abl-10
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1858 – Mitteilungen, Qualifizierte elektronische Signatur, 10 2011
Teil A, Mitteilungen der Bundesnetzagentur –
seine SSEE und den entsprechenden Kartenleser zugreifen. Daher können nur autorisierte Per-
sonen qualifizierte elektronische Signaturen erstellen.
Durch den definierten Ablauf erfolgt vor Ausführung eines Stapelsignaturprozesses ein Hinweis an
den Signaturschlüsselinhaber. Es ist dafür zuständig, die zu signierenden Dokumente zu prüfen
und sie bei positivem Befund in sein eigenes Signaturverzeichnis zu übernehmen. Nur der Signa-
turschlüsselinhaber hat schreibenden Zugriff auf sein Signaturverzeichnis, d.h. nur er selbst kann
dort Dokumente zur Signatur ablegen. Erst nach diesem Vorgang können die Dateien vom Signa-
tursystem aufgenommen und mit einer qualifizierten elektronischen Signatur des entsprechenden
Signaturschlüsselinhabers versehen werden. Somit ist der Signaturschlüsselinhaber über alle
Signaturvorgänge mit seiner SSEE informiert und hat die Kontrolle darüber, dass nur gleichwerti-
ge Dokumente zum vorgesehenen Zweck signiert werden.
In folgenden Fällen erhält der Signaturschlüsselinhaber eine Email:
- Wenn seine SSEE aus dem Kartenleser entfernt wird oder
- wenn sein Kartenleser die Verbindung zum Signaturserver verliert oder
- wenn die Zugriffsberechtigungen für sein persönliches Signatureingabeverzeichnis geändert
werden.
3.5 Signaturverifikation
Das Produkt Computershare PKI Secure Docs 1.0.1 führt eine Online-Signaturverifikation anhand
einer Prüfung der Zertifikatssperrliste durch. Die generierten Berichte können archiviert werden, um
den Anforderungen zur Speicherung von Nachweisen bezüglich der Verifikation von signierten Doku-
menten gerecht zu werden.
Signaturprüfberichte können mit einem qualifizierten Zeitstempel erzeugt werden. Zur Nutzung dieser
Funktion wird der Zugang zu einem qualifizierten Zeitstempel-Service RFC 3161 über HTTP/HTTPS
benötigt.
Gemäß SigG § 17 Abs. 2 Satz 2 Nr. 1 bis 5 beinhalten die Prüfberichte folgende Daten:
Name und Fingerabdruck (SHA-256 Hash-Code) der PDF-Datei, deren qualifizierte elektronische
Signatur verifiziert wurde
Kennzeichen ‘Signatur gültig’ (Ja/Nein) bzw. ‚Signature Valid‘ (Yes/No), das angibt, ob die signier-
ten Daten nachträglich geändert wurden oder nicht
Informationen über den Inhaber des bei Erstellung der qualifizierten elektronischen Signatur ver-
wendeten Signaturschlüssels
Inhalt des qualifizierten Zertifikats, das für die qualifizierte elektronische Signatur verwendet wurde
Ergebnis der Zertifikatsvalidierung (Validiert: Ja/Nein bzw. Validated: Yes/No)
Qualifizierte Zertifikate werden durch Anwendung des Kettenmodels validiert. Das Diagramm in Abbil-
dung 2 zeigt den Signaturprüfungsprozess. Es ist zu beachten, dass nur bei positiver Signaturprüfung
ein Signaturprüfbericht erstellt wird; im Fehlerfall wird kein Signaturprüfbericht erzeugt, sondern nur
eine Fehlerdatei erstellt.
