abl-04
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 737
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
Referenz Gesetzestext Beschreibung
§ 17 Abs. 2 Für die Darstellung zu signierender Daten Zur Umsetzung dieser gesetzlichen Anfor-
Satz 1 sind Signaturanwendungskomponenten derungen ist eine entsprechende Anzeige
erforderlich, die die Erzeugung einer qua- implementiert, die, bevor eine Signatur er-
lifizierten elektronischen Signatur vorher zeugt wird, anzeigt
eindeutig anzeigen und feststellen lassen,
auf welche Daten sich die zu erstel-
auf welche Daten sich die Signatur be-
lende Signatur bezieht und
zieht.
welchem Signaturschlüssel-Inhaber
die zu erstellende Signatur zuzuord-
nen 15 ist.
§ 17 Abs. 2 Für die Überprüfung signierter Daten sind Zu 1., 3., 4. und 5.:
Satz 2 Signaturanwendungskomponenten erfor-
Zur Umsetzung dieser gesetzlichen Anfor-
derlich, die feststellen lassen,
derungen ist eine entsprechende Anzeige
1. auf welche Daten sich die Signatur implementiert, die anzeigt
bezieht,
auf welche Daten sich die Signatur be-
2. ob die signierten Daten unverändert zieht,
sind,
welchen Inhalt die signierten oder zu
3. welchem Signaturschlüssel-Inhaber signierenden Daten aufweisen,
die Signatur zuzuordnen ist,
welchem Signaturschlüssel-Inhaber
4. welche Inhalte das qualifizierte Zerti- die Signatur zuzuordnen ist,
fikat, auf dem die Signatur beruht,
welche Inhalte das zugehörige qualifi-
und zugehörige qualifizierte Attribut-
zierte (Attribut)-Zertifikat aufweist so-
Zertifikate aufweisen und
wie
5. zu welchem Ergebnis die Nachprü-
das Ergebnis der Verifikation und Vali-
fung von Zertifikaten nach § 5 Abs. 1
dierung (siehe oben), was insbesonde-
Satz 3 geführt hat.
re beinhaltet, ob die signierten Daten
unverändert sind und das Zertifikat
gültig ist (vorhanden und nicht ge-
sperrt).
Zu 2.:
Über eine kryptografische Signaturprüfung
(Integritätsprüfung) wird festgestellt, ob die
Signatur bzw. die Daten, auf die sich die
Signatur bezieht, unverändert sind.
§ 17 Abs. 2 Signaturanwendungskomponenten müs- Zur Umsetzung dieser gesetzlichen Anfor-
Satz 3 sen nach Bedarf auch den Inhalt der zu derungen ist eine entsprechende Funktion
signierenden oder signierten Daten hin- implementiert, die bei Bedarf
reichend erkennen lassen.
den Inhalt von zu signierenden Daten
in den Formaten Plain-Text (UTF-8)
15
Trifft für die Varianten „Governikus Signer, Version 2.2.0.0 Professional Edition" und „Governikus Signer,
Version 2.2.0.0 Integration Edition" nicht bei der Erstellung von Multisignaturen zu. In diesem Fall erfolgt die
Anzeige, welchem Signaturschlüssel-Inhaber die zu erstellenden Signaturen zuzuordnen sind, innerhalb der
verwendeten externen Signatur-Anwendungskomponente „Governikus, Version 3.3.1.0 (Basis)“
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 21 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
738 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
und TIFF sicher anzeigt,
den signierten Inhalt von
CMS/PKCS#7 Signaturdateien (deta-
ched oder enveloped) in den Formaten
Plain-Text (UTF-8) und TIFF sicher
anzeigt.
Tabelle 5: Erfüllung der Anforderungen des SigG
Das Produkt „Governikus Signer, Version 2.2.0.0“ erfüllt die nachfolgenden Anforderungen der SigV bei
Verwendung einer lokalen Signaturinfrastruktur:
Referenz Gesetzestext Beschreibung
§ 15 Abs. 2 Signaturanwendungskomponenten nach Zu a)
Nr. 1 § 17 Abs. 2 des Signaturgesetzes müssen
Die Erzeugung einer qualifizierten elektroni-
gewährleisten, dass […] bei der Erzeu-
schen Signatur erfolgt ausschließlich in
gung einer qualifizierten elektronischen
einer SSEE.
