 Unser heutiger Vortragende spricht über digitale Ausweise, berührt seit über 40 Jahren Computer und ist auf sämtlichen CCC-Voranstaltungen wahrscheinlich hinreichend bekannt. Der Leirach! Danke für der heutige Vortragende. Ich freue mich auch einen Vortrag auf der GPN halten zu dürfen. Herzlich willkommen am Tag 4 der GPN. Ich fühlte euch auch schon so wie dieser Chip da oben leicht zerstört. Ich versuche euch trotzdem noch mal eine Stunde zu unterhalten und vielleicht das eine oder andere Wissensnibbel zu vermitteln. Wie gesagt, mein Name ist Leirach. Ich mache seit über 40 Jahren IT, viel davon auch im Behördenumfeld. Deswegen habe ich auch keine Haare mehr. Dies Leitz wird es nachher auf meiner Homepage geben, wenn ich mal dazu komme, vielleicht im Zug. Nein, da habe ich keine Internet nachher. Wer ist wegen der Mannerschnitten da? Ja, ein paar ehrliche Gesichter, sehr schön. Ich habe leider eine sehr traurige Botschaft. Wir haben Manner Klüpse. Ich wurde gestern leer gefressen. Hättest du was gesagt? Nein, nein, nein, nein. Das holen wir nächstes Jahr nach. Die Kolleginnen und Kollegen haben mich ein bisschen aus dem Konzept gebracht, was meinen Mann auf Verbrauch betrifft. Trotzdem, eigentlich habe ich die Mannerschnitten als Motivation dafür Fragen zu stellen. Ich mag Fragen, stellt gern auch zwischendurch. Ich habe ein wunderbarer Herralt, der die, Entschuldige, jetzt habe ich nicht aufpasst, die, Dankeschön, die gerne herumläuft und euch das Mikro bringt für die Frage, dass wir es für Stream und Film-Recording haben. Wie gesagt, keine Schüchternheit. Wie viele IT-Ler habe ich hier im Raum? Das ist wohl wenig hin. Wie viele Menschen mit US-Hintergrund? 3, 4, 5, ok. Ich bin weder noch, ich bin weder ein ausgebildeter Informatiker, noch habe ich irgendetwas mit US zu tun. Zu tun gehabt in meinem Leben, jetzt in der Ausbildung, ich habe, wie gesagt, ein bisschen im juristischen Umfeld gearbeitet und bewege mich jetzt hier auf sehr dünnerm Eis, weil es eigentlich bei diesem ganzen Thema AIDAS, digitaler Ausweis, Ausweisapplikationen etc. eigentlich primär um juristische Themen gibt, die dann in IT implementiert werden müssen. Ihr ahnt schon, wo das hinführt. Wenn professionelle, hochbezahlte IT-Düpfelreiter aus dem US-Bereich mit hochbezahlten professionellen IT-Düpfelreiter aus dem IT-Bereich über die Auslegung eines Satzes diskutieren, ob das jetzt ein inklusives oder ein exklusives Oder ist oder ob da jetzt ein Beistrich vergessen wurde oder ob der da jetzt absichtlich nicht gesetzt wurde, weil sich da noch die ganze Aussage des Satzes verändern würde. Das sorgt für Unterhaltung. Das sind auch so die Bereiche an der IT, wo ich dann gesagt habe, ja, ihr könnt es gerne mit dem LLM kommen. Also sobald ein Kunde seine Anforderungen klar und deutlich und spezifizieren kann, ja, lasst es den Code vom LLM schreiben. Also ich werde dafür bezahlt, das, was mir mein Kunde erzählt, dann nochmal zu übersetzen. Gut, los geht's mal mit ein paar Begriffdefinitionen. Es geht leider nicht ohne. Wir haben doch ein paar Technikaffine Menschen im Raum. Ich halte es kurz, ich halte es oberflächlich. Für ein paar Themen gibt es schon genug Talks. Für ein paar Themen hätte ich gerne noch nächstes Jahr ein paar Talks. Ich werde das entsprechend erwähnen. Freiwillige werden gerne genommen. Ich unterstütze dann auch bei der Stellung der Talks sehr gerne. Wie habe ich Davokabulain meinen Spickernots geschrieben? Oh mein Gott. Das war, glaube ich, nach dem dritten Junk. Die Definitionen sind zum Teil zirkulär. Nicht einschlafen, dabei bleiben. Wir schaffen das klassische IT-Problem. Rekursion, Siehe, Rekursion. Wir haben den Begriff des Zertifikats. Ein Zertifikat ist eine Sign... Also ganz generell, ganz generisch formuliert ist ein Zertifikat, eine signierte Datenstruktur, die einen öffentlichen Schlüssel an eine Entität bildet. Entität kann jetzt ein Person sein, es kann ein Computer sein, es kann eine Organisation sein. Die Zertifikate werden von einer CA ausgestellt im... Das ist immer so jetzt diese Denkliche Falle. Certificate Authority, also CA, im Deutschen meistens dann mit Zertifizierungsbehörde, vor allem in diesem E-Dassumfeld definiert. Das bleibt trotzdem lieber bei der CA. Und alle Personen, die sich auf eine Kommunikation mit dieser Entität verlassen und deren öffentlichen Schlüssel verwenden, um Mails zu verschlüsseln oder Signaturen zu überprüfen, verlassen sich darauf, dass die CA die Identität dieser Person überprüft hat. Und dafür steht dieser CA, der Zertifizierungsbehörde. Technisch schaut ein Zertifikat üblicherweise so aus, das ist sogenanntes X509-Zertifikat. Die Syntax nennt sich ASN1, also Abstract Syntax Notation 1, stand aus dem Jahr 1984, für alle, die sich jetzt wundern, warum das nicht Chasen ist. Die Notation ist im ITU die Standard X68 0FF definiert, wenn jemand darüber einen Talk machen möchte, bitte. Ansonsten ist es eher eine Einschlaffilfe. Das Ganze besteht aus dem Zertifikat selbst auf der rechten Seite und der Signatur auf der linken Seite, dass die Datensstruktur statt Signature steht und eben ein Buchstaben-Zahlenfolge drinnen. Der Gag von ASN1 ist, und das wurde eben 1984 gemacht, um einen Datenaustausch zwischen Systemen mit unterschiedlichen internen Darstellungen zu ermöglichen. Ich habe es ja gestern kurz erwähnt. Wir scheitern ja schon an, was ist jetzt ein Zeilenumbruch, wenn es jetzt noch umumlaute oder sonst irgendwelche Dinge gibt. Oder wenn man zwischen einem Großrechner und einem Windows-PC-Daten austauschen will, das ist meistens mit Schmerzen verbunden. Das haben Sie versucht hier mit ASN1 möglichst generisch zu lösen. Das ist die technische Variante. Wenn jemand, ich frage, kannst du mir irgendwas bauen, wo ASN1 vorkommt, nicht weglaufen? Das Ding ist, will man eigentlich nicht mehr. Bei einem Covid-Impf-Zertifikat wurden schon modernere Technologien von der Tamse zum Glück auf ASN1 verzichtet. Wie gesagt, X5009-Zertifikat kennen wir eigentlich alle, die wir mit Technik zu tun haben aus den Web-Server-Zertifikaten. Das schaut dann, wenn man sich im Browser an sieht so aus, hat einen Common Name, hat einen Aussteller, in dem Fall Let's Encrypt und hat eine Gültigkeitsdauer. Wenn man dann in diesem Bildschirm ein bisschen