Weitgehend unbemerkt von der Europäischen Öffentlichkeit ist der Europäischen Union in den vergangenen Wochen ein grundlegender Schritt zur Verankerung von Gesetzen und Geschäftsgrundlagen für sichere digitale Transaktionen im gemeinsamen Europäischen Wirtschaftsraum gelungen. Mit der „Regulation on electronic identification and trust services for electronic transactions” (kurz eIDAS, verabschiedet am 23. Juli 2014 und in Kraft getreten mit der Veröffentlichung im Amtsblatt der Europäischen Union am 28. August 2014) hat der Wettlauf zur Schaffung von EU-weiten, grenzüberschreitenden Vertrauensdiensten begonnen.
Als europäische Verordnung gilt die eIDAS-Verordnung unmittelbar in jedem Mitgliedstaat der Europäischen Union. Der zentrale Regelungsinhalt der Verordnung ist, das ordnungsgemäße Funktionieren des Europäischen Binnenmarktes sicherzustellen. Dazu ist ein angemessenes Sicherheitsniveau bei elektronischen Identifizierungsdiensten und Vertrauensdiensten sicherzustellen.
Zu allererst schafft die EU die rechtlichen Grundlagen, unter denen die einzelnen Mitgliedsstaaten die elektronischen Identifikationen für natürliche und juristische Personen, die einem nostrifizierten elektronischen Identifizierungssystem eines anderen Mitgliedsstaats unterliegen, anerkennen. Das ist ein wesentlicher Schritt, denn damit werden die unter nationalstaatlicher Souveränität stehenden elektronischen Identifizierungen grenzüberschreitend einsetzbar.
Als zweiten wesentlichen Schritt legt die eIDAS-Verordnung die Europäischen Vorschriften für Vertrauensdienste[1] fest. Vertrauensdienste sind damit jene elektronischen Dienste, die im Zentrum der Sicherheit und Authentifizierung von elektronischen Transaktionen stehen.
Zum Dritten legt die eIDAS-Verordnung den Rechtsrahmen für elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Dokumente, Dienste für die Zustellung elektronischer Einschreiben und Zertifizierungsdienste für die Webseiten-Authentifizierung fest.
Jetzt muss der Rechtsrahmen befüllt werden, den die Europäische Union geschaffen hat.
Dieser Rechtsrahmen wird in den kommenden Jahren durch gezielte technische und organisatorische Rechtssetzungen im Zuge einer sekundären Rechtsetzung befüllt. Die Arbeiten dazu haben schon in den vergangenen Jahren begonnen und waren nicht auf die Europäische Union beschränkt.
Der Weltpostverein hat den postalischen Versorgungsraum in die digitale Welt erweitert.
In diesem Zusammenhang ist es wichtig hervorzuheben, dass der Weltpostverein (eine Sonderorganisation der Vereinten Nationen, deren Aufgabe es ist, das weltweite Postnetz nicht nur aufrecht zu erhalten, sondern auch dem Stand der Technik anzupassen), mit der Erweiterung des postalischen Versorgungsraums in das Internet, schon vor Jahren, globale Normen und Standards geschaffen hat. Nun gilt es, den von der EU geschaffenen Rahmen mit den Ausführungsbestimmungen und bereits in Anwendung befindlichen Lösungen in Übereinstimmung zu bringen. Dabei ist es nicht überraschend, dass sich die Zielsetzungen der EU und des Weltpostvereins, eine gesicherte Grundlage für eine elektronische Kommunikationslogistik zu schaffen, überschneiden.
Das Europäische Komitee für Normung (CEN) und der Weltpostverein (UPU) arbeiten zusammen.
Die technische Arbeitsgruppe des Europäischen Komitees für Normung (CEN) für digitale Postdienste, CEN/TC331 WG2, hat bereits vor mehr als 3 Jahren die einschlägigen Normen und Standards des Weltpostvereins für die gesicherte elektronische Kommunikation mit elektronischen Dokumenten, elektronische Siegel, elektronische Zeitstempel, und Diensten für die Zustellung elektronischer Einschreiben in das Format des Europäischen Komitees für Normung (CEN) übernommen.
