Zertifizierung eIDAS

Zertifizierung von Vertrauensdiensten

Die eIDAS-Verordnung regelt EU-weit Vertrauensdienste. Damit gibt eIDAS den Rechtsrahmen für elektronische Signaturen, Siegel, Zeitstempel sowie Dienste für Zustellung elektronischer Einschreiben und Dienste für Website-Authentisierung vor. Weite Teile von eIDAS setzen damit das deutsche Signaturgesetz (SigG) außer Kraft. Die qualifizierten Vertrauensdiensteanbieter müssen mit den qualifizierten Vertrauensdiensten geprüft werden – durch akkreditierte Konformitätsbewertungsstellen. Die datenschutz cert GmbH ist einer der bei der DAkkS akkreditierten Konformitätsbewertungsstellen nach Artikel 3 Nummer 18 der Verordnung (EU) Nr. 910/2014.

Darüber hinaus regelt die eIDAS-Verordnung auch die Feststellung der Konformität qualifizierter elektronischer Signatur- oder Siegelerstellungseinheiten mit den Anforderungen des Anhangs II der Verordnung (EU) 910/2014 – durch eine eIDAS-Zertifizierungsstelle. Die datenschutz cert GmbH ist eine bei der Bundesnetzagentur anerkannte Zertifizierungsstelle nach Art. 30 Abs. 1 der Verordnung (EU) 910/2014 i.V.m. § 17 des Vertrauensdienstegesetzes (VDG).

Hintergründe zu eIDAS

eIDAS steht für „Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“. eIDAS löst das deutsche Signaturgesetz SigG weitestgehend ab bzw. eIDAS wird als EU-Verordnung Anwendungsvorrang vor dem SigG genießen, so dass die Anforderungen aus SigG und SigV nicht mehr angewendet werden können, die nunmehr eIDAS regelt. Das, was von SigG „übrig bleibt“, also nicht von eIDAS geregelt wird, soll in einem sogenannten Vertrauensdienstegesetz neu gesetzlich verankert werden.

eIDAS regelt elektronische Identifizierungsmittel für natürliche und juristische Personen sowie Vertrauensdienste. Damit gibt eIDAS den Rechtsrahmen für elektronische Signaturen, Siegel, Zeitstempel sowie Dienste für Zustellung elektronischer Einschreiben und Dienste für Website-Authentisierung vor. eIDAS sieht im Detail folgende Dienste vor:

Erstellung

  • qualifizierter Zertifikate für elektronische Signaturen 
  • qualifizierter Zertifikate für elektronische Siegel 
  • qualifizierter Zertifikate für die Website-Authentifizierung 
  • qualifizierter elektronischer Zeitstempel 
  • qualifizierter elektronischer Signaturen 
  • qualifizierter elektronischer Siegeln 

Überprüfung und Validierung 

  • qualifizierter elektronischer Signaturen, Siegeln, Zeitstempeln und zugehöriger qualifizierter Zertifikate 
  • qualifizierter Zertifikate für die Website-Authentifizierung 

Aufbewahrung 

  • qualifizierter elektronischer Signaturen, Siegeln oder zugehöriger qualifizierter Zertifikate 

Zustellung

  • elektronischer Einschreiben

Während elektronische Signaturen, Zertifikate und Zeitstempel aus SigG und SigV grundsätzlich bekannt sind, sind elektronische Siegel neu. Damit kommt der Gesetzgeber dem lang-gehegten Wunsch aus Behörden und der Wirtschaft nach, dass auch Organisationen eine Signatur erzeugen können. 

Ferner neu sind Bewahrungs- und Einschreib-/Zustelldienste. Lt. eIDAS-VO ist der „‘Dienst für die Zustellung elektronischer Einschreiben‘ […] ein Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt.“

Webseiten-Zertifikate wurden bereits zuvor über das CA/Browser (CAB)-Forum eingefordert: Wer bislang in die Browser und Betriebssysteme sein Zertifikat vorinstalliert haben wollte, musste eine entsprechende Zertifizierung aufweisen. Diese Regelungen wurden nun auch in eIDAS aufgenommen.

