Categories: E-CommerceMarketing

Cloud Signature Consortium kündigt offenen Standard für digitale Signatur an

Eine Gruppe von zwölf europäischen Firmen und Einrichtungen, darunter die Bundesdruckerei/D-Trust aus Deutschland, die Technische Universität Graz und SwissSign, haben zusammen mit Adobe das “Cloud Signature Consortium” gegründet. Sie gehen damit kurz vor der neuen, am 1. Juli in Kraft tretenden, als eIDAS bezeichneten Signaturverordnung der Europäischen Union an die Öffentlichkeit. Die Partner erwarten von eIDAS (PDF) ein erheblich gesteigertes Interesse an digitalen Signaturen allgemein und wollen einen offenen Standard für Cloud-basierte, digitale Signaturen schaffen.

Dessen erste technische Spezifikation, die dann bereits soweit sein soll, dass Entwickler beginnen können, den Standard in ihre Anwendungen zu integrieren, soll gegen Ende des Jahres vorliegen. Mit ersten Implementierungen rechnet das Kosnortium Anfang 2017.

Ein wesentliches Ziel des Cloud Signature Consortium ist es, die Abläufe bei der Nutzung der digitalen Signatur erheblich zu vereinfachen. Gründe, warum sich das Verfahren bislang erst in speziellen Anwendungsfeldern durchgesetzt hat, haben sie gleich mehrere ausgemacht. Einer davon ist, das zur Nutzung in der Regel ein Desktop-Rechner benötigt wird. Vielfach kommen zudem IDs auf Zertifikatsbasis zum Einsatz, die auf einem weiteren Spezialgerät, etwa einem USB-Token oder einer Signaturkarte, gespeichert sind. Die bereits verfügbaren Cloud-basierten Angebote für die digitale Signatur seien zudem allesamt proprietäre Lösungen. Diese Fragmentierung verhindere die breite Nutzung.

Das Cloud Signature Consortioum hofft mit #OpenSignature die Grundlöage für eine breite, geräte- und herstellerunabhängige Verbreitung der digitalen Signatur schaffen. (Grafik: Cloud Signature Consortium)

Die so benannten Probleme sollen durch einen offenen Standard und die Möglichkeit gelöst werden, eine sichere digitale Signatur über eines der ohnehin schon genutzten Mobilgeräte – oder alternativ Web-Apps – zu verwenden. Als Beleg dafür, dass man in der Lage ist, so etwas durchzusetzen, führt Adobe den PDF-Standard an. Auch an dessen Ausarbeitung und Einführung habe man schließlich federführend mitgewirkt. Und die vom PDF-Standard her bekannte, einfach Nutzbarkeit will man auch bei der künftigen digitalen Signatur erreichen.

Dass das Cloud Signature Consortium im Augenblick – mit Ausnahme von Adobe – auf europäische Organisationen (aus Deutschland, Frankreich, Italien, Norwegen, Österreich, Spanien und der Schweiz) beschränkt ist, erklären die Gründer damit, dass hier der Bedarf im Augenblick am größten ist: Die Akteure hätten ein großes Interesse daran, die hohen, neuen Anforderungen der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) zu erfüllen.

Von der EU-Verordnung erwartet man sich allerdings nachhaltige Impulse auch auf andere Länder und Regionen. Damit wäre das Cloud Signature Consortium ein positives Beispiel dafür, wie strenge Vorgaben durch den Gesetzgeber zu technischem Fortschritt führen – eine Argumentation, der sich seit dem Ende des Safe-Harbor-Abkommens viele europäische Cloud-Anbieter bedienen, die sich aber noch nicht auf ganzer Breite durchgesetzt hat.

Der in Entwicklung befindlichen Standard soll den Beteiligten zufolge “die digitale Transformation der Geschäftswelt auf globaler Ebene durch die Bereitstellung von digitalen Signaturlösungen über die gesamte Bandbreite von Cloud-Anwendungen und Mobilgeräten“ beschleunigen. Möglich mache er das, indem er Verfahren vereinfache, bei denen es von entscheidender Bedeutung ist, einen oder mehrere Beteiligte eindeutig zu identifizieren. Beispiele dafür sind etwa im Behördenverkehr etwa Eheschließungen, Gewerbeanmeldungen oder Anträge auf Sozialleistungen, im Verhältnis zwischen Firmen und Verbrauchern etwa die Beantragung von Krediten oder Versicherungspolicen.

Allgemeine Roadmap der eIDAS-Verordnung (Bild: EU-Kommission)

Mittelfristig werden aber auch andere Bereiche davon betroffen sein beziehungsweise profitieren: Die EU sieht vertrauenswürdige elektronische Geschäftsprozesse zwischen Unternehmen, Behörden und Bürgern im EU-Raum generell als wesentliche Voraussetzung für einen florierenden, digitalen Binnenmarkt. Diese Voraussetzung will sie mit der eIDAS-Verordnung geschaffen haben. Sie beschreibt allerdings nicht ein bestimmtes technisches Verfahren, sondern ist technologieneutral und gibt einen einheitlichen, europaweit gültige Rechtsrahmen für den elektronischen Identitätsnachweis sowie für sogennante “Vertrauensdienste” vor, für die zum Beispiel elektronische Signaturen, Siegel und Zeitstempel verlangt werden.

Gemäß dieser Vorgaben haben zum Beispiel die französische Agence nationale de la sécurité des systèmes d’information (ANSSI) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam Sicherheitsmechanismen für maschinenlesbare Reisedokumente und eIDAS-Token erarbeitet. Die Chipkartenspezifikation (BSI TR-03110 Version 2.20) basiert auf der Technologie, die im deutschen Personalausweis verwendet wird.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

20 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

21 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago