Im Mittelpunkt einer von der RTR organisierten und moderierten Fachveranstaltung standen die Auswirkungen KI-basierter Bedrohungen auf qualifizierte Vertrauensdienste, neue europäische Rechtsrahmen rund um eIDAS 2 sowie die Entwicklung des österreichischen EUDI-Wallets.
Peter Teufl (A-SIT Plus GmbH) präsentierte im Auftakt die im Auftrag der RTR durchgeführte Studie "Sicherheitsrisiken für Vertrauensdiensteanbieter durch KI-basierte Bedrohungen". Die Studie zeigt, dass KI die Sicherheitslandschaft digitaler Vertrauensdienste grundlegend verändert: von Risiken in der Implementierung und Zulassung über Deepfakes, Social Engineering und Angriffe auf Identifizierungs- und Signaturprozesse im laufenden Betrieb bis hin zu neuen Gefahren in der Beendigungsphase eines Dienstes. Gleichzeitig macht die Studie deutlich, dass diese Risiken beherrschbar sind, wenn technische, organisatorische und regulatorische Maßnahmen systematisch zusammenspielen.
In der anschließenden Diskussionsrunde wurden unter anderem die rasch veränderte Bedrohungslage durch KI-Angreifer, der sichere Umgang mit KI in der Softwareentwicklung, Anforderungen an belastbare Identifizierungsverfahren sowie die Frage, wie sich Konformitätsbewertungsstellen gegen KI-generierte Schein-Nachweise und gefälschte Dokumentation absichern können, diskutiert.
Im zweiten Teil der Veranstaltung gab Ulrich Latzenhofer (RTR) einen Überblick über die neuen rechtlichen Rahmenbedingungen. Er verwies auf die hohe Komplexität der neuen Landschaft: Zahlreiche Durchführungsrechtsakte der Europäischen Kommission, ETSI-Standards sowie Bezüge auf ISO- und CEN-Normen bilden gemeinsam das Regelwerk, das künftig für Vertrauensdiensteanbieter, Konformitätsbewertungsstellen, Aufsichtsbehörden und staatliche Stellen maßgeblich ist.
Daniel Konrad (A-SIT) beleuchtete die praktische Umsetzung dieser neuen Rahmenbedingungen in der Konformitätsbewertung. Seine zentrale Botschaft: A-SIT ist als Konformitätsbewertungsstelle für die neuen Anforderungen gut gerüstet. Durch die enge Einbindung in Normierungsprozesse und die rasche Integration neuer Prüfstandards in die Evaluierungsmethodik könne auf technische Entwicklungen und neue Angriffsszenarien schnell reagiert werden.
Gerald Dißauer (A-SIT) gab in seiner Präsentation einen Einblick in die Entwicklung des österreichischen EUDI-Wallets. Österreich arbeite an einem modularen Wallet auf Basis der ID Austria mit dem Ziel, eine vertrauenswürdige Sicherheitsarchitektur für ein künftiges Vertrauensökosystem zu schaffen. Gleichzeitig verwies Dißauer auf das dynamische regulatorische und technische Umfeld: Dieses "Moving Target" bringe Restrisiken mit sich und erfordere eine flexible Entwicklung sowie einen modularen Aufbau, der schrittweise erweitert werden kann.
Zum Schluss des Vortragsteiles widmete sich Ingolf Rauh (Swisscom Trust Services) den Vorteilen und Herausforderungen von eIDAS 2. Positiv hervorzuheben sind etwa Vereinheitlichungen bei der Registrierung. Gleichzeitig entstehen aber neue Herausforderungen, insbesondere in der Übergangsphase und durch die große Zahl paralleler Anforderungen. Das Zusammenspiel von eIDAS 2 mit anderen Regulierungen muss seiner Meinung nach daher weitergedacht und überarbeitet werden.
In der abschließenden Diskussionsrunde standen Übergangsfristen, unfertige Standards, ausständige Begleitgesetzgebung, die praktische Akkreditierung und die grenzüberschreitende Interoperabilität des EUDI-Wallets und die damit für alle Stakeholder entstehenden finanziellen und organisatorischen Herausforderungen im Fokus.
Unterlagen zur Veranstaltung sind auf der Website der RTR veröffentlicht.