewendet werden, auch dann, wenn sie nicht unbedingt gesetzlich vorgeschrieben sind, aber ein höheres Maß an Sicherheit und Rechtssicherheit sinnvoll ist. Ein anschauliches Beispiel wären Finanztransaktionen von Zahlungen über einem bestimmten Schwellenwert.

In einer Institution oder einem Unternehmen gibt es möglicherweise separate Anwendungsfälle für AdES und QES für PDF oder XML. Die eIDAS-kompatible Signaturtechnologie von SIGNIUS bietet den Vorteil, dass beide über dieselbe Lösung bereitgestellt werden können. Wir werden in den kommenden Artikeln mehr über solche Hybridanwendungen schreiben.

(mit freundlicher unterstützung von cryptomathic: https://www.cryptomathic.com/news-events/blog/eidas-electronic-signatures-qualified-vs-advanced-when-to-choose-what-and-why)