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 10 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
10 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1859
Teil A, Mitteilungen der Bundesnetzagentur –
Abbildung 2: Computershare PKI Secure Docs 1.0.1 Signaturprüfungsprozess
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 11 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1860 – Mitteilungen, Qualifizierte elektronische Signatur, 10 2011
Teil A, Mitteilungen der Bundesnetzagentur –
4 Erfüllung der Anforderungen des Signaturgesetzes (SigG) und der Signaturverordnung
(SigV)
Das Produkt Computershare PKI Secure Docs 1.0.1 erfüllt die nachfolgend aufgeführten Anforderun-
gen des SigG:
Referenz Gesetzestext Beschreibung
§ 17 Abs. 2 Für die Darstellung zu signierender Daten Durch den festgelegten Prozessablauf
Satz 1 sind Signaturanwendungskomponenten sowie die Konfiguration der Verzeichniszu-
erforderlich, die die Erzeugung einer qua- griffsrechte ist sichergestellt, dass nur der
lifizierten elektronischen Signatur vorher Signaturschlüsselinhaber Dokumente zur
eindeutig anzeigen und feststellen las- Signatur freigeben kann. Er hat die Mög-
sen, auf welche Daten sich die Signatur lichkeit und die Pflicht, zu signierende
bezieht. Dokumente zu prüfen, bevor er sie an das
Signatursystem übergibt. Vgl. hierzu Ab-
schnitt 3.2.
§ 17 Abs. 2 Für die Überprüfung signierter Daten sind
Satz 2 Signaturanwendungskomponenten erfor-
derlich, die feststellen lassen
§ 17 Abs. 2 1. auf welche Daten sich die Signatur Diese Anforderung wird durch den Prüfbe-
Satz 2 bezieht, richt erfüllt, welcher Namen und
Nummer 1 Fingerabdruck der PDF-Datei enthält, de-
ren qualifizierte elektronische Signatur
verifiziert wurde.
§ 17 Abs. 2 2. ob die signierten Daten unverändert Diese Anforderung wird durch den Prüfbe-
Satz 2 sind, richt erfüllt, der ein Kennzeichen ‘Signatur
Nummer 2 Gültig’ (Ja/Nein) bzw. ‚Signature Valid‘
(Yes/No) enthält, an dem zu erkennen ist,
ob die signierten Daten verändert wurden.
Eine detaillierte Darstellung des Signatur-
prüfungsprozesses enthält Abschnitt 3.5.
§ 17 Abs. 2 3. welchem Signaturschlüssel-Inhaber Diese Anforderung wird durch den Prüfbe-
Satz 2 die Signatur zuzuordnen ist, richt erfüllt, welcher Informationen zum
Nummer 3 Signaturschlüsselinhaber enthält.
§ 17 Abs. 2 4. welche Inhalte das qualifizierte Zerti- Diese Anforderung wird durch den Prüfbe-
Satz 2 fikat, auf dem die Signatur beruht, richt erfüllt, welcher die Attribute des
Nummer 4 und zugehörige qualifizierte Attribut- qualifizierten Zertifikats enthält, das zur
Zertifikate aufweisen und Erstellung der qualifizierten elektronischen
Signatur verwendet wurde.
§ 17 Abs. 2 5. zu welchem Ergebnis die Nachprü- Diese Anforderung wird durch den Prüfbe-
Satz 2 fung von Zertifikaten nach § 5 Abs. 1 richt erfüllt, welcher die Ergebnisse der
Nummer 5 Satz 3 geführt hat. Zertifikatsvalidierung enthält (Validiert:
Ja/Nein bzw. Validated: Yes/No). Eine
detaillierte Darstellung des Signaturprü-
fungsprozesses enthält Abschnitt 3.5.
§ 17 Abs. 2 Signaturanwendungskomponenten müs- Zu signierende oder signierte Daten kön-
Satz 3 sen nach Bedarf auch den Inhalt der zu nen mit dem Adobe Reader eingesehen
signierenden oder signierten Daten hin- werden, da es sich um PDF-Dateien – mit
reichend erkennen lassen. ggf. eingebetteten qualifizierten elektroni-
schen Signaturen – handelt.
