Konsortium um Adobe schafft Standard für digitale Signatur

Eine Gruppe von zwölf europäischen Firmen und Einrichtungen hat sich mit Adobe zum Cloud Signature Consortium zusammengeschlossen. Ziel ist es, einen offenen Standard für cloudbasierte digitale Signaturen zu schaffen, der Ende 2016 als Spezifikation vorliegen soll. Anfang 2017 sind dann erste Anwendungen zu erwarten. Der Vereinigung gehören die Bundesdruckerei/D-Trust aus Deutschland, die Technische Universität Graz und SwissSign an.

Aktuelle Verfahren für Signaturen sind nach Ansicht des Konsortiums zu komplex und haben sich daher nur in speziellen Anwendungsfeldern durchgesetzt. So wird überwiegend ein Desktop-Rechner benötigt. Vielfach kommen zudem IDs auf Zertifikatsbasis zum Einsatz, die auf einem weiteren Spezialgerät, etwa einem USB-Token oder einer Signaturkarte, gespeichert sind. Und erste cloudbasierte Angebote für digitale Signaturen seien allesamt proprietäre Lösungen. Diese Fragmentierung verhindere eine breite Nutzung.

Sein Lösungsansatz ist es nun, eine sichere digitale Signatur über Mobilgeräte oder Web-Apps anzubieten. Adobe verweist auf den PDF-Standard, den es federführend entwickelt und eingeführt hat. So einfach zu verwenden wolle man auch digitale Signatur machen.

Dass das Cloud Signature Consortium sich mit Ausnahme von Adobe auf europäische Organisationen (aus Deutschland, Frankreich, Italien, Norwegen, Österreich, Spanien und der Schweiz) beschränkt, erklären die Gründer damit, dass hier der Bedarf am größten ist: Am 1. Juli tritt eine als eIDAS (PDF) bezeichneten Signaturverordnung der Europäischen Union in Kraft. Die Akteure hätten ein großes Interesse daran, deren hohe Anforderungen zu erfüllen. eIDAS steht für elektronische Identifizierung und Vertrauensdienste.

Von der EU-Verordnung erwartet man sich nachhaltige Impulse auch für andere Länder und Regionen. Damit wäre das Cloud Signature Consortium ein positives Beispiel dafür, wie strenge Vorgaben durch den Gesetzgeber zu technischem Fortschritt führen – eine Argumentation, der sich seit dem Ende des Safe-Harbor-Abkommens viele europäische Cloud-Anbieter bedienen, die sich aber noch nicht auf ganzer Breite durchgesetzt hat.

Roadmap für die Einführung von eIDAS (Bild: EU-Kommission)

Der kommende Standard soll den Beteiligten zufolge „die digitale Transformation der Geschäftswelt auf globaler Ebene durch die Bereitstellung von digitalen Signaturlösungen über die gesamte Bandbreite von Cloud-Anwendungen und Mobilgeräten“ beschleunigen. Möglich mache er das, indem er Verfahren vereinfache, bei denen es von entscheidender Bedeutung ist, einen oder mehrere Beteiligte eindeutig zu identifizieren, heißt es. Beispiele dafür sind im Behördenverkehr Eheschließungen, Gewerbeanmeldungen oder Anträge auf Sozialleistungen, im Verhältnis zwischen Firmen und Verbrauchern Anträge für Kredite oder Versicherungspolicen.

Die EU sieht vertrauenswürdige elektronische Geschäftsprozesse zwischen Unternehmen, Behörden und Bürgern als Voraussetzung für einen digitalen Binnenmarkt. Die eIDAS-Verordnung beschreibt allerdings nicht ein bestimmtes technisches Verfahren, sondern ist technologieneutral und gibt einen einheitlichen, europaweit gültige Rechtsrahmen für den elektronischen Identitätsnachweis sowie für sogennante „Vertrauensdienste“ vor, für die zum Beispiel elektronische Signaturen, Siegel und Zeitstempel verlangt werden.

Gemäß dieser Vorgaben haben zum Beispiel die französische Agence nationale de la sécurité des systèmes d’information (ANSSI) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam Sicherheitsmechanismen für maschinenlesbare Reisedokumente und eIDAS-Token erarbeitet. Die Chipkartenspezifikation (BSI TR-03110 Version 2.20) basiert auf der Technologie, die im deutschen Personalausweis verwendet wird.

Adobes Beschäftigung mit digitalen Signaturen geht auf die Übernahme von Echosign 2011 zurück. Es befasst sich auch mit handschriftlichen Signaturen für digitale Dokumente: Im Rahmen seiner Document Cloud ermöglicht es heute per App das Ausfüllen von Formularen samt Unterschrift, ohne den Zwang, gleich bleibende Daten jedesmal erneut einzugeben.

[mit Material von Peter Marwan, silicon.de]

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.