Gartner: Entrust zum führenden Unternehmen im Bereich Identitätsprüfung ernannt

Webportal öffnen UnterstützungKontact
Signhost logoSignhost logo
Einloggen

Die eIDAS-⁠Verordnung erklärt: Was Unternehmen wissen müssen.

Team Signhost

December 12, 2024

image

Die eIDAS-Verordnung im Detail: Alles, was Unternehmen wissen müssen

Die eIDAS-Verordnung trat im September 2014 in der gesamten Europäischen Union in Kraft und verpflichtete alle Mitgliedstaaten, ihre Bestimmungen bis zum 1. Juli 2016 umzusetzen. Die Verordnung ist Teil der digitalen Agenda der EU, die darauf abzielt, „ein faires, offenes und sicheres digitales Umfeld“ für Unternehmen in der gesamten Union zu gewährleisten.

Dieser Artikel erklärt, was die eIDAS-Verordnung ist und wie sie dazu beiträgt, reibungslose, nahtlose und sichere digitale Transaktionen in allen EU-Mitgliedstaaten zu schaffen.

Was ist die eIDAS-Verordnung und was bedeutet sie?

eIDAS steht für elektronische Identifikation, Authentifizierung und Vertrauensdienste, und die Verordnung ist Teil eines größeren Bestrebens, Regeln für elektronische Transaktionen wie elektronische Signaturen in der EU zu standardisieren. Die Idee ist, dass jede Person, jedes Unternehmen oder jede öffentliche Einrichtung in jedem Mitgliedstaat in der Lage sein sollte, mit jeder anderen Person, jedem Unternehmen oder jeder öffentlichen Einrichtung im Binnenmarkt auf sichere Weise und ohne Hindernisse elektronische Transaktionen durchzuführen.

Die eIDAS-Verordnung, offiziell bekannt als Verordnung 910/2014, wurde am 23. Juli 2014 erlassen, um rechtliche Klarheit über die digitale Identifikation im Binnenmarkt zu schaffen. Sie schafft Regeln für Vertrauensdienste, die elektronische Transaktionen erleichtern. Sie definiert auch einen rechtlichen Rahmen für:

  • Elektronische Signaturen
  • Elektronische Siegel
  • Elektronische Zeitstempel
  • Elektronische Dokumente
  • Elektronische Registrierte Zustelldienste
  • Zertifizierungsdienste zur Website-Authentifizierung

Die Interoperabilität, die durch die eIDAS-Verordnung gefördert wird, bedeutet, dass europäische Nationen nun zusammenarbeiten können, um die elektronischen Identifikationssysteme der jeweils anderen anzuerkennen und zu authentifizieren, wodurch Bürokratie für Unternehmen abgebaut wird. Die Erstellung einer Liste von Vertrauensdienstanbietern fördert Diskussionen und Innovationen im Bereich elektronischer Sicherheitsmaßnahmen.

Jedes Unternehmen, das elektronische Transaktionen in der EU durchführt, muss sicherstellen, dass es mit der eIDAS-Verordnung konform ist.

Verstehen der Terminologie

Es gibt eine große Anzahl von Begriffen, die man verstehen muss, um mit der eIDAS-Verordnung in Einklang zu stehen. Hier sind die wichtigsten Definitionen aus der Verordnung.

Qualifizierte Vertrauensdienste

Auch bekannt als Vertrauensdienstanbieter (TSPs), sind diese Stellen für die Erstellung, Überprüfung und Validierung von Zertifikaten für elektronische Transaktionen wie z.B. elektronische Signaturen zuständig. Qualifizierte Vertrauensdienste (QTS) sind diejenigen, die als sicher genug anerkannt wurden, um Zertifikate für qualifizierte elektronische Signaturen (QES) auszustellen. Das Aufsichtsorgan des Mitgliedstaates bestimmt, welche Vertrauensdienstanbieter qualifiziert sind. Nur QTS, die auf der EU-Vertrauenskontrollliste erscheinen, können Dienste anbieten, die die höchste Sicherheitsebene für Transaktionen gemäß der eIDAS-Verordnung authentifizieren.

Zertifizierungsstelle

Ein QTS ist eine Art Zertifizierungsstelle, da es befugt ist, die Zertifikate auszustellen, die elektronische Transaktionen validieren. Es ist auch als Zertifizierungsbehörde oder CA bekannt.

