ISO 9001 Certificate
Konformität

eIDAS-Compliance

Am 1. Juli 2016 ersetzte die Verordnung über elektronische Identifizierungs- und Vertrauensdienste (eIDAS) die 17 Jahre alte eSignatur-Richtlinie 1999/93/EG und trat in 28 EU-Mitgliedstaaten unmittelbar in Kraft.

Als HSM-Hersteller ist Utimaco führend bei der Definition der entsprechenden technischen Anforderungen und erreicht Konformität mit den eIDAS-Anforderungen.

eIDAS – EU-Verordnung über elektronische Identifizierung und Vertrauensdienste

Hardware-Sicherheitsmodule als Vertrauensanker für Vertrauensdiensteanbieter

Die eIDAS-Verordnung soll das Wirtschaftswachstum ankurbeln, indem sie das Vertrauen in die digitale Welt und den europäischen digitalen Binnenmarkt fördert. Transparenz und höchste Sicherheitsstandards sind die Grundlage für die Schaffung einer solchen vertrauenswürdigen Umgebung. Als HSM-Hersteller ist Utimaco führend bei der Definition der damit verbundenen Sicherheitsanforderungen. Der CryptoServer Se-Series Gen2 erreicht die Konformität mit eIDAS über eine Common Criteria-Zertifizierung nach EN 419221-5.

Hören Sie Alexander Eßer vom Bank-Verlag. Er spricht über den Bank-Verlag als Trust Service Provider (TSP), über behördliche Anforderungen von eIDAS, um qualifizierte Signaturen anzubieten, und die Rolle von Kryptographie und Utimaco HSMs:

eIDAS – Meilenstein für elektronische Identifikations- und Vertrauensdienste

Mit der im Juli 2016 implementierten EU-Verordnung Nr.910/2014 über elektronische Identifizierung (eID) und Vertrauensdienste (eTS) wurde ein Meilenstein für den Zugang zu öffentlichen Diensten und sicheren Online-Transaktionen über die Grenzen der EU-Staaten hinweg gesetzt. Im Kern der sogenannten eIDAS-Verordnung sollen elektronische Interaktionen zwischen Bürgern, Unternehmen (insbesondere KMU) und Behörden erleichtert werden. Große Herausforderungen, welche die Verordnung zu beherrschen versucht, ergeben sich hauptsächlich aus Vertrauensdiensten, die zuvor auf nationaler Ebene reguliert wurden. Die vorangegangene EU-Richtlinie über elektronische Signaturen konzentrierte sich nur auf Zertifikate für elektronische Signaturen. Dadurch entstanden Systeme mit zahlreichen Unterschieden in den Compliance-Anforderungen, dem Rechtsstatus und der Gültigkeit von Vertrauensdiensten.

eIDAS Chart

 

Elektronische grenzüberschreitende Vertrauensdienste bestehen aus [gem. eIDAS Art. 3 (16)]:

  • „Erstellung, Verifizierung und Validierung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel, elektronischer registrierter Zustelldienste und Zertifikate im Zusammenhang mit diesen Diensten oder
  • Erstellung, Überprüfung und Validierung von Zertifikaten zur Website-Authentifizierung, oder
  • die Aufbewahrung von elektronischen Signaturen, Siegeln oder Zertifikaten im Zusammenhang mit diesen Diensten.“

Für die Zukunft sind gemeinsame technische Standards sowie Datenschutzstandards von entscheidender Bedeutung, um ein transparentes und ausreichend sicheres Umfeld für grenzüberschreitende Online-Transaktionen zu gewährleisten.

