abl-17
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3004 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
die Signatur zuzuordnen ist,
welchem Signaturschlüssel-Inhaber
4. welche Inhalte das qualifizierte Zerti- die Signatur zuzuordnen ist,
fikat, auf dem die Signatur beruht,
welche Inhalte das zugehörige qualifi-
und zugehörige qualifizierte Attribut-
zierte (Attribut)-Zertifikat aufweist so-
Zertifikate aufweisen und
wie
5. zu welchem Ergebnis die Nachprü-
das Ergebnis der Verifikation und Vali-
fung von Zertifikaten nach § 5 Abs. 1
dierung (siehe oben), was insbesonde-
Satz 3 geführt hat.
re beinhaltet, ob die signierten Daten
unverändert sind und das Zertifikat
gültig ist (vorhanden und nicht ge-
sperrt).
Zu 2.:
Über eine kryptografische Signaturprüfung
(Integritätsprüfung) wird festgestellt, ob die
Signatur bzw. die Daten, auf die sich die
Signatur bezieht, unverändert sind.
§ 17 Abs. 2 Signaturanwendungskomponenten müs- Zur Umsetzung dieser gesetzlichen Anfor-
Satz 3 sen nach Bedarf auch den Inhalt der zu derungen ist eine entsprechende Funktion
signierenden oder signierten Daten hin- implementiert, die bei Bedarf
reichend erkennen lassen.
den Inhalt von zu signierenden Daten
in den Formaten Plain-Text (UTF-8)
und TIFF sicher anzeigt,
den signierten Inhalt von
CMS/PKCS#7 Signaturdateien (deta-
ched oder enveloped) in den Formaten
Plain-Text (UTF-8) und TIFF sicher
anzeigt.
Tabelle 6: Erfüllung der Anforderungen des SigG
Das Produkt „Governikus Signer, Version 2.5.0.0“ erfüllt die nachfolgenden Anforderungen der SigV bei
Verwendung einer lokalen Signaturinfrastruktur:
Referenz Gesetzestext Beschreibung
§ 15 Abs. 2 Signaturanwendungskomponenten nach Zu a)
Nr. 1 § 17 Abs. 2 des Signaturgesetzes müssen
Die Erzeugung einer qualifizierten elektroni-
gewährleisten, dass […] bei der Erzeu-
schen Signatur erfolgt ausschließlich in
gung einer qualifizierten elektronischen
einer SSEE.
Signatur
Zu b)
a) die Identifikationsdaten nicht preisge-
geben und diese nur auf der jeweiligen Zur Umsetzung der gesetzlichen Anforde-
sicheren Signaturerstellungseinheit ge- rungen bei der Verwendung einer lokal an-
speichert werden, geschlossenen SSEE sind in allen Varian-
ten entsprechende Funktionen implemen-
b) eine Signatur nur durch die berechtigt
tiert, die sicherstellen, dass
signierende Person erfolgt,
sich der Signaturschlüssel-Inhaber zur
c) die Erzeugung einer Signatur vorher
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 21 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3005
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
eindeutig angezeigt wird [….]. Erstellung von qualifizierten elektroni-
schen Signaturen immer durch die
Eingabe der Signatur-PIN über das
PIN-Pad des Chipkartenlesers authen-
tisiert,
die Authentisierung nur eine einzige
Signatur ermöglicht bzw. bei Verwen-
dung einer Stapelsignaturkarte nur die
Signaturerstellung für den zuvor be-
stimmten Stapel zulässt,
eine Veränderung der Dateiliste (Sta-
pel) nach Beginn des Signaturvor-
gangs und der Authentisierung nicht
möglich ist,
nach der Visualisierung durchgeführte
Veränderungen an den zu signieren-
den Dateien angezeigt werden.
Zur Umsetzung der gesetzlichen Anforde-
rungen bei der Erstellung von Multisignatu-
ren über die externe Signatur-
Anwendungskomponente „Governikus,
Version 3.3.1.3 (Basic)“ sind in den Varian-
ten „Governikus Signer, Version 2.5.0.0
Professional Edition“ und „Governikus
Signer, Version 2.5.0.0 Integration Edition“
entsprechende Funktionen implementiert,
die sicherstellen, dass
zur Nutzung eines auf der externe
Signatur-Anwendungskomponente
„Governikus, Version 3.3.1.3 (Basic)“
eingerichteten und freigegebenen Kon-
tingents von Signaturen eine Authenti-
sierung des Benutzers durch eine PIN-
Eingabe erforderlich ist.
die Authentisierung nur die Signaturer-
stellung für den zuvor bestimmten
Stapel zulässt,
eine Veränderung der Dateiliste (Sta-
pel) nach Beginn des Signaturvor-
gangs und der Authentisierung nicht
möglich ist,
nach der Visualisierung durchgeführte
Veränderungen an den zu signieren-
den Dateien angezeigt werden.