weiter hinunterklickt, findet man dann tatsächlich auch das Zertifikat, genau, da oben, mit einer Seriennummer und einem Downloaden. Hier kann ich das PAM-Zertifikat herunterladen als Textfell und kann es mir anschauen und das schaut dann so aus. Ja, unlesbare Textwüste. Hat wahrscheinlich jeder von uns schon mal irgendwann mal zumindest gesehen in der Hand gehabt, davon gehört. Ja, jetzt kann man aber so Zertifikate eben nicht nur für Web-Server verwenden, sondern man kann diese Zertifikate auch für andere Dinge verwenden. Das hier ist jetzt zum Beispiel mein Zertifikat aus dem österreichischen Aminos Trust Store. Das kann ich jetzt, das ist mein Signature-Zertifikat, mein Public Signature-Zertifikat. Das heißt, ich könnte jetzt mit meiner Handysignatur-Bürgerkarte ID-Ausdreher, wie auch immer sie jetzt heißt, ein Dokument digital signieren und jemand andere könnte sich dieses Zertifikat holen und sich den Public Key, der hier unten ganz unten steht, rausholen und das Zertifikat, die Signature überprüfen. So, es ist zu früh. So viel Zeit muss sein. Hier sieht man auch, das ist schon das dritte Zertifikat, das ich habe und es läuft am 4. Juli aus. Das heißt, ich sollte mich jetzt mal drum kümmern, dass ich das aneuere. Und wir haben auch schon Elliptic Curve hier, also nichts mehr RSA. Ich habe es vorhin schon erwähnt, diese AS1-Notation für die Zertifikate wurde immer wieder erweitert. Wir stehen derzeit bei Version 3. Zertifikaten immer etwas hinzugefügt, nie etwas weggenommen. Das heißt, maximal umfang haben wir jetzt und da stehen dann zum Beispiel so Sachen drinnen wie Extended Key Usages oder auch die prinzipielle Key Usage. In dem Fall darf ich dieses Zertifikat im Browser eben dafür verwenden, Server zu authentifizieren und Kleines im Zweifelsfall zu authentifizieren. Bei meinem Signature-Zertifikat, wenn man dann auch schaut Key Usages ziemlich genau in der Mitte, da hätte ich vielleicht noch einen roten Rant rummachen können, ist in dem Fall Digital Signature und sonst nichts. Das heißt, ich kann in einem Zertifikat auch definieren, wofür ich es verwenden darf. Komm wir ein bisschen später noch zurück. Okay, jetzt haben wir ein Zertifikat. Ein Zertifikat ist eine signierte Datenstruktur, die in den öffentlichen Schlüssel an eine Entität bindet. Entität haben wir geklärt, Person, Computer, Organisation, whatever. Aber was ist ein öffentlicher Schlüssel? Hurra! Wir sind beim Thema Private Key verfahren. Wir fangen jetzt nicht an RSA und alle diese Themen aufzurollen. Ich mache es ganz kurz und schmerzlos hoffentlich. Wir haben einen öffentlichen und einen privaten Schlüssel, die werden mathematisch so berechnet, dass diese ganze Magie dann funktioniert, dass ich eine E-Mail mit meinem privaten Schlüssel signieren kann. Und jemand anderer kann mit meinem öffentlichen Schlüssel überprüfen, ob diese Signatur korrekt ist oder nicht. Wenn ich irgendwo ein Blödsinn red, weil mein Hirn schon nach vier Tagen GPN durch ist, bitte unterbrecht mich. Das, was ich hier stressen möchte, ist, dass das Privat bei privater Schlüssel ist ernst gemeint. Der sollte bei der Benutzerin, bei einem Benutzer sein. Der sollte unter der Kontrolle der Person, der dieser Schlüssel zugeordnet ist. Das ist ein Thema, das mittlerweile immer wieder gerne in Vergessenheit gerät. Bei der österreichischen Handysignatur-Lösung ist das mittlerweile so, dass der private Schlüssel in einer Box bei der Aminos Trust liegt und auf den zugegriffen wird. Also ich muss quasi bitte, bitte signieren, mir da dieses Ding machen, dass mir dann mit meinem privaten Schlüssel etwas signiert wird. Find ich nicht schön, ist aber leider nicht anders möglich bei uns mehr. Mit diesem Ding kann ich eben zwei Sachen machen. Ich kann einerseits signieren. Hatten wir ja schon. Das heißt, ich, üblicherweise signiere ich ja nicht die komplette Message, sondern ich erstelle mir einen Hasch. Das heißt, ich habe eine Funktion, die mir eine Prüf-Summe, eine Quersumme bildet, mit möglichst wenig Kollisionen. Also irgendwas mit MD5. Brav, richtige Reaktion. MD5 will man nicht mehr. Schau eins oder was Besseres. Nachdem wir Schau eins sind, ist das aus Git schon draußen? Nein, dann haben wir Schau eins noch länger. Das heißt, immer ein recht bequemes Verfahren, um Mails zu signieren. Ups, da habe ich zwei Mal dieselben Folien drin. Ähnlich funktioniert es dann mit dem Verschlüsseln. Wie gesagt, ich will in die Details jetzt auch nicht hineingehen, wir brauchen nur die Begriffe, weil die jetzt dann in den ganzen EID-Themen ein bisschen tiefer kommen. Ja, ich liebe dieses Meme, ich liebe dieses Foto aus dem Film, es ist so grandios, anyways. Wo kommt jetzt dieses ganze EID, E-Ausweis etc. her? Da gibt es eine politische Vorgeschichte. 2005, wer war 2005 noch nicht auf der Welt? Doch, okay, ja, awesome. Also damals, vor deiner Zeit, hat sich die EU entschlossen eben zu sagen, by 2010 European citizens and businesses shall be able to benefit from secure means of electronic identification that maximise user convenience while respecting data protection regularities. Dieses Spannungsfeld User convenience versus security wird hier mal komplett außen vorgelassen, finde ich super spannend. Und bei the digital agenda key actions aus den Jahre 2010 wurde dann auch noch einmal dieses ganze Thema Identifizierung gepusht, wobei es auch immer lustig ist, der Fokus liegt dann immer auf irgendwelchen legal frameworks und den legal Aspekten, die ja auch wichtig sind, aber wie macht man das technisch und was braucht man denn dazu? Das ist immer so ein bisschen, also sollten wir da mal mit jemandem reden, der sich auskennt, ah, na, das geht schon, dass wir den Legelteiler richtig haben, dass der Rest ergibt sich schon, das ist immer wieder sehr lustig zu sehen. Und dann 2013 hat sich dann jemand mal angesehen, macht das überhaupt, ergibt das überhaupt Sinn? Was wir uns hier überlegen, gibt es überhaupt Use Cases, die man mit dem ganzen Thema Identifizierung, europaweite Identifizierung von Bürgerinnen und Bürgern und Unternehmern abdecken könnten. Und da gab es dann ein Study, Stadion Analysis of the Needs for Cross Border Services. Und da wurde zum Beispiel angeschaut, wovon könnten Bürgerinnen und Bürger profitieren? Und da war ganz