Besichtigung des „eIDAS-Ökosystems”

Die „Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG”, die gemeinhin als „eIDAS-Verordnung” bekannt ist, verspricht das Vertrauen und die Effizienz von elektronischen Transaktionen in Europa zu steigern. In diesem Blogeintrag wollen wir ins Gedächtnis zurückrufen, worum es in der eIDAS-Verordnung geht, und wir möchten Sie herzlich einladen, mit uns zu einem „virtuellen Aussichtspunkt” hinaufzusteigen, von dem aus die wesentlichen Teile und Dienste des „eIDAS-Ökosystems“ und ihr Zusammenspiel erkennbar werden, so dass Sie die existierenden Vertrauensdienste in einer interaktiven eIDAS-Landkarte erkunden und das generelle Potential  und Ihre individuellen Vorteile  durch diese EU-Verordnung erkennen können.

Das „eIDAS-Ökosystem” auf einem Blick

Wie in der Abbildung gezeigt, umfasst das „eIDAS-Ökosystem” insbesondere den „Benutzer”, der einen „eIDAS-basierten Transaktionsdienst” nutzt. Dieser Transaktionsdienst greift wiederum auf eine Reihe von weiteren „eIDAS-Diensten” zu, deren Vertrauenswürdigkeit durch das „eIDAS Vertrauenssystem” sichergestellt wird.

Das „eIDAS Vertrauenssystem”, welches auf Grund der ausgefeilten, darin zusammenwirkenden Mechanismen eine gesonderte Behandlung in einem zukünftigen Blogeintrag verdient, stellt die vertrauenswürdige Basis für das „eIDAS-Ökosystem” bereit, die durch eine sorgfältig ausgewählte Kombination von Maßnahmen wie Akkreditierung, Konformitätsbewertung, Überwachung und Vorfallsbehandlung erreicht wird.

Während auch das Reich der „eIDAS-basierten Transaktionsdienste” facettenreich genug ist, um besser in zukünftigen Blogeinträgen behandelt zu werden, sollen die „eIDAS-Dienste“ im Folgenden kurz vorgestellt und näher erläutert werden, da sie das funktionale Herz des „eIDAS-Ökosystems“ bilden.

Die „eIDAS-Dienste” umfassen den „Identifizierungsdienst” (eID-Service) gemäß Kapitel II der eIDAS-Verordung und verschiedene „Vertrauensdienste“ (Trust Services) gemäß Artikel 3 (16) und Kapitel III der eIDAS-Verordnung. Diese umfasst insbesondere

Identifizierungsdienst (eID-Service)

Der „Identifizierungsdienst“ (eID-Service) ermöglicht die sichere Identifizierung und Authentifizierung von Benutzern und juristischen Personen. Hierbei können die gemäß
Artikel 9 notifizierten Identifizierungssysteme sowie weitere geeignete Mittel zur Identifizierung und Authentifizierung genutzt werden. Für die Bewertung des Sicherheitsniveaus eines Identifizierungssystems bzw. Identifizierungsmittels sind in Artikel 8 der eIDAS-Verordnung die Stufen „niedrig“, „substanziell“ und „hoch“ definiert und detaillierte Anforderungen finden sich im zugehörigen Durchführungsrechtsakt DVO (EU) 2015/1502. Notifizierte Identifizierungssysteme, die zumindest die Stufe „substanziell“ erreichen, werden gemäß Artikel 6 der eIDAS-Verordnung von den EU-Mitgliedsstaaten bei grenzüberschreitenden Transaktionen gegenseitig anerkannt.

Zertifizierungsdienst (Certification Authority, CA)

Ein „Zertifizierungsdienst” (Certification Authority, CA) erzeugt elektronische Zertifikate und stellt diese für Benutzer und andere Entitäten (Zertifikatsinhaber, Subject) aus. Dies kann entweder direkt oder vermittelt über einen entsprechenden Dienst, wie z.B. dem „eIDAS-basierten Transaktionsdienst“ oder dem „Signatur- und Siegelerstellungsdienst“ (SigS) erfolgen. In diesem Fall interagiert der Dienst mit dem CA-System und bestimmt zusammen mit dem „Identifizierungsdienst” die Identität des Zertifikatsinhabers, indem die entsprechenden Identitätsattribute geprüft und bestätigt werden, die schließlich mit dem öffentlichen Schlüssel des Zertifikatsinhabers kombiniert und zur Erstellung des Zertifikates vom „Zertifizierungsdienst“ signiert werden.

Zeitstempeldienst (Time Stamping Authority, TSA)

Die Möglichkeit die Existenz bestimmter Daten zu einem bestimmten Zeitpunkt beweisen zu können, ist eine Anforderung, die bei vielen elektronischen Transaktionen (z.B. für elektronische Signaturen, bei der Verwaltung elektronischer Rechte, bei elektronischen Verträgen oder für beweiskräftige Aufzeichnungen) benötigt wird. Zu diesem Zweck erhält ein „Zeitstempeldienst“ (Time Stamping Authority, TSA) die mit einem Zeitstempel zu versehenden Daten, oder einen Hashwert davon, und liefert einen Zeitstempel zurück, der neben dem Hashwert der Daten eine zuverlässige Zeitangabe umfasst und mit einer Signatur des Zeitstempeldienstes versehenen ist.

