Teilnehmerunterrichtung, PDF - TC TrustCenter
Teilnehmerunterrichtung, PDF - TC TrustCenter
Teilnehmerunterrichtung, PDF - TC TrustCenter
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
1. Einleitung<br />
Neue Medien und neue Gesetze erfordern das Umdenken in vielen Einsatz- und Wirkungsbereichen. Die eigenhändige<br />
Unterschrift unter einem Papierdokument wird durch die elektronische Signatur für ein elektronisches Dokument ergänzt.<br />
Das am 1. August 1997 als Bestandteil des Informations- und Kommunikationsdienstegesetzes (IuKDG) in Kraft getretene<br />
Signaturgesetz (SigG) war der erste Schritt in die Richtung, die den Wechsel vom Papierdokument hin zum elektronischen<br />
Dokument auch in der Gesetzgebung markierte.<br />
Das Signaturgesetz wurde am 22.05.2001 durch das Gesetz über „Rahmenbedingungen für elektronische Signaturen und<br />
zur Änderung weiterer Vorschriften“ ersetzt und am 11.01.2005 mit dem „Ersten Gesetz zur Änderung des Signaturgesetzes“<br />
erneut leicht angepasst. Dieses neue Signaturgesetz bringt als wesentliche Neuerungen Regelungen zur Haftung<br />
(§ 11 SigG) und Deckungsvorsorge (§ 12 SigG), sowie Bußgeldvorschriften im Fall eines Gesetzesverstoßes (§ 21 SigG)<br />
seitens der Zertifizierungsdiensteanbieter. Des Weiteren ist an die Stelle eines obligatorischen Genehmigungsverfahrens<br />
die Möglichkeit einer freiwilligen Akkreditierung für signaturgesetzkonforme Zertifizierungsdiensteanbieter (§ 15 SigG)<br />
getreten – Prüfungen durch die Aufsichtsbehörde, die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post<br />
und Eisenbahnen (BNetzA), sind jedoch jederzeit möglich (§ 20 (1) SigG). <strong>TC</strong> <strong>TrustCenter</strong> hat sich ganz bewusst für die<br />
freiwillige Akkreditierung entschieden, mit der besondere Rechte und Pflichten verbunden sind, um die Vertrauenswürdigkeit<br />
der von <strong>TC</strong> <strong>TrustCenter</strong> ausgestellten Zertifikaten zu erhöhen.<br />
Die für den Inhaber eines qualifizierten Zertifikates wichtigste Neuerung ergibt sich im Verbund mit der Neufassung<br />
einiger Vorschriften des Bürgerlichen Gesetzbuches (BGB), welche die Formerfordernis von Willenserklärungen betreffen.<br />
Demnach hat eine so genannte qualifizierte elektronische Signatur (zur Definition vergleiche § 2 Nr. 3 SigG) im Rechtsverkehr<br />
die gleiche Wirkung wie eine eigenhändige Unterschrift, sofern durch Gesetz nicht etwas anderes bestimmt ist<br />
(vgl. Abschnitt 14).<br />
Dieses Dokument dient der <strong>Teilnehmerunterrichtung</strong> gemäß § 6 SigG und soll Ihnen dabei helfen, einen Einblick in die<br />
aktuelle Gesetzgebung zu gewinnen und sich über den Einsatz und den Nutzen qualifizierter elektronischer Signaturen<br />
zu informieren. Links zum Signaturgesetz und zur Signaturverordnung finden Sie bei <strong>TC</strong> <strong>TrustCenter</strong> unter<br />
http://www.trustcenter.de.<br />
2. Grundlagen zur qualifizierten elektronischen Signatur<br />
Bei Public Key-Verfahren werden zum Ver- und Entschlüsseln zwei verschiedene Schlüssel verwendet. Was mit dem einen<br />
Schlüssel verschlüsselt wurde, kann nur mit einem anderen entschlüsselt werden. Absender und Empfänger benötigen<br />
je einen solchen Schlüssel. Mit dem öffentlichen Schlüssel des Empfängers verschlüsselt der Absender die Nachricht. Der<br />
öffentliche Schlüssel wird jedem im Internet in einer Art Telefonbuch für öffentliche Schlüssel zugänglich gemacht. Den<br />
anderen, sogenannten „privaten Schlüssel“, verwendet der Empfänger, um die erhaltenen Nachrichten zu entschlüsseln.<br />
Nur er ist im Besitz des privaten Schlüssels, der niemand anderem zugänglich gemacht werden darf.<br />
Bei der elektronischen Signatur wird dieses Vorgehen umgedreht. Der Absender signiert ein Dokument mit seinem<br />
privaten Schlüssel, dem Signaturschlüssel. Der Empfänger kann dann mit dem zugehörigen öffentlichen Schlüssel, dem<br />
Signaturprüfschlüssel, die Echtheit der Unterschrift sowie die Unversehrtheit der Nachricht prüfen.<br />
2.1 Vorteile der elektronischen Signatur<br />
Die elektronische Signatur hat folgende Eigenschaften:<br />
Die elektronische Signatur ist authentisch. Sie ist einmalig und untrennbar an eine Person gebunden. Mit ihr lässt sich,<br />
wie bei einer handschriftlichen Unterschrift, die Identität eines Unterschreibenden überprüfen.<br />
Die elektronische Signatur ist inhaltsbezogen. Das heißt, sie bezieht sich bei der Unterzeichnung eines elektronischen<br />
