Sieben EU-Tools zur Absicherung der digitalen Kommunikation
Veröffentlicht am 09.07.2019
Die Europäische Union hat mit der eIDAS-Verordnung einen gesetzlichen Rahmen geschaffen, um digitale Geschäfts- und Verwaltungsprozesse technologieoffen und EU-weit einheitlich zu ermöglichen. Mit diesen sieben Werkzeugen kann die elektronische Kommunikation in Europa abgesichert und Vertrauen in die digitale Welt geschaffen werden.
Die gleiche digitale Sprache sprechen
Die qualifizierten eIDAS-Vertrauensdienste spielen schon heute eine wichtige Rolle zur Absicherung der Dienste, etwa bei der Zahlungsrichtlinie PSD2, dem „Once only“-Prinzip oder der Datenschutz-Grundverordnung (DSGVO). Die eIDAS-Tools sind der Schlüssel für vertrauensvolle und sichere elektronische Rechtsgeschäfte in ganz Europa. Sie ermöglichen einen sogenannten Vertrauensraum in der Digitalisierung, in dem eine sichere Interaktion zwischen Menschen, Software und Maschinen stattfinden kann.
So wie der Euro Zahlungsmittel für Europa ist, könnten die eIDAS-Vertrauensdienste EU-weit für alle rechtlichen Verwaltungs- und Geschäftsprozesse genutzt werden – und somit die gleiche digitale Sprache sprechen. Doch wie unterscheiden sich die sieben Werkzeuge und wofür werden sie eingesetzt?
Die Qualifizierte Elektronische Signatur (QES)
Eine QES beruht auf einem qualifizierten Zertifikat. Die QES wird mit der elektronischen Datei so verknüpft, dass nach Unterzeichnung keine unbemerkte Veränderung des signierten Dokuments durchgeführt werden kann. Darüber hinaus ist durch das Zertifikat ersichtlich, wer das Dokument unterschrieben hat. Eine QES wird von oder im Auftrag einer natürlichen Person erzeugt. Sie wird häufig für Willenserklärungen natürlicher Personen verwendet. Eine QES ist für die Sicherung der Anwendungsebene zuständig.
Das qualifizierte Siegel (QSiegel)
Ein QSiegel beruht ebenfalls auf einem qualifizierten Zertifikat. Die Funktionsweise des QSiegels ist vergleichbar mit der QES. Der entscheidende Unterschied liegt darin, dass ein QSiegel nicht einer natürlichen, sondern einer juristischen Person – etwa einem Unternehmen – zugeordnet wird. Die gesiegelte elektronische Datei erhält einen entsprechenden Ursprungsnachweis, nicht jedoch eine Willenserklärung. Ebenso wie die QES ist das QSiegel für die Sicherung der Anwendungsebene zuständig.
Die qualifizierten Website-Zertifikate (QWACs)
Ein QWAC (aus dem Englischen: Qualified Website Authentication Certificate) ist der digitale Ausweis für eine Website oder Cloud-Anwendung. Auf Basis von QWACs können Betreiber von Websites sicher identifiziert werden. Diese Technologie basiert auf SSL-/TLS-Verschlüsselung und wird weltweit verwendet. Hier wird allerdings – anders als bei der „reinen“ SSL-/TLS-Verschlüsselung, bei der die Browser- bzw. Betriebssystemhersteller die Vertrauenswürdigkeit der zugrundeliegenden Zertifikate bestimmen – die Vertrauenswürdigkeit durch die EU-Vertrauensliste determiniert. Dies ist besonders wichtig, um vertrauenswürdige, authentisierte und verschlüsselte Kommunikationsbeziehungen etablieren zu können, zum Beispiel zwischen EU-Bürgern und Websites oder zwischen IT-Systemen. QWACs sind nicht nur serverseitig einsetzbar, sondern auch clientseitig. Somit kann sich auch ein Server gegenüber einem anderen Server als Client ausweisen. Ein QWAC ist für die Sicherung der Transportebene zuständig.
Die Validierungsdienste
Diese Dienste sind auf QES und QSiegel ausgerichtet. Sie ermöglichen es, die mathematische und rechtliche Gültigkeit einer QES oder eines QSiegels unabhängig zu prüfen. Als Ergebnis wird ein spezieller Prüfbericht herausgegeben, der die Prüfschritte und -ergebnisse aufführt. Dieser Prüfbericht kann, sofern dies technisch unterstützt wird, in das Dokument eingebettet werden und ermöglicht somit über einen langen Zeitraum die Nachvollziehbarkeit des unabhängigen Prüfergebnisses.
Der Einschreib- und Zustelldienst
Dieser Dienst für die Zustellung elektronischer Einschreiben bringt den postalischen Einschreibdienst in die elektronische Welt. Sowohl der Absender als auch der Empfänger werden identifiziert und die Nachricht wird vor unbemerkter Manipulation durch mindestens eine fortgeschrittene elektronische Signatur geschützt. Das Datum und die Zeit des Versands und Empfangs oder eine Änderung der Nachricht werden mithilfe eines qualifizierten Zeitstempels geschützt. Dieser Dienst ist bereits durch das De-Mail-Gesetz in vergleichbarer Form bekannt.
Der Zeitstempel
Die Funktionsweise eines qualifizierten elektronischen Zeitstempels ist vergleichbar mit der einer QES. Der Zeitstempel konserviert verbindlich den Zeitpunkt, zu dem die elektronische Datei vorgelegt wurde. So ist eindeutig nachvollziehbar, wann die elektronische Datei in welchem Zustand existierte. Hier wird kein qualifiziertes Zertifikat eingesetzt.
Die Bewahrungsdienste
Eine einmal erzeugte QES oder ein einmal erzeugtes QSiegel ist dauerhaft gültig. Die Prüfbarkeit kann über die Jahre stark eingeschränkt werden, da von der technischen Entwicklung abhängt, wie vertrauenswürdig der zugrundeliegende kryptografische Algorithmus noch ist. Deshalb konserviert der qualifizierte Bewahrungsdienst den Zustand der qualifiziert signierten und/oder qualifiziert gesiegelten Datei.