§ 17 Abs. 2 Die Signaturschlüssel-Inhaber sollen Weitere Maßnahmen zur Sicherheit der
Satz 4 solche Signaturanwendungskomponen- qualifizierten elektronischen Signaturen
ten einsetzen oder andere geeignete werden in Abschnitt 5 beschrieben.
Maßnahmen zur Sicherheit qualifizierter
elektronischer Signaturen treffen.
Tabelle 4: Erfüllung der Anforderungen des SigG
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 12 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
10 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1861
Teil A, Mitteilungen der Bundesnetzagentur –
Das Produkt Computershare PKI Secure Docs 1.0.1 erfüllt die nachfolgend aufgeführten Anforderun-
gen der SigV:
Referenz Verordnungstext Beschreibung
§ 15 Abs. 2 Signaturanwendungskomponenten nach
Satz 1 § 17 Abs. 2 des Signaturgesetzes müs-
sen gewährleisten, dass
§ 15 Abs. 2 1. bei der Erzeugung einer qualifizierten
Satz 1 elektronischen Signatur
Nummer 1
§ 15 Abs. 2 a) die Identifikationsdaten nicht preis- Diese Anforderung wird durch die Verwen-
Satz 1 gegeben und diese nur auf der dung von zertifizierten SSEEs und
Nummer jeweiligen sicheren Signaturerstel- Kartenlesern erfüllt.
1a) lungseinheit gespeichert werden,
§ 15 Abs. 2 b) eine Signatur nur durch die berech- Durch folgende Maßnahmen wird sicher-
Satz 1 tigt signierende Person erfolgt, gestellt, dass eine Signatur nur durch die
Nummer berechtigt signierende Person erfolgt:
1b) Der Einsatz eines Kartenlesers mit
einer sicheren PIN-Nummerneingabe
und einer sicheren Signaturerstel-
lungseinheit (Signaturkarte) stellt
sicher, dass nur der Signaturschlüssel-
inhaber eine qualifizierte elektronische
Signatur erstellen kann. Die PIN-
Nummer der SSEE wird vom Signatur-
schlüsselinhaber selbst vergeben und
ist nur dem Signaturschlüsselinhaber
bekannt.
Die SSEE und der Kartenleser eines
Signaturschlüsselinhabers sind in ei-
nem verschlossenen Schrank
untergebracht, den nur der entspre-
chende Signaturschlüsselinhaber
öffnen kann.
Nur der Signaturschlüsselinhaber N
kann auf sein persönliches Signatur-
eingabeverzeichnis "Input (Karte N)"
schreibend zugreifen, d.h. nur er selbst
kann dort Dokumente zur Signatur ab-
legen; vgl. Prozessablaufbeschreibung
in Abschnitt 3.2.
§ 15 Abs. 2 c) die Erzeugung einer Signatur vorher Durch den festgelegten Prozessablauf
Satz 1 eindeutig angezeigt wird und sowie die Konfiguration der Verzeichniszu-
Nummer griffsrechte ist sichergestellt, dass nur der
1c) Signaturschlüsselinhaber Dokumente zur
Signatur freigeben kann. Er hat die Mög-
lichkeit und die Pflicht, zu signierende
Dokumente zu prüfen, bevor er sie an das
Signatursystem übergibt. Vgl. hierzu Ab-
schnitt 3.2.
§ 15 Abs. 2 2. bei der Prüfung einer qualifizierten
Satz 1 elektronischen Signatur
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 13 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1862 – Mitteilungen, Qualifizierte elektronische Signatur, 10 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Referenz Verordnungstext Beschreibung
Nummer 2
§ 15 Abs. 2 a) die Korrektheit der Signatur zuver- Die Gültigkeit der qualifizierten elektroni-
Satz 1 lässig geprüft und zutreffend schen Signatur wird durch die zugehörigen
Nummer angezeigt wird und Funktionen der Aloaha PDF Bibliothek bzw.