Das Europäische Komitee für Normierung (CEN) überarbeitet Normen innerhalb des Rechtsrahmens der eIDAS-Verordnung
Das zuständige CEN Gremium (CEN/TC331 WG2) trägt der Inkraftsetzung der eIDAS Verordnung der EU Rechnung und schreibt die einschlägigen Normen zur Überarbeitung aus. Damit soll sichergestellt werden, dass interessierte Experten aus der Wirtschaft und Verwaltung, aber auch andere von der Normierung betroffene Kreise (Konsumentenvertreter), die Möglichkeit haben an zielgerichteten Verbesserungen mitzuwirken.
Im Vordergrund stehen die Sicherheit der Kommunikation und der Schutz des Individuums.
Wenn einem elektronischem Dokument und der damit verbundenen Übermittlung vertraut werden soll, ist die Identität des Versenders und Empfängers wichtig, im Mittelpunkt aber steht die Unversehrtheit und, je nach Vertrauensschutz und Sicherheitsvorgaben, die Vertraulichkeits- und Sicherheitsstufe.
Gleiches gilt auch für elektronische Transaktionen, die über das bloße Versenden von e-Dokumenten und den Schutz der persönlichen Datensphäre hinausgehen. Zunehmend ist es bei e-Transaktion gefordert, notwendige Attribute und Authentifikationsmerkmale (Credentials) in geschützten Umgebungen den Anwendungen bekannt zu geben. Vertrauensdienste werden grundlegende Funktionen als Identitätsmittler (eID Provider) übernehmen und gezielt, mit Wissen und Wollen der (juristischen und natürlichen) Personen, den Anwendungen, mit denen kommuniziert wird, für die Transaktionen notwendige Attribute und Merkmale der Personen zur Verfügung stellen.
Das in der Folge die Vertrauensdienste zueinander „Trustframeworks“ bilden werden und dabei auch unterschiedliche Sicherheitsstufen erfüllen, liegt im Wesen unserer dezentralisierten digitalen Welt.
Clearing zwischen Vertrauensdiensten und Terminierungsentgelte zwischen den Vertrauensdiensten
Grenzüberschreitende elektronische Kommunikationslösungen werden ohne föderierte Clearingsysteme, die von qualifizierten Vertrauensdiensten etabliert werden, nicht auskommen.
Gleichzeitig bieten solche System höchstmöglichen Schutz bei geringstmöglicher Komplexität und höchster Nutzerfreundlichkeit. Dabei ist es fast schon müßig zu betonen, dass sich solch genannte Systeme mit den flächendeckend verbreiteten Kommunikationslösungen, allen voran E-Mail, aber auch Nachrichten / Text Applikationen, bruchfrei verbinden lassen müssen (und dies auch tun).
Kommunikation ist ein wesentlicher Teil unserer Kultur und Gesellschaft, es ist daher keine Überraschung, dass Europa wiederum die Grundlagen schafft, um wesentliche Errungenschaften der Zivilisation für die digitale Welt gesetzlich, regulatorisch und technisch abzusichern. Dort wird qualifizierter Vertrauensschutz eingefordert, wo dieser in der analogen Welt vor knapp 150 Jahren wesentliche Grundlagen der demokratischen Werteordnung verankern half, nämlich Meinungsfreiheit, Pressefreiheit, Schutz des Briefgeheimnisses und Schutz der Privatsphäre.
Bei der vertrauenswürdigen elektronischen Kommunikation, geschützten Chat-Diensten und allen digitalen Transaktionsdiensten geht es um nichts mehr, aber auch um nichts weniger.
Diese und weitere Themen zur sicheren Kommunikation werden auf dem Managementforum Postmarkt am 23. und 24. Oktober 2014 in der IHK Frankfurt behandelt.
Wir freuen uns auf Ihre Teilnahme!
Sie haben Fragen?
Gerne stehen Ihnen Herr Serkan Antmen, Mitgliederbetreuung Post und Informationslogistik (Telefon: +49 69 829722-46, E-Mail: [encrypt_mail]antmen@dvpt.de[/encrypt_mail]), für Rückfragen zur Verfügung.