Wien (OTS) – „Vertrauensdienste sind eine zentrale Dienstleistung für
das
Funktionieren einer digitalen Gesellschaft. Mit Künstlicher
Intelligenz, eIDAS 2 und der European Digital Identity Wallet stehen
wir gleichzeitig vor großen Chancen, aber auch vor neuen Risiken und
erheblichen Umsetzungsherausforderungen. Es freut mich, dass wir
diese Themen im Rahmen unserer Veranstaltung mit hochrangigen
Expertinnen und Experten aus Regulierung, Konformitätsbewertung und
Praxis diskutieren konnten“, sagt Klaus Steinmaurer, Geschäftsführer
der RTR für den Fachbereich Telekommunikation und Post, anlässlich
der RTR-Veranstaltung zu aktuellen Entwicklungen bei
Vertrauensdiensten.
Klaus Steinmaurer eröffnete die Veranstaltung gemeinsam mit
Wolfgang Ebner, Sektionschef im Bundeskanzleramt und CDO des Bundes.
Im Mittelpunkt standen die Auswirkungen KI-basierter Bedrohungen auf
qualifizierte Vertrauensdienste, neue europäische Rechtsrahmen rund
um eIDAS 2 sowie die Entwicklung des österreichischen EUDI-Wallets.
Peter Teufl, Geschäftsführer der A-SIT Plus GmbH, präsentierte im
Auftakt die im Auftrag der RTR durchgeführte Studie
„Sicherheitsrisiken für Vertrauensdiensteanbieter durch KI-basierte
Bedrohungen“. Die Studie zeigt, dass KI die Sicherheitslandschaft
digitaler Vertrauensdienste grundlegend verändert: von Risiken in der
Implementierung und Zulassung über Deepfakes, Social Engineering und
Angriffe auf Identifizierungs- und Signaturprozesse im laufenden
Betrieb bis hin zu neuen Gefahren in der Beendigungsphase eines
Dienstes. Gleichzeitig macht die Studie deutlich, dass diese Risiken
beherrschbar sind, wenn technische, organisatorische und
regulatorische Maßnahmen systematisch zusammenspielen. Zentrale
Elemente sind Security-by-Design, Zero-Trust-Prinzipien, sichere
Hardware, klare Governance, Qualitätssicherung und die
nachvollziehbare Dokumentation KI-generierter Artefakte.
An der anschließenden Diskussionsrunde nahmen neben Peter Teufl
auch Boryana Uri (TÜV AUSTRIA), Ingolf Rauh (Swisscom) und Ramin
Sabet (A-Trust) teil. Diskutiert wurden unter anderem die rasch
veränderte Bedrohungslage durch KI-Angreifer, der sichere Umgang mit
KI in der Softwareentwicklung, Anforderungen an belastbare
Identifizierungsverfahren sowie die Frage, wie sich
Konformitätsbewertungsstellen gegen KI-generierte Schein-Nachweise
und gefälschte Dokumentation absichern können. Einigkeit bestand
darin, dass Vertrauensdiensteanbieter, Prüfstellen und Aufsicht ihre
Verfahren laufend anpassen müssen, um mit der Dynamik neuer
Angriffsszenarien Schritt zu halten.
Im zweiten Teil der Veranstaltung gab Ulrich Latzenhofer, Leiter
der Stabsstelle Elektronische Signaturen & Vertrauensdienste bei der
RTR, in seinem Vortrag einen Überblick über die neuen rechtlichen
Rahmenbedingungen. Er verwies auf die hohe Komplexität der neuen
Landschaft: Zahlreiche Durchführungsrechtsakte der Europäischen
Kommission, ETSI-Standards sowie Bezüge auf ISO- und CEN-Normen
bilden gemeinsam das Regelwerk, das künftig für
Vertrauensdiensteanbieter, Konformitätsbewertungsstellen,
Aufsichtsbehörden und staatliche Stellen maßgeblich ist.
Daniel Konrad von A-SIT beleuchtete im Anschluss die praktische
Umsetzung dieser neuen Rahmenbedingungen in der
Konformitätsbewertung. Seine zentrale Botschaft: A-SIT ist als
Konformitätsbewertungsstelle für die neuen Anforderungen gut
gerüstet. Durch die enge Einbindung in Normierungsprozesse und die
rasche Integration neuer Prüfstandards in die Evaluierungsmethodik
könne auf technische Entwicklungen und neue Angriffsszenarien schnell
reagiert werden.
Gerald Dißauer von A-SIT gab in seiner Präsentation einen
Einblick in die Entwicklung des österreichischen EUDI-Wallets.
