EU plant europaweit einheitliche Elektronische Signatur
12. Mai 2014 15:34 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Die EU plant ein neues Gesetz, das eine einheitliche Behandlung der elektronischen Signatur für alle europäischen Mitgliedsstaaten vorsieht. Das neue Gesetz soll im Juli 2014 für grenzüberschreitend europaweit anerkannte E-Signaturen sorgen.
Die Direktive 1999/93/EC hatte leider nicht den gewünschten Standardisierungseffekt gebracht, bildet jedoch die rechtliche Grundlage für die neue europäische Gesetzesvorlage. Im März wurde die neue "European Electronic Identification and Trusted Services for Electronic Transactions regulation" beschlossen (Entwurf von 2012). Diese soll bereits im Juni vom Ministerrat verabschiedet werden. Die neue Regulierung bevorzugt keine spezifische Technologie. Es sollen sowohl zertifizierte als auch andere elektronische Signaturen zugelassen sein.
Die Europäische Kommission hat bereits eine Liste mit "Trusted Certification Service Providers" auf ihrer Webseite veröffentlicht (die Liste gilt noch bis 30.06.2014). Um sichere Transaktionen über Grenzen hinweg zu ermöglichen, sieht die EU Dienste wie Zeitstempel, elektronische Siegel, Webseiten-Zertifikate und andere zusätzlich vor.
Welche Auswirkungen dies auf den "exklusiven Charakter" der Qualifizierten Elektronischen Signatur mit Anbieterakkreditierung (QES) in Deutschland haben wird, muss sich noch zeigen. Auf jeden Fall werden zukünftig auch andere Signaturen aus europäischen Mitgliedsstaaten in Deutschland anerkannt werden müssen.
Europäischer Rat verabschiedet elDAS
Der Europäische Rat hat die "Richtlinie über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (elDas)" verabschiedet. Dies hat auch Auswirkungena uf die deutsche Signatur-Gesetzgebung, da andere europäische Signaturen auch in Deutschland anerkannt werden müssen.
Mit elDAS wird die Schaffung eines pan-europäischen Rahmens für elektronische Identifizierung, Authentifizierung und Anerkennung von elektronischen Unterschriften
angestrebt. Die gegenseitige Anerkennung elektronischer Identität (e-ID) bringt potentielle Erleichterungen im Sinne des grenzüberschreitenden Zugangs der Bürger zu öffentlichen Dienstleistungen in Bereichen wie dem Gesundheitswesen, der sozialen Sicherheit, Steuern, Beschäftigung und Bildung. Der Vorschlag kann den Weg ebnen für eine breitere Nutzung der Online-Dienstleistungen durch alle Europäer|innen.
Die deutsche Sonderlocke QES, besonders in ihren abstrusen Anwendungen, ist nicht mehr das alleinig Seeligmachende.
eIDAS und die Folgen
Gemessen an der Bedeutung elektronischer Identifizierung für das Funktionieren von E-Government ist es einigermaßen erstaunlich, wie heimlich, still und leise eIDAS letztlich verabschiedet wurde. Oder ist das nur die Ruhe vor der Sturm, der ausbricht, wenn die Details der Ausführungsbestimmungen festgelegt werden? Bin gespannt, ob die in Deutschland lange so hoch gehaltene QES jetzt wirklich sang- und klanglos verschwindet. Und ob die europaweite Verwendbarkeit möglicherweise dem nPA als e-Identifikationsmittel Auftrieb verleiht? Und was wird aus Vertrauensdiensten wie e-Post und DE-Mail? Oder sind das gar keine? Fragen über Fragen … 😉
EU-Rat segnet neue Vorgaben zur E-Identifikation ab
Der EU-Rat segnet neue Vorgaben zur E-Identifikation ab: http://www.heise.de/newsticker/meldung/EU-Rat-segnet-neue-Vorgaben-zur-E-Identifikation-ab-2267904.html (siehe den vorangegangenen Kommentar unter dem Kürzel elDAS).
Damit ist nächstes Jahr die elektronische Signatur aus dem Rennen. Dafür – leider – De-Mail sowie die eiD im Kommen. Und die De-Mail ist nun wahrlich nicht das Mittel für die E-Identifikation: http://bit.ly/De-Mail-QES.
