Deutsche Post Com GmbH Geschäftsfeld Signtrust

Transkript

1 Certification Practice Statement (CPS) für qualifizierte und nicht qualifizierte Zertifikate auf der Signtrust CARD Zertifizierungsdiensteanbieter Deutsche Post Com Version: 1.6 Stand: Status: Freigegeben - a -

2 Handbücher und Software sind urheberrechtlich geschützt und dürfen nicht ohne schriftliche Genehmigung der Deutschen Post Com kopiert, vervielfältigt, gespeichert, übersetzt oder anderweitig reproduziert werden. Dies gilt sinngemäß auch für Auszüge. Alle Rechte bleiben vorbehalten. Die Deutsche Post Com ist berechtigt, ohne vorherige Ankündigungen Änderungen vorzunehmen oder die Dokumente/ Software im Sinne des technischen Fortschritts weiterzuentwickeln. Irrtümer vorbehalten. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Alle Waren- und Produktnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verbesserungsvorschläge und Hinweise auf Fehler sind willkommen. Zu diesem Zweck befindet sich ein Formular am Ende dieses Handbuches. Sollte es fehlen, richten Sie bitte Ihre Anmerkungen an: 2009 Deutsche Post Com GmbH Tulpenfeld Bonn Tel.: Fax: b -

3 Inhaltsverzeichnis 1 Einleitung Überblick Signtrust CARD Zielsetzung Dokumentidentifikation Teilnehmer und Instanzen Zertifizierungsdienst und -instanzen Registrierungsinstanz Zertifikatserwerber Zertifikatsinhaber Sonstige Teilnehmer Verwendung von Zertifikaten Vorgesehene Verwendung der Zertifikate Signatur- und Attributzertifikat Verschlüsselungs- und Authentisierungszertifikat Nicht vorgesehene Verwendung der Zertifikate Signatur- und Attributzertifikat Verschlüsselungs- und Authentisierungszertifikate Policy-Verwaltung Organisation für die Verwaltung dieses Dokuments Kontakt Anerkennung anderer CPS 9 2 Bekanntmachung und Verzeichnisdienst Verzeichnisdienst Zentraler Verzeichnisdienst Auskunftsdienst für den Zertifikatsstatus Veröffentlichung von Informationen der PKI-Instanzen Häufigkeit und Zyklen für Veröffentlichungen Zugriffskontrolle auf Verzeichnisse 11 3 Identifizierung und Authentisierung Namensgebung Namenstypen Pseudonyme für Zertifikatsinhaber Eindeutigkeit von Namen Erkennung und Authentisierung von geschützten Namen Erstmalige Registrierung Schlüssel- und Zertifikatserzeugung Antragsprüfung Sperrung eines Zertifikats 13 4 Anforderungen an den Lebenszyklus des Zertifikats Antragstellung auf Zertifizierung Antragsbearbeitung Durchführung der Identifikation Annahme bzw. Ablehnung eines Antrags Zertifikatserstellung Tätigkeit des Zertifizierungsdienstes Benachrichtigung des Zertifikatsinhabers Zertifikatsübergabe und -annahme Karten und PIN-Übergabe Veröffentlichung des Zertifikats Benachrichtigung anderer Stellen, Organisationseinheiten o. ä Nutzung des Schlüsselpaares und des Zertifikates Zertifikatsverlängerung Schlüsselerneuerung von Zertifikaten Modifizierung eines Zertifikats Sperrung und Suspendierung von Zertifikaten Auskunftsdienst über den Zertifikatsstatus Kündigung eines Zertifikats Treuhänderische Schlüsselhinterlegung 16

4 5 Physikalische, organisatorische und personelle Sicherheitsmaßnahmen Physikalische Sicherheitsmaßnahmen Lage und Aufbau des Standortes Zugangskontrolle Stromversorgung und Klimakontrolle Schutz vor Wasserschäden Brandschutz Aufbewahrung von Datenträgern Abfallentsorgung Organisatorische Sicherheitsmaßnahmen Sicherheitskritische Rollen Anzahl benötigter Personen bei sicherheitskritischen Aufgaben Identifikation und Authentisierung von Rollen Trennung von Rollen und Aufgaben Personelle Sicherheitsmaßnahmen Anforderungen an Qualifikation und Erfahrung Sicherheitsüberprüfungen des Personals Anforderungen an die Schulung Wiederholungen der Schulungen Job-Rotationen Sanktionen bei unzulässigen Handlungen Vertragsbedingungen mit dem Personal Protokollierung sicherheitskritischer Ereignisse Archivierung von Protokolldaten Wiederanlauf nach Katastrophen Notfallprozeduren Wiederherstellung nach Kompromittierung von Ressourcen Kompromittierung von Schlüsseln des Zertifizierungsdienstes Notbetrieb im Katastrophenfall Einstellung des Zertifizierungsdienstes 20 6 Technische Sicherheitsvorkehrungen Erzeugung und Installation von Schlüsselpaaren Erzeugung von Schlüsselpaaren Übergabe öffentlicher Schlüssel an die Zertifizierungsinstanz Übergabe öffentlicher Schlüssel an die Schlüsselbenutzer Schlüssellängen Schutz der privaten Schlüssels und der kryptographischen Module Standards und Schutzmechanismen der kryptographischen Module Aufteilung der Kontrolle über private Schlüssel auf mehrere Personen Treuhänderische Hinterlegung privater Schlüssel Sicherung und Wiederherstellung privater Schlüssel Archivierung privater Schlüssel Speicherung privater Schlüssel Methoden zur Aktivierung privater Schlüssel Weitere Aspekte der Schlüsselverwaltung Archivierung öffentlicher Schlüssel Verwendungsdauern von Zertifikaten und Schlüsselpaaren Aktivierungsdaten Erzeugung und Installation von Aktivierungsdaten Schutzmaßnahmen für Aktivierungsdaten Sicherheitsbestimmungen für Computer Spezifische Sicherheitsanforderungen für Computer Bewertung der Computersicherheit Technische Kontrollen des Software-Lebenszyklus Sicherheitsmaßnahmen bei der Systementwicklung Sicherheitsmanagement Bewertung der Maßnahmen zur Kontrolle des Lebenszyklus

5 6.7 Maßnahmen zur Netzwerksicherheit Zeitstempel 24 7 Profile Zertifikatsprofile Versionsnummer Erweiterungen OID für kryptographische Algorithmen Namensformen Namensform-Einschränkungen 26 8 Revision und andere Bewertungen Häufigkeiten von Revisionen Identität und Qualifikation des Revisors Beziehungen zwischen Revisor und zu untersuchender Partei Umfang der Prüfung Maßnahmen bei Mängeln Veröffentlichung der Ergebnisse 27 9 Weitere geschäftliche und rechtliche Regelungen Preise Vertraulichkeit betrieblicher Informationen Art der geheim zu haltenden Information Öffentliche Informationen Vertraulichkeit personenbezogener Informationen Geheimhaltung Vertrauliche personenbezogene Daten Nicht geheime Informationen Verantwortlichkeit für den Schutz privater Informationen Einverständniserklärung zur Nutzung privater Informationen Weitergabe von Informationen an Ermittlungsinstanzen oder Behörden Geistiges Eigentum Haftung des Zertifizierungsdiensteanbieters Pflichten des Zertifikatsinhabers Gültigkeit des CPS Gültigkeitszeitraum Vorzeitiger Ablauf der Gültigkeit Kommunikation mit den Teilnehmern Änderungen/Ergänzungen des CPS Verfahren für die Änderung/Ergänzung des CPS Benachrichtigungsverfahren und Veröffentlichungsperioden OID-Änderungsbedingungen Anwendbares Recht Sonstige Bestimmungen Schriftlichkeitsgebot Übertragung