Dokumentes auf jedes einzelne Bit der Datei und damit auf das gesamte elektronische Dokument. Eine nachträgliche<br />
Veränderung des Inhaltes ist nicht mehr möglich, ohne dass dies bei der Prüfung der Signatur bemerkt würde.<br />
Eine elektronische Signatur lässt sich nicht kopieren oder nachahmen.<br />
Now part of Symantec<br />
Das Erzeugen und das Überprüfen einer elektronischen Signatur erfolgt elektronisch und ist sicher gegen Manipulation.<br />
1/9<br />
weiter auf Seite 2 »<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
2.2 Qualifizierte Zertifikate und Zertifizierungsdiensteanbieter<br />
Ein Zertifizierungsdiensteanbieter übernimmt die Zuordnung des öffentlichen Schlüssels zu einer Person. Anhand des öffentlichen<br />
Schlüssels prüfen die Kommunikationsteilnehmer die Echtheit einer elektronischen Signatur und verschlüsseln vertrauliche<br />
Daten an den Empfänger.<br />
Als Inhaber eines qualifizierten Zertifikats ist es gemäß § 7 SigG erforderlich, die folgenden Informationen in das Zertifikat<br />
aufzunehmen:<br />
Ihren Namen, der im Falle einer Verwechslungsmöglichkeit (zum Beispiel „Hans Müller“) mit einem Zusatz zu versehen ist,<br />
oder stattdessen ein Ihnen zugeordnetes Pseudonym, dass als solches kenntlichen zu machen ist (§ 7 (1) Nr. 1 SigG).<br />
Wünschen Sie ein Pseudonym, so wird dieses aus der Seriennummer des Zertifikats und dem Suffix „:PN“ gebildet.<br />
Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang<br />
beschränkt ist (§ 7 (1) Nr. 7 SigG);<br />
Darüber hinaus ist es Ihnen gemäß § 5 (2) SigG möglich, die folgenden Angaben zusätzlich in das Zertifikat aufnehmen zu lassen:<br />
Vertretungsmacht für eine dritte Person<br />
berufsbezogene oder sonstige Angaben zu Ihrer Person<br />
Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt ist<br />
Bei Angaben zur Vertretungsmacht für eine dritte Person ist die Einwilligung der dritten Person nachzuweisen, und bei natürlichen<br />
Personen muss diese darüber hinaus eine Identitätsfeststellung vornehmen lassen. Analog dazu müssen berufsbezogene<br />
oder sonstige Angaben durch die zuständige Stelle bestätigt werden. Hier ist besonders darauf hinzuweisen, dass die<br />
zuständige Stelle, wie z.B. die Ärztekammer, das Führen der Berufsbezeichnung im Zertifikat untersagen kann.<br />
Die Beschränkung der Verwendung kann auch in einer summenmäßigen Beschränkung vorgenommen werden (z.B.: „Der<br />
Inhaber dieses Zertifikats haftet nur für Geschäfte bis zu einem Betrag von 10.000,- EURO.“).<br />
2.3 Qualifizierte Zertifikate<br />
Now part of Symantec<br />
Unter einem qualifizierten Zertifikat versteht man eine elektronische Bescheinigung, mit der ein Zertifizierungsdiensteanbieter<br />
einen Signaturprüfschlüssels einer natürlichen Person, d. h. nicht zu einer Organisation oder einer Behörde („juristische Person“)<br />
zuordnet. Diese Person kann aber Arzt, Einkaufsleiter oder Rechtsanwalt sein, sie kann Handlungsbevollmächtigter für eine<br />
Organisation sein, oder einen eng begrenzten Handlungsrahmen haben. Diese Informationen sind für Verträge oder andere<br />
Auskünfte von Belang.<br />
In einem qualifizierten Zertifikat muss mindestens der Name des „Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit<br />
mit einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares<br />
Pseudonym, das als solches kenntlich sein muss [...]“ (§ 7 (1) Nr. 1 SigG) enthalten sein. Um Verwechslungsmöglichkeiten auszuschließen,<br />
können Angaben zum Wohnort hilfreich sein, z. B. „Hans Mustermann, Hameln“. Es dürfen auch Angaben darüber<br />
enthalten sein, „[...] ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt ist.“<br />
(§ 7 (1) Nr. 7 SigG).<br />
Attribute im Zertifikat sollten sich auf tatsächlich benötigte Angaben beschränken, die für den Rechtsverkehr sinnvoll und<br />
üblich sind. Das könnten z. B. Beschränkungen sein, die so formuliert sind, dass pro Transaktion eine maximale festgelegte<br />
Summe nicht überschritten werden darf, oder die Aufnahme von Angaben zur berufsrechtlichen Zulassung.<br />
<strong>TC</strong> QSign beinhaltet eine sichere Signaturerstellungseinheit (Signaturkarte) mit qualifiziertem Zertifikat mit Anbieterakkreditierung<br />
gemäß Deutschem Signaturgesetz. Das auf der <strong>TC</strong> QSign Signaturkarte enthaltene qualifizierte Zertifikat dient zum elektronischen<br />
Signieren von Dokumenten. Die zusätzlich auf der Karte gespeicherten Verschlüsselungs- und Authentisierungszertifikate<br />
können für Anwendungen, bei denen keine qualifizierten Zertifikate gefordert sind, wie z.B. die elektronische Steuererklärung<br />