Zu c)
Der Benutzer muss zum Erstellen der Sig-
natur explizit eine mit der Bezeichnung
"Signieren" versehene Schaltfläche betäti-
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 22 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3006 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
gen, wodurch die Erzeugung einer Signatur
vorher eindeutig angezeigt wird.
Bei der Verwendung einer Stapelsignatur-
karte wird dem Benutzer ein zusätzlicher
Hinweis angezeigt, dass die Signaturerstel-
lung für alle ausgewählten Dateien mit nur
einer PIN-Eingabe erfolgt.
Bei der Erstellung von Multisignaturen über
die externe Signatur-Anwendungs-
komponente „Governikus, Version 3.3.1.3
(Basic)“ werden in den Varianten
„Governikus Signer, Version 2.5.0.0 Profes-
sional Edition“ und „Governikus Signer,
Version 2.5.0.0 Integration Edition“ ein zu-
sätzlicher Hinweis angezeigt, dass die Go-
vernikus-Komponente NetSigner zur Signa-
turerstellung verwendet wird.
§ 15 Abs. 2 Signaturanwendungskomponenten nach Zu a)
Nr. 2 § 17 Abs. 2 des Signaturgesetzes müssen
Zur Umsetzung der gesetzlichen Anforde-
gewährleisten, dass […] bei der Prüfung
rungen ist eine entsprechende Anzeige
einer qualifizierten elektronischen Signa-
implementiert, die anzeigt
tur
welchen Inhalt die signierten Daten
a) die Korrektheit der Signatur zuverlässig
aufweisen,
geprüft und zutreffend angezeigt wird und
welchem Signaturschlüssel-Inhaber
b) eindeutig erkennbar wird, ob die nach-
die Signatur zuzuordnen ist,
geprüften qualifizierten Zertifikate im je-
weiligen Zertifikat-Verzeichnis zum ange- welches Ergebnis die Verifikation und
gebenen Zeitpunkt vorhanden und nicht Validierung liefert, insbesondere
gesperrt waren.
o ob die signierten Daten unverän-
dert sind und
o ob das zugehörige qualifizierte
Zertifikat gültig ist.
Zu b)
Zur Umsetzung der gesetzlichen Anforde-
rungen ist eine entsprechende Anzeige
implementiert, die das Ergebnis einer An-
frage der zuständigen Verzeichnisdienste,
ob ein qualifiziertes Zertifikat zum angege-
benen Zeitpunkt gültig war, anzeigt.
§ 15 Abs. 4 Sicherheitstechnische Veränderungen an Die Anforderungen zur Erkennung sicher-
technischen Komponenten nach den Ab- heitstechnischer Veränderungen werden
sätzen 1 bis 3 müssen für den Nutzer durch die Signaturen der Software und die
erkennbar werden. Auflagen zum Betrieb realisiert, vgl. Ab-
schnitt 5.
Tabelle 7: Erfüllung der Anforderungen der SigV
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 23 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3007
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Darüber hinaus ist § 17 Abs. 2 Satz 4 SigG („Die Signaturschlüssel-Inhaber sollen solche Signaturan-
wendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elekt-
ronischer Signaturen treffen.“) nicht direkt durch das Produkt „Governikus Signer, Version 2.5.0.0“ um-
setzbar.
Hinweise zu schwach werdenden Algorithmen und qualifizierten Zeitstempeln
Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG müssen auch dann eine zuverlässige Prü-
fung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten17, wenn die
geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und damit
als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel vorliegt.
