abl-17
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3008 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Anforderung Erfüllung und Verhalten der Software
„Governikus Signer, Version 2.5.0.0“
zu welchem Zeitpunkt die verwendeten Algo-
rithmen gemäß Algorithmenkatalog als geeignet
anzusehen sind, bzw. es waren.
b) Nicht implementierte Algorithmen: Sofern die Software "Governikus Signer, Versi-
on 2.5.0.0" eine Prüfung einer Signatur nicht
Ist bei der Prüfung einer Signatur ein Algorithmus zu (vollständig) durchführen kann, weil ein benötig-
verwenden, der in der Verifikationskomponente der ter kryptografischer Algorithmus nicht imple
SAK nicht implementiert ist, so muss dies dem Nutzer mentiert ist, wird dies dem Benutzer entspre-
zutreffend angezeigt werden. chend angezeigt: Das Prüfprotokoll, in dem die
Ergebnisse der Prüfung zusammenfassend
Unspezifische Aussagen zu nicht implementierten
dem Benutzer dargestellt werden, hebt Signatu-
Algorithmen sind nicht zulässig.
ren, deren zugehörige kryptografische Algo
rithmen nicht implementiert sind, entsprechend
hervor und weist den Benutzer darauf hin, dass
die Signatur nicht geprüft werden konnte, da
ein Algorithmus nicht implementiert ist.18
c) Qualifizierte Zeitstempel: Das Produkt „Governikus Signer, Version
2.5.0.0“ bietet die Möglichkeit, Zeitstempel, die
Tragen Daten einer qualifizierten Signatur, bei deren mit dem Produkt Governikus Signer Professio-
Verifikation zu erkennen ist, dass der Signatur- nal Edition angebracht wurden, zu prüfen.
prüfschlüssel zu einem Zeitstempel-Zertifikat gehört,
so ist dies dem Nutzer zutreffend anzuzeigen. Der Das Prüfprotokoll zeigt den Inhalt des Zeit-
Zeitpunkt, der im qualifizierten Zeitstempel enthalten stempel-Zertifikats, den Zeitstempel-Zeitpunkt
ist, ist dem Nutzer ebenfalls darzulegen. sowie das Ergebnis der Verifikation des Zeit-
stempels inkl. des Ergebnisses der Validierung
Solange kein standardisiertes Verfahren für die Ein- des Zeitstempel-Zertifikats.
bindung von qualifizierten Zeitstempeln existiert, ist
es ausreichend, wenn das Produkt seine selbst inte-
grierten qualifizierten Zeitstempel auswerten kann.
Qualifizierte Zeitstempel, die aus Fremdprodukten
und damit in einer evt. proprietären Datenstruktur
vorliegen, müssen nicht zwingend durch das Produkt
ausgewertet werden.
Unspezifische Aussagen zu qualifizierten Zeitstem-
peln sind nicht zulässig.
Tabelle 8: Umsetzung der Anforderungen zu schwach werdenden Algorithmen und qualifizierten
Zeitstempeln
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 25 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
5 Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ wird folgende Einsatzumgebung vor-
ausgesetzt:
AMD/Intel-PC mit mindestens
o 512 MB Hauptspeicher (RAM) und
o 260 MB Plattenplatz;
Betriebssystem:
o Microsoft Windows Vista, Windows XP oder Windows 7 (32 und 64 Bit), jeweils mit ak-
tuellem Service Pack, oder
o Windows Server 2003 oder Windows Server 2008, jeweils mit aktuellem Service Pack,
oder
o openSUSE 11.3;
Darüber hinaus wird je nach Einsatzzweck folgende Einsatzumgebung vorausgesetzt:
Zur Erstellung von qualifizierten elektronischen Signaturen im Sinne von SigG (vgl. Tabelle 6) und SigV
(vgl. Tabelle 7) sind zwingend erforderlich:
Signaturkarte gemäß Tabelle 3, wobei die Auflagen aus der Bestätigung zu dem Produkt (siehe
Registriernummer in Tabelle 3) einzuhalten sind;
Chipkarten-Lesegerät gemäß Tabelle 3 und Tabelle 4, wobei die Auflagen aus der Bestätigung
zu dem Produkt (siehe Registriernummer in Tabelle 3) bzw. der Herstellererklärung einzuhalten
sind;
Zur Validierung von Zertifikaten (Online-Prüfung) im Sinne von SigG (vgl. Tabelle 6) und SigV (vgl.
