Häufig gestellte Fragen zum Thema

Mit einer Bestätigung nach dem Signaturgesetz wird nachgewiesen, dass ein Produkt ein bestimmtes Sicherheitsniveau aufweist. Ist dieses spezielle Sicherheitsniveau gegeben, erfüllt das Produkt automatisch die strengen Anforderungen des Deutschen Signaturgesetzes und der Signaturverordnung. Ob das Sicherheitsniveau erfüllt ist, wird von einer unabhängigen Prüfstelle ermittelt. Sie unterzieht das Produkt einer eingehenden technischen Prüfung anhand fest definierter Kriterien.
Nach erfolgreicher Prüfung erteilt eine, von der Bundesnetzagentur zugelassene Bestätigungsstelle, die Bestätigung nach SigG.

Die Bestätigung des Produktes wird auf den Seiten der Bundesnetzagentur (www.bundesnetzagentur.de) veröffentlicht. Sofern eine Signaturanwendungskomponente, wie z.B. AuthentiDate SLMBC, nach dem Signaturgesetz bestätigt wurde, ist eine separate Herstellererklärung für gesetzeskonforme Signaturlösungen auf Basis dieser Software nicht mehr notwendig.

Prinzipiell ist das Vorgehen zum Erreichen einer CC-Zertifizierung und einer Bestätigung nach dem Signaturgesetz ähnlich. Der Hauptunterschied ist, dass bei der Bestätigung nach dem Signaturgesetz vorgegeben ist, welcher Sicherheitsrahmen einzuhalten ist, nämlich die Vorgaben aus dem Gesetz selbst.

Bei einer CC-Zertifizierung hingegen, können die Sicherheitsvorgaben (das so genannte „Security Target“) durch den Produkthersteller definiert werden. Somit können die Sicherheitsvorgaben auch von den Vorgaben des Signaturgesetzes abweichen.

Vielfach wird der Ausdruck „Zertifizierung nach SigG“ verwendet. Gemeint ist hiermit jedoch die Prüfung und Bestätigung nach Signaturgesetz; kurz SigG-Bestätigung. Sie ist ein Qualitätsmerkmal einer Software.

Eine unabhängige für die Prüfung vom BSI (Bundesamt für Sicherheit in der Informationstechnik) anerkannte Prüfstelle, stellt fest, ob die Software das vorgegebene Sicherheitsniveau aufweist. Hierzu sind eine Vielzahl von praktischen Tests und eine ausführliche Dokumentation erforderlich. Anschließend wird von einer Bestätigungsstelle die entsprechende Bestätigung nach Signaturgesetz (SigG) ausgestellt. Hierbei muss es sich um eine von der Bundesnetzagentur zugelassene Bestätigungsstelle handeln.

Mit der Bestätigung wird ein unabhängiger Nachweis der Sicherheit gemäß den Bestimmungen des Signaturgesetzes und Signaturverordnung bereitgestellt.

Mit der AuthentiDate Basiskomponente (SLMBC), bzw. den lizensierten Produkten, können eine Vielzahl an Signatur- und Zeitstempelprozessen abgebildet werden. So z.B. Signatur- und Zeitstempelerstellung, Signatur- und Zeitstempelprüfung, Einzel-, Massen- und Komfortsignaturen, Zeitstempel-Abforderung bei einem akkreditierten Zertifizierungsdiensteanbieter, z.B. zum Nachsignieren und viele mehr.

Mit SLMBC können sowohl zentrale Signaturprozesse, als auch Client-Anwendungen installiert werden.

Ja. Mit der SigG-bestätigten Basiskomponente SLMBC können diverse Signaturtypen, wie z.B. Einzel-, Batch-, Komfort-, Stapel- und Massensignatur umgesetzt werden.

SLMBC basiert auf einer hoch flexiblen, innovativen technologischen Basis. Diese „Software as a Service“ (SaaS)-Architektur von SLMBC ermöglicht eine passgenaue und kundenorientierte Auswahl der gewünschten Signatur-Funktionen. Die SLMBC Basistechnologie wird somit nur ein einziges Mal installiert. Ab dann wählt der Anwender, welche Signaturprozesse er mit SLMBC abbilden möchte. Dies kann z.B. nur die Erstellung von personenbezogenen Signaturen sein. Möchte er später auch eine Funktion zur Signaturprüfung nutzen, so benötigt er lediglich eine weitere Lizenz, über die er die zusätzliche Funktion frei schaltet. Eine neue Installation von SLMBC oder Zusatzinstallationen sind dazu nicht erforderlich.

