19.06.2017

eIDAS 2/2

Innerstaatliche Auswirkungen der Umsetzung in Deutschland

eIDAS 2/2

Innerstaatliche Auswirkungen der Umsetzung in Deutschland

»eIDAS« steht für elektronische Identitäten und Authentifizierungs-Services. | © kebox - Fotolia
»eIDAS« steht für elektronische Identitäten und Authentifizierungs-Services. | © kebox - Fotolia

Nach dem Inkrafttreten der eIDAS-Verordnung (EU) Nr. 910/2014 am 1. Juli 2016 werden außer den legislativen auch wirtschaftliche Auswirkungen in Deutschland erwartet, teilweise sind sie bereits eingetreten. »eIDAS« steht für elektronische Identitäten und Authentifizierungs-Services, wozu Zertifikate, Zeitstempel, Siegel und andere Signaturen sowie die Signaturgeräte und die technische und definitorische Infrastruktur solcher Identifizierungsdienste gehören. Die Frage, was »Vertrauensdienste« überhaupt sind, wurde im ersten Artikel  zu diesem Themenkomplex am Beispiel des online-Banking ansatzweise beantwortet.

1.     Praktische Umsetzung der Verordnung und Zuständigkeiten

Die bundesdeutschen Zuständigkeiten für die Neuerungen aus der eIDAS-Verordnung sind bereits geregelt: die Bundesnetzagentur sorgt für die Konformität von Siegeln, Zeitstempeln und Signaturen, das Bundesamt für Sicherheit in der Informationstechnik (BSI) für SSL-Website-Zertifikate. Die Aufsichtsstellen und Zertifizierungsstellen sind an die Kommission gemeldet. Die ersten Verfahren sind ebenfalls in die Vertrauensliste aufgenommen, z.B. elektronischer Ausweis und DE-Mail. Die Bundesdruckerei hat eine 100%-Tochter D-Trust. Diese wird ab 2017 alle eIDAS-Standards einhalten und alle Dienste anbieten außer Einschreiben. Bereits jetzt wirbt sie mit Signaturen, Signaturkarten, persönlichen und Firmen-Identitätszertifikaten, Verschlüsselungstechnologie und Webserverzertifikaten. Andere deutsche Unternehmen sind aber auch bereits dabei, eIDAS-konforme Vertrauensdiente anzubieten. Künftig können und werden auch Banken eID-Provider sein, denn sie haben ihre Kunden bereits alle identifiziert. Das Vertrauensdienstegesetz (VDG) löst die bisherigen Regelungen zur digitalen Signatur (SigG und SigV) ab und soll 2017 in Kraft treten. Der erste Beitrag gab einen Überblick über geplante Neuregelungen und den Verfahrensstand. Hier folgt ein Bericht über die laut Vertrauensliste bereits am Markt befindlichen deutschen und assoziierten Anbieter sowie den Stand der deutschen Vertrauensliste nach Artikel 22 der Verordnung (EU) Nr. 910/2014.

2.     Erste Diensteangebote und Aufnahme in die deutsche Vertrauensliste

Das zentrale Dokument der EU ist die »list of the lists« unter der Adresse »https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml«. Die darin referenzierte deutsche Vertrauensliste »Trusted List« hat aktuell die Adresse »https://www.nrca-ds.de/st/TSL-XML.xml« und beinhaltet nach eigener Definition Angaben zu den qualifizierten Vertrauensdiensteanbietern, die vom ausstellenden Mitgliedstaat beaufsichtigt werden, sowie Angaben zu den von ihnen angebotenen qualifizierten Vertrauensdiensten gemäß der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG. Die Liste ist im Browser ohne Zusatzeinstellungen nicht ganz einfach zu lesen. Sie enthielt beim letzten Aufruf am 18.12.2016 unter anderem folgende Meldungen von Services:


2.1.     Staatliche Stellen und staatsnahe Unternehmen

Bundesagentur für Arbeit: Erzeugen und Signieren qualifizierter Zeitstempel in Übereinstimmung mit der lokal geltenden Rechtslage oder mit der EU-Verordnung Nr. 910/2014, je nachdem, welches Regime zur Zeit in Kraft ist. Operativ tätig ist hierbei das organisatorisch selbstständige IT-Systemhaus der Bundesagentur für Arbeit; die tatsächliche Kundschaft (»Bedarfsträger«) scheint auf Stellen der Arbeitsverwaltung beschränkt zu sein. Dennoch ist es sicher sinnvoll, die Infrastruktur dieser Verwaltungseinheit aus Zertifikaten, Signaturen und Zeitstempeln EU-weit als vertrauenswürdig in die Liste aufzunehmen.