2a) des Microsoft Windows Betriebssystems
verifiziert. Der Abschnitt “Document Signa-
tures” im Prüfbericht enthält den Text
“Signature Valid: Yes” ausschließlich im
Falle einer validierten qualifizierten elektro-
nischen Signatur, vgl. Abschnitt 3.5.
Das qualifizierte Zertifikat, das für die quali-
fizierte elektronische Signatur verwendet
wurde, wird durch eine OCSP-Anfrage über
HTTP an den im Zertifikat spezifizierten
OCSP-Responder (Certificate Revocation
List Publishing Point) verifiziert. Das Prü-
fergebnis wird im Prüfbericht angegeben:
Der Abschnitt ”Signature Certificate De-
tails” des Absatzes “Document Signatures“
beinhaltet den Text „Validated: Yes“ nur im
Falle einer Validierung des qualifizierten
Zertifikats, vgl. Abschnitt 3.5. Weiterhin
enthält der Prüfbericht die Gültigkeitsdauer
des qualifizierten Zertifikats (“Valid
From:…“, „Valid To:…“).
§ 15 Abs. 2 b) eindeutig erkennbar wird, ob die Der Prüfbericht enthält das Ergebnis der
Satz 1 nachgeprüften qualifizierten Zertifika- Zertifikatsvalidierung in Textform (“Vali-
Nummer te im jeweiligen Zertifikat-Verzeichnis dated: Yes” oder “Validated: No”), vgl.
2b) zum angegebenen Zeitpunkt vorhan- Abschnitt 3.5.
den und nicht gesperrt waren.
§ 15 Abs. 4 Sicherheitstechnische Veränderungen an Das Produkt Computershare PKI Secure
Produkten für qualifizierte elektronische Docs 1.0.1 ist wie folgt gegen Veränderun-
Signaturen nach den Absätzen 1 bis 3 gen abgesichert:
müssen für den Nutzer erkennbar wer- Signaturkarten: Verwendung von Stan-
den.
dard-Signaturkarten (SSEEs), die nach
SigG bestätigt sind.
Kartenleser: Verwendung von Stan-
dard- Kartenlesern mit Bestätigung
nach SigG
Server-Betriebssystem, Software-
Installation und -Konfiguration: Es gibt
SHA-256 Hash-Werte für die Setup-
Routinen, die vor Installation der Soft-
ware überprüft werden müssen. Der
Zugriff auf den Server ist stark be-
schränkt und nur einer kleinen Gruppe
von namentlich bekannten Mitarbeitern
(Systemadministratoren) erlaubt, vgl.
auch Abschnitt 5.1.1.
Tabelle 5: Erfüllung der Anforderungen der SigV
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 14 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
10 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1863
Teil A, Mitteilungen der Bundesnetzagentur –
Das Produkt Computershare PKI Secure Docs 1.0.1 erfüllt die Anforderungen an schwach werdende
Algorithmen und qualifizierte Zeitstempel wie folgt:
Anforderung Erfüllung und Verhalten der Software Compu-
tershare PKI Secure Docs 1.0.1
a) Abgelaufene Algorithmen: Das Produkt Computershare PKI Secure Docs
1.0.1 nutzt ausschließlich das Signaturverfahren
Die Prüfung einer Signatur durch eine Signa- RSA-2048, das gemäß der „Bekanntmachung
turanwendungskomponente (SAK) für qualifizierte zur elektronischen Signatur nach dem Signatur-
elektronische Signaturen i.S.v. § 2 Nr. 11b SigG gesetz und der Signaturverordnung (Übersicht
3
muss bei abgelaufenen Algorithmen für den Nut- über geeignete Algorithmen)“ bis Ende 2017
zer deutlich anzeigen, dass die geprüfte Signatur als geeignet eingestuft ist. Spätestens im Jahr
mit einem Algorithmus erzeugt wurde, der nicht 2017 wird durch eine entsprechende Systemak-
mehr dem Stand der Wissenschaft und Technik tualisierung sichergestellt, dass weiterhin ein
entspricht, und sie somit einen verminderten Be- geeignetes Signaturverfahren eingesetzt wird.