Signatur- und Siegelerstellungsdienst (Signature Generation & Sealing Service SigS)

Der „Signatur- und Siegelerstellungsdienst” (Signature Generation & Sealing Service, SigS) ermöglicht die Erzeugung von (qualifizierten) elektronischen Signaturen gemäß Abschnitt 4 und (qualifizierten) elektronischen Siegeln gemäß Abschnitt 5 der eIDAS-Verordnung in technischen Formaten, wie z.B. CAdES, XAdES und PAdES.

Validierungsdienst (Validation Service, ValS)

Die (qualifizierten) elektronischen Signaturen und Siegel, die mit dem oben erläuterten SigS erzeugt werden, können mit dem „Validierungsdienst“ (Validation Service, ValS) geprüft werden. Hierzu nutzt der ValS die in den Vertrauenslisten gemäß Artikel 22, bzw. dem Durchführungsbeschluss DFB (EU) 2015/1506 und ETSI TS 119 162(v2.1.1), enthaltenen Zertifikate als Vertrauensanker und führt eine Signaturprüfung gemäß EN 319 102-1 in Verbindung mit einer geeigneten Signaturprüfungspolitik (Signature Validation Policy) durch.

Bewahrungsdienst (Preservation Service, PresS)

Die langfristige Aufbewahrung signierter Dokumente macht eine Form der Aufbewahrung notwendig, die die Lesbarkeit und den Erhalt der Beweiskraft der Dokumente und Signaturen unabhängig vom Speichermedium sicherstellt. Um die rechtliche Gültigkeit und die Beweiskraft elektronischer Signaturen und Siegel langfristig zu erhalten, müssen geeignete Bewahrungstechniken eingesetzt werden, wie sie in ETSI SR 019 510 beschrieben sind. Die Aufbewahrungstechniken, die von einem „Bewahrungsdienst“ (Preservation Service, PresS) gemäß Artikel 34 der eIDAS-Verordnung umgesetzt werden müssen, können sich auf Evidence Records gemäß RFC 4998 oder RFC 6283 oder die kontinuierliche Konservierung von Signaturen mit Archivzeitstempeln gemäß CAdES oder XAdES stützen.

Zustelldienst (Electronic Delivery Service, EDS)

In der papierbasierten Welt kann durch den Versand eines Briefs als Einschreiben sicher erkannt werden, dass ein Brief wirklich den Empfänger erreicht hat. Diese Dienstleistung wird durch die Postdienstleister angeboten. In diesem Fall schreibt der Absender seine Nachricht auf ein Stück Papier und steckt dieses in einen abgeschlossenen Umschlag, auf dem die Adresse des Empfängers vermerkt ist und verschickt diesen schließlich mit der Post. Die Zurechenbarkeit, die Vertraulichkeit und die Unversehrtheit des Briefs wird weitgehend durch den Absender sichergestellt, während der Postdienstleister vor allem die Gewähr für die Verfügbarkeit und die korrekte Zustellung der Sendung übernimmt.

Gemäß Artikel 44 der eIDAS-Verordnung müssen „qualifizierte Dienste für die Zustellung elektronischer Einschreiben […] folgende Anforderungen erfüllen:

  1. Sie werden von einem oder mehreren qualifizierten Vertrauensdiensteanbietern erbracht.
  2. Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher.
  3. Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher.
  4. Das Absenden und Empfangen der Daten ist durch eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel eines qualifizierten Vertrauensdiensteanbieters auf eine Weise gesichert, die die Möglichkeit einer unbemerkten Veränderung der Daten ausschließt.
  5. Jede Veränderung der Daten, die zum Absenden oder Empfangen der Daten nötig ist, wird dem Absender und dem Empfänger der Daten deutlich angezeigt.
  6. Das Datum und die Zeit des Absendens, Empfangens oder einer Änderung der Daten werden durch einen qualifizierten elektronischen Zeitstempel

Vor dem Hintergrund dieser Anforderungen ist es offensichtlich, dass ein „Zustelldienst“ (Electronic Delivery Service, EDS) eine Vielzahl weiterer eIDAS-Dienste umfasst bzw. nutzen muss. Dies umfasst z.B. den „Identifizierungsdienst“, den „Signatur- und Siegelerstellungsdienst“ (SigS), den „Validierungsdienst“ (ValS), den „Zeitstempeldienst“ (TSA) und muss die vom „Zertifizierungsdienst“ (CA) bereitgestellten Zertifikatstatusinformationen auswerten.

