Häufig gestellte Fragen zum Thema

Mit einer Bestätigung nach dem Signaturgesetz wird nachgewiesen, dass ein Produkt ein bestimmtes Sicherheitsniveau aufweist. Ist dieses spezielle Sicherheitsniveau gegeben, erfüllt das Produkt automatisch die strengen Anforderungen des Deutschen Signaturgesetzes und der Signaturverordnung. Ob das Sicherheitsniveau erfüllt ist, wird von einer unabhängigen Prüfstelle ermittelt. Sie unterzieht das Produkt einer eingehenden technischen Prüfung anhand fest definierter Kriterien.
Nach erfolgreicher Prüfung erteilt eine, von der Bundesnetzagentur zugelassene Bestätigungsstelle, die Bestätigung nach SigG.

Die Bestätigung des Produktes wird auf den Seiten der Bundesnetzagentur (www.bundesnetzagentur.de) veröffentlicht. Sofern eine Signaturanwendungskomponente, wie z.B. AuthentiDate SLMBC, nach dem Signaturgesetz bestätigt wurde, ist eine separate Herstellererklärung für gesetzeskonforme Signaturlösungen auf Basis dieser Software nicht mehr notwendig.

Prinzipiell ist das Vorgehen zum Erreichen einer CC-Zertifizierung und einer Bestätigung nach dem Signaturgesetz ähnlich. Der Hauptunterschied ist, dass bei der Bestätigung nach dem Signaturgesetz vorgegeben ist, welcher Sicherheitsrahmen einzuhalten ist, nämlich die Vorgaben aus dem Gesetz selbst.

Bei einer CC-Zertifizierung hingegen, können die Sicherheitsvorgaben (das so genannte „Security Target“) durch den Produkthersteller definiert werden. Somit können die Sicherheitsvorgaben auch von den Vorgaben des Signaturgesetzes abweichen.

Vielfach wird der Ausdruck „Zertifizierung nach SigG“ verwendet. Gemeint ist hiermit jedoch die Prüfung und Bestätigung nach Signaturgesetz; kurz SigG-Bestätigung. Sie ist ein Qualitätsmerkmal einer Software.

Eine unabhängige für die Prüfung vom BSI (Bundesamt für Sicherheit in der Informationstechnik) anerkannte Prüfstelle, stellt fest, ob die Software das vorgegebene Sicherheitsniveau aufweist. Hierzu sind eine Vielzahl von praktischen Tests und eine ausführliche Dokumentation erforderlich. Anschließend wird von einer Bestätigungsstelle die entsprechende Bestätigung nach Signaturgesetz (SigG) ausgestellt. Hierbei muss es sich um eine von der Bundesnetzagentur zugelassene Bestätigungsstelle handeln.

Mit der Bestätigung wird ein unabhängiger Nachweis der Sicherheit gemäß den Bestimmungen des Signaturgesetzes und Signaturverordnung bereitgestellt.

SLMBC basiert auf einer hoch flexiblen, innovativen technologischen Basis. Diese „Software as a Service“ (SaaS)-Architektur von SLMBC ermöglicht eine passgenaue und kundenorientierte Auswahl der gewünschten Signatur-Funktionen. Die SLMBC Basistechnologie wird somit nur ein einziges Mal installiert. Ab dann wählt der Anwender, welche Signaturprozesse er mit SLMBC abbilden möchte. Dies kann z.B. nur die Erstellung von personenbezogenen Signaturen sein. Möchte er später auch eine Funktion zur Signaturprüfung nutzen, so benötigt er lediglich eine weitere Lizenz, über die er die zusätzliche Funktion frei schaltet. Eine neue Installation von SLMBC oder Zusatzinstallationen sind dazu nicht erforderlich.

Durch die SigG-Bestätigung weist das Software-Produkt eine von unabhängigen Dritten geprüfte Sicherheit nach. Bei der SigG-Bestätigung wird dabei speziell die Erfüllung der dedizierten Sicherheitsanforderungen gemäß Deutschem Signaturgesetz nachgewiesen.

Zur Erstellung einer qualifizierten Signatur ist neben einem Kartenleser und einer Signaturkarte auch eine geeignete Signatursoftware erforderlich. Diese Software wird als Signaturanwendungskomponente (SAK) bezeichnet. Damit die qualifizierte Signatur rechtssicher und damit der handschriftlichen Unterschrift gleichgestellt ist, muss die SAK den Anforderungen des Signaturgesetzes bzw. der Signaturverordnung genügen. Ein solcher Nachweis über die Qualität der SAK kann z.B. erbracht werden, indem die SAK "zertifiziert" wird (d.h. eine Prüfung und Bestätigung nach Signaturgesetz für das Produkt vorliegt).
SLMBC ist eine derartige SigG-bestätigte Signaturanwendungskomponente.

Ebenso wie eine Signatursoftware, ist auch geeignete Hardware zur Erstellung gesetzeskonformer, qualifizierter Signaturen erforderlich. D.h. sowohl die Signaturkarte (Smart Card), als auch der eingesetzte Kartenleser muss den Anforderungen des Signaturgesetzes und der Signaturverordnung entsprechen. Eine solche Hardware wird als sichere Signaturerstellungseinheit bezeichnet; kurz SSEE. Dieses muss durch eine entsprechende SigG-Bestätigung nachgewiesen werden.

Mit dem Begriff „Einsatzumgebung“ wird charakterisiert, unter welchen Bedingungen der Betrieb einer Signaturanwendungskomponente (SAK) durchgeführt wird. Dabei werden insbesondere die Art, Konfiguration und Sicherung der eingesetzten Computer, in welchen Räumlichkeiten und mit welchen Zugangsrechten diese betrieben werden und welche Schutzmaßnahmen, bspw. gegen unberechtigten Zugriff, ergriffen werden, betrachtet.

Es werden 3 Arten von Einsatzumgebungen unterschieden:
1. Die einfache oder geschützte Einsatzumgebung
2. Die besonders geschützte Einsatzumgebung
3. Die isolierte Einsatzumgebung.

Von einer einfachen bzw. geschützten Einsatzumgebung spricht man üblicherweise bei Einzelplatz-Computern, die in Büros im täglichen Einsatz sind. Diese verfügen über die Sicherheitsmaßnahmen, die für solche PCs üblich sind (wie Anti-Virenprogramme, Firewall, etc). Weitere Sicherheitsmaßnahmen findet man hier aber in aller Regel nicht (wie bspw. physische Zugangsbeschränkungen).

Davon zu unterscheiden ist die besonders geschützte Einsatzumgebung. Diese Umgebung zeichnet sich dadurch aus, dass sie geschützt ist vor dem Zugriff durch Unbefugte und dass keine Daten durch Datenträger ausgetauscht werden können. Darüber hinaus muss die Signaturkarte (SSEE), die an diesem Rechner eingesetzt wird, ebenfalls vor dem Zugriff durch Dritte geschützt sein, in dem der Inhaber die Kontrolle über die Karte hat.

Noch weitergehend sind die Sicherheitsmaßnahmen bei der isolierten Einsatzumgebung, die man üblicherweise in Trust Center-Umgebungen findet: Hier wurden die Sicherheitsmaßnahmen durch ein von unabhängigen Dritten geprüftes und bestätigtes Sicherheitskonzept nachgewiesen. Falls Sicherheitsprobleme auftauchen, müssen diese deutlich sichtbar werden (Beispiel: Siegelbruch). Sollte ein solcher Fall auftauchen, ist vor dem weiteren Betrieb eine Sicherheitsüberprüfung notwendig.