weiswert hinsichtlich der Authentizität und Die Signaturprüfung im Produkt Computershare
Integrität des verbundenen Dokuments gegen- PKI Secure Docs 1.0.1 erfolgt ausschließlich im
über dem Signaturzeitpunkt besitzt. Weiter sollte Zusammenhang mit einer vorangehenden Sig-
der Zeitpunkt, zu dem der Algorithmus seine Eig- naturerstellung durch dasselbe Produkt. Somit
nung verloren hat, zutreffend angezeigt werden. ist sichergestellt, dass nur Signaturen geprüft
Unspezifische Aussagen zu abgelaufene Algo- werden, die mit dem Signaturverfahren RSA-
rithmen sind nicht zulässig. 2048 erzeugt wurden. Dieses Signaturverfahren
ist bis Ende 2017 als geeignet eingestuft, d.h. es
erfolgt im Produkt Computershare PKI Secure
Docs keine Prüfung einer schwachgewordenen
Signatur.
b) Nicht implementierte Algorithmen: Die Signaturprüfung im Produkt Computershare
PKI Secure Docs 1.0.1 erfolgt ausschließlich im
Ist bei der Prüfung einer Signatur ein Algorithmus Zusammenhang mit einer vorangehenden Sig-
zu verwenden, der in der Verifikationskomponen- naturerstellung durch dasselbe Produkt. Somit
te der SAK nicht implementiert ist, so muss dies ist sichergestellt, dass nur Signaturen geprüft
dem Nutzer zutreffend angezeigt werden. werden, die mit dem Signaturverfahren RSA-
Unspezifische Aussagen zu nicht implementierten 2048 erzeugt wurden. Dieses Signaturverfahren
Algorithmen sind nicht zulässig. ist in der Verifikationskomponente der SAK im-
plementiert. Vgl. hierzu auch die vorangehende
Begründung.
c) Qualifizierte Zeitstempel: Das Produkt Computershare PKI Secure Docs
1.0.1 erzeugt Zeitstempel für die Signaturprüfbe-
Tragen Daten einer qualifizierten Signatur, bei richte, um den genauen Zeitpunkt der
deren Verifikation zu erkennen ist, dass der Sig- Signaturprüfung nachweisen zu können. Die
naturprüfschlüssel zu einem Zeitstempel-Zertifikat Anforderungen an qualifizierte Zeitstempel be-
gehört, so ist dies dem Nutzer zutreffend anzu- ziehen sich jedoch auf Zeitstempel signierter
zeigen. Der Zeitpunkt, der im qualifizierten Daten, die bei der Verifikation anzuzeigen sind.
Zeitstempel enthalten ist, ist dem Nutzer ebenfalls Das Produkt Computershare PKI Secure Docs
darzulegen. erzeugt bei der Signaturerstellung keine qualifi-
Solange kein standardisiertes Verfahren für die zierten Zeitstempel. Es wird auf eine Anzeige
Einbindung von qualifizierten Zeitstempeln exis- qualifizierter Zeitstempel verzichtet, da die Sig-
tiert, ist es ausreichend, wenn das Produkt seine naturprüfung im Produkt Computershare PKI
selbst integrierten qualifizierten Zeitstempel aus- Secure Docs 1.0.1 nur im Zusammenhang mit
3
Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung
(Übersicht über geeignete Algorithmen) vom 22. Dezember 2010, veröffentlicht am 01. Februar 2011
im Bundesanzeiger Nr. 17, Seite 383, online verfügbar auf den Internetseiten der Bundesnetzagentur
unter
http://www.bundesnetzagentur.de/cae/servlet/contentblob/192414/publicationFile/10008/2011AlgoKat
pdf.pdf
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 15 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1864 – Mitteilungen, Qualifizierte elektronische Signatur, 10 2011
Teil A, Mitteilungen der Bundesnetzagentur –
werten kann. Qualifizierte Zeitstempel, die aus einer vorangehenden Signaturerstellung durch
Fremdprodukten und damit in einer ev. proprietä- dasselbe Produkt eingesetzt wird.
ren Datenstruktur vorliegen, müssen nicht
zwingend durch das Produkt ausgewertet wer-
den.