Entdecken Sie das Potenzial von eIDAS mit der interaktiven eIDAS-Landkarte

Der EDS ist ein schönes Beispiel dafür, dass verschiedene grundlegende „eIDAS-Dienste“ zu einem umfassenderen „eIDAS-Dienst“ bzw. einem „eIDAS-basierten Transaktionsdienst“ für anwendungsspezifische Anforderungen zusammengefasst werden können. Ein zentraler Aspekt der eIDAS-Verordnung ist, dass durch sie die regulatorischen Anforderungen für elektronische Identifizierungsdienste und Vertrauensdienste europaweit harmonisiert werden und auch der rechtliche Effekt von notifizierten Identifizierungssystemen (siehe Artikel 6), elektronischen Signaturen (siehe Artikel 25), elektronischen Siegeln (siehe Artikel 35), Zeitstempeln (siehe Artikel 41), elektronischen Zustelldiensten (siehe Artikel 43) und nicht zuletzt elektronischen Dokumenten (siehe Artikel 46) nun europaweit einheitlich geregelt ist.

Deshalb können Anbieter und Nutzer von Vertrauens- und Transaktionsdiensten aus der großen Anzahl qualifizierter Vertrauensdiensteanbieter, die derzeit im Europäischen Markt aktiv sind, auswählen und diese über die heute bereitgestellte interaktive eIDAS-Landkarte leicht erkunden. Diese Landkarte bietet jeweils einen tagesaktuellen Überblick über die am Europäischen Markt agierenden Vertrauensdiensteanbieter und ihre derzeit angebotenen Vertrauensdienste.

Der individuelle Nutzen der eIDAS-Verordnung – Was bringt mir eIDAS?

Welche spezifischen Vorteile und welchen Nutzen die eIDAS-Verordnung für Sie genau bereithält, hängt von Ihrer spezifischen Rolle im „eIDAS-Ökosystem“ ab. Der Vorteil für Anbieter von „eIDAS-Diensten“ ist, dass diese nun ihre Dienste in ganz Europa anbieten und verkaufen können, was neue und sehr interessante Vermarktungsmöglichkeiten beinhaltet. Der Vorteil für Benutzer ist, dass diese nun aus einer Vielzahl von angebotenen Vertrauensdiensten mit wohldefinierter Vertrauenswürdigkeit wählen können und die mit der Nutzung dieser Dienste verbundenen Rechtsfolgen klar definiert sind. Der möglicherweise größte mit der eIDAS-Verordnung einhergehende Vorteil existiert jedoch für „eIDAS-basierte Transaktionsdienste“, die Gegenstand eines zukünftig erscheinenden Blogeintrags sein werden.

Danksagung

Wir erkennen dankbar an, dass dieser Blogeintrag auf Inhalten aufbaut, die im FutureTrust-Projekt erarbeitet wurden, das unter dem Förderkennzeichen No. 700542 Fördermittel aus dem Forschungs- und Innovationsprogramm „Horizont 2020“ der Europäischen Union erhalten hat.

Ist Ihr Identitätsmanagement schon fit für die Datenschutz-Grundverordnung?

„Daten sind das Öl des 21. Jahrhunderts.“ – so oder so ähnlich fällt diese Aussage häufig, sobald es um Themen wie Big Data oder Spionage geht. Tatsächlich beruht mittlerweile das Geschäftsmodell von vielen Unternehmen auf dem Sammeln oder Analysieren von Nutzerdaten oder -verhalten. Dabei spielen nicht nur offensichtliche Akteure, wie z. B. soziale Netzwerke und Suchmaschinen, deren Ziel es ist, möglichst scharfe Profile ihrer einzelnen Nutzer zu erzeugen, eine wichtige Rolle, sondern auch die großen Werbenetzwerke, die ihrerseits diese und eigene Profile dafür nutzen, um möglichst treffsicher personalisierte Werbung an die jeweiligen Nutzer auszuliefern.

Umso wichtiger war es, dass mit der Datenschutz-Grundverordnung (DSGVO) europaweit harmonisierte Rahmenbedingungen für den Datenschutz entstanden sind, um für alle Bürgerinnen und Bürger in Europa ein angemessenes Datenschutzniveau zu gewährleisten. Die DSGVO ist seit dem 24. Mai 2016 in Kraft und wird ab dem 25. Mai 2018 (also in ziemlich genau einem Jahr), auch für die zuständigen Aufsichtsbehörden, anwendbar sein. Auf Grundlage der DSGVO, und mit einem Auge auf die ePrivacy-Verordnung („Verordnung über Privatsphäre und elektronische Kommunikation“), die zeitgleich mit der DSGVO im Mai 2018 wirksam werden soll, werden derzeit die nationalen Datenschutzgesetze, wie z. B. das Bundesdatenschutzgesetz durch das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU), überarbeitet.

Insbesondere muss sich jeder Datenverarbeiter bewusst sein, dass Artikel 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) eine explizite Rechenschaftspflicht enthält, durch die der für die Datenverarbeitung Verantwortliche die korrekte Einhaltung der Anforderungen der DSGVO bei Bedarf gegenüber den Aufsichtsbehörden nachweisen können muss.