6 1 Einleitung 1.1 Überblick Das der Deutschen Post Com GmbH (DP Com) betreibt als akkreditierter Zertifizierungsdiensteanbieter (ZDA) einen signaturgesetzkonformen Zertifizierungsdienst (ZD) für qualifizierte elektronische Zertifikate. Das Ziel der vorliegenden Zertifizierungsrichtlinie besteht darin, die Umsetzung der Beantragung, Generierung, Auslieferung und Verwaltung von qualifizierten Zertifikaten gemäß Signaturgesetz (SigG) sowie von weiteren Zertifikaten derart festzulegen, dass eine sichere und zuverlässige Durchführung der angebotenen Zertifizierungsdienstleistungen sowie der Anwendung der ausgegebenen Zertifikate gewährleistet ist. Eine Zertifizierungsrichtlinie gibt Auskunft über die Praktiken der Zertifizierungsstellen zur Herausgabe von Zertifikaten. Sie dient dazu, die Praktiken intern zu fixieren und den Anwendern die Vorgehensweise der Zertifizierungsstelle zu erläutern. Somit können sich die Anwender ein Bild von den vorhandenen Sicherheitsmaßstäben machen. Die Gliederung dieses Dokuments orientiert sich an dem internationalen Standard für Zertifizierungsrichtlinien (RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework) der Internet Society Signtrust CARD 3.0 und 3.2 Die Ausgabe der Signtrust CARD beruht auf den Vorgaben des Signaturgesetzes. Eine solche Signaturkarte ist eine so genannte sichere Signaturerstellungseinheit (SSEE) und kann an jeden ausgegeben werden, der die Anforderungen erfüllt. Die Signtrust CARD enthält die folgenden Schlüsselpaare und Zertifikate: Ein Schlüsselpaar (öffentlicher/privater Schlüssel) für die elektronische Signatur und ein entsprechendes Signaturzertifikat. Diese elektronische Signatur ist eine qualifizierte Signatur im Sinne des Signaturgesetzes. Ein Schlüsselpaar (öffentlicher/privater Schlüssel) für die Verschlüsselung und ein entsprechendes Verschlüsselungszertifikat. Ein Schlüsselpaar (öffentlicher/privater Schlüssel) für die elektronische Authentisierung und ein entsprechendes Authentisierungszertifikat. Auf der Signtrust CARD können ein oder mehrere Attributzertifikate als optionale Beschränkung oder Erweiterung für das Signaturzertifikat existieren. 1.2 Zielsetzung Nach [RFC 3647] legt das Certification Practice Statement (CPS) die Praktiken dar, die ein Zertifizierungsdienst bei der Ausgabe der Zertifikate anwendet. Dem entsprechend beschreibt dieses Dokument das Vorgehen des Zertifizierungsdiensteanbieters Deutsche Post Com bei der Beantragung, Generierung, Auslieferung und Verwaltung der von ihm erzeugten Zertifikate auf der Signtrust CARD

7 1.3 Dokumentidentifikation Bezeichnung des Dokuments: Certification Practice Statement (CPS) Zertifizierungsdiensteanbieter Deutsche Post Com, Version 1.6 vom Der ASN.1 Object Identifier (OID) für dieses Dokument ist Die letzte Ziffer steht dabei für die volle Stelle (vor dem Punkt) der Versionsnummer. 1.4 Teilnehmer und Instanzen Zertifizierungsdienst und -instanzen Der Zertifizierungsdienst im Sinne dieses CPS sind die technischen Einrichtungen und organisatorischen Einheiten, mit denen die Deutsche Post Com die qualifizierten Zertifikate ausstellt. Der Zertifizierungsdienst verwendet für die Erstellung der verschiedenen Zertifikatstypen jeweils eine Zertifizierungsinstanz eine logische Einheit, die jeweils einem oder mehreren Schlüsselpaaren zur Signierung der Zertifikate zugeordnet ist. Durch die Zertifizierungsinstanzen des Zertifizierungsdienstes und die von ihnen ausgestellten Zertifikate wird die in Abbildung 1 dargestellte Zertifizierungshierarchie definiert. Abbildung 1: Zertifizierungshierarchie Auf der obersten Stufe der Zertifizierungshierarchie für qualifizierte Zertifikate befinden sich die Root-CAs. Diese wird für den qualifizierten Bereich von der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen als zuständige Behörde betrieben und stellt die Zertifikate für die Zertifizierungsdiensteanbieter aus. Für den nicht-qualifizierten Bereich wird eine DPCom-eigene Root-CA betrieben. Diese Root stellt die CA- Zertifikate für die unterschiedlichen DPCom-CAs aus. Auf der zweiten Hierarchieebene befinden sich die folgenden Instanzen: Zertifizierungsinstanz für qualifizierte Zertifikate (Signatur- und Attributzertifikate) (CA-Zertifikat) Zertifizierungsinstanz für nicht-qualifizierte Zertifikate (Verschlüsselungs- und Authentisierungszertifikat) (CA-Zertifikat aus der DPCom-Root-CA) Auf der untersten Hierarchieebene befinden sich die Endanwender-Zertifikate, die der Endanwender für verschiedenste Anwendungen verwendet

8 Für beide Hierarchien existieren jeweils OCSP-Signer- und CRL-Signer-Zertifikate. Anmerkung: Eine Instanz kann aus Performancegründen verschiedene Schlüsselpaare nutzen. Um die Anwendung bei der Konstruktion eines Zertifizierungspfades zu unterstützen, werden dann in den entsprechenden Zertifikaten die Namen mit einer laufenden Nummer versehen Registrierungsinstanz Die Antragstellung für die unterschiedlichen Zertifikate erfolgt über einen frei zugänglichen Online-Antrag. Die anschließende Registrierung wird durch die Registrierungsinstanz des Zertifizierungsdienstes der Deutschen Post Com durchgeführt. Dieses umfasst insbesondere die Prüfung und Bearbeitung der eingereichten Anträge Zertifikatserwerber Die Zertifikate können von Jedermann beantragt werden. Der Zertifikatserwerber kann ein Signaturzertifikat, die dazu korrespondierenden Attributzertifikate, das Verschlüsselungszertifikat und das Authentisierungszertifikat nur für sich selber beantragen, d.h. er ist gleichzeitig auch Zertifikatsinhaber Zertifikatsinhaber Inhaber der verschiedenen Zertifikate sind alle Inhaber einer Signtrust CARD Sonstige Teilnehmer Im Rahmen ihrer zulässigen Anwendung werden die Zertifikate durch beliebige Dritte für die Verifikation der entsprechenden Signaturen genutzt. 1.5 Verwendung von Zertifikaten Vorgesehene Verwendung der Zertifikate Signatur- und Attributzertifikat Das Signaturzertifikat und das evtl. existierende Attributzertifikat sind für die sichere Teilnahme an elektronischen Geschäftsvorgängen des deutschen E-Government-Bereichs sowie für andere Anwendungen mit mittlerem bis hohen Sicherheitsbedarf vorgesehen. Dabei kann der private Schlüssel des Signaturzertifikats für die Erstellung elektronischer Signaturen genutzt werden. Mit dem Signaturzertifikat weist der Zertifikatsinhaber hierbei seine Identität nach. Das Signaturzertifikat stellt ein qualifiziertes Zertifikat im Sinne der deutschen und europäischen Signaturgesetzgebung dar. Die Signaturen mit diesem Zertifikat sind daher aus rechtlicher Sicht handschriftlichen Unterschriften gleichgestellt Verschlüsselungs- und Authentisierungszertifikat Das Verschlüsselungszertifikat ist für die sichere Teilnahme an elektronischen Geschäftsvorgängen vorgesehen. Dabei kann der öffentliche Schlüssel des Verschlüsselungszertifikats eines beabsichtigten Empfängers und/oder von einem selbst für die Verschlüsselung von Dateien genutzt werden. Der mit dem öffentlichen Schlüssel korrespondierende private Schlüssel dient zur Entschlüsselung der Dateien

