In­ter­view: Elektronische Ver­trau­ens­diens­te

Wichtiger Baustein der Digitalisierung.

EVD

Guten Tag Herr Dr. Schmidt! Die elektronischen Vertrauensdienste werden als wichtiger Baustein der Digitalisierung bezeichnet. Warum ist das so und was steckt hinter diesem Begriff? "Ein wesentlicher Aspekt der Digitalisierung ist es, immer mehr analoge Prozesse in der Verwaltung sowie in Unternehmen digital umzusetzen. Und hier kommen die Vertrauensdienste ins Spiel: Sie sind eine Art Werkzeugkasten der Digitalisierung. Mit den Vertrauensdiensten erhalten Sie verschiedene Werkzeuge, um Ihre analogen Verwaltungs- und Unternehmensprozesse digital abzubilden."

Können Sie uns ein Beispiel nennen?
"Aktuell ist die qualifizierte elektronische Signatur ganz wesentlich, sie ersetzt die handschriftliche Unterschrift. Beispielsweise könnte ein privatwirtschaftliches Unternehmen mithilfe von Vertrauensdiensten eine Webseite anbieten, auf der Kaufverträge mit dem Kunden rechtssicher abgeschlossen werden können. Oder Behördengänge auf der Verwaltungsseite: Anstatt einen Urlaubstag zu opfern und eine Nummer auf dem Amt zu ziehen, kann man Behördengänge per Tablet von der Couch aus erledigen. Dabei erhält man trotzdem die gleiche Rechtsverbindlichkeit."

Welche weiteren elektronischen Vertrauensdienste gibt es?
"Derzeit haben wir zum einen das Siegel, das kann man sich wie einen Firmen- oder Behördenstempel vorstellen. Zum anderen gibt es den Zeitstempel, der für ein Dokument nachweist, dass es zu einem ganz bestimmten Zeitpunkt in der gegebenen Form vorgelegen hat. Zudem gibt es Zustelldienste, das ist im Prinzip ein Pendant zum klassischen Einschreiben. es gibt Bewahrungsdienste, die insbesondere in der Verwaltung sehr bedeutsam sind. Das kann man sich als digitales Archiv für die Dokumente vorstellen, die langfristig prüfbar sein müssen. Außerdem gibt es Website-Zertifikate, mit denen die Online-Kommunikation z.B. bei E-Commerce und Onlinebanking abgesichert werden kann. Und es gibt die sogenannten Validierungsdienste, mit ihnen kann man alle Vertrauensdienste prüfen."

Wer bietet die elektronischen Vertrauensdienste an?
"Die sogenannten Vertrauensdiensteanbieter. Wir haben hierzu eine Webseite aufgebaut: www.elektronische-vertrauensdienste.de. Dort gibt es Informationen und eine Übersicht, welche deutschen Anbieter es gibt. Grundsätzlich kann man alle europäischen Anbieter nutzen – ein Effekt des Binnenmarktes, den wir mit der eIDAS-Verordnung vor sechs Jahren geschaffen haben."

Sie sprechen die gesetzliche Grundlage der elektronischen Vertrauensdienste an. Was genau hat es mit der eIDAS auf sich?
"Die eIDAS-Verordnung ist eine europäische Verordnung. Zunächst gab es nur einen nationalen Rechtsrahmen für die Vertrauensdienste – in Deutschland sowie in anderen EU-Mitgliedsstaaten. Vor der eIDAS war es deshalb beispielsweise schwierig, eine deutsche elektronische Signatur außerhalb von Deutschland zu prüfen. Dank des einheitlichen Rechtsrahmens in der EU haben wir jetzt einen großen Binnenmarkt: Sie können in Deutschland signieren und die Unterschrift kann grenzübergreifend z.B. in Italien, Frankreich oder Schweden geprüft werden. Dadurch ist wirtschaftlich ein enormer Vortrieb entstanden, der europäische Markt ist für internationale Unternehmen viel attraktiver geworden."

Und welche Aufgaben übernimmt die Bundesnetzagentur in Bezug auf die elektronischen Vertrauensdienste?
"Unsere Aufgaben sind im deutschen Vertrauensdienstegesetz festgeschrieben, das die eIDAS ergänzt. Wir sind zuständige Aufsichtsstelle für deutsche Vertrauensdiensteanbieter. Das bedeutet im Wesentlichen: Wir gewährleisten, dass die qualifizierten Anbieter den gesetzlichen Anforderungen entsprechen. Damit stellen wir letztlich die Sicherheit und Vertrauenswürdigkeit der qualifizierten Vertrauensdienste sicher. Und wir beraten die Verwaltung und Unternehmen in kleineren und größeren Digitalisierungsprojekten. Wir haben auch einen technischen Betrieb, mit dem wir zwei technische Fachverfahren zur Verfügung stellen, die für die Vertrauensdienste wesentlich sind."

