BESTÄTIGUNGSSTELLE UND ELEKTRONISCHE SIGNATUR

 

ZERTIFIZIERUNG, DIENSTANGEBOT UND AUFSICHT - FRAGEN UND ANTWORTEN:

 

Wie wird die Akkreditierung durchgeführt und durch wen?

Die Akkreditierung entspricht in allen Aspekten einer vorweggenommenen Überprüfung. Durch diese Situation hat der Anbieter die Möglichkeit seinen Dienst zu beginnen ohne das Risiko, eingestellt zu werden. Die Akkreditierung wird durch die Aufsichtsstelle durchgeführt.

zum Seitenbeginn

Wann wird ein Zertifizierungsdiensteanbieter (ZDA) das erste Mal überprüft?

Das Gesetz sieht keine Vorabprüfung im Sinne einer Lizenzierung vor. Dennoch hat der Staat die Obliegenheit, für die Sicherheit der elektronischen Signatur zu sorgen und eine Aufsicht einzurichten. In dieser durch die Europäische Union (EU) vorgegebenen Situation bietet das österreichische Gesetz zwei Varianten an:

  1. Eine freiwillige Akkreditierung, die auch bereits vor Aufnahme eines Dienstes möglich ist und dem Anbieter damit ein hohes Maß an Sicherheit bietet.
  2. Den Dienstbeginn nach Meldung der Dienstaufnahme. In diesem Fall wird die Aufsicht in der Folge der Dienstaufnahme die erste Prüfung vornehmen, um die ihr auferlegte Pflicht zu erfüllen.

In beiden Fällen werden die gleichen Aspekte nach den gleichen Kriterien überprüft. Zudem kann ein akkreditierter Diensteanbieter auch das Attribut „akkreditiert“ führen.

zum Seitenbeginn

Wie sehen die geforderten Begutachtungen für die Sicherheits- und Zertifizierungskonzepte aus?

Signaturgesetz und Signaturverordnung sehen für Signaturerstellungseinheiten (siehe §18 (5): "Die technischen Komponenten und Verfahren für die Erzeugung qualifizierter Signaturen müssen nach dem Stand der Technik hinreichend und laufend geprüft sein. Die Erfüllung der Sicherheitsanforderungen muss von einer Bestätigungsstelle (§ 19) bescheinigt sein.") eine Bescheinigung vor, die der Zertifizierungsdiensteanbieter bei der Meldung beizubringen hat.

Das Sicherheits- und Zertifizierungskonzept ist vom ZDA bei der Meldung beizubringen. Eine Vorabbegutachtung ist nicht durch das Gesetz angeordnet. Eine allfällige Prüfung obliegt den Agenden der Aufsichtsstelle.

Ungeachtet dessen ist es sinnvoll und wünschenswert, wenn sich ZDA bei der Erstellung von Sicherheits- und Zertifizierungskonzept fachlich qualifiziert beraten lassen. Dies geschieht aber im Innenverhältnis zwischen ZDA und Konsulenten. Eine öffentliche Beurkundung dafür ist nicht vorgeschrieben.

zum Seitenbeginn

Muss es eine Betriebs- und Verwendungsdokumentation der Einheiten des ZDA geben?

Aus der Dokumentation des Zertifizierungsdiensteanbieters müssen die Phasen des regulären Betriebes und des besonderen Betriebes (z.B. Wartung) hervorgehen.

Wie sind die Daten von der eventuell dezentralen Registrierung zum ZDA zu sichern?

Die Dokumentation der Registrierung (Lichtbildausweis etc.) ist elektronisch und gesichert zu transportieren. Im Falle personenbezogener schützenswerter Daten wird neben der Signatur der Registrierungsstelle auch eine technische Sicherung der Vertraulichkeit vorzusehen sein, um dem Datenschutz gerecht zu werden.

zum Seitenbeginn

Müssen unbefugte Versuche auf die sicheren technischen Komponenten des ZDA protokolliert werden?

Derartige Versuche sind als irregulärer Betrieb in die Dokumentation aufzunehmen.

zum Seitenbeginn

Was muss wie evaluiert sein?