(Elster), verwendet werden.<br />
2/9<br />
weiter auf Seite 3 »<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
2.4 Qualifizierte Zeitstempel<br />
Qualifizierte Zeitstempel (analog zum „qualifizierten Zertifikat“) im Sinne des Signaturgesetzes sind „elektronische<br />
Bescheinigungen eines Zertifizierungsdiensteanbieters, der die Anforderungen nach den §§ 4 bis 14 sowie § 17 oder § 23 dieses<br />
Gesetzes und der sich darauf beziehenden Vorschriften der Rechtsverordnung nach § 24 erfüllt, darüber, dass ihm bestimmte<br />
elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen haben.“ (§ 2 Nr. 14 SigG).<br />
Wenn Sie z.B. ein Dokument elektronisch signiert haben, können Sie den Zeitstempeldienst eines Zertifizierungsdiensteanbieters<br />
verwenden. <strong>TC</strong> <strong>TrustCenter</strong> stellt zu diesem Zweck einen qualifizierten Zeitstempel aus, der die aktuelle gesetzlich<br />
gültige Uhrzeit enthält und signiert das vom Kunden zugesandte Dokument. Damit können Sie später nachweisen, dass das<br />
Dokument zu dem eingetragenen Zeitpunkt bereits von Ihnen signiert war.<br />
2.5 Das Signaturgesetz<br />
Now part of Symantec<br />
Das deutsche Signaturgesetz ist von seiner Grundkonzeption her ein technik- und gewerberegulierendes Gesetz. Das bedeutet,<br />
dass in ihm lediglich der Betrieb einer Zertifizierungsinstanz geregelt wird. Insbesondere wird mit dem Signaturgesetz nicht<br />
geregelt, welche Wirkung eine qualifizierte elektronische Signatur im Rechtsverkehr hat, und welche Vorteile sie in einem<br />
Gerichtsverfahren mit sich bringt. Diese Fragen sind in den allgemeinen Gesetzen wie dem Bürgerlichen Gesetzbuch oder der<br />
Zivilprozessordnung aber auch in einigen Verwaltungsgesetzen geregelt.<br />
Das Signaturgesetz bietet Zertifizierungsdiensteanbietern (ZDA) die Möglichkeit zur freiwilligen Anbieter-Akkreditierung. Hierzu<br />
hat sich der ZDA freiwillig einer aufwendigen Prüfung durch eine anerkannte Prüf- und Bestätigungsstellen zu unterziehen.<br />
Dadurch weist der ZDA die Einhaltung zusätzlicher Anforderungen für akkreditierte ZDA nach und erhält nach positivem<br />
Prüfergebnis ein Gütezeichen der Bundesnetzagentur. Solche ZDA dürfen sich als akkreditierte Zertifizierungsdiensteanbieter<br />
bezeichnen und sich im Rechts- und Geschäftsverkehr auf nachgewiesene Sicherheit berufen.<br />
Die Anforderungen des Signaturgesetzes, in Verbindung mit den vorgeschriebenen Prüfungen der Produkte für qualifizierte<br />
elektronische Signaturen und der Prüfung der Zertifizierungsdiensteanbieter durch unabhängige Prüfinstanzen, gewährleisten<br />
ein hohes Maß an Sicherheit für qualifizierte elektronische Signaturen.<br />
Eine wichtige Rolle nimmt im Rahmen des Signaturgesetzes die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,<br />
Post und Eisenbahnen (BNetzA) ein. Sie regelt hauptverantwortlich die Überprüfung der Zertifzierungsdiensteanbieter in<br />
Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik und weiteren ausgewählten privatwirtschaftlichen<br />
Prüfstellen.<br />
Außerdem tritt die Bundesnetzagentur selbst als Zertifizierungsinstanz auf. Sie stellt die qualifizierten Zertifikate für die<br />
Signaturschlüssel der akkreditierten Zertifizierungsdiensteanbieter aus.<br />
3/9<br />
weiter auf Seite 4 »<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
3. Aufgaben eines Zertifizierungsdiensteanbieters<br />
In § 5 SigG ist geregelt, welche Aufgaben ein Zertifizierungsdiensteanbieter wahrnehmen muss, um qualifizierte Zertifikate<br />
vergeben zu können. Allgemeine Anforderungen an einen Zertifizierungsdiensteanbieter listet § 4 (2) SigG auf:<br />
> Einhalten der maßgeblichen Rechtsvorschriften<br />
> Fachkunde der Mitarbeiter (Kenntnisse, Erfahrungen und Fertigkeiten)<br />
> Deckungsvorsorge für haftungsauslösende Ereignisse<br />
> Dokumentation der Maßnahmen zur Erfüllung der Sicherheitsanforderungen in einem Sicherheitskonzept<br />
> Anzeige der Betriebsaufnahme an die zuständige Behörde (BNetzA)<br />
Der Betrieb eines Zertifizierungsdienstes ist gemäß § 4 (1) SigG im Rahmen der Gesetze genehmigungsfrei. Der Gesetzgeber<br />
hat jedoch ein freiwilliges Akkreditierungssystem vorgesehen (§ 15 SigG) – ein „Verfahren zur Erteilung einer Erlaubnis für den<br />
Betrieb eines Zertifizierungsdienstes, mit der besondere Rechte und Pflichten verbunden sind.“ (§ 2 Nr. 15 SigG). Die<br />
Akkreditierung wird von der BNetzA mit einem Gütezeichen bestätigt.<br />
3.1 Registrierung<br />