Tabelle 7) ist darüber hinaus für den Betrieb die folgende Einsatzumgebung zwingend erforderlich:
Sicherheitsmiddleware Governikus in einer der folgenden Versionen (gemäß Tabelle 5):
o „Governikus, Version 3.3.1.3“ mit Komponenten OCSP/CRLRelay und Verifikationsser
ver
o „Governikus Service Components, Version 3.4.1.0“ mit Komponente OCSP/CRLRelay
und optional mit Komponente Verifikationsserver
o „Governikus, Version 3.5.3.0“ mit Komponente OCSP/CRLRelay
Zur Erstellung von Multisignaturen mit der Variante „Governikus Signer, Version 2.5.0.0 Professional
Edition“ wird für den Betrieb die folgende Einsatzumgebung vorausgesetzt:
Sicherheitsmiddleware "Governikus" in einer der folgenden Versionen (gemäß Tabelle 5):
o „Governikus, Version 3.3.1.3“ mit Komponente "NetSigner"
o „Governikus Service Components, Version 3.4.1.0“ mit Komponente "NetSigner"
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 26 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3010 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
o „Governikus Service Components, Version 3.5.3.0“ mit Komponente "NetSigner"
Zum Anbringen von Zeitstempeln mit der Variante „Governikus Signer, Version 2.5.0.0 Professional Edi-
tion“ oder „Governikus Signer, Version 2.5.0.0 Integration Edition“ wird darüber hinaus für den Betrieb
die folgende Einsatzumgebung vorausgesetzt:
Sicherheitsmiddleware "Governikus" in einer der folgenden Versionen:
o „Governikus, Version 3.3.1.3“ oder
o „Governikus Service Components, Version 3.4.1.0“
o „Governikus Service Components, Version 3.5.3.0“
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ auf einem Terminalserver wird eine
der folgenden Umgebungen vorausgesetzt
Citrix Metaframe Presentation Server 4.5
Windows Terminal Server 2003
Windows Terminal Server 2008
Das Produkt „Governikus Signer, Version 2.5.0.0“ darf ausschließlich innerhalb der oben beschriebenen
Hard- und Softwareausstattung eingesetzt werden.
5.2 Anbindung an ein Netzwerk
Für den Betrieb des Produktes „Governikus Signer, Version 2.5.0.0“ ist, je nach genutztem Funktions-
umfang, ein Netzwerk notwendig.
Bei Anbindung des Produktes an ein Netzwerk müssen die folgenden Maßnahmen zum Schutz beachtet
werden: Netzwerkverbindungen müssen so abgesichert sein, dass Angriffe erkannt bzw. unterbunden
werden – z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung geeigneter Anti-
Viren-Programme.
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ in einer Terminalserver-Umgebung
ist die Verbindung zwischen Client und Server über SSL bzw. TLS zu realisieren. Der Verbindungsauf-
bau ist durch gegenseitige Authentisierung über ausgetauschte Zertifikate zu schützen. Der Betrieb in
einer Terminalserver-Umgebung ist nur innerhalb eines Intranets erlaubt.
Erfolgt die Validierungen (Online-Prüfung) von Zertifikaten über eine direkte Verbindung zu einem
OCSP/CRLRelay (vgl. 5.1) ist diese Verbindung verschlüsselt über das Protokoll HTTPS zu realisieren.
Zur Erstellung von Multisignaturen mit den Varianten „Governikus Signer, Version 2.5.0.0 Professional
Edition“ ist die Verbindung zu der Software „Governikus“ (vgl. 5.1) verschlüsselt über das Protokoll
HTTPS zu realisieren. Der Nutzung der Software „Governikus“ zur Erstellung von Multisignaturen ist nur
innerhalb eines Intranets erlaubt.
Die in diesem Abschnitt gemachten Auflagen müssen eingehalten werden.
5.3 Auslieferung und Installation
Die Auslieferung erfolgt online per Download von einem Webserver.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 27 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Alle Dateien der Software werden vor der Auslieferung vom Hersteller mit einem Hashwert versehen,
um Schutz vor unerkannten nachträglichen Manipulationen zu bieten. Der Hashwert wird vom Hersteller
separat mitgeteilt.
Die Software „Governikus Signer, Version 2.5.0.0“ lässt sich über eine Installationsroutine einfach instal-
lieren. In der Installationsroutine werden einige Parameter zur Installation (Ort des Installationsverzeich-
nisses, Anlegen einer Desktopverknüpfung etc.) abgefragt. Mit dem Produkt „Governikus Signer, Versi-
on 2.5.0.0“ wird stets eine Java Runtime Environment (JRE) mitinstalliert. Diese wird ebenfalls im
Installationsverzeichnis abgelegt und beeinflusst somit andere Java-Installationen nicht.