Komponenten und Verfahren, die zur Signaturerstellung und dabei unmittelbar zum Handling von Signaturerstellungsdaten (Erzeugen, Speichern und Verarbeiten der Schlüssel) herangezogen werden, müssen nach Sicherheitsvorgaben, welche von einer Bestätigungsstelle anerkannt sind, evaluiert und bescheinigt sein.

zum Seitenbeginn

Wer kann Evaluationen nach dem Signaturgesetz (SigG) / Signaturverordnung (SigV) durchführen?

In der SigV §9 (1) wird lediglich gefordert, dass die bei der Prüfung der technischen Komponenten und Verfahren für die Erzeugung qualifizierter Signaturen verwendeten Sicherheitsvorgaben von einer Bestätigungsstelle (nach SigG § 19) anerkannt sind.

Details siehe folgende Frage / Antwort:

zum Seitenbeginn

Welche Stellen sind als Bestätigungsstellen geeignet?

Die näheren Bedingungen, die eine Bestätigungsstelle zu erfüllen hat, sind in §19 (2) festgelegt:

  • die erforderliche Zuverlässigkeit 
  • beschäftigt zuverlässiges Personal mit den für diese Aufgaben erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Kenntnissen über elektronische Signaturen, angemessene Sicherheitsverfahren, Kryptographie, Kommunikations- und Chipkartentechnologien sowie die technische Begutachtung solcher Komponenten
  • verfügt über ausreichende technische Einrichtungen und Mittel sowie eine ausreichende wirtschaftliche Leistungsfähigkeit
  • die erforderliche Unabhängigkeit, Unparteilichkeit und Unbefangenheit ist gegeben.

Für Einrichtungen, die diesen Eigenschaften genügen und einen entsprechenden Antrag stellen, kann der Bundeskanzler zusammen mit dem Bundesminister für Justiz die Eignung als Bestätigungsstelle entsprechend dem Signaturgesetz verordnen. 

zum Seitenbeginn

Für welche Komponenten ist eine Bescheinigung einer Bestätigungsstelle erforderlich?

Gesetz und Verordnung gehen davon aus, dass für jene Elemente, die zur Erstellung einer qualifizierten Signatur relevant sind, eine Bescheinigung nach §18 (5) vorhanden sein muss. Diese muss im Falle einer Meldung eines Zertifizierungsdienstes bei der Aufsichtsstelle auch vorgelegt werden.

Konkret sind folgende Elemente von der Erstellung oder der Manipulation von Signaturerstellungsdaten bzw. zur sicheren Signaturprüfung betroffen und somit ist eine entsprechende Bescheinigung einer Bestätigungsstelle erforderlich:

  • Komponenten zur Erzeugung von Signaturerstellungsdaten und dabei insbesondere der qualitativ geeignete Zufall
  • Komponenten zur Speicherung der Signaturerstellungsdaten
  • Komponenten zur Verarbeitung der Signaturerstellungsdaten

Die Bescheinigung ist für alle Komponenten ungeachtet des Einsatzes (beim Signator, beim Zertifizierungsdiensteanbieter, im Rahmen der Aufsicht etc.) zur Wahrung der Sicherheitsanforderungen erforderlich.

zum Seitenbeginn

Hat der ZDA über die Evaluierungsnormen hinaus Sicherheitsmaßnahmen zu treffen?

Die Signaturverordnung hält Evaluierungsnormen für Signaturerstellungseinheiten und für die Komponenten des Zertifizierungsdiensteanbieters fest. Darüber hinaus muss die Sicherheit durch den Zertifizierungsdiensteanbieter garantiert sein und im Signatur- und Zertifizierungskonzept festgehalten sein. Die Form der Evaluierung (z.B. Informationssicherheitshandbuch) ist nicht explizit festgelegt, doch muss die Überprüfbarkeit durch die Aufsicht gegeben sein.

zum Seitenbeginn

Ist eine Begutachtung des Sicherheitskonzeptes bei der Meldung der Dienstaufnahme durch einen Zertifizierungsdiensteanbieter beizubringen?