Jede Person, die einen Signaturschlüssel und das zugehörige qualifizierte Zertifikat verwenden möchte, muss dazu als<br />
erstes vom Zertifizierungsdiensteanbieter registriert werden. Dabei vergewissert sich der Zertifizierungsdiensteanbieter über<br />
die Identität der Person anhand des Personalausweises oder Reisepasses und erfasst die notwendigen persönlichen Daten. Bei<br />
Vorlage eines Reisepasses muss eine aktuelle Meldebescheinigung (nicht älter als drei Monate) beigefügt werden. Die Person,<br />
die einen Signaturschlüssel wünscht, muss dazu beim Zertifizierungsdiensteanbieter einen Antrag stellen und wird im folgenden<br />
Antragsteller genannt.<br />
Gemäß § 5 (1) SigG hat der Zertifizierungsdiensteanbieter Personen, die ein Zertifikat beantragen, zuverlässig zu identifizieren.<br />
Diese Identifizierung muss anhand eines gültigen Personalausweises, eines Reisepasses oder auf andere geeignete Weise erfolgen.<br />
Der Antragsteller muss ein Antragsformular ausfüllen, das eigenhändig zu unterschreiben ist.<br />
Gemäß § 7 SigG muss das qualifizierte Zertifikat enthalten:<br />
a) den Namen des Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit einem Zusatz zu versehen ist,<br />
oder ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares Pseudonym, das als solches kenntlich sein muss,<br />
b) Angaben, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art und Umfang beschränkt ist.<br />
Weiter müssen auf Wunsch des Antragstellers aufgenommen werden:<br />
c) Angaben zur Vertretungsmacht für eine dritte Person und<br />
d) Angaben zur berufsrechtlichen oder sonstigen Zulassung.<br />
Now part of Symantec<br />
Dem Zertifizierungsdiensteanbieter steht es dabei frei, ob er die Angaben 3. und 4. mit in das qualifizierte Zertifikat oder in ein<br />
Attribut-Zertifikat aufnimmt. <strong>TC</strong> <strong>TrustCenter</strong> nimmt diese Angaben ins Zertifikat auf. Angaben zur Vertretungsmacht müssen<br />
dabei von der dritten Person bestätigt werden. Die Aufnahme einer berufsrechtlichen Zulassung ins Zertifikat (z.B. eines<br />
Diplom-Grades) muss von der zuständigen Zulassungsstelle bestätigt werden. Bei Aufnahme einer Vertretungsmacht sowie<br />
einer berufsrechtlichen oder sonstigen Zulassung erhält die dritte Person bzw. die Zulassungsstelle das Recht, das Zertifikat zu<br />
sperren.<br />
Mit Zustimmung des Antragstellers dürfen weitere Angaben in das Zertifikat aufgenommen werden. So ist es beispielsweise bei<br />
dem verwendeten Standard für Zertifikate, dem X.509-Standard, üblich, zusätzlich zu dem Namen mindestens Land und Ort mit<br />
anzugeben.<br />
Die Registrierung ist zu dokumentieren, insbesondere müssen der unterschriebene Antrag sowie eine Ablichtung des bei der<br />
Identifizierung vorgelegten Ausweises archiviert werden.<br />
4/9<br />
weiter auf Seite 5 »<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
3.2 Zertifizierung<br />
Nach der erfolgten Identifizierung des Antragstellers erfolgt die Zertifizierung. Durch ein qualifiziertes Zertifikat wird ein<br />
Signaturprüfschlüssel einer Person zugeordnet.<br />
Sowohl die Eignung der Signaturkarten als auch die Schlüsselgenerierung unterliegen der Aufsicht durch die Bundesnetzagentur<br />
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) gemäß Signaturgesetz. Insbesondere muss die<br />
Geheimhaltung des privaten Schlüssels gewährleistet sein, auch der Zertifizierungsdiensteanbieter selbst darf und kann keine<br />
Kopie des privaten Schlüssels zurückbehalten.<br />
Als Signaturkarten dürfen nur solche Karten verwendet werden, die die Anforderungen aus dem Signaturgesetz und der<br />
Signaturverordnung erülllen und deren Eignung durch eine Prüf- und Bestätigungsstelle nach § 18 SigG bestätigt ist. Solche<br />
Signaturkarten werden auch als „Sichere Signaturerstellungseinheiten“ (SSEE) bezeichnet.<br />
Dem Antragsteller wird die sichere Signaturerstellungseinheit mit dem Signaturschlüssel und dem qualifizierten Zertifikat übergeben.<br />
Auf Wunsch des Antragstellers kann diese Übergabe per Post erfolgen.<br />
Der Antragsteller muss den Erhalt der unversehrten Signaturkarte schriftlich bestätigen. Erst wenn der Zertifizierungsdiensteanbieter<br />
diese Bestätigung erhalten hat, führt er die Freischaltung des Zertifikats im Verzeichnisdienst durch. Dem Antragsteller wird nun<br />
der PIN-Brief zugesendet mit dem er die Signaturkarte aktivieren kann. Erst danach ist eine signaturgesetzkonforme<br />
Verwendung des Signaturschlüssels möglich.<br />
3.3 Verzeichnisdienst<br />