Die Variante „Governikus Signer, Version 2.5.0.0 Integration Edition“ bietet darüber hinaus die Möglich-
keit, die für die Installation benötigten Parameter über eine Konfigurationsdatei vorzugeben.
5.4 Auflagen für den Betrieb des Produktes
Die Software „Governikus Signer, Version 2.5.0.0“ wird in einem „geschützten Einsatzbereich (Regelfall/
Standardlösung)“ (vgl. das Dokument der Bundesnetzagentur, „Einheitliche Spezifizierung der Einsatz-
komponenten für Signaturanwendungskomponenten – Arbeitsgrundlage für Entwickler/Hersteller und
Prüf-/Bestätigungsstellen“, Version 1.4, 19.07.2005) betrieben.
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ in einer Terminalserver-Umgebung
gelten die nachfolgenden Auflagen sowohl für den Terminalserver als auch für den Client-PC des Be-
nutzers.
Während des Betriebs sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Auflagen zur Sicherheit der IT-Plattform und Applikationen
Es muss gewährleistet sein, dass von der Hardware, auf der die Software „Governikus Signer, Version
2.5.0.0“ betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen, dass
die auf dem eingesetzten Personalcomputer installierte Software – insbesondere die Java
Virtual Machine – nicht böswillig manipuliert oder verändert werden kann,
auf dem Personalcomputer keine Viren oder Trojanische Pferde eingespielt werden können,
die Hardware des Personalcomputers nicht unzulässig verändert werden kann,
der verwendete Chipkartenleser nicht böswillig manipuliert wurde, um Daten (z. B. PIN, Hash-
werte etc.) auszuforschen oder zu verändern.
Das Ausforschen der PIN auf dem Personalcomputer kann nur dann mit Sicherheit ausgeschlossen
werden, wenn ein Chipkartenleser mit sicherer PIN-Eingabe eingesetzt wird.
Auflagen zum Schutz vor manuellem Zugriff Unbefugter
Der eingesetzte Personalcomputer muss gegen einen manuellen Zugriff Unbefugter geschützt werden –
insbesondere, um Manipulation von Dateien auf Dateisystemebene, die die Software zur Darstellung der
Nachrichten benötigt, zu unterbinden. Dies kann z. B. durch Aufstellung in einem abschließbaren Raum
geschehen.
Im Fall der Verwendung der Variante „Governikus Signer, Version 2.5.0.0 Professional Edition“ zur Er-
stellung von Multisignaturen sind der Betrieb und die Aufbewahrung in einem zugriffssicheren Betriebs-
raum oder Stahlschrank erforderlich, so dass ein Zugriff Unbefugter ausgeschlossen ist oder zumindest
mit hoher Sicherheit erkennbar wird.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 28 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3012 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Der Authentisierungsschlüssel für den Zugriff auf die Komponente NetSigner der Sicherheitsmiddleware
„Governikus“ muss durch den Schlüssel-Administrator des Governikus Systems bereit gestellt werden20.
Für das Passwort und insbesondere für das Zugangspasswort zu einer Terminalserver-Sitzung sind fol-
gende Auflagen einzuhalten:
Es dürfen keine Trivialpasswörter (z. B. "BBBBBBBB" oder "12345678") verwendet werden.
Das Passwort enthält mindestens ein Zeichen, das kein Buchstabe ist (Sonderzeichen oder
Zahl),
Das Passwort muss mindestens 8 Zeichen lang sein
Die Unterrichtung des Zertifizierungsdiensteanbieters zur Handhabung der SSEE ist zu beachten.
Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger
Bei Einspielen von Daten über Datenträger muss – z. B. durch die Verwendung geeigneter Anti-Viren-
Programme – sichergestellt werden, dass keine Viren oder Trojanische Pferde eingespielt werden kön-
nen.
Auflagen zur Sicherheitsadministration des Betriebs
Hinsichtlich der Software „Governikus Signer, Version 2.5.0.0“ ist keine spezielle Sicherheitsadministra-
tion für den Betrieb vorgesehen. Der eingesetzte Personalcomputer und der eingesetzte Chipkartenle-
ser sind aber in jedem Fall gegen eine unberechtigte Benutzung zu sichern.