klar in der Mitte, sieht man die Balken, medizinische Zugriff auf medizinische Daten, also sprich Rezepte. Ich bin irgendwo im Nicht-Heimat-Land, wobei, ich sage mal, ich wohne in der EU, der Rest ist Definitionssache. Aber ich bin jetzt irgendwo in Griechenland am Strand und brauche die Medikamente, die mir mein Arzt in Wien verschrieben hat, ja, wieder ein bisschen problematisch. Und dann unten eben auch noch die nächsten Balken dann wohnen, sich ausweisen, ja, ich bin die Person, die ich behaupte zu sein, sind so die großen Use Cases. Der zweite Treiber, ich sage jetzt mal ganz, also man findet es mit dem Suchtbegriff, findet man das da ganz unten, ich packe dann in das Leitdeck auch noch den Link hinein. Das ganze Thema wird meiner persönlichen Meinung nach eigentlich viel mehr aus dem kommerzellen Umfeld getrieben. Wir wollen ja Geld verdienen. Kazatze hat da heute schon einen schönen Talk zugemacht, schaut in euch im Streamer-Mann, falls ihr noch nicht wach wart, im Rekording an, falls ihr noch nicht wach wart. Für Businesses ist es eigentlich, ja, Social Contributions für Employees finde ich nett, das finde ich immer gut. Zoll, also Mehrwertsteuer abführen und Business Registers, also Unternehmensregister nachschauen für die Unternehmen. Ich glaube, ich will noch ein bisschen mehr sein, aber das sind so die großen Dinge. Das ganze hat dann nach fast 10 Jahren zur Richtlinie 1999, 93 EG des Europäischen Parlaments und Rates vom 13. Dezember 1999 über die gemeinschaftliche Rahmenbedingungen für elektronische Signaturen geführt. Das ist das Ding, das dann von EIDAS abgelöst wurde. Nur ganz viele Komponenten von EIDAS sind im Prinzip eins zu eins übernommen worden oder EIDAS hat viel von dem, was hier verbockt wurde repariert. Deswegen fange ich jetzt mal mit dem an. Jede Richtlinie hat mal eine lange Liste an Erwägungsgründen, wo die EU einmal darlegt, warum machen wir denn das eigentlich? Und da wurde eben 1999 formuliert elektronische Kommunikation und elektronische Geschäftsverkehr erfordern elektronische Signaturen und entsprechende Authentifizierungsdienste für Daten. Die vergierende Regeln für die rechtliche Anerkennung, wir sind schon wieder der Fokus auf den Ligelspekt, über die rechtliche Anerkennung elektronischer Signaturen könnten ein ernsthaftes Hindernis in der elektronischen Kommunikation darstellen. 1999, ich weiß nicht, was war denn da? War das Cyber eigentlich das? Das ist elektronisch, elektronisch, elektronisch, hat mich in dem Dokument immer irrsinnig fasziniert. Ich lese immer als elektrisch. Andere Erwägungsgründe war die Intoperabilität von Produkten für elektronische Signaturen sollen gefördert werden. Und beim nächsten Satz finde ich auch schön, dieser Wechsel zwischen EI und UE oder merkt man so, die EU ist auch nicht ganz so top, das ist als 1 zu 1 aus dem Dokument kopiert. Es ist grundsätzlich dafür zu sorgen, dass der freie Verkehr in Binnemark gewährleistet wird, wenn wir gleich kommen da später nochmal, das habe ich drinnen, damit wir es später nochmal referenzieren können. Und das Vertrauen in digitale Signaturen zu fördern. Joé. Gut. Das Lustige, wenn man das, also das Lustige, ich habe eine perverse Art von Humor, das Interessante, wenn man das Ding dann liest und nochmal versucht, okay, was schreiben die da hinein und was heißt das in der realen Welt? Also sprich, was muss ich jetzt bauen, als Architekt, als Programmierer, als was auch immer? Es gibt hier zwei unterschiedliche Dinge. Der Begriff elektronische Signatur ist ein reiner Rechtsbegriff, der mit einer technischen Implementierung nichts zu tun hat, was das Ganze natürlich unglaublich einfach macht. Die digitale Signatur ist das, wovon wir eben gesprochen haben, das engergefasste technisches Konzept, RSA, ICC, whatever. Aber bei der elektronischen Signatur haben sie sich eben bei dem Begriff nicht auf irgendeine Technik oder sonst irgendwas einschränken lassen wollen. Sorgt natürlich dann bei Besprechungen, ja, wir müssen jetzt eine qualifizierte Signatur machen, so, ja, aber womit, ist es uns egal, ja, und dann funktioniert die Lösung aus dem Land A mit der Lösung aus dem Land B nicht und umgekehrt und so weiter. Aber lasst uns mal anschauen, wie gesagt, Begriffsdefinitionen, Begriffsdefinitionen, Begriffsdefinitionen, Begriffsdefinitionen, was ist eine elektronische Signatur? Das sind Daten in elektronischer Form, die andere elektronischen Daten beigefügt oder logisch mit elektronischen Daten verknüpft sind und die zur Authentifizierung dienen. Also im Prinzip das, was ich euch vorhin gezeigt habe, das Zertifikaten im Publikum. Eine fortschrittliche elektronische Signatur ist genau das, das ist nämlich eine elektronische Signatur, die ausschließlich dem Unterzeichner zugeordnet ist, die Identifizierung des Unterzeichners ermöglicht. Mit Mitteln erstellt wurde die der Unterzeichner seiner alleinigen Contriere, ja, da kommen wir noch dazu hin. Und die Summe Daten verknüpft ist, dass eine nachträgliche Veränderung in der Daten erkannt werden kann, sprich, es ist eine digitale Signatur drauf. Der Knackpunkt hier, der Casus knackus hier, ist, es ist ausschließlich dem Unterzeichner zugeordnet. Das heißt, in Europa, ich brauche hier irgendeine Anbindung an, was immer ich in meinem Land auch an Bürgerinnenregister habe. In Österreich ist es der zentrale Melderegister, bei euch ist es ja etwas föderaler organisiert. Das heißt, eine fortschrittende elektronische Signatur bekomme ich nur, wenn ich an eine zertifizierte Stelle gehe, die Zugriff auf dieses zentrale Melderegister hat in Österreich und quasi dort eingibt, der ist jetzt da, ich habe seinen Pass mit meiner ID verglichen und mache nächstes Jahr einen eigenen Talk. Ich weiß, Assurance ist nicht so trivial. Ich simplifiziere, weil ich will eigentlich ganz wahnsinnig sein, aber ich brauche das alles als Vorthema. Der Punkt ist, sie muss dem Unterzeichner zugeordnet sein. Das ist so die fortschrittende. Aber ist sie noch nicht fertig. Es gibt dann noch die qualifizierte elektronische Signatur, die eine fortschrittende elektronische Signatur ist, von einer qualifizierten elektronischen Signaturenheit erstellt wurde und auf einen qualifizierten Zertifikat für elektronische Signaturen beruht. Da sind wir jetzt