Signatur
Zu b)
a) die Identifikationsdaten nicht preisge-
geben und diese nur auf der jeweiligen Zur Umsetzung der gesetzlichen Anforde-
sicheren Signaturerstellungseinheit ge- rungen bei der Verwendung einer lokal an-
speichert werden, geschlossenen SSEE sind in allen Varian-
ten entsprechende Funktionen implemen-
b) eine Signatur nur durch die berechtigt
tiert, die sicherstellen, dass
signierende Person erfolgt,
sich der Signaturschlüssel-Inhaber zur
c) die Erzeugung einer Signatur vorher
Erstellung von qualifizierten elektroni-
eindeutig angezeigt wird [….].
schen Signaturen immer durch die
Eingabe der Signatur-PIN über das
PIN-Pad des Chipkartenlesers authen-
tisiert,
die Authentisierung nur eine einzige
Signatur ermöglicht bzw. bei Verwen-
dung einer Stapelsignaturkarte nur die
Signaturerstellung für den zuvor be-
stimmten Stapel zulässt,
eine Veränderung der Dateiliste (Sta-
pel) nach Beginn des Signaturvor-
gangs und der Authentisierung nicht
möglich ist,
nach der Visualisierung durchgeführte
Veränderungen an den zu signieren-
den Dateien angezeigt werden.
Zur Umsetzung der gesetzlichen Anforde-
rungen bei der Erstellung von Multisignatu-
ren über die externe Signatur-
Anwendungskomponente „Governikus,
Version 3.3.1.0 (Basic)“ sind in den Varian-
ten „Governikus Signer, Version 2.2.0.0
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 22 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 739
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
Professional Edition“ und „Governikus
Signer, Version 2.2.0.0 Integration Edition“
entsprechende Funktionen implementiert,
die sicherstellen, dass
zur Nutzung eines auf der externe
Signatur-Anwendungskomponente
„Governikus, Version 3.3.1.0 (Basic)“
eingerichteten und freigegebenen Kon-
tingents von Signaturen eine Authenti-
sierung des Benutzers durch eine PIN-
Eingabe erforderlich ist.
die Authentisierung nur die Signaturer-
stellung für den zuvor bestimmten
Stapel zulässt,
eine Veränderung der Dateiliste (Sta-
pel) nach Beginn des Signaturvor-
gangs und der Authentisierung nicht
möglich ist,
nach der Visualisierung durchgeführte
Veränderungen an den zu signieren-
den Dateien angezeigt werden.
Zu c)
Der Benutzer muss zum Erstellen der Sig-
natur explizit eine mit der Bezeichnung
"Signieren" versehene Schaltfläche betäti-
gen, wodurch die Erzeugung einer Signatur
vorher eindeutig angezeigt wird.
Bei der Verwendung einer Stapelsignatur-
karte wird dem Benutzer ein zusätzlicher
Hinweis angezeigt, dass die Signaturerstel-
lung für alle ausgewählten Dateien mit nur
einer PIN-Eingabe erfolgt.
Bei der Erstellung von Multisignaturen über
die externe Signatur-Anwendungs-
komponente „Governikus, Version 3.3.1.0
(Basic)“ werden in den Varianten
„Governikus Signer, Version 2.2.0.0 Profes-
sional Edition“ und „Governikus Signer,
Version 2.2.0.0 Integration Edition“ ein zu-
sätzlicher Hinweis angezeigt, dass die Go-
vernikus-Komponente NetSigner zur Signa-
turerstellung verwendet wird.
§ 15 Abs. 2 Signaturanwendungskomponenten nach Zu a)
Nr. 2 § 17 Abs. 2 des Signaturgesetzes müssen
Zur Umsetzung der gesetzlichen Anforde-
gewährleisten, dass […] bei der Prüfung
rungen ist eine entsprechende Anzeige
einer qualifizierten elektronischen Signa-
implementiert, die anzeigt
tur
welchen Inhalt die signierten Daten
a) die Korrektheit der Signatur zuverlässig
aufweisen,
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 23 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
740 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
geprüft und zutreffend angezeigt wird und
welchem Signaturschlüssel-Inhaber
b) eindeutig erkennbar wird, ob die nach- die Signatur zuzuordnen ist,
geprüften qualifizierten Zertifikate im je-
welches Ergebnis die Verifikation und
weiligen Zertifikat-Verzeichnis zum ange-
Validierung liefert, insbesondere
gebenen Zeitpunkt vorhanden und nicht
gesperrt waren. o ob die signierten Daten unverän-
dert sind und
o ob das zugehörige qualifizierte
Zertifikat gültig ist.