Der Zertifizierungsdiensteanbieter muss die von ihm ausgestellten Zertifikate in einem Verzeichnisdienst führen. Dies dient<br />
der Nachprüfbarkeit der Gültigkeit von Zertifikaten. Jedes Zertifikat, das von <strong>TC</strong> <strong>TrustCenter</strong> ausgestellt wurde, ist überprüfbar.<br />
Dazu sucht man das Zertifikat im Verzeichnisdienst, wo die Möglichkeit besteht, das gesuchte Zertifikat anhand des Zertifikats<br />
des ausstellenden Zertifizierungsdiensteanbieters zu überprüfen. Jedes von <strong>TC</strong> <strong>TrustCenter</strong> ausgestellte Zertifikat ist mit diesem<br />
sogenannten CA-Zertifikat signiert worden. Der Verzeichnisdienst ist rund um die Uhr für jedermann über das Internet<br />
erreichbar. Die Internetadresse des Verzeichnisdienstes der <strong>TC</strong> Trust-Center GmbH lautet:<br />
https://dir.trustcenter.de/cgi-bin/CertStatus.cgi<br />
Unter dieser Adresse kann die Gültigkeit aller von <strong>TC</strong> <strong>TrustCenter</strong> ausgestellten qualifizierten Zertifikate überprüft werden.<br />
Abrufbare Zertifikate können unter folgender Adresse aus dem Verzeichnisdienst abgerufen werden:<br />
https://dir.trustcenter.de/cgi-bin/Retrieve.cgi<br />
3.4 Sperrdienst<br />
Now part of Symantec<br />
Der Zertifizierungsdiensteanbieter ist verpflichtet, ein Zertifikat jederzeit zu sperren, wenn der Zertifikatsinhaber es verlangt.<br />
Auch Dritte, für die im Zertifikat Vertretungsmacht eingetragen ist, sowie sonstige Stellen, die Angaben im Zertifikat bestätigt<br />
haben, können die Sperrung jederzeit verlangen. Diese Angaben werden im Verzeichnisdienst aufgenommen und können<br />
jederzeit von anderen überprüft werden.<br />
Gründe für eine Sperrung können sein, dass sich die im Zertifikat enthaltenen Angaben geändert haben. Es ist aber auch<br />
möglich, dass die Signaturkarte unberechtigten Personen in die Hände gefallen ist oder zumindest der Verdacht besteht<br />
(Verlust der Karte). In diesem Fall muss der Zertifikatsinhaber das Zertifikat unverzüglich im Verzeichnisdienst sperren lassen. Die<br />
Sperrung wird umgehend mit dem aktuellen Zeitpunkt in den Verzeichnisdienst eingetragen. Selbst wenn dann die unberechtigten<br />
Dritten auch über die zur Signaturkarte gehörige PIN verfügen sollten, wären alle Signaturen, die sie nach dem<br />
Sperrzeitpunkt durchführten, ungültig. 1<br />
1 Zu beachten ist, dass sämtliche Signaturen nach Ablauf der Gültigkeit des Zertifikats oder nach Sperrung des Zertifikats nicht mehr mit dem Status<br />
„gültig“ im Verzeichnisdienst erscheinen. Durch einen Zeitstempel lässt sich aber nachweisen, dass eine Signatur vor Ablauf der Gültigkeit bzw. vor einer<br />
Sperrung erzeugt wurde, so dass die Gültigkeit einer Signatur nicht beeinträchtigt wird.<br />
5/9<br />
weiter auf Seite 6 »<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
Die Sperrung Ihres Zertifikates können Sie auf zwei verschiedene Weisen veranlassen:<br />
Telefonische Sperrung:<br />
Die Beauftragung der telefonischen Sperrung erfolgt über eine rund um die Uhr besetzte Rufnummer. Der Zertifikatsinhaber<br />
muss dazu mit einem bei Zertifikatsbeantragung selbst gewählten Sperrpasswort seine Sperrberechtigung nachweisen.<br />
Zusätzlich sind entweder die Zertifikatsseriennummer und der Ausstellername oder die auf der Karte aufgedruckte Karten-<br />
nummer zu nennen.<br />
Die rund um die Uhr besetzte Sperr-Hotline der<br />
<strong>TC</strong> <strong>TrustCenter</strong> GmbH lautet:<br />
0800 – 82 87 87 8 oder 0800 – <strong>TC</strong>TRUST<br />
Schriftliche Sperrung:<br />
Die Beauftragung einer Sperrung ist zudem auch schriftlich oder mit qualifizierter elektronischer Signatur möglich.<br />
Vermerken Sie dazu in Ihrem Schreiben die Kartennummer Ihrer Signatur-Chipkarte und unterschreiben Sie handschriftlich<br />
oder qualifiziert elektronisch. Die Kartennummer finden Sie auf der Vorderseite der Karte und auf dem Zertifikats-Datenblatt,<br />
das Ihnen mit Ihrem PIN-Brief zugegangen ist.<br />
Bei einer Sperrung mit qualifizierter elektronischer Signatur müssen das zu sperrende Zertifikat und das signierende<br />
Zertifikat verschieden sein.<br />
3.5 Produkte für qualifizierte elektronische Signaturen<br />
In § 17 SigG sowie in § 14 der SigV wird geregelt, welchen Anforderungen die vom Zertifizierungsdiensteanbieter und vom<br />
Anwender eingesetzte Technik genügen und welchen Prüfungen durch dafür zugelassene Prüf- und Bestätigungsstellen diese<br />
Technik unterzogen werden muss.<br />
Insbesondere hat der Zertifizierungsdiensteanbieter sicherzustellen, dass die Geheimhaltung des Signaturschlüssels auf den<br />
