Registrierung für eIDAS-qualifizierte Serviceanbieter: Ein Blick in die Regulierungs-Landschaft
Einleitung
In der Welt von eIDAS ist es wichtig, die grundlegenden Konzepte der Public Key-Infrastruktur/PKI zu verstehen. Nur so sind die Registrierungsprozesse für eIDAS-Services nachvollziehbar. Die eIDAS-Regulierung bestimmt die Europäische Kommission, sich an technische Standards zu halten. Damit sind sie de facto PKI-Gesetzgebung. Das Ökosystem der einzelnen Parteien, die das Problem der verschlüsselten Kommunikation lösen, setzt einen Protagonisten voraus, der registriert. Alternativ funktioniert dies auch mit dem Identitätsnachweis einer natürlichen Person. Diese Protagonisten nennt man Registrierungs-Autoritäten/RAs. Sie arbeiten eng mit dem wichtigsten Protagonisten zusammen, der sogenannten Zertifikats-Autorität/CA. Sie wiederum stellt die technische Infrastruktur zur Verfügung, um eine Verschlüsselungs-Infrastruktur zu erstellen. Letztere ist dann für die digitale Identität verantwortlich, die wir Zertifikat nennen.
Die Rolle von CAs und RAs bei eIDAS
Unter die eIDAS-Regulierungen fallen Zertifizierungs-Schemata für vertrauenswürdige Serviceanbieter (TSPs), die ihrerseits eIDAS-konforme Services anbieten. Zu diesen gehören elektronische Signaturen, Siegel, Zeitstempel und elektronische Lieferservices. CAs stellen digitale Zertifikate aus, die einen öffentlichen Schlüssel an die Identität eines Individuums oder Einrichtungen knüpfen. Dagegen sind RAs dafür zuständig, die Identität der Individuen oder Einrichtungen zu verifizieren, BEVOR ein digitales Zertifikat ausgestellt wird. RAs führen dabei unter anderem die Identitätsverifizierung, das Berechtigungsmanagement und die Anmeldung aus. Zwischen CAs und Endnutzern gibt es häufig viele Schnittstellen und Vermittler.
Die regulatorische Landschaft eines vertrauenswürdigen eIDAS-Serviceanbieters
Eine der am häufigsten gestellten Fragen an ZealiD zu vertrauenswürdigen Serviceanbietern betrifft die Regulierung, die die Identitäts-Überprüfung und die Registrierung überwacht sowie die Rolle von RAs. Die Antwort ist, dass eIDAS den Registrierungspart formell nicht anspricht. Das fällt in die Verantwortlichkeit der CAs und ist demnach im eIDAS-Regelwerk nicht reguliert. Entscheidet sich ein Kunde jedoch für die Nutzung eines regulierten CA, kann er sich sicher sein, dass die RA-Methode mit eIDAS konform ist. Er kann sich auch gewiss sein, dass sie die Vorgaben von Artikel 24 der eIDAS-Regulation erfüllt.
Die nationale Gesetzgebung bei Registrierungen
Die Art und Weise, in der die EU-Mitgliedsstaaten sich dazu entschieden haben, die Registrierungen anzusprechen, unterscheiden sich von Land zu Land teils erheblich. In vielen Fällen ist sie nach wie vor nicht reguliert. Der Grund: Die Registrierung ist sehr technisch gesteuert.
In Frankreich wurde PVID eingeführt. Dabei handelt es sich um ein Zertifikats-Schema für Identitäts-Verifizierungs-Services, die von RAs genutzt werden könnten, um ihrerseits eIDAS-konforme Dienstleistungen anzubieten. Aktuell ist PVID das unbestritten anspruchsvollste nationale Gesetzessystem in der EU. Es bietet Qualität, Klarheit und eine fortgeschrittene Überwachung für alle Akteure innerhalb des Ökosystems der vertrauenswürdigen Services.
In Spanien wird die Video-Identifizierung durch einen königlichen Erlasse aus 08/2021 reguliert. Der Erlass legt das gesetzliche Rahmenwerk für die remote Identifikation fest, inklusive spezifischer Anforderungen für die Video-Identifikations-Prozesse. Die Regulierung gilt sowohl den öffentlichen als auch den privaten Sektor. Sie erlaubt es, die Video-Identifikation als Mittel der Identitäts-Verifizierung von Individuen remote durchzuführen. Die spanische Gesetzgebung ist allerdings nicht Technologie-neutral. Sie fördert zudem nicht die Innovation des spanischen Technologiesektors.
In Italien ist die Video-Identifikation unter dem Gesetzeserlass No. 217/2018 geregelt. Sie erlaubt die remote Identifikation durch elektronische Mittel, wozu auch die Videoidentifikation gehört. Die Regulierung gilt für Finanzeinrichtungen und Einrichtungen, die sich dem Kampf gegen die Geldwäsche verschrieben haben. Sie schreibt spezifische Vorgaben für die Video-Identifikations-Prozesse vor. Der italienische Ansatz hat die gleichen Herausforderungen wie die spanische Regulierung.
