»eIDAS-Verordnung gibt elektronischen Workflows neuen Schub«

Welches Ziel verfolgt die eIDAS-Verordnung?

Entschew: Die eIDAS-Verordnung legt das Fundament für den digitalen Binnenmarkt. Sie ermöglicht vertrauenswürdige elektronische Interaktionen und Transaktionen im gesamten EU-Raum. Inhaltliche Schwerpunkte sind neben der elektronischen Identifizierung die sogenannten Vertrauensdienste. Unter diesem Begriff werden verschiedene Dienste zusammengefasst, die das Vertrauen in die technische und rechtliche Sicherheit europaweiter digitaler Prozesse sicherstellen sollen. Dazu gehören zum Beispiel die elektronische Signatur oder neu das elektronische Siegel für Unternehmen und Behörden.

Elektronische Signaturen haben sich in der Breite nicht durchgesetzt. Und auch eine grenzüberschreitende Nutzung in Europa findet nicht statt. Wie will eIDAS das ändern?

Entschew: Indem bestehende Signaturverfahren vereinfacht und neue Werkzeuge etabliert werden. So waren bisher in Deutschland für eine qualifizierte elektronische Signatur, die einer per Hand getätigten Unterschrift rechtlich gleichgestellt ist, immer eine Signaturkarte und ein Lesegerät notwendig. Die eIDAS-Verordnung erlaubt nun zusätzlich eine Fernsignatur. Dabei erfolgt das Auslösen des Signaturprozesses aus der Ferne, zum Beispiel über mobile Endgeräte wie Smartphones oder Tablets.

Wie wird die Fernsignatur umgesetzt und welche technischen Komponenten kommen zum Einsatz?

Entschew: Der private Signaturschlüssel wird bei der Fernsignatur zentral auf den Hochsicherheitssystemen eines externen Dienstleisters, dem Vertrauensdiensteanbieter (bisher: Trustcenter), gespeichert. Die elektronische Unterschrift erfolgt dann über eine Zwei-Faktor-Authentifizierung. Das können neben der Eingabe von Benutzername und Passwort, ein per Mobiltelefon empfangener Transaktionscode oder biometrische Merkmale wie ein Fingerabdruck sein.

Die externe Speicherung der geheimen Signaturschlüssel setzt ein hohes Vertrauen der Anwender voraus…

Entschew: … deshalb unterscheidet die eIDAS-Verordnung zwischen Vertrauensdiensteanbietern und qualifizierten Vertrauensdiensteanbietern. Nur letztere erfüllen die verschärften Anforderungen an Sicherheit und Haftung. Dazu gehören unter anderem die Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden, die Gewährleistung von Datenschutz und Sicherheit sowie die Implementierung vertrauenswürdiger IT-Infrastrukturen. Zudem muss sich der qualifizierte Vertrauensdiensteanbieter alle 24 Monate einer umfangreichen Prüfung durch eine unabhängige Stelle, wie zum Beispiel den TÜV-IT, unterziehen. Es empfiehlt sich daher, eIDAS-Dienste nur von qualifizierten Vertrauensdiensteanbietern zu beziehen.

So funktionieren elektronische Siegel und Signaturen

Ein wichtiger Grund für Medienbrüche und ein großes Manko der heutigen elektronischen Kommunikation besteht darin, dass es kein einheitliches und komfortables Verfahren gibt, die Herkunft und die Echtheit digitaler Dokumente einwandfrei nachzuweisen. Schafft eIDAS hier Verbesserungen?

Entschew: Ja, indem die EU-Verordnung ein neues Werkzeug einführt, das elektronische Siegel. Dieses überführt den Firmenstempel und das Behördensiegel ins Internet-Zeitalter. Es stellt den Ursprung und die Unversehrtheit von elektronischen Daten sicher. Wenn eine Organisation ein digitales Dokument elektronisch siegelt, so identifiziert sie sich eindeutig als Absender und schützt die Daten gleichzeitig vor unbemerkten Veränderungen.

Worin unterscheiden sich elektronische Siegel und Signaturen?

Entschew: Elektronische Signaturen sind immer an Einzelpersonen gebunden, die mit ihrer elektronischen Unterschrift eine Willenserklärung abgeben. Demgegenüber sind elektronische Siegel auf Organisationen ausgestellt. Sie stellen die Absender- und Dokumentenechtheit elektronischer Nachrichten und Dokumente sicher.

Wie werden elektronische Siegel aufgebracht?

Entschew: Das Aufbringen des elektronischen Siegels wird bei den ersten Anwendungen über eine Siegelkarte und ein dazugehöriges Lesegerät erfolgen. In Zukunft ist zudem eine elektronische Siegelung über den Siegelserver eines Vertrauensdiensteanbieters – ähnlich dem Fernsignatur-Verfahren – denkbar.

Welche Branchen und Workflows profitieren am meisten von eIDAS?

Entschew: Die Nutzeneffekte der EU-Verordnung ziehen sich durch alle Branchen und Geschäftsprozesse. Banken können Online-Kredite in einem durchgängigen digitalen Workflow vergeben. Das ist jetzt auch für Antragsprozesse im Versicherungsumfeld möglich, bei denen die elektronische Unterschrift gesetzlich vorgeschrieben ist. Dazu gehören Policen für Lebensversicherungen oder private Krankenversicherungen, aber auch Beratungsprotokolle und Schadensmeldungen. In Unternehmen gestalten die neuen elektronischen Kommunikationswerkzeuge das digitale Vertragsmanagement so einfach wie nie zuvor – von der Angebotserstellung über die digitale Vertragsunterschrift bis hin zur gesiegelten Auftragserteilung. Und Behörden können in Zukunft mit Hilfe des elektronischen Siegels Steuer- und Rentenbescheide, aber auch Urkunden und Zeugnisse elektronisch »stempeln« und anschließend digital versenden.

Bedeutung für DMS- und ECM-Anwendungen

Und wie wirkt sich eIDAS auf DMS-/ECM-Anwendungen aus?

Entschew: Die eIDAS-Verordnung bietet die Chance, bisher papierbasierte Abläufe in komplett elektronische Prozesse zu überführen. Dadurch lässt sich in weit größerem Ausmaß als bisher auf Papier verzichten. Damit werden drei wichtige Themen der DMS-/ECM-Branche, das Input Management, Workflow-Anwendungen und das Output-Management berührt. So verleiht die eIDAS-Verordnung elektronischen Workflows neuen Schub. Dokumente lassen sich ohne Medienbruch elektronisch erstellen, verarbeiten sowie archivieren. Ein weiterer interessanter Einsatzbereich ist das ersetzende Scannen, bei dem am Ende die Papierdokumente vernichtet werden können. Dort stellen elektronische Siegel sicher, dass die Belege komplett und inhaltlich unverändert erfasst und langfristig vor Manipulationen geschützt sind.

Ab wann sind die neuen eIDAS-Dienste verfügbar?

Entschew: Seit 1. Juli 2016 können im gesamten EU-Raum Vertrauensdienste angeboten werden. Der Markt entwickelt sich momentan sehr dynamisch. Die Bundesdruckerei arbeitet mit Hochdruck an einer Lösung für die Fernsignatur. Erste konkrete Angebote sind zur CeBIT 2017 zu erwarten. Unternehmen und Behörden sollten aber bis dahin nicht warten, sondern sich bereits jetzt Gedanken machen, welche Geschäftsprozesse sie mit den neuen Vertrauensdiensten optimieren können und auch über neue Geschäftsmodelle nachdenken.