von ihm verwendeten Signaturkarten in jedem Fall gewährleistet ist, dass der Verzeichnis- und Sperrdienst nicht manipuliert<br />
werden kann und dass der Zeitstempeldienst ordnungsgemäß arbeitet.<br />
3.6 Datenschutz<br />
Der Zertifizierungsdiensteanbieter unterliegt dem Datenschutzgesetz und wird wie jede Organisation der Privatwirtschaft<br />
behandelt. Insbesondere darf der Zertifizierungsdiensteanbieter personenbezogene Daten nur soweit erheben, wie es für die<br />
Zwecke der Ausstellung und Verwaltung eines Zertifikats erforderlich ist.<br />
3.7 Prüfung des Zertifizierungsdiensteanbieters<br />
Now part of Symantec<br />
Nicht nur die vom Zertifizierungsdiensteanbieter verwendete Technik wird nach Maßgabe der Bundesnetzagentur für Elektrizität,<br />
Gas, Telekommunikation, Post und Eisenbahnen geprüft, sondern auch die gesamte Ablauforganisation und Infrastruktur eines<br />
Zertifizierungsdiensteanbieters. Diese Prüfung wird regelmäßig spätestens alle drei Jahre wiederholt.<br />
6/9<br />
weiter auf Seite 7 »<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
4. Sorgfaltspflichten des Zertifikatsinhabers<br />
Die Sicherheit einer Zertifikatsinfrastruktur baut auf eine Trennung der Verantwortlichkeiten. Auch Sie tragen durch Ihren<br />
sorgfältigen Umgang dazu bei, dass Daten zuverlässig signiert und geprüft werden können.<br />
Ihre Signaturkarte mit Ihrem geheimen Signaturschlüssel bedeutet mehr als nur die Möglichkeit, eine qualifizierte elektronische<br />
Signatur zu erzeugen. Alles, was Sie mit der Signaturkarte qualifiziert elektronisch signieren, kann auf Sie zurückgeführt werden,<br />
solange das Zertifikat gültig ist und nichts darauf hindeutet, dass die Signatur nicht willentlich von Ihnen erzeugt wurde.<br />
Bitte beachten Sie beim Umgang mit qualifizierten elektronischen Signaturen folgende Hinweise:<br />
4.1 Umgang mit Signaturkarte und PIN<br />
Die Signaturkarte mit dem privaten Signaturschlüssel ist in persönlichem Gewahrsam zu halten.<br />
Die PIN muss geheim gehalten werden. Die PIN muss bei Verdacht auf Preisgabe unverzüglich geändert werden. Wenn Sie nicht<br />
sicher sein können, dass kein Missbrauch stattgefunden hat, so sollten Sie sicherheitshalber Ihr Zertifikat bei <strong>TC</strong> <strong>TrustCenter</strong><br />
sperren lassen.<br />
Ist Ihre Signaturkarte beschädigt, obwohl Sie die Beschädigung nicht wissentlich verursacht haben, so kann dies auf einen<br />
Manipulationsversuch hindeuten. Wenn Sie einen Manipulationsversuch nicht sicher ausschießen können, lassen Sie sicherheitshalber<br />
Ihr Zertifikat bei <strong>TC</strong> <strong>TrustCenter</strong> sperren.<br />
Bei Verlust Ihrer Signaturkarte mit Ihrem Signaturschlüssel sperren Sie unverzüglich telefonisch Ihr Zertifikat bei <strong>TC</strong> <strong>TrustCenter</strong>.<br />
Sobald Sie sich sicher sind, dass Sie Ihren Signaturschlüssel nicht mehr verwenden wollen und Sie Ihr Zertifikat bei<br />
<strong>TC</strong> <strong>TrustCenter</strong> gesperrt haben, machen Sie den Chip auf der Signaturkarte unbrauchbar, z. B. durch Lochen mit einem handelsüblichen<br />
Locher.<br />
4.2 Erzeugen und Prüfen von Signaturen<br />
Vor dem Einsatz von Signaturkomponenten vergewissern Sie sich bitte, dass keine die vertrauenswürdige Prüfung oder<br />
Erzeugung von qualifizierten elektronischen Signaturen behindernden Komponenten auf Ihrem Rechner sind, wie z. B. Virenprogramme,<br />
trojanische Pferde oder andere Schadprogramme.<br />
Verwenden Sie zum Erzeugen und Prüfen von qualifizierten Signaturen nur gemäß Signaturgesetz geprüfte und bestätigte<br />
Komponenten. Eine Liste solcher Komponenten können Sie z.B. von <strong>TC</strong> <strong>TrustCenter</strong> anfordern oder von den Webseiten der<br />
Bundesnetzagentur abrufen.<br />
Zur Überprüfung einer qualifizierten Signatur gehört:<br />
Now part of Symantec<br />
a) die Prüfung der Gültigkeit des zugehörigen Zertifikats im Verzeichnisdienst des Zertifizierungsdiensteanbieters.<br />
Qualifizierte Zertifikate der <strong>TC</strong> <strong>TrustCenter</strong> GmbH können unter folgender Internetadresse geprüft werden:<br />
https://dir.trustcenter.de/cgi-bin/CertStatus.cgi<br />
b) die Prüfung der Gültigkeit des zugehörigen Zertifikats des Zertifizierungsdiensteanbieters im<br />
Verzeichnisdienst der Bundesnetzagentur (siehe http://www.nrca-ds.de).<br />
c) die Prüfung der Gültigkeit des Zertifikats der Bundesnetzagentur im Verzeichnisdienst der Bundesnetzagentur<br />
(siehe http://www.nrca-ds.de).<br />
