eIDAS - Quo vadis?

Mit der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (eIDAS) liegt nun seit 2014 (Veröffentlichung) bzw. 2016 (Inkrafttreten) eine EU- und EFTA-weit einheitliche Vorgabe für vertrauenswürdige elektronische Geschäfts prozesse vor. Doch die Zwischenbilanz dazu ist speziell für Deutschland verherend. Teilweise wird hier sogar in den Behörden noch von Signaturgesetz (SigG) sowie der Signaturverordnung (SigV) gesprochen, obschon dies nun im eIDAS-Durchführungsgesetz geregelt wird.

Die Inhalte der eIDAS-Verordnung und damit verbundene Chancen, Herausforderungen sowie sich daraus ergebende Verpflichtungen sind also teilweise noch nicht mal den zuständigen Mitarbeitern in den zuständigen Behörden bekannt. Damit einhergehend ist der Umsetzungsstand der eIDAS-Verordnung in Deutschland bestenfalls als mangelhaft zu bezeichen, verbunden damit werden die wenigen bislang bestehenden Vertrauensdienste so gut wie gar nicht genutzt.
Und die wenigen Produkt- und Lösungsanbieter dazu am deutschen Markt werden wohl noch weiterhin viele Jahre verzweifelt versuchen, die getätigten Investitionen wieder herein zu bekommen, während in unseren Nachbarländern beispielsweise die Beschleunigung der Behördenabläufe bereits richtig Geld spart!

eIDAS-Verordnung

Ab dem 01.07.2016 können in allen 28 EU-Mitgliedsstaaten und im EWR Vertrauensdienste nach der Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, kurz eIDAS-Verordnung, angeboten werden. Neben einer Neuregelung elektronischer Signaturen zählen dazu auch Dienste rund um elektronische Siegel und Zeitstempel, Zustellung elektronischer Einschreiben und Webseiten-Zertifikate.

Die eIDAS-Verordnung enthält verbindliche europaweit geltende Regelungen in den Bereichen "Elektronische Identifizierung" und "Elektronische Vertrauensdienste". Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen.

Als EU-Verordnung ist diese unmittelbar geltendes Recht in allen 28 EU-Mitgliedstaaten sowie im Europäischen Wirtschaftsraum.

Kernbestandteile (Verbindliche Policies, Rollen und Verantwortlichkeiten) sind:

  • Rechtssichere Unterschrift - Qualifizierte Signatur bzw. Qualifiziertes Siegel
  • Sichere Übermittlung und sicherer Eingang  - · eDelivery bzw. Zeitstempel
  • Sichere Prozess­ integration - Authentizierung bzw. Signatur
  • Rechtssichere Archivierung - Preservation Service

Ab September 2018 greifen die Vorgaben zur verbindlichen Anerkennung aller notifizierten eID-Systeme . Mit der Verpflichtung zur Zugangseröffnung für den neuen Personalausweis, wie er in nahezu allen E-Government-Gesetzen definiert ist, stellt sich die Maßgabe zur Annahme aller europäischen, notifizierten eID in Deutschland definitiv. Angesichts des ermittelten niedrigen Bekanntheitsgrads und Umsetzungsstands der Vertrauensdienste besteht in Deutschland erheblicher Handlungsdruck, um in der Digitalisierung in Europa keine Nachteile zu erleiden. Die entsprechenden Produkte und Marktteilnehmer sind bereits umfassend vorhanden. Es gilt nur noch, den Schritt in eine vertrauenswürdige wie vor allem medienbruchfreie Digitalisierung zu gehen.

Vermutlich kennen aber über die Hälfte der zuständigen bzw. verantwortlichen Mitarbeitern in den Behörden bzw. Unternehmen eIDAS gar nicht, das wird von einer Vielzahl an Befragungen bestätigt. Dabei gibt es eine gesetzliche Verpflichtung zumindest öffentlicher Stellen zur Annahme und Verarbeitung von qualifizierten elektronischen Signaturen (QES) sowie qualifizierter elektronischer Siegel (QESI). Damit werden die Potenziale und Möglichkeiten, welche eIDAS im Hinblick auf durchgehende elektronische Geschäftsprozesse bietet, offensichtlich kaum bis gar nicht wahrgenommen.

Eine landesweite Marketing-Maßnahme in Behörden und Unternehmen scheint unumgänglich - aber ebenso gilt es den Bürger abzuholen. Der elektronische Personalausweis steckt mittlerweile in den Brieftaschen von fast 40 Millionen Deutschen. Doch für die meisten Deutschen ist er nur eine profane Plastikkarte, welche sie vorzeigen, wenn sie müssen - den meisten ist eben gar nicht klar, was der nPA alles kann - und welche Möglichkeiten damit verbunden sind. Nach unserem Wissen gibt es bislang immer noch nur einige obskure Schätzungen“, nach denen bereits bei bis zu 30% der neuen Personalausweise die Online-Funktion freigeschaltet sei. Hängt sicherlich auch mit den Passbehörden zusammen, welche die ersten Jahre teilweise sogar dazu geraten haben, die Online-Funktion besser nicht freizuschalten.