Dieser Nachweis muss z. B. für die in Artikel 6 (Rechtmäßigkeit der Verarbeitung) festgelegten Bedingungen erbracht werden. Die zentrale Bedingung ist hierbei, dass die betroffene Person explizit in die Verarbeitung ihrer Daten für einen oder mehrere bestimmte Zwecke eingewilligt hat. Für Unternehmen, die mit personenbezogenen Daten arbeiten heißt dies also, dass bereits bei der allerersten Interaktion mit einem neuen Nutzer oder Kunden darauf zu achten ist, dass die Einwilligung in die Verarbeitung der Daten auf eine Weise geschieht, die DSGVO-konform ist. Artikel 7 (Bedingungen für die Einwilligung) gibt hierfür strengere Vorgaben vor, als sie bisher in der Regel üblich waren. Unternehmen werden hierdurch wohl noch mehr als vorher auf eine beweiskräftige Dokumentation der Einwilligung und die Möglichkeit eine erteilte Einwilligung zu widerrufen achten müssen; denn ist die Einwilligung unwirksam, und die Verarbeitung der Daten Betroffener damit unzulässig, können schnell empfindliche Bußgelder drohen.

Artikel 83 (Allgemeine Bedingungen für die Verhängung von Geldbußen) legt hier die Höhe der zu verhängenden Bußgelder fest, die schnell empfindliche Höhen erreichen können. Selbst bei geringeren Verstößen, wenn z. B. keine geeigneten Sicherheitsmaßnahmen nach dem Stand der Technik implementiert wurden, drohen Geldstrafen von bis zu 10 Mio. Euro bzw. im Fall eines Unternehmens bis zu 2 % des weltweiten Jahresumsatzes. Bei Verstößen gegen die zentralen Grundsätze der Verordnung (insbesondere Artikel 5, 6, 7 und 9) oder gegen die Betroffenenrechte (Artikel 12 bis 22) erhöht sich die Höhe der Geldbuße auf bis zu 20 Mio. Euro bzw. bei Unternehmen auf 4 % des weltweiten Jahresumsatzes.

Ein zentrales Recht für Betroffene wird in Artikel 17 („Recht auf Vergessenwerden“) festgeschrieben. Dieses Recht war bereits vor einer Weile nach einem Gerichtsurteil des EuGH in aller Munde und wurde, vor allem mit Blick auf das Internet und insbesondere Suchmaschinen, kontrovers diskutiert. Die DSGVO garantiert dieses Recht nun Betroffenen ausführlich mit einem eigenen Artikel; in der alten EU-Datenschutzrichtlinie war dieses Recht noch nicht mehr als ein Teil einer Aufzählung. Dienstanbieter werden nun sehr genau darauf achten müssen, die Vorgaben der DSGVO einzuhalten, da sonst die oben erwähnten empfindlichen Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes drohen.

Eine weitere Herausforderung für Dienstanbieter ist das Recht der Betroffenen auf Datenübertragbarkeit (Artikel 20). Dieser Artikel schreibt hierbei vor, dass Dienstanbieter und Datenverarbeiter zukünftig jedem Betroffenen die Möglichkeit bieten müssen, innerhalb eines angemessenen Zeitraums, die vom Betroffenen selbst oder durch dessen unmittelbares Handeln erzeugten Daten diesen in einem maschinenlesbaren Format zur Verfügung zu stellen. Naheliegend erscheint hier der Export der Betroffenendaten aus den Datenbanken des Anbieters mit einem maschinenlesbaren Format wie XML oder JSON.

Insbesondere bei historisch gewachsenen Anwendungslandschaften ist die Integration der verschiedenen Applikationen, Datenbestände und Identitäten eines Benutzers vor dem Hintergrund von Artikel 17 und 20 der DSGVO eine Herausforderung, die nicht ohne Unterstützung von entsprechenden Experten auf diesem Gebiet angegangen werden sollte.

Artikel 25 stellt eine wichtige Errungenschaft der neuen DSGVO dar: Das Prinzip „Privacy by Design and Default“ (im Deutschen etwas sperrig als „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ bezeichnet). Durch Etablierung dieses Prinzips als eines der zentralen Punkte der Verordnung soll einerseits erreicht werden, dass die zum Schutz der personenbezogenen Daten umgesetzten Maßnahmen sowohl dem Stand der Technik (der in Artikel 32 zusätzlich näher definiert wird) entsprechen, aber eben auch, dass die realisierten und in der Praxis angewandten Maßnahmen stets dem Schutzbedarf der Daten angemessen sind. Der Schutzbedarf richtet sich hier ausschließlich nach dem Risiko, das dem Betroffenen durch die Verarbeitung der Daten entsteht. Für den Datenverarbeiter bedeutet dies, dass er (verglichen mit der Bewertung des Risikos im Rahmen des klassischen Informationssicherheitsmanagement (ISMS)) die Perspektive wechseln muss. Die einfache Übernahme der bereits für das eigene ISMS durchgeführten Risikoanalyse könnte hier also zu kurz greifen.

