Cloud Signature Consortium kündigt offenen Standard für digitale Signatur an

Eine Gruppe von zwölf europäischen Firmen und Einrichtungen, darunter die Bundesdruckerei/D-Trust aus Deutschland, die Technische Universität Graz und SwissSign, haben zusammen mit Adobe das “Cloud Signature Consortium” gegründet. Sie gehen damit kurz vor der neuen, am 1. Juli in Kraft tretenden, als eIDAS bezeichneten Signaturverordnung der Europäischen Union an die Öffentlichkeit. Die Partner erwarten von eIDAS (PDF) ein erheblich gesteigertes Interesse an digitalen Signaturen allgemein und wollen einen offenen Standard für Cloud-basierte, digitale Signaturen schaffen.

Dessen erste technische Spezifikation, die dann bereits soweit sein soll, dass Entwickler beginnen können, den Standard in ihre Anwendungen zu integrieren, soll gegen Ende des Jahres vorliegen. Mit ersten Implementierungen rechnet das Kosnortium Anfang 2017.

Ein wesentliches Ziel des Cloud Signature Consortium ist es, die Abläufe bei der Nutzung der digitalen Signatur erheblich zu vereinfachen. Gründe, warum sich das Verfahren bislang erst in speziellen Anwendungsfeldern durchgesetzt hat, haben sie gleich mehrere ausgemacht. Einer davon ist, das zur Nutzung in der Regel ein Desktop-Rechner benötigt wird. Vielfach kommen zudem IDs auf Zertifikatsbasis zum Einsatz, die auf einem weiteren Spezialgerät, etwa einem USB-Token oder einer Signaturkarte, gespeichert sind. Die bereits verfügbaren Cloud-basierten Angebote für die digitale Signatur seien zudem allesamt proprietäre Lösungen. Diese Fragmentierung verhindere die breite Nutzung.

Die so benannten Probleme sollen durch einen offenen Standard und die Möglichkeit gelöst werden, eine sichere digitale Signatur über eines der ohnehin schon genutzten Mobilgeräte – oder alternativ Web-Apps – zu verwenden. Als Beleg dafür, dass man in der Lage ist, so etwas durchzusetzen, führt Adobe den PDF-Standard an. Auch an dessen Ausarbeitung und Einführung habe man schließlich federführend mitgewirkt. Und die vom PDF-Standard her bekannte, einfach Nutzbarkeit will man auch bei der künftigen digitalen Signatur erreichen.

Dass das Cloud Signature Consortium im Augenblick – mit Ausnahme von Adobe – auf europäische Organisationen (aus Deutschland, Frankreich, Italien, Norwegen, Österreich, Spanien und der Schweiz) beschränkt ist, erklären die Gründer damit, dass hier der Bedarf im Augenblick am größten ist: Die Akteure hätten ein großes Interesse daran, die hohen, neuen Anforderungen der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) zu erfüllen.

Von der EU-Verordnung erwartet man sich allerdings nachhaltige Impulse auch auf andere Länder und Regionen. Damit wäre das Cloud Signature Consortium ein positives Beispiel dafür, wie strenge Vorgaben durch den Gesetzgeber zu technischem Fortschritt führen – eine Argumentation, der sich seit dem Ende des Safe-Harbor-Abkommens viele europäische Cloud-Anbieter bedienen, die sich aber noch nicht auf ganzer Breite durchgesetzt hat.

Der in Entwicklung befindlichen Standard soll den Beteiligten zufolge “die digitale Transformation der Geschäftswelt auf globaler Ebene durch die Bereitstellung von digitalen Signaturlösungen über die gesamte Bandbreite von Cloud-Anwendungen und Mobilgeräten“ beschleunigen. Möglich mache er das, indem er Verfahren vereinfache, bei denen es von entscheidender Bedeutung ist, einen oder mehrere Beteiligte eindeutig zu identifizieren. Beispiele dafür sind etwa im Behördenverkehr etwa Eheschließungen, Gewerbeanmeldungen oder Anträge auf Sozialleistungen, im Verhältnis zwischen Firmen und Verbrauchern etwa die Beantragung von Krediten oder Versicherungspolicen.

Mittelfristig werden aber auch andere Bereiche davon betroffen sein beziehungsweise profitieren: Die EU sieht vertrauenswürdige elektronische Geschäftsprozesse zwischen Unternehmen, Behörden und Bürgern im EU-Raum generell als wesentliche Voraussetzung für einen florierenden, digitalen Binnenmarkt. Diese Voraussetzung will sie mit der eIDAS-Verordnung geschaffen haben. Sie beschreibt allerdings nicht ein bestimmtes technisches Verfahren, sondern ist technologieneutral und gibt einen einheitlichen, europaweit gültige Rechtsrahmen für den elektronischen Identitätsnachweis sowie für sogennante “Vertrauensdienste” vor, für die zum Beispiel elektronische Signaturen, Siegel und Zeitstempel verlangt werden.

Gemäß dieser Vorgaben haben zum Beispiel die französische Agence nationale de la sécurité des systèmes d’information (ANSSI) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam Sicherheitsmechanismen für maschinenlesbare Reisedokumente und eIDAS-Token erarbeitet. Die Chipkartenspezifikation (BSI TR-03110 Version 2.20) basiert auf der Technologie, die im deutschen Personalausweis verwendet wird.