Elektronische Signaturen

Im einfachsten Sinne sind elektronische Signaturen digitale Daten, die die Zustimmung zu oder das Einverständnis mit dem Inhalt eines Dokuments anzeigen. Die eIDAS-Verordnung legt fest, dass eine elektronische Signatur nicht allein deshalb rechtlich unwirksam sein kann, weil sie elektronisch ist. Es liegt jedoch in der Verantwortung der einzelnen Staaten, die rechtlichen Auswirkungen einer elektronischen Signatur innerhalb ihrer eigenen Grenzen zu entscheiden. Dies schließt eine qualifizierte elektronische Signatur (QES) aus, die die gleiche Bedeutung wie eine handschriftliche Unterschrift in der gesamten Union hat. Lesen Sie weiter, um mehr über die verschiedenen Arten von elektronischen Signaturen zu erfahren.

Elektronische Siegel

Elektronische Siegel oder eSeals sind elektronische Daten, die den Ursprung und die Integrität anderer Daten sicherstellen. Sie sind ein wenig wie ein digitaler Fingerabdruck für ein Unternehmen oder eine Organisation, der bestätigt, dass die erhaltenen Informationen von diesem Unternehmen stammen. Elektronische Siegel können verwendet werden, um automatisch verarbeitete Rechnungen oder Verträge, die zwischen Unternehmen in verschiedenen Mitgliedstaaten gesendet werden, zu validieren, ohne physische Papiere per Post versenden zu müssen. Ein qualifiziertes elektronisches Siegel hat die gleiche Gültigkeit in der gesamten Union.

Elektronische Zeitstempel

Ein elektronischer Zeitstempel oder eTimestamp kann zusammen mit einer qualifizierten elektronischen Signatur angewendet werden, um genau zu beweisen, wann Sie das Dokument unterschrieben haben. Der Aussteller des Dokuments muss rechtlich bestätigen, dass das Datum und die Uhrzeit des Zeitstempels korrekt sind, wenn sie auf die QES angewendet werden. Es handelt sich um einen elektronischen Nachweis, dass ein Datensatz zu einem bestimmten Zeitpunkt existierte. Dies erleichtert die Verfolgung des Fortschritts von Dokumenten und sorgt für zusätzliche Rechenschaftspflicht.

Elektronische Registrierte Zustelldienste

Ein elektronischer Registrierter Zustelldienst oder eDelivery ermöglicht es öffentlichen Organisationen, Unternehmen und der Öffentlichkeit, Daten an andere Parteien zu übertragen, wobei der Versand und Empfang nachgewiesen werden. Dies erhöht die Rechenschaftspflicht und minimiert das Risiko, dass Daten verloren gehen, gestohlen werden oder von einer unbefugten Partei verändert werden. Elektronische Registrierte Zustelldienste können für Bestellungen, Verträge oder ähnliche Dokumente verwendet werden.

Qualifiziertes Webauthentifizierungszertifikat

Diese Zertifikate belegen, wer der Besitzer einer Website ist. Ein QWAC gibt den Besuchern die Gewissheit, dass die Website, die sie besuchen, vertrauenswürdig und zuverlässig ist. Diese Zertifizierung hilft, Phishing-Websites und andere Online-Betrügereien zu vermeiden.

Was sind die Arten von elektronischen Signaturen, die in der eIDAS-Verordnung definiert sind?

Die eIDAS-Verordnung definiert drei verschiedene Arten von elektronischen Signaturen, mit zunehmenden Sicherheitsstufen. Hier sind die drei Typen und einige ihrer Merkmale:

Art der elektronischen SignaturMerkmale
Einfache elektronische Signatur (SES)Auch als grundlegende elektronische Signatur bezeichnet, kann dies jede Form eines digitalen Zeichens sein, um die Zustimmung zu einem Dokument anzuzeigen. Vom Scannen einer Kopie Ihrer handschriftlichen Unterschrift und deren Einfügen in die Seite bis hin zum Drücken eines Knopfes, der „Ich stimme zu“ sagt. Wenn keine Überprüfung der digitalen Identität des Unterzeichners erforderlich ist, ist dies eine akzeptable elektronische Signatur.
Fortgeschrittene elektronische Signatur (AES)Um eine AES zu erhalten, müssen Sie in der Lage sein, die Identität des Unterzeichners zu überprüfen. Sie müssen sie jedoch nicht garantieren können. Sie sollten auch in der Lage sein, sicherzustellen, dass nach der Unterschrift keine Änderungen am Dokument vorgenommen wurden. Um eine AES zu erstellen, benötigen Sie ein sicheres Unterschriftserstellungsgerät (SSCD).
Qualifizierte elektronische Signatur (QES)Die QES hat in der eIDAS-Verordnung einen besonderen Status, der ihr in der gesamten Union das gleiche Gewicht wie einer handschriftlichen Unterschrift verleiht. Dies liegt an der sicheren Art und Weise, wie die QES erstellt wird. Um eine QES zu erhalten, müssen Sie zunächst Ihre Identität von einem QTP entweder persönlich oder über ein Videoanruf bestätigen lassen. Eine QES erfordert auch eine Multi-Faktor-Authentifizierung bei der Verwendung, z. B. die Eingabe einer PIN.