Seitens der Bundesnetzagentur wurden die Anforderungen an Signaturanwendungskomponenten weiter
präzisiert, die das Produkt „Governikus Signer, Version 2.5.0.0“ aktuell wie folgt erfüllt:
Anforderung Erfüllung und Verhalten der Software
„Governikus Signer, Version 2.5.0.0“
a) Abgelaufene Algorithmen: Bei der Prüfung einer Signatur prüft das Pro-
dukt „Governikus Signer, Version 2.5.0.0“, ob
Die Prüfung einer Signatur durch eine Signaturan- die verwendeten kryptografischen Algorithmen
wendungskomponente (SAK) für qualifizierte elektro- – sowohl zum Zeitpunkt der Prüfung (Prüfzeit
nische Signaturen i. S. v. § 2 Nr. 11b SigG muss bei punkt) als auch zum Signierzeitpunkt – als ge
abgelaufenen Algorithmen für den Nutzer deutlich eignet anzusehen sind. Bzgl. der Eignung kryp
anzeigen, dass die geprüfte Signatur mit einem Algo- tografischer Algorithmen werden die Angaben
rithmus erzeugt wurde, der nicht mehr dem Stand der des offiziellen Algorithmenkatalogs der Bun-
Wissenschaft und Technik entspricht, und sie somit desnetzagentur genutzt.18
einen verminderten Beweiswert hinsichtlich der Au-
thentizität und Integrität des verbundenen Dokuments Das Prüfprotokoll, in dem die Ergebnisse der
gegenüber dem Signaturzeitpunkt besitzt. Weiter Prüfung zusammenfassend dem Benutzer dar-
sollte der Zeitpunkt, zu dem der Algorithmus seine gestellt werden, hebt Signaturen, deren zuge-
Eignung verloren hat, zutreffend angezeigt werden. hörige kryptografische Algorithmen zum Prüf
oder zum Signierzeitpunkt als nicht mehr ge-
Unspezifische Aussagen zu abgelaufene Algorithmen eignet anzusehen sind, entsprechend farblich
sind nicht zulässig. hervor und weist den Benutzer darauf hin, dass
ein verwendeter Algorithmus zum Zeitpunkt der
Prüfung oder zum Signierzeitpunkt gemäß Al-
gorithmenkatalog nicht mehr für eine qualifizier-
te elektronische Signatur geeignet ist oder
war.19 Außerdem zeigt das Prüfprotokoll an, bis
17
Schreiben der Bundesnetzagentur „Hinweis im Zusammenhang mit der Prüfung von qualifizierten elektro-
nischen Signaturen, die auf ungeeigneten Algorithmen beruhen, und von qualifizierten Zeitstempeln“ vom
06.03.2009
18
Detaillierte Erläuterungen finden sich im Informationspapier zur Umsetzung des bos-Prüfprotokolls gemäß
FAQ 28 der BNetzA. (Vgl. Ausgegliederte Zusatzdokumentation)
19
Informationen zur graduellen und sukzessiven Einbuße des Beweiswertes der Signatur, sind dem beilie-
genden Dokument „bos-Prüfprotokoll mit Zertifikatsanzeige“ zu entnehmen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 24 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3008 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Anforderung Erfüllung und Verhalten der Software
„Governikus Signer, Version 2.5.0.0“
zu welchem Zeitpunkt die verwendeten Algo-
rithmen gemäß Algorithmenkatalog als geeignet
anzusehen sind, bzw. es waren.
b) Nicht implementierte Algorithmen: Sofern die Software "Governikus Signer, Versi-
on 2.5.0.0" eine Prüfung einer Signatur nicht
Ist bei der Prüfung einer Signatur ein Algorithmus zu (vollständig) durchführen kann, weil ein benötig-
verwenden, der in der Verifikationskomponente der ter kryptografischer Algorithmus nicht imple
SAK nicht implementiert ist, so muss dies dem Nutzer mentiert ist, wird dies dem Benutzer entspre-
zutreffend angezeigt werden. chend angezeigt: Das Prüfprotokoll, in dem die
Ergebnisse der Prüfung zusammenfassend
Unspezifische Aussagen zu nicht implementierten
dem Benutzer dargestellt werden, hebt Signatu-
Algorithmen sind nicht zulässig.
ren, deren zugehörige kryptografische Algo
rithmen nicht implementiert sind, entsprechend
hervor und weist den Benutzer darauf hin, dass
die Signatur nicht geprüft werden konnte, da
ein Algorithmus nicht implementiert ist.18
c) Qualifizierte Zeitstempel: Das Produkt „Governikus Signer, Version
2.5.0.0“ bietet die Möglichkeit, Zeitstempel, die
Tragen Daten einer qualifizierten Signatur, bei deren mit dem Produkt Governikus Signer Professio-
Verifikation zu erkennen ist, dass der Signatur- nal Edition angebracht wurden, zu prüfen.
