Vertrauensdienste und Co.: so einfach geht sicheres Homeoffice
Veröffentlicht am 19.02.2021
Noch immer hakt es in der Verwaltung und vielen Wirtschaftszweigen beim Thema Remote Work. Dabei lassen sich viele Geschäftsprozesse längst vollumfänglich digitalisieren – sogar das Unterschreiben. Am Ende steigt nicht nur die Effizienz, sondern auch das Vertrauen. D-Trust-Geschäftsführer Dr. Kim Nguyen erklärt, wie vor allem die Vertrauensdienste der eIDAS-Verordnung Homeoffice sicherer machen.
Vier wichtige Vertrauensdienste-Tools
Es gibt nicht viele Gründe, wehmütig auf den April 2020 zu schauen. Zu schwer wogen die Pandemie-Erfahrungen und die Unsicherheit beim Blick in die Zukunft. Aber es gab auch Ermutigendes: zum Beispiel den Anteil der Beschäftigten im Homeoffice. 30 Prozent arbeiteten „überwiegend“ oder „ausschließlich“ am heimischen Rechner. Eigentlich aber sollte das noch nicht das Ende der Fahnenstange sein. Da geht mehr.
Dafür braucht es nur die richtigen Tools. Und vor allem dank der eIDAS-Verordnung der Europäischen Union sind viele von ihnen schon längst verfügbar. Die Rede ist von Vertrauensdiensten – elektronische Signaturen, elektronische Siegel und Website-Zertifikate. Zu sagen, diese Tools würden Online-Kommunikation sicherer und effizienter machen, geht noch nicht weit genug. Denn sie heben viele digitale Prozesse rechtlich auf eine Stufe mit analogen Abläufen. Damit wird Remote Work für einige Menschen überhaupt erst möglich.
Tool 1: Elektronische Signaturen verhindern Medienbrüche
Besonders anschaulich wird das anhand des Beispiels der elektronischen Signatur. Sie schließt eine Lücke, die durchgängig digitale Workflows lange verhinderte. Zwar sind Dokumente schnell am Rechner erstellt, rechtsverbindlich werden sie jedoch erst durch eine handschriftliche Unterschrift – oder anders: durch einen scharfen Medienbruch. Umgehen lässt dieser sich mit einer elektronischen Signatur gemäß eIDAS-Verordnung. Die Unterschrift erfolgt hier rein digital und macht Dokumente durch ausgefeilte Verschlüsselungsverfahren fälschungssicher. Am stärksten in Sachen Rechtswirksamkeit ist die qualifizierte elektronische Signatur (QES). Sie ersetzt die Unterschrift mit Tinte vollständig und ist dem in § 126 BGB geforderten Schriftformerfordernis EU-weit gleichgestellt.
Elektronische Signaturen sind grundsätzlich an einzelne Mitarbeiter gebunden. Das gilt auch für Signaturkarten, die man über ein kleines Terminal einliest. Noch bequemer – weil ohne Karten-Lesegerät nutzbar – ist sign-me Deutschlands erster eIDAS-konformer Fernsignaturdienst. Mit der cloudbasierten Webanwendung können Nutzer Dokumente zu 100 Prozent rechtssicher auf dem Endgerät ihrer Wahl unterschreiben – also sogar auf dem Smartphone.
Tool 2: QSiegel als digitale Stempel
Wenn die gesamte Organisation ihre Identität nachweisen möchte, kommen sogenannte QSiegel zum Einsatz. Großes Potenzial haben sie insbesondere im E-Government-Bereich, in dem häufig amtliche Beglaubigungen gefragt sind. Mit einer Siegelkarte lassen sich Urkunden, Zeugnisse oder Bescheide aller Art ausstellen. Kaum verwunderlich, dass laut IT-Planungsrat das Bundesinnenministerium QSiegel stärker in der Verwaltung etablieren will. Ein weiterer Anwendungsbereich liegt im Finanzsektor. Gemäß der EU-Zahlungsdiensterichtlinie PSD2 etwa können Banken den elektronischen Stempel als Identitätsnachweis von Drittanbietern verlangen, die auf Konto-Informationen zugreifen wollen.
Tool 3: TLS-Zertifikate für mehr Vertrauen auf Websites
Die PSD2 richtete erstmals auch den Fokus auf einen weiteren eIDAS-Vertrauensdienst: qualifizierte Website-Zertifikate (QWACs). Mit diesen müssen Kreditinstitut wie Zahlungsdienstleister ihre Kommunikation verschlüsseln und einander ihre Identität belegen. Technisch entsprechen QWACs den im Finanzsektor verwendeten Extended-Validation-Zertifikaten (EV) – sozusagen die höchste Güteklasse unter den TLS-Zertifikaten. Wer – vielleicht pandemiebedingt – Services verstärkt online anbietet, bekommt durch sie einen enormen Vertrauensschub. TLS-Zertifikate zeigen an: Auf dieser Website finden sensible Kundendaten einen sicheren Hafen.
Tool 4: Personen-Zertifikate für sichere Zugriffe und E-Mails
Eher unscheinbar, aber ganz entscheidend für Sicherheit im Homeoffice sind Personen-Zertifikate. Sie gehören zwar nicht direkt zu den eIDAS-Vertrauensdiensten, bilden allerdings die Basis für Signaturen und Siegel. Hochwertige Personen-Zertifikate schützen nicht nur die E-Mail-Kommunikation durch Ende-zu-Ende-Verschlüsselung, sondern sichern darüber hinaus den Remotezugriff auf die Systeme von Unternehmen oder Behörden. Ins Netzwerk, auf den Server und in die Cloud kommt nur, wer sich mit seinem Zertifikat ausweisen kann. D-Trust liefert sogar Personen-Zertifikate für Organisationen mit der Geheimhaltungsstufe „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD). Selbst sie könnten ihre Beschäftigten also guten Gewissens remote arbeiten lassen. Wie gesagt: Beim Homeoffice geht noch mehr als 30 Prozent.