Unspezifische Aussagen zu qualifizierten Zeit-
stempeln sind nicht zulässig.
Tabelle 6: Erfüllung der Anforderungen an schwach werdende Algorithmen und qualifizierte Zeitstem-
pel
Das Produkt Computershare PKI Secure Docs 1.0.1 erfüllt weitere Anforderungen, die sich aus FAQ
28 der Bundesnetzagentur4 ergeben, wie folgt:
Anforderung Erfüllung und Verhalten der Software Compu-
tershare PKI Secure Docs 1.0.1
Der Beweiswert einer Signatur kann durch recht- Das Produkt Computershare PKI Secure Docs
zeitige, vor dem Schwachwerden eines 1.0.1 nutzt ausschließlich das Signaturverfahren
Algorithmus erzeugte Übersignatur erhalten wer- RSA-2048, das bis Ende 2017 als geeignet ein-
den. gestuft ist. Somit sind bis zu diesem Zeitpunkt
auch keine Übersignaturen erforderlich.
Der Anwender muss bei der Signaturprüfung den Die Frage nach dem Prüfzeitpunkt ist unkritisch,
Prüfzeitpunkt angeben können: Aktueller Zeit- da beim Produkt Computershare PKI Secure
punkt oder vermeintlicher oder bewiesener Docs 1.0.1 stets der aktuelle Zeitpunkt annä-
Signierzeitpunkt. hernd der Signierzeitpunkt ist. Wichtig ist, dass
der Prüfzeitpunkt im Prüfprotokoll hinreichend
ersichtlich ist. Dies wird durch die Angabe des
genauen Prüfzeitpunktes im Signaturprüfbericht
im Abschnitt "Examination Details" unter "Date /
Time" sichergestellt.
Tabelle 7: Erfüllung weiterer Anforderungen aus FAQ 28 der Bundesnetzagentur
5 Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
5.1.1 Hosting
Die Signaturserver müssen in einer gesicherten Umgebung betrieben werden. Der Zugang zur gesi-
cherten Umgebung muss sehr restriktiv gehandhabt werden, eine Protokollierung und Überwachung
des Zugangs zum Serverraum wird vorausgesetzt.
4
Häufig gestellte Fragen zur Elektronischen Signatur (FAQ), Internetseiten der Bundesnetzagentur,
online verfügbar unter
http://www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/QES/FAQ/faq_node.html
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 16 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
10 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1865
Teil A, Mitteilungen der Bundesnetzagentur –
5.1.2 Server Hardware
Die empfohlene (minimale) Server-Hardware ist ein HP DL 360 G3 (Xeon 2.8 GHz / 533 Dual-
Prozessor) mit unterbrechungsfreier Stromversorgung, 1.5 GB RAM, 2 x 36 GB HDD in RAID 1 (oder
vergleichbar).
5.1.3 Betriebssystem
Computershare PKI Secure Docs 1.0.1 muss auf einem Microsoft Windows Server 2003 Service Pack
1 Betriebssystem installiert werden. Das Betriebssystem muss vor der Einrichtung des Produkts neu
installiert werden, um Sicherheitsrisiken, die eventuell durch frühere Installationen auf dem Server
bestehen, zu vermeiden.
