WHITEPAPER
5 x 5 – die 25 wichtigsten Fragen und Antworten rund um eIDAS Die EU-Verordnung kompakt und verständlich erklärt
Sichere Organisation
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Management Summary Die Etablierung eines global wettbewerbsfähigen digitalen Binnenmarkts gehört zu den wichtigsten Zukunftsprojekten der Europäischen Union. Ein Binnenmarkt, in dem Unternehmen und Verbraucher grenzübergreifend Online-Handel mit Waren und Dienstleistungen betreiben, ungeachtet ihrer Staatsangehörigkeit und ihres Wohn- und Geschäftssitzes. Die geschätzten Impulse für Wachstum und Beschäftigung sind enorm und ziehen sich durch alle Branchen. Damit Europa in Zukunft zu den Vorreitern der Digitalwirtschaft zählt, muss es jedoch sein Potenzial besser nutzen. Obwohl weit mehr als 300 Millionen EU-Bürger jeden Tag online sind, machen die digitalen Märkte oft an den nationalen Grenzen Halt. Ein wichtiger Schritt auf dem Weg zum digitalen Binnenmarkt ist die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“, kurz eIDAS, die seit 1. Juli 2016 im gesamten EU-Raum Anwendung findet. Sie sorgt für sichere und vertrauenswürdige digitale Transaktionen und elektronische Identifizierung zwischen Unternehmen, Behörden und Bürgern. Sie ist das Fundament, auf dem sich der digitale EU-Binnenmarkt erfolgreich entwickeln kann. Gleichzeitig hilft sie dem Unternehmenssektor und öffentlichen Verwaltungen bei der Herausforderung der digitalen Transformation. Sie fördert nicht nur die Digitalisierung von Geschäftsprozessen mit der Perspektive höherer Effizienz, sinkender Kosten und verbesserter Kundenzufriedenheit, sondern auch die Digitalisierung von ganzen Wertschöpfungsketten und Geschäftsmodellen. Umso wichtiger ist es, sich intensiv mit der eIDAS-Verordnung zu beschäftigen. Das vorliegende Whitepaper der Bundesdruckerei beantwortet die wichtigsten 25 Fragen rund um die eIDAS-Verordnung – kompakt, verständlich und auf den Punkt gebracht. Somit bietet es die notwendige Wissensgrundlage, die Unternehmen, Behörden und Bürger dazu befähigt, die Chancen des digitalen EU-Binnenmarkts zu ergreifen. Und wer sich detaillierter und ausführlicher über die eIDAS-Verordnung informieren möchte, kann auf ein weiteres Whitepaper der Bundesdruckerei zurückgreifen: 1 – Whitepaper eIDAS:
„Die eIDAS-Verordnung – die Basis für ein starkes digitales Europa“.1
www.bundesdruckerei.de/ digitalisierung/whitepapers/ whitepaper-eIDAS
2
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
1 Frage 1
Die Grundlagen Welches Ziel verfolgt die eIDAS-Verordnung? Ziel der eIDAS-Verordnung ist es, sichere elektronische Transaktionen und Interaktionen im gesamten EU-Raum zu ermöglichen. Um dies zu erreichen, misst eIDAS den Themen Rechtssicherheit und Vertrauensbildung eine große Bedeutung zu und schafft die technischen Voraussetzungen für einen grenzüberschreitenden Einsatz. Die Verordnung definiert dafür einen einheitlichen, europaweit gültigen Rechtsrahmen und vereinfacht bestehende Vorschriften und Verfahren. Dabei verfolgt sie einen für Innovationen offenen Ansatz und ist technologieneutral.
Frage 2
Welche inhaltlichen Schwerpunkte setzt eIDAS? Die EU-Verordnung widmet sich zwei Bereichen: der elektronischen Identifizierung sowie den sogenannten Vertrauensdiensten, die gemäß eIDAS ein einheitliches Sicherheitsniveau in ganz Europa besitzen. Zu den Vertrauensdiensten gehören elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Zustell- und Bewahrungsdienste sowie Zertifikate für die Website-Authentifizierung. Zu den eIDAS-Identifizierungsmitteln zählen zum Beispiel elektronische Ausweise, wie der deutsche Personalausweis mit Online-Ausweisfunktion, oder Bank-, Sozialversicherungs- und Gesundheitskarten.