Durch die SigG-Bestätigung weist das Software-Produkt eine von unabhängigen Dritten geprüfte Sicherheit nach. Bei der SigG-Bestätigung wird dabei speziell die Erfüllung der dedizierten Sicherheitsanforderungen gemäß Deutschem Signaturgesetz nachgewiesen.

Ein wesentlicher Vorteil der SigG-bestätigten Basiskomponente ist, dass Kunden und Partner für alle Lösungen auf Basis von SLMBC, selber keine Herstellererklärungen erstellen müssen, um eine gesetzeskonforme Signaturlösung zu nutzen bzw. anderen bereitzustellen.
SLMBC wird verwendet, indem eine oder mehrere Funktionen aus dem Gesamtumfang von SLMBC als Produkt lizensiert werden. Jedes lizensierte Produkt ist damit automatisch ebenfalls SigG-bestätigt. Es entspricht somit den Anforderungen des Signaturgesetzes. Dies ist der Grund dafür, dass keine eigenen zusätzlichen Herstellererklärungen erforderlich sind, um eine gesetzeskonforme Signaturlösung anbieten zu können.

Weiter vorteilig wirkt sich die zukunftsweisende SaaS („Software-as-a-Service“) Architektur von SLMBC aus. D.h. die Einbindung in Service orientierte Anwendungsumgebungen (SOA) wird durch die interne SaaS Architektur unterstützt und konsequent weitergeführt.

Ja. Auf Wunsch unserer Kunden liefern wir diese Produkte mit einer Herstellererklärung aus. So können wir Ihre individuellen Anforderungen zur Gestaltung der Benutzeroberflächen schnell und kostengünstig umsetzen und gleichzeitig Gesetzeskonformität zusichern. Sie selbst benötigen auch bei diesen kundenspezifisch anpassbaren Produkten keine eigenen Herstellererklärungen. 

Zur Erstellung einer qualifizierten Signatur ist neben einem Kartenleser und einer Signaturkarte auch eine geeignete Signatursoftware erforderlich. Diese Software wird als Signaturanwendungskomponente (SAK) bezeichnet. Damit die qualifizierte Signatur rechtssicher und damit der handschriftlichen Unterschrift gleichgestellt ist, muss die SAK den Anforderungen des Signaturgesetzes bzw. der Signaturverordnung genügen. Ein solcher Nachweis über die Qualität der SAK kann z.B. erbracht werden, indem die SAK "zertifiziert" wird (d.h. eine Prüfung und Bestätigung nach Signaturgesetz für das Produkt vorliegt).
SLMBC ist eine derartige SigG-bestätigte Signaturanwendungskomponente.

 Ebenso wie eine Signatursoftware, ist auch geeignete Hardware zur Erstellung gesetzeskonformer, qualifizierter Signaturen erforderlich. D.h. sowohl die Signaturkarte (Smart Card), als auch der eingesetzte Kartenleser muss den Anforderungen des Signaturgesetzes und der Signaturverordnung entsprechen. Eine solche Hardware wird als sichere Signaturerstellungseinheit bezeichnet; kurz SSEE. Dieses muss durch eine entsprechende SigG-Bestätigung nachgewiesen werden.

Mit dem Begriff „Einsatzumgebung“ wird charakterisiert, unter welchen Bedingungen der Betrieb einer Signaturanwendungskomponente (SAK) durchgeführt wird. Dabei werden insbesondere die Art, Konfiguration und Sicherung der eingesetzten Computer, in welchen Räumlichkeiten und mit welchen Zugangsrechten diese betrieben werden und welche Schutzmaßnahmen, bspw. gegen unberechtigten Zugriff, ergriffen werden, betrachtet.

Es werden 3 Arten von Einsatzumgebungen unterschieden:
1. Die einfache oder geschützte Einsatzumgebung
2. Die besonders geschützte Einsatzumgebung
3. Die isolierte Einsatzumgebung.