Für den Betrieb der Software „Governikus Signer, Version 2.5.0.0“ in einer Terminalserver-Umgebung
ist durch ein geeignetes Berechtigungssystem sicherzustellen, dass die Dateien innerhalb des persönli-
chen Verzeichnisses des Benutzers der Software „Governikus Signer, Version 2.5.0.0“ nicht durch Un-
befugte gelesen oder verändert werden können.
Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung
Folgende Auflagen sind für den sachgemäßen Einsatz der Software „Governikus Signer, Version
2.5.0.0“ zu beachten:
Sofern eine Visualisierung einer zu signierenden Datei erfolgen soll, ist eine geeignete Anwen-
dung zu nutzen, d. h. eine Anwendung, die Dateien des entsprechenden Dateityps öffnen und
die zu signierenden oder signierten Daten zuverlässig darstellen kann.
Es wird eine vertrauenswürdige Eingabe der PIN vorausgesetzt. Der Nutzer hat dafür Sorge zu
tragen, dass die Eingabe der PIN weder beobachtet noch die PIN anderen Personen bekannt
gemacht wird. Er muss seine PIN ändern, wenn er den Verdacht oder die Gewissheit hat, die
PIN könnte nicht mehr geheim sein.
Nur beim Betrieb mit einem bestätigten Chipkartenleser mit PIN-Pad ist sicher gestellt, dass die
PIN nur zur SSEE übertragen wird.
Zum Signieren darf die PIN nur am PIN-Pad des Chipkartenlesers eingegeben werden.
20
Vgl. Dokument „Governikus Betriebshandbuch“, Kapitel „Auflagen für den Betrieb gemäß Signaturgesetz“
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 29 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3013
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Hinweise von Zertifizierungsdiensteanbietern zum Umgang mit persönlichen, geheimen Signa-
tur-PIN sind zu beachten.
Eine Signaturgesetz-konforme Nachprüfung qualifizierter Zertifikate kann nur erfolgen, soweit
dafür die technischen Voraussetzungen – insbesondere durch die Verbindung zum Verifikati
onsserver – gegeben sind.
Ergänzend zu den oben genannten Auflagen müssen zur sachgemäßen Erstellung von Multisignaturen
mit den Varianten „Governikus Signer, Version 2.5.0.0 Professional Edition“ und „Governikus Signer,
Version 2.5.0.0 Integration Edition“ folgende Auflagen beachtet werden.
Hinsichtlich des Anforderns von qualifizierten Zeitstempeln über die Varianten „Governikus
Signer, Version 2.5.0.0 Professional Edition“ oder „Governikus Signer, Version 2.5.0.0 Integrati-
on Edition“ wird die Verwendung eines korrekt konfigurierten Zeitstempelservers der Si-
cherheitsmiddelware "Governikus" (vgl. Kapitel 3.1) vorausgesetzt, welcher die Zeitstempel von
einem dafür geeigneten Zeitstempeldienstanbieter anfordert.
Die Erstellung von Multisignaturen über die Variante „Governikus Signer, Version 2.5.0.0 Pro-
fessional Edition“ unter Verwendung der Sicherheitsmiddleware „Governikus“ ist ausschließlich
durch den Signaturschlüssel-Inhaber durchzuführen. Für das Signieren eines Dokumentensta-
pels ist nach dem Prinzip der Individualsignatur21 zu verfahren, wobei der Signaturschlüssel-
Inhaber „unterschiedliche Vorgänge“21 vor der Signaturerstellung einzeln lesen muss.
Alle Auflagen aus dem Governikus Betriebshandbuch an den Signaturschlüssel-Inhaber hin-
sichtlich der Nutzung der Sicherheitsmiddleware „Governikus“ zur Erstellung von Multisignatu-
ren sind einzuhalten20.
Es wird eine vertrauenswürdige Eingabe der Authentisierungs-PIN vorausgesetzt. Der Nutzer
hat dafür Sorge zu tragen, dass die Eingabe der Authentisierungs-PIN weder beobachtet noch
die Authentisierungs-PIN anderen Personen bekannt gemacht wird.
Bei dem Einsatz der Software „Governikus Signer, Version 2.5.0.0“ in einer Terminalserver-Umgebung
muss eine gesicherte und verschlüsselte Verbindung zwischen Terminalserver und Client-PC sicherge-
stellt werden.
Auflagen für Wartung/Reparatur
Eine Pflege und Wartung der Software „Governikus Signer, Version 2.5.0.0“ ist nicht vorgesehen. Ggf.
erfolgt eine Aktualisierung über einen Download von einem Webserver.