Elektronische Identifizierung
Elektronische Vertrauensdienste
→ Elektronische
→ Elektronische Signaturen → Elektronische Siegel → Elektronische Zeitstempel → Elektronische Einschreib- und
Identifizierungsmittel
→ Elektronische Identifizierungssysteme
Zustelldienste
→ Elektronische Validierungsdienste → Elektronische Bewahrungsdienste → Website-Authentifizierungsdienste
3
Jetzt wird Europa wirklich digital Am 1. Juli 2016 beginnt im digitalen Europa eine neue Ära: Auf Basis der eIDAS-Verordnung der EU ist es erstmals möglich, digitale Vertrauensdienste grenzübergreifend und nach einheitlichen europäischen Standards anzubieten. Das bietet große Vorteile für Bürger und Unternehmen sowie gigantische wirtschaftliche Potenziale.
EUROPA NUTZT SEIN DIGITALES POTENZIAL NOCH NICHT AUS
71 %
86 % Weit mehr als
300 Mio. der EU-Bürger haben einen Breitband-Internetanschluss
50 %
Aber nur der Internetnutzer, die Dienstleistungen einer Behörde benötigen, erhalten diese online
der EU-Bürger können schnelles mobiles Internet (4G) nutzen
EU-Bürger sind jeden Tag online
38 %
Und nur der Konsumenten in der EU haben Vertrauen in grenzüberschreitende Online-Transaktionen
eIDAS BRINGT DEUTLICHE VERBESSERUNGEN FÜR DIGITALE TRANSAKTIONEN ... Gegenseitige Anerkennung von Methoden zur digitalen Authentifizierung
Sicherere elektronische Prozesse durch EU-weit anerkannte vertrauenswürdige Identifizierung
Harmonisierung von allen nationalen Einzelmärkten in der EU
Sichere digitale Unterschrift mit Smartphone oder Tablet (Fernsignatur)
1
= 1 Mio.
... UND FÜHRT ZU WIRTSCHAFTLICHEM WACHSTUM Potenziell
415 Mrd. €
zusätzliche Wirtschaftsleistung Bis zu
3,8 Mio.
zusätzliche Arbeitsplätze
MIT LÖSUNGEN DER BUNDESDRUCKEREI ALLE VORTEILE VON eIDAS NUTZEN Beispiel Online-Kreditantrag: Kunden können dank sign-me grenzüberschreitend Verträge rechtssicher abschließen – vollständig digital und ganz ohne Papier. Das spart Zeit und Kosten auf beiden Seiten.
AB 07/2016 EU-WEITE VERTR AU ENSDIEN STE MÖGLICH
Kunde
Einloggen mit eID/Identifikation
Antrag online unterzeichnen mit Smartphone oder Tablet, ohne Signaturkarte und Lesegerät
Antragseingang mit digitalem Zeitstempel
Finanzierungspartner
Antrag elektronisch senden
Vertrag elektronisch zustellen
Vorgang digital archivieren
Antrag wird elektronisch gesiegelt
Sie wollen mit Ihrem Unternehmen von eIDAS profitieren? Dann melden Sie sich bei uns unter
[email protected]
Quellen: Europäische Kommission, Bundesdruckerei GmbH
Website-Authentifizierung
BUNDESDRUCKEREI WHITEPAPER
Frage 3
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Mit welchen Mitteln will die EU-Verordnung ihr Ziel erreichen? Zentrale Instrumente von eIDAS sind die gegenseitige Anerkennung der nationalen elektronischen Identifizierungssysteme – zum Beispiel die Nutzung der Online-Funktion des deutschen Personalausweises in einer Online-Anwendung in Belgien – sowie die Harmonisierung elektronischer Signaturen und anderer Vertrauensdienste. Diese können künftig unter einheitlichen Standards über Ländergrenzen hinweg effizient genutzt werden. Zudem haben sie die gleiche Rechtswirkung wie die persönlichen Unterschrift auf dem Papier. Neue, einfach zu handhabende eIDAS-Dienste, wie die mobile Signatur oder das elektronische Siegel als „Online-Stempel“ für Organisationen und Verwaltung, machen eine vertrauenswürdige elektronische Kommunikation so einfach wie nie zuvor.
Frage 4
Welcher zeitliche Rahmen ist zu beachten? Die eIDAS-Verordnung ist seit dem 17. September 2014 geltendes Recht in allen Mitgliedsstaaten. Die praktische Umsetzung findet seit dem 1. Juli 2016 statt, seit diesem Datum können entsprechende Produkte und Dienstleistungen angeboten werden. Gleichzeitig wurde die EU-Signaturrichtlinie (1999/93/EG) durch eIDAS ersetzt. Das deutsche Signaturgesetz soll nach den Plänen des Bundesministeriums für Wirtschaft und Energie bis Ende 2016 von einem neuen Vertrauensdienstegesetz abgelöst werden.