Bundesnetzagentur: Nationale Zentralstelle (›root‹) zur Herausgabe von Zertifikaten für Root- Signaturdienste oder qualifizierter Zertifikate für Vertrauensdienste-Anbieter gemäß den Definitionen unter http://uri.etsi.org/TrstSvc/Svctype/NationalRootCA-QC/ in Übereinstimmung mit dem Europarecht. Und sie ist Herausgeberin der »Trusted List«, sogenannter TLIssuer. Zusätzlich ist sie amtliche Aufsichtsstelle als Regulierungsbehörde für Telekommunikation und Post.

Bundesnotarkammer: Registrierung und Zertifizierung von Identitäten inklusive der Erzeugung und des Managements privater Schlüssel und der Vorhaltung einer Infrastruktur zur Validierung der Gültigkeit der ausgegebenen Zertifikate; es soll eine vertrauenswürdige Zertifizierung der Identität der kammerangehörigen Notare auf der Basis EU-konformer digitaler Vertrauensdienste wie Identitäten-Management und Zeitstempel ermöglicht werden. Die Bundesrechtsanwaltskammer findet sich nicht auf der Vertrauensliste, denn die Signaturkarte für das besondere elektronische Anwaltspostfach »beA« und die »Bundesrechtsanwaltskammer Signaturkarte« werden im Auftrag der Rechtsanwaltskammer von der Bundesnotarkammer herausgegeben.

Die D-Trust GmbH, eine 100-prozentige Tochter der Bundesdruckerei, bietet im Zusammenhang mit dem Personalausweis eine Reihe von Vertrauensdiensten an, die bereits in der Vertrauensliste stehen. Sie ermöglicht eine digitale Signatur und bietet Hard- und Softwarekomponenten an, um elektronisch zu unterschreiben, zentral hierbei eine Chipkarte mit individuellem Personenzertifikat, Lesegeräte, SSL-Zertifikate, Gateway-Zertifikate, Zeitstempel, ein Signed Data Service und Software zum Authentisieren, Signieren und Verschlüsseln insbesondere von E-Mails.

Deutsche Telekom (Telesec): Sie bietet die Registrierung und Zertifizierung von digitalen Identitäten, die Erzeugung und das Management privater Schlüssel sowie eine Infrastruktur zur Validierung der Gültigkeit der ausgegebenen Zertifikate, die auf einer Signaturkarte verkörperlicht sind. Den ausgegebenen Zertifikaten ist jeweils ein Signaturerzeugungsgerät (SCD) zugeordnet, bei welchem der private Schlüssel EU-Rechts-konform im Gerät selbst abgespeichert ist.

Die Deutsche Rentenversicherung Bund und Rheinland finden sich ebenfalls als Anbieter in der Vertrauensliste. Die Rentenversicherung bietet eine Wurzelzertifizierung, qualifizierte Zertifikate zur Identifikation von Mitarbeitern, Serverzertifikate und Zeitstempel; allerdings datieren ihre neuesten Zertifikate von 2014 und die neuesten Certification Policies von 2011 unter http://www.deutsche-rentenversicherung.de/Bund/de/Inhalt/5_Services/05_fachinformationen/Trustcenter (aufgerufen am 23.1.2017).

