Close

Vertrauensniveaus (Level of Assurance) nach eIDAS: Grundlage für sichere digitale Identitäten

Vertrauensniveaus nach eIDAS (niedrig, substanziell und hoch) schaffen eine klare Ordnung im digitalen Vertrauen. Sie definieren, wie sicher Identitäten geprüft und genutzt werden müssen.
Lesezeit: 4 Minuten
Inhaltsindex

Verschiedene Vertrauensniveaus für verschiedene Anwendungsfälle

Stellen Sie sich vor, digitale Identitäten hätten einen gut sichtbaren „Vertrauens-Index“, der zeigt, wie belastbar eine Online-Identifizierung wirklich ist. Genau so funktionieren die drei Vertrauensniveaus, auch Levels of Assurance (LoA) genannt. Sie machen sichtbar, wie sicher es ist, dass eine Person im digitalen Raum tatsächlich diejenige ist, für die sie sich ausgibt. Damit schaffen LoA eine gemeinsame, europaweit verständliche Basis für Vertrauen in digitale Prozesse – und werden zum Dreh- und Angelpunkt moderner Identitäts- und Signaturlösungen.

Gerade weil immer mehr geschäftliche und behördliche Vorgänge vollständig digital ablaufen, ist diese Einordnung nicht nur hilfreich, sondern essenziell: Sie sorgt für Klarheit darüber, welches Maß an Identitätssicherheit für welchen Anwendungsfall angemessen ist.

Was bedeutet „Level of Assurance“?

Ein Level of Assurance ist ein abgestuftes Vertrauensmaß für elektronische Identifizierungsmittel. Es bewertet die Sicherheit einer digitalen Identität entlang zweier ineinandergreifender Elemente:

Erstens geht es um die Identifizierung: also darum, wie zuverlässig eine Person beim Onboarding geprüft wurde. Zweitens betrifft es die Authentifizierung: also die Frage, wie sicher sich diese Person später wieder anmelden kann.

Das Ergebnis ist eine klare Aussage: Wie hoch ist das Vertrauen in die digitale Identität – gemessen an Risiko und Schutzbedarf des jeweiligen Prozesses?

Die eIDAS-Vertrauensniveaus: niedrig, substanziell, hoch

Nach eIDAS gibt es drei Vertrauensniveaus. Sie sind so gestaltet, dass sie in der Praxis risikoorientiert eingesetzt werden können.

Niedrig (low)

Dieses Niveau ist für Anwendungsfälle gedacht, bei denen ein Identitätsmissbrauch nur begrenzte Auswirkungen hätte. Die Identitätsprüfung ist hier weniger streng, und auch die späteren Anmeldeverfahren folgen einem grundlegenden Sicherheitsstandard. Es geht um ein sinnvolles Minimum an Schutz für digitale Prozesse mit geringem Risiko.

Substanziell (substantial)

Bei einem substanziellen Vertrauensniveau sind die Anforderungen deutlich höher. Es richtet sich an Vorgänge, bei denen Missbrauch spürbare Folgen hätte – etwa wenn sensible Daten oder wichtige Funktionen betroffen sind. Entsprechend robust ist die Identifizierungsprüfung, und der Zugriff wird durch stärkere Authentifizierungsmechanismen abgesichert.

Hoch (high)

Das höchste Vertrauensniveau zielt auf Prozesse mit besonders hohem Risiko. Hier muss die Identifizierung sehr streng stattfinden, und auch die Authentifizierung ist so ausgelegt, dass Angriffe selbst mit erheblichem Aufwand mit sehr hoher Wahrscheinlichkeit scheitern. Die digitale Identität soll damit nahezu zweifelsfrei feststehen.

Warum Levels of Assurance so wichtig sind

Ohne LoA müsste jede Organisation für jeden digitalen Prozess individuell festlegen, wie streng Identifizierung und Login sein müssen. Das wäre aufwendig, schwer vergleichbar und würde zu inkonsistenten Sicherheitsniveaus führen.

Mit Vertrauensniveaus entsteht stattdessen ein strukturierter Rahmen: Prozesse können genau dem Sicherheitsniveau zugeordnet werden, das sie benötigen. LoA ermöglichen damit Vergleichbarkeit, Risikosteuerung und eine konsistente Umsetzung digitaler Identitäten – auch über Ländergrenzen hinweg.

