Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Transkript

1 Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version

2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) 1. Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz 4 2. Rahmenbedingungen Produkte für qualifizierte elektronische Signaturen Zertifizierungsdiensteanbieter Bestätigung nach SigG Herstellererklärung und Konformitätsnachweis SigG und SigV 6 3. datenschutz cert GmbH Leitlinien Akkreditierungen Kontakt 8 Seite 2

3 Historie Version Datum geänderte Kapitel Grund der Änderung geändert durch Anpassung zur Veröffentlichung als Kriterienkatalog Sönke Maseberg Dokumenten-Überwachungsverfahren Status: final Prozess-/Dokumentbesitzer: Dr. Maseberg Version: Seite 3

4 1. Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz Das Signaturgesetz normiert Rahmenbedingungen für qualifizierte elektronische Signaturen und definiert in diesem Kontext sowohl Anforderungen an Produkte für qualifizierte elektronische Signaturen als auch Anforderungen an Sicherheitskonzepte akkreditierter Zertifizierungsdiensteanbieter sogenannte Trust Center. Produkte für qualifizierte elektronische Signaturen müssen gemäß 15 Abs. 7 und 17 Abs. 4 Signaturgesetz von einer unabhängigen Prüfstelle geprüft und von einer Bestätigungsstelle bestätigt werden. Sicherheitskonzepte akkreditierter Zertifizierungsdiensteanbieter müssen gemäß 15 Abs. 2 Signaturgesetz von einer Prüf- und Bestätigungsstelle bestätigt werden. Das Signaturgesetz sieht daneben vor, dass für Signaturanwendungskomponenten und technische Komponenten für qualifizierte elektronische Signaturen eine Herstellererklärung ausreichend ist, in welcher der Hersteller selbst bestätigt, dass seine Komponenten die signaturrechtlichen Anforderungen umsetzen. Gemäß 17 Abs. 4 SigG muss eine solche Herstellererklärung mit Inverkehrbringen der Software bei der Bundesnetzagentur eingereicht werden. Die datenschutz cert GmbH kann diese Prüfungen und Bestätigungen sowie die Prüfung von Herstellererklärungen durchführen. Die datenschutz cert GmbH --- ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditierte Prüfstelle für IT-Sicherheit (für Prüfungen gemäß Common Criteria) und --- bei der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle gemäß Signaturgesetz. Im Nachfolgenden wird vorgestellt, wie die datenschutz cert GmbH Prüfungen und Bestätigungen nach SigG durchführt und welche Kriterien zugrunde gelegt werden. Bremen, den 28. Februar 2012 Dr. Sönke Maseberg/ datenschutz cert GmbH Seite 4