In Deutschland ist die Videoidentifikation unter dem Geldwäschegesetz geregelt. Auch sie erlaubt die remote Identifikation mit elektronischen Mitteln, inklusive der Video-Identifikation. Tatsächlich ist Deutschland einer der Pioniere in der öffentlichen Verbreitung der Video-Identifikation. Einige vermuten dahinter ein politisches Manöver. Genauer gesagt, die Folge von Millionen syrischer Flüchtlinge, die sich remote für ein deutsches Bankkonto registrieren mussten. Sie stellt damit eine Ausnahme in einer technokratischen Tradition dar, die sich stark auf die Sicherheit fokussiert. Die Regulierung giltfür Finanzeinrichtungen und andere Einrichtungen, die Geldwäsche bekämpfen. Wie in Italien gibt es spezielle Vorgaben für die Video-Identifikations-Prozesse. Die deutsche Bundesnetzagentur hat eine historisch geupdatete Liste vertrauenswürdiger Serviceanbieter, die die Video Ident-Gesetzgebung (VDG) erfüllen und demnach als eIDAS-konform gelten.
Der remote Registrierungs-Standard ETSI EN 419 261
Dank der Veröffentlichung des remoten Registrierungs-Standards ETSI EN 419 261 hat Europa nun einen Standard für die remote Identifikation. Dieser Standard stellt Richtlinien für die remote Identitäts-Überprüfung und Registrierung zur Verfügung. Zudem stellt es sicher, dass diese Prozesse sicher, zuverlässig und eIDAS-konform sind. Der Standard deckt eine Reihe von Themen ab, darunter Registrierungs-Prozesse, Identitätsnachweise und Sicherheitsvorgaben.
Es wird erwartet, dass die Einführung dieses Standards einen maßgeblichen Einfluss auf die Registrierung vertrauenswürdiger Serviceanbieter in der EU hat. Nationale Gesetzgebungen und Überwachungsbehörden können diesen Standard nun als Basis ihrer eigenen Gesetzgebungen und Regulierungsrichtlinien verwenden. Das wird zur Harmonisierung der Registrierungsregulierungen in der EU beitragen und ein Spielfeld auf Augenhöhe für alle Akteure im Ökosystem der vertrauenswürdigen Serviceanbieter bereitstellen.
Deutschlands Adaption des ETSI EN 419 261-Standards
Deutschland ist einer der ersten EU-Mitgliedsstaaten, der den ETSI EN 419 261-Standard für die remote Registrierung übernommen hat. Das Bundesamt für Sicherheit in der Informationstechnik/BSI hat den Standard in seinen technischen Richtlinien für die Implementierung der eIDAS-Regulierungen übernommen.
Die BSI-Richtlinien geben detaillierte Anleitungen zur Implementierung des Standards in der Praxis. Sie decken Themen wie die Identifikation einer natürlichen Person ebenso ab, wie die technische Infrastruktur, die für die remote Registrierung erforderlich ist. Ebenfalls wird die Dokumentation, die bei der Regulierungsbehörde vorgelegt werden muss, behandelt.
Die Übernahme dieses Standards durch Deutschland wird mit Sicherheit hohe Wellen in der EU schlagen. Andere Mitgliedsstaaten werden voraussichtlich folgen und den Standard in ihren eigenen Gesetzgebungen und Regulierungsrichtlinien implementieren. Das wird zu einer harmonischen Registrierungs-Regulierung in der EU beitragen. Auch wird ein Spielfeld auf Augenhöhe für alle Akteure aus dem Ökosystem der vertrauenswürdigen Serviceanbieter geschaffen.
Zusammenfassung
Zusammengefasst lässt sich folgendes festhalten: Obwohl eIDAS nicht formell den Registrierungspart der qualifizierten und vertrauenswürdigen Services anspricht, werden die von CAs verwendeten Registrierungsmethoden von Überwachungsbehörden reguliert. Das bedeutet, dass eine vertrauende Partei auf der Suche nach einem qualifizierten und vertrauenswürdigen Service weder die Registrierungslösung noch den Anbieter bewerten muss. Sobald ein Service als qualifiziert und vertrauenswürdig gilt, werden damit alle relevanten Konformitätsvorgaben der vertrauenden Partei erfüllt.
Zusätzlich haben einige EU-Mitgliedsstaaten ihre eigene nationale Gesetzgebung zur Registrierung. Mit dem Registrierungs-Standard ETSI EN 419 261 hat Europa nun einen Standard für die remote Identifikation, der als Basis für die nationale Gesetzgebung und die Regulierungsrichtlinien genutzt werden kann. Die Adaption des Standards durch Deutschland wird einen signifikanten Einfluss auf die Registrierungsregulierung innerhalb der EU haben. Damit wird der Standard zu einem harmonischen und ausgeglichenen Spielfeld für alle Akteure aus dem Ökosystem der vertrauenswürdigen Serviceanbieter beitragen.
Mehr Infos: