www.wikidata.de-de.nina.az

Sichere Signaturerstellungseinheit Folgende Teile dieses Artikels scheinen seit 2014 nicht mehr aktuell zu sein Verordnu

Sichere Signaturerstellungseinheit

Der Begriff Sichere Signaturerstellungseinheit (SSEE) wurde in der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen als konfigurierte Software oder Hardware definiert, die zur Speicherung und Anwendung des Signatursschlüssel verwendet wird (Signaturerstellungseinheit) und die Anforderungen des Anhangs III der Richtlinie erfüllt. Diese lauten sinngemäß:

  1. SSEEs müssen gewährleisten, dass die Signatursschlüssel
    • praktisch nur einmal auftreten können und ihre Geheimhaltung hinreichend gewährleistet ist,
    • mit hinreichender Sicherheit nicht abgeleitet werden können und die Signatur vor Fälschungen bei Verwendung der jeweils verfügbaren Technologie geschützt ist,
    • von dem rechtmäßigen Unterzeichner vor der Verwendung durch andere verlässlich geschützt werden können.
  2. SSEEs verändern die zu unterzeichnenden Daten nicht und verhindern nicht, dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden.

Aufgrund dieser Richtlinie wurde das Konzept der SSEE in der Gesetzgebung fast aller EU-Mitgliedstaaten und der Staaten des EWR in inhaltsgleicher Weise definiert. Ausnahmen sind Großbritannien und Irland, in denen keine entsprechenden Regelungen existieren.

Sichere Signaturerstellungseinheiten ermöglichen die Erstellung von qualifizierten elektronischen Signaturen, die einer eigenhändigen Unterschrift gleichgestellt sind.

Rechtliche Details Bearbeiten

Die Übereinstimmung von sicheren Signaturerstellungseinheiten mit den gesetzlichen Anforderungen erfolgt durch die von den Mitgliedstaaten benannten Bestätigungsstellen. Diese Bestätigungen müssen auf Basis des Artikels 3 (4) der EU-Richtlinie von allen anderen Mitgliedstaaten anerkannt werden. Nach Artikel 3 Nr. 5 der EU-Richtlinie ist für eine sichere Signaturerstellungseinheit keine Bestätigung erforderlich, wenn sie nachweisbar einer internationalen Norm entspricht, die die Europäische Kommission als dafür geeignet festgelegt hat. In ihrer Entscheidung vom 14. Juli 2003 wies die Kommission die Spezifikation „CWA 14169“ des Europäischen Komitees für Normung (CEN) als eine geeignete Norm aus, welche Schutzprofile für eine Sicherheitsevaluierung nach Common Criteria definiert. Die rechtliche Relevanz dieser Entscheidung ist jedoch umstritten, da es sich bei der benannten Spezifikation um keinen offiziellen Standard handelt. Trotzdem hat sich europaweit diese Spezifikation für die Prüfung von SSEEs durchgesetzt.

Umsetzung in Deutschland Bearbeiten

Das deutsche Signaturgesetz übernimmt und konkretisiert die Anforderungen aus der Richtlinie 1999/93/EG in § 17 SigG und § 15 SigV. Insbesondere wird gefordert, dass eine Speicherung des Signaturschlüssels außerhalb der sicheren Signaturerstellungseinheit ausgeschlossen sein muss, und dass eine SSEE den Schlüsselinhaber vor der Anwendung des Signaturschlüssels durch Besitz und Wissen oder durch Besitz und ein oder mehrere biometrische Merkmale sicher identifizieren muss. Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen müssen der Veröffentlichung der Bundesnetzagentur über geeignete Algorithmen entsprechen oder nachweislich mindestens gleichwertige Sicherheit bieten.

Die Bestätigung einer sicheren Signaturerstellungseinheit muss durch eine von der Bundesnetzagentur anerkannten Bestätigungsstelle erfolgen. Derzeit gibt es in Deutschland vier Bestätigungsstellen für Produkte für qualifizierte Signaturen. Die Bestätigung einer sicheren Signaturerstellungseinheit erfordert gemäß Anlage 1 der Signaturverordnung mindestens eine Prüfung der Sicherheitseigenschaften mit Prüftiefe EAL4 oder ITSEC mit Prüftiefe E3 hoch. (Das von der Europäischen Kommission als zur Prüfung geeignet angesehene Common Criteria Schutzprofil aus CWA 14169 erfüllt diese Anforderung.) Zusätzlich muss die Bestätigungsstelle die Übereinstimmung der Sicherheitsvorgaben, gegen die die Prüfung nach CC oder ITSEC durchgeführt wurde, mit den Anforderungen des Signaturgesetzes bestätigen.

Feststellungen der Übereinstimmung einer SSEE mit den Anforderungen der Richtlinie 1999/93/EG durch einen anderen Mitgliedstaat der Europäischen Union oder des europäischen Wirtschaftsraumes werden nach § 23 SigG anerkannt. Eine Prüfung nach einer von der Europäischen Kommission als geeignet veröffentlichten Norm wird anerkannt; derzeit ist jedoch unklar, ob diese Regelung bei der von der Kommission referenzierten Spezifikation greift (siehe oben).

Alle bis heute in Deutschland bestätigten sicheren Signaturerstellungseinheiten sind Prozessor-Chipkarten oder USB-Sticks, die einen gleichartigen Prozessor enthalten wie Prozessor-Chipkarten. Technische Anforderungen an Chipkarten mit Signaturfunktionalität legt z. B. DIN V 66291-1 fest.

Umsetzung in Österreich Bearbeiten

In Österreich wird der Begriff der sichere Signaturerstellungseinheit durch die Novelle zum 1. Januar 2008 in das Signaturgesetz aufgenommen (§ 2 Zeile 5). Bereits in der ursprünglichen Fassung waren in § 18 die Anforderungen an die entsprechende Komponente inhaltlich von der Richtlinie 1999/93/EG übernommen und konkretisiert worden. Insbesondere muss die Nutzung des Signaturschlüssels durch einen Autorisierungscode (z. B. PIN, Fingerabdruck) geschützt sein. Die Anzahl der Signaturen, die mit einer Autorisierung ausgelöst wird, muss dem Signator bekannt sein. Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen müssen den Anforderungen des Anhanges der Signaturverordnung genügen und dem jeweiligen Stand der Technik entsprechen.

Die Erfüllung der Sicherheitsanforderungen muss von einer anerkannten Bestätigungsstelle bescheinigt werden. Einzige Bestätigungsstelle in Österreich ist der Verein Zentrum für sichere Informationstechnologie – Austria (A-SIT). Die Bescheinigung kann auf Evaluierungen nach Common Criteria und ITSEC basieren. Bei Einsatz in einer kontrollierten Umgebung können die technischen Sicherheitsanforderungen auch organisatorisch erfüllt werden. Die Erfüllung dieser Sicherheitsanforderungen ist durch eine Bestätigungsstelle zu prüfen.

Bescheinigungen von anderen Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraumes über die Übereinstimmung einer SSEE mit den entsprechenden Anforderungen der Richtlinie 1999/93/EG sind den Bescheinigungen einer inländischen Bestätigungsstelle gleich zu halten. Eine Prüfung nach einer von der Europäischen Kommission als geeignet angesehenen Norm wird anerkannt.

Umsetzung in Liechtenstein Bearbeiten

Das Liechtensteiner Signaturgesetz definiert Anforderungen für sichere Signaturerstellungseinheiten in Artikel 18 (1). Die Sicherheitsanforderungen entsprechen inhaltlich denen des österreichischen Signaturgesetzes. Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen müssen den Anforderungen des Dokumentes ETSI SR 002 176 entsprechen oder nachweislich mindestens gleichwertige Sicherheit bieten.