Zu b)
Zur Umsetzung der gesetzlichen Anforde-
rungen ist eine entsprechende Anzeige
implementiert, die das Ergebnis einer An-
frage der zuständigen Verzeichnisdienste,
ob ein qualifiziertes Zertifikat zum angege-
benen Zeitpunkt gültig war, anzeigt.
§ 15 Abs. 4 Sicherheitstechnische Veränderungen an Die Anforderungen zur Erkennung sicher-
technischen Komponenten nach den Ab- heitstechnischer Veränderungen werden
sätzen 1 bis 3 müssen für den Nutzer durch die Signaturen der Software und die
erkennbar werden. Auflagen zum Betrieb realisiert, vgl. Ab-
schnitt 5.
Tabelle 6: Erfüllung der Anforderungen der SigV
Darüber hinaus ist § 17 Abs. 2 Satz 4 SigG („Die Signaturschlüssel-Inhaber sollen solche Signaturan-
wendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elekt-
ronischer Signaturen treffen.“) nicht direkt durch das Produkt „Governikus Signer, Version 2.2.0.0“ um-
setzbar.
Hinweise zu schwach werdenden Algorithmen und qualifizierten Zeitstempeln
Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG müssen auch dann eine zuverlässige Prü-
fung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten 16 , wenn die
geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und damit
als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel vorliegt.
Seitens der Bundesnetzagentur wurden die Anforderungen an Signaturanwendungskomponenten weiter
präzisiert, die das Produkt „Governikus Signer, Version 2.2.0.0“ aktuell wie folgt erfüllt:
Anforderung Erfüllung und Verhalten der Software
„Governikus Signer, Version 2.2.0.0“
a) Abgelaufene Algorithmen: Bei der Prüfung einer Signatur prüft das Pro-
16
Schreiben der Bundesnetzagentur „Hinweis im Zusammenhang mit der Prüfung von qualifizierten elektro-
nischen Signaturen, die auf ungeeigneten Algorithmen beruhen, und von qualifizierten Zeitstempeln“ vom
06.03.2009
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 24 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 741
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
Anforderung Erfüllung und Verhalten der Software
„Governikus Signer, Version 2.2.0.0“
dukt „Governikus Signer, Version 2.2.0.0“, ob
Die Prüfung einer Signatur durch eine Signaturan-
wendungskomponente (SAK) für qualifizierte elektro- die verwendeten kryptografischen Algorithmen
nische Signaturen i. S. v. § 2 Nr. 11b SigG muss bei – sowohl zum Zeitpunkt der Prüfung (Prüfzeit-
abgelaufenen Algorithmen für den Nutzer deutlich punkt) als auch zum Signierzeitpunkt – als ge-
anzeigen, dass die geprüfte Signatur mit einem Algo- eignet anzusehen sind. Bzgl. der Eignung kryp-
rithmus erzeugt wurde, der nicht mehr dem Stand der tografischer Algorithmen werden die Angaben
Wissenschaft und Technik entspricht, und sie somit des offiziellen Algorithmenkatalogs der Bun-
desnetzagentur genutzt. 17
einen verminderten Beweiswert hinsichtlich der Au-
thentizität und Integrität des verbundenen Dokuments
Das Prüfprotokoll, in dem die Ergebnisse der
gegenüber dem Signaturzeitpunkt besitzt. Weiter Prüfung zusammenfassend dem Benutzer dar-
sollte der Zeitpunkt, zu dem der Algorithmus seine gestellt werden, hebt Signaturen, deren zuge-
Eignung verloren hat, zutreffend angezeigt werden. hörige kryptografische Algorithmen zum Prüf-
oder zum Signierzeitpunkt als nicht mehr ge-
Unspezifische Aussagen zu abgelaufene Algorithmen
eignet anzusehen sind, entsprechend farblich
sind nicht zulässig.