Das Signaturgesetz sieht für Signaturerstellungseinheiten (siehe §18 (5): "Die technischen Komponenten und Verfahren für die Erzeugung qualifizierter Signaturen müssen nach dem Stand der Technik hinreichend und laufend geprüft sein. Die Erfüllung der Sicherheitsanforderungen muss von einer Bestätigungsstelle (§ 19) bescheinigt sein.") eine Bescheinigung vor, die der Zertifizierungsdiensteanbieter bei der Meldung beizubringen hat.

Das Sicherheits- und Zertifizierungskonzept ist vom ZDA bei der Meldung beizubringen. Eine Vorabbegutachtung ist nicht durch das Gesetz angeordnet. Eine allfällige Prüfung obliegt den Agenden der Aufsichtsstelle.

Ungeachtet dessen ist es sinnvoll und wünschenswert, wenn sich ZDA bei der Erstellung von Sicherheits- und Zertifizierungskonzept fachlich qualifiziert beraten lassen. Dies geschieht aber im Innenverhältnis zwischen ZDA und Konsulenten. Eine öffentliche Beurkundung dafür ist nicht vorgeschrieben.

zum Seitenbeginn

Können die Zertifikate bei Übernahme des Dienstes durch einen anderen ZDA beibehalten werden?

Die Übernahme von Zertifizierungsdiensten geschieht generell unter der Annahme eines geregelten und sicheren Übergangs an den neuen Diensteanbieter. Damit kann dieser mit den Zertifikaten so verfahren wie mit den Zertifikaten, die er selbst ausstellt. Die Zertifikate können beibehalten werden und es treffen auch die Regelungen über Verlängerungen etc. zu. Ist eine gesicherte Übernahme nicht möglich oder erfolgt die Übergabe nicht gesichert, so ist der Dienst einzustellen und damit sind die Zertifikate zu sperren.

Die Übernahme zählt zu den besonderen Betriebssituationen, die in geeigneter Weise zu dokumentieren sind. Da insbesondere auch die Widerrufsdienste ohne Gefährdung der Sicherheit und unter Einhaltung der Regelungen über die Unterbrechung überzuleiten sind, ist in der Praxis anzunehmen, dass eine Einbindung der Aufsicht in die Übernahme angezeigt ist.

zum Seitenbeginn

Kann das Personal eines ZDA outgesourced werden?

Das Signaturgesetz bzw. die -verordnung stellen klare Anforderungen an die Mitarbeiter, die ein Zertifizierungsdiensteanbieter einsetzt. Diese Anforderungen betreffen die Zuverlässigkeit und die Ausbildung. Daraus wird man ableiten müssen, dass ein Beziehen der Arbeitsleistung von einer anderen Organisation für den Kernbereich, der eine spezifische Ausbildung erfordert, nicht ohne weiteres möglich ist. 

Die reine Durchführung der Registrierung wird noch nicht zum Kernbereich zu zählen sein und könnte wohl unter Einhaltung und Sicherstellung der Sicherheitsbedingungen von einem Vertragsunternehmen durchgeführt werden.

zum Seitenbeginn

Können Verzeichnisdienste / Widerrufsdienste outgesourced werden?

Generell dürfen nur solche Gesamtkonstruktionen beim Anbieten von Zertifizierungsdiensten errichtet werden, die die Pflichten der Zertifizierungsdiensteanbieter sicherstellen. Sofern ein Auftragnehmer des Zertifizierungsdiensteanbieters in dessen Namen agiert und alle Pflichten damit übernimmt, wird auch das Auslagern von Teilarbeiten möglich sein. Dabei müssen Ausbildung, Haftung und technische Sicherheit und die Bedingungen zur Durchführung der Aufsicht gegeben sein.

Von einem Auslagern einzelner Tätigkeiten und einem Handeln im Namen und Auftrag sowie auch auf Risiko eines Zertifizierungsdiensteanbieters ist das Beziehen eines Zertifizierungsdienstes bei einem anderen Zertifizierungsdiensteanbieter zu unterscheiden. In diesem Fall wird der herangezogene Zertifizierungsdiensteanbieter alle Bedingungen eines Zertifizierungsdiensteanbieters nach SigG erfüllen müssen.

In jedem Fall wird die Aufteilung und die Art der Erbringung des Dienstes Teil des Zertifizierungs- und Sicherheitskonzeptes sein müssen.

zum Seitenbeginn