Was „Privacy by Design and Default“ im Bereich des Identitätsmanagements bedeutet, kann gut am Beispiel des innovativen und datenschutzfreundlichen SkIDentity-Dienstes erläutert werden: Denn SkIDentity unterstützt das Management von digitalen Identitäten durch Einführung eines datenschutzfreundlichen Single Sign-On für Unternehmen und Behörden. Durch die Nutzung modernster Technologien können sich Benutzer so genannte Cloud Identitäten (CloudIDs) aus ihren Identitätstoken (wie z. B. dem deutschen Personalausweis und anderen Ausweiskarten) oder sonstigen Identitätsquellen erstellen. Über seine CloudID behält ein Benutzer jederzeit die volle Kontrolle über seine Identitätsdaten, da die CloudIDs nicht zentral auf einem Server gespeichert werden, sondern dezentral bei jedem Benutzer auf dem Endgerät seiner Wahl. Dabei kann ein Benutzer, die auf seinem PC erstellte CloudID problemlos auf weitere Endgeräte übertragen (beispielsweise sein Mobiltelefon) und diese so auch mobil nutzen. Durch die dezentrale Speicherung der CloudIDs liegt außerdem die Löschung und Sperrung der jeweiligen CloudID komplett in der Hand des Nutzers. Das Risiko des Identitätsdiebstahls durch erfolgreiche Angriffe auf eine zentrale Infrastruktur wird hierdurch signifikant reduziert.

Dabei wurden bei SkIDentity von der ersten Idee bis zum heutigen Tag die Grundsätze Privacy by Default und Privacy by Design nicht nur beachtet, sondern als wesentliche Designkritierien und Kernthemen des Dienstes gesehen. Damit wurde bereits vor Entstehung und Veröffentlichung der DSGVO einer der wichtigsten Aspekte der Verordnung in SkIDentity gelebt und umgesetzt.

Belohnt wurde diese Herangehensweise nicht nur durch verschiedene internationale Auszeichnungen, sondern sie spiegelt sich auch ganz besonders in den erfolgreich durchgeführten Zertifizierungsverfahren nach dem Trusted Cloud Datenschutz Profil und nach ISO 27001 auf Basis von IT-Grundschutz wider, durch die wiederum die Erfüllung der Anforderungen gemäß Artikel 25 und Artikel 32, insbesondere auch im Fall der Auftragsdatenverarbeitung gemäß Artikel 28, nachgewiesen werden kann.

Schutz nach dem Stand der Technik (Artikel 32) ist ein vielfältig auslegbarer Begriff, bei dem insbesondere die existierenden internationalen Standards und einschlägigen Regularien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu berücksichtigen sind. Durch tiefe Kenntnisse der einschlägigen internationalen Standards und die aktive Erstellung und Pflege verschiedener Technischer Richtlinien im Auftrag des BSI, ist die ecsec GmbH ihr kompetenter Ansprechpartner zu Fragen nach dem aktuellen Stand der Technik und einer effizienten Umsetzung von wirksamen Sicherheitslösungen. Für das Login bei Cloud- und Webanwendungen empfiehlt das BSI in seinem „Cloud Computing Eckpunktepapier“ sowie im „Anforderungskatalog Cloud Computing (C5)“ beispielsweise den Einsatz von starken und auf mindestens zwei Faktoren basierenden Authentifizierungsmechanismen.

Galaktisches Lob für den elektronischen Personalausweis

Zur Erörterung des Entwurfs eines „Gesetzes zur Förderung des elektronischen Identitätsnachweises“ (BT-Drs. 18/11279) fand am Montag, 24. April 2017 eine offenbar weithin beachtete¹ Anhörung des Innenausschusses des Deutschen Bundestages statt. Wer an diesem denkwürdigen Tag nicht vor Ort in Berlin sein konnte, kann sich den Livemitschnitt der Expertenanhörung in der  Mediathek des Bundestages ansehen. Für diejenigen, die sich nicht die komplette Sitzung zu Gemüte führen möchten, haben wir den möglicherweise interessantesten Ausschnitt hier bereitgestellt:

Dr. Constanze Kurz, die Sprecherin des Chaos Computer Clubs, führt zum elektronischen Personalausweis folgendes aus:

„Das Grundkonzept technischer Art ist zwar komplex und sicherlich schwer zu verstehen für den normalen Bürger der jetzt diesen aktivierten Chip kriegt, aber natürlich sehr durchdacht und ‘ne gute Lösung.“

Wir haben es immer gewusst! Dem ist eigentlich nichts hinzuzufügen. Es sei dahingestellt, ob die eID-Funktion des Personalausweises nach diesem wohl größtmöglichen, mindestens aber galaktischen² Lob überhaupt noch eine gesetzliche Förderung braucht.

¹ Siehe z.B. ZEIT, Focus, NETZPOLITIK, Berliner Zeitung, Frankfurter Rundschau, Heise, Kommune21, eGovernment-Computing, Computer Base

² Wie in der FAQ erläutert, ist der Chaos Computer Club „eine galaktische Gemeinschaft von Lebewesen, unabhängig von Alter, Geschlecht und Abstammung sowie gesellschaftlicher Stellung.“

Innovationspreis Bayern 2016 für SkIDentity als Auftakt für Digitalisierungsoffensive „BayernID“

Nach verschiedenen internationalen Auszeichnungen im letzten Jahr und dem erfolgreichen Abschluss einschlägiger Zertifizierungsverfahren wurde die oberfränkische ecsec GmbH gestern Abend für „SkIDentity–Mobile eID as a Service“ mit dem renommierten Innovationspreis Bayern 2016 ausgezeichnet. Die von der bayerischen Wirtschaftsministerin Ilse Aigner, dem Präsidenten des Bayerischen Industrie- und Handelskammertags, Dr. Eberhard Sasse, und dem Präsidenten der Arbeitsgemeinschaft der bayerischen Handwerkskammern, Georg Schlagbauer, verliehene Auszeichnung bildet den Auftakt für die „BayernID“-Initiative – die auf vertrauenswürdige Identitäten gestützte Digitalisierungsoffensive der bayerischen Wirtschaft.