9 Das Authentisierungszertifikat ist für die sichere Teilnahme an elektronischen Geschäftsvorgängen vorgesehen. Dabei dient das Zertifikat der Authentifizierung an elektronischen Systemen Nicht vorgesehene Verwendung der Zertifikate Signatur- und Attributzertifikat Das Signaturzertifikat und das evtl. existierende Attributzertifikat sind nicht prinzipiell auf bestimmte Anwendungen eingeschränkt (siehe Abschnitt ). Da sie jedoch für Anwendungen mit mittlerem bis hohem Sicherheitsbedarf vorgesehen sind, sollte die Signatur nur in Anwendungen verwendet werden, die ihre Sicherheit nicht kompromittieren können. So sollte die Signatur nicht in Anwendungen verwendet werden, in denen der Zertifikatsinhaber nicht die volle Kontrolle über den Inhalt der signierten Daten besitzt. Insbesondere sollte das Signaturzertifikat nur in Programmen verwendet werden, die dem Zertifikatsinhaber den Inhalt der zu signierenden Daten anzeigen. Außerdem sollte das Signaturzertifikat nicht in Anwendungen verwendet werden, die die PIN des Signaturzertifikats speichern Verschlüsselungs- und Authentisierungszertifikate Die Verschlüsselungs- und Authentisierungszertifikate sind prinzipiell nicht auf bestimmte Anwendungen eingeschränkt. 1.6 Policy-Verwaltung Organisation für die Verwaltung dieses Dokuments Für die Verwaltung dieses Certification Practice Statement ist die Deutsche Post Com GmbH zuständig Kontakt Schriftlich: Deutsche Post Com GmbH Tulpenfeld Bonn Telefonisch: 0700/ info@signtrust.deutschepost.de Internet: Anerkennung anderer CPS Die Anerkennung anderer CPS beschließt das geschäftsführende Organ der Deutschen Post Com GmbH

10 2 Bekanntmachung und Verzeichnisdienst 2.1 Verzeichnisdienst Zentraler Verzeichnisdienst Die zu veröffentlichenden Zertifikate werden in einem zentralen Verzeichnisdienst veröffentlicht und können über LDAP abgefragt werden. Das Verzeichnis ist über das Internet unter der URL ldap://ldap.signtrust.de/c=de über Port 389 (ohne SSL) ansprechbar. Der zentrale Verzeichnisdienst ist konform zu LDAPv3 nach [RFC ]. Die in Abschnitt 2.2 von [Common PKI], Part 4 definierten Zugriffsoperationen werden unterstützt. Zusätzlich können im LDAP-Verzeichnis End Entity Zertifikate (d.h. keine CA-Zertifikate) über die folgenden Attribute gesucht werden: Surname : Dieses Attribut enthält den commonname aus dem Feld subject des Zertifikates. serialnumber : Dieses Attribut enthält die Seriennummer des Zertifikates Auskunftsdienst für den Zertifikatsstatus Der Status der Zertifikate kann beim Auskunftsdienst für den Zertifikatsstatus über OCSP abgefragt werden. Dieser ist für die qualifizierten Zertifikate unter und für die fortgeschrittenen Verschlüsselungs- und Authentisierungszertifikate unter erreichbar. Die Zertifikate des OCSP-Responders sind im Verzeichnis der Bundesnetzagentur als Aussteller der Zertifikate abgelegt. Die Adresse des Dienstes ist unter und veröffentlicht. 2.2 Veröffentlichung von Informationen der PKI-Instanzen Allgemeine Informationen sowie das vorliegende CPS werden auf der Web-Seite der Deutschen Post Com GmbH veröffentlicht. Das Sicherheitskonzept des Zertifizierungsdiensteanbieters DP Com, auf dem die Aussagen in diesem CPS bzgl. der qualifizierten Zertifikate beruhen, ist vertraulich und wird daher nicht veröffentlicht. Die Zertifikate des Zertifizierungsdiensteanbieters DP Com werden im Verzeichnisdienst der Bundesnetzagentur als Aussteller der Zertifikate veröffentlicht. Statusinformationen zu den Zertifikaten des Zertifizierungsdiensteanbieters Deutsche Post Com werden in der Sperrliste der Bundesnetzagentur veröffentlicht und sind über den Auskunftsdienst der Bundesnetzagentur für den Zertifikatsstatus (OCSP-Responder) abrufbar. Die Adressen der Dienste sind unter und veröffentlicht

11 Die Veröffentlichung der CA- und SCA-Zertifikate des ZDA Deutsche Post Com erfolgt außerdem über Signtrust- Webseite ( 2.3 Häufigkeit und Zyklen für Veröffentlichungen Die Veröffentlichung des vorliegenden CPS erfolgt jeweils unmittelbar nach Erstellung bzw. Aktualisierung des Dokumentes. Die Veröffentlichung der Statusinformationen erfolgt unmittelbar nach Erstellung des betreffenden Zertifikates bzw. nach Änderung des Zertifikatsstatus. 2.4 Zugriffskontrolle auf Verzeichnisse Im zentralen Verzeichnisdienst (LDAP) ist der lesende Zugriff auf die Zertifikate nicht beschränkt, es können jedoch Mengeneinschränkungen (20) bei Listenabfragen erfolgen. Der Zugriff auf den Auskunftsdienst für den Zertifikatsstatus (OCSP-Responder) ist nicht beschränkt