Die Erfüllung der Anforderungen muss gemäß Artikel 8 der Verordnung über elektronische Signaturen (Signaturverordnung) von einer anerkannten Bestätigungsstelle geprüft und bescheinigt werden. Bisher wurde noch keine Bestätigungsstelle benannt, da nach dem Gesetz über die Abänderung des Signaturgesetzes als Übergangsbestimmung die von Zertifizierungsdiensteanbietern eingesetzten oder empfohlenen Komponenten bis zum 31. Dezember 2008 keine Sicherheitsbescheinigung benötigen. Als Prüfkriterien sind dabei die von der Europäischen Kommission als geeignete veröffentlichte Normen, sowie generell Common Criteria oder ITSEC zugelassen. Für die Prüfung nach Common Criteria oder ITSEC werden keine Prüftiefen explizit vorgeschrieben, die verwendeten Schutzprofile bzw. Sicherheitsvorgaben müssen aber von der Bestätigungsstelle als geeignet anerkannt werden. Bescheinigungen von anderen Mitgliedstaaten des Europäischen Wirtschaftsraumes über die Übereinstimmung einer SSEE mit den entsprechenden Anforderungen der Richtlinie 1999/93/EG sind den Bescheinigungen einer inländischen Bestätigungsstelle gleich zu halten.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. Richtlinie 99/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen
  2. 2003/511/EG: Entscheidung der Kommission vom 14. Juli 2003 über die Veröffentlichung von Referenznummern für allgemein anerkannte Normen für Produkte für elektronische Signaturen gemäß der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates
  3. ETSI SR 002 176 V1.1.1 (2003-03). Abgerufen am 24. November 2018. (PDF-Datei)
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Folgende Teile dieses Artikels scheinen seit 2014 nicht mehr aktuell zu sein Verordnung EU Nr 910 2014 hat die Richtlinie 99 93 EG ersetzt Dort wird der Begriff qualifizierte Signaturerstellungseinheit verwendet Bitte hilf uns dabei die fehlenden Informationen zu recherchieren und einzufugen Wikipedia WikiProjekt Ereignisse Vergangenheit fehlend Der Begriff Sichere Signaturerstellungseinheit SSEE wurde in der Richtlinie 1999 93 EG uber gemeinschaftliche Rahmenbedingungen fur elektronische Signaturen 1 als konfigurierte Software oder Hardware definiert die zur Speicherung und Anwendung des Signatursschlussel verwendet wird Signaturerstellungseinheit und die Anforderungen des Anhangs III der Richtlinie erfullt Diese lauten sinngemass SSEEs mussen gewahrleisten dass die Signatursschlussel praktisch nur einmal auftreten konnen und ihre Geheimhaltung hinreichend gewahrleistet ist mit hinreichender Sicherheit nicht abgeleitet werden konnen und die Signatur vor Falschungen bei Verwendung der jeweils verfugbaren Technologie geschutzt ist von dem rechtmassigen Unterzeichner vor der Verwendung durch andere verlasslich geschutzt werden konnen SSEEs verandern die zu unterzeichnenden Daten nicht und verhindern nicht dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden Aufgrund dieser Richtlinie wurde das Konzept der SSEE in der Gesetzgebung fast aller EU Mitgliedstaaten und der Staaten des EWR in inhaltsgleicher Weise definiert Ausnahmen sind Grossbritannien und Irland in denen keine entsprechenden Regelungen existieren Sichere Signaturerstellungseinheiten ermoglichen die Erstellung von qualifizierten elektronischen Signaturen die einer eigenhandigen Unterschrift gleichgestellt sind Inhaltsverzeichnis 1 Rechtliche Details 1 1 Umsetzung in Deutschland 1 2 Umsetzung in Osterreich 1 3 Umsetzung in Liechtenstein 2 Weblinks 3 EinzelnachweiseRechtliche Details BearbeitenDie Ubereinstimmung von sicheren Signaturerstellungseinheiten mit den gesetzlichen Anforderungen