Heise schreibt:
<Zitat> In der EU wird das Verwenden elektronischer Signaturen und vergleichbarer Identifikationssysteme vereinfacht und harmonisiert. Der Ministerrat hat dazu am Mittwoch einen Verordnungsentwurf über die elektronische Identifizierung (eID) und darauf basierende "Vertrauensdienste" verabschiedet. Firmen, Behörden und Bürger sollen damit in die Lage versetzt werden, Dokumente in der gesamten EU elektronisch zu unterzeichnen und zu zertifizieren. Die Mitgliedsstaaten werden verpflichtet, eID-Systeme anderer EU-Länder unter bestimmten Umständen offiziell anzuerkennen.
Die bisherigen Vorgaben für digitale Signaturen gelten noch bis Juli 2016. </Zitat>
Nun gilt e es abzuwarten, was denn mit all den Anwendungen geschieht, die auf die qualifizierte elektronische Signatur gesetzt haben.
Deutscher Nationaler Sonderweg
In Deutschland scheint man nicht viel mit europäischen Standards zu tun haben zu wollen. Da versucht man mit größtem Eifer deutsche nationale „Standards“ durchzudrücken. Jetzt hat sich das Anbieter-Kartell in einem Verein zusammengeschlossen, wo die nationale eID gefördert werden soll:
http://www.egovernment-computing.de/projekte/articles/454634/?cmp=nl-127
In dem Artikel steht kein Wort, dass man für De-Mail diesen Technosonderschnickschanck nicht braucht, sondern auch mit SMS-TAN (also mit einem normalen Handy) eine sichere Anmeldung machen kann, so dass QualSig und eID für De-Mail überflüssig sind. Das hatten die Österreicher auch vor ein paar Jahren gemerkt, dass die Sondertechnologie nicht marktfähig ist.
Wenn die Bundesregierung allerdings bei Spionageabwehr weiterhin gesetzwidrig untätig bleibt und die Digitale Agenda weiterhin so kümmerlich und unwürdig bleibt, ist das Problem sowieso erledigt: die Bürger werden sich elektronisch weiter mit Schrecken vom Staat abwenden, wie die nachlassenden Zahlen von D21 beim E-Government gezeigt haben.
Die Firmen aus dem Anbieterkartell werden dann ihre Investitionen erfolglos abschreiben, so wie die Banken auf dem Trustcentergeschäft wieder ausgestiegen sind und der Käufer Trustcenter.de einfach geschlossen hat. So wie die Post auch keinen Bock mehr auf die Fehlinvestition Signtrust hatte.
Was bleibt, sind dann verloren Jahre , die durch falsche Marktinterventionen des Wirtschaftsministerium (mit dem Ziel eine Sondertechnologie mit staatlichen Fördermitteln gegen den Markt aufzubauen) dazu führen, dass die IT-Nutzung im öffentlichen Dienst weit hinter dem Möglichen hinterherhinkt und weit hinter internationalen Vergleichen.
Es wird so ausgehen, dass Deutschland weiterhin hinterfotzig die EU hintertreibt zum Nachteil der Bürger und Wirtschaft, wie wir es schon brutal beim Boykott der Umsetzung der EU-Richtlinie (Art 8 einfach und online) durch die deutschen Gesetzgeber gesehen haben (§3a VwVfG). In Griechenland geht es dank der EU wieder bergauf, in Deutschland geht es trotz EU weiter bergab mit der IT-Nutzung im öffentlichen Dienst.
Am Rande: meinen englischen Vertrag, den ich nach EU-Signaturrichtlinie rechtskräftig unterschrieben habe (eingescannte Unterschrift als einfache Signatur), habe ich von der Gegenseite jetzt als PDF per einfacher Mail jetzt unterschrieben zurück. In D haben wir das Recht so vermurkst, dass das man das nicht macht. Da hat man dann solche Pfeifen mit zwei F:
„„Für die Karriere opfere ich nicht mein Sozialleben“
Der Jura-Student Linus Vollmar spricht für viele seiner Generation: Ihm wäre die gemütliche Beamtenlaufbahn lieber als ein Burnout in der Top-Kanzlei. “
http://www.faz.net/aktuell/wirtschaft/menschen-wirtschaft/ein-jura-student-im-gespraech-ueber-seine-karriereziele-13078407.html
Horrido!
Wo bleibt der Aufschrei
Wo bleibt der Aufschrei von BITKOM e.V. bitkom.org, vom DIHK Deutscher Industrie- und Handelskammertag e.V. dihk.de, den Suerberatern, Wirtschaftsprüfern und nicht zuletzt vom BSI bsi.bund.de?
Offensichtlich gilt noch immer: „Warum einfach, wenn es auch umständlich geht?“
Für die Politik, Ämter und Verbände in Deutschland muss ich mich fremdschämen.
