Versicherungsbetriebe > Strategie

29.05.2018 von hs

Der Weg zur eIDAS-Konformität

In den letzten Jahren ist die Sorge um die Sicherheit und Authentizität von elektronisch signierten Dokumenten gewachsen, insbesondere in Europa. Wie lässt sich die Identität des Signaturgebers nachweisen? Wie, dass das Dokument authentisch ist? Und können signierte Dokumente Grenzen mit der gleichen Integrität wie im Herkunftsland überschreiten? 

Verwendet man digitale Zertifikate, erlaubt das digitale Signaturen, die an individuelle und organisatorische Identitäten gebunden sind und über einen Zeitstempel verfügen. Bis zu einem gewissen Grad ist das Problem damit gelöst. Zertifikate werden inzwischen für die unterschiedlichsten Anwendungsfelder eingesetzt, ob jemand ein Online-Bankkonto eröffnet, eine Versicherung beantragt oder ob ein Bankinstitut Zertifikate verwendet, um Dokumente zu validieren und zu schützen. Jedes Land hat jedoch noch eigene Regeln und Vorschriften.

Um den sicheren Austausch von Daten oder Diensten zu ermöglichen muss die Identität der Nutzer gewährleistet sein. Das hat man in Europa bereits erkannt und für den sich wandelnden digitalen Markt der Europäischen Union die elektronische Identifizierung und Vertrauensdienste (eIDAS) geschaffen. eIDAS ist ein elektronischer Identifikationsstandard für sichere und optimierte Online-Transaktionen in ganz Europa. Die Verordnung stützt sich auf elektronische Vertrauensdienste. Dank eIDAS garantiert die EU-Verordnung die Gültigkeit aller digitalen Zertifikate im gesamten Hoheitsgebiet unabhängig vom Herkunftsland. Erklärtes Ziel sind grenzübergreifend sichere elektronische Transaktionen in der EU. Die Verordnung erstreckt sich auf alle Sektoren.

Die folgenden Fragen beantwortet Dawn Illing, Regional Product Manager EMEA bei GlobalSign:

 

Was versteht man unter einem qualifizierten Vertrauensdiensteanbieter (QTSP)?

Der qualifizierte Vertrauensdiensteanbieter (QTSP) spielt eine wichtige Rolle im Prozess des qualifizierten elektronischen Signierens - das höchste Sicherheitsniveau der Signatur, wie von eIDAS spezifiziert. Die Vertrauensdiensteanbieter brauchen einen qualifizierten Status und die Erlaubnis einer staatlichen Aufsichtsbehörde, um qualifizierte digitale Zertifikate bereitzustellen. Mit ihnen lassen sich qualifizierte elektronische Signaturen unter Einhaltung strenger Richtlinien erstellen. eIDAS schreibt vor, dass die EU eine EU-Vertrauensliste führt, in der die Anbieter und Dienste aufgelistet sind, die einen qualifizierten Status bekommen haben. Ein Vertrauensdiensteanbieter ist nicht berechtigt, qualifizierte Vertrauensdienste bereitzustellen, wenn er nicht auf dieser EU-Vertrauensliste geführt wird.

 

Wie bewerten Sie die Veränderungen im Markt und insbesondere den Wettbewerbsvorteil?

Bestimmte elektronische Signaturen, wie z. B. das Signieren auf einem Tablet oder Smartphone, werden derzeit vor einem Gericht nicht anerkannt. Einer der wichtigsten neuen Aspekte der eIDAS-Verordnung ist jedoch die Verwendung von rechtlich anerkannten digitalen Signaturen auf diesen Geräten in ganz Europa. Als qualifizierte elektronische Fernsignatur ist die Signatur für Verträge und Anträge gültig, die gemäß Gesetz schriftlich fixiert werden müssen. Dadurch wird ein sehr langwieriger Prozess wie es die Verifizierung ist beseitigt. Dabei muss jemand bestätigen, dass Sie genau die Person sind, für die Sie sich ausgeben. Das digitale Zertifikat bindet diese Identität an die digitale Signatur. Das ist nur ein Beispiel dafür, wie die neuen, durch die Verordnung festgelegten Standards, dazu beitragen, ganze Branchen zu verändern.