12 3 Identifizierung und Authentisierung 3.1 Namensgebung Namenstypen Die Namen der Zertifikatsinhaber in den vom Zertifizierungsdienst ausgestellten Zertifikaten sind Distinguished Names nach X.500/X.501. Dabei werden die folgenden Attribute (Namensbestandteile) verwendet: commonname (cn) surname (sn) givenname (g) countryname (c) serialnumber Als optionale Erweiterung können auch noch die folgenden Attribute (Namensbestandteile) verwendet werden: organizationname (o) organizationunitname (ou) localityname (l) address Der Name des Zertifikatsinhabers kann Umlaute und Sonderzeichen enthalten (UTF8 Unicode) Pseudonyme für Zertifikatsinhaber Anstelle des Personennamens kann auch frei wählbares Pseudonym als Name des Zertifikatsinhabers verwendet werden. Dabei werden dann die folgenden Attribute (Namensbestandteile) im Zertifikat verwendet. commonname (cn) pseudonym countryname (c) serialnumber Bei Verwendung eines Pseudonyms kann ein Rückschluss auf eine natürliche Person nur durch den Zertifizierungsdienst erfolgen Eindeutigkeit von Namen Der Name des Zertifikatsinhabers im Zertifikat ist aufgrund der unterschiedlichen Seriennummern auch bei identischen Namen immer eindeutig Erkennung und Authentisierung von geschützten Namen Bei Verwendung eines Pseudonyms wird während der Antragsbearbeitung überprüft, ob der Antragsteller einen offensichtlich geschützten Namen verwenden will und ob er dazu berechtigt ist. Außerdem wird überprüft, ob das

13 gewünschte Pseudonym offensichtlich gegen Rechtsnormen verstößt. Die Pseudonymerteilung ist jedoch immer vorbehaltlich Namensrechte oder -ansprüche Dritter. Werden derartige Ansprüche verbindlich an uns herangetragen, werden Pseudonymzuteilungen verweigert oder nach bereits erfolgter Zuteilung entzogen und die mit dem Pseudonym verbundenen Zertifikate gesperrt. 3.2 Erstmalige Registrierung Schlüssel- und Zertifikatserzeugung Alle Schlüsselpaare werden im Rahmen der Vorpersonalisierung in der Karte selbst erzeugt. In einem zweiten Schritt werden die Zertifikate erzeugt und auf der Signaturkarte gespeichert Antragsprüfung Während der Antragsbearbeitung wird durch den Zertifizierungsdienst überprüft, ob der Antragsteller berechtigt ist, die im Antrag gemachten Angaben zu verwenden. Für eine Firmenzugehörigkeit muss diese durch eine vertretungsberechtigte Person bestätigt werden. Auch andere Angaben müssen durch entsprechende Nachweise belegt werden. 3.3 Sperrung eines Zertifikats Um ein unerlaubtes Sperren eines Zertifikates zu verhindern, muss der Sperrende sich vorher identifizieren. Bei einer telefonischen Sperrung geschieht dies durch Nennung des bei der Antragstellung angegebenen Sperrkennworts. Bei einem schriftlichen Sperrbegehren muss dieses unterschrieben sein

14 4 Anforderungen an den Lebenszyklus des Zertifikats 4.1 Antragstellung auf Zertifizierung Es gibt als einzige Einschränkungen bei der Antragstellung die Notwendigkeit, dass der Zertifikatsinhaber volljährig sein muss. D.h. jeder Volljährige ist berechtigt, ein qualifiziertes Zertifikat zu beantragen. Die Antragstellung erfolgt durch einen Online-Antrag auf der Webseite der Deutschen Post Com. Bei Verlust oder Defekt der Signaturkarte muss eine erneute Beantragung erfolgen. 4.2 Antragsbearbeitung Durchführung der Identifikation Die Identifizierung des Antragstellers kann auf unterschiedliche Methoden erfolgen; in der Regel aber erfolgt sie in einer Postfiliale per PostIdent. Alternativ kann die Identitätsfeststellung auch von einem Notar vorgenommen werden. Andere Identifizierungswege (wie z.b. persönliche Identifizierung vor Ort) sind nur nach vorheriger Rücksprache mit der Deutschen Post Com möglich Annahme bzw. Ablehnung eines Antrags Alle Anträge, die den gesetzlichen Vorgaben entsprechen, werden angenommen. Die Deutsche Post Com behält sich aber vor, im Einzelfall die Annahme von Anträgen abzulehnen. 4.3 Zertifikatserstellung Tätigkeit des Zertifizierungsdienstes Nach Eingang eines Antrages für eine Signaturkarte wird der Antrag durch den Zertifizierungsdienst überprüft. Wenn die Überprüfung erfolgreich durchgeführt wurde, wird ein Zertifikat gemäß den Daten der Zertifizierungsanfrage erstellt und auf der Signaturkarte gespeichert. Die Instanz des Zertifizierungsdienstes, die das Zertifikat ausstellt, hängt vom Typ des Zertifikates ab. Signatur- und Attributzertifikate werden von der CA-Instanz signiert. Bei Verschlüsselungs- und Authentisierungszertifikaten erfolgt die Signatur des Zertifikats durch die SCA- Instanz Benachrichtigung des Zertifikatsinhabers Er erfolgt keine Benachrichtigung des Zertifikatsinhabers über die Zertifikatserstellung. 4.4 Zertifikatsübergabe und -annahme Karten und PIN-Übergabe Nachdem die Zertifikate bei der Kartenpersonalisierung auf der Signaturkarte aufgebracht wurden, wird die Signaturkarte zusammen mit der Transport-PIN an den Zertifikatsinhaber übermittelt. Diese Übermittlung erfolgt entweder in einem einfachen Brief oder per PostIdent mit persönlicher Empfangsbestätigung. Nach Erhalt der Karte

15 muss der Zertifikatsinhaber durch die Eingabe der Transport-PINs die Unversehrtheit der Signaturkarte prüfen und seine endgültige PINs festlegen Veröffentlichung des Zertifikats Wenn der Zertifikatsinhaber bei der Antragsstellung einer Veröffentlichung seines Zertifikats nicht widersprochen hat, wird dieses nach dem Eingang der Empfangsbestätigung bei der Deutschen Post Com in den Verzeichnisdienst des Zertifizierungsdienstes eingestellt Benachrichtigung anderer Stellen, Organisationseinheiten o. ä. Eine Benachrichtigung über die Erstellung der Zertifikate erfolgt an die attributsbestätigenden Stellen, eine Benachrichtigung an andere Stellen erfolgt nicht. 4.5 Nutzung des Schlüsselpaares und des Zertifikates Die Nutzung der Schlüssel ist sofort nach der Festlegung der endgültigen PINs möglich und zulässig. Die Zertifikate können entsprechend den im Abschnitt 1.5 vorgesehenen Verwendungen benutzt werden. 4.6 Zertifikatsverlängerung Begriffserklärung: Bei einer Zertifikatsverlängerung handelt es sich um die Ersetzung eines Zertifikates durch ein Zertifikat mit neuer Gültigkeitsdauer, aber für den gleichen öffentlichen Schlüssel und sonst unveränderten Inhaltsdaten. In [RFC 3647] wird dieser Vorgang certificate renewal genannt. Eine Zertifikatsverlängerung ist nicht möglich. 4.7 Schlüsselerneuerung von Zertifikaten Begriffserklärung: Bei der Schlüsselerneuerung eines Zertifikates handelt es sich um die Ersetzung eines Zertifikates durch ein Zertifikat mit neuer Gültigkeitsdauer und für einen neuen öffentlichen Schlüssel aber sonst unveränderten Inhaltsdaten. In [RFC 3647] wird dieser Vorgang certificate re-key genannt. Eine Schlüsselerneuerung ist nicht möglich. 4.8 Modifizierung eines Zertifikats Begriffserklärung: Bei der Modifizierung eines Zertifikates handelt es sich um die Ersetzung eines Zertifikates durch ein Zertifikat mit veränderten Inhaltsdaten und für einen neuen öffentlichen Schlüssel. In [RFC 3647] wird dieser Vorgang certificate update genannt. Eine Modifizierung eines Zertifikats ist nicht möglich. 4.9 Sperrung und Suspendierung von Zertifikaten Eine Sperrung der Zertifikate ist wie im Abschnitt 3.3 beschrieben möglich. Eine anschließende Entsperrung ist nicht möglich