Peter Rösch
Aufschrei?
Aufschrei kriegt man nur hin, wenn irgendwas mit Sex läuft. Marktgängig sind weibliche Brüste: entweder nachts an der Hotelbar oder als Medienlockmittel zum Brandenburger Tor.
Der bitkom gibt sich lieber devot und kapitulierend. Die haben sich aufgegeben:
„Für das Ziel, Deutschland zum IT-Wachstumsland Nr. 1 in Europa zu machen, müsse neben einem Schwerpunkt auf der Bildungspolitik besonders die Unterstützung von Start-ups ins Zentrum der Digitalen Agenda gerückt werden. „Wir müssen die Gründung entbürokratisieren und deutlich mehr Venture Capital mobilisieren – ganz besonders für die Wachstums- und Internationalisierungsphase von Start-ups“, so Kempf.“
http://www.bitkom.org/79935_79931.aspx
Soll heissen, die SAP, ATOS (SBS), materna, Cisco, IBM, CSC, younamit haben in Deutschland kapituliert. IT-Stalingrad.
„Neue Männer braucht das Land“ möchte man mit Ina Deter sagen: http://de.wikipedia.org/wiki/Ina_Deter
Aber immer noch besser die Totalkapitulation des bitkomund der Ruf nach enuen Unternehmen, die das Land voranbringen, wenn es die alten nicht schaffen, als die noch devotere, unproduktive Haltung des Maul-Haltens und immer weiter Machens. Neulich drang der Ruf zum nächsten Breitband-Happening im Haus der Deutschen Wirtschaft:
http://www.initiatived21.de/2014/07/breitband-herbstkonferenz/
Mir kamen Format, Catering und Akteure bekannt vor. Mindestens zweimal war ich schon da. Und siehe ich fand eine Agenda aus 2004: 90% gleiche Akteure, gleiche Location, gleiches Catering 🙂
http://www.dihk.de/ressourcen/downloads/breitbandkonferenz.pdf
10 Jahre nicht vorangekommen, immer wieder gleiches Happening, gleicher Kult. Schlimmer als wenn die SPD singt „Mit uns kommt die neue Zeit!“
So wie es aussieht, wird das Problem nur biologisch gelöst. Wenn die Bremser aus dem Amt sind, eine Generation, die die Bremser grossgezogen haben übersprungen wird und Leute ans Ruder kommen, die nicht solche Versager sind, die die national Zukunft verkacken.
Man muss es wohl wie Russland machen: spätestens am Ural laufen sich die Störer tot. Siehe Napoleon, siehe 6. Armee in Stalingrad.
BMWI zu Unrecht angeprangert
Guten Tag, Herr Ksoll,
ich muss für das BMWI in die Bresche springen und etwas klarstellen. Sie schrieben:
> Was bleibt, sind dann verloren Jahre , die durch falsche Marktinterventionen
> des Wirtschaftsministerium (mit dem Ziel eine Sondertechnologie mit
> staatlichen Fördermitteln gegen den Markt aufzubauen) dazu führen, dass die
> IT-Nutzung im öffentlichen Dienst weit hinter dem Möglichen hinterherhinkt
> und weit hinter internationalen Vergleichen.
Ausgerechnet dem BMWI habe ich es zu verdanken, dass mit dem 1.SigÄndG von 2005 das SigG von 2001 an die Vorgabe der EU-Direkte von 1999 angepasst wurde und die der EU-Direktive widersprechende Notwendigkeit von QUALIFIZIERTEN Zertifikaten für Fortgeschrittene Elektronische Signaturen wieder aufgehoben wurde, danke nochmals.
Auch hat das BMWI bereits in den Jahren 2003 und 2007 mich gemeinsam mit weiteren Kollegen aus dem Signaturpad Umfeld (ESMU Initiative) mehrfach empfangen, um sich unsere Vorschläge anzuhören und und um einen Kontakt zu den federführenden BMI und BMJ herzustellen. BMI und BMJ waren zumindest online zu den Meetings dazu geschaltet.
Nachdem die Verantwortung für das SigG kurzfristig Anfang des letzten Jahrzehnts auf das BMWI übergegangen war, übernommen vom früheren Forschungsministerium, dann dem BMI, ist die Verantwortung ab ca. 2005 wieder dem BMI zurück übertragen worden.