Frage 5
Wer sorgt für die Einhaltung der eIDAS-Bestimmungen? Wer Vertrauensdienste mit den höchsten Qualitätsmerkmalen anbieten will, muss sich dafür qualifizieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verleiht den entsprechenden Qualifikationsstatus bei Zertifikaten für die Website-Authentifizierung. Wer andere Vertrauensdienste anbieten möchte, muss von der Bundesnetzagentur als „qualifiziert“ anerkannt werden. Beide Bundesbehörden fungieren damit als oberste Aufsichtsstellen für die Umsetzung der eIDAS-Verordnung in Deutschland. Bevor aber die Aufsichtsstellen den begehrten Status verleihen, müssen die Details der korrekten Umsetzung der eIDAS-Anforderungen durch sogenannte Konformitätsbewertungsstellen (z. B. TÜV-iT) bestätigt werden.
5
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
2 Frage 6
Sich elektronisch ausweisen Was will eIDAS bei der elektronischen Identifizierung (eID) erreichen? Die eIDAS-Verordnung strebt den EU-weiten Einsatz bestehender und zukünftiger elektronischer Identifizierungssysteme an. Mit diesen eID-Systemen (in Deutschland der Personalausweis mit Online-Ausweisfunktion) können sich Anwender dann europaweit elektronisch ausweisen. Dadurch soll die Abwicklung von Dienstleistungen staatlicher Stellen – zum Beispiel Verwaltungen, Sozialversicherungen und Gesundheitswesen – auf europäischer Ebene erheblich vereinfacht werden.
Frage 7
Wie sieht die praktische Umsetzung aus? Die grenzüberschreitende Identifizierung nach eIDAS basiert auf der gegenseitigen Anerkennung der verschiedenen nationalen eID-Systeme. Dafür ist ein Mindestdatensatz notwendig, darunter Familienname, Vorname, Geburtsdatum und Pseudonym.
Die EU-Mitgliedsstaaten sind aufgefordert, sich bei der EU-Kommission bestätigen zu lassen, dass ihre jeweiligen eID-Systeme mit den eIDAS-Anforderungen konform sind. Dieser Prozess wird als Notifizierung bezeichnet. Bei erfolgreichem Abschluss müssen die notifizierten eID-Systeme von den anderen Mitgliedsstaaten verbindlich anerkannt werden.
Frage 8
Welche Möglichkeiten bietet die eID-Funktion für Unternehmen? Die Verpflichtung zur gegenseitigen Anerkennung der eID-Systeme im EU-Raum beschränkt sich auf Online-Dienste öffentlicher Verwaltungen. Unternehmen können diese Verpflichtung aber freiwillig übernehmen. Das betrifft besonders Firmen, die im Internethandel aktiv sind, die schon jetzt viele Online-Kunden in anderen EU-Ländern haben und bei denen aufgrund der gehandelten Werte eine sichere Identifizierung der Kunden ratsam erscheint. Interessant sind eIDSysteme auch für Banken und Versicherungen, die papiergestützte Identifizierungsverfahren – wie PostIdent – komplett ersetzen können. Die Vorteile sind Zeit- und Kostenersparnis sowie aufgrund der komfortableren Handhabung eine steigende Zahl von Vertragsabschlüssen.
6
BUNDESDRUCKEREI WHITEPAPER
Frage 9
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Was bedeutet das alles für die eID-Funktion des Personalausweises? Die Online-Ausweisfunktion des Personalausweises bietet unter allen eID-Systemen das höchste Vertrauensniveau. Das bedeutet einerseits, dass die geplante Notifizierung aus technischer Sicht ohne zusätzlichen Aufwand durchführbar ist. Andererseits wird durch eIDAS die Attraktivität der eID-Funktion des Personalausweises gesteigert. Deutsche Bürger können ihre eID-Funktion zukünftig auch für Verwaltungsdienstleistungen in anderen EU-Ländern nutzen.
Frage 10
Welchen Zeitablauf sieht die EU-Verordnung für die gegenseitige Anerkennung der eID-Systeme vor? Seit September 2015 ist die Notifizierung von eID-Systemen möglich. Das Deutsche Bundesministerium des Innern plant zeitnah, die Online-Ausweisfunktion des Personalausweises und des elektronischen Aufenthaltstitels zu notifizieren. Meilenstein für die öffentliche Verwaltung ist der 18. September 2018. Bis dahin müssen deutsche Behörden die technischen Voraussetzungen dafür geschaffen haben, dass sich EU-Bürger gegenüber deutschen Verwaltungsdienstleistungen mit ihrer jeweiligen eID identifizieren können.