16 4.10 Auskunftsdienst über den Zertifikatsstatus Für die Zertifikate existiert wie im Abschnitt 2.1 beschrieben ein Auskunftsdienst über den Zertifikatsstatus Kündigung eines Zertifikats Ein Zertifikat kann entsprechend den vertraglichen Vorgaben beim Zertifizierungsdienst gekündigt werden. Die Informationen über das Zertifikat werden aber entsprechend den gesetzlichen Vorgaben im Verzeichnisdienst des Zertifizierungsdienstes verfügbar gehalten Treuhänderische Schlüsselhinterlegung Eine treuhänderische Schlüsselhinterlegung wird vom Zertifizierungsdienst nicht angeboten oder durchgeführt

17 5 Physikalische, organisatorische und personelle Sicherheitsmaßnahmen 5.1 Physikalische Sicherheitsmaßnahmen Lage und Aufbau des Standortes Der Zertifizierungsdienst der Deutschen Post Com wird in gesicherten Räumen am Standort Darmstadt betrieben. Die bauliche Infrastruktur ist derart gestaltet, dass ein hoher Schutz gegen Einbruch gewährleistet ist. Weiterhin wurden Vorkehrungen zum Schutz gegen Brand, Wasser und Blitzschlag getroffen Zugangskontrolle Der Zugang zu dem Gebäude des Zertifizierungsdienstes ist durch einen Einlassdienst gesichert. Der Zugang zu den Systemräumen ist videoüberwacht und durch Alarmanlagen und chipkartenbasierten Zutrittskontrollanlagen mit Vereinzelungsschleuse gesichert Stromversorgung und Klimakontrolle Die produktiven Systeme und die für ihren Schutz eingesetzten Systeme sind an eine ausfallsichere Stromversorgung mit redundanter Anbindung an den Energieversorger und unterbrechungsfreie Stromversorgungen angebunden. Die Klimatisierung der Technikräume und Rechner des Zertifizierungsdienstes ist durch separate, leistungsfähige Klimakontrollanlagen gewährleistet Schutz vor Wasserschäden Der Standort und insbesondere die Technikräume sind durch bauliche Maßnahmen vor Wassereinbrüchen gesichert Brandschutz Der Standort und insbesondere die Technikräume sind mit Brandmelde- und Feuerlöschanlagen ausgestattet Aufbewahrung von Datenträgern Datenträger mit kritischen Informationen (z.b. Backups) werden ausschließlich in gegen unbefugten Zutritt sowie Wasser und Brand geschützten Räumlichkeiten oder Tresoren aufbewahrt Abfallentsorgung Sämtliche für sicherheitskritische Systeme oder Informationen genutzte Datenträger und Chipkarten, werden vor der Entsorgung durch Schreddern des Datenträgers bzw. Chips physikalisch unbrauchbar gemacht. Dies gilt insbesondere für Chipkarten für die Zugangskontrolle zu den Räumlichkeiten des Zertifizierungsdienstes, Datenträger für den Transport von sensitiven Informationen und falsch personalisierte oder fehlerhafte Signaturkarten

18 5.2 Organisatorische Sicherheitsmaßnahmen Sicherheitskritische Rollen Sämtliche sicherheitskritische Tätigkeiten sind zu Rollen zusammengefasst, die in einem internen Rollenkonzept beschrieben werden. Diese Tätigkeiten dürfen ausschließlich von Personen durchgeführt werden, die den entsprechenden Rollen zugewiesen sind. Das Rollenmodell umfasst folgende Typen von Rollen: Systemoperatoren Systemadministratoren Rollen auf Ebene des Managements Anzahl benötigter Personen bei sicherheitskritischen Aufgaben Die folgenden Tätigkeiten werden ausschließlich im Vier-Augen-Prinzip durchgeführt: Durchführung von Prozeduren der Key Ceremony Administration der Komponenten des Zertifizierungsdienstes Identifikation und Authentisierung von Rollen Die Identifikation und Authentisierung der Benutzer erfolgt beim Zutritt zu sicherheitsrelevanten Räumen und beim Zugriff auf sicherheitsrelevante Systeme mit Hilfe von Chipkarten und/oder Benutzername und Passwort. In den Kontrollsystemen wird die Berechtigung des Benutzers mit Hilfe von Rollen geprüft Trennung von Rollen und Aufgaben Das Rollenkonzept regelt auch, welche Zuordnungen von Personen zu Rollen sich gegenseitig ausschließen. Dadurch ist gewährleistet, dass folgende Aufgaben jeweils von verschiedenen Personen durchgeführt werden: Administration und Operation eines Systems Betriebliche Tätigkeiten und Aufgaben des Managements Tätigkeiten bei der Karten-Personalisierung und beim Karten- und PIN-Brief-Druck Vergabe und Kontrolle von Zugangsberechtigungen 5.3 Personelle Sicherheitsmaßnahmen Anforderungen an Qualifikation und Erfahrung Der Zertifizierungsdienst beschäftigt nur zuverlässiges Personal mit den für die bereitgestellten Dienste erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen Sicherheitsüberprüfungen des Personals Bei allen Personen, die sicherheitskritische Aufgaben wahrnehmen, wird vor Aufnahme der Tätigkeit eine Zuverlässigkeitsprüfung durchgeführt

19 5.3.3 Anforderungen an die Schulung Die Mitarbeiter des ZDAs werden vor Aufnahme der Tätigkeit ausreichend geschult. Die Schulung beinhaltet u. a. eine Sensibilisierung der Mitarbeiter hinsichtlich der Sicherheitsrelevanz ihrer Arbeit. Die Mitarbeiter werden im laufenden Betrieb auf ihre Fachkunde hin beurteilt, ggf. werden Nachschulungen veranlasst Wiederholungen der Schulungen Je nach Aufgabe des Mitarbeiters werden die entsprechenden Schulungen regelmäßig oder bei Bedarf wiederholt Job-Rotationen Die Trennung von Rollen und Aufgaben gemäß Abschnitt und die Durchführung sicherheitskritischer Aufgaben im Vier-Augen-Prinzip gemäß Abschnitt macht eine regelmäßige Rollenumverteilung nicht erforderlich Sanktionen bei unzulässigen Handlungen Sollte ein Mitarbeiter des ZDAs die Anweisungen und Vorschriften verletzen, werden Maßnahmen zur Verhinderung zukünftiger Verletzungen ergriffen. In schweren Fällen beinhaltet dies auch arbeits- und strafrechtliche Maßnahmen Vertragsbedingungen mit dem Personal Der Zertifizierungsdienst verpflichtet seine Mitarbeiter auf die Einhaltung von Anweisungen und gesetzlichen Vorschriften. Diese beinhalten insbesondere eine Verpflichtung, personenbezogene Daten vertraulich zu behandeln. 5.4 Protokollierung sicherheitskritischer Ereignisse Die folgenden Ereignisse werden schriftlich protokolliert: Protokolle sicherheitskritischer Prozeduren (z.b. Prozeduren von Key Ceremony, Nottfallprozeduren, Modifikationen der Systeme) Zugang zu den geschützten Räumlichkeiten durch externes Personal Ausgabe von Zutritts-Chipkarten Zuweisung und Entzug von Rollen 5.5 Archivierung von Protokolldaten Die archivierten Daten werden entsprechend den gesetzlichen Vorgaben aufbewahrt. 5.6 Wiederanlauf nach Katastrophen Notfallprozeduren Es existiert ein interner Notfallplan, in dem die Prozeduren und Verantwortlichkeiten bei Notfällen und Katastrophen geregelt sind. Zielsetzung dieser Notfallprozeduren ist die Minimierung von Ausfällen der Zertifizierungsdienstleistungen bei gleichzeitiger Aufrechterhaltung der Sicherheit

