Transparenz und virtuelle Identitaet Towards the single digital market for e-identification and trust services

elsa.wiesinger.uni-linz, 6. Juni 2018, 19:28

Towards the single digital market for e-identification and trust services

 Ein Report, welcher von Copenhagen Economics im Jahr 2010 veröffentlicht wurde, zeigt, dass die Zukunft eine digitale Ökonomie darstellen wird. Um das Innovations- und Wachstumspotential zu nutzen muss in der EU noch viel passieren. Derzeit haben die 28 Staaten der EU weisen eine komplexe Regulierungsaufgabe auf, da die Mitgliedsstaaten großen Spielraum derzeit noch besitzen.

Rechte verschieben sich dahingehend, sodass eine maximale Harmonisierung oder sogar Vereinheitlichung in bestimmten Bereichen geschaffen werden kann. Derzeit werden diese Bemühungen umgesetzt, sind aber noch lange nicht vollständig geschaffen worden.

Im Sommer 2014 wurde die Verordnung Nr. 910/410 von der EU eingeführt, welches sich mit E-ID und Trust-Services für elektronische Transaktionen im internationalen Markt beschäftigt.

 

Verordnung Nr. 910/2014

Die Verordnung zielt darauf ab, das Vertrauen in elektronische Transaktionen in der EU zu stärken und damit zum Wachstum von E-Commerce-, E-Business- und E-Government-Diensten beizutragen.
Infolgedessen sind die Mitgliedstaaten verpflichtet, Gesetze zur Umsetzung der Richtlinie über elektronische Signaturen aufzuheben und die Bestimmungen der neuen Verordnung unmittelbar anzuwenden.


Der Trend zur Vereinheitlichung, und nicht zur minimalen Harmonisierung der nationalen Rechtsvorschriften für elektronische Dienste, ist eines der Hauptmerkmale der jüngsten EU-Rechtsvorschriften im IKT-Bereich.

Die Verordnung enthält einige interessante Ausnahmen hinsichtlich der Abdeckung. Folglich wird die Verordnung keine Regelungen für E-Banking- oder E-Commerce-Zahlungen regeln, welche nur von Banken und Online Shops angeboten werden.


Die Durchführungsbestimmungen beinhalten technische als auch organisatorische Standards, welche das Funktionieren der elektronischen Dienste ermöglichen sollen.

 

E-ID Systeme

"Elektronische Identifizierung" wurde definiert als "der Vorgang der Verwendung von Personendaten in elektronischer Form, die entweder eine natürliche oder eine juristische Person oder eine natürliche Person, die eine juristische Person vertritt, eindeutig repräsentieren".

 

Solche Systeme werden von Regierungen gesponsert und reichen von elektronischen ID-Systemen (z. B. Estland) bis hin zu öffentlichen Online-Diensten, die den Bürgern die Nutzung kostenloser digitaler Signaturen anbieten, wobei zuerst die Identität verifiziert werden muss (z. B. Polen).

Aus rechtlicher Sicht ist die Voraussetzung für die Anerkennung eines nationalen Identifizierungssystems, dass ein elektronisches Identifizierungssystem bei der Kommission angemeldet und im Amtsblatt veröffentlicht wird.

 

Artikel (7) besagt folgendes: „Das Europäische Parlament betonte in seiner Entschließung vom 21. September 2010 zur Vollendung des Binnenmarktes für den elektronischen Handel (4), dass die Sicherheit elektronischer Dienstleistungen — insbesondere elektronischer Signaturen — wichtig ist und dass auf europäischer Ebene eine Infrastruktur öffentlicher Schlüssel (PKI — Public Key Infrastructure) geschaffen werden muss, und forderte die Kommission auf, eine Schnittstelle der europäischen Validierungsstellen (European Validation Authorities Gateway) einzurichten, um die grenzüberschreitende Interoperabilität elektronischer Signaturen zu gewährleisten und die Sicherheit von Transaktionen, die über das Internet ausgeführt werden, zu erhöhen.”

Darin werden technische Mindestspezifikationen, Normen und Verfahren festgelegt, anhand derer die Sicherheitsniveaus - niedrig, erheblich und hoch - für elektronische Identifizierungsmittel festgelegt werden. Der notifizierende Staat muss sechs Monate vor dem Inkrafttreten des Abkommens auch anderen Mitgliedstaaten eine Beschreibung dieses Systems vorlegen.

