Image
12.20.2011

Qualifizierte Elektronische Signaturen deutscher Zertifizierungsdiensteanbieter sind sicher – keine Sicherheitsrisiken wie bei DigiNotar – auf Angriffe kann sofort reagiert werden.

T7 e.V., Berlin, 15. Dezember 2011 - In dem Report der Europäischen Sicherheitsagentur ´ENISA´ wird dargestellt, dass es beim Betrieb der Zertifizierungsstelle (CA) durch das niederländische Unternehmen DigiNotar zu erheblichen Versäumnissen bei der sicheren Gestaltung der Systemlandschaft kam und weitere Sicherheitsmaßnahmen, die eigentlich Stand der Technik sein sollten, nicht implementiert wurden. Die Summe dieser Versäumnisse erlaubte den im November 2011 bekannt gewordenen Einbruch in die Systeme von DigiNotar und führte dazu, dass gefälschte Zertifikate ausgestellt werden konnten.

Deutsche Zertifizierungsdiensteanbieter (ZDA), die dem Signaturgesetz unterliegen, müssen sich in regelmäßigen Abständen (alle drei Jahre) und nach jeder sicherheitserheblichen Änderung ihrer Abläufe oder Systeme durch akkreditierte Prüfstellen überprüfen lassen. Der Prüfkatalog und die Zertifizierung erfordern umfassende Sicherheitsmaßnahmen, einschließlich Maßnahmen zur Verhinderung solcher Fehler, wie sie bei DigiNotar aufgetreten sind. Diese bei den deutschen Zertifizierungsdiensteanbietern implementierten Sicherheitsmaßnahmen erfüllen nicht nur bereits heute die im 'ENISA-Report' aufgestellten Forderungen, sondern gehen weit darüber hinaus und setzen einem Angriff, wie er bei DigiNotar erfolgt ist, sehr viel mehr entgegen. Ein Vorteil der qualifizierten elektronischen Signatur nach dem Signaturgesetz ist, dass bei jeder Nutzung eines Zertifikats in Echtzeit abgefragt werden kann, ob sowohl das genutzte Zertifikat als auch das Zertifikat der ausstellenden Zertifizierungsstelle zum angefragten Zeitpunkt gültig sind. Die enge Anbindung der deutschen Zertifizierungsdiensteanbieter an ihre Aufsichtsbehörde, die Bundesnetzagentur, stellt schon heute sicher, dass die Kompromittierung einer Zertifizierungsstelle sehr schnell kommuniziert wird. Jeder Zertifizierungsdiensteanbieter hat für derartige Fälle entsprechende Abläufe definiert, die auch Gegenstand der Zertifizierung sind. Darüber hinaus gibt es einen Arbeitskreis der Zertifizierungsdiensteanbieter mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), in dem ein regelmäßiger Austausch über aktuelle sicherheitsrelevante Themen stattfindet.

Image
  • 03.16.2015
    Zertifizierung nach ETSI TS 419.241 für All-in Signing Service. intarsys entwickelt Software für den All-in Signing Service der Swisscom
    Karlsruhe, 10. März 2015. Die internationalen Wirtschaftsprüfer KPMG haben den Swisscom All-in Signing Service nach dem Bundesgesetz über die qualifizierte elektronische Signatur (ZertES) und den europäischen Standard ETSI TS 419.241 zertifiziert. Teil...
  • 09.05.2013
    Kostenfreie Softwaretools von intarsys unterstützen die elektronische Rechnungsstellung
    Karlsruhe, 04. September 2013. Der Softwarehersteller intarsys consulting GmbH hat Tools veröffentlicht, mit denen sich elektronische Rechnungen nach dem neuen einheitlichen Rechnungsstandard ZUGFeRD verarbeiten lassen. Die Software sorgt sowohl für das...
  • 08.14.2013
    S/MIME-Zertifikate ermöglichen sichere E-Mail-Kommunikation
    T7 e.V., Bonn, 14. August 2013 - Die jüngsten Entwicklungen um die massenhaft ausgespähten Daten zeigen, dass der Austausch mit klassischen E-Mails große Risiken für den Schutz wichtiger Daten mit sich bringt. Trotzdem werden die meisten E-Mails nach...
Image
Image