eIDAS-Verordnung wird für Behörden relevant Warten oder starten?

Autor / Redakteur: Christoph Sutter und Clemens Wanko / Manfred Klein

Die eIDAS-Verordnung der EU betrifft die Öffentliche Verwaltung nicht direkt. Dennoch stellt eIDAS Behörden vor einige grundlegende Fragen: Wie lange lassen sich die schon im Einsatz befindlichen Vertrauensdienste weiter nutzen? Welche neuen, auf eIDAS basierende Dienste und Services sind für Behörden relevant? Und: Lohnt sich die Umstellung überhaupt und wann?

Firmen zum Thema

Die eIDAs-Verordnung bietet neue Vertrauensdienste für Behörden und Verwaltungen
Die eIDAs-Verordnung bietet neue Vertrauensdienste für Behörden und Verwaltungen
(Bild: kebox - Fotolia.com)

Denn eigentlich sind es die so genannten „Vertrauensdiensteanbieter“, wie zum Beispiel die Bundesdruckerei oder die Deutsche Rentenversicherung, die sich neu zertifizieren lassen müssen, da das noch gültige Signaturgesetz nach dem Inkrafttreten von eIDAS und dem geplanten Vertrauensdienstegesetz auslaufen wird.

eIDAS als Chance für Behörden

eIDAS ermöglicht deutlich mehr für die Öffentliche Verwaltung interessante Dienste als das derzeitige Signaturgesetz. Dieses regelt ausschließlich qualifizierte Signaturen und qualifizierte Zeitstempel. eIDAS definiert darüber hinaus auch qualifizierte Siegel, also Signaturen für juristische Personen und weitere neue Dienste.

Bildergalerie

Qualifizierte Siegel sind zum Beispiel für die Einrichtung von Postfächern interessant, über die personenungebundene Behörden­bescheide verschickt werden. Qualifizierte Signatur- und Siegelerzeugungsdienste machen die bisher genutzten Signaturkarten überflüssig.

Es genügt, auf einem zentralen Behördenserver eine für Fernsignaturen zertifizierte qualifizierte Sig­natur-/Siegelerstellungseinheit (Kryptomodul) eines Vertrauensdiensteanbieters zu installieren, über das alle Abteilungen die Signatur-/Siegelservices nutzen können. Das Ausrollen all der Signaturkarten an die einzelnen Mitarbeiter entfällt.

Vor allem Behörden mit umfangreichem internationalem Dokumentenverkehr profitieren von den standardisierten und grenzübergreifenden Normen sowie den neuen Diensten auf Basis von eIDAS. Deshalb sind besonders sie gut beraten, sich frühzeitig über spezifische Dienste, Anbieter und Konditionen zu informieren. Dies gilt um so mehr, da die Umsetzung von eIDAS in nationale Gesetze sicher nicht reibungslos und sicher auch nicht in allen EU-Ländern termingerecht über die Bühne gehen wird.

Noch dringlicher ist letztlich ein zweiter Aspekt: die Überführung von derzeit genutzten Signaturen und Zeitstempeln nach dem noch gültigen Signaturgesetz zu eIDAS. Wenn Behörden bereits heute Signaturen, Signaturanwendungen und Zeitstempel nutzen, stellt sich die Umstellung bei Zeitstempeln vergleichsweise einfach dar. Bei Signaturen ist die Situation dagegen komplexer, da bislang Karten für die Erstellung der Signaturen und die begleitende Software auf unterschiedlichen Rechnern vorgehalten wurden.

Hier müssen zum einen die alten auf neue Karten umgestellt werden. Oder die Behörden machen gleich den größeren Schritt zu einer kartenlosen Servicelösung, mit einem zentralen Signaturserver als qualifizierte Signaturerstellungseinheit für die gesamte Behörde. Zudem ist die Software umzubauen, welche die Signaturen erstellt. Nicht zuletzt müssen auch die Fach­anwendungen angepasst und die Schnittstellen zu den neuen ­eIDAS-Signaturanwendungen und Signaturerstellungseinheiten angepasst werden. Diese Umstellung ist wegen der möglichen Vielzahl und Komplexität von Schnittstellen häufig nicht trivial.

All diese Anpassungen ziehen auch organisatorische Herausforderungen nach sich: So sind die Anbieter und Betreiber der Fachanwendungen in der Regel andere als die Vertrauensdiensteanbieter. Bei einem Update aller betroffenen Systeme auf den eIDAS-Standard müssen die federführenden Behörden diese unterschiedlichen Seiten und Stakeholder zusammenführen. Dabei spielen nicht nur technische Fragen, sondern vor allem auch Kauf- und Serviceverträge eine wichtige Rolle. Auch sie müssen zu großen Teilen angepasst oder neu geschrieben werden.