beim Thema, da müssen bestimmte Attribute in dem Zertifikat gesetzt sein, damit es eben genau als ein solches markiert ist. Das ist der technische Hintergrund. Sprich, der Aussteller muss ein paar Flex setzen. Ich hatte in meiner beruflichen Vergangen nicht öfter den Fall, dass ein Kunde kommt, das kann nicht und das tut nicht. Du schaust in das Zertifikat rein. Der Aussteller hat die Flex nicht gesetzt. Zurück an den Anfang, hol dir eine neue Karte. Apropos Karte. Das ist das, was wir vorhin meinten mit, wo war's da? Qualifizierte elektronische Signaturerstellungseinheit. Muske, also, ja, ich glaube, ihr seid jetzt gerade so weit. Bei euch ist das jetzt gerade so mit dem E-Person. Wir haben das, glaube ich, in den 10er Jahren gehabt. Wir haben das mittlerweile schon wieder weg. Das hat sich, da war fünf Jahre, nein, und ihr müsst genau dieses Modell, weil nur das ist zertifiziert und mit Plombe und einem Pipapo. Und irgendwie haben sie dann alle gemerkt, das ist nicht praktikabel, das funktioniert nicht. Jeder steckt die Karte beim Laptop in den Slot hinein und gibt den Pin über die Tastatur ein, was du mit diesem Gerät eigentlich verhindern willst. Es hat sich nicht lange gehalten. Die Idee ist ja auch immer, ich habe so in diesem Justizanwaltsumfeld gearbeitet. Die Idee ist ja, du schickst ein, also unsere Anwälte können seit 20 Jahren Akten ans Gericht, Unterlagen ans Gericht schicken, so verschlüsselt und digitalisiert und in gut, ohne mitlesen von anderen. Die Idee hier ist, dass der Anwalt oder die Anwältin mit ihrer Karte diese Dokumente eigenhändig signiert. Weil diese qualifizierte elektronische Signatur ist der eigenhändigen Unterschrift rechtlich gleichgestellt. Das heißt, du haftest auch dafür. Ja, was ist passiert? Die Karte mit dem Post-It und mit der Pin dazu liegt bei der Sekretärin oder beim Sekretär oder beim Assistenten und geschickt mir das mal schnell ans Gericht. Weil ich bin gerade, ich mache gerade Willer Bauer aus, mit dem anderen Kunden. Ja, ist jetzt mit EI das auch ein bisschen besser gelöst. Da gibt es Vertreterregelungen etc. Alles gut. Was brauche ich denn jetzt noch dazu? Jetzt haben wir die ganze Zeit über quasi die End-User-Seite geschickt, gesprochen, das, was ich quasi als Benutzerin Benutzer brauche. Ich brauche allerdings auch noch einen Zertifizierungsdienstanbieter, der mir die ganzen Dinge ausstellt. Das heißt, es ist jetzt nur ein Auszug. Das ist in dem Dokument eine lange, lange Liste an Parametern, die dieser Zertifizierungsanbieter erfüllen muss. Er kann sich dann auch noch zertifizieren lassen von einer Behörde. Dann ist es ein Vertrauensdienst der Anbieter. Und muss also die erforderliche Zuverlässigkeit für die Bereitstellung von Zertifizierungsdiensten nachweisen. Betriebssicherheit, Back-up, Security, Operations, alles Mögliche. Und ist eben auch dafür verantwortlich, dass dieses Mapping funktioniert zwischen Identität der Person und dem Zertifikat. Bezüglich der Zuverlässigkeit für die Bereitstellung habe ich immer dieses schöne Beispiel von der Aminos Trastien Vertrauensdienst der Anbieter ist in Österreich, der 2015 das Route-Zertifikat abgelaufen ist, während wir am Camp waren. Und auf einmal alle jede Anmeldung und auf österreichische Behördenseiten im Brausau dauert nix mehr, nix mehr e-Government. Ein schönes Ding ist auch noch der Artikel 8. Dieses Beamten- und Liegel-Deutsch ist so schön. Unbeschadete Rechtswirkungen, die Pseudonyme nach Einzelstaatlichem Recht haben, hindern die Mitgliedsstaaten Zertifizierungsdiensteanbieter nicht daran. Zertifikat ein Pseudonym anstelle des Namen des Unterzeichners anzugeben. Das heißt, ich kann mir ein Zertifikat holen, das mit meiner staatlichen Identität als Martin leider verknüpft ist, aber als Namen im Zertifikat Popokate-Pettel hat. Oder wäre ich jetzt flübke, würde ich mir eine Signaturkarte holen, wo dann drinnen steht, unterzeichnet von flübke. Wenn es wer ausprobieren will, das ist auch noch im EIDAS drinnen. Nur so als Vorschlag, servier Vorschlag. Kommen wir endlich? Zeit. Geht. Geht. EIDAS, der Electronic Identification Authentication and Trust Services, AKA-Verordnung 92114 des Europäischen Parlaments. Ja da, ja da, ja da, ja da. Und das Ding hebt eben auch die Lichtlichten wie die 199 auf. Was steht da drinnen? Im Prinzip nichts wesentlich Wahnsinnig Neues. Das Thema elektronische Signaturen haben jetzt glaube ich zu genüge durchgekaut. Die Vertrauensdienste sind einfach die Aussteller, über die wir gerade gesprochen haben. Das ist einfach nur ein bisschen unbenannt worden. Und der Rest ist eigentlich, der größte Teil von dem Rest, wir kommen im Detail noch drauf zu, sind einfach Dinge, die wir vergessen haben. Die haben wir in das alte Dokument nicht hineingeschrieben, weil niemand mit den Technikern geredet hat. Was für Zertifikate, also für signierte Dokumente braucht man Zeitstempeldienst, damit man sagen kann, damit man verlässlich sagen kann, wann man die Unterschrift geleistet hat, damit man verifizieren kann, ob die Unterschrift zu dem Zeitpunkt gültig war. Warum hat uns das niemand gesagt? Die Leute haben das alles gebaut. Es war schon alles da, ich zu den Siegeln komme ich gleich. Ich wollte noch mal so einen generellen Überblick bekommen. Nichts, vor dem man sich fürchten müsste. Es gab natürlich auch wieder Erwägungsgründe. Da habe ich jetzt mal gegenübergestellt, die Richtlinie versus die EIDAS-Verordnung, während in der Richtlinie noch von elektronischen Signaturen gesprochen wurde, die wir uns zumindest irgendwo erklären können und mapen können auf das, was wir technisch dann verstehen, gibt es dann eben jetzt in der EIDAS den Begriff elektronischen Transaktionen, der nirgendwo definiert wird, verflucht noch einmal. Also das ist so richtig so schwurbel sprecht, wo ich so einen Hals kriege. Man kann sich es dann irgendwie ableiten und man kriegt ein Gefühl dafür, was gemeint ist, aber er definiert jeden ... Sorry, er definiert jeden verfluchten Begriff, aber den nicht. Anyways, es gibt dann auch wieder Erwägungsgründe, da sieht man nämlich schön, 1999 ging es darum, der Binnenmarkt ermöglicht den Zertifizierungsdienste anbieten, Grenzüberschreiten tätig zu werden. Also 1999, ja ja, das soll alles Grenzüberschreiten funktionieren. 