In unseren Gesprächen wurden wir vom BMWI immer inhaltlich unterstützt, die Blockierer gegenüber einer möglichen Erweiterung von elektronischem Ersatz für die an eine Verkörperung gebundene Schriftform (meist Papier) saßen immer im BMI und dem BMJ. Deren Ministerialbeamte ließen sich am Ende sogar verleugnen, damit wir keine offizielle Anfrage an sie stellen konnten.
Auch ist wichtig zu wissen, dass das BSI dem BMI untersteht.
eIDAS - Der Versuch einiger Klarstellungen
In diesem Blog habe ich einige ältere Meinungen gesehen, die angesichts der verabschiedeten europäischen VERORDNUNG (steht als europäischer Rechtsakt noch über einer Direktive) einiger Klarstellungen bedürfen. Dabei bin ich selbst auch noch in der Klärungsphase, eventuelle zu korrigierende Fehlinterpretationen meinerseits bitte ich zu verzeihen. Vorab der Link zur Verordnung, die man sich dort auch in verschiedenen Sprachen und als PDF downloaden kann:
http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32014R0910
————————————
Zur Sache:
ZDA Zertifikatsdiensteanbieter heißt jetzt VDA Vertrauensdiensteanbieter.
Grundsätzlich handelt es sich bei den in der EU-Direktive von 1999 und in der neuen EU-Verordnung von 2014 aufgeführten Signaturen um fortgeschrittene elektronische Signaturen (Rechtsbegriff). Fortgeschrittene Signaturen basieren technisch immer auf asymmetrischen Verschlüsselungsverfahren für die Prüfsumme (Hash-Wert) und werden i.d.R. als Digitale Signaturen bezeichnet. Mit dem geheimen Private Key wird der Hash verschlüsselt, mit dem öffentlichen – mit der erstellten Signatur mitgeführten – Public Key kann der verschlüsselte Hash entschlüsselt werden und gegen einen neu erstellten Hash verglichen werden.
Der Trick:
Asymmetrische Verfahren bedingen immer korrespondierende Private und Public Keys. Verschlüssele ich mit dem EINEN Key, kann ich nur mit dem ANDEREN Key entschlüsseln. Verändere ich also die signierte Information und verschlüssele diese mit dem Public Key erneut (nur diesen habe ich als Nicht-Ersteller der Signatur zur Verfügung), dann kann niemand mehr eine Signaturprüfung vornehmen, da niemand im Besitz des nun zur Entschlüsselung notwendigen Private Keys ist. Die Definition, ob Private oder Public, ist (grob gesagt) abhängig davon, welcher Schlüssel geheim bleiben soll und welcher Schlüssel der Öffentlichkeit zur Verfügung gestellt werden soll. Es gibt schon noch technische Unterschiede, die aber keine Auswirkung auf die Nutzung zur Ver-/Entschlüsselung haben.
Wird nun der Public Key (und damit auch der Private Key) eines Schlüsselpaares einer NATÜRLICHEN Person zugeordnet, dann spricht man in der neuen Verordnung von einer Signatur. Der Signaturersteller wird „Unterzeichner“ genannt, Art. 3, 9. Definition. Wird dagegen der Public Key einer JURISTISCHEN Person (einer Gesellschaft, Behörde, …) zugeordnet, spricht man gemäß der neuen Verordnung von einem Siegel und einem Siegelersteller, Art. 3, 24. Definition.
Die elektronische Bestätigung (in Form eines Datensatzes) einer solchen Zuordnung nennt man Zertifikat. Ein Zertifikat enthält somit die bürgerliche Identität, den Public Key sowie eine Signatur des Zertifikatausstellers. Erfolgt die Erstellung des Schlüsselpaares und die Zuordnung durch einen qualifizierten Vertrauensdiensteanbieter (VDA, früher ZDA – Zertifizierungsdiensteanbieter), dann spricht man von einer fortgeschrittenen Signatur auf Basis eines qualifizierten Zertifikats, gleichwohl es sich dabei noch nicht um eine durch den Inhaber des Zertifikats erstellte Signatur handelt, sondern „nur“ um eine Signatur des Vertrauensdiensteanbieters.
Bekannt sind solche „Signaturen“ als Signaturkarten, sogenannte SEE Signaturerstellungseinheiten, die den Public Key, das Zertifikat und den mit einem 6-stelliger PIN geschützten Private Key des Karten-Eigentümers sowie einen Chip enthalten, in dem ein übergebener Hash mit dem freigeschalteten Private Key verschlüsselt wird und nach seiner Verschlüsselung an die aufrufende Instanz zurückgegeben wird.