Um welche Fachverfahren handelt es sich dabei?
"Zum einen um die deutsche Vertrauensliste. Das ist eine Liste, in der alle qualifizierten Vertrauensdiensteanbieter aus Deutschland eingetragen sind. Es ist eine Datei, die automatisiert ausgewertet wird. Sie wird z.B. zum Prüfen der Echtheit einer elektronischen Unterschrift verwendet. Jedes Mal, wenn solch eine qualifizierte Signatur geprüft wird, landet man im Endeffekt im Rechenzentrum der Bundesnetzagentur. Das ist ein ganz wesentlicher Punkt bei der Prüfung von qualifizierten Vertrauensdiensten – die Liste stellt einen staatlichen Vertrauensanker dar."

Und das zweite technische Verfahren, das die Bundesnetzagentur zur Verfügung stellt?
"Das ist das Dauerhafte Verzeichnis, kurz: DA:VE. Es ist dazu da, qualifizierte Vertrauensdienste dauerhaft prüfbar zu halten. Stellt ein Vertrauensdiensteanbieter den Betrieb ein, übernimmt die Bundesnetzagentur die notwendigen Daten in dieses Verzeichnis. Damit führt die Netzagentur die Auskunft zur Prüfung von qualifizierten elektronischen Signaturen, Siegeln oder Zeitstempeln für diesen Anbieter fort."

Damit sind die Daten auch auf lange Sicht prüf bar. Aber ist das namensgebende Vertrauen in diese Art von digitalen Diensten wirklich gerechtfertigt?
"Die qualifizierten Dienste werden beständig auf Herz und Nieren geprüft, technische Standards permanent erweitert und immer wieder neu angepasst. Wir arbeiten mit diversen anderen Sicherheitsbehörden zusammen, zum Beispiel mit dem BSI sowie mit Datenschutzbehörden. Zudem kann man die qualifizierten Dienste alle mühelos per Software prüfen. Bei einem von Hand unterschriebenen Papierdokument kann man theoretisch nie wissen: Wurden nach der Unterschrift noch Ergänzungen vorgenommen? Das ist bei den digitalen Pendants ganz einfach prüfbar – und bietet damit einen ganz großen Sicherheitsgewinn im Vergleich zur analogen Welt."

Lassen Sie uns abschließend ein Beispiel durchgehen. Ich würde mir gern einen Mietwagen auf Mallorca buchen – wie gehe ich vor, wenn ich dabei qualifizierte elektronische Vertrauensdienste nutzen möchte?
"Vielleicht bietet der Autovermieter den Mietvertrag direkt auf seiner Webseite an. Um die Unterschriften zu erzeugen, bindet der Autovermieter dann einen elektronischen Vertrauensdienst ein. Der Kunde muss sich um nichts kümmern. Er identifiziert sich online und löst seine Unterschrift für Miete und Versicherung z.B. per Handy von zu Hause aus. Innerhalb der EU könnte dabei jeder qualifizierte Anbieter für Fernsignaturen genutzt werden."

Und woher weiß der Vertrauensdiensteanbieter, mit wem er es zu tun hat?
"Dieser muss natürlich die Identität seiner Kundinnen und Kunden erheben. Das kann beispielsweise über die eID-Funktion des Personalausweises geschehen. Mit dieser Funktion kann man seinen Personalausweis über das Internet nutzen. Wer das nicht möchte, kann in vielen Fällen auch das Video-Ident-Verfahren verwenden. Das ist so eine Art Videochat, in dem ein Mitarbeiter live die Identifizierung durchführt. Insbesondere Online-Banken nutzen dieses Vorgehen. Aus meiner Sicht ist bei den Vertrauensdiensten letztlich wichtig, eine möglichst geringe Komplexität für die Anwenderinnen und Anwender zu erreichen. Und da sind wir bereits auf einem sehr guten Weg."

Dr. Axel Schmidt hat Mathematik mit dem Schwerpunkt IT-Sicherheit/Kryptographie studiert und zum Thema angewandte IT-Sicherheit promoviert. Bei der BNetzA ist er im Referat für Elektronische Vertrauensdienste tätig. Seine Schwerpunkte: nationale und europäische Vertrauensdienste (eIDAS-Verordnung), Prüfung qualifizierter elektronischer Signaturen und Analyse innovativer Technologien der Digitalisierung.
Mastodon