6 Algorithmen und zugehörige Parameter
Zur Erzeugung qualifizierter elektronischer Signaturen wird vom Produkt „Governikus Signer, Version
2.5.0.0“ die Hashfunktion SHA-256 bereitgestellt.22
21
Vgl. www.bundesnetzagentur.de, Sachgebiet qualifizierte elektronische Signatur, FAQ Nr. 18 und Nr. 18a
22
Hinweis: Das Produkt unterstützt ferner die Hashfunktionen SHA-1 und RIPEMD-160, welche nicht mehr
für eine qualifizierte elektronische Signatur verwendet werden dürfen. Bei der Verwendung der Hashfunktio-
nen SHA-1 oder RIPEMD-160 zu Signaturerstellung, wird dem Benutzer ein entsprechender Warnhinweis
angezeigt.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 30 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3014 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Zur Prüfung qualifizierter elektronischer Signaturen werden vom Produkt „Governikus Signer, Version
2.5.0.0“ die Hashfunktionen SHA-256, RIPEMD-160 und SHA-1 sowie der Signaturalgorithmus RSA23
mit einer Schlüssellänge von 2048 Bit bereitgestellt.
Die gemäß Anlage 1 Abs. I Nr. 2 SigV festgestellte Eignung für die verwendeten kryptografischen Algo
rithmen sind gemäß den Angaben der Bundesnetzagentur24 wie folgt als geeignet eingestuft:
Algorithmus Schlüssellänge Gültig bis
SHA-224 31.12.2015
SHA-256 31.12.2017
SHA-384 31.12.2017
SHA-512 31.12.2017
RSA 2048 Bit 31.12.2017
7 Gültigkeit der Herstellererklärung
Diese Erklärung ist bis zu ihrem Widerruf durch den Hersteller oder der zuständigen Behörde (s.u.),
längstens jedoch bis zum 31.12.2016 gültig. Die Gültigkeit der Herstellererklärung ist weiter beschränkt
durch die in Kapitel 6 aufgeführten Gültigkeiten der Algorithmen; die Gültigkeit kann sich verkürzen,
wenn z. B. neue Feststellungen hinsichtlich der Sicherheit des Produktes oder der Eignung der Algo-
rithmen im Bundesanzeiger veröffentlicht werden.
Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundesnetzagentur,
Referat Qualifizierte Elektronische Signatur – Technischer Betrieb) zu erfragen.
8 Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und
bei der zuständigen Behörde hinterlegt:
„Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4 SigG für die Software ‚Governikus
Signer, Version 2.5.0.0’ – Sicherheitstechnische Produktbeschreibung und Spezifikation“,
28.07.2011, 94 Seiten.
„Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4 SigG für die Software ‚Governikus
Signer, Version 2.5.0.0’ – Testdokumentation“, 28.07.2011, 23 Seiten.
„Governikus Signer – Benutzerhandbuch“, Dokument-Version 2.5.0.0_0, 110 Seiten.
23
Die Schlüssellänge richtet sich nach den zu verifizierenden Signaturen; das Produkt „Governikus Signer,
Version 2.5.0.0“ unterstützt die gängigen Schlüssellängen von 2048 Bit.
24
vgl. „Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung
(Übersicht über geeignete Algorithmen)“ der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,
Post und Eisenbahn vom 20. Mai 2011
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 31 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3015
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-02
Anwenderdokumentation „Governikus Signer Integrated Edition – Entwicklerhandbuch“, Doku
mentversion 2.5.0.0_0, 49 Seiten.
Anwenderdokumentation „Governikus Signer Integrated Edition – Administratorhandbuch“, Do
kumentversion 2.5.0.0_0, 12 Seiten.
„Governikus Signer – Testhandbuch“, Version 3.3.1, 116 Seiten.
„Governikus Signer Integration Edition – Testhandbuch“, Version 1.2, 23 Seiten.
Testprotokolle Governikus Signer, Stand 28.07.2011
Beschreibung bos-Prüfprotokoll, Dokumentenversion 3.1.0.0_1, 98 Seiten
Verification Interpreter - Testhandbuch, Version CIVI_3_1_0_0
Verification Interpreter – Testprotokoll, Stand 12.07.2011
Die Dokumente wurden von der bremen online services Entwicklungs- und Betriebsgesellschaft mbH &
Co. KG erstellt.