Mit der vom Bundestag am 18.05.2017 beschlossenen Änderung des Personalausweisgesetzes (PAuswG) wird der elektronische Personalausweis künftig – anders als bisher – standardmäßig mit einsatzbereiter Onlinefunktion (eID-Funktion) ausgegeben. Bisher musste sich der Bürger bei der Ausstellung des Personalausweises für die Aktivierung der eID-Funktion aktiv entscheiden.

Diese Entscheidung dürfte mit zu den vergleichsweise hohen 30% heutzutage beigetragen haben - unsere eigene Recherche zeigte, dass weniger als 15% der Antragsteller zum nPA sich aktiv Gedanken gemacht haben und zumindest sich für potentielle Einsatzmöglichkeiten interessieren.

Leider wurde bei der Änderung des Personalausweisgesetzes (PAuswG) darin auch ein vereinfachter Zugang für Unternehmen und Behörden versteckt, welcher es auch ermöglicht, für einfache Strafdaten auf die Lichtbilder ohne großen Hürden zuzugreifen. Mit solchen unverständlichen Aktionen wird das zarte Pflänzchen des Vertrauens mutwillig wieder niedergetreten. Man könnte hier den Eindruck gewinnen, dass Big-Brother-Methoden den Innenbehörden wichtiger sind als die Infrastrukturpotenziale des nPA.

Peinlich wird es allerdings, wenn man sich mal ansieht, wieviele Lesegeräte zum nPA sich denn so am heimischen Schreibtischen wiederfinden - fast überall gähnende Leere...

Speziell dazu hatte aber doch die Bundesregierung so um 2011 ein ganz tolles Programm - es wurden kostenlose Lesegeräte und gratis Kartenleser für den neuen elektronischen Personalausweis unters Volk gebracht - finanziert selbstverständlich aus Steuergeldern!. Dabei handelte es sich meist um Basisleser, welche über 10 ausgewählte Partner verteilt werden. Die Partnerfirmen wurden vorher in einem offenen Konzeptwettbewerb aus mehreren Konzeptvorschlägen ermittelt. Im Normalfall handelte es sich bei den verteilten Kartenlesegeräten um die Basis-Lesegeräte SCL011 und cyberJack® RFID basis der Firmen SCM Microsystems und ReinerSCT.
Da solche Basisleser allerdings keine eigene Tastatur besitzen und die Ausweis-PIN daher auf dem PC eingegeben werden muss, bieten diese Geräte nur einen begrenzten Schutz vor Missbrauch. Daher sollte man beim Einsatz eines solchen Gerätes besondere Vorsicht walten lassen und vor allem auf einen aktuellen Virenschutz achten sowie eine gute Firewall im Einsatz haben.

Als sicher auch vor KeyLoggern und Co. können nur Class-3-Lesegeräte erachtet werden, welche ihre eigene Tastatur zur PIN-Eingabe mitbringen. Die günstigsten Modelle bekommt man so ab EUR 120.-, was für viele Bürger aber eher abschreckend wirkt - angesichts der sehr übersichtlichen Einsatzbereiche.

Leider ist aber vermutlich auch der Sicherheitsaspekt genau einer der gewichtigen Gründen gegen den aktiven Einsatz der seinerzeit gratis verteilten Basis-Lesegeräte!

Dem Unterfangen nPA liegen einfach viele konzeptionelle Fehler zugrunde. Leider hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwar ein technisch sehr ausgefeiltes Konzept überlegt, aber alle wirtschaftlichen und gesellschaftlichen Aspekte vollkommen ignoriert.

Es wird Zeit, diese Fehler schnellstmöglich zu korrigieren - es ist viel zu viel Geld von öffentlichen Stellen und eben auch der Privatwirtschaft investiert worden, um hier wieder zurückzustecken oder es gar der Politik zu erlauben, ähnlich wie zur elektronischen Gesundheitskarte (auch hier aufgrund politischen Versagens) von einem gescheiterten Projekt zu sprechen - nur um gegebenenfalls dann der nächsten Lobbygruppe einen neuen Groß-Auftrag (bezahlt aus Steuergeldern...) zuschanzen zu können.

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • 1_LOGO_Avalara.jpg
  • DEUTSCHE_BANK.png
  • Tsystems.gif
  • 1_LOGO_FARSITE.png
  • 1_LOGO_SSH.png
  • CLAAS.png
  • 1_LOGO_SEMATICON.png
  • NXP.png
  • netcologne.gif
  • deutschepost.gif
  • AIRBUS.png
  • tuev-nord.jpg
  • 1_LOGO_VARONIS.png
  • hvb.jpg
  • BAYER.png
  • sbb.gif
  • TDT-AG.JPG
  • ASKLEPIOS.png
  • Postbank.jpg
  • dlr.png