Innovationspreis Bayern 2016 für „SkIDentity – Mobile eID as a Service“

Bayerns Wirtschaftsministerin Ilse Aigner hat gestern in feierlichem Rahmen im Ehrensaal des Deutschen Museums in München zusammen mit dem Präsidenten des Bayerischen Industrie- und Handelskammertags, Dr. Eberhard Sasse, und dem Präsidenten der Arbeitsgemeinschaft der bayerischen Handwerkskammern, Georg Schlagbauer, den Innovationspreis Bayern 2016 verliehen. Unter insgesamt 187 nominierten Unternehmen wurde die oberfränkische ecsec GmbH für „SkIDentity – Mobile eID as a Service“ ausgezeichnet. „Ich gratuliere dem Unternehmen ecsec GmbH zum Gewinn des Innovationspreises 2016. Mit der Verwandlung elektronischer Identitätsdokumente (eID) in sichere und mobil nutzbare „Cloud Identitäten“, die leicht in beliebigen Cloud- und Webanwendungen für die datenschutzfreundliche Authentifizierung genutzt werden können, hat ecsec einen wichtigen Beitrag für eine sichere und benutzerfreundliche vernetzte Welt geleistet. Es ist außerdem eine wesentliche Voraussetzung für eine erfolgreiche Digitalisierung der Wirtschaft und Gesellschaft“, so Bayerns Wirtschaftsministerin Ilse Aigner.

Sichere elektronische Identitäten für eine erfolgreiche Digitalisierung der Wirtschaft

Die kürzlich vom Bundesminister des Innern vorgelegte „Cyber-Sicherheitsstrategie für Deutschland 2016“ sieht die Bereitstellung und Nutzung sicherer elektronischer Identitäten als wichtige Grundlage für eine nachhaltig erfolgreiche Digitalisierung der Wirtschaft vor: „Einen Kernpunkt stellen die Ausweisdokumente mit Online-Ausweisfunktion dar, mit dem die Bundesregierung bereits eine hochsichere und datensparsame Identifikationsmöglichkeit im Netz bereitstellt. Ziel ist es, die Onlineausweisfunktion – und davon abgeleitete sichere Identitäten – als Standard-Identifizierungsmittel für sensible Dienste zu etablieren, fortzuentwickeln und vergleichbar sichere Lösungen auch in der Wirtschaft zu fördern.“

Durch den ausgezeichneten SkIDentity-Dienst kann unter anderem der elektronische Personalausweis, die österreichische Sozialversicherungskarte (e-card), die estnische Identitätskarte und „e-Residency ID“ sowie diverse Signatur- und Bankkarten für die sichere Umsetzung elektronischer Geschäftsprozesse genutzt werden. Durch das von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) ausgestellte Zertifikat für den SkIDentity-Dienst gemäß dem „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ (TCDP) mit der höchsten Schutzklasse III und die Zertifizierung der „Secure Cloud Infrastructure (SkIDentity)“ gemäß ISO 27001 auf Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI-IGZ-250) wurde der Nachweis erbracht, dass im SkIDentity-Dienst selbst höchste Ansprüche an Datenschutz und Datensicherheit erfüllt sind.

„BayernID“ – die integrierte Digitalisierungsoffensive für die bayerische Wirtschaft

Der elektronische Personalausweis wird in Bayern bereits seit längerer Zeit erfolgreich für die Digitalisierung von Verwaltungsprozessen genutzt und seit dem 01.07.2016 ist auch die eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Europäischen Binnenmarkt vollständig anwendbar. Darüber hinaus fördert der Freistaat Bayern mit dem „Digitalbonus.Bayern“ die sichere Digitalisierung von Geschäftsprozessen in kleinen und mittleren bayerischen Unternehmen.

Vor diesem Hintergrund haben sich führende bayerische Technologieanbieter, Beratungsunternehmen und Digitalisierungsexperten ausgewählter Industrie- und Handelskammern zusammengeschlossen und mit dem „BayernID“-Paket (http://BayernID.de) ein integriertes Dienstleistungspaket für die intelligente Digitalisierung der Geschäftsprozesse in bayerischen Unternehmen geschnürt. Dieses Paket umfasst die kompetente und unverbindliche Beratung zu generellen Digitalisierungsmaßnahmen und Aspekten der IT-Sicherheit, zeigt die mit der eIDAS-Verordnung verbundenen Chancen auf und stellt bei Bedarf vertrauenswürdige Identitäten, sowie weitere Cloud- und Vertrauensdienste zu Vorzugskonditionen bereit. Neben der mit dem Innovationspreis Bayern 2016 ausgezeichneten ecsec GmbH wird die „BayernID“-Initiative vom international führenden Technologiekonzern Giesecke & Devrient GmbH, dem Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO), der SiXFORM GmbH, der Urospace GmbH, dem insbesondere in Bayern aktiven Verein zur Förderung der Nutzung der Online-Ausweisfunktion buergerservice.org e.V., dem IT-Cluster Oberfranken e.V., dem Institut für Informationssysteme der Hochschule Hof (iisys), dem in München ansässigen Anbieter des iDGARD-Dienstes Unsicon GmbH sowie den Industrie- und Handelskammern für Mainfranken Würzburg-Schweinfurt und für Oberfranken Bayreuth unterstützt und ist offen für weitere Partner, die konstruktiv an der Digitalisierung der bayerischen Wirtschaft mitwirken möchten.