Haftung
Schließlich haftet die Partei, die das Authentifizierungsverfahren durchführt, für Schäden, die aufgrund eines inkorrekten Betriebs des Online-Authentifizierungsmechanismus verursacht werden. Um die Haftung den nationalen Gerichten zuzuschreiben, müssen sie nationale Haftungsregelungen anwenden und einschlägige technische Daten ordnungsgemäß identifizieren Spezifikationen, Normen und Verfahren sowie die am Betrieb der elektronischen Identifizierungssysteme beteiligten Parteien.

Die gegenseitige Anerkennung soll nicht nur in einem rechtlichen Bereich erfolgen, sondern auch technische Interoperabilität mit sich bringen. Dies ist ein schwieriges Thema, das die rasche Umsetzung interoperabler nationaler Identifizierungssysteme behindern könnte. Eine enge Zusammenarbeit zwischen den Mitgliedstaaten, die den Austausch von Informationen und bewährten Verfahren einschließt, ist absolut notwendig, aber selbst dann bestehen einige technische Anforderungen an die Benutzer.

 

Um die Interoperabilität und Sicherheit des notifizierten elektronischen Identifizierungssystems zu gewährleisten, wurde mit dem Durchführungsbeschluss ein kollektiver und einheitlicher Peer-Review-Prozess von eID-Systemen, die als "wechselseitige Lernprozesse" für die Mitgliedstaaten, eingeführt.

Die Begutachtung kann die Bewertung relevanter Unterlagen, die Prüfung von Prozessen, technische Seminare und die Prüfung unabhängiger Bewertungen durch Dritte umfassen. Die Teilnahme der Mitgliedstaaten am Peer-Review-Verfahren ist jedoch freiwillig.

 

Trust services In der Verordnung wird zum ersten Mal der Begriff "elektronisches Dokument" als "jeder in elektronischer Form gespeicherte Inhalt, insbesondere Text oder Ton, visuelle oder audiovisuelle Aufzeichnung" definiert. Ein elektronisches Dokument darf nicht als Beweismittel in Gerichtsverfahren allein aufgrund der Tatsache, dass es in elektronischer Form vorliegt, Rechtswirkung und Zulässigkeit haben, und dieser Standard wird, wird auf alle anderen in der Verordnung vorgesehenen Vertrauensdienste angewandt.

"Vertrauensdienste" wurde definiert als "eine elektronische Dienstleistung, die normalerweise gegen Entgelt erbracht wird und Folgendes umfasst: (a) die Erstellung, Verifizierung und Validierung von elektronischen Unterschriften, elektronischen Siegeln oder elektronischen Zeitstempeln, elektronischen Einschreibensdiensten und damit verbundenen Zertifikaten Dienstleistungen oder (b) die Erstellung, Verifizierung und Validierung von Zertifikaten für die Website-Authentifizierung; oder (c) die Aufbewahrung elektronischer Signaturen, Siegel oder Zertifikate im Zusammenhang mit diesen Diensten.

Vertrauensdienste genießen eine sehr vereinfachte Binnenmarktklausel, die es Vertrauensdiensteanbietern anderer Mitgliedstaaten ermöglicht, Dienstleistungen in anderen Mitgliedstaaten anzubieten.

 

 

Trust Service – Electronic Signature

Gemäß Artikel 3 Absatz 1 bedeutet "elektronische Signatur" Daten in elektronischer Form, die anderen Daten in elektronischer Form angehängt sind oder logisch mit diesen verknüpft sind und die von dem Unterzeichner zur Unterzeichnung verwendet werden. Signatory bedeutet "eine natürliche Person, die eine elektronische Signatur erstellt". Nur Menschen und nicht juristische Personen können elektronisch nutzen Signaturen.

Einfache elektronische Signatur

Die elektronische Signatur der Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.

Die Sicherheit elektronischer Signaturen beruht auf kryptographischen Verfahren, mit dem die Signaturen erstellt werden.

Dokumente, die mit einer "einfachen" elektronischen Signatur versehen sind, müssen als Beweismittel zugelassen werden und unterliegen somit der richterlichen Beweiswürdigung.

 

Qualifizierte elektronische Signatur

Eine qualifizierte elektronische Signatur ist als "eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen".

Eine fortgeschrittene Signatur ist eine Signatur, die ausschließlich dem Signator zugeordnet ist. Die Identifizierung des Signators ist somit ermöglicht und mit Mitteln erstellt, die der Signator unter seiner alleinigen Kontrolle halten kann, mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann.

Ergänzend zu den Rechtswirkungen einer "einfachen" elektronischen Signatur erfüllt eine qualifizierte elektronische Signatur das rechtliche Erfordernis einer eigenhändigen Unterschrift.