Assurance Levels

Es gibt drei verschiedene Assurance-Level für die verschiedenen elektronischen Identifikationsmethoden, wie sie in Artikel 8 der Verordnung dargestellt sind. Diese bilden die Grundlage für die Klassifizierung der drei verschiedenen Arten von elektronischen Signaturen. Hier sind die drei eIDAS-Assurance-Level:

Assurance-LevelMerkmale
NiedrigElektronische Identifikationsmethoden, die den Bestimmungen für ein niedriges Assurance-Level entsprechen, bieten nur „ein begrenztes Vertrauen“ bei der Überprüfung und Bestätigung der Identität des Empfängers.
ErheblichEin erhebliches Assurance-Level bedeutet, dass die eID-Methode mehr Vertrauen in die genaue Identifikation bietet.
HocheIDs mit hohem Assurance-Level bieten „ein höheres Maß an Vertrauen“ bei der Identifikation des Unterzeichners.

Diese Assurance-Level basieren auf dem ISO/IEC 2915-Standard und verwenden zwei Hauptarten der Sicherheit, um sie zu definieren:

  • Identitätsabsicherung – bezieht sich auf die Systeme, die zur Identifizierung der Person verwendet werden, wenn sie sich für den Service registriert.
  • Authentifizierungsabsicherung – bezieht sich auf die Art und Weise, wie die Identität beim Signieren des Dokuments verifiziert wird.

Für das Niedrig-Assurance-Level könnte eine einfache Form der Identifikation bei der Registrierung erforderlich sein und bei der Anmeldung ein einfaches Passwort. Obwohl einige Systeme vorhanden sind, um sicherzustellen, dass die richtige Person das Dokument unterschreibt, wäre es für einen Dritten nicht allzu schwer, diese Informationen zu erlangen und betrügerisch zu unterschreiben.

Für das Erhebliche Assurance-Level könnte die Identifikation mit einer Behörde verifiziert werden, wobei nicht nur ein Passwort, sondern auch ein einmaliger Code (OTP) per SMS erforderlich ist, um die Unterschrift abzuschließen.

Für das Hohe Assurance-Level würde die Identifikation mit offiziellen Regierungsdokumenten und durch ein persönliches Treffen (entweder vor Ort oder per Videoanruf) verifiziert werden. Beim Unterschreiben sind eine Multi-Faktor-Identifikation und kryptografische Schutzmaßnahmen über eine öffentliche Schlüssel-Infrastruktur (PKI) erforderlich.

Was sind die Sicherheitslevels für elektronische Identifikationen (eID)?

Da eIDAS eine EU-weite Verordnung ist, die es den Mitgliedstaaten ermöglicht, ihre eigenen vertrauenswürdigen Dienste im Zusammenhang mit eID zu qualifizieren, ist der Text der Gesetzgebung darauf bedacht, dass in der gesamten Union dasselbe Sicherheitsniveau aufrechterhalten wird. Einer der Gründe für eIDAS war es, nahtlose grenzüberschreitende Transaktionen zu ermöglichen, weshalb diese Konsistenz wichtig ist.

Absatz 34 verlangt von den einzelnen Regierungen, „wesentliche Aufsichtspflichten“ zu erfüllen, um diese Parität aufrechtzuerhalten. Sie werden auch ermutigt, bewährte Praktiken mit ihren Gegenstücken zu besprechen. Staaten werden aufgefordert, vergleichbare IT-Prozesse zu verwenden, um beispielsweise QES zu erstellen.

Die Verordnung stellt auch klar, dass die QES und das qualifizierte elektronische Siegel das höchste Sicherheitsniveau repräsentieren und kein Mitgliedstaat eine eID verlangen sollte, die ein höheres Sicherheitsniveau erfordert, um eine Transaktion aus einem anderen Staat zu verifizieren.

Technologische Standards

Obwohl eIDAS keine technischen Spezifikationen vorschreibt, gibt es Standards für Vertrauensdienstanbieter, die von der Europäischen Kommission festgelegt wurden und auf die die meisten Mitgliedstaaten bei der Erstellung ihrer Vertrauenslisten Bezug nehmen. Bestimmte Spezifikationen müssen erfüllt sein, um die Zertifizierung der TSPs selbst, der eID-Assurance-Level und der drei Arten von Signaturen zu gewährleisten.

Im November 2017 erließ die Europäische Kommission (EK) die Delegierte Verordnung über technische Regulierungsvorschriften für starke Kundenauthentifizierung und gemeinsame und sichere offene Kommunikationsstandards.