5.1.4 Software von Fremdherstellern
Computershare PKI Secure Docs 1.0.1 benutzt folgende Softwareprodukte von Fremdherstellern, die
vorab auf dem Server installiert werden müssen:
Aloaha PDF Suite: Externe Bibliothek zur Erzeugung qualifizierter elektronischer Signaturen, wei-
tere Details unter http://www.aloaha.de/
QSoft RAMDisk: Virtual Drive Software, siehe
http://members.fortunecity.com/ramdisk/RAMDisk/ramdriv001.htm
5.1.5 Computershare PKI Secure Docs 1.0.1
Computershare PKI Secure Docs 1.0.1 ist das auf dem Server zu installierende Hauptsoftwarepro-
dukt. Bei der Systemkonfiguration ist zu beachten, dass der PIN-Gültigkeitszeitraum maximal 1
Stunde betragen darf.
5.1.6 Kartenleser
Einer der folgenden Kartenleser muss in Verbindung mit Computershare PKI Secure Docs 1.0.1 ver-
wendet werden:
CHIPDRIVE Pinpad Pro (baugleich mit SCM Microsystems SPR532)
Reiner SCT cyberJack e-com
Die Kartenleser werden über den USB-Port des/der Server(s) verbunden. Die Kartenleser sind so zu
installieren, dass nur der jeweilige Signaturschlüsselinhaber selbst Zugriff zu seiner SSEE und seinem
Kartenleser hat. Dies kann z.B. durch die Verwendung von Schlüsselkästen erreicht werden.
5.1.7 SSEEs (Signaturkarten)
Computershare PKI Secure Docs 1.0.1 kann mit Signaturkarten “D-TRUST multicard SHA-256” für
Stapelsignaturen verwendet werden. Diese Signaturkarten können von D-TRUST erworben werden:
https://www.d-trust.net/. In die Zertifikate der Signaturschlüsselinhaber ist ein Hinweis auf die Organi-
sationszugehörigkeit aufzunehmen. Dadurch können die Signaturschlüsselinhaber die Zertifikate nicht
für private Zwecke nutzen. Es ist weiterhin sehr wichtig, dass nur die Signaturschlüsselinhaber die
zugehörigen PIN-Nummern kennen.
Das Produkt Computershare PKI Secure Docs 1.0.1 darf ausschließlich innerhalb der oben beschrie-
benen Hardware- und Softwareausstattung und Konfiguration eingesetzt werden.
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 17 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1866 – Mitteilungen, Qualifizierte elektronische Signatur, 10 2011
Teil A, Mitteilungen der Bundesnetzagentur –
5.2 Anbindung an ein Netzwerk
5.2.1 Server-Kommunikationsverbindungen
Der Signaturserver benötigt einen Zugang zu einem qualifizierten Zeitstempel-Service RFC 3161 über
HTTP bzw. HTTPS. Der Zeitstempel-Service wird von Dritten betrieben.
Der Server muss bei Erstellung der Prüfberichte OCSP-Routinen (Online Certificate Status Protocol)
ausführen. Für OCSP ist ein HTTP-Zugang zum Internet erforderlich.
5.2.2 Verzeichnisbasierte Schnittstelle
Zum Austausch der PDF-Dateien (unsignierte und signierte) mit dem Server werden ausschließlich
Windows File Shares genutzt, deren Zugriffsrechte wie folgt eingeschränkt werden müssen:
Je Signaturvorhaben gleichartiger Dokumente sind die Zugriffsrechte individuell zu konfigurieren,
so dass sichergestellt werden kann, dass nur berechtigte Personen auf die entsprechenden Ver-
zeichnisse zugreifen können. Dies kann z.B. durch den Einsatz von Active Directory Gruppen
erreicht werden.
Über entsprechend konfigurierte Zugriffsrechte muss sichergestellt werden, dass nur der Signa-
turschlüsselinhaber auf sein persönliches Signatureingabeverzeichnis zugreifen kann. Der
Signaturschlüsselinhaber ist bei einer Änderung der Zugriffsrechte für sein persönliches Signatur-
eingabeverzeichnis unverzüglich zu informieren.