5 2. Rahmenbedingungen Signaturgesetz (SigG) und -verordnung (SigV) geben die Rahmenbedingungen sowie die Prüftiefe vor. 2.1 Produkte für qualifizierte elektronische Signaturen Das Signaturgesetz definiert die folgenden Produkte für qualifizierte elektronische Signaturen: --- sichere Signaturerstellungseinheiten, in denen der Signaturschlüssel gespeichert und angewendet wird, --- Signaturanwendungskomponenten, mit denen Daten dem Prozess der Erzeugung oder Prüfung qualifizierter elektronischer Signaturen zugeführt oder Signaturen oder Zertifikate nachgeprüft werden können, und --- technische Komponenten für Zertifizierungsdienste, mit denen Signaturschlüssel erzeugt und in eine sichere Signaturerstellungseinheit übertragen werden, qualifizierte Zertifikate öffentlich nachprüfbar und ggf. abrufbar gehalten werden oder qualifizierte Zeitstempel erzeugt werden können. 2.2 Zertifizierungsdiensteanbieter Neben den Produkten für qualifizierte elektronische Signaturen formuliert das Signaturgesetz Anforderungen an Sicherheitskonzepte akkreditierter Zertifizierungsdiensteanbieter (ZDA), wo beschrieben wird, wie und nach welchen Regelungen das Trustcenter arbeitet - etwa bzgl. des Ausstellens qualifizierter Zertifikate oder den Betrieb eines Verzeichnis- oder Zeitstempeldienstes. 2.3 Bestätigung nach SigG Produkte für qualifizierte elektronische Signaturen müssen gemäß 15 Abs. 7 und 17 Abs. 4 Signaturgesetz sofern keine Herstellererklärung ausreicht von einer unabhängigen Prüfstelle geprüft und von einer Bestätigungsstelle bestätigt werden. Es ist möglich, nach Signaturgesetz aber nicht vorgeschrieben, zusätzlich eine Zertifizierung zur Erlangung eines Common Criteria- oder ITSEC- Zertifikates durchzuführen. Gemäß 15 Abs. 2 SigG müssen akkreditierte Zertifizierungsdiensteanbieter ihr Sicherheitskonzept nach 4 Abs. 2 Satz 4 SigG von einer Prüf- und Bestätigungsstelle auf Eignung und praktische Umsetzung prüfen und bestätigen lassen. 2.4 Herstellererklärung und Konformitätsnachweis Das Signaturgesetz sieht weiter vor, dass für Signaturanwendungskomponenten und technische Komponenten für qualifizierte elektronische Signaturen eine Herstellererklärung ausreichend ist, in welcher der Hersteller selbst bestätigt, dass seine Komponenten die signaturrechtlichen Anforderungen umsetzen. Gemäß 17 Abs. 4 SigG muss eine solche Herstellererklärung mit Inverkehrbringen der Software bei der Bundesnetzagentur eingereicht werden. Eine Herstellererklärung ist damit eine dem Signaturgesetz nach mögliche Alternative zu einer Bestätigung durch eine anerkannte Bestätigungsstelle auf Basis einer Seite 5

6 Evaluierung. Ein wesentlicher Unterschied kann nicht nur die Tiefe der Prüfung sein, sondern ist letztlich auch eine Haftungsfrage: Während bei einer Bestätigung zunächst eine umfangreiche Evaluation nach Common Criteria durch eine Prüfstelle erfolgt, erklärt bei einer Herstellererklärung - der Name sagt es bereits - der Hersteller selbst, dass sein Produkt alle Anforderungen von Signaturgesetz und -verordnung erfüllt. Herstellererklärungen werden von der zuständigen Behörde - der Bundesnetzagentur - geprüft und veröffentlicht, sofern sie den Anforderungen genügen. Die Bundesnetzagentur hat erklärt, dass Herstellererklärungen, die zusammen mit einem Konformitätsnachweis eingereicht werden, ohne weitere formale Prüfung veröffentlicht werden. Konformitätsnachweise werden dabei von anerkannten Bestätigungsstellen ausgestellt. 2.5 SigG und SigV Die gesetzlichen Rahmenbedingungen geben Signaturgesetz und -verordnung in der jeweils aktuellen Fassung vor. Zusätzlich sind Interpretationen der zuständigen Behörde der Bundesnetzagentur zu berücksichtigen. Der Kriterienkatalog leitet sich direkt aus den signaturrechtlichen Vorgaben ab. Die Vorgehensweise wird von der zuständigen Behörde vorgegeben. Seite 6

