Herstellererklärung für eine Signaturanwendungskomponente gemäß 17 Abs. 4 Satz 2 Signaturgesetz 1 Großenbaumer Weg 6 40472 Düsseldorf erklärt hiermit gemäß 17 Abs. 4 Satz 2 Signaturgesetz 1, dass das Produkt AuthentiDate ebilling Signatur Server Ver. 2.4.0 den nachstehend genannten Anforderungen des Signaturgesetzes 1, bzw. der Signaturverordnung 2 entspricht. Düsseldorf, den 12.08.2005 Düsseldorf, den 12.08.2005 gez. Jan Wendenburg Geschäftsführer gez. Dr. Percy Dahm Geschäftsführer Beschreibung des Produkts für qualifizierte elektronische Signaturen: 1 Hersteller und Handelsbezeichnung des Produkts Hersteller des Produkts ist die. Die ist ein Tochterunternehmen der AuthentiDate International AG: Großenbaumer Weg 6 40472 Düsseldorf Telefonnummer: 0211 436989 0 Telefax: 0211 436989 19 Geschäftsführer: Jan Wendenburg, Dr. Percy Dahm Handelsregisterauszug: HR B 41892 1 Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften in der Fassung vom 16. Mai 2001, Bundesgesetzblatt 2001, Teil I, Nr. 22 vom 21. Mai 2001, S. 876 ff, Stand: Geändert durch Art. 1 G v. 4. 1.2005 I 2 2 Verordnung zur elektronischen Signatur in der Fassung vom 16. November 2001, Bundesgesetzblatt 2001, Teil I, Nr. 59 vom 21. November 2001, S. 3074 ff, Stand: Geändert durch Art. 2 G v. 4. 1.2005 I 2 Die vorliegende Herstellererklärung mit der Dokumenten-Nummer MDADDeBSS2.4.0-2 besteht aus 8 Seiten einschließlich Deckblatt.
- 2 - Die Handelsbezeichnung des Produkts ist: AuthentiDate ebilling Signatur Server Version 2.4.0 2 Funktionsbeschreibung und Eigenschaften Das Produkt ist eine Signaturanwendungskomponente entsprechend 2 Nr. 11 Signaturgesetz, die Daten dem Prozess der Erzeugung qualifizierter elektronischer Signaturen zuführt. Das Produkt ist für den Einsatz in einer geschützten Einsatzumgebung bestimmt. Die zu signierenden Daten werden vor der Signaturerzeugung und deren optionaler Darstellung vor unbefugter Manipulation geschützt. Signaturen werden konform zur ISIS-MTT-Spezifikation erstellt. Zur Erhöhung der Signaturrate können mehrere sichere Signaturerstellungseinheiten gleichzeitig verwendet werden. Die Verwendung sicherer Signaturerstellungseinheiten nach 17 Abs. 1 Signaturgesetz, bzw. 15 Abs. 1 Signaturverordnung, sowie nach den Anforderungen von Signaturgesetz und Verordnung geprüfter und bestätigter Chipkarten-Terminals wird vorausgesetzt. Diese gehören nicht zum Lieferumfang des Produkts und sind daher auch nicht Gegenstand dieser Erklärung. 3 Erfüllung des Signaturgesetzes und der Signaturverordnung 3.1 Erfüllte Anforderungen Die vorgenannte Signaturanwendungskomponente erfüllt die Anforderungen nach 17 Abs. 2 Signaturgesetz und 15 Abs. 2 und Abs. 4 Signaturverordnung. Da die Signaturanwendungskomponente ausschließlich der Erzeugung qualifizierter elektronischer Signaturen dient, finden 17 Abs. 2 Satz 2 Signaturgesetz und 15 Abs. 2 Nr. 2 Signaturverordnung hinsichtlich der Überprüfung qualifizierter elektronischer Signaturen keine Anwendung. Im Einzelnen wird folgenden Anforderungen entsprochen: Identifikationsdaten zur Anwendung von Signaturschlüsseln werden ausschließlich auf der Signaturerstellungseinheit gespeichert. Der Zugriff auf die Signaturerstellungseinheit erfolgt durch Chipkarten-Terminals, die über eigene Tastatur und Display verfügen. Eine Preisgabe der Identifikationsdaten kann hierdurch ausgeschlossen werden ( 15 Abs. 2 Nr. 1 a) Signaturverordnung). Als Chipkarten-Terminals sind ausschließlich solche zu verwenden, die nach Signaturgesetz und Signaturverordnung geprüft und bestätigt sind. Sie gehören nicht zum Lieferumfang und sind daher auch nicht Gegenstand dieser Erklärung. Sie sind separat von einem entsprechenden Anbieter zu beziehen. Die Erzeugung von Signaturen erfolgt nur durch die berechtigt signierende Person ( 15 Abs. 2 Nr. 1 b) Signaturverordnung), da Signaturvorgänge explizit durch den Signaturschlüssel-Inhaber freigegeben werden. Die Erzeugung von qualifizierten elektronischen Signaturen wird durch die o.g. Chipkarten- Terminals angezeigt ( 17 Abs. 2 Satz 1 Signaturgesetz und 15 Abs. 2 Nr. 1 