20 Die Notfallprozeduren sehen insbesondere die Protokollierung der einzelnen Maßnahmen und Tätigkeiten vor. Anhand dieser Protokolle kann die Einhaltung der Notfallprozeduren bei der Revision geprüft werden (siehe Abschnitt 8) Wiederherstellung nach Kompromittierung von Ressourcen Die Prozeduren zur Wiederherstellung nach einer Kompromittierung von Ressourcen sind in einem internen Recovery-Konzept festgelegt Kompromittierung von Schlüsseln des Zertifizierungsdienstes Im Falle der Kompromittierung oder vermuteten Kompromittierung von privaten Schlüsseln des Zertifizierungsdienstes wird das jeweilige Zertifikat sofort gesperrt. Gleichzeitig werden alle mit Hilfe dieses Zertifikats direkt oder mittelbar ausgestellten Zertifikate gesperrt. Sofern der Verdacht besteht, dass die für die Erzeugung und Anwendung des privaten Schlüssels eingesetzten Algorithmen, Parameter oder Geräte unsicher sind, wird vom Zertifizierungsdienst eine entsprechende Untersuchung durchgeführt. Alle betroffenen Zertifikatsinhaber werden vom Zertifizierungsdienst benachrichtigt Notbetrieb im Katastrophenfall Die Prozeduren für den Notbetrieb im Katastrophenfall sind in einem internen Recovery-Konzept festgelegt. 5.7 Einstellung des Zertifizierungsdienstes Im Falle der endgültigen Einstellung des Zertifizierungsdienstes werden die folgenden Maßnahmen ergriffen: Die Bundesnetzagentur als Aufsichtsstelle für akkreditierte Zertifizierungsdiensteanbieter wird umgehend von der Einstellung des Zertifizierungsdienstes informiert. Die bei Einstellung der Tätigkeit gültigen Zertifikate werden entweder an einen anderen Zertifizierungsdiensteanbieter übergeben oder gesperrt. Alle privaten Schlüssel der Zertifizierungsstelle werden vernichtet. Die Zertifikatsinhaber werden über die Einstellung des Zertifizierungsdienstes und die daraus resultierenden Folgen informiert

21 6 Technische Sicherheitsvorkehrungen 6.1 Erzeugung und Installation von Schlüsselpaaren Erzeugung von Schlüsselpaaren Die Schlüsselpaare der Signaturkarte werden während der Vorpersonalisierung innerhalb der Karte erzeugt Übergabe öffentlicher Schlüssel an die Zertifizierungsinstanz Die öffentlichen Schlüssel werden bei der Kartenpersonalisierung aus der Chipkarte ausgelesen und an die Zertifizierungsinstanz übertragen Übergabe öffentlicher Schlüssel an die Schlüsselbenutzer Die öffentlichen Schlüssel der Signaturkarten werden durch die Übergabe der Signaturkarte an den Zertifikatsinhaber ausgeliefert Schlüssellängen Innerhalb der Signaturkarte wird RSA mit einer Länge von 2048 Bit (Länge des geheimen Schlüssels) verwendet. Die vom Zertifizierungsdienst verwendeten Schlüssel (CA, Verzeichnisdienst, Zeitstempeldienst) beruhen auf RSA mit einer Länge von mindestens 2048 Bit. 6.2 Schutz der privaten Schlüssels und der kryptographischen Module Standards und Schutzmechanismen der kryptographischen Module Die Chipkarten, die für die Speicherung der Schlüssel, auf denen die qualifizierten Zertifikate beruhen, verwendet werden, wurden nach [SigG] 15 Abs. 7 Satz 1 und [SigV] 11 Abs. 3 bestätigt Aufteilung der Kontrolle über private Schlüssel auf mehrere Personen Jeglicher administrativer oder operativer Zugriff auf die internen Signaturkarten (CA, Verzeichnisdienst, Zeitstempeldienst) des Zertifizierungsdienstes wird im Vier-Augen-Prinzip durchgeführt Treuhänderische Hinterlegung privater Schlüssel Eine treuhänderische Hinterlegung privater Schlüssel wird durch den Zertifizierungsdienst nicht durchgeführt Sicherung und Wiederherstellung privater Schlüssel Die privaten Schlüssel, auf denen die Authentisierungs- und Verschlüsselungszertifikate beruhen, werden gesichert und können auch wiederhergestellt werden. Die privaten Schlüssel für den qualifizierten Bereich werden nicht gesichert und können daher auch nicht wieder hergestellt werden

22 6.2.5 Archivierung privater Schlüssel Private Schlüssel für den qualifizierten Bereich werden nicht archiviert. Die privaten Schlüssel, auf denen die Authentisierungs- und Verschlüsselungszertifikate beruhen, werden archiviert Speicherung privater Schlüssel Die privaten Schlüssel für den qualifizierten Bereich werden ausschließlich in den Signaturkarten gespeichert. Die Schlüsselpaare für die Authentisierungs- und Verschlüsselungszertifikate werden sowohl auf der Signaturkarte gespeichert als auch als Backup für die erneute Zertifizierung verschlüsselt und gesichert in einer internen Datenbank gespeichert. Private Schlüssel der internen Signaturkarten des Zertifizierungsdienstes werden ausschließlich in diesen gespeichert Methoden zur Aktivierung privater Schlüssel Die privaten Schlüssel der Signaturkarte sind durch Eingabe der jeweils zugehörigen PIN aktivierbar. 6.3 Weitere Aspekte der Schlüsselverwaltung Archivierung öffentlicher Schlüssel Der Zertifizierungsdienst speichert die ausgestellten Zertifikate mit den öffentlichen Schlüsseln in seinem Verzeichnisdienst Verwendungsdauern von Zertifikaten und Schlüsselpaaren Die Gültigkeit der vom ZDA Deutsche Post Com ausgestellten qualifizierten Zertifikate beträgt in der Regel 5 Jahre. 6.4 Aktivierungsdaten Erzeugung und Installation von Aktivierungsdaten Die Transport-PINs zur Sicherung des unversehrten Zustands der Signaturkarte wird automatisiert in einem Hardware Security Module (HSM) auf Zufallszahlen beruhend erzeugt Schutzmaßnahmen für Aktivierungsdaten Die erzeugten Transport-PINs gelten als nicht schützenwert. 6.5 Sicherheitsbestimmungen für Computer Spezifische Sicherheitsanforderungen für Computer Für die Rechner, die die zentralen Funktionen des Zertifizierungsdienstes implementieren, insbesondere die Rechner der Zertifizierungsinstanzen, die Server des OCSP-Responders,