Fahrplan der eIDAS-Verordnung 2014
2015
2016
2017
2018
17.09.2014
Seit Sept. 2015
2016/2017
18.09.2018
eIDAS-Verordnung tritt in Kraft
Notifizierung von eIDSystemen möglich
Novellierung PAuswG und anderer Gesetze
Pflicht zur Anerkennung notifizierter eID-Systeme
Februar 2015
18.09.2015
Sept./Nov. 2015
Ab 18.09.2016
Verabschiedung Durchführungsbeschluss zu Verfahrensmodalitäten
Freiwillige Anerkennung notifizierter eID-Systeme
Verabschiedung weiterer Durchführungsrechtsakte für den Bereich eID
Veröffentlichung der notifizierten elektronischen Identifizierungssysteme im Amtsblatt der EU
7
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
3
Frage 11
Elektronisch unterschreiben und siegeln – die sichere Website erkennen Welche Neuerungen sieht eIDAS für die elektronische Signatur vor? Die eIDAS-Verordnung vereinfacht bestehende Signaturverfahren mit der Einführung einer sogenannten Fernsignatur. Die elektronische Unterschrift lässt sich ohne Signaturkarte und Lesegerät auslösen, zum Beispiel auch über mobile Endgeräte wie Smartphones oder Tablets. Bei diesem neuen Verfahren werden die geheimen Signaturschlüssel auf sicheren Servern eines qualifizierten Vertrauensdiensteanbieters (bisher: Trustcenter) gespeichert. Die Vergabe der Signatur erfolgt über eine Zwei-Faktor-Authentifizierung. Das können neben der Eingabe von Benutzername und Passwort zum Beispiel biometrische Merkmale oder eine TAN-SMS auf dem Mobiltelefon sein.
Die Fernsignatur im praktischen Einsatz Anwender
(beispielhaft ausgelöst am Mobiltelefon)
Vertrauensdiensteanbieter
Authentifiziert sich für die Fernsignatur
Sendet Code zum Auslösen der
beim Vertrauensdiensteanbieter.
Fernsignatur auf Mobiltelefon des Anwenders.
Löst Fernsignatur beim Vertrauens-
Gibt Signaturzertifikat nach Empfang
diensteanbieter über Codeeingabe
des Codes des Anwenders für die
am Tablet oder PC aus.
Fernsignatur frei. Der zweite Faktor kann z. B. auch ein biometrisches Merkmal oder die Online-Funktion des Personalausweises sein.
8
BUNDESDRUCKEREI WHITEPAPER
Frage 12
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Was ist das neue elektronische Siegel? Das elektronische Siegel führt das Behördensiegel und den Firmenstempel ins Internetzeitalter. Es stellt den Ursprung und die Unversehrtheit von elektronischen Daten sicher und ist nicht personenbezogen, sondern auf eine Organisation ausgestellt. Wenn eine Behörde oder ein Unternehmen ein digitales Dokument elektronisch siegelt, so identifiziert es sich eindeutig als Absender und schützt die Daten gleichzeitig vor unbemerkten Veränderungen.
Frage 13
Für wen sind elektronische Siegel interessant und wie werden sie aufgebracht? Elektronische Siegel bieten große Chancen für Behörden, aber auch für Unternehmen. Sie ermöglichen erstmals elektronische Abläufe für Verfahren, die bisher an die Papierform gebunden waren. Weiterhin stellen sie elektronische Prozesse, die eine Sicherung des Dokuments voraussetzen, auf eine verlässliche Basis. Typische Anwendungsbeispiele für elektronische Siegel sind Behördenbescheide jeglicher Art, Urkunden, Zeugnisse oder Internetbekanntmachungen. Aber auch das privatwirtschaftliche Umfeld profitiert von Siegelanwendungen – zum Beispiel in der Angebotserstellung, als E-Mail-Signatur, im Softwareschutz oder bei der elektronischen Archivierung. Das Aufbringen des elektronischen Siegels erfolgt entweder über eine Siegelkarte und ein dazugehöriges Lesegerät oder – analog zur digitalen Unterschrift via Fernsignatur – über den Siegelserver eines Vertrauensdiensteanbieters.
Frage 14
Wird das elektronische Siegel die Signatur ersetzen? Nein, das elektronische Siegel macht die digitale Signatur weder überflüssig, noch wird es diese ersetzen. Vielmehr ergänzen sich beide Verfahren perfekt. Während elektronische Signaturen an Einzelpersonen gebunden sind und mit ihnen eine Willenserklärung abgegeben wird, dienen elektronische Siegel als Herkunftsnachweis und als Schutzfunktion für digitale Dokumente. Sie sind immer organisationsbezogen.