 

Qualifizierte elektronische Signaturerstellungseinheiten und Siegelerstellungseinheiten

Qualifizierte elektronische Signatur- und Siegelerstellungseinheiten müssen den Anforderungen von Anhang II der eIDAS-VO genügen. Artikel 30 bzw. 39 der eIDAS-VO 910/2014 regelt, dass die Konformität qualifizierter elektronischer Signatur- und Siegelerstellungseinheiten mit den Anforderungen des Anhangs II von geeigneten Stellen zertifiziert werden.

Ihre Vorteile einer eIDAS-Zertifizierung

Ganz klar: Die eIDAS-VO schreibt eine Zertifizierung für qualifizierte Vertrauensdiensteanbeiter vor. 

Neben dieser Marktzutrittsvoraussetzung gemäß eIDAS zeigt die Erfahrung aber auch: Sowohl Prozesse als auch Produkte werden häufig besser und effizienter, wenn diese von unabhängigen Experten begutachtet und getestet werden. 

Normen für die Zertifizierung

Für die Prüfung und Zertifizierung von Vertrauensdiensteanbietern und den von ihnen angebotenen Vertrauensdiensten werden ETSI-Normen herangezogen: 

  • ETSI EN 319 401: Die grundlegenden Anforderungen an Vertrauensdiensteanbieter (Trust Service Provider - TSP) werden in der Norm ETSI EN 319 401 aufgestellt. Ihr Titel („General Policy Requirements for Trust Service Providers supporting Electronic Signatures”) zeigt, dass alle nachgeordneten Normen die Erfüllung der ETSI EN 319 401 verlangen.
  • ETSI EN 319 411-2 („Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates”) definiert die Anforderungen, die an einen TSP gestellt werden, der qualifizierte Zertifikate herausgeben will.
  • ETSI TS 319 411-3 („Trust Service Providers issuing certificates; Part 3: Policy requirements for Certification Authorities issuing public key certificates“) definiert die Anforderungen, die an einen TSP gestellt werden, der allgemeine, z. B. fortgeschrittene Zertifikate herausgeben will. Die Zertifizierung nach dieser Norm hat einen weiteren Vorteil: Die Hersteller von Internet-Browsern akzeptieren diese Zertifizierung als Vorbedingung für die Aufnahme des TSP in den Zertifikatsspeicher ihres jeweiligen Internet-Browsers.
  • ETSI EN 319 421: Anforderungen an TSPs, die qualifizierte elektronische Zeitstempel ausstellen. 

Wie vormals im SigG auch werden für die Erzeugung von Signaturen sichere Signaturerstellungseinheiten benötigt, dazu gibt eIDAS in Anhang II grobe Anforderungen vor. Diese Anforderungen werden nun in einem Durchführungsbeschluss konkretisiert: Im Durchführungsbeschluss (EU) 2016/650 vom 25. April 2016 „zur Festlegung von Normen für die Sicherheitsbewertung qualifizierter Signatur- und Siegelerstellungseinheiten gemäß Artikel 30 Absatz 3 und Artikel 39 Absatz 2 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ werden Common Criteria-Zertifizierungen auf Basis von Common Criteria-Schutzprofilen normiert. 

Unsere Vorgehensweise

Die Deutsche Akkreditierungsstelle (DAkkS) akkreditiert Zertifizierungsstellen auf Basis der ETSI EN 319 403 i.V.m. ISO/IEC 17065. Diese von der DAkkS akkreditierten Stellen dürfen die o.g. Vertrauensdienste zertifizieren. 

Die datenschutz cert GmbH ist bei der DAkkS als eIDAS-Konformitätsbewertungsstelle akkreditiert und darf danach Zertifikate zu eIDAS und den ETSI-Normen erteilen.

Die datenschutz cert GmbH ist ferner bei der Bundesnetzagentur als eIDAS-Zertifizierungsstelle anerkannt.

Unser Anspruch ist, Sie nicht nur umfassend zu allen Fragen rund um eine eIDAS-Zertifizierung zu informieren, sondern Sie auch partnerschaftlich durch die Prüfung zu begleiten.

Kosten

Auf welche Kosten/Gebühren müssen Sie sich einstellen: Da die Kosten stark von der Komplexität des Untersuchungsgegenstands abhängen, sprechen Sie uns bitte für ein konkretes Angebot einfach an!