2014 war es dann so, Ups, die Richtlinie von 1999 hat festgelegt, ohne einen ... hat der Richtlinien Regelungen zu elektronischen Signaturen festgestellt, ohne einen umfassenden Grenz und sektorenübergreifenden Rahmen für sichere, vertrauenswürdige und einfach zu nutzen, der elektronische Transaktionen. Klar, man auf was immer das auch zu höherell sein mag, zu schaffen. Sprich, okay, wir haben damals ziemlich einen Blödsinn gebaut, lasst uns das reparieren. Da kommen wir auch nochmal gleich dazu. Und ja, es ist viel Legeltext, das tut mir leid. Hinweisen möchte ich hier auch noch eine Richtlinie, das Ding von 1999, eine Richtlinie, die erst mal durch die lokalen Parlamente musste. Das heißt, in Deutschland, in Österreich, in Finnland, in Schweden musste diese Richtlinie erst durchs Parlament, konnte dort noch einmal verbessert, verschlimmbessert, sonst irgendwie verwurschtelt werden. Was eben geholfen hat zu Dingen wie Ups, wir haben keinen Zeit-Service, kein Time-Stamp-Service, konnte da gefixt werden. Das haben sie jetzt bei ihr das anders gemacht und haben eine Verordnung daraus gemacht, die sofort gilt. Die muss nicht mehr durchs Parlament verabschiedet werden. Ein Schelm, wer hier böses denkt. Gut, ich muss mal schauen, wo will ich jetzt eigentlich hin? Genau, schauen wir uns an, was haben wir denn da jetzt noch nicht? Elektronische Identifizierung, das ist so ein Ding so, ach, das hätten wir vielleicht auch bedenken sollen, weil, ja, dass man jetzt nicht nur Dokumente unterschreiben will, sondern dass man sich mit dem Ding vielleicht auch irgendwo anmelden will und dass diese Anmeldung mit meinem österreichischen Ausweis dann auch in Deutschland, in Österreich, Schweden oder sonstwo funktionieren sollte, ja, das hätte man vielleicht hineinschreiben sollen. Also dieses ganze Thema elektronische Identifizierung geht eigentlich in dieser Richtung. Da gibt es nämlich ganz speziell den Artikel 6, wo eben drinnen steht, wenn ich einen Dienst habe, für den du dich elektronisch anmelden musst, im eigenen Land, also sagen wir in Österreich, dann muss diese Anmeldung auch mit den Anmeldungen aus den anderen Ländern funktionieren. Es wird lustig, ist lustig. Das Minimum Datenset für so eine Anmeldung, Familienname, Vorname, Geburtstag, eindeutige Kennung, soweit möglichst, möglichst, die sich möglichst nicht ändert. Und optional dann noch, Anschrift, Vorname, Familie, bei Geburt, Geburtstag und Geschlecht mit allen Diskussionspunkten, die man da schon wieder hineinschmeißen kann. Das Problem ist, wir sind in der EU, jedes Land hat eine andere Lösung. In dieser Identifikatur, dieser eindeutige Kennung ist zum Beispiel in Deutschland an den PERSO gebunden. Das heißt, mit jedem PERSO bekommst du einen neuen Identifikator. In der UK ist der Identifikator vom IDP abhängig. Das heißt, je nachdem wo du angemeldet bist, kannst du in Umständen mehrere Identifikatoren haben. In Österreich machen wir das auf Basis des ZM1. Rechnen wir uns über die Stammzahl, die wir dort haben. Wir haben bereits diesen eindeutigen Kenner für jede Bürgerinnen, für jeden Bürger. Rechnen wir uns bereichspezifische Kennzeichen raus und das kommt da hinein. Das heißt, in Deutschland sind die optionalen Parameter dann für die Anmeldung gar nicht mehr so optional, weil einen Max Müller muss man dann anhand des Geburts eindeutig erkennen. Viel Spaß bei der Implementierung. Technisch soll das dann so laufen, oder läuft es bereits auch schon so, im Großteil der Fälle kommt ein sogenanntes Proxyservice zum Einsatz. Das heißt, die Benutzerin im Mitgliedstaat A spricht ganz normal mit ihrem lokalen Identity-Provider im Land und der IEI das Not des Mitgliedstaats macht dann im Prinzip Sammel mit einem IEI das Not im Mitgliedstaat B die Anmeldung erfolgt und dann kann die Benutzerin auf den Service-Provider, also was weiß ich, Unternehmensregister sonst irgendwas zugreifen. Dazu muss der Mitgliedstaat A ein Proxyservice für jedes Partnerland betreiben und der Mitgliedstaat B, das Partnerland eben einen IEI das Connector. Die werden jeweils in der jeweiligen Oberhoheit des Landes liegen. Es gibt dann noch die Mittelwehrlösung, wo Staat A eine Box im Rechenzentrum des Staat Bs betreibt und das dann dort lokal anflanscht und die einzigen, die das machen, sind die Deutschen. Warum auch immer. Mehr oder weniger so, da sollte man vielleicht noch ein bisschen was nachdefinieren, damit wir da auch in Europa ein bisschen was miteinander tun können. Jo, jetzt kommen wir zu deiner Frage, die du so eingeworfen hast, ohne Mikrofon. Was ist mit den elektronischen Siegeln? Ups, ja, das war auch so ein Versäumnis. Elektronische Siegeln sollen als Nachweis dafür dienen, dass ein elektronisches Dokument von einer juristischen Person ausgestellt wurde, weil in der alten Richtlinie hat niemand dran gedacht, dass vielleicht ein Unternehmen was signieren muss. Oder ich habe jetzt einen Prokuristen, der quasi zeichnungsberechtigt ist für meinen Unternehmen. Wie dokumentierst du denn das? Das war damals irgendwie so, ja, okay, das wurde jetzt hier nachgezogen. Das heißt, erfordert eine Transaktion, wie gesagt, was immer das auch ist, ein qualifiziertes elektronisches Siegel einer juristischen Person, so soll eine qualifizierte elektronische Signatur eines befugten Vertreters der juristischen Person ebenfalls akzeptabel sein. Im Prinzip, alles das, was wir jetzt für Personen durchgekaut haben für juristische Personen, sprich Unternehmern, nicht mehr und nicht weniger. Es ist rein wieder ein juristischer Fix für was, was übersehen wurde. Alles andere gilt, wie gesagt. Der einzige Unterschied ist die Signatur der juristischen Person, also das elektronische Siegel, ist in seiner Rechtswirkung national beschränkt. Es gilt also nur in dem jeweiligen Land. Und ist nicht im Equivalent zur gleichen Wirkung wie Schriftlichkeit. In Österreich haben wir uns dann auch noch das Konstrukt der Amtssignatur eingeführt, damit wir eben, damit Behörden eben elektronische Schriftstücke auch automatisiert signieren können etc. Die ist davon nicht betroffen, weil das ist wieder, ja, anyways. Wie gesagt, technisch ist hier kein Unterschied zu der normalen Signatur. Das ist rein legalisglumpert wiederum. Dann, was habe ich noch alles vorbereitet? Genau, qualifizierte