LoA in der Praxis: Identifizierung und Authentifizierung gehören zusammen

Ein Vertrauensniveau ergibt sich nie nur aus einem einzelnen Schritt. Entscheidend ist das Zusammenspiel:

Bei der Identifizierung zählt, wie die Person beim Start des digitalen Lebenszyklus geprüft wird. Je höher das verlangte Vertrauen, desto strenger die Anforderungen an Nachweise, Prüfqualität und Schutz vor Täuschung.

Bei der Authentifizierung geht es darum, dass dieselbe Person später zuverlässig auf ihre Identität zugreifen kann. Auch hier gilt: Höhere Vertrauensniveaus verlangen stärkere Verfahren und eine robuste Bindung zwischen Identität und Zugangsmittel.

Erst wenn beide Bausteine zusammen das geforderte Sicherheitsprofil erfüllen, ist ein bestimmtes LoA erreicht.

Vertrauensniveaus (LoA) und die drei Signaturstufen: Unterschied und Zusammenspiel

In der täglichen Praxis wird häufig gefragt, wie die Vertrauensniveaus zu den drei Stufen elektronischer Signaturen stehen. Beide Konzepte dienen dem Vertrauen in digitale Prozesse, bewerten aber unterschiedliche Ebenen.

Ein Level of Assurance beschreibt die Sicherheit der digitalen Identität. Es beantwortet die Frage:„Wie sicher wissen wir, wer jemand ist?

Die drei Signaturstufen hingegen beschreiben die rechtliche und technische Belastbarkeit einer konkreten elektronischen Unterschrift. Sie beantworten die Frage:„Wie belastbar ist diese Unterschrift?

Dabei unterscheidet eIDAS drei Stufen:

  • Die einfache elektronische Signatur (EES) ist eine breite Kategorie für elektronische Signaturen ohne besondere Anforderungen an die Identifizierung oder an die Signaturerstellung.
  • Die fortgeschrittene elektronische Signatur (FES/AES) muss eindeutig einer unterzeichnenden Person zugeordnet sein und Manipulationen erkennbar machen. Dafür braucht es eine verlässliche Bindung zwischen Identität und Signatur.
  • Die qualifizierte elektronische Signatur (QES) ist die höchste Stufe und hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Sie setzt ein qualifiziertes Zertifikat und eine qualifizierte Signaturerstellungseinheit voraus.

Der Zusammenhang ist klar: Je höher die Signaturstufe, desto höher muss das Vertrauensniveau der zugrundeliegenden Identität sein.Eine elektronische Signatur ist immer nur so vertrauenswürdig wie die Identität, die sie auslöst.

In der Konsequenz bedeutet das:

  • Für eine EES reicht in vielen Fällen ein niedrigeres Identitätsniveau, da Risiko und rechtliche Tragweite typischerweise geringer sind.
  • Eine FES erfordert bereits eine zuverlässige Identitätsbindung, weshalb hier in der Regel ein substanzielles Vertrauensniveau notwendig ist.
  • Eine QES setzt eine Identität voraus, die auf hohem Vertrauensniveau geprüft und abgesichert wurde, denn ohne diese starke Identitätsprüfung können weder qualifizierte Zertifikate ausgestellt noch qualifizierte Signaturen erzeugt werden.

Damit sind LoA das Identitätsfundament, auf dem Signaturen – insbesondere auf höheren Stufen – aufbauen.

Ausblick: LoA als Infrastruktur für die digitale Zukunft

Levels of Assurance sind mehr als ein regulatorisches Detail. Sie wirken wie eine Infrastruktur, auf der digitale Beziehungen, Vertragsabschlüsse und Signaturen verlässlich entstehen können. Durch die klare Abstufung nach Risiko machen sie digitale Ökosysteme skalierbar und europaweit interoperabel.

Für Organisationen bedeutet das vor allem eins: Sie können Identitätssicherheit und Rechtswirkung so kombinieren, dass digitale Prozesse nicht nur bequem, sondern auch nachvollziehbar geschützt und rechtsgültig sind.

Fazit

Vertrauensniveaus nach eIDAS schaffen eine klare Ordnung im digitalen Vertrauen. Sie definieren, wie sicher Identitäten geprüft und genutzt werden müssen – abgestuft in niedrig, substanziell und hoch. Gleichzeitig bilden sie die Grundlage für die passenden Signaturstufen: Je höher die gewünschte Rechtswirkung einer Signatur, desto höher muss das Vertrauen in die digitale Identität dahinter sein.

Wer LoA und Signaturstufen konsistent zusammendenkt, gestaltet digitale Prozesse risikoorientiert, interoperabel und dauerhaft verlässlich.

Stichworte

Neueste Artikel

Artikel teilen

LESEN SIE AUCH