Qualifizierte elektronische Signaturen dienen sowohl der Kommunikation Bürger/Bürgerinnen/Wirtschaft zu den Behörden als auch zwischen Bürger/Bürgerinnen/Wirtschaft untereinander und ersetzen dabei eine eigenhändige Unterschrift.

 

Somit können die Mitgliedstaaten nicht die grenzüberschreitende Verwendung einer elektronischen Signatur auf einem höheren Sicherheitsniveau als die qualifizierte elektronische Signatur beantragen.

 

 

Trust Service – Electronic Time Stamps

Dabei handelt es sich um Daten in elektronischer Form, die andere Daten in elektronischer Form an einen bestimmten Zeitpunkt binden, um den Nachweis zu erbringen, dass die letztgenannten Daten zu diesem Zeitpunkt existierten.

Dieser Typ eines Vertrauensdienstes kann hilfreich sein, um das Auftreten bestimmter Tatsachen zu einem gegebenen Zeitpunkt, z.B. Datum und Uhrzeit eines Vertrags oder das Vorhandensein bestimmter Inhalte auf einer Website.

Qualifizierte elektronische Zeitstempel genießen die Annahme der Genauigkeit des Datums und der Zeit, die sie anzeigen, und die Integrität der Daten, an die das Datum und die Zeit gebunden sind.

 

Trust Service - Electronic registered delivery service

Eine Dienstleistung, die es ermöglicht, Daten zwischen Dritten auf elektronischem Wege zu übermitteln und Beweise für den Umgang mit den übertragenen Daten, einschließlich des Nachweises des Sendens und Empfangens der Daten, zu liefern und die übertragenen Daten gegen das Risiko von Verlust, Diebstahl, Schäden oder nicht autorisierte Änderungen zu sichern.

 

Dieser Vertrauensdienst genießt die Vermutung der Unversehrtheit der Daten, des Versands dieser Daten durch den identifizierten Absender, des Empfangs bei dem identifizierten Empfänger und der Richtigkeit des Datums und der Uhrzeit des Versands und Empfangs, die von dem qualifizierten elektronischen Einschreiben angegeben werden Bedienung.

Es bleibt abzuwarten, ob einige Rechtsberufe wie Postdienstleister oder Notare diese Dienste anbieten.

 

 

Trust Service - Website authentication

Dieser Vertrauensdienst beschreibt ein  Bescheinigung, die es ermöglicht eine Website authentifizieren und die Website mit der natürlichen oder juristischen Person verknüpfen, der das Zertifikat ausgestellt wurde.

Die Website-Authentifizierung kann die Sicherheit des Cyberspace insbesondere im Zusammenhang mit IP-Spoofing-Angriffen erhöhen. Neue Vertrauensdienste könnten entwickelt werden, um die Öffentlichkeit gegen DNS-Spoofing-Angriffe zu schützen. Bei DNS-Spoofing-Angriffe agiert ein Mittelmann und ändert zB die DNS-Konfiguration eines Routers, um Anmeldeinformationen zu erhalten, die für den Zugriff auf eine Website erforderlich sind.

 

Qualified Trust Service Providers

Ein Kennzeichen der Neuregelung ist eine spezielle Behandlung von qualifizierten Vertrauensdiensteanbietern. Diese Anbieter werden von Aufsichtsbehörden in den Mitgliedstaaten beaufsichtigt. Darüber hinaus sind sie mindestens alle zwei Jahre zu auditieren und ein Bewertungsbericht muss der Aufsichtsbehörde vorgelegt werden. Die Aufsichtsbehörde kann vom Dienstleistungserbringer verlangen, bei Nichteinhaltung der Verordnung Abhilfe zu schaffen, und den qualifizierten Status entziehen.

 

Die Überprüfung muss nicht nur durch die physische Anwesenheit des Verifizierers erfolgen, wodurch die Möglichkeit eröffnet wird, einen solchen Dienst online bereitzustellen. Vor der Ausstellung des Zertifikats muss jedoch eine physische Anwesenheit der natürlichen Person oder ihres Vertreters gewährleistet sein. Darüber hinaus eröffnet die Verordnung die Möglichkeit, eine natürliche Person über andere qualifizierte elektronische Signaturen oder qualifizierte elektronische Siegel dieser Person zu validieren.