Bewahrungsdienste. Da geht es darum, die vertrauenswürdigkeit qualifizierter Signaturen oder qualifizierter Siegel über die technische Gültigkeit hinaus zu verlängern, Archivierung. Arbeitet während beim Thema Archivierung so rechtssicher und so und revisionssicher und über sieben Jahre und mehr, da wird es dann so ziemlich grauslich, wenn man digitale Dokumente hat, die irgendwann mal signiert wurden, und vor allem, wenn dann die Luts und Intermediates auslaufen und so. Das soll damit geregelt werden unter anderem. Das Problem ist, da gibt es noch keine Durchführungsrechtsakte und daher keine gemeinsamen Normen. Das heißt, das ist derzeit zum Knicken, irrelevant. Selbiges gilt für die Zeitstempel, da gibt es auch noch keine Durchführung und die Dienste für elektronische Einschreiben. Da haben wir zum Beispiel in Österreich schon ein paar Lösungen, die aber alle noch nicht eh daskonform sind, weil auch hier gibt es noch keine Rechtsnormen dafür, etc. Es gibt technische Lösungen, aber nicht die Rechtsnormen zu. Wann habe ich? Viertel? Gut, passt, passt. Lustiges Thema, das wird euch alle, glaube ich, sehr erhätten, hat bei uns schon was von Quack gehört. Heißt also Offiziell Zertifikat für die Website-Autentifizierung, Qualified Website-Authentication-Zertifikat. Kurz Quack. Soll ein Problem sein, dass wir gar nicht haben. Es hat jetzt zwar nichts mit Blockchain zu tun, aber soll uns ermöglichen zu sagen, ja, die Website ist wirklich die Website, die sie vorgibt zu sein. Ich verbinde mich jetzt mit meiner Bank und weiß dann aufgrund von Quack, dass die Bank auch wirklich die Bank ist. Möglich gemacht wird das durch Zertifikate, die ich von meinem Vertrauensdienst der Anbieter bekommen habe oder ausgestellt bekommen habe. Das sind die Vertrauensdienste-Anbieter, die ihre Zertifikat nicht verlängern können. Weil ich jetzt ganz, nur ganz kurz für die, die TLS noch nicht so im Kopf haben oder gemacht haben. TLS sagt ja nur, ich verifiziere das Zertifikat, das mir das Server gibt. Nein, das Server und der Kleint machen sich was aus und ich weiß, dass dann meine Verbindung dann verschlüsselt ist. Das sagt nichts über die Zerstwürfeness oder über die Identität des Servers aus. Wenn ich dem Zertifikat vertraue, dass der Server schickt, dann habe ich keine Ahnung, was da auf der anderen Seite ist. Dieses implizierte Vertrauen kommt durch den root-Truststore, den ich im Browser habe, dem ich als Benutzerin implizit vertraue, wenn ich ihn nicht selber ausmiste und hank. Ich habe sonst keine Hobbys. Das heißt, wir haben ja ein Vertrauensproblem oder Problem, eine Vertrauenssituation, die fragwürdig ist. Das heißt, wenn ja jetzt ein Zertifikat kommt, so von einem Männern in den Mitteltag, ich tricke auf, klick auf, ich vertraue dir, dann kann ich auf einmal statt mit meiner Freundin mit einem Teufel kommunizieren, aber ich tue das gesichert. Das macht TLS nicht mehr und nicht weniger. Und das, was die EU versucht, mit dem Quick zu realisieren ist, da noch mal einen Leer draufzusetzen, quasi einen organisatorischen, um zu sagen, ja, aber das Zertifikat ist wirklich das sämtliche Browserhersteller, Chrome, Firefox und so, haben alle gesagt, stopp, Freunde. Und dann gab es auch noch einen schönen Rücken, kann sich noch wie ein EV-Zertifikat erinnern, Extended Verification. Es war im Prinzip genau dasselbe Modell. Ich zahle einer Certificate Authority Obstöngeld dafür, dass der Browser dann die Browser-Leiste noch grün macht oder Blau oder Spuckles, Rainbows, whatever, hat sich auch nicht durchgesetzt. Es war nämlich dann so, dass diese Verification so gut war, dass ein Developer mal geschafft hat, ein Zertifikat zu bekommen, in dem Striping drinnen stand. Und du kannst dann halt im Browser nicht mehr kennenl, das ist jetzt der echte Stripe oder das vorne ist echt, das hinten ist der Gefegte, funktioniert einfach nicht. Tut nicht, ist kaputt. Das ist das, wovon die EU träumt, prinzipiell ja durchaus ein interessantes Konzept, oder ja, damit, I can't live with that. Wir haben Dokumente, wir haben Signaturen, wir haben eDelivery, wenn man das möchte, ich mag es nicht. EID ist, wie ich sage, die EU definiert hier nur Rahmen, wie es in den Ländern implementiert wird, bleibt dann immer beim Land. EIDAS, habe ich ja vorhin schon gesagt, mit dem ProXYS, das soll ja Länderübergreifen funktionieren, und wir haben in den Ländern verschiedene Vertrauensdiensteanbieter. Das ist so die Liste, der Vertrauenslistdiensteanbieter, also es gibt es in vielen Jänner, ich war überrascht, dass es in Deutschland schon welche gibt. Und nein, es sind nicht nur Faxanbieter drauf. Bundesnetzagentur 1&1, Deutsche Telekom, SAP-Feldner. Ja, ein paar Vertrauensdiensteanbieter. Das Schöne ist, und das finde ich wirklich geil, in EIDAS, sie haben im Artikel 12 zum Thema Zusammenarbeit und Interoperabilität, folgende muss Kriterien definieren, muss Kriterien. Es muss der Grundsatz des eingebauten Datenschutzes Privacy by Design umgesetzt werden. Und es muss gewährleistet werden, dass personenbezogene Daten im Eingang mit der Richtlinie 95er zu DSGVO verarbeitet werden. Das steht im EIDAS drinnen. Theorie, Praxis. Aber prinzipiell, es steht drinnen, man kann sich darauf berufen, es steht noch drinnen. Es gibt dann eben ein paar Durchführungsrechtsakte in der EU, die definieren dann eben schon und die definieren jetzt dann wirklich die technischen Details, wenn da jemand einen Folge-Talk machen will. Feel Free, da gibt es super spannende, interessante Themen drinnen. Das, wo es jetzt wirklich grauslich wird, ist das, was derzeit in Arbeit ist, und das läuft unter dem Begriff EIDAS 2. Da gibt es ein paar gute und ein paar schlechte Dinge. Fangen wir mal so. Es ist derzeit nach derzeitigen Vorschlägen drinnen für die Schutz vor Diskriminierung. Das heißt, Bürgerinnen soll es freigestellt sein, ob sie die ID-Wollet mit öffentlichen und privaten Dienstamt mitternutzen wollen. Sie dürfen keinen Nachteil erfahren, wenn sie das nicht wollen. Ja, wir wissen alle, in der Praxis wird es wahrscheinlich anders aussehen, aber ich sage mal vom Wording her und vom Ansatz her, ja, wer das ID-Wollet einsetzen will, kann es sowohl zur Identifizierung als auch zur Authentifizierung verwenden. Im ersten Fall teilt