hervor und weist den Benutzer darauf hin, dass
ein verwendeter Algorithmus zum Zeitpunkt der
Prüfung oder zum Signierzeitpunkt gemäß Al-
gorithmenkatalog nicht mehr für eine qualifizier-
te elektronische Signatur geeignet ist oder
war. 18 Außerdem zeigt das Prüfprotokoll an, bis
zu welchem Zeitpunkt die verwendeten Algo-
rithmen gemäß Algorithmenkatalog als geeignet
anzusehen sind, bzw. es waren.
b) Nicht implementierte Algorithmen: Sofern die Software "Governikus Signer, Versi-
on 2.2.0.0" eine Prüfung einer Signatur nicht
Ist bei der Prüfung einer Signatur ein Algorithmus zu (vollständig) durchführen kann, weil ein benötig-
verwenden, der in der Verifikationskomponente der ter kryptografischer Algorithmus nicht imple-
SAK nicht implementiert ist, so muss dies dem Nutzer mentiert ist, wird dies dem Benutzer entspre-
zutreffend angezeigt werden. chend angezeigt: Das Prüfprotokoll, in dem die
Ergebnisse der Prüfung zusammenfassend
Unspezifische Aussagen zu nicht implementierten
dem Benutzer dargestellt werden, hebt Signatu-
Algorithmen sind nicht zulässig.
ren, deren zugehörige kryptografische Algo-
rithmen nicht implementiert sind, entsprechend
hervor und weist den Benutzer darauf hin, dass
die Signatur nicht geprüft werden konnte, da
ein Algorithmus nicht implementiert ist.17
c) Qualifizierte Zeitstempel: Das Produkt „Governikus Signer, Version
17
Detaillierte Erläuterungen finden sich im Informationspapier zur Umsetzung des bos-Prüfprotokolls gemäß
FAQ 28 der BNetzA. (Vgl. Ausgegliederte Zusatzdokumentation)
18
Informationen zur graduellen und sukzessiven Einbuße des Beweiswertes der Signatur, sind dem beilie-
genden Dokument „bos-Prüfprotokoll mit Zertifikatsanzeige“ zu entnehmen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 25 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
742 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
Anforderung Erfüllung und Verhalten der Software
„Governikus Signer, Version 2.2.0.0“
2.2.0.0“ bietet die Möglichkeit, Zeitstempel, die
Tragen Daten einer qualifizierten Signatur, bei deren
mit dem Produkt Governikus Signer Professio-
Verifikation zu erkennen ist, dass der Signatur-
prüfschlüssel zu einem Zeitstempel-Zertifikat gehört, nal Edition angebracht wurden, zu prüfen.
so ist dies dem Nutzer zutreffend anzuzeigen. Der Das Prüfprotokoll zeigt den Inhalt des Zeit-
Zeitpunkt, der im qualifizierten Zeitstempel enthalten stempel-Zertifikats, den Zeitstempel-Zeitpunkt
ist, ist dem Nutzer ebenfalls darzulegen. sowie das Ergebnis der Verifikation des Zeit-
stempels inkl. des Ergebnisses der Validierung
Solange kein standardisiertes Verfahren für die Ein-
bindung von qualifizierten Zeitstempeln existiert, ist des Zeitstempel-Zertifikats.
es ausreichend, wenn das Produkt seine selbst inte-
grierten qualifizierten Zeitstempel auswerten kann.
Qualifizierte Zeitstempel, die aus Fremdprodukten
und damit in einer evt. proprietären Datenstruktur
vorliegen, müssen nicht zwingend durch das Produkt
ausgewertet werden.
Unspezifische Aussagen zu qualifizierten Zeitstem-
peln sind nicht zulässig.
Tabelle 7: Umsetzung der Anforderungen zu schwach werdenden Algorithmen und qualifizierten
Zeitstempeln
5 Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Für den Betrieb der Software „Governikus Signer, Version 2.2.0.0“ wird folgende Einsatzumgebung vor-
ausgesetzt:
AMD/Intel-PC mit mindestens
o 512 MB Hauptspeicher (RAM) und
o 260 MB Plattenplatz;
Betriebssystem:
o Microsoft Windows Vista, Windows XP oder Windows Server 2003 (jeweils mit aktuel-
lem Service Pack), oder
o openSUSE 10.3;
Darüber hinaus wird je nach Einsatzzweck folgende Einsatzumgebung vorausgesetzt:
Zur Erstellung von qualifizierten elektronischen Signaturen im Sinne von SigG (vgl. Tabelle 5) und SigV
(vgl. Tabelle 6) sind zwingend erforderlich:
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 26 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 743
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
Signaturkarte gemäß Tabelle 3, wobei die Auflagen aus der Bestätigung zu dem Produkt (siehe
Registriernummer in Tabelle 3) einzuhalten sind;
Chipkarten-Lesegerät gemäß Tabelle 3, wobei die Auflagen aus der Bestätigung zu dem Pro-
dukt (siehe Registriernummer in Tabelle 3) einzuhalten sind;
Nur für die PKS-Signaturkarte Netkey 3.0 unter Benutzung einer der beiden Kartenleser Reiner
SCT CyberJack e-com oder Reiner SCT CyberJack pinpad Version 3 ist beim „Governikus
Signer, Version 2.2.0.0“ die Funktionalität der PIN-Freischaltung und -Änderung möglich.