Bestandteil der „BayernID“ ist insbesondere auch der neuartige „Video Ident Service“ von Giesecke & Devrient, mit dem der Personalausweis zur Eröffnung eines Bankkontos, zur Aktivierung einer Prepaid SIM-Karte oder zur Identifizierung eines Versicherten im Gesundheitswesen ohne Kartenlesegerät genutzt werden kann. Analog kann damit auch der beim Carsharing regelmäßig notwendige Check des Führerscheins nunmehr online erfolgen. „Wir freuen uns, mit unseren benutzerfreundlichen Sicherheitstechnologien in der BayernID-Initiative einen Beitrag zur erfolgreichen Digitalisierung der bayerischen Wirtschaft leisten zu können“, kommentiert Frank Nordmann, verantwortlich für den Bereich Public Sector bei Giesecke & Devrient. „Die Überprüfung der Identität und des damit verbundenen Dokumentes geschieht wahlweise im Browser oder auch mobil in einer Smartphone App, wobei stets eine elektronische Prüfung der vielfältigen in das Ausweisdokument integrierten Sicherheitsmerkmale und ein Abgleich der Benutzerinformationen stattfindet.“

Der in München ansässige gemeinnützige Verein buergerservice.org e.V. unterstützt die „BayernID“-Initiative mit der vom Verein entwickelten SID-Box (Secure Identity-Box). Mit Hilfe der SID-Box kann mit geringstem Aufwand ein Terminal für die direkte Verwendung der Online-Ausweisfunktion des Personalausweises, ein digital Service Point, hergestellt werden. Unternehmen, Institutionen und Behörden sind damit in der Lage, allen Personen in ihrem Umfeld (Mitarbeitern, Kunden, Mitgliedern usw.), den Zugang zur „BayernID“ auf sehr einfache Art und Weise zu ermöglichen. Die ersten digital Service Points werden derzeit in Kooperationen von Kommune, IHK und buergerservice.org in der Stadt Ansbach und im Landkreis Würzburg eingerichtet.

SkIDentity vom BSI gemäß ISO 27001 und von TÜViT gemäß Trusted Cloud Datenschutz-Profil zertifiziert

Heute wurde im Bundesministerium für Wirtschaft und Energie (BMWi) das von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) ausgestellte Zertifikat für den SkIDentity-Dienst gemäß dem „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ (TCDP) mit der höchsten Schutzklasse III an die ecsec GmbH übergeben. Außerdem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die „Secure Cloud Infrastructure (SkIDentity)“ gemäß ISO 27001 auf Basis von IT-Grundschutz zertifiziert (BSI-IGZ-250).

Datenschutz und Datensicherheit das Fundament für erfolgreiche Digitalisierung

Im Rahmen der heutigen Abschlussveranstaltung des Pilotprojekts „Datenschutz-Zertifizierung für Cloud-Dienste“ wurden nicht nur die bemerkenswerten Projektergebnisse samt des auf Basis von ISO/IEC 27002 und ISO/IEC 27018 erarbeiteten Kriterienkatalogs vorgestellt, sondern auch das von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) für den SkIDentity-Dienst ausgestellte Zertifikat gemäß des „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ übergeben. Wie im Zuge des Prüf- und Zertifizierungsverfahrens nachgewiesen wurde, erfüllt der SkIDentity-Dienst die anspruchsvollen Anforderungen der höchsten Schutzklasse III, so dass mit SkIDentity auch besonders sensible Daten in rechtskonformer Weise verarbeitet werden können.

SkIDentity-Technologie ist nun nicht nur ausgezeichnet, sondern auch zertifiziert

Der bereits mehrfach ausgezeichnete¹ SkIDentity-Dienst (https://skidentity.de) wurde im Rahmen der „Trusted Cloud“ Initiative mit Unterstützung des BMWi entwickelt. Durch ihn können elektronische Identitätsdokumente (eID), wie z.B. der elektronische Personalausweis, sehr leicht in Cloud- und Webanwendungen genutzt werden. Hierbei können aus den elektronischen Ausweisdokumenten kryptographisch geschützte „Cloud Identitäten“ abgeleitet, auf beliebige Smartphones übertragen und dort für die starke pseudonyme Authentisierung oder einen selbstbestimmten Identitätsnachweis in der Cloud genutzt werden. Durch SkIDentity müssen in den angeschlossenen Cloud- und Webanwendungen keine Passworte mehr gespeichert werden, die gestohlen und missbraucht werden könnten.