Österreich arbeite an einem modularen Wallet auf Basis der ID Austria
mit dem Ziel, eine vertrauenswürdige Sicherheitsarchitektur für ein
künftiges Vertrauensökosystem zu schaffen. Gleichzeitig verwies
Dißauer auf das dynamische regulatorische und technische Umfeld:
Dieses „Moving Target“ bringe Restrisiken mit sich und erfordere eine
flexible Entwicklung sowie einen modularen Aufbau, der schrittweise
erweitert werden kann. Auch die Zertifizierung des österreichischen
EUDI-Wallets sei ein mehrstufiger Prozess mit mehreren Phasen,
Schritten und Task-Gruppen. Zum Schluss des Vortragsteiles widmete
sich Ingolf Rauh, Head of Compliance der Swisscom Trust Services, den
Vorteilen und Herausforderungen von eIDAS 2. Positiv hervorzuheben
sind etwa Vereinheitlichungen bei der Registrierung. Gleichzeitig
entstehen aber neue Herausforderungen, insbesondere in der
Übergangsphase und durch die große Zahl paralleler Anforderungen. Das
Zusammenspiel von eIDAS 2 mit anderen Regulierungen muss nach seiner
Meinung daher weitergedacht und überarbeitet werden.
In der abschließenden Diskussionsrunde mit Daniel Konrad, Gerald
Dißauer, Boryana Uri, Christoph Klein (A-Trust) und Thomas Rössler (
PrimeSign) standen Übergangsfristen, unfertige Standards, ausständige
Begleitgesetzgebung, die praktische Akkreditierung und die
grenzüberschreitende Interoperabilität des EUDI-Wallets und die damit
für alle Stakholder entstehenden finanziellen und organisatorischen
Herausforderungen im Fokus. Boryana Uri betonte, dass für das gesamte
europäische Ökosystem eine gemeinsame und harmonisierte Umsetzung
entscheidend sei. Neue Technologien und die wachsende Komplexität
offener Anforderungen könnten nur gemeinsam von
Vertrauensdiensteanbietern, Konformitätsbewertungsstellen und
Aufsichtsstellen über die Mitgliedstaaten hinweg bewältigt werden.
Christoph Klein brachte dabei die Perspektive eines
österreichischen Vertrauensdiensteanbieters ein, Thomas Rössler
verwies auf die Bedeutung praxistauglicher Rahmenbedingungen für
Innovation und Marktzugang, und die Diskussion machte insgesamt
deutlich, dass Europa nur dann eine leistungsfähige und
vertrauenswürdige digitale Identitätsinfrastruktur aufbauen kann,
wenn Regulierung, Normung, Aufsicht und Marktteilnehmer eng
zusammenarbeiten.
In seinen Schlussworten hielt Klaus Steinmaurer fest, dass
Vertrauen in digitale Dienste künftig noch stärker von resilienten
Sicherheitsarchitekturen, praktikablen Standards und europäisch
abgestimmten Lösungen abhängen wird. „Künstliche Intelligenz ist
dabei sowohl Risiko als auch Werkzeug. Entscheidend ist, dass wir
technologische Entwicklung, Sicherheit und regulatorische
Umsetzbarkeit gemeinsam denken“, so Steinmaurer und er ergänzt, „dass
es auch wichtig ist bei den Vertrauensdiensten auch über neue
Geschäftsmodelle nachzudenken, um den nachhaltigen Erfolg dieses
europäischen Services langfristig zu sichern“
Studie zu KI-basierten Bedrohungen veröffentlicht
Die im Auftrag der RTR erstellte Studie „Sicherheitsrisiken für
Vertrauensdiensteanbieter durch KI-basierte Bedrohungen“ wurde
zeitgleich mit der Veranstaltung veröffentlicht. Sie analysiert KI-
basierte Risiken entlang des gesamten Lebenszyklus von
Vertrauensdiensten und beschreibt technische, organisatorische und
prozessuale Maßnahmen, mit denen sich Resilienz und
Vertrauenswürdigkeit qualifizierter Vertrauensdienste nachhaltig
stärken lassen. Die Studie ist auf der Website der RTR zum Download
verfügbar ( https://www.rtr.at/sicherheitsrisiken-fuer-
vertrauensdiensteanbieter-durch-ki-basierte-bedrohungen ).
Über die RTR
Die „Rundfunk und Telekom Regulierungs-GmbH“ (RTR) steht zu 100
Prozent im Eigentum des Bundes. Ihre Kernaufgaben sind die Förderung
des Wettbewerbs auf dem Medien-, Telekommunikations- und Postmarkt
sowie die Erreichung der im KommAustria- und Telekommunikationsgesetz
definierten Ziele. Sie wird von zwei Geschäftsführern geleitet und
ist in die beiden Fachbereiche „Telekommunikation und Post“ (Klaus M.
Steinmaurer) sowie „Medien“ (Wolfgang Struber) gegliedert. Als
Geschäftsstelle unterstützt sie die Kommunikationsbehörde Austria (
KommAustria), die Telekom-Control-Kommission (TKK) und die Post-
Control-Kommission (PCK). Weitere Informationen sind unter www.rtr.at
veröffentlicht.