Erstellt nun der Inhaber eines qualifizierten Zertifikats mit seinem Private Key eine Signatur OHNE qualifizierte Signaturerstellungseinheit, dann handelt es sich um eine fortgeschrittene elektronische Signatur auf Basis eines qualifizierten Zertifikats. Wahrscheinlich ist damit gemeint, dass die Signaturkarte in einem nicht-qualifizierten Kartenleser betrieben wird.
Erstellt nun der Inhaber eines qualifizierten Zertifikats mit seinem Private Key eine Signatur MIT einer qualifizierten Signaturerstellungseinheit, dann handelt es sich um eine qualifizierte elektronische Signatur (QES).
Elektronische Signaturen – man spricht an dieser Stelle besser von digitalen Signaturen, da es sich um einen technischen Aspekt handelt – enthalten verschiedene Information, u.a. den verschlüsselten Hashwert, den Public Key, um den Hashwert entschlüsseln zu können, Name des Signaturerstellers und weitere Informationen. Diese Signaturen haben bestimmte technische Formate, CAdES, XAdES, usw.
Die wesentliche Absicht der eIDAS Verordnung ist nun, dass im europäischen Raum zumindest die von öffentlichen Stellen verwendeten Signaturformate zum Einsatz kommen, um eine übergreifende Interoperabilität a) beim Validieren von Signaturen und damit b) bei der Authentifizierung von natürlichen und juristischen Personen anhand der signierten Zertifikate zu erreichen. Deshalb werden von der EU diese Formate auch in Form eines europäischen Durchführungsbeschlusses vorgeschrieben (am Ende):
http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32015D1506
Von einer Erleichterung im Sinne von Verzicht auf die QES kann also keine Rede sein, die Absicht ist vielmehr, fortgeschrittenen Signaturen auf Basis qualifizierter Zertifikate durch Vereinheitlichung der Formate zum Durchbruch zu verhelfen.
————————————
Auf Basis einheitlich signierter Zertifikate soll auch das LOGIN bei öffentlichen Diensten vereinfacht werden. Beim Login geht es vorwiegend um Authentifizierung von Personen auf Basis qualifizierter Zertifikate, weshalb man auch den belasteten Begriff „Elektronische Signaturen“ in den Hintergrund schiebt und nun die globaleren Themen „Elektronische Identifizierung“ (eID) und Vertrauensdienste, englisch „Trusted Services“ (TS) oder „Authority Services“ (AS) in den Vordergrund zieht.
————————————
In diesem Zusammenhang sind dann auch „Dienste für die Zustellung elektronischer Einschreiben“ (Art. 43 / 44 der Verordnung) zu verstehen.
————————————
Obwohl es mich nicht betrifft, habe ich das Grausen beim Artikel 34 bekommen, der anscheinend die sogenannte Nachsignierung regeln soll und nun unter der Flagge Bewahrung segelt. Aus meiner Sicht richtiger Zündstoff. Wenn ich den Artikel richtig verstehe, dann folgt aus Scannen mit QES in Zukunft qualifizierter Bewahrungsdienst:
Artikel 34
Qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen
(1) Ein qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen kann nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die Verfahren und Technologien verwenden, die es ermöglichen, die Vertrauenswürdigkeit der qualifizierten elektronischen Signatur über den Zeitraum ihrer technologischen Geltung hinaus zu verlängern.
(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für den qualifizierten Bewahrungsdienst für qualifizierte elektronische Signaturen festlegen. Bei Maßnahmen zu qualifizierten Bewahrungsdiensten für qualifizierte elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 40
Validierung und Bewahrung qualifizierter elektronischer Siegel
Die Artikel 32, 33 und 34 gelten sinngemäß für die Validierung und Bewahrung qualifizierter elektronischer Siegel.
————————————
Gemäß Abs. (56) der Eingangsbegründung müssen für QES anscheinend Signaturerstellungsanwendungen nicht zertifiziert werden, Hardware zur Verwaltung der Signaturerstellungseinheit (der Karte), also Kartenleser jedoch schon.
————————————
Abschließend sei erwähnt, dass die bisherige QES Technologie
a) Verwendung asymmetrischer Verschlüsselungsverfahren
b) Zuordnung der Schlüssel zu einer natürlichen Person mittels Zertifikat, woraus wiederum sowohl die Authentifizierung als auch die nachträgliche Identifizierung verbindlich abgeleitet wird,
keineswegs aufgegeben, sondern eher forciert wird.