Webportal öffnen UnterstützungKontact
Signhost logoSignhost logo
Einloggen

QWAC vs. QSeal: Was ist der Unterschied und wie wählt man das Richtige?

Team Signhost

December 6, 2024

image

Online-Betrug wurde von Europol als eine der größten kriminellen Bedrohungen eingestuft. Laut der zentralen Stelle zur Bekämpfung internationaler und organisierter Kriminalität werden allein in der Europäischen Union jedes Jahr Milliarden an illegalen Gewinnen erzielt. Zu den Hauptzielen dieser Kriminellen gehört die Geschäftswelt. Die Manipulation von Dokumenten und das Fälschen von Websites ermöglichen den Zugriff auf persönliche Daten und Unternehmenssysteme.

Glücklicherweise hat die eIDAS-Verordnung eine Liste von Vertrauensdiensten eingeführt, um solchen Betrug zu bekämpfen, bereitgestellt von qualifizierten Vertrauensdiensteanbietern (QTSP). Ein QTSP gewährleistet die Gültigkeit und Sicherheit von elektronischen Signaturen, Zeitstempeln und elektronischen Zertifikaten für Websites, einschließlich qualifizierter Website-Authentifizierungszertifikate und qualifizierter Siegel.

Aber welche Variante benötigt Ihre Organisation? Dieser Artikel hilft Ihnen bei der Entscheidung und gibt Einblicke in die Compliance-Verfahren für beide.

QWAC vs. QSeal: Schnellvergleich

AspektQWACQSEAL
ZweckAuthentifizierung von Websites und Gewährleistung sicherer KommunikationÜberprüfung der Herkunft und Integrität elektronischer Dokumente
FunktionalitätSSL/TLS-Verschlüsselung, IdentitätsprüfungElektronisches Siegel, Überprüfung der Dokumentenintegrität und -herkunft
HauptanwendungSicherung von Websites und Online-TransaktionenVersiegelung elektronischer Dokumente und Daten
ComplianceeIDAS-VerordnungeIDAS-Verordnung
HauptvorteileDatensicherheit, Förderung des Benutzervertrauens, Einhaltung von VorschriftenSicherung von Dokumenten, Gewährleistung der Authentizität, rechtliche Gültigkeit
IndikatorenSicherheitsindikatoren im Browser, wie das Schloss-SymbolDigitales Siegel auf Dokumenten
UmfangWebbasierte KommunikationBreite, verschiedene dokumentenbasierte Anwendungen

Was ist ein Qualified Website Authentication Certificate (QWAC)?

Ein QWAC ist ein Zertifikat, das Websites und E-Mail-Adressen überprüft und den Nutzern versichert, dass sie mit einer legitimen Organisation interagieren. Es garantiert eine sichere Kommunikation zwischen Browsern und Website-Servern, indem die Identität des Website-Besitzers überprüft wird, und bietet ein hohes Maß an Vertrauen und Sicherheit.

Ein QWAC enthält Informationen über die Organisation, die das Zertifikat ausstellt, den Empfänger des Zertifikats und das Zertifikat selbst.

Merkmale und Vorteile von QWAC

Wesentliche Merkmale eines QWAC umfassen:

  • SSL/TLS-Verschlüsselung, um Daten während der Übertragung zu sichern.
  • Identitätsprüfung des Website- oder E-Mail-Adresseigentümers, um Besucher zu beruhigen, dass sie mit der richtigen Partei interagieren.
  • Einhaltung der eIDAS-Verordnung, ANNEX IV-Anforderungen für qualifizierte Zertifikate zur Website-Authentifizierung und die Standards des Europäischen Instituts für Telekommunikationsnormen (ETSI).
  • Pflicht für Zahlungsdienste in der EU gemäß der Payment Services Directive (PSD II).
  • Die aktualisierte Version von eIDAS – auch bekannt als eIDAS 2.0 – könnte die Integration von QWACs für Browser verpflichtend machen.
  • Das Schloss-Symbol im Browser und „https“ in der Adressleiste zeigen eine sichere Verbindung an.

Wie unterscheidet sich QWAC von Standard-SSL/TLS-Zertifikaten?

Ein Standard-SSL/TLS-Zertifikat verschlüsselt nur Daten, während ein QWAC die Informationen des Website-Besitzers auf eine Weise überprüft, die in der gesamten EU rechtlich anerkannt ist. Standard-SSL/TLS-Zertifikate werden auf verschiedenen Vertrauensniveaus ausgestellt, darunter Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV) in aufsteigender Vertrauensstufe. Selbst die höchste Stufe (EV) erreicht jedoch nicht das Sicherheitsniveau eines QWAC.

Anwendungsfälle für QWAC

Aufgrund des äußerst hohen Sicherheitsniveaus, das ein QWAC bietet, schreiben die PSD2-Anforderungen vor, dass alle Organisationen, die in ihren Geltungsbereich fallen, diese verwenden müssen. Dazu gehören Banken und Zahlungsdienstleister. Sie werden auch von anderen Organisationen verwendet, die ein hohes Maß an Sicherheit erfordern, wie z. B. Regierungen. In Spanien schreibt das lokale Recht sogar vor, dass alle öffentlichen Dienstleister QWACs verwenden müssen.