Immer mehr Unternehmen, insbesondere im Finanzsektor verändern sich durch technische Innovationen und die digitale Wirtschaft. Neue Marktteilnehmer bieten neuartige Dienste und eine verbesserte Kundenerfahrung an. Zusammen mit der überarbeiteten Richtlinie über Zahlungsdienste (PSD2), die darauf abzielt, die Sicherheit und die Betrugsprävention zu verbessern und, was genauso wichtig ist, die eine bessere Kundenerfahrung erlauben. Unter gleichen Wettbewerbsbedingungen für neue und alte Akteure. Dies führt zu einem Wandel im europäischen Binnenmarkt hin zu einem digitalen europäischen Binnenmarkt.

Die Kundenerfahrung ist wichtiger denn je, um einen echten Mehrwert für Kunden, insbesondere im Finanzsektor zu schaffen. Und sie ist wesentlicher Teil der wachsenden digitalen Wirtschaft. Je sicherer diese Prozesse ablaufen, desto positiver wirkt sich das auf die Kundenerfahrung und das Wachstum von Unternehmen aus. eIDAS ist ein starker Innovationstreiber und sorgt dafür, dass Sicherheit innerhalb des gesamten digitalen Workflows berücksichtigt wird.

 

Warum hat GlobalSign sich entschieden, QTSP zu werden?

Als globale Zertifizierungsstelle und Anbieter einer Cloud-basierten Managed PKI-Lösung (Public Key Infrastructure) ermöglichen wir unseren Kunden seit Jahren, Dokumente digital zu signieren. Erst vor kurzem haben wir dazu einen Digital Signing Service gestartet, den Firmen in jede digitale Workflow-Lösung integrieren und mit dem Benutzer Dokumente digital signieren können. QTSP zu werden und eIDAS-zertifiziert zu sein ist ein deutlicher Wettbewerbsvorteil.

 

Was können Sie besser als andere QTSPs?

Der Digital Signing Service von GlobalSign ist ein Cloud-basierter, hoch skalierbarer, API-gestützter Dienst, den man nahtlos in jede Dokumenten-Workflow-Lösung integrieren kann. Im Gegensatz zu herkömmlichen Lösungen für digitale Signaturen erlaubt er das sichere und konforme Signieren von Dokumenten. Gleichzeitig entfällt in der Handhabung umständliche und nicht zuletzt teure Sicherheitshardware (es sind keine Token oder interne Hardwaresicherheitsmodule [HSMs] nötig) und der zusätzliche Zeitaufwand für professionelle Dienste.

Wir kümmern uns um alle kryptografischen Komponenten, die für vertrauenswürdige, konforme digitale Signaturen erforderlich sind, wie z. B. Signieren, Zertifikatausstellung, Schlüsselverwaltung, Zeitstempel und die Integration in externe Identitätsverifizierungsdienste mit API-Schnittstellen. Meines Wissens kann das sonst keine der aktuellen Lösungen auf dem Markt.

 

Welche Erfahrungen haben Sie auf dem Weg zur Akkreditierung gemacht?

Die Akkreditierung ist kein einfacher Prozess. Das sollte sie auch nicht sein, wenn man im Markt entsprechende Klarheit haben will. Wir haben im vergangenen Jahr bereits einige der Prüfungsphasen durchlaufen und werden aller Voraussicht nach bis zum dritten Quartal 2018 als QTSP akkreditiert sein.

Der langwierige Prozess zur Akkreditierung hat aber auch Vorteile. Wir hatten dadurch ausreichend Zeit, den Markt zu bewerten und intern Strategien zu entwickeln, die unsere Lösungen und die kommende Gesetzgebung gleichermaßen berücksichtigen. So hatten wir die Möglichkeit, vorausschauend zu planen und die Bedürfnisse unserer Kunden zu berücksichtigen.

Wir sind zuversichtlich, dass, sobald wir im Laufe dieses Jahres als QTSP akkreditiert sind, unser Digital Signing Service großen Nutzen für Institutionen haben wird, die ihre Geschäftsmodelle digital beschleunigen und verändern wollen