erfolgt durch die von den Mitgliedstaaten benannten Bestatigungsstellen Diese Bestatigungen mussen auf Basis des Artikels 3 4 der EU Richtlinie von allen anderen Mitgliedstaaten anerkannt werden Nach Artikel 3 Nr 5 der EU Richtlinie ist fur eine sichere Signaturerstellungseinheit keine Bestatigung erforderlich wenn sie nachweisbar einer internationalen Norm entspricht die die Europaische Kommission als dafur geeignet festgelegt hat In ihrer Entscheidung vom 14 Juli 2003 2 wies die Kommission die Spezifikation CWA 14169 des Europaischen Komitees fur Normung CEN als eine geeignete Norm aus welche Schutzprofile fur eine Sicherheitsevaluierung nach Common Criteria definiert Die rechtliche Relevanz dieser Entscheidung ist jedoch umstritten da es sich bei der benannten Spezifikation um keinen offiziellen Standard handelt Trotzdem hat sich europaweit diese Spezifikation fur die Prufung von SSEEs durchgesetzt Umsetzung in Deutschland Bearbeiten Das deutsche Signaturgesetz ubernimmt und konkretisiert die Anforderungen aus der Richtlinie 1999 93 EG in 17 SigG und 15 SigV Insbesondere wird gefordert dass eine Speicherung des Signaturschlussels ausserhalb der sicheren Signaturerstellungseinheit ausgeschlossen sein muss und dass eine SSEE den Schlusselinhaber vor der Anwendung des Signaturschlussels durch Besitz und Wissen oder durch Besitz und ein oder mehrere biometrische Merkmale sicher identifizieren muss Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen mussen der Veroffentlichung der Bundesnetzagentur uber geeignete Algorithmen entsprechen oder nachweislich mindestens gleichwertige Sicherheit bieten Die Bestatigung einer sicheren Signaturerstellungseinheit muss durch eine von der Bundesnetzagentur anerkannten Bestatigungsstelle erfolgen Derzeit gibt es in Deutschland vier Bestatigungsstellen fur Produkte fur qualifizierte Signaturen Die Bestatigung einer sicheren Signaturerstellungseinheit erfordert gemass Anlage 1 der Signaturverordnung mindestens eine Prufung der Sicherheitseigenschaften mit Pruftiefe EAL4 oder ITSEC mit Pruftiefe E3 hoch Das von der Europaischen Kommission als zur Prufung geeignet angesehene Common Criteria Schutzprofil aus CWA 14169 erfullt diese Anforderung Zusatzlich muss die Bestatigungsstelle die Ubereinstimmung der Sicherheitsvorgaben gegen die die Prufung nach CC oder ITSEC durchgefuhrt wurde mit den Anforderungen des Signaturgesetzes bestatigen Feststellungen der Ubereinstimmung einer SSEE mit den Anforderungen der Richtlinie 1999 93 EG durch einen anderen Mitgliedstaat der Europaischen Union oder des europaischen Wirtschaftsraumes werden nach 23 SigG anerkannt Eine Prufung nach einer von der Europaischen Kommission als geeignet veroffentlichten Norm wird anerkannt derzeit ist jedoch unklar ob diese Regelung bei der von der Kommission referenzierten Spezifikation greift siehe oben Alle bis heute in Deutschland bestatigten sicheren Signaturerstellungseinheiten sind Prozessor Chipkarten oder USB Sticks die einen gleichartigen Prozessor enthalten wie Prozessor Chipkarten Technische Anforderungen an Chipkarten mit Signaturfunktionalitat legt z B DIN V 66291 1 fest Umsetzung in Osterreich Bearbeiten In Osterreich wird der Begriff der sichere Signaturerstellungseinheit durch die Novelle zum 1 Januar 2008 in das Signaturgesetz aufgenommen 2 Zeile 5 Bereits in der ursprunglichen Fassung waren in 18 die Anforderungen an die entsprechende Komponente inhaltlich von der Richtlinie 1999 93 EG ubernommen und konkretisiert worden Insbesondere muss die Nutzung des Signaturschlussels durch einen Autorisierungscode z B PIN Fingerabdruck