c) Signaturverordnung), indem die Aufforderung zur Eingabe der Identifikationsdaten erfolgt. Die zu signierenden Daten können vor Erzeugung der qualifizierten elektronischen Signaturen bei Bedarf durch den Signaturschlüssel-Inhaber eingesehen werden ( 17 Abs. 2 Satz 1 und 3 Signaturgesetz). Die dem Produkt zugrunde liegende Software ist digital signiert ( Code Signing ). Bei jedem Neustart wird die Integrität der Software überprüft. Im Fehlerfall erfolgt ein Abbruch des Startvorgangs. Sicherheitstechnisch relevante Veränderungen der Signaturanwendungskomponente sind hierdurch für den Nutzer erkennbar ( 15 Abs. 4 Signaturverordnung). 3.2 Einsatzbedingungen
- 3 - Unter 2. und 3.1 genanntes gilt ausschliesslich unter der Voraussetzung, dass folgende Einsatzbedingungen gewährleistet sind: 3.2.1 Auslieferungzustand Die Software wird auf einer CD ausgeliefert. Die CD beinhaltet folgende Komponenten: Bezeichnung Version Beschreibung setup.bin 2.4.0 Ausführbares Programm zur Installation des AuthentiDate ebilling Signatur Server Ver. 2.4.0 Dokumentation 1.4 Online-Handbuch (HTML) 3.2.2 Technische Einsatzumgebung Für die technische Einsatzumgebung sind die folgenden Voraussetzungen zu schaffen, bzw. einzuhalten: Hardware-Anforderungen: Intel Xeon-Prozessor ab 2.4Ghz; min. 1GB Hauptspeicher; min. 40GB HD Betriebssystem: SuSE Linux Enterprise Server 9 (oder 8) oder Redhat Enterprise Linux Version 4 (oder 3) Chipkartenterminals: gemäß Signaturgesetz und verordnung geprüfte und bestätigte Chipkarten-Terminals Personalisierte Signaturkarten: gemäß Signaturgesetz und verordnung geprüfte und bestätigte sichere Signaturerstellungseinheiten 3.2.3 Administrative Einsatzumgebung Für die administrative Einsatzumgebung sind die folgenden Voraussetzungen zu schaffen, bzw. einzuhalten: Das Produkt ist auf einem dedizierten Rechner zu installieren. Der Rechner, auf dem das Produkt installiert ist, muss sich in einem Raum befinden, der nur von autorisierten Personen betreten werden darf und kann. Vor Installation und während des Betriebes des Produkts ist sicherzustellen, dass die Sicherheit des Rechners und des installierten Betriebssystems nicht kompromittiert ist, bzw. wird. Das auf dem Rechner installierte Betriebssystem ist bezüglich verfügbarer Security Fixes und Updates auf einem aktuellen Stand zu halten. Zur Laufzeit darf kein weiteres Betriebsystem auf dem Rechner aktiv sein (Virtual Machines) Alle für den Betrieb nicht unbedingt erforderlichen Nutzer-Accounts müssen entfernt werden. Die verbleibenden Accounts müssen so eingerichtet werden, dass über sie keine Änderungen an System- und produktzugehörigen Dateien und Verzeichnissen möglich sind. Das BIOS-Setup ist so zu gestalten, dass das Booten des Servers ausschließlich über eine interne Festplatte erfolgen kann. Anschließend ist das BIOS-Setup mit einem Passwort zu versehen. Die zu verwendenden Chipkarten-Terminals sind unmittelbar mit dem Rechner verbunden, auf dem das Produkt installiert und betrieben wird (kein KIOSK-System). Die Systemzeit muss korrekt sein. Es wird empfohlen die Systemzeit über eine entsprechende Zeitreferenz (NTP) zu synchronisieren. Der Rechner darf nicht unmittelbar an öffentliche Netze (Internet) angebunden sein. Zugriffe von öffentlichen Netzen auf das lokale Netz, in dem sich der Rechner befindet, müssen durch die Verwendung eines entsprechend konfigurierten Routers unterbunden werden. Zugriffe von einem anderen Rechner innerhalb des lokalen Netzes auf den betrachteten Rechner sind durch einen lokal installierten Paket-Filter-Mechanismus zu unterbinden. Das Öffnen von Verbindungen durch Anwendungen des Rechners selbst ist auf die betriebsnotwendigen IP- Adressen, Ports und Protokolle zu beschränken. Netzwerk-Boot-Mechanismen sind zu deaktivieren. Zur Erzeugung qualifizierter elektronischer Signaturen sind Chipkarten-Terminals mit eigener Tastatur und Display, sichere Signaturerstellungseinheiten (Signaturkarten) und qualifizierte Zertifikate einzusetzen, deren Eignung nach den Vorgaben von Signaturgesetz und Signaturverordnung geprüft und bestätigt ist.