Das ausschließliche Zugriffsrecht des Signaturschlüsselinhabers auf sein persönliches Signatureinga-
beverzeichnis ist ein zentraler Bestandteil des Sicherheitskonzeptes im Produkt Computershare PKI
Secure Docs 1.0.1. Daher muss auch die Sicherheit der Netzwerkzugangskennungen der Signatur-
schlüsselinhaber durch folgende Maßnahmen gewährleistet werden:
Änderungen an Zugriffsrechten werden niemals automatisch durch Systeme ausgelöst, sondern
stets durch Administratoren durchgeführt.
Es erfolgt eine Protokollierung der Zugriffskontrolle, so dass Ausnahmen und andere sicherheits-
relevante Ereignisse bei Bedarf zurückverfolgt werden können. Dabei sind Benutzerkennung,
Datum, Uhrzeit und Zugangsgerät zu speichern. Die Protokolle müssen regelmäßig überprüft
werden.
Es ist ein zuverlässiger Prozess für neue sowie ausscheidende Mitarbeiter einzusetzen, so dass
nur berechtigte Personen Zugriff erhalten.
Änderungen an Zugriffsrechten müssen per Ticket-System beantragt und durch einen Vorgesetz-
ten freigegeben werden.
Es ist eine Passwortregelung zu definieren und technisch zu realisieren, welche die folgenden
Aspekte berücksichtigt:
- Benutzer müssen individuelle Passwörter verwenden.
- Benutzer können ihre Passwörter selbst wählen und ändern, sofern dies angemessen reali-
sierbar ist.
- Passwörter für Netzwerkkennungen müssen vom Benutzer nach einer festgelegten Zeitspan-
ne geändert werden. Die Änderung des Passwortes wird vom Zugangssystem nach Ablauf
der Zeitspanne erzwungen.
- Benutzer dürfen bereits zuvor verwendete Passwörter nicht nochmals einsetzen. Dies bezieht
sich mindestens auf die letzten 20 Passwörter.
- Passwörter müssen ein Mindestalter von einem Tag haben, bevor sie erneut geändert werden
dürfen.
- Passwörter müssen eine Mindestlänge von 8 Zeichen besitzen.
- Netzwerkzugangskennungen müssen nach höchstens 10 ungültigen Anmeldeversuchen ge-
sperrt werden.
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 18 von 22
Bonn, 25. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
10 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1867
Teil A, Mitteilungen der Bundesnetzagentur –
- Passwörter dürfen während der Eingabe nicht am Bildschirm dargestellt werden.
- Passwörter müssen verschlüsselt gespeichert werden.
- Bei Auslieferung voreingestellte Passwörter des Herstellers müssen nach Installation der
Software geändert werden.
Sofern auch ein Fernzugriff (VPN-Verbindung) auf das Netzwerk möglich ist werden folgende Maß-
nahmen vorausgesetzt:
Alle zum Fernzugriff eingesetzten Computer müssen mit Antiviren-Software ausgestattet sein.
Auf dem Computer muss ein vorgegebener VPN-Client installiert und konfiguriert sein.
Der Fernzugriff ist erst nach Anmeldung am VPN-Gateway und anschließender Anmeldung mit
einer gültigen Netzwerkzugangskennung möglich.
Nur Benutzer mit Fernzugriffsberechtigung können den Fernzugriff nutzen.
5.2.3 Netzwerk-Infrastruktur
Die folgende Abbildung zeigt eine vereinfachte Netzwerk-Infrastruktur, um eine Übersicht über die
Server-Interaktionen und Protokolle zu erhalten.
Abbildung 3: Server-Interaktionen und Protokolle
Aus Sicherheitsgründen darf keine direkte Verbindung zwischen dem Signaturserver und dem Internet
bestehen, stattdessen müssen Firewalls eingesetzt werden.
Die in Abschnitt 5.2 gemachten Auflagen müssen eingehalten werden.
Herstellererklärung zu Computershare PKI Secure Docs 1.0.1, Version 1.0
Seite 19 von 22
Bonn, 25. Mai 2011