Ende der Herstellererklärung
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 32 von 32
Herstellererklärung für „Governikus Signer, Version 2.5.0.0“
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3016 – Mitteilungen, Qualifizierte elektronische Signatur, 17 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Mitteilung Nr. 1033/2014
Veröffentlichung von Herstellererklärungen für Produkte für
qualifizierte elektronische Signaturen nach § 17 Abs. 4 SigG,
die bei der Bundesnetzagentur hinterlegt wurden;
hier: bremen online services Entwicklungs- und Betriebsge-
sellschaft mbH & Co. KG, Governikus Signer, Version 2.6.0.1
Veröffentlichungshinweis
Die Bundesnetzagentur ist aufgrund des § 17 Abs. 4 des Sig-
naturgesetzes (SigG) vom 16. Mai 2001 (BGBl. I S. 876), zuletzt
geändert durch Artikel 4 des Gesetzes vom 17. Juli 2009
(BGBl. I S. 2091), verpflichtet, Erklärungen durch Hersteller
von Produkten für qualifizierte elektronische Signaturen (Her-
stellererklärungen) im Amtsblatt der Bundesnetzagentur zu
veröffentlichen. Das Amtsblatt dient insoweit nur als Veröf-
fentlichungsmedium. Der Veröffentlichung ist weder eine ma-
terielle Prüfung der Herstellererklärungen noch eine Prüfung
der in ihnen bezuggenommenen Produkte durch die Bundes-
netzagentur vorausgegangen. Für den Inhalt der Herstellerer-
klärungen und für die Produkte sind allein die Hersteller ver-
antwortlich.
Hersteller:
bremen online services Entwicklungs- und Betriebsgesellschaft
mbH & Co. KG
Am Fallturm 9
28359 Bremen
Produkt:
Governikus Signer, Version 2.6.0.1
Bezeichnung der Herstellererklärung:
Governikus Signer, Version 2.6.0.1, Stand: 14.02.2012
Als weitere Unterlagen wurden eingereicht:
• „Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4
SigG für die Software‚ Governikus Signer, Version 2.6.0.1
– Sicherheitstechnische Produktbeschreibung und Spe-
zifikation“, 14.02.2012, 10 Seiten.
• „Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4
SigG für die Software Governikus Signer, Version 2.6.0.1
– Testdokumentation“, 14.02.2012, 19 Seiten.
• „Governikus Signer – Benutzerhandbuch“, Dokumentver-
sion 2.6.0.1_0, 20.01.2012, 116 Seiten.
• „Governikus Signer Integrated Edition – Entwicklerhand-
buch“, Dokumentversion 2.6.0.1_0, 20.01.2012, 66 Sei-
ten.
• „Governikus Signer Integrated Edition – Administrator-
handbuch“, Dokumentversion 2.6.0.1_0, 20.01.2012, 15
Seiten.
• „Governikus Signer – Testhandbuch“, Version 2.6.0.1_0,
10.01.2012, 134 Seiten.
• Testprotokoll Governikus Signer, Stand 14.01.2012
Es folgt der Text der Herstellererklärung:
Bonn, 17. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
17 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 3017
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-04-03-N1
Nachtrag 1 zur Herstellererklärung für das Produkt „Governikus Signer, Version 2.6.0.0“ mit der
Dokumentennummer bos-2011-04-03 vom 14.11.2011
Der Hersteller
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG
Am Fallturm 9
28359 Bremen
erklärt hiermit gemäß § 17 Abs. 4 Satz 2 SigG1 in Verbindung mit § 15 Abs. 5 Satz 1 SigV2,
dass die o.g. Herstellererklärung für die Signaturanwendungskomponente
Governikus Signer, Version 2.6.0.0
auf die Nachfolgeversion
Governikus Signer, Version 2.6.0.1
erweitert wurde und die Nachfolgeversion die nachstehend genannten Anforderungen des
Signaturgesetzes1 bzw. der Signaturverordnung2 in Teilen erfüllt.
Bremen, den 14.02.2012
gez. Dr. Stephan Klein
Geschäftsführer
Dieser Nachtrag mit der Dokumentennummer bos-2011-04-03-N1 besteht aus 11 Seiten.
1
Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz – SigG) vom 16. Mai 2001
(BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 17. Juli 2009 (BGBl. I S. 2091)
2
Verordnung zur elektronischen Signatur (Signaturverordnung – SigV) vom 16. November 2001 (BGBl. I S.
3074), zuletzt geändert durch die Verordnung vom 15. November 2010 (BGBl. I S. 1542)
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 1 von 11
Herstellererklärung für „Governikus Signer, Version 2.6.0.1“, Dokumentenversion 1.0
Bonn, 17. September 2014