die Nutzerin durch die Weitergabe Persönlich-Adapten mit, wer sie ist. Im zweiten Fall bestätigt sie nur, dass sie jene Person ist, die sie vorgibt, zu sein. Also beim einen Mal werden Daten mit übermittelt, beim anderen Mal wird nur ein Bullying quasi von den Systemen zurückgegeben. Ja, ist die Person und mehr kriegt das gegenüber nicht. Auch gut. Zum Wollet kommen wir gleich noch einmal zu dem eindeutigen Dauerhaften. Ich glaube, ich glaube ich auch noch mal, wenn ich es jetzt richtig sehe. Ihr seht es, ich bin voll vorbereitet. Die Personen kennen Ziffer, soll nach derzeitigen Vorschlag nur dann abgefragt werden in der Behörden-Kommunikation zwischen Ländern. Also wenn ich jetzt was von der deutschen Behörde bräuchte, weil ich zum Beispiel heiraten möchte oder sonst irgendwas, dann dürften meine Personen-Kennziffern aus Österreich etc. abgefragt werden. Es ist aber nach Einschätzung aller Privacy-Advocaten damit zu rechnen, dass in den weiteren Gesetzgebungsverfahren diese Einschränkung fällt und auch Privatunternehmern dann die Personen-Kennziffern, die Personen-Daten abrufen sollen. Und damit haben wir genau das, was viele dann als Supercookie oder Trackingcookie bezeichnen. Ich habe als Bürger eine eindeutige Nummer, die auch Privatunternehmern abgreifen dürfen. Und das ist so das Ding, wo dann, wem stellt es dann nicht die Haare auf? Ja, genau. Und natürlich auch, Quack ist noch immer drinnen, das haben sie noch immer nicht rausgekickt. Das werden wir so schnell auch nicht los. Wer bei Politiker-Sprech schlecht wird, sollte in den nächsten zwei Minuten nicht auf dem Bildschirm schauen. Wir haben natürlich das ganze Technologie-Neutral formuliert, das heißt, wir haben so wunderbare Bullshit. Man findet Blockchain nicht, ich bin überrascht. Und Cyber ist eindeutig schon aus der Mode. Ich vermisse es. Distributed ledger, ich hätte mir erwartet, dass statt Distributed ledger eigentlich Blockchain dort steht, weil so versteht es ja kein Politiker oder keine Politikerin. In der nächsten Version kommt dann noch LLM dazu. Genau, es gibt neues Geld, neue Förderungen, weil nicht blockchain. Weil Distributed ledger ist ganz was anderes und deswegen müssen wir von vorne anfangen und brauchen ganz viel Geld. Genau, super, danke, richtiger Einwurf. Self-Sorrowing Identity, ich finde es spannend, aber ich weiß nicht, ob wir das jetzt schon in der Form wirklich hinaus pushen wollen. Lilith Wittmann hat da auch, glaube ich, eine sehr deutliche Meinung zu dem ganzen Thema, der ich mich nur anschließen kann. Ich sehe, ich bin ein alter Sack. Ich habe leider schon viel in meinem Leben gesehen. Als wir damals in Österreich mit dieser Bürgerauthentifizierung begonnen haben, die allererst iteration war wir mit Software-Zertifikaten. Das heißt, eine Anwältin, die sich, die was an die Justiz schicken wollte, hat eine Datei bekommen mit ihrem Zertifikat. Was waren 90% der Anrufe am Helbcenter? Ich habe einen neuen Computer und kann mich nicht mehr anmelden. Das heißt, die Migration dieser Datei vom alten Rechner auf den neuen Rechner hat einfach nicht funktioniert oder vom alten Browser in neuen Browser. Es funktioniert, wenn ich mit dem Firefox anmelde, aber nicht mit dem Trigger Warning Microsoft. Wie ist der? Explorer, so. Internet Explorer, genau, Dankeschön. Wer von euch, es ist zwar noch nicht Kongresszeit, wer von euch weiß schon, dass er vor dem Kongress noch zu seinen Eltern fahren wird? Ja, oder noch bei seinen Eltern lebt. Was ist das erste, also was ist eins der ersten Dinge, die er tun werdet? Ihr werdet einmal die ganze IT-Infrastruktur vor dem Anbringen. Du Sohn, du Tochter, du Kind, meine Handy, ich habe da ein neues. Du hast mir doch gesagt, wir müssen über Signal kommunizieren. Bring mir doch mal meine alten Signal-Messages auf das neue Handy. Das sind Dinge, das dragging wir, oder? Jetzt ehrlich. Ein neues Handy und Signal migrieren oder andere Secure Messenger-Dinge migrieren. It's hard. Jetzt stellt euch vor, ihr habt Otto Normal-Bürger, der seine digitale Identität selber verweiten soll auf seinem Smartphone. What could possibly go wrong? Die Idee dahinter ist eben die Souverinität des Nutzers. Bin ich voll dafür, Olle, Olle, aber Angst. Und es steht eben auch derzeit noch drinnen. Also die Idee hinter dem Self-Server Identity ist, dass es eben keinen zentralen Speicher mit Identitätsinformationen gibt. Der Idee kann ich was abgewinnern, aber in der Implementierung und im richtigen Leben werden wir an Grenzen stoßen. Neben diesen ganzen Technologietechnologiethemen haben wir auch ein leichtes Marketingproblem. Ich habe euch das Beispiel aus Österreich mitgebracht, das war die Folie, die ich von der Easterheg nachgebaut habe. Das sind jetzt die Namen, durch die wir mittlerweile durchgegangen sind, seit wir eine Identitätslösung haben für Bürgerinnen und Bürger. Also von Software-Zertifikatsignaturkarte mit zertifiziertem Lesegerät, das war der Ping-Dingst, Signaturkarte mit Lesegerät, Bürgerkarte-Signaturkarte mit Bürgerkartenfunktionen. Ich hatte mit Bürgerkartenfunktionen Handysignatur, EIDAS. ID Austria, ja so heißt, das ist einer der Marketingbegriffe. Wenn du dich aber anmelden willst, brauchst du die digitale Amt-Applikation am Handy. Wenn du aber jetzt den digitalen Führerschein am Handy haben willst, dann brauchst du die Ausweis-App. Der digitale Führerschein funktioniert aber nur in Österreich, weil er noch nicht EIDAS-konform ist. Und wenn jetzt EIDAS 2 durchgeht, dann brauchen wir noch dazu die europäische digitale Identität, EID, beziehungsweise das European Digital Identity Wallet EDI. Wer will das jetzt, was brauche ich jetzt, wenn ich mich einfach irgendwo anmelden will? Aber das Schönste, und das bringt mich immer wieder zum Lachen, ist das EU Trustmark. Das ist ein GIF, ich bin wundert, dass es nicht animiert ist und sparkelt. Falls das jemand bauen möchte, ich werde unendlich dankbar. Wenn ich quasi mein Quick-Zertifikat habe, darf ich mir das auf die Seite pappen, um zu sagen, ja, ich bin vertrauenswürdig. Wir haben sowas Ähnliches für Webshops etc. Ich habe mir das mal angesehen, zwei Drittel von den Webshops, die dieses Webshop-Zertifikat haben, haben eine Http-Anmeldung ohne Https. So alt sind die. Wenn ihr jetzt Probleme mit diesem