prüfschlüssel zu einem Zeitstempel-Zertifikat gehört,
so ist dies dem Nutzer zutreffend anzuzeigen. Der Das Prüfprotokoll zeigt den Inhalt des Zeit-
Zeitpunkt, der im qualifizierten Zeitstempel enthalten stempel-Zertifikats, den Zeitstempel-Zeitpunkt
ist, ist dem Nutzer ebenfalls darzulegen. sowie das Ergebnis der Verifikation des Zeit-
stempels inkl. des Ergebnisses der Validierung
Solange kein standardisiertes Verfahren für die Ein- des Zeitstempel-Zertifikats.
bindung von qualifizierten Zeitstempeln existiert, ist
es ausreichend, wenn das Produkt seine selbst inte-
grierten qualifizierten Zeitstempel auswerten kann.
Qualifizierte Zeitstempel, die aus Fremdprodukten
und damit in einer evt. proprietären Datenstruktur
vorliegen, müssen nicht zwingend durch das Produkt
ausgewertet werden.
Unspezifische Aussagen zu qualifizierten Zeitstem-
peln sind nicht zulässig.
Tabelle 8: Umsetzung der Anforderungen zu schwach werdenden Algorithmen und qualifizierten
Zeitstempeln
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 25 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
5 Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ wird folgende Einsatzumgebung vor-
ausgesetzt:
AMD/Intel-PC mit mindestens
o 512 MB Hauptspeicher (RAM) und
o 260 MB Plattenplatz;
Betriebssystem:
o Microsoft Windows Vista, Windows XP oder Windows 7 (32 und 64 Bit), jeweils mit ak-
tuellem Service Pack, oder
o Windows Server 2003 oder Windows Server 2008, jeweils mit aktuellem Service Pack,
oder
o openSUSE 11.3;
Darüber hinaus wird je nach Einsatzzweck folgende Einsatzumgebung vorausgesetzt:
Zur Erstellung von qualifizierten elektronischen Signaturen im Sinne von SigG (vgl. Tabelle 6) und SigV
(vgl. Tabelle 7) sind zwingend erforderlich:
Signaturkarte gemäß Tabelle 3, wobei die Auflagen aus der Bestätigung zu dem Produkt (siehe
Registriernummer in Tabelle 3) einzuhalten sind;
Chipkarten-Lesegerät gemäß Tabelle 3 und Tabelle 4, wobei die Auflagen aus der Bestätigung
zu dem Produkt (siehe Registriernummer in Tabelle 3) bzw. der Herstellererklärung einzuhalten
sind;
Zur Validierung von Zertifikaten (Online-Prüfung) im Sinne von SigG (vgl. Tabelle 6) und SigV (vgl.
Tabelle 7) ist darüber hinaus für den Betrieb die folgende Einsatzumgebung zwingend erforderlich:
Sicherheitsmiddleware Governikus in einer der folgenden Versionen (gemäß Tabelle 5):
o „Governikus, Version 3.3.1.3“ mit Komponenten OCSP/CRLRelay und Verifikationsser
ver
o „Governikus Service Components, Version 3.4.1.0“ mit Komponente OCSP/CRLRelay
und optional mit Komponente Verifikationsserver
o „Governikus, Version 3.5.3.0“ mit Komponente OCSP/CRLRelay
Zur Erstellung von Multisignaturen mit der Variante „Governikus Signer, Version 2.5.0.0 Professional
Edition“ wird für den Betrieb die folgende Einsatzumgebung vorausgesetzt:
Sicherheitsmiddleware "Governikus" in einer der folgenden Versionen (gemäß Tabelle 5):
o „Governikus, Version 3.3.1.3“ mit Komponente "NetSigner"
o „Governikus Service Components, Version 3.4.1.0“ mit Komponente "NetSigner"
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 26 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3010 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
o „Governikus Service Components, Version 3.5.3.0“ mit Komponente "NetSigner"
Zum Anbringen von Zeitstempeln mit der Variante „Governikus Signer, Version 2.5.0.0 Professional Edi-
tion“ oder „Governikus Signer, Version 2.5.0.0 Integration Edition“ wird darüber hinaus für den Betrieb
die folgende Einsatzumgebung vorausgesetzt:
Sicherheitsmiddleware "Governikus" in einer der folgenden Versionen:
o „Governikus, Version 3.3.1.3“ oder
o „Governikus Service Components, Version 3.4.1.0“
o „Governikus Service Components, Version 3.5.3.0“
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ auf einem Terminalserver wird eine
der folgenden Umgebungen vorausgesetzt
Citrix Metaframe Presentation Server 4.5
Windows Terminal Server 2003
Windows Terminal Server 2008
Das Produkt „Governikus Signer, Version 2.5.0.0“ darf ausschließlich innerhalb der oben beschriebenen
Hard- und Softwareausstattung eingesetzt werden.