- 4 - Das BIOS-Passwort wird in zwei Hälften geteilt, die unterschiedlichen Rollen zugeordnet werden (siehe Rollenkonzept weiter unten). Die BIOS-Passwort-Hälften werden im Weiteren als bios_pass_1 und bios_pass_2 bezeichnet. Das Administrator-Passwort wird in zwei Hälften geteilt, die unterschiedlichen Rollen zugeordnet werden (siehe Rollenkonzept weiter unten). Die Administrator-Passwort-Hälften werden im Weiteren als root_pass_1 und root_pass_2 bezeichnet. Das Administrator-Passwort zur Verwendung des Web-Interfaces wird in zwei Hälften geteilt, die unterschiedlichen Rollen zugeordnet werden (siehe Rollenkonzept weiter unten). Die Passwort- Hälften zur Web-Administration werden im Weiteren als webadmin_pass_1 und webadmin_pass_2 bezeichnet. Um Manipulationen am System durch eine einzige, unbeaufsichtigte Person auszuschließen, ist ein Rollenkonzept einzuhalten. Hierbei wird zwischen einzelnen Rollen unterschieden, für die nachfolgende Anforderungen gelten: S.Admin_1: o Gilt als vertrauenswürdig o Verfügt über bios_pass_1, root_pass_1, webadmin_pass_1 o Verfügt zu keinem Zeitpunkt über bios_pass_2, root_pass_2, webadmin_pass_2 o Besitzt technische Fachkunde zur Administration des Rechners und des Produkts S.Admin_2: o Gilt als vertrauenswürdig o Verfügt über bios_pass_2, root_pass_2, webadmin_pass_2 o Verfügt zu keinem Zeitpunkt über bios_pass_1, root_pass_1, webadmin_pass_1 o Besitzt technische Fachkunde zur Administration des Rechners und des Produkts S.Cardholder: o Besitzt Signaturkarte(n) und kennt die zugehörigen Identifikationsdaten Weiterhin gilt folgender Rollen-Ausschluss: Rollen-Ausschluss ( = Rollen dürfen nicht durch dieselbe Person besetzt sein) S.Admin_1 S.Admin_2 S.Cardholder S.Admin_1 S.Admin_2 S.Cardholder In Worten bedeutet dies, dass S.Admin_1 weder gleichzeitig die Rolle von S.Admin_2 einnehmen kann, noch zukünftig in diese Rolle wechseln kann, sofern nicht mit dem Rollenwechsel auch bios_pass_1/2, root_pass_1/2 erneuert werden. Gleiches gilt für den Wechsel von S.Admin_2 in die Rolle von S.Admin_1. Es ist jedoch möglich, dass S.Cardholder gleichzeitig die Rolle von S.Admin_1 oder S.Admin_2 einnimmt, sofern die technische Fachkunde gegeben ist. In diesem Fall hat der Rollenausschluss zwischen S.Admin_1 oder S.Admin_2 weiterhin Vorrang. Damit wird die minimale Erfüllung des Rollenkonzepts durch zwei Personen erreicht. Unter der Voraussetzung, dass der Rollenausschluss gewahrt bleibt, kann jede Rolle gleichzeitig durch mehrere Personen besetzt sein. Mit Ausnahme der Eingabe der Identifikationsdaten durch den Signaturkarteninhaber (S.Cardholder) ist bei jeder administrativen Handlung das Vier-Augen -Prinzip zu wahren. Passworte sind regelmäßig zum Beispiel im Abstand von 3 Monaten zu erneuern. Im Fall des Ausscheidens einer Person aus den Rollen S.Admin_1, S.Admin_2 und S.Cardholder sind diejenigen Passworte unmittelbar zu erneuern, von denen die betreffende Person Kenntnis hat.
- 5-3.2.4 Algorithmen und zugehörige Parameter Zur Erzeugung von qualifizierten elektronischen Signaturen wird die Hashfunktion SHA-1 verwendet. Die gemäß Anlage 1 zur Signaturverordnung, unter I. 2. festgestellte Eignung reicht mindestens bis Ende des Jahres 2007 (siehe Bundesanzeiger Nr. 30 Seite 2537-2538 vom 13.02.2004). 4. Gültigkeit der Herstellererklärung Die vorliegende Herstellererklärung ist längstens bis zum 31.12.2007 gültig. Bei einer vorzeitigen Änderung erfolgt eine Neuvorlage bei der zuständigen Behörde (Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen). 5. Nachweis der Erfüllung der Anforderungen Der Nachweis in Bezug auf die Erfüllung der hier aufgeführten Anforderungen wurde im Rahmen der Produktentwicklung erbracht und dokumentiert. 6. Inhalt der Erklärung Diese Herstellererklärung dient ausschließlich dazu, die Erfüllung der vorstehend genannten Anforderungen des Signaturgesetzes und der Signaturverordnung zu erklären. Eine Übernahme weiterer Garantien oder Zusicherungen betreffend der Eigenschaften des Produktes ist damit nicht verbunden. Insbesondere weist AuthentiDate darauf hin, dass die vorstehend genannten Anforderungen nur erfüllt sind, wenn der Nutzer die gemäss Ziffer 0 vorgeschriebenen Einsatzbedingungen einhält. - Ende der Herstellererklärung -