Die Rolle eines Hardware-Sicherheitsmoduls für Vertrauensdiensteanbieter

Für die sichere Ausführung ihrer Operationen und Dienste können Vertrauensdiensteanbieter auf kryptografische Module zurückgreifen, die als qualifizierte elektronische Signaturerstellungsgeräte verwendet werden, wie Smartcards oder Hardware Security Modules (HSMs). „Die Konformität qualifizierter elektronischer Signaturerstellungsgeräte mit den [EU] -Anforderungen […] wird von geeigneten öffentlichen oder privaten Stellen bescheinigt, die von den Mitgliedstaaten benannt werden“ (gemäß eIDAS Art. 30 und 31).

Zu diesem Zeitpunkt ist die Definition der detaillierten technischen Anforderungen noch im Gange (siehe aktuelle Anforderungen im Informationsfeld unten). Die Common Criteria-Schutzprofile EN 419221-5 „Cryptographic Modules for Trust Services“ und EN 419241-2 „Protection Profile for QSCD for Server Signing“, die ein nach EN 419221-5 zertifiziertes Krypto-Modul vorschreiben, spielen eine große Rolle bei der Erfüllung dieser Anforderungen.

Als HSM-Hersteller steht Utimaco an der Spitze der

  • Definition dieser technischen Anforderungen durch seine Mitarbeit in der Arbeitsgruppe CEN TC 224 WG17, und damit
  • wird Konformität mit den eIDAS-Anforderungen erreicht.

Die Common Criteria-Zertifizierung für Utimaco CryptoServer Se-Series Gen2 gem. EN 419221-5 nimmt die bevorstehenden Änderungen im Regelwerk sowie die damit verbundenen Partner- und Kundenanforderungen vorweg.

Anforderungen an qualifizierte elektronische Signaturerstellungsgeräte [gemäß eIDAS Anhang II]

1. Qualifizierte Geräte zur Erstellung elektronischer Signaturen stellen durch geeignete technische und verfahrenstechnische Mittel sicher, damit zumindest:

a. die Vertraulichkeit der für die elektronische Signaturerstellung verwendeten elektronischen Signaturerstellungsdaten in angemessener Weise gewährleistet ist,

b. die für die elektronische Signaturerstellung verwendeten elektronischen Signaturerstellungsdaten praktisch nur einmal auftreten können,

c. die für die Erstellung elektronischer Signaturen verwendeten Daten zur Erstellung elektronischer Signaturen nicht mit hinreichender Sicherheit abgeleitet werden können und die elektronische Signatur unter Verwendung der derzeit verfügbaren Technologie zuverlässig vor Fälschung geschützt ist,

d. die für die elektronische Signaturerstellung verwendeten elektronischen Signaturerstellungsdaten vom rechtmäßigen Unterzeichner zuverlässig vor der Verwendung durch andere geschützt werden können.

      

2. Qualifizierte elektronische Signaturerstellungsgeräte dürfen die zu unterzeichnenden Daten nicht ändern oder verhindern, dass diese Daten dem Unterzeichner vor der Unterzeichnung vorgelegt werden.

3. Die Erzeugung oder Verwaltung von elektronischen Signaturerstellungsdaten im Namen des Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.

4. Unbeschadet von Punkt 1 Buchstabe d dürfen qualifizierte Vertrauensdiensteanbieter, die im Namen des Unterzeichners elektronische Signaturerstellungsdaten verwalten, die elektronischen Signaturerstellungsdaten nur zu Sicherungszwecken duplizieren, sofern die folgenden Anforderungen erfüllt sind:

a. Die Sicherheit der duplizierten Datensätze muss dem Sicherheitsniveau der ursprünglichen Datensätze entsprechen:

b. Die Zahl der duplizierten Datensätze darf das zur Gewährleistung der Kontinuität des Dienstes erforderliche Mindestmaß nicht überschreiten.

eIDAS Infographic 2016 by EU

 

 Quelle: Europäische Kommission, eIDAS-Infografik 2016

Kontakt

Ihre Fragen beantworten wir sehr gerne.

Wie können wir Ihnen helfen?

Sprechen Sie mit einem unserer Spezialisten und erfahren Sie, wie Utimaco Sie unterstützen kann.