Die Punkte b) und c) sind nur dann anwendbar, wenn es sich um ein qualifiziertes Zertifikat mit Anbieterakkreditierung handelt.<br />
<strong>TC</strong> <strong>TrustCenter</strong> stellt qualifizierte Zertifikate mit Anbieterakkreditierung aus.<br />
Die qualifizierte elektronische Signatur hat die gleiche Wirkung wie eine eigenhändige Unterschrift!<br />
Aus § 126 (3) des Bürgerlichen Gesetzbuches (BGB) in Verbindung mit § 126 a Abs. 1 BGB ergibt sich, dass eine qualifizierte<br />
elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, d.h. als wirksame<br />
Willenserklärung Ihnen zugerechnet wird, sofern sich aus dem Gesetz nichts anderes ergibt (vgl. § 6 Abs. 2 SigG). Prüfen Sie<br />
7/9<br />
weiter auf Seite 8 »<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
deshalb sämtliche Informationen sorgfältig, bevor Sie diese signieren! Sollten Ihnen nach dem Signieren Zweifel aufkommen,<br />
prüfen Sie selbst die Inhalte und die Signatur noch einmal, bevor Sie diese an andere weitergeben.<br />
Beim Prüfen von elektronischen Daten muss festgestellt werden, ob das Zertifikat zum Zeitpunkt der Signaturerzeugung gültig<br />
war, ob es Beschränkungen oder sonstige zusätzliche Angaben enthält und ob ggf. weitere Zertifikate (vgl. 17.) oder Zeitstempel<br />
(vgl. 18.) beigefügt waren.<br />
Vor Gericht wird die qualifizierte elektronische Signatur Ihnen zugerechnet!<br />
In einem gerichtlichen Verfahren gilt eine mit Ihrer Signaturkarte geleistete qualifizierte elektronische Signatur als eine von<br />
Ihnen abgegebene Erklärung. Sie müssen im Zweifel beweisen, dass die qualifizierte elektronische Signatur nicht von Ihnen<br />
stammt, und dass Sie nicht gegen die Sorgfaltspflichten im Umgang mit der Signaturkarte verstoßen haben.<br />
4.3 Neusignatur von signierten Daten<br />
Daten mit einer qualifizierten elektronischen Signatur sind bei Bedarf neu zu signieren, wenn die Daten für längere Zeit in<br />
signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter<br />
als geeignet beurteilt sind.<br />
Zu diesem Zweck sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter<br />
mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen<br />
Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen.<br />
Am einfachsten können Sie dieser Anforderung nachkommen, wenn Sie vor dem Ablauf der Eignung der Algorithmen und<br />
zugehörigen Parameter die Daten inklusive der vorhandenen Signatur von einem akkreditierten Zertifizierungsdiensteanbieter<br />
mit einem qualifizierten Zeitstempel versehen lassen.<br />
Die Bundesnetzagentur veröffentlicht jährlich im Bundesanzeiger eine Übersicht über die Algorithmen und zugehörigen<br />
Parameter, die zur Erzeugung von Signaturschlüsseln, zum Hashen zu signierender Daten oder zur Erzeugung und Prüfung<br />
qualifizierter elektronischer Signaturen als geeignet anzusehen sind, sowie den Zeitpunkt, bis zu dem die Eignung jeweils gilt.<br />
Zusätzlich wird diese Information und ggf. die aktuelle Entwicklung auch auf den Webseiten der Bundesnetzagentur für<br />
Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen veröffentlicht (www.BNetzA.de).<br />
4.4 Produkte für qualifizierte elektronische Signaturen<br />
Setzen Sie unbedingt Signaturgesetz-konforme, geprüfte und bestätigte technische Produkte ein (vgl. § 17 SigG). Produkte<br />
können sowohl Software - also die von Ihnen verwendeten Computerprogramme - als auch Hardware - hier ist in erster Linie<br />
das Kartenlesegerät gemeint - sein. Schützen Sie die von Ihnen eingesetzten Produkte, z.B. durch ein Passwort, vor unbefugten<br />
Zugriffen und Missbrauch. Im Falle des Verlusts wenden Sie sich bitte an <strong>TC</strong> <strong>TrustCenter</strong>. Benutzen Sie keine anderweitig<br />
erworbenen Software- oder Hardware-Komponenten, von deren Gesetzeskonformität Sie sich nicht überzeugen konnten.<br />
Aktuelle Informationen über geprüfte und bestätigte Produkte erhalten Sie in den regelmäßigen Bekanntmachungen im<br />
Bundesanzeiger sowie direkt bei der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen.<br />
Internet: http://www.bundesnetzagentur.de.<br />
Sie können sich auch direkt bei <strong>TC</strong> <strong>TrustCenter</strong> erkundigen. Schreiben Sie eine E-Mail an info@trustcenter.de oder rufen uns<br />
an unter der Telefonnummer +49 (0) 40 80 80 26- 100.<br />
4.5 Beschränkungen in qualifizierten Zertifikaten<br />
Enthält ein qualifiziertes Zertifikat Informationen, die für die Aussage der signierten Daten von Bedeutung sind, so ist dieses den<br />
signierten Daten beizufügen (vgl. 3.).<br />