23 die Verzeichnisdienst-Server, die für die Kartenpersonalisierung eingesetzten Rechner, die für die Kommunikation der genannten Systeme verwendeten Rechner sowie alle Rechner, die dem Schutz der Einrichtungen des Zertifizierungsdienstes dienen, gelten die folgenden Sicherheitsanforderungen: Auf dem Rechner ist nur die für die jeweilige Funktion notwendige Software installiert. Der Rechner besitzt nur die für die jeweilige Funktion notwendigen Kommunikationsschnittstellen. Insbesondere sind die Rechner nur in die für ihre Funktion notwendigen Teilnetzwerke integriert. Unnötige Funktionen des Betriebssystems und der installierten Software werden sofern möglich deaktiviert. Falls Sicherheitsrisiken in der verwendeten Software bekannt werden, ergreifen die Systemadministratoren die vom Hersteller bzw. von unabhängigen Experten empfohlenen Gegenmaßnahmen. Der Zugriff auf die Rechner ist auf das für den Betrieb des Zertifizierungsdienstes notwendige Maß beschränkt. Insbesondere werden die Rechner nur durch die verantwortlichen Systemadministratoren verwaltet. Nicht mehr benötigte Daten (z. B. nach Ablauf der Aufbewahrungsfristen) werden von den Rechnern gelöscht. Die Löschung erfolgt in einer Weise, die eine teilweise oder vollständige Rekonstruktion unmöglich macht. Sicherheitskritische Ereignisse auf den Rechnern werden protokolliert. Systeme mit hohen Verfügbarkeitsanforderungen sind redundant ausgelegt, so dass bei Ausfall eines Rechners die Funktion erhalten bleibt. Mittels unterbrechungsfreier Stromversorgungen werden Schwankungen in der Stromversorgung ausgeglichen und Stromausfälle bis zu einer Dauer von mehreren Stunden überbrückt. Modifikationen der Systeme werden zuerst an einem Testsystem erprobt und vor der Anwendung am Produktivsystem die relevanten Systemdaten gesichert Bewertung der Computersicherheit Im Sicherheitskonzept des Zertifizierungsdienstes wurde eine Bedrohungsanalyse durchgeführt, welche die Wirksamkeit aller getroffenen Maßnahmen untersucht. Die Bedrohungsanalyse orientiert sich dabei an den Vorgaben des Signaturgesetzes für Zertifizierungsdienste, die qualifizierte Zertifikate ausstellen. 6.6 Technische Kontrollen des Software-Lebenszyklus Sicherheitsmaßnahmen bei der Systementwicklung Bei der Systementwicklung wurden die für die Entwicklung von IT-Sicherheitssystemen üblichen Sicherheitsmaßnahmen beachtet

24 6.6.2 Sicherheitsmanagement Im Sicherheitskonzept des Zertifizierungsdienstes sind umfassende Vorgaben für das Sicherheitsmanagement definiert Bewertung der Maßnahmen zur Kontrolle des Lebenszyklus Im Sicherheitskonzept des Zertifizierungsdienstes wurde eine Bedrohungsanalyse durchgeführt, welche die Wirksamkeit aller getroffenen Maßnahmen untersucht. Die Bedrohungsanalyse orientiert sich dabei an den Vorgaben des Signaturgesetzes für Zertifizierungsdienste, die qualifizierte Zertifikate ausstellen. 6.7 Maßnahmen zur Netzwerksicherheit Die Zertifizierungsstelle implementiert die folgenden Maßnahmen zur Netzwerksicherheit: Die Netzwerke des Zertifizierungsdienstes sind durch Firewalls vom Internet getrennt. Sicherheitskritische Systeme, die vom Internet aus erreichbar sein müssen (z.b. OCSP-Responder, Verzeichnisdienst, Zeitstempeldienst), sind in einer DMZ untergebracht, die vom Internet und den internen Netzen des Zertifizierungsdienstes durch Firewalls getrennt sind. Alle anderen sicherheitskritischen Systeme befinden sich in den internen Netzen. Die internen Netzwerke des Zertifizierungsdienstes sind soweit möglich nach dem Schutzbedarf der Systeme aufgeteilt. Die Trennung in Teilnetze erfolgt durch Firewalls. Firewalls beschränken den Datenverkehr auf das für den Betrieb notwendige Maß. 6.8 Zeitstempel Der Zertifizierungsdienst betreibt einen eigenen Zeitstempeldienst. Zeitangaben in Protokoll- und Anwendungsdaten (insbesondere in Zertifikaten und Antworten des Auskunftsdienstes für den Zertifikatsstatus) des Zertifizierungsdienstes basieren auf der Systemzeit des Systems, das diese Daten generiert. Die Systemzeiten der Systeme des Zertifizierungsdienstes werden permanent mit der Zeit der physikalisch technischen Bundesanstalt in Braunschweig synchronisiert

25 7 Profile 7.1 Zertifikatsprofile Die ausgestellten Zertifikate sind X.509v3 nach Common PKI 2.0. Für die qualifizierten Zertifikate gilt zusätzlich das Common PKI SigG-Profile (Part 9) Versionsnummer Alle Zertifikate werden nach X.509 Version 3 erstellt Erweiterungen Die Erweiterungen (Extensions) der Zertifikate folgen der Common PKI 2.0. Die Bestimmungen zur Schlüsselverwendung finden sich in der Tabelle 1. Qualifiziertes Signaturzertifkat Authentisierungszertifikat Verschlüsselungszertifikat Key Usage (critical) digitalsignature keyencipherment dataencipherment nonrepudiation Extended Key Usage clientauthentication protection keyencipherment Tabelle 1: Key Usage und Extended Key Usage OID für kryptographische Algorithmen Bei den vom Zertifizierungsdienst ausgestellten Zertifikaten enthält das Feld signaturealgorithm den ASN.1 Object Identifier (OID) sha256withrsaencryption Namensformen Als Namensform werden Distinguished Names nach X.500/X.501, wie in Abschnitt angegeben, verwendet. Die Namen der Ausstellers (issuer) entsprechen dabei den Namen des Inhabers (subject) im Zertifikat der ausstellenden CA

26 7.1.5 Namensform-Einschränkungen In Erfüllung der Vorgaben von Common PKI 2.0 kann der Name (commonname) des Zertifikats-Inhabers maximal 64 Zeichen lang sein. Überlange Namen werden daher vom Zertifizierungsdienst gekürzt. Diese Kürzung kann von der Kürzung der Namensschreibweise auf der Signaturkarte abweichen