All diese Umstellungen im Zuge von eIDAS lassen sich mittel- und langfristig nicht vermeiden, höchstens etwas herauszögern. Denn wenn sich eine Behörde den neuen Möglichkeiten verschließt, die eIDAS in Form neuer Services mit sich bringt, und zum Beispiel bei ihren Signaturen weiterhin auf klassische – nun eIDAS-konforme – Karten zur Signaturerzeugung setzt, erkauft sie sich diese Stabilität mit großen Nachteilen. So müssen solche Signaturkarten in der Regel nach drei Jahren ausgetauscht werden. Dies verursacht hohe Kosten, die durch die neuen kartenlosen Signaturservices größtenteils wegfallen würden. Auch besteht die Gefahr, einer letztlich „aussterbenden“ Technologie treu zu bleiben und sich dem Innovationspotenzial der neuen Dienste zu verschließen.

Ein Schlupfloch für eIDAS-Skeptiker?

Derzeit findet im Behördenumfeld eine Diskussion statt, die auf eine Ausnahme von eIDAS fokussiert: so genannte „Closed User Groups“. eIDAS spricht von „geschlossenen Systemen aufgrund nationalen Rechts oder Vereinbarungen“. Wenn diese zum Beispiel nur in Deutschland agieren und Systeme betreiben, die nur in Deutschland zur Anwendung kommen, greift eIDAS nicht.

Ein Beispiel ist etwa die Anmeldung von Unternehmen im deutschen Handelsregister mittels qualifizierter Signaturen durch Notare. Handelt es sich hier um eine „Closed User Group“, die keinerlei Schnittmengen mit anderen Ländern aufweist und deshalb ­eIDAS hier nicht zur Anwendung kommt?

Unsicherheiten bleiben. Denn in manchen Fällen dürften am Ende Gerichte entscheiden, wer sich wirklich als „Closed User Group“ bezeichnen darf und wer nicht. Hinzu kommt: Die Behörden, die diesen Weg gehen, kapseln sich von europäischen Standards sowie der allgemeinen technologischen Entwicklung ab und schaffen dadurch Insellösungen, die es ihnen mittel- und langfristig schwierig bis unmöglich machen, nachhaltige technologische und wirtschaftliche Lösungen zu erzielen.

„Closed User Groups“ können höchstens ein Mittel sein, um sich kurzfristig Luft zu verschaffen, wenn Zeit- und Projektpläne von Umstellungsvorhaben anders nicht mehr zu halten sind. Mehr als eine aufschiebende Wirkung sollten sie jedoch nicht haben.

Bei der Umstellung auf eIDAS aufseiten der Verwaltung können und sollten die Behörden auch die Service-Anbieter mit in die Pflicht nehmen, da bei diesen das eIDAS-Know-how und die Erfahrung mit diesem Thema am größten sein werden. Bei der Auswahl und bei eventuellen Neuverhandlungen mit oder gar Neuausschreibungen von Vertrauensdienstleistern sollte deshalb eine Anforderung zum Kernbestand gehören: Inwiefern ist der jeweilige Dienstleister in der Lage, die ausschreibende beziehungsweise beauftragende Behörde bei der technologischen und organisatorischen Umstellung auf ­eIDAS-Anwendungen und -Konformität zu unterstützen?

Zumindest mittelfristig dürften dies vor allem bereits unter dem Signaturgesetz akkreditierte Vertrauensdiensteanbieter gewährleisten, da sie bereits entsprechende Lernkurven durchlaufen haben. Neue Anbieter, die im Zuge von ­eIDAS erst auf den Markt vordringen, müssen sich zunächst zertifizieren lassen, um den gesetzlich geforderten Level zu erreichen. Vom Start bis zur Betriebsbereitschaft inklusive der dazu notwendigen Zertifizierungen benötigt es in der Regel rund ein Jahr.

Auch da die Zertifizierungen der Vertrauensdiensteanbieter nach eIDAS einige Zeit in Anspruch nehmen, sind Behörden gut beraten, sich frühzeitig darüber zu informieren, welche ihrer Anwendungen betroffen sein könnten, wo eventuell eine Ablösung durch neue Services sinnvoll und wirtschaftlich ist und inwiefern völlig neue, zusätzliche Anwendungen und Funktionen die Behördenprozesse beschleunigen und verbessern könnten. Vor allem aber ist sicherzustellen, dass Vertrauensdiensteanbieter auch auf jeden Fall von einem der bei der DAkkS akkreditierten Zertifizierer überprüft und zertifiziert wurden. Denn nur dann ist die notwendige Rechtsverbindlichkeit gewährleistet. Eventuell andere Zertifikate nicht akkreditierter Stellen mögen zwar auch Aussagekraft haben, sind aber im Zweifelsfall nicht belastbar.

(ID:44054854)