Zum Anbringen von Zeitstempeln mit der Variante „Governikus Signer, Version 2.2.0.0 Professional Edi-
tion“ wird darüber hinaus für den Betrieb eine der folgenden Einsatzumgebungen vorausgesetzt (gemäß
Tabelle 4: Zusätzliche SigG- und SigV-konforme Produkte
):
Produkt „Governikus, Version 3.3.1.0 (Basis)“ oder
Produkt „Governikus Service Components, Version 3.4.0.0“
Zur Erstellung von Multisignaturen mit den Varianten „Governikus Signer, Version 2.2.0.0 Professional
Edition“ oder „Governikus Signer, Version 2.2.0.0 Integration Edition“ wird für den Betrieb eine der fol-
genden Einsatzumgebungen vorausgesetzt (gemäß Tabelle 4: Zusätzliche SigG- und SigV-konforme
Produkte
):
Produkt „Governikus, Version 3.3.1.0 (Basis)“ oder
Produkt „Governikus Service Components, Version 3.4.0.0“
Zur Validierung von Zertifikaten (Online-Prüfung) im Sinne von SigG (vgl. Tabelle 5) und SigV (vgl.
Tabelle 6) ist darüber hinaus für den Betrieb eine der folgenden Einsatzumgebungen (gemäß Tabelle 4:
Zusätzliche SigG- und SigV-konforme Produkte
): zwingend erforderlich:
„Virtuelle Poststelle des Bundes, Version 2.2.2.6 (Verifikationsmodul)“ mit Komponente Verifika-
tionsserver und Produkt „Virtuelle Poststelle des Bundes, Version 2.2.2.6 (Basis) mit Kompo-
nente OCSP/CRL-Relay:
Produkt „Governikus, Version 3.3.1.0 (Basis)“ mit Komponente OCSP/CRL-Relay oder
Produkt „Governikus Service Components, Version 3.4.0.0“ mit Komponente OCSP/CRL-Relay
und optional mit Komponente Verifikationsserver
Für den Betrieb der Software „Governikus Signer, Version 2.2.0.0“ auf einem Terminalserver wird eine
der folgenden Umgebungen vorausgesetzt
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 27 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
744 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
Citrix Metaframe Presentation Server 4.5
Windows Terminal Server 2003
Das Produkt „Governikus Signer, Version 2.2.0.0“ darf ausschließlich innerhalb der oben beschriebenen
Hard- und Softwareausstattung eingesetzt werden.
5.2 Anbindung an ein Netzwerk
Für den Betrieb des Produktes „Governikus Signer, Version 2.2.0.0“ ist, je nach genutztem Funktions-
umfang, ein Netzwerk notwendig.
Bei Anbindung des Produktes an ein Netzwerk müssen die folgenden Maßnahmen zum Schutz beachtet
werden: Netzwerkverbindungen müssen so abgesichert sein, dass Angriffe erkannt bzw. unterbunden
werden – z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung geeigneter Anti-
Viren-Programme.
Für den Betrieb der Software „Governikus Signer, Version 2.2.0.0“ in einer Terminalserver-Umgebung
ist die Verbindung zwischen Client und Server über SSL bzw. TLS zu realisieren. Der Verbindungsauf-
bau ist durch gegenseitige Authentisierung über ausgetauschte Zertifikate zu schützen. Der Betrieb in
einer Terminalserver-Umgebung ist nur innerhalb eines Intranets erlaubt.
