Fernsignaturen mit der Online-Ausweisfunktion

Typ: Artikel

Mit der eIDAS-Verordnung wird die Fernsignatur mit dem Online-Ausweis auch in Deutschland möglich.

Seit 1. Juli 2016 gilt in allen Mitgliedstaaten der EU die Verordnung (EU) Nr. 910/2014 über "elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt", kurz eIDAS-Verordnung, mit welcher einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen werden.

Die Umsetzung der Verordnung hat unter anderem zur Folge, dass eine qualifizierte elektronische Signatur, die von einer Bürgerin oder einem Bürger eines EU-Mitgliedstaats erstellt wird, in allen Mitgliedstaaten die gleiche Rechtswirkung entfaltet, wie eine handschriftliche Unterschrift in dem betreffenden Staat.

Erstmalig ist eine europaweite grenzüberschreitende elektronische Kommunikation in rechtsverbindlicher Form möglich.

Kartenbasierte Signaturen

Die technische Umsetzung der qualifizierten elektronischen Signatur basierte bisher auf dem Einsatz von Signaturkarten.

Die Sicherheit des Verfahrens wird dabei durch die Signaturkarte sowie eine Zwei-Faktor-Authentifizierung bei der Signaturerstellung realisiert: Der private Schlüssel auf der Signaturkarte wird vor unbefugten Zugriffen geschützt und seine Verwendung ist nur in Verbindung mit den Authentifizierungsfaktoren Wissen (PIN) und Besitz (Signaturkarte) möglich.

Fernsignaturen

Die eIDAS-Verordnung bietet die Möglichkeit der sogenannten Fernsignatur, die bisher in Deutschland nicht möglich war.

Bei der Fernsignatur wird eine qualifizierte elektronische Signatur nicht mehr mit einer Signaturkarte erstellt, sondern von einem qualifizierten Vertrauensdiensteanbieter im Auftrag der unterzeichnenden Person.

Der Vorteil des Verfahrens liegt darin, dass keine zusätzliche technische Ausstattung (Signaturkarte, Lesegerät) für das Erstellen einer qualifizierten elektronischen Signatur benötigt wird. Die unterzeichnende Person muss dafür gegenüber dem Vertrauensdiensteanbieter ihre Identität sicher nachweisen.

Bevor die Fernsignatur erzeugt werden kann, muss die unterzeichnende Person ihre Identität gegenüber dem Vertrauensdiensteanbieter sicher nachweisen. Ein schnelles und sicheres Identifizierungsmittel dafür ist der staatliche Online-Ausweis.

"On-the-Fly" Signatur mit der Online-Ausweisfunktion

Für die Fernsignatur mit Hilfe der Online-Ausweisfunktion kann zum Beispiel ein NFC fähiges Smartphone als "Kartenleser" für den elektronischen Identitätsnachweis verwendet werden. Dadurch wird die rechtsgültige elektronische Unterschrift mit dem Smartphone (mobile Signatur) möglich.

Als Alleinstellungsmerkmal gegenüber anderen Verfahren, die eine Identifizierung (zur Ausstellung eines qualifizierten elektronischen Signatur-Zertifikates) oder eine Authentisierung (zur Autorisierung der Signaturerstellung durch den Vertrauensdiensteanbieter) als getrennte Vorgänge umsetzen, erlaubt die Online-Ausweisfunktion, diese beiden Funktionen in einem Schritt zusammenzufassen.

Mit dem Online-Ausweis ist eine sogenannte "On-The-Fly" Signatur möglich, bei der die unterzeichnende Person ohne vorherige Registrierung bei einem Vertrauensdiensteanbieter anlassbezogen und ad-hoc eine qualifizierte elektronische Signatur erstellt.

Dieses "1-Schritt-Verfahren" ist besonders für Personen attraktiv, die nur gelegentlich elektronische Signaturen erstellen möchten.

Das Verfahren erfüllt alle Anforderungen für qualifizierte elektronische Signaturen gemäß der eIDAS-Verordnung sowie alle Anforderungen an den Vertrauensdiensteanbieter.

Grafik zeigt den schematischen Ablauf der "On-The-Fly" Signatur wie im Text erläutert Quelle: Bundesamt für Sicherheit in der Informationstechnik

Ergebnisse des BSI-Pilotprojekts

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2019 ein Pilotprojekt durchgeführt, mit dem die prototypische Umsetzung eines Fernsignaturverfahrens anhand der eID-Funktion realisiert wurde. Das Projekt wurde Anfang 2020 erfolgreich abgeschlossen.

Technisch basiert die "On-the-Fly" Signatur mit dem Personalausweis auf einer Erweiterung des Online-Ausweises, die es ermöglicht eine Transaktion bzw. einen Prüfwert (wie zum Beispiel einen Hash eines Dokuments) durch die Ausweisinhaberin bzw. den Ausweisinhaber zu autorisieren. Durch diese Erweiterung kann der eID-Server eines Diensteanbieters nach erfolgreicher Identifizierung mit dem Online-Ausweis verifizieren, dass der Prüfwert gleichermaßen beim eID-Client der Nutzerin bzw. des Nutzers und beim eID-Server vorliegt. Da der Prozess des Online-Ausweisens nur nach erfolgreicher PIN-Eingabe erfolgt, kann der eID-Server sicherstellen, dass der Prüfwert durch die beiden Authentifzierungsfaktoren ‚Wissen‘ und ‚Besitz‘ autorisiert wurde – also durch die Ausweisinhaberin bzw. den Ausweisinhaber selbst. Anschließend kann der eID-Server die Identitätsdaten der sich ausweisenden Person auslesen. Dadurch kann er die Person auf dem für die Ausstellung eines qualifizierten Signaturzertifikats benötigten Vertrauensniveau identifizieren.

Im Rahmen des Pilotprojekts wurde zunächst bestätigt, dass das Verfahren mit allen bereits ausgegeben elektronischen Personalausweisen und Aufenthaltstiteln kompatibel ist. Hierauf aufbauend wurden ein eID-Client und ein eID-Server angepasst, um die Erweiterung der Online-Ausweisfunktion zu implementieren und einen Showcase für die Erzeugung einer elektronischen Signatur zu modellieren.

Der Prototyp erlaubt noch keine Erstellung einer rechtswirksamen Fernsignatur, da diese gemäß eIDAS-Verordnung nur durch einen qualifizierten Vertrauensdiensteanbieter (VDA) mit einer qualifizierten Signaturerstellungseinheit (QSCD) erzeugt werden darf.

Aktuell gibt es noch keinen Vertrauensdiensteanbieter, der den Prototypen in ein eigenes Produkt integriert hat. Mit dem Pilotprojekt des BSI wurden die Voraussetzungen dafür geschaffen.

Bundesministerium des Innern und für Heimat
Referat DV I 4

Häufig nachgefragt