Wie dem vom BSI ausgestellten Zertifikat (BSI-IGZ-250) entnommen werden kann, war nicht nur der Identitätsmanagement-Dienst von SkIDentity Gegenstand des Zertifizierungsverfahrens gemäß ISO 27001 auf Basis von IT-Grundschutz, sondern die komplette „Secure Cloud Infrastructure (SkIDentity)“, die für den hochsicheren Betrieb von weiteren Cloud- und Webanwendungen genutzt werden kann. „Die Verarbeitung von sensitiven Daten innerhalb von Cloud-Diensten erfordert hohe Sicherheitsstandards. Ein transparenter Nachweis über die korrekte Umsetzung eines angemessenen Sicherheitskonzeptes kann nur über ein neutrales Zertifizierungsverfahren erbracht werden,“ ergänzt Bernd Kowalski, Abteilungspräsident im Bundesamt für Sicherheit in der Informationstechnik. „Bei der Zertifizierung von SkIDentity wurde gezeigt, dass auch die besonders hohen Anforderungen, die mit der Nutzung des Personalausweises in Cloud-Diensten einhergehen, über eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz nachgewiesen werden können.“

¹ Siehe https://www.skidentity.de/auszeichnungen/ .

SkIDentity nutzt zertifizierte Open eCard App

SkIDentity nutzt die kürzlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß der Technischen Richtlinie (TR) 03124 (eID-Client) zertifizierte Version der Open eCard App. Das erstmalig für eine Open Source Komponente und zugleich ohne Mängel im Prüfbericht vergebene Zertifikat ist bis 08.12.2020 gültig und ermöglicht die vertrauenswürdige Nutzung elektronischer Ausweise in SkIDentity unter Linux, Mac OS und Windows.

Plattformunabhängiger und leichtgewichtiger eID-Client für SkIDentity

Durch die konstruktive Zusammenarbeit von industriellen und akademischen Experten ist im Open eCard Projekt (http://openecard.org) eine leichtgewichtige und plattformunabhängige Implementierung des eCard-API-Frameworks gemäß BSI TR-03112 entstanden, die neben dem neuen Personalausweis viele weitere Chipkarten („eCards“), wie z.B. die elektronische Gesundheitskarte (eGK), die Vorläuferkarten des elektronischen Heilberufsausweises (HBA), diverse Bank- und Signaturkarten sowie verschiedenen Europäische Ausweiskarten unterstützt. Auf dieser Grundlage ist mit der Open eCard App ein benutzerfreundlicher eID-Client gemäß BSI TR-03124 entstanden, der nun vom BSI zertifiziert worden ist. Durch die modulare und auf dem internationalen Standard ISO/IEC 24727 basierende Architektur kann die Open eCard App sehr leicht erweitert und nahtlos in moderne Webanwendungen wie SkIDentity integriert werden.

Mit kontinuierlicher Verbesserung und stringentem Qualitätsmanagement zum BSI-Zertifikat ohne Spezifikationsabweichung oder Mangel

Um bei der breit einsetzbaren Open eCard App neben der Konformität zu den einschlägigen technischen Richtlinien des BSI ein allgemein hohes Maß an Qualität sicherzustellen, hat das Bayerische Staatsministerium der Finanzen, für Landesentwicklung und Heimat bereits im letzten Jahr ein Zertifizierungsverfahren gemäß BSI TR-03124 eröffnet. Durch einen kontinuierlichen Verbesserungsprozess und das stringente, an die internationalen Standards ISO/IEC 9001 und ISO/IEC 90003 angelehnte, Qualitätsmanagement-System, das sich auf das inzwischen als Open Source verfügbare eID-Client-Testbed des BSI stützt, konnte die aktuelle Version 1.2 der Open eCard App nun erfolgreich der Zertifizierung durch das BSI zugeführt werden. Damit hat erstmals ein unter einer Open Source Lizenz bereitgestellter eID-Client ein BSI-Zertifikat gemäß BSI TR-03124 erhalten. „Ganz besonders stolz sind wir darauf, dass der zum Zertifikat gehörende Prüfbericht keine Spezifikationsabweichungen oder Mängel enthält“, ergänzt der „Open eCard Project Maintainer“ Tobias Wich. „Dies unterstreicht einerseits die hohe Qualität der Open eCard Software und schafft auf der anderen Seite weiteres Vertrauen in die im Umfeld des elektronischen Personalausweises eingesetzten Technologien.“

„Wie sich am Beispiel von ‚SkIDentity‘ zeigt, war die Open eCard App auf Grund ihrer Sicherheit, Erweiterbarkeit und Benutzerfreundlichkeit schon mehrmals das Fundament einer ausgezeichneten Systemlösung“, ergänzt Dr. Detlef Hühnlein, Geschäftsführer der ecsec GmbH und Leiter des SkIDentity Projektes. „Es freut uns sehr, dass ein erstes Ergebnis unserer Arbeit offenbar nicht mehr nur ausgezeichnet, sondern nun auch zertifiziert ist.“