Zur Durchführung von Validierungen (Online-Prüfung) von Zertifikaten über eine direkte Verbindung zu
einem OCSP/CRL-Relay (vgl. 5.1) ist diese Verbindung über das Protokoll HTTPS mit einer Authentisie-
rung über zuvor ausgetauschte Zertifikate zu realisieren.
Zur Erstellung von Multisignaturen mit den Varianten „Governikus Signer, Version 2.2.0.0 Professional
Edition“ oder „Governikus Signer, Version 2.2.0.0 Integration Edition“ ist die Verbindung zu der Software
„Governikus“ (vgl. 5.1), über das Protokoll HTTPS zu realisieren. Der Nutzung der Software „Governi-
kus“ zur Erstellung von Multisignaturen ist nur innerhalb eines Intranets erlaubt.
Die in diesem Abschnitt gemachten Auflagen müssen eingehalten werden.
5.3 Auslieferung und Installation
Die Auslieferung erfolgt online per Download von einem Webserver.
Alle Dateien der Software werden vor der Auslieferung vom Hersteller mit einem Hashwert versehen,
um Schutz vor unerkannten nachträglichen Manipulationen zu bieten. Der Hashwert wird vom Hersteller
separat mitgeteilt.
Die Software „Governikus Signer, Version 2.2.0.0“ lässt sich über eine Installationsroutine einfach instal-
lieren. In der Installationsroutine werden einige Parameter zur Installation (Ort des Installationsverzeich-
nisses, Anlegen einer Desktopverknüpfung etc.) abgefragt. Mit dem Produkt „Governikus Signer, Versi-
on 2.2.0.0“ wird stets eine Java Runtime Environment (JRE) mitinstalliert. Diese wird ebenfalls im
Installationsverzeichnis abgelegt und beeinflusst somit andere Java-Installationen nicht.
Die Variante „Governikus Signer, Version 2.2.0.0 Integration Edition“ bietet darüber hinaus die Möglich-
keit, die für die Installation benötigten Parameter über eine Konfigurationsdatei vorzugeben.
5.4 Auflagen für den Betrieb des Produktes
Die Software „Governikus Signer, Version 2.2.0.0“ wird in einem „geschützten Einsatzbereich (Regelfall/
Standardlösung)“ (vgl. das Dokument der Bundesnetzagentur, „Einheitliche Spezifizierung der Einsatz-
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 28 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 745
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
komponenten für Signaturanwendungskomponenten – Arbeitsgrundlage für Entwickler/Hersteller und
Prüf-/Bestätigungsstellen“, Version 1.4, 19.07.2005) betrieben.
Für den Betrieb der Software „Governikus Signer, Version 2.2.0.0“ in einer Terminalserver-Umgebung
gelten die nachfolgenden Auflagen sowohl für den Terminalserver als auch für den Client-PC des Be-
nutzers.
Während des Betriebs sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Auflagen zur Sicherheit der IT-Plattform und Applikationen
Es muss gewährleistet sein, dass von der Hardware, auf der die Software „Governikus Signer, Version
2.2.0.0“ betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen, dass
die auf dem eingesetzten Personalcomputer installierte Software – insbesondere die Java Virtu-
al Machine – nicht böswillig manipuliert oder verändert werden kann,
auf dem Personalcomputer keine Viren oder Trojanische Pferde eingespielt werden können,
die Hardware des Personalcomputers nicht unzulässig verändert werden kann,
der verwendete Chipkartenleser nicht böswillig manipuliert wurde, um Daten (z. B. PIN, Hash-
werte etc.) auszuforschen oder zu verändern.
Das Ausforschen der PIN auf dem Personalcomputer kann nur dann mit Sicherheit ausgeschlossen
werden, wenn ein Chipkartenleser mit sicherer PIN-Eingabe eingesetzt wird.
Auflagen zum Schutz vor manuellem Zugriff Unbefugter
Der eingesetzte Personalcomputer muss gegen einen manuellen Zugriff Unbefugter geschützt werden –
insbesondere, um Manipulation von Dateien auf Dateisystemebene, die die Software zur Darstellung der
Nachrichten benötigt, zu unterbinden. Dies kann z. B. durch Aufstellung in einem abschließbaren Raum
geschehen.
Im Fall der Verwendung der Variante „Governikus Signer, Version 2.2.0.0 Professional Edition“ zur Er-
stellung von Multisignaturen sind der Betrieb und die Aufbewahrung in einem zugriffssicheren Betriebs-
raum oder Stahlschrank erforderlich, so dass ein Zugriff Unbefugter ausgeschlossen ist oder zumindest
mit hoher Sicherheit erkennbar wird.