27 8 Revision und andere Bewertungen 8.1 Häufigkeiten von Revisionen Eine Revision des Zertifizierungsdienstes wird mindestens alle drei Jahre sowie bei Bedarf nach sicherheitskritischen Veränderungen und Vorfällen durchgeführt. 8.2 Identität und Qualifikation des Revisors Die Revision erfolgt durch eine von der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle, die über umfangreiche Kenntnisse und Erfahrungen verfügt. 8.3 Beziehungen zwischen Revisor und zu untersuchender Partei Beim Revisor handelt es sich um einen von der Deutschen Post Com unabhängigen Dritten. 8.4 Umfang der Prüfung Zielsetzung der Revision ist die Überprüfung der Umsetzung der im Sicherheitskonzept des Zertifizierungsdienstes definierten Maßnahmen. Den Umfang der Revision legt der Revisor selbst fest. Dabei bezieht er alle Systeme, Einrichtungen, Verfahren und Informationen mit ein, die für die Umsetzung des Sicherheitskonzeptes relevant sind. Die Prüfung umfasst insbesondere die folgenden Bereiche: Einrichtungen zur physikalischen Sicherheit (z.b. Brandschutz, Zugangsschutz, Siegel) Konfigurationen der sicherheitskritischen Systeme Protokolle sicherheitskritischer Prozeduren (z.b. Prozeduren der Key Ceremony, Notfallprozeduren, Modifikationen der Systeme) Dokumentation der personellen Sicherheitsmaßnahmen (z.b. Schulungsnachweise, Dokumentation der Sicherheitsüberprüfungen) Dokumentationen von Prozeduren und Systemen (z.b. Notfallpläne, Systemhandbücher) Archivdaten Inventarlisten der eingesetzten Hard- und Software 8.5 Maßnahmen bei Mängeln Bei geringfügigen Mängeln vermerkt der Revisor diese im Revisionsbericht und stellt als Auflage für die Akkreditierung die Behebung der Mängel. Bei schwereren Mängeln wird die Akkreditierung des Zertifizierungsdienstes erst verlängert, wenn die festgestellten Mängel beseitigt wurden. 8.6 Veröffentlichung der Ergebnisse Die Ergebnisse der Revision dokumentiert der Revisor in einem Bericht an die Deutsche Post Com und an die Bundesnetzagentur als zuständige Behörde. Eine Veröffentlichung der Ergebnisse findet nicht statt

28 9 Weitere geschäftliche und rechtliche Regelungen 9.1 Preise Die Preise ergeben sich aus der Preisliste in der jeweils gültigen Fassung. 9.2 Vertraulichkeit betrieblicher Informationen Art der geheim zu haltenden Information Als vertraulich gelten alle nicht veröffentlichten Zertifikate und alle Informationen, die nicht Bestandteil des Zertifikats sind, insbesondere Geschäfts- und Betriebsgeheimnisse des Zertifikatsinhabers Öffentliche Informationen Als öffentlich gelten alle Informationen in ausgestellten und veröffentlichten Zertifikaten, die Widerrufslisten sowie alle veröffentlichten Versionen des CPS. 9.3 Vertraulichkeit personenbezogener Informationen Geheimhaltung Der Zertifizierungsdiensteanbieter beachtet die einschlägigen Vorschriften zur Geheimhaltung von vertraulichen Daten, insbesondere das Datenschutzgesetz Vertrauliche personenbezogene Daten Als vertraulich gelten alle nicht veröffentlichten Zertifikate und alle personenbezogenen Daten, die nicht Bestandteil des Zertifikats sind Nicht geheime Informationen Als öffentlich gelten alle Informationen in ausgestellten und veröffentlichten Zertifikaten sowie die Widerrufslisten Verantwortlichkeit für den Schutz privater Informationen Der Zertifizierungsdiensteanbieter wird Daten des Zertifikatsinhabers, soweit sie in personenbezogener Form vorliegen, unter Einhaltung der einschlägigen Bestimmungen des Datenschutzgesetzes behandeln. Die Daten werden ausschließlich zum Zweck der Dienstleistungen des Zertifizierungsdiensteanbieters verarbeiten. Verwendet der Zertifikatsinhaber ein Pseudonym, ist der Zertifizierungsdiensteanbieter berechtigt, die wahre Identität des Zertifikatsinhabers berechtigten Dritten preiszugeben Einverständniserklärung zur Nutzung privater Informationen Der Zertifizierungsdiensteanbieter verarbeitet personenbezogene Daten allein zum Zweck der Dienstleistungen des Zertifizierungsdiensteanbieters. Eine weitergehende kommerzielle Nutzung dieser Daten durch die Deutsche Post Com findet nicht statt

29 9.3.6 Weitergabe von Informationen an Ermittlungsinstanzen oder Behörden Die Verpflichtung nach 14 Abs 2 [SigG] zur Weitergabe von Informationen an Ermittlungsinstanzen und andere berechtigte Behörden wird vom Zertifizierungsdiensteanbieter eingehalten. 9.4 Geistiges Eigentum Bestand und Inhalt von Urheber- und sonstigen Immaterialgüterrechten richten sich nach den allgemeinen gesetzlichen Vorschriften. 9.5 Haftung des Zertifizierungsdiensteanbieters Die Haftung des Zertifizierungsdiensteanbieters richtet sich nach den jeweiligen gesetzlichen Bestimmungen, insbesondere nach dem Signaturgesetz sowie dem Schadenersatzrecht des Allgemeinen Bürgerlichen Gesetzbuches. 9.6 Pflichten des Zertifikatsinhabers Die Pflichten des Zertifikatsinhabers richten sich nach den Bestimmungen des Signaturgesetzes. 9.7 Gültigkeit des CPS Gültigkeitszeitraum Dieses CPS ist vom Tage seiner Veröffentlichung an gültig. Seine Gültigkeit endet mit der Einstellung der Zertifizierungsdienste (siehe Abschnitt 5.7) Vorzeitiger Ablauf der Gültigkeit Die Gültigkeit dieses CPS endet vorzeitig mit der Veröffentlichung einer neuen Version. 9.8 Kommunikation mit den Teilnehmern Für Fragen und Anliegen bzgl. ihrer Signaturkarte steht den Inhabern die Signtrust-Webseite sowie die in Abschnitt angegebene Kontaktadresse zur Verfügung. Es werden dabei keine allgemeinen Anforderungen an die Form der Anfragen gestellt. 9.9 Änderungen/Ergänzungen des CPS Verfahren für die Änderung/Ergänzung des CPS Der Zertifizierungsdiensteanbieter behält sich die Änderung dieses Dokuments vor. Diese kann insbesondere durch eine Weiterentwicklung der technischen oder rechtlichen Gegebenheiten erforderlich sein. Die Änderung erfolgt durch den Zertifizierungsdiensteanbieter. Der Zertifizierungsdiensteanbieter wird die neue Version dieses Dokuments gemäß dem Verfahren im CPS und, falls erforderlich, der zuständigen Aufsichtsbehörde anzeigen Benachrichtigungsverfahren und Veröffentlichungsperioden Sollten die Änderungen sicherheitsrelevante Aspekte oder die Verfahren hinsichtlich der Zertifikatsinhaber betreffen, wie beispielsweise Änderungen des Registrierungsablaufs, des Verzeichnis- oder Sperrdienstes, der