5.2 Anbindung an ein Netzwerk
Für den Betrieb des Produktes „Governikus Signer, Version 2.5.0.0“ ist, je nach genutztem Funktions-
umfang, ein Netzwerk notwendig.
Bei Anbindung des Produktes an ein Netzwerk müssen die folgenden Maßnahmen zum Schutz beachtet
werden: Netzwerkverbindungen müssen so abgesichert sein, dass Angriffe erkannt bzw. unterbunden
werden – z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung geeigneter Anti-
Viren-Programme.
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ in einer Terminalserver-Umgebung
ist die Verbindung zwischen Client und Server über SSL bzw. TLS zu realisieren. Der Verbindungsauf-
bau ist durch gegenseitige Authentisierung über ausgetauschte Zertifikate zu schützen. Der Betrieb in
einer Terminalserver-Umgebung ist nur innerhalb eines Intranets erlaubt.
Erfolgt die Validierungen (Online-Prüfung) von Zertifikaten über eine direkte Verbindung zu einem
OCSP/CRLRelay (vgl. 5.1) ist diese Verbindung verschlüsselt über das Protokoll HTTPS zu realisieren.
Zur Erstellung von Multisignaturen mit den Varianten „Governikus Signer, Version 2.5.0.0 Professional
Edition“ ist die Verbindung zu der Software „Governikus“ (vgl. 5.1) verschlüsselt über das Protokoll
HTTPS zu realisieren. Der Nutzung der Software „Governikus“ zur Erstellung von Multisignaturen ist nur
innerhalb eines Intranets erlaubt.
Die in diesem Abschnitt gemachten Auflagen müssen eingehalten werden.
5.3 Auslieferung und Installation
Die Auslieferung erfolgt online per Download von einem Webserver.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 27 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Alle Dateien der Software werden vor der Auslieferung vom Hersteller mit einem Hashwert versehen,
um Schutz vor unerkannten nachträglichen Manipulationen zu bieten. Der Hashwert wird vom Hersteller
separat mitgeteilt.
Die Software „Governikus Signer, Version 2.5.0.0“ lässt sich über eine Installationsroutine einfach instal-
lieren. In der Installationsroutine werden einige Parameter zur Installation (Ort des Installationsverzeich-
nisses, Anlegen einer Desktopverknüpfung etc.) abgefragt. Mit dem Produkt „Governikus Signer, Versi-
on 2.5.0.0“ wird stets eine Java Runtime Environment (JRE) mitinstalliert. Diese wird ebenfalls im
Installationsverzeichnis abgelegt und beeinflusst somit andere Java-Installationen nicht.
Die Variante „Governikus Signer, Version 2.5.0.0 Integration Edition“ bietet darüber hinaus die Möglich-
keit, die für die Installation benötigten Parameter über eine Konfigurationsdatei vorzugeben.
5.4 Auflagen für den Betrieb des Produktes
Die Software „Governikus Signer, Version 2.5.0.0“ wird in einem „geschützten Einsatzbereich (Regelfall/
Standardlösung)“ (vgl. das Dokument der Bundesnetzagentur, „Einheitliche Spezifizierung der Einsatz-
komponenten für Signaturanwendungskomponenten – Arbeitsgrundlage für Entwickler/Hersteller und
Prüf-/Bestätigungsstellen“, Version 1.4, 19.07.2005) betrieben.
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ in einer Terminalserver-Umgebung
gelten die nachfolgenden Auflagen sowohl für den Terminalserver als auch für den Client-PC des Be-
nutzers.