7 3. datenschutz cert GmbH Die datenschutz cert GmbH bietet Konformitätsbewertungen auf dem Gebiet des Datenschutzes und der Informationssicherheit an. Diese Konformitätsbewertungen schließen sowohl Prüfaktivitäten als auch Zertifizierungstätigkeiten ein einerseits für IT-Systeme und -Produkte und andererseits für Verfahren und Managementprozesse. Die datenschutz cert GmbH ist ein Unternehmen der datenschutz nord-gruppe. Sitz der Gesellschaft ist Bremen. Geschäftsführer ist Dr. Sönke Maseberg. 3.1 Leitlinien Die datenschutz cert GmbH bietet Konformitätsbewertungen unter folgenden grundsätzlichen Leitlinien an: Unabhängigkeit und Unparteilichkeit Wir sind unabhängig und unparteilich. Es gilt das übergeordnete Interesse und die vorrangige Pflicht, Auditierungen, Evaluierungen, Zertifizierungen und Bestätigungen entsprechend den Vorgaben frei von internen und externen kommerziellen, finanziellen und sonstigen Zwängen durchzuführen. Maßstab ist das jeweilige Kriterienwerk. Zudem führen wir keinerlei Beratung durch. Wir haben einen "Ausschuss zur Sicherstellung der Unparteilichkeit der datenschutz cert GmbH" (Ausschuss) etabliert, mit dem die grundsätzlichen Regelungen zur Unabhängigkeit und Unparteilichkeit der Zertifizierungstätigkeiten diskutiert und durchgeführte Zertifizierungsprozesse auf ihre Unabhängigkeit hin überprüft werden. Zur Gewährleistung der Unabhängigkeit und Unparteilichkeit unserer erteilten Zertifikate setzen wir für den Auditierungs- und Zertifizierungsprozess darüber hinaus regelmäßig externe Fachbegutachter ein Vertraulichkeit Wir sichern Ihnen Vertraulichkeit zu Offenheit und Transparenz Wir sind offen und transparent hinsichtlich unser Tätigkeiten, d.h. Seite wir kommunizieren klar und unmissverständlich, was und nach welchen Regeln geprüft und zertifizieren wird; --- unsere Zertifikate und Auditreports sind klar und verständlich formuliert; --- wir veröffentlichen die zugrundeliegenden Regelwerke - sofern nicht durch Copyright geschützt -; --- wir benennen klar, wofür wir akkreditiert sind; --- wir lassen uns selber regelmäßig auditieren; --- wir sind offen für alle Anfragen und Beschwerden: Wenn Sie Fragen zu einem von uns erteilten Zertifikat haben oder potentiell den Missbrauch eines Zertifikats vermuten: Bitte sprechen Sie uns an. Wir sichern Ihnen Ver-

8 traulichkeit zu und gehen der Sache nach. Wir informieren Sie über den Stand der Untersuchung sowie den Abschluss Datenschutz Wir kommen aus dem Datenschutz. Jede Art von Konformitätsprüfung wird - im Rahmen des jeweiligen Untersuchungsgegenstands - unter den besonderen Aspekten des Datenschutzes beleuchtet. Dadurch stellen wir sicher, dass die von uns geprüften und bewerteten IT-Produkte und -Systeme den Anforderungen des Datenschutzes genügen. Unser Anspruch ist, dass sich "datenschutz certifizierte" Produkte und Prozesse etablieren und für unsere Kunden einen Mehrwert zu einem besseren Datenschutz darstellen und dass unser Zertifikat eine entsprechende Anerkennung genießt. 3.2 Akkreditierungen Die datenschutz cert GmbH ist bei der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle gemäß Signaturgesetz. Die datenschutz cert GmbH ist als Prüfstelle für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiert und ist danach berechtigt, Evaluierungen gemäß Common Criteria (CC) durchzuführen. Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO akkreditierte Zertifizierungsstelle für ISO konforme Informationssicherheits-Managementsysteme. Die datenschutz cert GmbH ist darüber hinaus als Gutachter des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein akkreditiert. Die Akkreditierung gilt sowohl für den Bereich Technik als auch für den Bereich Recht. Die datenschutz cert GmbH beschäftigt beim BSI lizenzierte IT-Grundschutz-/ ISO Auditoren. 3.3 Kontakt datenschutz cert GmbH Konsul-Smidt-Str. 88a Bremen Tel.: Fax: office@datenschutz-cert.de Internet: Seite 8