2.2.     Private Unternehmen

Aus dem Bereich privater Unternehmen findet sich als erstes in der Vertrauensliste die DATEV e.G., der zentrale Dienstleister für Steuerberater in Deutschland. Sie bietet den genossenschaftlich verbundenen Berufsträgern die Registrierung und Zertifizierung ihrer digitalen Identitäten, die Erzeugung und das Management privater Schlüssel sowie eine Infrastruktur zur Validierung der Gültigkeit der ausgegebenen Zertifikate, die auf einer Signaturkarte verkörperlicht sind. Den Zertifikaten ist jeweils ein Signaturerzeugungsgerät zugeordnet, in dem der private Schlüssel gespeichert ist. Im Unterschied zum vorgenannten Gerät der Telesec ist das der DATEV aber nicht »qualifiziert« und erzeugt nur persönliche Signaturen, keine Siegel.

Folgt man dem Link aus der Vertrauensliste zum angebotenen Dienst, dann stellt sich heraus, dass der Vertrauensdienste-Markt für private Unternehmer zwischen den etablierten Angeboten staatlicher bzw. halbstaatlicher Stellen zum Start der Anwendung der eIDAS-Verordnung wenig Chancen auf Gewinn zu versprechen scheint. Denn dort steht mit Datum vom 11.11.2016, dass die DATEV die zertifizierte Signaturkarte für Berufsträger zum 31.03.2017 einstellt. Es werden keine neuen Signaturkarten mehr ausgegeben. Bestehende Karten können bis zum 31.03.2017 uneingeschränkt weitergenutzt werden. Für neue Karten wird verwiesen auf die Internetseiten der bereits oben erwähnten Bundesnetzagentur und D-Trust.

Auch die Firma openlimit.com unterstützt ihre Signatursoftware CCSign augenscheinlich nur noch bis zum Ende der Übergangszeit der eIDAS-Verordnung am 30.6.2017: https://www.openlimit.com/de/produkte/cc-sign/aktuelles.html (aufgerufen am 23.1.2017). Sie ist auch nicht in der Vertrauensliste enthalten. Die Signaturservices von secrypt.de (digiseal) sind laut deren Homepage zwar »eIDAS-ready«, tauchten aber im Herbst 2016 in der Vertrauensliste noch nicht auf. Die von intarsys.de angebotenen umfassenden Vertrauensdienste basieren derzeit auf Smartcards und auf Lösungen der Telesec. Die Produkte dieser Firma tauchen ebenfalls nicht in der deutschen Vertrauensliste auf. Unter dem Stichwort »Fernsignatur nach EU VO eIDAS« bietet sie lediglich die Vermittlung zu einer eIDAS-konformen Fernsignatur der swisscom an, die für das rechtssichere Signieren mit Smartphones geeignet ist.

Als Zertifikateanbieter ist auch die Firma TC TrustCenter GmbH aus Mainz in der Vertrauensliste aufgeführt. Allerdings steht unter der angegebenen Internet-Domain www.trustcenter.de Ende 2016 nur noch Folgendes: »Die Produkte und Services der TC TrustCenter GmbH stehen nicht mehr zur Verfügung.« und man möge sich an den telefonischen Support von Symantec TC TrustCenter wenden. In der Vertrauensliste taucht weiterhin die Deutscher Sparkassen Verlag GmbH auf, mit Zertifizierungs- und Identifizierungsdiensten, die aber praktisch nicht mehr von dieser Firma verantwortet werden, sondern für welche die Bundesnetzagentur als neue Verwalterin (»taken over by«) angezeigt wird. Folgt man den entsprechenden Links, stößt man auf die Seite https://www.nrca-ds.de/en/repository_e.htm der Bundesnetzagentur, die (aufgerufen am 23.1.2017) besagt, dass sie Zertifikate folgender Unternehmen weiter verwaltet, welche ihre eigenen Vertrauensdienste in den Jahren 2013 bis 2016 eingestellt haben: TC Trustcenter GmbH, Deutsche Post Com GmbH, Deutsche Post Signtrust und DMDA GmbH, Deutscher Sparkassen Verlag GmbH. – Goldgräberstimmung sieht anders aus.

Die Firma Exceet Secure Solutions GmbH als Tochter der schweizerischen Exceet AG Mitglied der Exceet Group SE, die als Winter AG die deutsche elektronische Gesundheitskarte für die Gematik GmbH realisiert hat, bietet als eIDAS-konformen Vertrauensdienst die Erzeugung, den Abruf und die Überprüfung qualifizierter Zeitstempel an, hält eine entsprechende Hochverfügbarkeitsinfrastruktur als Cloud-Service vor und ist in der Vertrauensliste enthalten.