Von einer einfachen bzw. geschützten Einsatzumgebung spricht man üblicherweise bei Einzelplatz-Computern, die in Büros im täglichen Einsatz sind. Diese verfügen über die Sicherheitsmaßnahmen, die für solche PCs üblich sind (wie Anti-Virenprogramme, Firewall, etc). Weitere Sicherheitsmaßnahmen findet man hier aber in aller Regel nicht (wie bspw. physische Zugangsbeschränkungen).

Davon zu unterscheiden ist die besonders geschützte Einsatzumgebung. Diese Umgebung zeichnet sich dadurch aus, dass sie geschützt ist vor dem Zugriff durch Unbefugte und dass keine Daten durch Datenträger ausgetauscht werden können. Darüber hinaus muss die Signaturkarte (SSEE), die an diesem Rechner eingesetzt wird, ebenfalls vor dem Zugriff durch Dritte geschützt sein, in dem der Inhaber die Kontrolle über die Karte hat.

Noch weitergehend sind die Sicherheitsmaßnahmen bei der isolierten Einsatzumgebung, die man üblicherweise in Trust Center-Umgebungen findet: Hier wurden die Sicherheitsmaßnahmen durch ein von unabhängigen Dritten geprüftes und bestätigtes Sicherheitskonzept nachgewiesen. Falls Sicherheitsprobleme auftauchen, müssen diese deutlich sichtbar werden (Beispiel: Siegelbruch). Sollte ein solcher Fall auftauchen, ist vor dem weiteren Betrieb eine Sicherheitsüberprüfung notwendig.

Software- und Systemanbieter, die SLMBC in ihre eigenen Lösungen integrieren, können ihren Kunden eine Vielzahl von Signatur- und Zeitstempelfunktionen bereitstellen, ohne dass sie (oder ihre Kunden) eigene Herstellererklärungen erstellen müssen. Die auf Basis von SLMBC angebotenen Signatur- und Zeitstempellösungen entsprechen bei ordnungsgemäßem Betrieb (s. FAQ „Einsatzumgebung“) automatisch den Anforderungen des Signaturgesetzes.

Die Signaturanwendungskomponente SLMBC basiert auf einer durchgängig vom Betriebssystem unabhängigen SOA und SAAS Architektur. So können erstmals verteilte Client-Server Signaturprozesse umgesetzt werden. Die flexible JAVA Architektur ermöglicht die Abbildung aller aktuellen und zukünftigen Karten und Standards, wie eCard API des BSI, eHealth/eGK-Formate und -Prozesse, ERS und Langzeitarchivierung.

Für den Betrieb von SLMBC ist eines der folgenden Betriebssysteme notwendig:
• Microsoft Windows XP Service Pack 3
• Red Hat Enterprise Linux 5.1

Dieses ist nach Vorgabe der Hersteller zu installieren und einzurichten.

Für den Einsatz von SLMBC ist es notwendig, ein Computer-System mit aktuellen, performanten Komponenten zu verwenden, mit denen ein performanter Betrieb der oben genannten Betriebsysteme gewährleistet werden kann.

Die folgenden Signaturkarten und Kartenleser können mir SLMBC eingesetzt werden.
Signaturkarten:
• Telesec TCOS
• Siemens CardOS
• D-Trust c-card

Signaturkartenleser:
• Kobil Kaan / B1 Professional
• Kobil EMV TriCAP Reader
• Reiner SCT CyberJack e-com 2.0 & 3.0
• Cherry SmartBoard xx44
• Cherry SmartTerminal ST-2xxx
• SCM Microsystems SPR532

Die Installation von SLMBC auf dem Zielsystem muss entsprechend der im Lieferumfang enthaltenen Installationsanweisung erfolgen.

Sowohl bei der Installation als auch im späteren Betrieb von SLMBC sind die ebenfalls enthaltenen Sicherheitsauflagen für die angestrebte Einsatzumgebung zu beachten. Hier sind korrekte Einrichtung der Firewall-Einstellungen und die regelmäßige Durchführung der Integritätsprüfung wie im Sicherheitshandbuch beschrieben besonders wichtig.