eIDAS-Verordnung wird für Behörden relevant Warten oder starten?

Autor / Redakteur: Christoph Sutter und Clemens Wanko / Manfred Klein

Die eIDAS-Verordnung der EU betrifft die Öffentliche Verwaltung nicht direkt. Dennoch stellt eIDAS Behörden vor einige grundlegende Fragen: Wie lange lassen sich die schon im Einsatz befindlichen Vertrauensdienste weiter nutzen? Welche neuen, auf eIDAS basierende Dienste und Services sind für Behörden relevant? Und: Lohnt sich die Umstellung überhaupt und wann?

Anbieter zum Thema

Die eIDAs-Verordnung bietet neue Vertrauensdienste für Behörden und Verwaltungen
Die eIDAs-Verordnung bietet neue Vertrauensdienste für Behörden und Verwaltungen
(Bild: kebox - Fotolia.com)

Denn eigentlich sind es die so genannten „Vertrauensdiensteanbieter“, wie zum Beispiel die Bundesdruckerei oder die Deutsche Rentenversicherung, die sich neu zertifizieren lassen müssen, da das noch gültige Signaturgesetz nach dem Inkrafttreten von eIDAS und dem geplanten Vertrauensdienstegesetz auslaufen wird.

eIDAS als Chance für Behörden

eIDAS ermöglicht deutlich mehr für die Öffentliche Verwaltung interessante Dienste als das derzeitige Signaturgesetz. Dieses regelt ausschließlich qualifizierte Signaturen und qualifizierte Zeitstempel. eIDAS definiert darüber hinaus auch qualifizierte Siegel, also Signaturen für juristische Personen und weitere neue Dienste.

Qualifizierte Siegel sind zum Beispiel für die Einrichtung von Postfächern interessant, über die personenungebundene Behörden­bescheide verschickt werden. Qualifizierte Signatur- und Siegelerzeugungsdienste machen die bisher genutzten Signaturkarten überflüssig.

Es genügt, auf einem zentralen Behördenserver eine für Fernsignaturen zertifizierte qualifizierte Sig­natur-/Siegelerstellungseinheit (Kryptomodul) eines Vertrauensdiensteanbieters zu installieren, über das alle Abteilungen die Signatur-/Siegelservices nutzen können. Das Ausrollen all der Signaturkarten an die einzelnen Mitarbeiter entfällt.

Vor allem Behörden mit umfangreichem internationalem Dokumentenverkehr profitieren von den standardisierten und grenzübergreifenden Normen sowie den neuen Diensten auf Basis von eIDAS. Deshalb sind besonders sie gut beraten, sich frühzeitig über spezifische Dienste, Anbieter und Konditionen zu informieren. Dies gilt um so mehr, da die Umsetzung von eIDAS in nationale Gesetze sicher nicht reibungslos und sicher auch nicht in allen EU-Ländern termingerecht über die Bühne gehen wird.

Noch dringlicher ist letztlich ein zweiter Aspekt: die Überführung von derzeit genutzten Signaturen und Zeitstempeln nach dem noch gültigen Signaturgesetz zu eIDAS. Wenn Behörden bereits heute Signaturen, Signaturanwendungen und Zeitstempel nutzen, stellt sich die Umstellung bei Zeitstempeln vergleichsweise einfach dar. Bei Signaturen ist die Situation dagegen komplexer, da bislang Karten für die Erstellung der Signaturen und die begleitende Software auf unterschiedlichen Rechnern vorgehalten wurden.

Hier müssen zum einen die alten auf neue Karten umgestellt werden. Oder die Behörden machen gleich den größeren Schritt zu einer kartenlosen Servicelösung, mit einem zentralen Signaturserver als qualifizierte Signaturerstellungseinheit für die gesamte Behörde. Zudem ist die Software umzubauen, welche die Signaturen erstellt. Nicht zuletzt müssen auch die Fach­anwendungen angepasst und die Schnittstellen zu den neuen ­eIDAS-Signaturanwendungen und Signaturerstellungseinheiten angepasst werden. Diese Umstellung ist wegen der möglichen Vielzahl und Komplexität von Schnittstellen häufig nicht trivial.

All diese Anpassungen ziehen auch organisatorische Herausforderungen nach sich: So sind die Anbieter und Betreiber der Fachanwendungen in der Regel andere als die Vertrauensdiensteanbieter. Bei einem Update aller betroffenen Systeme auf den eIDAS-Standard müssen die federführenden Behörden diese unterschiedlichen Seiten und Stakeholder zusammenführen. Dabei spielen nicht nur technische Fragen, sondern vor allem auch Kauf- und Serviceverträge eine wichtige Rolle. Auch sie müssen zu großen Teilen angepasst oder neu geschrieben werden.

All diese Umstellungen im Zuge von eIDAS lassen sich mittel- und langfristig nicht vermeiden, höchstens etwas herauszögern. Denn wenn sich eine Behörde den neuen Möglichkeiten verschließt, die eIDAS in Form neuer Services mit sich bringt, und zum Beispiel bei ihren Signaturen weiterhin auf klassische – nun eIDAS-konforme – Karten zur Signaturerzeugung setzt, erkauft sie sich diese Stabilität mit großen Nachteilen. So müssen solche Signaturkarten in der Regel nach drei Jahren ausgetauscht werden. Dies verursacht hohe Kosten, die durch die neuen kartenlosen Signaturservices größtenteils wegfallen würden. Auch besteht die Gefahr, einer letztlich „aussterbenden“ Technologie treu zu bleiben und sich dem Innovationspotenzial der neuen Dienste zu verschließen.

(ID:44054854)