Der Authentisierungsschlüssel für den Zugriff auf die Komponente NetSigner der Software „Governikus,
Version 3.3.1.0 (Basis)“ muss durch den Schlüssel-Administrator des Governikus Systems bereit gestellt
werden 19 .
Für das Passwort und insbesondere für das Zugangspasswort zu einer Terminalserver-Sitzung sind fol-
gende Auflagen einzuhalten:
Es dürfen keine Trivialpasswörter (z. B. "BBBBBBBB" oder "12345678") verwendet werden.
Das Passwort enthält mindestens ein Zeichen, das kein Buchstabe ist (Sonderzeichen oder
Zahl),
19
Vgl. Dokument „Governikus Betriebshandbuch“, Kapitel „Auflagen für den Betrieb gemäß Signaturgesetz“
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 29 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
746 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
Das Passwort muss mindestens 8 Zeichen lang sein
Die Unterrichtung des Zertifizierungsdiensteanbieters zur Handhabung der SSEE ist zu beachten.
Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger
Bei Einspielen von Daten über Datenträger muss – z. B. durch die Verwendung geeigneter Anti-Viren-
Programme – sichergestellt werden, dass keine Viren oder Trojanische Pferde eingespielt werden kön-
nen.
Auflagen zur Sicherheitsadministration des Betriebs
Hinsichtlich der Software „Governikus Signer, Version 2.2.0.0“ ist keine spezielle Sicherheitsadministra-
tion für den Betrieb vorgesehen. Der eingesetzte Personalcomputer und der eingesetzte Chipkartenle-
ser sind aber in jedem Fall gegen eine unberechtigte Benutzung zu sichern.
Für den Betrieb der Software „Governikus Signer, Version 2.2.0.0“ in einer Terminalserver-Umgebung
ist durch ein geeignetes Berechtigungssystem sicherzustellen, dass die Dateien innerhalb des persönli-
chen Verzeichnisses des Benutzers der Software „Governikus Signer, Version 2.2.0.0“ nicht durch Un-
befugte gelesen oder verändert werden können.
Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung
Folgende Auflagen sind für den sachgemäßen Einsatz der Software „Governikus Signer, Version
2.2.0.0“ zu beachten:
Sofern eine Visualisierung einer zu signierenden Datei erfolgen soll, ist eine geeignete Anwen-
dung zu nutzen, d. h. eine Anwendung, die Dateien des entsprechenden Dateityps öffnen und
die zu signierenden oder signierten Daten zuverlässig darstellen kann.
Es wird eine vertrauenswürdige Eingabe der PIN vorausgesetzt. Der Nutzer hat dafür Sorge zu
tragen, dass die Eingabe der PIN weder beobachtet noch die PIN anderen Personen bekannt
gemacht wird. Er muss seine PIN ändern, wenn er den Verdacht oder die Gewissheit hat, die
PIN könnte nicht mehr geheim sein.
Nur beim Betrieb mit einem bestätigten Chipkartenleser mit PIN-Pad ist sicher gestellt, dass die
PIN nur zur SSEE übertragen wird.
Zum Signieren darf die PIN nur am PIN-Pad des Chipkartenlesers eingegeben werden.
Nur für die PKS-Signaturkarte Netkey 3.0 unter Benutzung einer der beiden Kartenleser Reiner
SCT CyberJack e-com oder Reiner SCT CyberJack pinpad Version 3 ist beim „Governikus
Signer, Version 2.2.0.0“ die Funktionalität der PIN-Freischaltung und -Änderung möglich. Aus
technischen Gründen erfolgt die Freischaltung in zwei Stufen, sodass die folgenden Schritte zu
beachten sind: Zunächst ist eine vorläufige PIN zur Freischaltung am Rechner einzugeben. Di-
rekt im Anschluss ist diese vorläufige PIN am PIN-Pad des Chipkartenlesers in die Signatur-PIN
zu ändern.
Zum Ändern der Signatur-PIN darf diese nur am PIN-Pad des Chipkartenlesers eingegeben
werden.
Hinweise von Zertifizierungsdiensteanbietern zum Umgang mit persönlichen, geheimen Signa-
tur-PIN sind zu beachten.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 30 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