ganzen Thema DLT, SSI etc. habt, was könnt ihr tun? Es gibt E-Tree. Wer von euch schon mal das von E-Tree gehört? Zu wenige. E-Tree ist European Digital Rights, ist ein Dachverband über ganz viele Entitäten. Ihr seht hier ein paar aufgelistet. Der CCC ist hier auch Mitglied. Das ist eine Lobbyorganisation in Brüssel. Die sitzen in Brüssel, die machen Arbeit in Brüssel, die reden mit Politikerinnen, die machen verdammt viel, verdammt gute Arbeit, sind anders darf, sind andefandet, gehen natürlich gegen das Geld von Google Microsoft und Co. unter. Wenn ihr Zeit habt, wenn ihr Geld habt, werft das gegen E-Tree. Die freuen sich, die sind dankbar, die bewegen auch was. Die haben auch die Hebel, die kennen auch die Leute, die kennen auch die Akteuren. Dadurch, dass das jetzt alles Verordnungen sind, brauchen wir im lokalen Parlament, können wir da nichts mehr tun. Da müssen wir auf EU-Ebene gehen. Ich kämpfe auch immer wieder mit, wir müssen in Brüssel, in Straßburg, mit unseren EU-Abgeordneten reden und nicht mit dem lokalen Parlament, was diese Dinge betrifft. Weil wenn es damals verabschiedet ist, dann Mimimi zu machen und zu lamentieren im Nachhinein, ist es zu spät. Damit bin ich am Ende meines Talks, vielen, vielen herzlichen Dank und gibt es Fragen. Fragen wahrscheinlich viele, weil ich habe ganz viel nur oberflächlich gestreift. Ich nehme auch Rans. Ich verspreche auch nicht, dass ich sie beantworten kann. Funktioniert Certificate Revocation denn schon? Bei Covid haben sie es ja gefixt. In Österreich hat das relativ gut funktioniert. EU-weit kann ich es dir jetzt noch nicht sagen, was sollte eigentlich tun? Aus meiner Erfahrung ja. Oder spielst du auf ein spezielles Ding an? Ich kann jetzt nur sagen, in Österreich hat das mit der Revocation eigentlich gut funktioniert. Wir haben aber auch die Zertifikate. Es war so schön ein LDAP gehabt mit voller Zertifikate, wo die Global Unique ID der Zertifikatskennung war. Weil das ist ja genau das, wonach ich such. Ich will wissen, wer hat das Zertifikat ABCDEF und welches ist das gültige Zertifikat? Das ist der Zertifikat. Das ist der Zertifikat von Martin Leirer. Das ist der Zertifikat von Martin Leirer. Total pervers. Einiges. Frage, bitte. Laut dieser neuen Richtlinie soll ja das Verwenden der E-Identität Wallet, wie auch immer sie es gerade nennen, freiwillig sein. Ist es aber de facto in Deutschland nicht, de facto in Deutschland nicht denkst du, das wird sich ändern oder ist das so formuliert, dass man es in Deutschland weiterhin zwangsweise auf den Aufsatz machen kann? Das sind zwei unterschiedliche Dinge. Verwendung versus Ausstellung. Das selbe Problem hatten wir in Österreich auch. Es gab 2019, 2017 die Gesetzestiscussion eben zu dem Thema EID, nennen wir es mal EID. Wo auch die Frage war, ist es ob in oder opt out und auch bei uns hat sich das Parlament dazu entschlossen das opt out zu machen. Also wenn du dir jetzt einen neuen Pass holst, bekommst du automatisch eine EID mit ausgestellt, außer du sagst explizit, nein ich will das nicht dürfen. Du kriegst sie ausgestellt, dagegen kannst du nichts tun. Ob du sie benutzt, es darf dir durch die Nicht-Benutzung kein Nachteil entstehen. Gegen die Ausstellung kannst du dich nicht wehren, derzeit. Soweit ich weiß, correct me if I'm wrong. Gibt es weitere Fragen? Immer diagonal gegenüber. Bitte einmal durchgeben. Wer kontrolliert oder zertifiziert eigentlich diese ganzen Anbieder von diesen Zertifizierungsdiensten? Das ist auch in der Verordnung geregelt, da müssen alle Nationalstaaten entsprechende Behörden einrichten. Bei euch ist es soweit, ich weiß, die Bundesnetzagentur, bei uns ist die RTR, die zertifiziert die. Das habe ich nur geskippt, weil wenn du das ganze Ding durchgehst, red ich vier Stunden und darauf hatte ich heute keine Erwohnung. Aber danke für die Frage. Mächung aus Rand und Frage und zwar die Behörde oder der Laden, bei dem ich arbeite, schickt auch regelmäßig Post an Gerichte und die Gerichte an uns. Da haben wir immer mal wieder das Problem, dass die Software halt nur PDF verarbeitet, aber es kommen halt WIRTS an. Als ich den Kollegen, der dann Gerichten eigentlich erklären soll, bitte schickt uns das in den Format, wie es laut Gesetzesvolle zu sehen hat, kam dann wohl die Antwort von Richtern, ja wieso? Die Norm, es sagt ja nur, dass man da einen PDF empfangen muss. Über das Verschicken wurde doch gar nie was gesagt. Ist aus Österreich ähnliches bekannt. Weil du ja sagst, dass ihr den Spaß schon länger habt, das würde mich einfach... Wir haben es in Österreich insofern einfacher, weil wir ja nicht so föderal aufgestellt sind. Das heißt, bei uns spricht das Bundesministerium für Justiz mit dem Bundesrechenzentrum, dem IT-Dienstleister des Bundes, die implementieren das einmal und dann haben sich die Anwälte dran zu halten. Punkt. Aber ich bin ganz verwundert, dass da kein Fax im Spiel ist. Ich hätte es gewartet. Haben wir noch eine? Oder? Machen wir eine letzte noch, ne? Gibt es Verpflichtungen für kommerzielle Anbieter, irgendwas davon zu benutzen? Wir haben in Deutschland zum Beispiel dieses nicht so tolle Video-Ident-System. Da würde ich es besser finden, wenn die zusätzlich verpflichtet werden, zum Beispiel EID anzubieten. Nicht, dass ich wüsste, auch hier wieder, correct me from wrong, nicht, dass ich wüsste, soweit ich jetzt nachgelesen habe, wie gesagt, ich bin weder Jurist, Anwalt oder sonst irgendwas, was ist, ich weiß es eben, die elektronische Signatur ist der Eigenhändigen gleichgestellt, das heißt, eine Kündigung etc., kann ich digital PDF signieren und muss nicht bei Posthand unterschrieben schicken. Das müssen Sie akzeptieren, aber bezüglich EID, wie gesagt, es darf dir derzeit kein Nachteil daraus entstehen, daher können Sie es nicht verpflichtend machen. An dieser Stelle danke ich im Namen der GPN ganz herzlich dem Leirat. Bevor ihr jetzt den Seirall verlasst, in 15 Minuten beginnt der Abbau vorne im Hexcenter, das heißt sämtliche Taschen, Jacken, Stühle, Laptops, alles, was ihr dann noch habt, müssen da weg. ÖPNV solltet ihr auch, wenn ihr zum Hauptbahnhof wollt, vielleicht ein, zwei Takte eher fahren, die Busse und Bahnen werden sehr, sehr voll sein. Und natürlich können Sie auch gerne beim Abbau helfen. Vielen Dank.