Kommentar zu Corona-Soforthilfe-Betrug: Vermeidbar mit eIDAS

von Christian Seegebarth

Die Corona-Pandemie hat gezeigt, wie wichtig eine sichere elektronische Kommunikation für eine funktionierende Wirtschaft und Gesellschaft ist. Sie ist die Basis-Funktionalität, auf der durchgängige elektronische Workflows erst möglich werden. Fehlt es an diesem Fundament, bleibt die Digitalisierung nur Stückwerk und anfällig für Cyberangriffe

Im April 2020 musste das Land Nordrhein-Westfalen die Internet-Antragstellung für die Corona-Soforthilfen kurzfristig stoppen. Betrüger hatten Fake-Webseiten gebaut und die Antragsteller dorthin umgeleitet. Ahnungslos gaben viele Antragsteller ihre Daten preis, darunter die Registernummer der Firma, Steuernummern, Personalausweisdaten und Kontoverbindungen. Mit diesen Daten stellten die Cyberkriminellen dann auf den Originalseiten Anträge und kassierten Gelder ab. Der Westdeutsche Rundfunk (WDR) berichtete von über 90 Fake-Webseiten; zwischen 3.500 und 4.000 Antragsteller waren vom Datenmissbrauch betroffen.

Was sind die Lehren aus diesem Vorfall? Nur wenn Personen sich zweifelsfrei elektronisch identifizieren können und eine Webseite als echt zu erkennen ist, entsteht ein Vertrauensraum für elektronische Interaktionen und Transaktionen.

Digitale Werkzeuge sind vorhanden

Die gute Nachricht: Die Werkzeuge für eine sichere elektronische Kommunikation und der für den Einsatz benötigte rechtliche Rahmen sind bereits vorhanden. Letzterer ist durch die Verordnung für elektronische Identifizierung und Vertrauensdienste (eIDAS) gesetzt. Die schlechte Nachricht: In der Breite werden die in der Verordnung definierten eIDAS-Werkzeuge, als Vertrauensdienste bezeichnet, noch nicht eingesetzt.

Zu den Vertrauensdiensten gehören zum Beispiel die elektronische Signatur oder das qualifizierte Webseitenzertifikat. Beide beugen Datenmissbrauch und Identitätsdiebstahl vor. Bei Webseiten mit einem qualifizierten Webseitenzertifikat lässt sich die Identität des Webseitenbetreibers, im Beispiel die Behörde, erkennen und nachweisen. Elektronisch signierte Dokumente ermöglichen es dem Empfänger, die Identität des Absenders zu prüfen und sich gleichzeitig zu vergewissern, dass das Dokument nicht verändert wurde.

Wichtig für einen breiten Signatureinsatz: Die eIDAS-Verordnung hat mit der Fernsignatur ein neues vereinfachtes Verfahren für die elektronische Unterschrift eingeführt. Demnach lassen sich digitale Unterschriften – ohne Signaturkarte und Lesegerät – auch aus der Ferne via Smartphone mit Computer oder Tablet auslösen. Das höchste Sicherheitsniveau der mobilen Unterschrift, die qualifizierte elektronische Fernsignatur, besitzt die gleich hohe Rechtswirkung wie eine handschriftliche Unterschrift.

Konsequent angewandt hätte eIDAS den Corona-Soforthilfen-Betrug mit hoher Wahrscheinlichkeit verhindert. Zum einen wäre es vielen Antragstellern vor der Dateneingabe aufgefallen, dass es sich bei der Antragsseite um eine Fake-Version handelt. Zum anderen hätten viele Behörden bei der Überprüfung der elektronischen Signatur den Identitätsdiebstahl entdeckt.

eIDAS-Lösungen schaffen Abhilfe

Wie lassen sich Signaturen & Co. stärker in Wirtschaft und Verwaltung verankern? Wichtig sind einfach zu bedienende Lösungen, die sich in die vorhandenen IT-Infrastrukturen der Unternehmen und Behörden einbinden lassen. Wichtige Schritte auf dem Weg dorthin wurden bereits getätigt: Fernsignaturdienste sind bereits auf dem Markt verfügbar, etwa die Fernsignaturlösung »sign-me« von D-TRUST, einem Unternehmen der Bundesdruckerei. Diese Lösung ist ein cloud-basierter Service, der die elektronische Unterschrift über eine Webanwendung ermöglicht. Zudem lässt sich der Fernsignaturdienst über eine API leicht in einen bestehenden Workflow integrieren.

Marktgängige Signaturlösungen sind bereits mit Sign-me verbunden, wie »Adobe Sign«, »d.velop«,  »DocuSign« oder »FP Sign«. Damit kann die elektronische Unterschrift in einem nahtlosen Prozess direkt von der Signatur-Applikation aus getätigt werden.

Verwaltungen und Politik in der Pflicht

Auch Verwaltungen können dazu beitragen, das »Henne und Ei«-Problem zu lösen. Viel wäre bereits erreicht, wenn Behörden flächendeckend eIDAS-Werkzeuge nicht nur akzeptieren, sondern auch proaktiv einsetzen und einfordern.

Einen großen Schub kann die Politik geben. Eine aktuelle Studie der Bundesdruckerei zur eIDAS-Verordnung kommt zu dem Schluss, dass die eIDAS-Vertrauensdienste gesetzlich stärker zu berücksichtigen sind. Verfahrensverwaltungsgesetz, E-Government-Gesetz oder Telemediengesetz: überall fehlt noch der ausdrückliche Hinweis, dass eIDAS-Werkzeuge eingesetzt werden können oder sogar müssen.

Eines ist sicher: Die rasche Umsetzung der EU-Verordnung ist ein wichtiger Baustein, um Wirtschaft und Gesellschaft auf ein stabiles und ausbaufähiges Digitalisierungsfundament zu stellen. Die anstehende eIDAS-Evaluation durch die EU-Kommission wird Aufmerksamkeit schaffen. Dies gilt es zu nutzen. Zu hoffen ist, dass eIDAS durch die deutsche Ratspräsidentschaft an Fahrt aufnimmt und es auf die politische Agenda schafft.

Auf jeden Fall muss für alle Akteure – Anwender, Marktanbieter, Behörden und Politik – die Devise gelten: Mehr eIDAS wagen!