 

Conclusion

Aus Sicht der EU ist das gesamte System nur so stark wie das schwächste Glied. Somit kann es eine Weile dauern, bis sichergestellt wurde, dass Sicherheits- und Interoperabilitätsrisiken beseitigt wurde. Das Peer-Review System ist ein guter Weg um Schwächen in den Systemen schnell zu erkennen, jedoch ist es freiwillig, wodurch sich sicherlich nicht alle 28 Staaten beteiligen werden. Weiters sollten Haftungen des Staates, aufgrund von Fehlfunktionen der eID-Systeme, geklärt werden, sodass die Haftung gegenüber den unterschiedlichen Akteuren erhöht werden. 

 

Da die Sicherheit des gesamten Systems nur so stark ist wie sein schwächstes Glied, kann es eine Weile dauern, bis sichergestellt ist, dass Sicherheits- und Interoperabilitätsrisiken beseitigt sind. Darüber hinaus müssen die Vorschriften zur Haftung des Staates, die sich aus einer Fehlfunktion von E-ID-Systemen ergeben, in der Praxis geklärt werden, da das Legislativmodell die Haftung gegenüber verschiedenen Akteuren anführt und somit die Kosten potenzieller Rechtsstreitigkeiten erhöht.

In jedem Fall kommt die Einrichtung eines solchen Großraumnetzes elektronischer Identifizierungssysteme nicht nur Unternehmen und Einzelpersonen zugute, die ihre Geschäfte in anderen Mitgliedstaaten abwickeln wollen, sondern auch Bürgern eines bestimmten Mitgliedstaats, da die  Verwaltung die gleiche Höhe haben wird, wie die derzeitigen elektronischen Identifizierungssysteme.

 

Quelle

Polanski, Paul Przemyslaw: "Towards the single digital market for e-identification and trust services", Computer Law & Security Review: The International Journal of Technology Law and Practice No. 31 (2015): 773-781.

3 comments :: Kommentieren

Risiko der Vereinheitlichung

marian.limberger.uni-linz, 7. Juni 2018, 11:42

Die Chance ein vereinheitlichtes, sicheres Identifizierungssystem EU-weit oder sogar weltweit zu betreiben, sehe ich eher als unwahrscheinlich. Zum einen, da die Einrichtung, Kontrolle und Verwaltung zu kompliziert wird, zum anderen, da auch die Ausrichtung am schwächsten Glied an sich schon ein Sicherheitsrisiko darstellt. Es würde, wenn überhaupt, ein Identifizierungssystem eingesetzt, das in der Technologie nachhinkt und auf einem niedrigen Standard sich bewegt. Damit ist der Kriminalität wenig in den Weg gelegt.

Verlinken :: Kommentieren

Standardisierungsinitiative ISÆN

georg.pilsner.uni-linz, 7. Juni 2018, 11:56

Im Artikel zu selbstverwaltete digitale Identitäten wird u.a. die Standardisierungsinitiative ISÆN erwähnt, das sich eben mit Identitätsmanagement beschäft das über die Landesgrenzen hinweg funktionieren sollte. 

https://www.digitale-technologien.de/DT/Redaktion/DE/Kurzmeldungen/Aktuelles/2017/2017-06-07_smartdata_Sicheres%20Identit%C3%A4tsmanagement.html

https://www.digitale-technologien.de/DT/Redaktion/DE/Downloads/Publikation/2017-02-09_smartdata_steckbrief_isaen.pdf?__blob=publicationFile&v=9

 

 

 

Verlinken :: Kommentieren

ein revolutionäres System.

magdalena.bieregger.uni-linz, 7. Juni 2018, 15:32

Dieser Artikel beschreibt ein revolutionäres sehr gutes System, dass im Juni 2017 in Österreich eingeführt wurde und demnächst umgesetzt wird. Die österreichische Funktion der Bürgerkarte bleibt bestehen und geht in dieses System ein. Die Identität wird dabei vom Herkunftsland abgefragt und bestätigt und kann in anderen Ländern auch verwendet werden.

Vertrauen müssen wir jetzt nur mehr der zuständigen Behörde/Passbehörde, die verwaltet unsere Daten und nur die. In Zukunft wird man sich bei einer Plattform über die eID einloggen (bei bspw Amazon) möchte Amazon jetzt Daten zur ID wissen, muss Amazon bei der verwaltenden Behörde/Passbehörde anfragen und diese genehmigt bekommen. Jede Plattform bekommt dabei nur diese Daten die tatsächlich benötigt werden und mit einem guten Grund belegt werden können.

zB wenn jemand nur das Geburtsdatum braucht, weil er zB Alkohol verkauft dann bekommt er mit dem System nur das Geburtsdatum, weil die anderen Daten gehen ihn nichts an.

Verlinken :: Kommentieren