Synonyme / Übersetzung(en):
Stufen der Vertrauenswürdigkeit
Grad der Vertrauenswürdigkeit
Grad des Vertrauens
Grad der Zuverlässigkeit
Vertrauensniveau
Zuverlässigkeitsstufen
Sicherheitsstufen
Zuverlässigkeitsgrade
Die EU und die Regierung haben Stufen der Vertrauenswürdigkeit festgelegt, die anzeigen, wie vertrauenswürdig der ausgestellte Nachweis und der Herausgeber sind. Ein höheres Vertrauensniveau bedeutet strengere Regeln für den Herausgeber und den Ausstellungsprozess.
Herausgeber (Issuer) können Nachweise auf unzählige Arten ausstellen. Um das Vertrauen in den ausgestellten Nachweis (VC) besser einschätzen zu können, gibt es verschiedene Stufen der Vertrauenswürdigkeit. Diese wurden ursprünglich in einer EU-Verordnung[1] festgelegt und können je nach Umsetzung durch die EU-Mitgliedsstaaten variieren.
Die Stufen werden grundsätzlich durch folgende Kriterien bestimmt:
- Spezifische Prozesse rund um die Ausstellung (z.B. Wie wird die Identität vom Inhaber (Holder) durch den Herausgeber überprüft?, Wie erfolgt die Authentifizierung?...)
- den Herausgeber selbst und die dazugehörigen Verwaltungstätigkeiten (Einhaltung Datenschutz, Nutzung von standardisierten Prozessen, ...)
- technische Aspekte (Nutzung von etablierten Protokollen, Verschlüsselungen, ...)
Es gibt drei Stufen, welche sich wie folgt Definieren:
| Stufe | Leitgedanke | Beispiel |
|---|---|---|
| Normal | Selbstauskunft | Der Inhaber legt selbst einen Nachweis an und ist gleichzeitig der Herausgeber. Ein Beispiel hierfür ist das Ausfüllen eines Online-Formulars. |
| Substanziell | Bestätigung durch Dritte | Ein Herausgeber überprüft die Identität des Inhabers, indem er verschiedene Wege nutzt, wie zum Beispiel den Abgleich mit vorliegenden Zertifikaten. Anschließend stellt er dem Inhaber einen Nachweis aus. Ein Beispiel hierfür ist, wenn die Post erstmalig ein Paket an eine Adresse zustellt und dem Inhaber der Adresse einen Nachweis ausstellt, dass diese Adresse valide ist und Sendungen dorthin geschickt werden können. |
| Hoch | Bestätigung durch Dritte mittels Personalausweis | Bestätigung durch Dritte mittels Personalausweis. Ein Herausgeber, der an standardisierte Prozesse gebunden ist und diese regelmäßig überprüft, überprüft meine Identität gemäß den Vorschriften des Personalausweisgesetzes / der Personalausweisverordnung und stellt mir auf dieser Grundlage einen Nachweis aus. Zum Beispiel beim Anlegen eines neuen Bankkontos, bei dem die Identität mittels Personalausweis, z.B. VideoIdent-Verfahren, bestätigt wird. |
Es gibt verschiedene Definitionen der Stufen. Die Definitionen in der Tabelle orientieren sich an der Technischen Richtlinie TR-03107-1 "Elektronische Identitäten und Vertrauensdienste im E-Government".[2]
| Schutzbedarf nach | ISO 29115 | NIST SP 800-63-3 | eIDAS | BSI | TR-03107-1 |
|---|---|---|---|---|---|
| 2 | IAL1 | Niedrig | Normal | Normal | |
| 3 | IAL2 | Substanziell | Hoch | Substanziell | |
| 4 | IAL3 | Hoch | Sehr Hoch | Hoch |
Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, Bd. 257. 2014. (Zuletzt aufgerufen: 25.11.2022), Verfügbar unter: http://data.europa.eu/eli/reg/2014/910/oj/eng ↩︎
„TR-03107-1 Elektronische Identitäten und Vertrauensdienste im E-Government Teil 1“, Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03107/TR-03107-1.html?nn=132646 (zugegriffen 25. November 2022). ↩︎