¶ºÒõ¹Ý

³Õ´Ç²Ô Stephen Davidson, bei ¶ºÒõ¹Ý zuständig für Governance, Risiken und Compliance sowie Vorsitzender der CA/Browser Forum-Arbeitsgruppe für S/MIME-Zertifikate

In der Pandemie findet unser Leben verstärkt online und die Arbeit zuhause stattÌý– das ist weltweit in beinahe jeder Branche zu spüren. Bekannte, aber nicht regulär genutzte Hilfsmittel wie Webkonferenz-Tools und Online-Transaktionen wurden schnell zum Standard. In stark regulierten Sektoren und bei Transaktionen von hohem Wert, die bisher persönliche Interaktionen voraussetzten, verlief die Umstellung allerdings zögerlicher, so auch bei der Online-±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung.

Was ist eine Online-±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung?

Bei der ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung wird geprüft, ob die ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsattribute eines Bewerbers korrekt erfasst, validiert und belegt sind. ±õ»å±ð²Ô³Ù¾±³Ùä³Ùen werden seit einigen Jahren zunehmend online geprüft. Das heißt, die Ãœberprüfung findet seltener von Angesicht zu Angesicht und dafür häufiger digital statt. Doch mit dem Ausbruch der Pandemie und der damit einhergehenden Priorisierung des Homeoffice rückte die Onlineprüfung als Mittel zur ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsbestätigung endgültig in den Vordergrund. Allerdings fehlen allgemeingültige Standards für die Online-±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung, die sie so zuverlässig wie ein persönliches Erscheinen machen.

Ende 2019 über den Bedarf an eindeutigen Standards für Remote-Ãœberprüfungen. Ich konnte ja nicht ahnen, dass eine bevorstehende Pandemie das Interesse an diesem Thema so schnell anfachen würde. Zusammenfassend sei gesagt, dass die Beschränkungen zur Pandemiebekämpfung EU-Vertrauensdiensteanbieter endgültig von Remote-Ãœberprüfungen überzeugten. Auch Aufsichtsbehörden und Normungsinstitute begriffen, wie dringend einheitliche Regeln für die Kennzeichnungspflicht und ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung im digitalen Raum gebraucht werden.

Die Vorsicht der Aufsichtsbehörden

Im Rahmen der europäischen eIDAS-Verordnung müssen Vertrauensdiensteanbieter für zahlreiche qualifizierte Dienste die Nutzer unter persönlicher Vorlage von ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsnachweisen registrieren (oder Methoden anwenden, die „gleichwertige Sicherheit“ bieten). Allerdings unterscheidet sich von Land zu Land, welche Technologien und Methoden als Remote-Alternativen zur ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung vor Ort zulässig sind und quasi als „gleichwertige Sicherheit“ gewertet werden.

Die Vorsicht der Aufsichtsbehörden erklärt sich durch den rasanten Zuwachs an Alternativen für die Remote-Überprüfung, den Mangel an einheitlichen internationalen Normen zur Risikoeinschätzung sowie den Mangel an Daten zu Misserfolgsraten. Ebenfalls diskutiert wurden unter Aufsichtsbehörden die Anforderungen für Remote-Überprüfungen als Äquivalent zu lange bewährten Normen und Protokollen im Umgang mit persönlich vorgelegten Ausweisdokumenten.

Zufällig hatte die EU diesen Wandel schon vor einigen Jahren vorausgesehen und „Vertrauen in nahtlose elektronische Identifizierung“ zu einem Hauptbereich kontinuierlicher Entwicklung erklärt. Das (ESI) machte es sich zur Aufgabe, zusätzliche Normen für einheitliche ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfungen zu entwickeln.

Der neue ETSI-Standard für die ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung

Anfang 2020 gründete das ETSI eine Arbeitsgruppe namens, die sich allein auf die ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung (im realen und im digitalen Raum) konzentriert. Zunächst prüfte sie ein breites Spektrum an internationalen Technologien, Gesetzen, Spezifikationen, Richtlinien, Normen und Standards in Bezug auf die ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung. Aus ihren Erkenntnissen leitete die Arbeitsgruppe einen praktischen Leitfaden zum Thema ab.

In ihrem ersten Arbeitsergebnis, ETSI TS 119 460 (Survey of technologies and regulatory requirements for identity proofing for trust service subjectsÌý– Untersuchung der Technologien und Regularien für Vertrauensdiensteanbieter hinsichtlich ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfungen), analysierte STFÌý588 knapp 50 internationale Normen und wie sie Folgendes regeln: die Erfassung und Validierung von ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsattributen, die Verknüpfung von Attributen und Bewerbern sowie die angemessene Belegaufbewahrung.

Das zweite richtungsweisende Arbeitsergebnis von STF 588 ist ETSI TS 119 461 (Policy and security requirements for trust service components providing identity proofing of trust service subjectsÌý– Richtlinien und Sicherheitsanforderungen für Vertrauensdienstkomponenten zur ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung von Vertrauensdienstsubjekten). Es befindet sich noch in der Entwurfsphase und soll im Juli 2021 veröffentlicht werden.

Zwar hat die Norm ihren Ursprung in der ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung für eIDAS-Vertrauensdienste, wie Vertrauensdiensteanbieter qualifizierter Zertifikate, doch sie wird sich weltweit auch umgehend und breitgefächert auf Prozesse der elektronischen Identifizierung (eID), Kundenverifizierung und Geldwäschebekämpfung (KYC bzw. AML) in den unterschiedlichsten Branchen auswirken.

Einheitlichkeit in der realen Welt und im virtuellen Raum

Um für die unterschiedlichsten Technologien und innovativen Ansätze bei der ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung offen zu sein, vermeidet die neue ETSI-Norm verbindliche Anforderungen an spezifische technische ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô. Stattdessen verlangt sie für alle potenziellen Verfahren dasselbe Maß an Sicherheit. Wichtig zu wissen: Hinsichtlich Zuverlässigkeit und Risikoeinschätzung enthält die neue Norm einheitliche Richtlinien für die persönliche wie für die Remote-Identifizierung.

Letztlich sollen mit der neuen Norm Konformitätsbewertungen erfolgen: die von qualifizierten Vertrauensdiensteanbietern mit Remote-Ãœberprüfungen im Portfolio und die von eigenständigen Spezialanbietern für die ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung.

Die Norm soll sowohl die wesentlichen als auch die allgemeinen Sicherheitsanforderungen ins Visier nehmen, die in der EU-Verordnung 2015/1502 beschrieben sind. (Die Verordnung legt die Mindestanforderungen an technische Spezifikationen für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß eIDAS fest.)

Eine neue Ära

ETSI TS 119 461 wird für lang erwartete einheitliche Regeln für die ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung durch qualifizierte europäische Vertrauensdiensteanbieter sorgen und eine wichtige Vorlage für ähnliche Initiativen in anderen Ländern sein. ¶ºÒõ¹Ý engagiert sich stark beim ETSI und wir finden, dass der technologieneutrale Weg, den ETSI TS 119 461 einschlägt, angesichts der rasanten Entwicklung neuer Tools und Ansätze für die ±õ»å±ð²Ô³Ù¾±³Ùä³Ùsprüfung ideal ist, um diese für die Anforderungen von Vertrauensdiensten einzusetzen.

Noch wichtiger aber ist, dass sie nahtlose Registrierungen und ein einheitliches Validierungsniveau bei Vertrauensdiensteanbietern und Aufsichtsstellen ermöglichen wird. Damit wird sie natürlichen und juristischen Personen den Weg zur Nutzung hochsicherer Onlinedienste ebnen.