Während des Betriebs sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Auflagen zur Sicherheit der IT-Plattform und Applikationen
Es muss gewährleistet sein, dass von der Hardware, auf der die Software „Governikus Signer, Version
2.5.0.0“ betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen, dass
die auf dem eingesetzten Personalcomputer installierte Software – insbesondere die Java
Virtual Machine – nicht böswillig manipuliert oder verändert werden kann,
auf dem Personalcomputer keine Viren oder Trojanische Pferde eingespielt werden können,
die Hardware des Personalcomputers nicht unzulässig verändert werden kann,
der verwendete Chipkartenleser nicht böswillig manipuliert wurde, um Daten (z. B. PIN, Hash-
werte etc.) auszuforschen oder zu verändern.
Das Ausforschen der PIN auf dem Personalcomputer kann nur dann mit Sicherheit ausgeschlossen
werden, wenn ein Chipkartenleser mit sicherer PIN-Eingabe eingesetzt wird.
Auflagen zum Schutz vor manuellem Zugriff Unbefugter
Der eingesetzte Personalcomputer muss gegen einen manuellen Zugriff Unbefugter geschützt werden –
insbesondere, um Manipulation von Dateien auf Dateisystemebene, die die Software zur Darstellung der
Nachrichten benötigt, zu unterbinden. Dies kann z. B. durch Aufstellung in einem abschließbaren Raum
geschehen.
Im Fall der Verwendung der Variante „Governikus Signer, Version 2.5.0.0 Professional Edition“ zur Er-
stellung von Multisignaturen sind der Betrieb und die Aufbewahrung in einem zugriffssicheren Betriebs-
raum oder Stahlschrank erforderlich, so dass ein Zugriff Unbefugter ausgeschlossen ist oder zumindest
mit hoher Sicherheit erkennbar wird.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 28 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3012 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Der Authentisierungsschlüssel für den Zugriff auf die Komponente NetSigner der Sicherheitsmiddleware
„Governikus“ muss durch den Schlüssel-Administrator des Governikus Systems bereit gestellt werden20.
Für das Passwort und insbesondere für das Zugangspasswort zu einer Terminalserver-Sitzung sind fol-
gende Auflagen einzuhalten:
Es dürfen keine Trivialpasswörter (z. B. "BBBBBBBB" oder "12345678") verwendet werden.
Das Passwort enthält mindestens ein Zeichen, das kein Buchstabe ist (Sonderzeichen oder
Zahl),
Das Passwort muss mindestens 8 Zeichen lang sein
Die Unterrichtung des Zertifizierungsdiensteanbieters zur Handhabung der SSEE ist zu beachten.
Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger
Bei Einspielen von Daten über Datenträger muss – z. B. durch die Verwendung geeigneter Anti-Viren-
Programme – sichergestellt werden, dass keine Viren oder Trojanische Pferde eingespielt werden kön-
nen.
Auflagen zur Sicherheitsadministration des Betriebs
Hinsichtlich der Software „Governikus Signer, Version 2.5.0.0“ ist keine spezielle Sicherheitsadministra-
tion für den Betrieb vorgesehen. Der eingesetzte Personalcomputer und der eingesetzte Chipkartenle-
ser sind aber in jedem Fall gegen eine unberechtigte Benutzung zu sichern.
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ in einer Terminalserver-Umgebung
ist durch ein geeignetes Berechtigungssystem sicherzustellen, dass die Dateien innerhalb des persönli-
chen Verzeichnisses des Benutzers der Software „Governikus Signer, Version 2.5.0.0“ nicht durch Un-
befugte gelesen oder verändert werden können.
Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung
Folgende Auflagen sind für den sachgemäßen Einsatz der Software „Governikus Signer, Version
2.5.0.0“ zu beachten:
Sofern eine Visualisierung einer zu signierenden Datei erfolgen soll, ist eine geeignete Anwen-
dung zu nutzen, d. h. eine Anwendung, die Dateien des entsprechenden Dateityps öffnen und
die zu signierenden oder signierten Daten zuverlässig darstellen kann.
Es wird eine vertrauenswürdige Eingabe der PIN vorausgesetzt. Der Nutzer hat dafür Sorge zu
tragen, dass die Eingabe der PIN weder beobachtet noch die PIN anderen Personen bekannt
gemacht wird. Er muss seine PIN ändern, wenn er den Verdacht oder die Gewissheit hat, die
PIN könnte nicht mehr geheim sein.
Nur beim Betrieb mit einem bestätigten Chipkartenleser mit PIN-Pad ist sicher gestellt, dass die
PIN nur zur SSEE übertragen wird.
Zum Signieren darf die PIN nur am PIN-Pad des Chipkartenlesers eingegeben werden.
20
Vgl. Dokument „Governikus Betriebshandbuch“, Kapitel „Auflagen für den Betrieb gemäß Signaturgesetz“
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 29 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3013
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Hinweise von Zertifizierungsdiensteanbietern zum Umgang mit persönlichen, geheimen Signa-
tur-PIN sind zu beachten.
Eine Signaturgesetz-konforme Nachprüfung qualifizierter Zertifikate kann nur erfolgen, soweit
dafür die technischen Voraussetzungen – insbesondere durch die Verbindung zum Verifikati
onsserver – gegeben sind.
Ergänzend zu den oben genannten Auflagen müssen zur sachgemäßen Erstellung von Multisignaturen
mit den Varianten „Governikus Signer, Version 2.5.0.0 Professional Edition“ und „Governikus Signer,
Version 2.5.0.0 Integration Edition“ folgende Auflagen beachtet werden.
Hinsichtlich des Anforderns von qualifizierten Zeitstempeln über die Varianten „Governikus
Signer, Version 2.5.0.0 Professional Edition“ oder „Governikus Signer, Version 2.5.0.0 Integrati-
on Edition“ wird die Verwendung eines korrekt konfigurierten Zeitstempelservers der Si-
cherheitsmiddelware "Governikus" (vgl. Kapitel 3.1) vorausgesetzt, welcher die Zeitstempel von
einem dafür geeigneten Zeitstempeldienstanbieter anfordert.
Die Erstellung von Multisignaturen über die Variante „Governikus Signer, Version 2.5.0.0 Pro-
fessional Edition“ unter Verwendung der Sicherheitsmiddleware „Governikus“ ist ausschließlich
durch den Signaturschlüssel-Inhaber durchzuführen. Für das Signieren eines Dokumentensta-
pels ist nach dem Prinzip der Individualsignatur21 zu verfahren, wobei der Signaturschlüssel-
Inhaber „unterschiedliche Vorgänge“21 vor der Signaturerstellung einzeln lesen muss.
Alle Auflagen aus dem Governikus Betriebshandbuch an den Signaturschlüssel-Inhaber hin-
sichtlich der Nutzung der Sicherheitsmiddleware „Governikus“ zur Erstellung von Multisignatu-
ren sind einzuhalten20.
Es wird eine vertrauenswürdige Eingabe der Authentisierungs-PIN vorausgesetzt. Der Nutzer
hat dafür Sorge zu tragen, dass die Eingabe der Authentisierungs-PIN weder beobachtet noch
die Authentisierungs-PIN anderen Personen bekannt gemacht wird.
Bei dem Einsatz der Software „Governikus Signer, Version 2.5.0.0“ in einer Terminalserver-Umgebung
muss eine gesicherte und verschlüsselte Verbindung zwischen Terminalserver und Client-PC sicherge-
stellt werden.
Auflagen für Wartung/Reparatur
Eine Pflege und Wartung der Software „Governikus Signer, Version 2.5.0.0“ ist nicht vorgesehen. Ggf.
erfolgt eine Aktualisierung über einen Download von einem Webserver.
6 Algorithmen und zugehörige Parameter
Zur Erzeugung qualifizierter elektronischer Signaturen wird vom Produkt „Governikus Signer, Version
2.5.0.0“ die Hashfunktion SHA-256 bereitgestellt.22
21
Vgl. www.bundesnetzagentur.de, Sachgebiet qualifizierte elektronische Signatur, FAQ Nr. 18 und Nr. 18a
22
Hinweis: Das Produkt unterstützt ferner die Hashfunktionen SHA-1 und RIPEMD-160, welche nicht mehr
für eine qualifizierte elektronische Signatur verwendet werden dürfen. Bei der Verwendung der Hashfunktio-
nen SHA-1 oder RIPEMD-160 zu Signaturerstellung, wird dem Benutzer ein entsprechender Warnhinweis
angezeigt.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 30 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
