Anlage 1 - Signaturverordnung (SigV)

I.

Zu § 11 Abs. 3 dieser Verordnung und nach § 15 Abs. 7 des Signaturgesetzes (freiwillige Akkreditierung)

1.

Prüfvorgaben

1.1

Anforderungen an Prüftiefen

Die Prüfung der Produkte für qualifizierte elektronische Signaturen nach Maßgabe des § 15 Abs. 7 und des § 17 Abs. 4 des Signaturgesetzes hat nach den "Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik" (Common Criteria for Information Technology Security Evaluation, BAnz. 1999 S. 1945, - ISO/IEC 15408) oder nach den "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik" (ITSEC - GMBl vom 8. August 1992, S. 545) in der jeweils geltenden Fassung zu erfolgen.

Die Prüfung muss

a)

bei technischen Komponenten nach § 2 Nr. 12 Buchstabe a des Signaturgesetzes mindestens die Prüftiefe EAL 4 oder E 3 umfassen,

b)

bei sicheren Signaturerstellungseinheiten nach § 2 Nr. 10 des Signaturgesetzes mindestens die Prüftiefe EAL 4 oder E 3 umfassen,

c)

i) bei technischen Komponenten für Zertifizierungsdienste nach § 2 Nr. 12 Buchstabe b und c des Signaturgesetzes, die außerhalb eines besonders gesicherten Bereichs ("Trustcenter") eingesetzt werden, mindestens die Prüfstufe "EAL 4" oder "E3" umfassen,

ii)

bei technischen Komponenten für Zertifizierungsdienste nach § 2 Nr. 12 Buchstabe b und c des Signaturgesetzes, die innerhalb eines besonders gesicherten Bereichs eingesetzt werden, mindestens die Prüfstufe "EAL 3" oder "E 2" umfassen,

d)

bei Signaturanwendungskomponenten nach § 2 Nr. 11 des Signaturgesetzes mindestens die Prüfstufe "EAL 3" oder "E 2" umfassen.

1.2

Anforderungen an Schwachstellenbewertung/Mechanismenstärke

Bei den Prüfstufen "EAL 4" und bei "EAL 3" gemäß Abschnitt I Nr. 1.1 Buchstabe a bis c i) und Buchstabe d ist ergänzend zu den bei dieser Prüfstufe vorgeschriebenen Maßnahmen gegen ein hohes Angriffspotenzial zu prüfen und eine vollständige Missbrauchsanalyse durchzuführen.

Die Stärke der Sicherheitsmechanismen muss bei allen Produkten gemäß Abschnitt I Nr. 1.1 Buchstabe a bis d im Fall "E 3" und "E 2" mit "hoch" bewertet werden.

Abweichend hiervon genügt für den Mechanismus zur Identifikation durch biometrische Merkmale eine Bewertung der Sicherheitsmechanismen mit "mittel", wenn diese zusätzlich zur Identifikation durch Wissensdaten genutzt werden.

1.3

Anforderungen an Algorithmen

Die Algorithmen und zugehörigen Parameter müssen nach Abschnitt I Nr. 1.2 dieser Anlage als geeignet beurteilt sein.

2.

Algorithmen - Veröffentlichung und Neubestimmung der Eignung

Die zuständige Behörde veröffentlicht im Bundesanzeiger eine Übersicht über die Algorithmen und zugehörigen Parameter, die zur Erzeugung von Signaturschlüsseln, zum Hashen zu signierender Daten oder zur Erzeugung und Prüfung qualifizierter elektronischer Signaturen als geeignet anzusehen sind, sowie den Zeitpunkt, bis zu dem die Eignung jeweils gilt. Der Zeitpunkt soll mindestens sechs Jahre nach dem Zeitpunkt der Bewertung und Veröffentlichung liegen. Die Eignung ist jährlich sowie bei Bedarf neu zu bestimmen. Die Eignung ist gegeben, wenn innerhalb des bestimmten Zeitraumes nach dem Stand von Wissenschaft und Technik eine nicht feststellbare Fälschung von qualifizierten elektronischen Signaturen oder Verfälschung von signierten Daten mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen werden kann. Die Eignung wird nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik unter Berücksichtigung internationaler Standards festgestellt. Experten aus Wirtschaft und Wissenschaft sind zu beteiligen.

3.

Sicherheitsbestätigungen für Signaturprodukte

In der Bestätigung der Erfüllung der Anforderungen für Produkte für qualifizierte elektronische Signaturen ist anzugeben,

a)

für welche Anforderungen nach § 17 des Signaturgesetzes und nach § 15 dieser Verordnung die Bestätigung gilt und unter welchen Einsatzbedingungen,

b)

welche Algorithmen und zugehörigen Parameter nach Abschnitt I Nr. 2 eingesetzt und bis zu welchem Zeitpunkt diese mindestens geeignet sind sowie

c)

nach welcher Stufe die Produkte geprüft wurden und welche Mechanismenstärke erreicht wurde.

Eine Ausfertigung des Prüfberichtes, der Bewertung durch die Bestätigungsstelle und der Bestätigung ist bei der zuständigen Behörde zu hinterlegen. Auf Anforderung sind dieser auch alle weiteren Prüfunterlagen vorzulegen. Sie kann bei Anhaltspunkten für Mängel bei Prüfungen oder bei bestätigten Produkten sowie stichprobenweise Gutachten eines unabhängigen Dritten darüber einholen, ob die Produkte gemäß dieser Anlage geprüft wurden und ob diese die Anforderungen des Signaturgesetzes und der Signaturverordnung erfüllen. Betroffene Hersteller, Vertreiber und Prüfstellen haben die dafür erforderliche Unterstützung zu gewähren. Wird diese nicht gewährt oder stellt sich heraus, dass bestätigte Produkte nicht ausreichend geprüft wurden oder Anforderungen nicht erfüllen, so kann die zuständige Behörde erteilte Bestätigungen für ungültig erklären.

4.

Veröffentlichung der Sicherheitsbestätigung für Produkte

Die zuständige Behörde hat Produkte für qualifizierte elektronische Signaturen, die von einer nach § 18 des Signaturgesetzes anerkannten Stelle eine Bestätigung gemäß Abschnitt I Nr. 3 erhalten haben, im Bundesanzeiger zu veröffentlichen. Dabei ist anzugeben, bis zu welchem Zeitpunkt die Bestätigung mindestens gilt. Wird eine Bestätigung für ungültig erklärt, so hat die zuständige Behörde dies unter Angabe des Zeitpunktes, ab dem diese Maßnahme gilt, ebenfalls im Bundesanzeiger zu veröffentlichen.

II.

Zu § 15 Abs. 5 dieser Verordnung und nach § 17 Abs. 1 und 3 Nr. 1 des Signaturgesetzes (nach § 4 Abs. 3 des Signaturgesetzes angezeigte Zertifizierungsdiensteanbieter ohne freiwillige Akkreditierung)

Für die Prüfung von Produkten nach § 15 Abs. 5 gelten die Anforderungen nach Abschnitt I entsprechend.

Abweichend hiervon können

-

Produkte zum Einsatz kommen, die den Normen nach § 15 Abs. 6 entsprechen,

-

Produkte nach § 17 Abs. 2 und 3 Nr. 2 und 3 des Signaturgesetzes (bzw. nach Abschnitt I Nr. 1.1 Buchstabe c und d) zum Einsatz kommen, bei denen anstelle der Bestätigung eine Herstellererklärung nach § 17 Abs. 4 des Signaturgesetzes vorliegt.