geschutzt sein Die Anzahl der Signaturen die mit einer Autorisierung ausgelost wird muss dem Signator bekannt sein Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen mussen den Anforderungen des Anhanges der Signaturverordnung genugen und dem jeweiligen Stand der Technik entsprechen Die Erfullung der Sicherheitsanforderungen muss von einer anerkannten Bestatigungsstelle bescheinigt werden Einzige Bestatigungsstelle in Osterreich ist der Verein Zentrum fur sichere Informationstechnologie Austria A SIT Die Bescheinigung kann auf Evaluierungen nach Common Criteria und ITSEC basieren Bei Einsatz in einer kontrollierten Umgebung konnen die technischen Sicherheitsanforderungen auch organisatorisch erfullt werden Die Erfullung dieser Sicherheitsanforderungen ist durch eine Bestatigungsstelle zu prufen Bescheinigungen von anderen Mitgliedstaaten der Europaischen Union oder des Europaischen Wirtschaftsraumes uber die Ubereinstimmung einer SSEE mit den entsprechenden Anforderungen der Richtlinie 1999 93 EG sind den Bescheinigungen einer inlandischen Bestatigungsstelle gleich zu halten Eine Prufung nach einer von der Europaischen Kommission als geeignet angesehenen Norm wird anerkannt Umsetzung in Liechtenstein Bearbeiten Das Liechtensteiner Signaturgesetz definiert Anforderungen fur sichere Signaturerstellungseinheiten in Artikel 18 1 Die Sicherheitsanforderungen entsprechen inhaltlich denen des osterreichischen Signaturgesetzes Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen mussen den Anforderungen des Dokumentes ETSI SR 002 176 3 entsprechen oder nachweislich mindestens gleichwertige Sicherheit bieten Die Erfullung der Anforderungen muss gemass Artikel 8 der Verordnung uber elektronische Signaturen Signaturverordnung von einer anerkannten Bestatigungsstelle gepruft und bescheinigt werden Bisher wurde noch keine Bestatigungsstelle benannt da nach dem Gesetz uber die Abanderung des Signaturgesetzes als Ubergangsbestimmung die von Zertifizierungsdiensteanbietern eingesetzten oder empfohlenen Komponenten bis zum 31 Dezember 2008 keine Sicherheitsbescheinigung benotigen Als Prufkriterien sind dabei die von der Europaischen Kommission als geeignete veroffentlichte Normen sowie generell Common Criteria oder ITSEC zugelassen Fur die Prufung nach Common Criteria oder ITSEC werden keine Pruftiefen explizit vorgeschrieben die verwendeten Schutzprofile bzw Sicherheitsvorgaben mussen aber von der Bestatigungsstelle als geeignet anerkannt werden Bescheinigungen von anderen Mitgliedstaaten des Europaischen Wirtschaftsraumes uber die Ubereinstimmung einer SSEE mit den entsprechenden Anforderungen der Richtlinie 1999 93 EG sind den Bescheinigungen einer inlandischen Bestatigungsstelle gleich zu halten Weblinks BearbeitenListe der in Osterreich bescheinigten sicheren Signaturerstellungseinheiten Veroffentlichung von geeigneten Standards fur sichere Signaturerstellungseinheiten durch die Europaische KommissionEinzelnachweise Bearbeiten Richtlinie 99 93 EG des Europaischen Parlaments und des Rates vom 13 Dezember 1999 uber gemeinschaftliche Rahmenbedingungen fur elektronische Signaturen 2003 511 EG Entscheidung der Kommission vom 14 Juli 2003 uber die Veroffentlichung von Referenznummern fur allgemein anerkannte Normen fur Produkte fur elektronische Signaturen gemass der Richtlinie 1999 93 EG des Europaischen Parlaments und des Rates ETSI SR 002 176 V1 1 1 2003 03 Abgerufen am 24 November 2018 PDF Datei Bitte den Hinweis zu Rechtsthemen beachten Abgerufen von https de wikipedia org w index php title Sichere Signaturerstellungseinheit amp oldid 206014103