Frage 15
Wie verbessert eIDAS die Vertrauenswürdigkeit von Websites? Website-Authentifizierungsdienste geben dem Besucher die Sicherheit, dass hinter der Website eine echte und vertrauenswürdige Einrichtung steht. Sie basieren auf einem qualifizierten Zertifikat, das eine Person oder Organisation mit einer Website (inklusive URL-Adresse) verknüpft. Das Zertifikat enthält wichtige Angaben zur Identitätsfeststellung, darunter Name und Adresse des Betreibers sowie die auf ihn registrierten Domain-Namen. Auf diese Weise wird die Gefahr von Phishing-Angriffen deutlich reduziert.
9
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
4 Frage 16
Der Diensteanbieter meines Vertrauens Wo erhalte ich die eIDAS-konformen Vertrauensdienste? Bei vertrauenswürdigen und kompetenten Diensteanbietern. Wichtig: Die eIDAS-Verordnung unterscheidet zwischen Vertrauensdiensteanbietern und qualifizierten Vertrauensdiensteanbietern. Nur Letztere haben ein europaweit einheitliches Sicherheitsniveau und erfüllen die verschärften Anforderungen der Verordnung an Sicherheit und Haftung. Es empfiehlt sich daher, Produkte und Lösungen in erster Linie von qualifizierten Vertrauensdiensteanbietern zu beziehen.
Frage 17
Welche verschärften Sicherheitsanforderungen sind das? Die Sicherheitsanforderungen beinhalten unter anderem die Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden, die Gewährleistung von Datenschutz und Datensicherheit sowie den Einsatz vertrauenswürdiger IT-Systeme und IT-Infrastrukturen. Zudem muss sich der qualifizierte Vertrauensdiensteanbieter mindestens alle 24 Monate einer umfangreichen Prüfung unterziehen. Dabei wird untersucht, ob er die in der EU-Verordnung festgelegten Sicherheitsanforderungen erfüllt und die zugrunde liegenden Standards und Normen erfolgreich anwendet.
Frage 18
Wer haftet bei Sicherheitsvorfällen? Alle Vertrauensdiensteanbieter haften für vorsätzlich oder fahrlässig zugefügte Schäden, die durch ihre Arbeit entstehen. Bei qualifizierten Vertrauensdiensteanbietern wird bei Schäden grundsätzlich von Vorsatz oder Fahrlässigkeit ausgegangen, es sei denn, sie können das Gegenteil beweisen.
Frage 19
Wie kann man Vertrauensdienste nutzen? Der Grundsatz lautet: Einmal identifizieren und dann beliebige Vertrauensdienste nutzen. Hat man sich zum Beispiel durch den Einsatz der Online-Funktion des Personalausweises beim Vertrauensdiensteanbieter sicher identifiziert, lassen sich alle verfügbaren Dienste ohne erneute Identitätsprüfung beantragen.
Frage 20
Wie erkenne ich qualifizierte Vertrauensdiensteanbieter? Sie sind in öffentlich einsehbaren nationalen Vertrauenslisten verzeichnet. Die Vertrauensliste für Deutschland
2 – Vertrauensliste
befindet sich auf der Website der Bundesnetzagentur2.
Bundesnetzagentur
Zudem sind qualifizierte Vertrauensdiensteanbieter an
www.nrca-ds.de/ZDAliste.htm
dem EU-Vertrauenssiegel erkennbar.
10
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
5
Vorteile und Anwendungsmöglichkeiten
Frage 21
Auf welche Branchen und Geschäftsprozesse wirkt sich eIDAS positiv aus? Die Mehrwerte und Nutzeneffekte der eIDAS-Verordnung ziehen sich durch alle Branchen und Workflows. Die wichtigsten Vorteile sind schnellere Prozessdurchlaufzeiten und digitale Geschäftsabschlüsse in Echtzeit, eine schnellere Reaktion auf Kundenanfragen sowie deutliche Kosteneinsparungen. Weiterhin unterstützt eIDAS bei der Anpassung bestehender und bei der Entwicklung ganz neuer onlinebasierter Produkte und Dienste. Dies stärkt die Wettbewerbsfähigkeit europäischer Banken, Versicherungen, Behörden und Unternehmen.
Frage 22
Wie profitieren Banken und Versicherungen von eIDAS? Banken können zum Beispiel Online-Kredite in durchgängigen digitalen Workflows vergeben. Das beginnt mit dem Nachweis der elektronischen Identität, umfasst die digital geleistete Unterschrift und endet bei der gesiegelten Kreditbescheinigung. Versicherungen sind in der Lage, neben formfreien Vorgängen auch Geschäftsprozesse mit Schriftformerfordernis komplett elektronisch durchzuführen. Das betrifft im Besonderen alle Anträge, die Gesundheitsfragen enthalten, etwa bei Policen für Lebensversicherungen oder private Krankenversicherungen. Weitere Anwendungsbereiche sind gesetzlich vorgeschriebene Beratungsprotokolle und Schadensmeldungen, die ebenfalls elektronisch unterschrieben werden müssen.