Im Auftrag der medisign GmbH stellt die DGN Deutsches Gesundheitsnetz Service GmbH für Ärzte, Zahnärzte und Psychotherapeuten eine kartengebundene Infrastruktur mit persönlich identifizierenden Zertifikaten, Signaturmöglichkeiten und Zeitstempeln zur Verfügung, welche als Vertrauensdienste in der Vertrauensliste aufgeführt sind.

1&1 De-Mail GmbH, GMX EU-Mail, 1&1 EU-Mail und web.de EU-Mail sind als Töchter der United Internet AG zusammengefasst in der Vertrauensliste aufgeführt als Provider für einen qualifizierten und der eIDAS-Verordnung in der jeweiligen Fassung entsprechenden registrierten E-Mail-Zustellungsdienst. Gesondert aufgeführt ist für einen solchen E-Mail-Zustellungsdienst noch die Firma Mentana Claimsoft, die als Tochtergesellschaft der Francotyp Postalia AG neben der Telekom AG und der United Internet AG für das DE-Mail-System akkreditiert wurde. Ihr Produkt ist unter der Adresse https://www.FP-DEMAIL.de (aufgerufen am 23.01.2017) beschrieben. De-Mail-Anbieter müssen derzeit hinsichtlich der Konformität noch Unterschiede von De-Mail zu eIDAS beachten, laut Norbert Pohlmann insbesondere:

  • Bei De-Mail versehe nach § 5 Absatz 7 De-Mail-Gesetz (De-Mail-G) immer der akkreditierte Anbieter selbst die Nachrichten mit einer qualifizierten Signatur. Es sei also nur eine Art der Fernsignatur zulässig.
  • Überall, wo in der eIDAS-Verordnung qualifizierte Zeitstempel vorgesehen seien, benutze De-Mail Prüfsummen und qualifizierte Signaturen.
  • 5 Absatz 3 Satz 1 De-Mail-G schreibe zwingend eine Transportverschlüsselung zwischen den Anbietern vor.
  • 8 De-Mail-G überlasse es den Anbietern, eine sichere Dokumentenablage anzubieten.

De-Mail ist aktuell demnach nicht vollständig eIDAS-konform (http://norbert-pohlmann.com/app/uploads/2015/11/336-Der-Aufschwung-der-Vertrauensdienste-Verordnung-%C3%BCber-elektronische-Identifizierung-und-Vertrauensdienste-f%C3%BCr-elektronische-Transaktionen-im-Binnenmarkt-%E2%80%93-eIDAS-Prof-Norbert-Pohlmann.pdf, insb. S. 53). Laut einem Zwischenbericht der Bundesregierung soll De-Mail aber ab Geltung der Regelungen zu elektronischen Zustelldiensten den Anforderungen der eIDAS-Verordnung entsprechen und auf dieser Grundlage mit elektronischen Zustelldiensten anderer Mitgliedstaaten interoperabel werden (BT-Drs. 18/4042, http://dip21.bundestag.de/dip21/btd/18/040/1804042.pdf, aufgerufen am 23.01.2017).).

3.     Ausblick

Nicht nur legislativ, sondern auch in der direkten wirtschaftlichen Betätigung ist derzeit Bewegung zu verzeichnen. Es ist zu vermuten, dass auch in den nächsten Jahren noch viel Bewegung folgen wird. Offenbar erscheinen aber die prozeduralen Hürden noch immer so hoch, dass einige nichtstaatliche Mitbewerber bereits wieder ausgestiegen sind.

 

Anmerkung der Redaktion: Siehe hierzu auch Symposium: Die Umsetzung der eIDAS-Verordnung in Deutschland – ein Update (rechtlich und technisch) am 22.06.2017 in Berlin:

https://www.edvgt.de/veranstaltung/symposium-die-umsetzung-der-eidas-verordnung-in-deutschland-ein-update-rechtlich-und-technisch-am-22-06-2017-in-berlin/

 

Dr. Alexander Konzelmann

Leiter der Boorberg Rechtsdatenbanken RDB, Stuttgart
n/a