Diese Verordnung ergänzt eIDAS und soll den Kunden in der Union die sicherste mögliche Online-Erfahrung hinsichtlich der Gültigkeit von Zahlungen und anderen elektronischen Überweisungen bieten. Sie verlangt von Zahlungsanbietern, qualifizierte Zertifikate für elektronische Siegel und qualifizierte Zertifikate für die Website-Authentifizierung zu verwenden.

Wie Unternehmen von der eIDAS-Verordnung betroffen sind

Unternehmen können in mehrfacher Hinsicht von der eIDAS-Verordnung profitieren. Zuallererst gibt es einen viel reibungsloseren Arbeitsablauf. Die Papierdokumente, die Sie in der Union für die Unterzeichnung versenden und auf deren Rückkehr warten müssen, sind passé. Mit einer Lösung wie Signhost erfolgt alles auf Ihrem Gerät, und eine praktische Transaktionsquittung wird für Ihre Prüfspur erstellt.

Heutzutage arbeiten Unternehmen zunehmend mit Partnern in anderen Mitgliedstaaten oder sogar in mehreren Mitgliedstaaten gleichzeitig. In diesen und vielen anderen Fällen macht der EU-weite Standard für die rechtliche Gültigkeit einer QES Geschäftsabschlüsse sicherer. Es gibt keine Unsicherheit mehr über die Gültigkeit des Geschäfts in verschiedenen Gerichtsbarkeiten. Und Sie können ein hohes Maß an Vertrauen in die Einhaltung der Vorschriften haben.

Es gibt auch eine geringere administrative Belastung, da alles online stattfindet und einem klaren und leicht nachvollziehbaren Prozess folgt. Wenn jemand ein Dokument unterschreiben muss, erhält er die Informationen auf seinem Telefon oder Tablet, sodass Sie nicht hinterherlaufen müssen, um eine Unterschrift zu erhalten.

Die höhere Sicherheitsstufe ist ebenfalls zu berücksichtigen. Die Verwendung einer QES gibt Ihnen den Schutz komplexer kryptografischer Systeme, um Ihre Daten auf eine Weise zu sichern, die der Versand eines Dokuments per Post, per Fax oder sogar per E-Mail nicht leisten kann.

Häufig gestellte Fragen

Was ist ein Vertrauensdienst?

Der Vertrauensdienstanbieter erstellt digitale Zertifikate, die elektronische Signaturen authentifizieren und sowohl dem Aussteller als auch dem Unterzeichner Vertrauen geben, dass die Transaktion sicher ist. Qualifizierte Vertrauensdienstanbieter können Zertifikate für qualifizierte elektronische Signaturen ausstellen, und sie werden nach der Qualifizierung durch öffentliche Stellen in ihrem Land auf der EU-Vertrauenskontrollliste aufgeführt.

Was ist EUTL?

Die EUTL ist die Europäische Union Vertrauensliste und enthält die Stellen in der Union, denen ihre Regierungen die Fähigkeit zur Erfüllung der Anforderungen der eIDAS-Verordnung bescheinigen. Die Anbieter auf dieser Liste dürfen digitale Zertifikate ausstellen, um elektronische Transaktionen zu verifizieren.

Fazit

Die eIDAS-Verordnung hat die Art und Weise, wie Mitgliedstaaten der EU Geschäfte tätigen, transformiert, indem sie nahtlose elektronische Interaktionen gewährleistet und das Erlebnis sicherer und effizienter macht. Als Teil der digitalen Agenda der Union regelt die Verordnung die Implementierung der höchsten Sicherheitsstufen, um Vertrauen und Sicherheit bei digitalen grenzüberschreitenden Transaktionen zu gewährleisten. Daher ist es wichtig, dass alle Unternehmen bei der Durchführung elektronischer Identifikationen die eIDAS-Verordnung einhalten.

Referenzen und weiterführende Lektüre

  • Leitfaden der Europäischen Kommission zur eIDAS
  • Elektronische Identifikation neuer Kunden
  • Anmeldung ohne Benutzernamen und Passwörter
  • Methoden zur Signatur und Identifikation in Europa
  • Browser für die Vertrauensliste

*Haftungsausschluss: Dieser Inhalt stellt keine rechtliche Beratung dar. Die Eignung, Durchsetzbarkeit oder Zulässigkeit elektronischer Dokumente hängt wahrscheinlich von vielen Faktoren ab, wie z.B. dem Land oder Staat, in dem Sie tätig sind, dem Land oder Staat, in dem das elektronische Dokument verteilt wird, sowie der Art des elektronischen Dokuments. Es sollte rechtlicher Rat eingeholt werden, um etwaige rechtliche Implikationen und Fragen zur Verwendung elektronischer Dokumente zu analysieren.