Frage 23
Welche Rolle spielt eIDAS im Unternehmenssektor? Mithilfe von eIDAS lässt sich eine der größten Hürden für ganzheitliche elektronische Geschäftsprozesse überwinden: die elektronische Unterschrift auf Verträgen und vertraulichen Vereinbarungen. Für das digitale Vertragsmanagement sind verschiedene eIDAS-konforme Dienste nutzbar: von der Angebotserstellung mit elektronischem Siegel als Pendant zum Firmenstempel über die digitale Vertragsunterschrift bis hin zur gesiegelten Auftragserteilung. Großes Nutzenpotenzial entfaltet eIDAS auch im Bereich Dokumenten- und Archivmanagement. Dort stellen elektronische Siegel sicher, dass Papierdokumente, für die eine Aufbewahrungspflicht besteht, beim Scannen komplett und inhaltlich unverändert erfasst und langfristig vor Manipulationen geschützt werden.
11
BUNDESDRUCKEREI WHITEPAPER
Frage 24
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Wie fördert eIDAS den Online-Handel? Die elektronische Identifizierung und eIDAS-konforme Dienste verleihen dem europäischen Internethandel neuen Schwung. Das gilt zum Beispiel für Firmen, die ihren Absatz im EU-Ausland steigern wollen und bei denen aufgrund des gehandelten Warenwerts eine sichere Identifizierung der Kunden notwendig ist. Zu einem Anstieg des Vertrauens im Online-Handel führt zudem der Einsatz elektronischer Siegel. Vertrauenswürdige Unternehmen siegeln ihren elektronischen Geschäftsverkehr, so dass Verbraucher sofort erkennen können, dass die zugesandte Rechnung oder Mahnung echt und keine Phishing-E-Mail ist.
Frage 25
Wie unterstützt eIDAS die digitale Verwaltung? Elektronische Siegel ermöglichen es, mehr behördliche Bescheide digital zu verschicken als bisher. Denn zum Erlass von Verwaltungsakten gehört es, dass die ausstellende Behörde eindeutig zu erkennen ist. Speziell bei Massenverfahren wie dem Versand von Steuer- oder Rentenbescheiden ergibt sich ein großes Einsparpotenzial. Elektronische Siegel stellen zusätzlich die Unversehrtheit von elektronischen Daten sicher, ein wichtiges Merkmal für den digitalen Versand von Urkunden und Zeugnissen oder für öffentliche Bekanntmachungen im Internet. Große Einsatzgebiete liegen daher bei Standesämtern, Schulen und Universitäten sowie kommunalen Verwaltungen. Die positiven Auswirkungen der eIDAS-Verordnung auf öffentliche Ausschreibungen betreffen den gesamten Arbeitsablauf.
Europaweite öffentliche Ausschreibung im Zeitalter von eIDAS
WebsiteAuthentifizierung
Ein elektronischer Zustelldienst stellt die Übergabe der Unterlagen an die Behörde sicher
Elektronische Identifizierung des teilnehmenden Unternehmens, beispielsweise mit einer eID-Card
Ein Zeitstempel beweist die rechtzeitige Abgabe der Ausschreibungsunterlagen
Elektronische Validierungs- und Bewahrungsdienste bestätigen den Eingang der Unterlagen und sorgen für eine sichere Archivierung
Erstellung der Ausschreibungsunterlagen
Elektronische Unterschrift durch einen zeichnungsberechtigten Mitarbeiter des Unternehmens Ein elektronisches Siegel bestätigt den Ursprung und die Unversehrtheit der Dokumente
12
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Mit der Bundesdruckerei in fünf Schritten eIDAS optimal nutzen Schritt 1
Geschäftsprozesse auf eIDAS-Potenziale hin analysieren Die eIDAS-Verordnung bietet eine Vielzahl von Möglichkeiten, elektronische Transaktionen und Interaktionen zu intensivieren und durchgängige elektronische Workflows zu etablieren. Diese Optimierungsmöglichkeiten gilt es in einem ersten Schritt zu identifizieren. Dabei werden die Geschäftsprozesse hinsichtlich bestehender Hemmnisse und Barrieren für den elektronischen Geschäftsverkehr analysiert. Folgende Fragen können für Sie dabei wichtig sein:
→ Gibt es Abläufe, die eine gesetzlich vorgeschriebene Schriftform erfordern und daher bisher papiergestützt durchgeführt wurden?
