Categories: E-CommerceMarketing

Cloud Signature Consortium kündigt offenen Standard für digitale Signatur an

Eine Gruppe von zwölf europäischen Firmen und Einrichtungen, darunter die Bundesdruckerei/D-Trust aus Deutschland, die Technische Universität Graz und SwissSign, haben zusammen mit Adobe das “Cloud Signature Consortium” gegründet. Sie gehen damit kurz vor der neuen, am 1. Juli in Kraft tretenden, als eIDAS bezeichneten Signaturverordnung der Europäischen Union an die Öffentlichkeit. Die Partner erwarten von eIDAS (PDF) ein erheblich gesteigertes Interesse an digitalen Signaturen allgemein und wollen einen offenen Standard für Cloud-basierte, digitale Signaturen schaffen.

Dessen erste technische Spezifikation, die dann bereits soweit sein soll, dass Entwickler beginnen können, den Standard in ihre Anwendungen zu integrieren, soll gegen Ende des Jahres vorliegen. Mit ersten Implementierungen rechnet das Kosnortium Anfang 2017.

Ein wesentliches Ziel des Cloud Signature Consortium ist es, die Abläufe bei der Nutzung der digitalen Signatur erheblich zu vereinfachen. Gründe, warum sich das Verfahren bislang erst in speziellen Anwendungsfeldern durchgesetzt hat, haben sie gleich mehrere ausgemacht. Einer davon ist, das zur Nutzung in der Regel ein Desktop-Rechner benötigt wird. Vielfach kommen zudem IDs auf Zertifikatsbasis zum Einsatz, die auf einem weiteren Spezialgerät, etwa einem USB-Token oder einer Signaturkarte, gespeichert sind. Die bereits verfügbaren Cloud-basierten Angebote für die digitale Signatur seien zudem allesamt proprietäre Lösungen. Diese Fragmentierung verhindere die breite Nutzung.

Das Cloud Signature Consortioum hofft mit #OpenSignature die Grundlöage für eine breite, geräte- und herstellerunabhängige Verbreitung der digitalen Signatur schaffen. (Grafik: Cloud Signature Consortium)

Die so benannten Probleme sollen durch einen offenen Standard und die Möglichkeit gelöst werden, eine sichere digitale Signatur über eines der ohnehin schon genutzten Mobilgeräte – oder alternativ Web-Apps – zu verwenden. Als Beleg dafür, dass man in der Lage ist, so etwas durchzusetzen, führt Adobe den PDF-Standard an. Auch an dessen Ausarbeitung und Einführung habe man schließlich federführend mitgewirkt. Und die vom PDF-Standard her bekannte, einfach Nutzbarkeit will man auch bei der künftigen digitalen Signatur erreichen.

Dass das Cloud Signature Consortium im Augenblick – mit Ausnahme von Adobe – auf europäische Organisationen (aus Deutschland, Frankreich, Italien, Norwegen, Österreich, Spanien und der Schweiz) beschränkt ist, erklären die Gründer damit, dass hier der Bedarf im Augenblick am größten ist: Die Akteure hätten ein großes Interesse daran, die hohen, neuen Anforderungen der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) zu erfüllen.

Von der EU-Verordnung erwartet man sich allerdings nachhaltige Impulse auch auf andere Länder und Regionen. Damit wäre das Cloud Signature Consortium ein positives Beispiel dafür, wie strenge Vorgaben durch den Gesetzgeber zu technischem Fortschritt führen – eine Argumentation, der sich seit dem Ende des Safe-Harbor-Abkommens viele europäische Cloud-Anbieter bedienen, die sich aber noch nicht auf ganzer Breite durchgesetzt hat.

Der in Entwicklung befindlichen Standard soll den Beteiligten zufolge “die digitale Transformation der Geschäftswelt auf globaler Ebene durch die Bereitstellung von digitalen Signaturlösungen über die gesamte Bandbreite von Cloud-Anwendungen und Mobilgeräten“ beschleunigen. Möglich mache er das, indem er Verfahren vereinfache, bei denen es von entscheidender Bedeutung ist, einen oder mehrere Beteiligte eindeutig zu identifizieren. Beispiele dafür sind etwa im Behördenverkehr etwa Eheschließungen, Gewerbeanmeldungen oder Anträge auf Sozialleistungen, im Verhältnis zwischen Firmen und Verbrauchern etwa die Beantragung von Krediten oder Versicherungspolicen.

Allgemeine Roadmap der eIDAS-Verordnung (Bild: EU-Kommission)

Mittelfristig werden aber auch andere Bereiche davon betroffen sein beziehungsweise profitieren: Die EU sieht vertrauenswürdige elektronische Geschäftsprozesse zwischen Unternehmen, Behörden und Bürgern im EU-Raum generell als wesentliche Voraussetzung für einen florierenden, digitalen Binnenmarkt. Diese Voraussetzung will sie mit der eIDAS-Verordnung geschaffen haben. Sie beschreibt allerdings nicht ein bestimmtes technisches Verfahren, sondern ist technologieneutral und gibt einen einheitlichen, europaweit gültige Rechtsrahmen für den elektronischen Identitätsnachweis sowie für sogennante “Vertrauensdienste” vor, für die zum Beispiel elektronische Signaturen, Siegel und Zeitstempel verlangt werden.

Gemäß dieser Vorgaben haben zum Beispiel die französische Agence nationale de la sécurité des systèmes d’information (ANSSI) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam Sicherheitsmechanismen für maschinenlesbare Reisedokumente und eIDAS-Token erarbeitet. Die Chipkartenspezifikation (BSI TR-03110 Version 2.20) basiert auf der Technologie, die im deutschen Personalausweis verwendet wird.

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

High-Tech im Stall, KI auf dem Acker

Bitkom und DLG stellen neue Studie zur Digitalisierung der Landwirtschaft vor. 8 von 10 Höfen…

21 Minuten ago

Software gemeinsam entwickeln

Open Source ist das Fundament einer „Sharing Economy“, sagt der Forschungsbeirats der Plattform Industrie 4.0.

5 Stunden ago

Vorsicht im Homeoffice: Sprachassistent hört mit

Sprachassistenten sind praktisch, bergen im Homeoffice aber Risiken bei Sicherheit und Datenschutz, warnt das Infocenter…

5 Stunden ago

Echte Security-KI für den OnPrem-Betrieb

Sie heißt LARA. Sie ist eine Security-KI, die sich auf die individuellen Anforderungen von Kunden…

23 Stunden ago

CISA warnt US-Bundesbehörden VMware-Produkte zu patchen oder offline zu nehmen

Im April haben Angreifer VMware-Patches in kürzester Zeit nachgebaut, um RCE-Angriffe zu starten.

2 Tagen ago

Hacker können Tesla Model 3, Y mit Bluetooth-Angriff stehlen

Sicherheitsforscher der NCC Group haben ein Tool entwickelt, mit dem ein Bluetooth Low Energy (BLE)-Relay-Angriff…

2 Tagen ago