Was ist ein Qualified Certificate for Seals (QSeal)?

QSeals werden verwendet, um die Integrität und Authentizität elektronischer Dokumente und Daten sicherzustellen. Sie können als digitales Äquivalent des klassischen Wachssiegels angesehen werden, das dem Empfänger anzeigt, dass ein Dokument nicht verändert wurde, wenn das Siegel intakt bleibt. Qualifizierte elektronische Siegel bieten das höchste Maß an Sicherheit unter den drei Arten von Siegeln, die in der eIDAS-Verordnung behandelt werden.

Ein QSeal wird von einem QTSP unter Verwendung eines sicheren Signaturerstellungssystems (SSCD) erstellt. Dieser Prozess erzeugt ein verschlüsseltes Siegel, das die Integrität und Herkunft eines elektronischen Dokuments beweist.

Merkmale und Vorteile von QSeal

Wesentliche Merkmale eines QSeal umfassen:

  • Bestätigung der Identität der Entität, die das elektronische Siegel für das Dokument erstellt hat.
  • Sicherstellung, dass niemand den Inhalt des versiegelten Dokuments ändern kann, ohne dass es entdeckt wird.
  • Einhaltung der eIDAS-Verordnung, wodurch die rechtliche Anerkennung in der gesamten EU gewährleistet wird.
  • Sicherer Versand digitaler Dokumente und Garantie für die Empfänger, dass sie dem Inhalt vertrauen können.
  • Automatisierter Prozess für die Siegelanbringung in großen Mengen spart Zeit.
  • Reduzierung des Risikos von Online-Betrug.

Compliance-Anforderungen für QWAC und QSeal

  • eIDAS: Sowohl QWACs als auch QSeals müssen von einem QTSP ausgestellt werden. Ein QWAC muss strenge Identifikations- und Prüfungsverfahren einhalten, um die Authentizität und Integrität von Websites zu gewährleisten. QSeals erfordern den Einsatz eines SSCD, um die Integrität und Herkunft des versiegelten Dokuments sicherzustellen.
  • PSD2: QWACs und QSeals sind gemäß der PSD2-Gesetzgebung verpflichtend. Die Zertifikate müssen unter anderem Informationen wie die Rolle des Zahlungsdienstleisters und den Namen der zuständigen Behörde enthalten.

FAQ

Können QWAC- und QSeal-Zertifikate in Kombination mit anderen Arten digitaler Zertifikate verwendet werden?

Die Verwendung eines QWAC beeinträchtigt nicht die Nutzung anderer allgemeiner Zertifikate, wie z. B. SSL/TLS-Zertifikate. Sie können gleichzeitig verwendet werden, wobei ein QWAC zusätzliche Sicherheitsmaßnahmen hinzufügt. Ein Dokument, das mit einem elektronischen Siegel, wie einem QSeal, versiegelt wurde, kann auch eine elektronische Signatur enthalten.

Was sollten Organisationen beachten, bevor sie ein QWAC oder QSeal beantragen?

Organisationen sollten zunächst einen QTSP auswählen, um die Anforderungen der aktuellen eIDAS-Verordnung zu erfüllen. Es ist außerdem entscheidend, das erforderliche Sicherheitsniveau zu bestimmen. Für Zahlungsdienste und Online-Transaktionen ist das höchste Sicherheitsniveau (QWAC und QSeals) obligatorisch. Für einfachere Aufgaben mit geringem Risiko ist dies jedoch möglicherweise nicht notwendig.

Was sollten Organisationen tun, wenn ein Zertifikat kompromittiert wurde?

Organisationen sollten das kompromittierte Zertifikat widerrufen und die zuständige nationale Behörde kontaktieren, um die Situation zu melden.

Fazit

Die Wahl zwischen einem QWAC und einem QSeal hängt vom Verwendungszweck ab. Es besteht die Möglichkeit, dass Ihre Organisation verpflichtet ist, beide zu nutzen. Ist dies nicht der Fall, authentifiziert ein QWAC Ihre Website, während ein QSeal sicherstellt, dass ein gesendetes Dokument in demselben Zustand bleibt, wie es versiegelt wurde.

Entrust Signhost ist eine führende Plattform für digitale Identifikation und elektronische Signaturen. Sie kann Ihrer Organisation helfen, Prozesse zu optimieren und Kunden besser zu bedienen, indem sie praktische Werkzeuge bereitstellt, die gesetzliche Verpflichtungen automatisch erfüllen. Starten Sie heute eine kostenlose Testversion mit Entrust Signhost, um zu sehen, wie deren Software Ihre Abläufe verbessern kann.

Referenzen und weiterführende Literatur

  • Elektronische Signaturen
  • Online-Identifikation
  • Was ist eine QES?
  • Was ist eine elektronische Signatur?
  • Was ist eine Identitätsprüfung?