→ Verfügen Sie über große Papierarchive für aufbewahrungspflichtige Dokumente und haben Sie bisher gezögert, diese zu digitalisieren?
→ Suchen Sie nach neuen Möglichkeiten, den Ursprung und die Unversehrtheit Ihrer Dokumente mit weniger Kosten und geringem Aufwand sicherzustellen?
→ Sollen Ihre Kunden gleich erkennen, von wem die zugestellten elektronischen Dokumente stammen?
→ Ist die Vertrauenswürdigkeit Ihrer Website besonders wichtig? Die Antworten auf diese Fragen liefern Ihnen wertvolle Hinweise dazu, welche eIDAS-konformen Dienste für Sie in Frage kommen.
Schritt 2
Externe Unterstützung in Anspruch nehmen Die Regelungen und Bestimmungen der eIDAS-Verordnung sind umfangreich und betreffen die unterschiedlichsten Bereiche eines Unternehmens oder einer Behörde. Daraus entstehen oftmals komplexe Aufgaben, die überfordern können. Das trifft im Besonderen auf kleine und mittelständische Unternehmen sowie kommunale Behörden zu. Externe Berater und Dienstleister helfen bei der Erarbeitung einer eIDAS-Strategie und unterstützen bei der Umsetzung mit kosteneffizienten Lösungen. Die Bundesdruckerei steht für Beratung auf Augenhöhe. Das Unternehmen kennt aus eigener Erfahrung die großen Herausforderungen bei der Digitalisierung und weiß, wie diese zu meistern sind. Die Bundesdruckerei lebt das Motto ihrer Beratungsphilosophie selbst: „Digital werden. Sicher bleiben“. Die Beratung kommt also immer aus der Praxis für die Praxis.
13
BUNDESDRUCKEREI WHITEPAPER
Schritt 3
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Den richtigen Partner finden Entscheidend für den Erfolg von eIDAS ist das Vertrauen der Anwender in die Sicherheit und einfache Nutzung der angebotenen Lösungen. Vertrauenswürdige Partner erfüllen deshalb hohe Sicherheitsanforderungen und gestalten gleichzeitig die Lösungen benutzerfreundlich und praxisorientiert. Dies ist bei qualifizierten Vertrauensdiensteanbietern mit langjähriger Erfahrung und umfangreichem Know-how in der IT-Sicherheit und im IT-Datenschutz gegeben. Weiterhin ist es ratsam, einen Partner zu suchen, der auf die jeweils individuellen Anforderungen der Kunden eingehen kann. Die Bundesdruckerei GmbH bietet mit ihren Tochtergesellschaften innovative und komplette Sicherheitslösungen. Alle Produkte und Dienste sind hundertprozentig „Made in Germany“. Mit D-TRUST verfügt die Bundesdruckerei über einen eigenen qualifizierten Vertrauensdiensteanbieter mit Standort in Deutschland. Die angebotenen Lösungen entsprechen den Anforderungen der eIDAS-Verordnung. Bei der Umsetzung eIDAS-konformer Dienste verfolgt die Bundesdruckerei einen ganzheitlichen Ansatz. Dieser reicht von der Beratung über die Konzeption bis hin zum Betrieb und Service. Alle eIDAS-Konzepte und -Lösungen sind maßgeschneidert – ob im Hinblick auf die Inhalte oder auf den Umfang. So können in einigen Fällen Schulungen oder Workshops ausreichen. Dagegen muss in anderen Fällen eine umfassende Implementierungsstrategie erarbeitet und umgesetzt werden.
Schritt 4
Vertrauensdienste auswählen Seit 1. Juli 2016 können eIDAS-konforme Dienste angeboten werden. Viele europäische Unternehmen stehen bereits in den Startlöchern. Einer der Vorreiter ist die Bundesdruckerei. So hat die Bundesdruckerei bereits zum Start der eIDAS-Verordnung eine Lösung für die Fernsignatur entwickelt. Die mobile Unterschrift ist dabei in die Webplattform sign-me integriert (siehe Anhang I). sign-me ermöglicht die elektronische Unterschrift ganz ohne Signaturkarte und Lesegerät und ohne Einbeziehung eines Signaturexperten. Angebote für das elektronische Siegel und Zertifikate für die Website-Authentifizierung folgen in Kürze. Bereits ab Herbst 2016 ist eine Lösung für das elektronische Siegel mit Karte und Lesegerät geplant. Danach folgt Anfang 2017 seal-me, das mobile elektronische Siegel. Ähnlich wie bei der Fernsignatur befinden sich alle notwendigen Komponenten auf einem sicheren Siegelserver bei D-TRUST.
