[24.1.2017] Mit der eIDAS-Verordnung will die EU das Vertrauen in digitale Prozesse der öffentlichen Verwaltung stärken. Tatsächlich könnten E-Siegel, Fern- oder Handy-Signatur den Online-Services zum Durchbruch verhelfen.

Um das Vertrauen in digitale Prozesse zu stärken, hat die EU-Kommission die eIDAS-Verordnung erlassen. Sie regelt europaweit den Umgang mit so genannten Vertrauensdiensten, wie elektronischen Signaturen, Siegeln und Zeitstempeln, und sorgt so auch für die Absicherung des digitalen Schriftverkehrs. Zudem definiert sie neue Signaturverfahren, wie die Handy-Signatur und das elektronische Siegel, und vereinfacht dadurch die sichere digitale Verwaltungsarbeit.
Um ein elektronisches Dokument signieren zu können, musste bislang mindestens ein Verwaltungsangestellter ein auf seinen Namen ausgestelltes Signaturzertifikat besitzen. In vielen Fällen ist es jedoch sinnvoll, im Namen der Behörde statt des Mitarbeiters unterschreiben zu können. Das elektronische Siegel ermöglicht als digitaler Behördenstempel genau das. Es kann immer dann zum Einsatz kommen, wenn Authentizität und Integrität sichergestellt werden sollen, aber keine persönliche Unterschrift – also keine Willensbekundung einer Einzelperson – gefordert ist.

Zwei Verfahren möglich

So lassen sich zum Beispiel Bescheide mit einem E-Siegel versehen oder auch öffentliche Bekanntmachungen, die bislang mit einer qualifizierten Signatur auf der Website der Behörde publiziert werden durften. Gleiches gilt für digital eingehende Dokumente und Faxe oder für Papierdokumente, die ersetzend gescannt und deren Digitalisate anschließend beweiswerter-haltend archiviert werden sollen.
Zur Erzeugung des E-Siegels, ausgelöst durch berechtigte Mitarbeiter, stehen prinzipiell zwei Verfahren zur Auswahl: Zum einen ist das die dezentrale manuelle Siegelung am Einzelarbeitsplatz mittels geeigneter Software. Hierbei wird das E-Siegel entweder über eine Einzelsiegelkarte und ein Lesegerät ausgelöst oder künftig auch durch ein Smartphone. Eine zweite Möglichkeit ist das zentrale Siegeln durch einen Siegel-Server: Das Siegelzertifikat befindet sich dabei entweder auf einer Massensiegelkarte oder einem HSM (Hardware Security Module). In diesem Szenario sind Zugriffsrechte im Signatur-Server zu hinterlegen, sodass nur berechtigte Mitarbeiter und Prozesse das E-Siegel auslösen können.

Handy-Signatur soll E-Government vorantreiben

Das Smartphone wird zukünftig nicht nur ein Werkzeug zum Auslösen von elektronischen Siegeln sein können, sondern kann auch für die Erzeugung einer persönlichen Unterschrift des Verwaltungsmitarbeiters, zum Beispiel im Rahmen der Rechnungsfreigabe oder sonstigen Genehmigungs- und Freigabeprozessen genutzt werden. Der private Signaturschlüssel wird nicht wie bisher auf einer persönlichen Signaturkarte gespeichert, sondern zentral bei einem zertifizierten Vertrauensdiensteanbieter (VDA) in einem HSM. Die Unterschrift kann so aus der Ferne mittels Zwei-Faktor-Authentifizierung ausgelöst werden – daher der Begriff Fernsignatur. Als Novum erlaubt die eIDAS-Verordnung neben Besitz (Signaturkarte) und Wissen (PIN) auch biometrische Merkmale (etwa einen Fingerabdruck) zur Authentifizierung. So lässt sich jeglicher Unterschriftsprozess digital ohne Signaturkarte und Lesegerät abbilden.
Vor diesem Hintergrund wird es für Bürger künftig einfacher sein, Anträge auf elektronischem Weg bei der Behörde einzureichen. Hiervon könnte zum Beispiel der Online-BaföG-Antrag deutlich profitieren. Dieser scheiterte im Herbst 2016 an der mangelnden Nutzung, da Studenten einen Kartenleser sowie ein Signaturzertifikat auf ihrem Personalausweis benötigten. Aber auch andere bestehende E-Government-Projekte können von der Handy-Signatur beflügelt werden – so zum Beispiel der digitale Bauantrag sowie die E-Vergabe. Darüber hinaus können Unternehmen unter anderem ihre mittels Smartphone signierte Steuererklärung oder den Jahresabschluss damit elektronisch an die zuständigen Behörden übersenden.

Signatur, Siegel und Zeitstempel

Die neuen Signaturverfahren werden in Zukunft vermutlich weitaus größeren Zuspruch finden. Schon jetzt besteht für Behörden laut E-Government-Gesetz die Verpflichtung, elektronisch signierte Dokumente anzunehmen (Pflicht zur Zugangseröffnung). Um die Authentizität und Integrität all der signierten Dokumente verifizieren zu können, müssen Verwaltungseinrichtungen die Gültigkeit fortgeschrittener und qualifizierter Signaturen, Siegel und Zeitstempel überprüfen. Es empfiehlt sich daher, eine Software einzusetzen, die eine Verifikation der in der eIDAS-Verordnung spezifizierten Signaturformate erlaubt. Zudem sollte die Software bei der Gültigkeitsprüfung des Signaturzertifikats auf die zentrale EU-Infrastruktur – die EU Trust Service Status List (TSL) – zurückgreifen und gegebenenfalls als Web-Service in moderne IT-Infrastrukturen integriert werden können.

Viele Einsatzszenarien

E-Siegel, Fern- oder Handy-Signatur besitzen das Potenzial, die digitale Transformation der Verwaltungsarbeit auf die nächste Stufe zu heben. Die Handy-Signatur ist eine nutzerfreundliche Alternative zur herkömmlichen qualifizierten elektronischen Unterschrift mit Signaturkarte und Kartenlesegerät. Sie bringt sowohl in der elektronischen Kommunikation mit Bürgern und Unternehmen als auch bei verwaltungsinternen Prozessen vielerlei Vorzüge mit sich. Entscheidender Vorteil des E-Siegels ist seine Nutzbarkeit im Namen der Verwaltungseinrichtung als juristische Person, ohne dass auf einzelne personenbezogene Zertifikate zurückgegriffen werden muss. Damit eröffnet das E-Siegel zahlreiche neue Einsatzszenarien, die zuvor nicht oder nur über Umwege umgesetzt werden konnten. Um die Unverfälschtheit und Urheberschaft all der signierten Dokumente feststellen zu können, sollten sämtliche Signaturen durch die Behörde eIDAS-konform verifiziert werden.

Tatami Michalek ist Geschäftsführer der secrypt GmbH, Berlin.

http://www.secrypt.de
Dieser Beitrag ist in der Januar-Ausgabe von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Dokumenten-Management, E-Signatur, eIDAS, secrypt GmbH

Bildquelle: secrypt GmbH