eIDAS- eIDAS

Das EU-Gütesiegel für qualifizierte Vertrauensdienste.

Der digitale EU-Binnenmarkt und die Erleichterung der grenzüberschreitenden öffentlichen Dienste.

eIDAS ( e lectronic ID entifikations, A uthentifizierung und Vertrauen S ervice) ist eine EU - Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im europäischen Binnenmarkt . Es wurde in der EU-Verordnung 910/2014 vom 23. Juli 2014 über die elektronische Identifizierung und Aufhebung 1999/93/EG vom 13. Dezember 1999 festgelegt.

Sie trat am 17. September 2014 in Kraft und gilt ab dem 1. Juli 2016 mit Ausnahme bestimmter Artikel, die in ihrem Artikel 52 aufgeführt sind. Alle Organisationen, die öffentliche digitale Dienste in einem EU-Mitgliedstaat anbieten, müssen ab dem 29. September die elektronische Identifizierung aller EU-Mitgliedstaaten anerkennen , 2018.

Beschreibung

eIDAS beaufsichtigt elektronische Identifizierungs- und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt der Europäischen Union . Es regelt elektronische Signaturen , elektronische Transaktionen, beteiligte Stellen und deren Einbettungsprozesse, um Benutzern eine sichere Möglichkeit zu bieten, Online-Geschäfte wie elektronische Überweisungen oder Transaktionen mit öffentlichen Diensten durchzuführen . Sowohl der Unterzeichner als auch der Empfänger können mehr Komfort und Sicherheit haben . Anstatt sich auf traditionelle Methoden wie Post oder Fax zu verlassen oder persönlich zu erscheinen, um papierbasierte Dokumente einzureichen, können sie jetzt grenzüberschreitende Transaktionen durchführen, wie die " 1-Click "-Technologie.

eIDAS hat Standards geschaffen, für die elektronische Signaturen, qualifizierte digitale Zertifikate , elektronische Siegel , Zeitstempel und andere Nachweise für Authentifizierungsmechanismen elektronische Transaktionen mit derselben Rechtskraft wie Transaktionen auf Papier ermöglichen.

Die Verordnung trat im Juli 2015 in Kraft, um sichere und nahtlose elektronische Transaktionen innerhalb der Europäischen Union zu ermöglichen. Die Mitgliedstaaten sind verpflichtet, elektronische Signaturen anzuerkennen, die den Standards von eIDAS entsprechen.

Vision

eIDAS ist ein Ergebnis der Fokussierung der Europäischen Kommission auf die Digitale Agenda Europas. Unter Aufsicht der Kommission wurde eIDAS implementiert, um das digitale Wachstum innerhalb der EU anzukurbeln.

Die Absicht von eIDAS ist es, Innovationen voranzutreiben. Durch die Einhaltung der im Rahmen von eIDAS festgelegten Richtlinien für Technologie werden Unternehmen dazu gedrängt, ein höheres Maß an Informationssicherheit und Innovation zu nutzen . Darüber hinaus konzentriert sich eIDAS auf Folgendes:

• Interoperabilität : Die Mitgliedstaaten müssen einen gemeinsamen Rahmen schaffen, der eIDs anderer Mitgliedstaaten erkennt und ihre Authentizität und Sicherheit gewährleistet. Das macht es den Benutzern leicht, Geschäfte über Grenzen hinweg abzuwickeln.
• Transparenz : eIDAS bietet eine klare und zugängliche Liste vertrauenswürdiger Dienste, die innerhalb des zentralisierten Signierungsrahmens verwendet werden können. Dies gibt Sicherheitsbeteiligten die Möglichkeit, über die besten Technologien und Tools zur Sicherung digitaler Signaturen in einen Dialog zu treten.

Geregelte Aspekte bei elektronischen Transaktionen

Die Verordnung bietet das regulatorische Umfeld für die folgenden wichtigen Aspekte im Zusammenhang mit elektronischen Transaktionen:

• Digitale Identität : ein europaweiter Rahmen für die digitale Authentifizierung von Bürgern mit Rechtsgültigkeit. Neun Grundsätze der digitalen Identität der EU wurden definiert: Wahlmöglichkeiten des Nutzers, Datenschutz, Interoperabilität und Sicherheit, Vertrauen, Bequemlichkeit, Zustimmung des Nutzers und Verhältnismäßigkeit der Kontrolle, Kenntnis der Partner und globale Skalierbarkeit.
• Fortgeschrittene elektronische Signatur : Eine elektronische Signatur gilt als fortgeschritten, wenn sie bestimmte Anforderungen erfüllt:
  • Es bietet eindeutige Identifizierungsinformationen, die es mit seinem Unterzeichner verbinden.
  • Der Unterzeichner hat die alleinige Kontrolle über die Daten, die zur Erstellung der elektronischen Signatur verwendet werden.
  • Es muss erkennbar sein, ob die Begleitdaten der Nachricht nach dem Signieren manipuliert wurden. Wenn sich die signierten Daten geändert haben, wird die Signatur als ungültig markiert.
  • Es gibt ein Zertifikat für die elektronische Signatur, einen elektronischen Nachweis, der die Identität des Unterzeichners bestätigt und die Validierungsdaten der elektronischen Signatur mit dieser Person verknüpft.
  • Fortschrittliche elektronische Signaturen können technisch umgesetzt werden, indem sie dem Standard XAdES , PAdES , CAdES oder ASiC Baseline Profile ( Associated Signature Containers ) für digitale Signaturen folgen , der vom ETSI spezifiziert wird .
• Qualifizierte elektronische Signatur , eine fortgeschrittene elektronische Signatur, die von einem qualifizierten elektronischen Signaturerstellungsgerät basierend auf einem qualifizierten Zertifikat für elektronische Signaturen erstellt wird.
• Qualifiziertes digitales Zertifikat für die elektronische Signatur , ein Zertifikat, das die Authentizität einer qualifizierten elektronischen Signatur bescheinigt, die von einem qualifizierten Vertrauensdienstanbieter ausgestellt wurde.
• Qualifiziertes Website-Authentifizierungszertifikat , ein qualifiziertes digitales Zertifikat gemäß den in der eIDAS-Verordnung definierten Vertrauensdiensten.
• Vertrauensdienst , ein elektronischer Dienst, der elektronische Signaturen , Zeitstempel , Siegel und Zertifikate erstellt, validiert und verifiziert. Außerdem kann ein Vertrauensdienst eine Website-Authentifizierung und die Aufbewahrung erstellter elektronischer Signaturen, Zertifikate und Siegel bereitstellen. Sie wird von einem Vertrauensdienstanbieter abgewickelt.

Entwicklung und rechtliche Auswirkungen

Die eIDAS-Verordnung ging aus der Richtlinie 1999/93/EG hervor, die ein Ziel festlegte, das die EU-Mitgliedstaaten in Bezug auf das elektronische Signieren erreichen sollten. Kleinere europäische Länder gehörten zu den ersten, die mit der Einführung digitaler Signaturen und Identifizierungen begannen, zum Beispiel wurde 2002 die erste digitale Signatur Estlands und 2006 die erste lettische digitale Signatur vergeben. Ihre Erfahrungen wurden genutzt, um ein jetzt EU-weites Verordnung , die seit dem 1. Juli 2016 EU-weit verbindlich ist. Die Richtlinie hat die EU-Mitgliedstaaten für die Schaffung von Gesetzen verantwortlich gemacht, die es ihnen ermöglichen, das Ziel der Schaffung eines elektronischen Signatursystems innerhalb der EU zu erreichen. Die Richtlinie erlaubte auch jedem Mitgliedsstaat, das Gesetz auszulegen und Beschränkungen aufzuerlegen, wodurch echte Interoperabilität verhindert und zu einem fragmentierten Szenario geführt wurde. Im Gegensatz zu dieser Richtlinie gewährleistet eIDAS die gegenseitige Anerkennung der eID zur Authentifizierung zwischen den Mitgliedstaaten und erreicht damit das Ziel des digitalen Binnenmarkts .

eIDAS bietet einen abgestuften Ansatz von rechtlichem Wert. Sie verlangt, dass keiner elektronischen Signatur allein schon deshalb die Rechtswirksamkeit oder Zulässigkeit abgesprochen wird, weil es sich nicht um eine fortgeschrittene oder qualifizierte elektronische Signatur handelt. Qualifizierte elektronische Signaturen müssen die gleiche Rechtswirkung haben wie handschriftliche Unterschriften.

Bei elektronischen Siegeln (Signaturen von juristischen Personen) wird der Beweiswert ausdrücklich angesprochen, da Siegel die Integritätsvermutung und die Richtigkeit der Herkunft der beigefügten Daten genießen sollten.

Identifikationsnummer

Datenbankinformationen müssen mit einer Art Identitätsnummer verknüpft werden. Um zu bestätigen, dass eine Person das Recht hat, auf einige personenbezogene Daten zuzugreifen, sind mehrere Schritte erforderlich.

• Verbinden einer Person mit einer Nummer, was durch in einem Land entwickelte Methoden wie digitale Zertifikate erfolgen kann.
• Verknüpfen einer Nummer mit bestimmten Informationen in Datenbanken.
• Für eIDAS ist es erforderlich, die von einem Land mit Informationen verwendete Nummer mit der Nummer des Landes zu verbinden, das die digitalen Zertifikate ausstellt.

eIDAS hat als minimales Identitätskonzept den Namen und das Geburtsdatum. Um jedoch auf sensiblere Informationen zugreifen zu können, ist eine Art Bescheinigung erforderlich, dass sich die von zwei Ländern ausgestellten Identitätsnummern auf dieselbe Person beziehen.

Schwachstellen

Im Oktober 2019 wurden von Sicherheitsforschern zwei Sicherheitslücken in eIDAS-Node (eine Beispielimplementierung des von der Europäischen Kommission bereitgestellten eID-eIDAS-Profils) entdeckt; beide Schwachstellen wurden für die Version 2.3.1 von eIDAS-Node gepatcht.

Europäischer Rahmen für die selbstsouveräne Identität

Die Europäische Union erstellt ein eIDAS-kompatibles European Self-Sovereign Identity Framework (ESSIF).

Siehe auch

• PAdES
• Multi-Faktor-Authentifizierung

Verweise

Externe Links

• „VERORDNUNG (EU) Nr. 910/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“ . - Der Text der eIDAS-EU-Verordnung.