Schritt 5
Loslegen Starten statt warten ist das Gebot der Stunde. Jetzt gilt es für Banken, Versicherungen, Behörden und Unternehmen, die Chancen der eIDAS-Verordnung auch zu ergreifen. Denn eins ist sicher: Die europäische Konkurrenz schläft nicht und Organisationen, die sich die neuen Möglichkeiten entgehen lassen, laufen Gefahr, ins Hintertreffen zu geraten.
14
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Anhang I
eIDAS in der Praxis: die Fernsignatur mit sign-me3 Die Lösung sign-me deckt den kompletten Prozess des elektronischen Unterschreibens ab. Das Webportal unterstützt die unterschiedlichen Signaturverfahren – von der konventionellen Signaturkarte über den elektronischen Personalausweis oder elektronischen Aufenthaltstitel bis hin zur neuen Fernsignatur. Die folgende Grafik zeigt den typischen Ablauf eines Signaturvorgangs:
Transaktionen im Netz, die eine rechtsverbindliche Unterschrift erfordern (z. B. SEPA-Mandatserteilung)
Zu unterschreibendes Dokument wird an „sign-me“ übergeben
Vorlage des
Benutzer
3
Dokuments Unterschrift
1 2
4 sign-me Portal
Rückgabe an das Geschäftsportal des Unternehmens
QES = einzig verbindliche elektronische Unterschrift (entspricht bereits der zukünftigen europäischen Verordnung)
Der Ablauf für die Online-Unterschrift ist einfach und klar strukturiert:
→ In einem ersten Schritt wird das zu unterschreibende Dokument auf die Plattform hochgeladen. Danach identifiziert sich der Kunde beispielsweise via VideoIdent. Zukünftig soll nur ein Hashwert des Dokuments auf die Plattform hochgeladen und signiert werden. Das hat den Vorteil, dass das Originaldokument immer sicher beim Kunden verbleibt.
→ Nach erfolgreicher Prüfung fordert sign-me ein persönliches Zertifikat für den Kunden im Trustcenter der Bundesdruckerei an. Das Zertifikat bildet die Voraussetzung für die digitale Unterschrift und wird in der Online-Plattform sicher verwaltet.
→ Der Anwender authentifiziert sich mit Benutzername und Passwort und löst dann die mobile Signatur über eine zugeschickte TAN-SMS aus. Die Online-Plattform besitzt eine frei gestaltbare Webschnittstelle, mit der sich sign-me pro3 – sign-me:
blemlos in die bestehenden Internetangebote und Signaturlösungen von Banken, Versiche-
www.bundesdruckerei.de/
rungen, Behörden oder Unternehmen einbinden lässt. Zudem kann die Signaturlösung im
de/2837-sign-me
„Look-and-Feel“ der jeweiligen Organisation gestaltet werden.
15
BUNDESDRUCKEREI WHITEPAPER
DIE 25 WICHTIGSTEN FRAGEN UND ANTWORTEN RUND UM eIDAS
Anhang II
Linkliste
eIDAS-Verordnung www.eur-lex.europa.eu
Offizielle Website der Europäischen Kommission zu eIDAS www.ec.europa.eu/digital-single-market/en/trust-services-and-eid
Whitepaper der Bundesdruckerei: „Die eIDAS-Verordnung – die Basis für ein starkes digitales Europa“. www.bundesdruckerei.de/digitalisierung/whitepapers/whitepaper-eIDAS
Whitepaper des Forums elektronische Vertrauensdienste beim Deutschen Industrie- und Handelskammertag (DIHK): „Sichere (elektronische) Dokumente“ www.dihk.de/presse/schwerpunkt-digital
Fokusthema „eIDAS“ auf der Bundesdruckerei-Website www.bundesdruckerei.de/de/fokusthemen
Infoseite des BSI (Bundesamt für Sicherheit in der Informationstechnik) zu eIDAS www.bsi.bund.de
Infoseite des BMI (Bundesministerium des Innern) zu: „Die eIDAS-Verordnung und ihre Bedeutung für die eID-Funktion“ www.personalausweisportal.de
Liste der qualifizierten Vertrauensdiensteanbieter www.nrca-ds.de/ZDAliste.htm
16
Kontakt Bundesdruckerei GmbH Kommandantenstraße 18 10969 Berlin Tel.: +49 (0) 30 – 25 98 – 18 30 Fax: +49 (0) 30 – 25 98 – 22 05
[email protected] www.bundesdruckerei.de