4.6 Zeitangaben<br />
Now part of Symantec<br />
Soweit für den Beweiswert signierter Daten ein Zeitpunkt von Bedeutung sein kann, ist ein Zeitstempel anzubringen (vgl. 4.)<br />
8/9<br />
weiter auf Seite 9 »<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
de. 06 | 2011<br />
<strong>TC</strong> CLIENT CERTIFICATES<br />
Information for Certificate Holders<br />
5. Beschwerde- und Schlichtungsverfahren<br />
<strong>TC</strong> <strong>TrustCenter</strong> bietet seine Dienstleistungen in Übereinstimmung mit dem deutschen Signaturgesetz nach deutschen Recht<br />
an. Für die Kunden von <strong>TC</strong> <strong>TrustCenter</strong> bedeutet dies, dass sie den vollen Rechtsschutz der deutschen Gesetze genießen. Daraus<br />
ergibt sich, dass auch Unstimmigkeiten und Streitigkeiten regelmäßig in Deutschland geklärt werden.<br />
<strong>TC</strong> <strong>TrustCenter</strong> hilft bei der Aufklärung ...<br />
Kommt es bezüglich eines Zertifikates zwischen einem Zertifikatsinhaber und einer Partei, die auf dieses Zertifikat vertraut hat,<br />
zu Unstimmigkeiten oder gar zu einem Streit, so kann sich jede Partei an <strong>TC</strong> <strong>TrustCenter</strong> wenden, um Tatsachen in Erfahrung zu<br />
bringen, die sie für die Argumentation gegenüber der anderen Partei benötigt.<br />
aber nur, soweit dies erlaubt ist<br />
Selbstverständlich kann <strong>TC</strong> <strong>TrustCenter</strong> hierbei nicht jede Information an die nachfragende Seite herausgeben. Dies ergibt sich<br />
schon aus allgemeinen Verboten aus den Datenschutzgesetzen. Weiter ergibt sich der Rahmen, in dem <strong>TC</strong> <strong>TrustCenter</strong><br />
Informationen an Dritte herausgibt, aus der Vereinbarung, die zwischen dem Kunden und <strong>TC</strong> <strong>TrustCenter</strong> auf Basis von<br />
Allgemeinen Geschäftsbedingungen getroffen wurde.<br />
Es ist aber immer möglich, dass <strong>TC</strong> <strong>TrustCenter</strong> Informationen an die beiden Parteien gibt, wenn der Kunde von <strong>TC</strong> <strong>TrustCenter</strong><br />
hierin einwilligt.<br />
<strong>TC</strong> <strong>TrustCenter</strong> wird nicht die Rolle eine Schiedsrichters übernehmen<br />
Da <strong>TC</strong> <strong>TrustCenter</strong> zumindest mit einer Partei, nämlich dem Zertifikatsinhaber, eine Vertrag geschlossen hat, wird <strong>TC</strong> <strong>TrustCenter</strong><br />
von der anderen Partei möglicherweise nicht als unparteiisch eingestuft. Aus diesem Grund wird <strong>TC</strong> <strong>TrustCenter</strong> in einer<br />
Auseinandersetzung zwischen den beiden Parteien nicht die Rolle des Schiedsrichters einnehmen.<br />
Kein spezielles Streitschlichtungsverfahren<br />
Die Parteien sind selbstverständlich berechtigt, miteinander alternative Streitbeilegungsverfahren, wie Schieds- oder<br />
Schlichtungsverfahren, zu vereinbaren.<br />
Ein spezielles Verfahren, in dem ein Streit zwischen den beiden Parteien durch eine neutrale, aber nicht staatliche Instanz wie<br />
einem ordentlichen Gericht (also Amtsgerichten oder Landgerichten) entschieden wird, kann von <strong>TC</strong> <strong>TrustCenter</strong> nicht<br />
vorgeschlagen und nicht empfohlen werden.<br />
... deshalb der bewährte Gang zu den ordentlichen Gerichten<br />
Wann kommt es eigentlich zu Unstimmigkeiten, bei denen Zertifikate und damit abgegeben elektronische Signaturen eine<br />
Rolle spielen?<br />
Grundsätzlich muss der Einsatz von Zertifikaten und elektronischen Signaturen immer im Zusammenhang mit dem Umfeld<br />
oder der Tätigkeit gesehen werden, in der sie verwendet werden. Wenn also ein Vertrag elektronisch geschlossen wird, indem<br />
er qualifiziert elektronisch signiert wird, werden sich die Parteien zuerst über die Umstände streiten, warum dieser Vertrag nicht<br />
gültig sein soll. Insbesondere sind dies Fälle, in denen nicht geliefert wurde oder nicht gezahlt wurde, Waren mangelhaft sind<br />
und Ähnliches. Die Gültigkeit der qualifizierten elektronischen Signatur wird dann nur ein Aspekt, nur ein Streitpunkt unter<br />
vielen sein, der in dem Streit eine Rolle spielt. Eine Instanz, die ausschließlich für die rechtliche Beurteilung von qualifizierten<br />
elektronischen Signaturen zuständig sein soll, müsste dann auch sämtliche Aspekte des restlichen Streits entscheiden.<br />
Hier sind die ordentlichen Gerichte die bessere Adresse.<br />
Bei Beschwerden über <strong>TC</strong> <strong>TrustCenter</strong> ist die Bundesnetzagentur zuständig<br />
Now part of Symantec<br />
Wie bereits in dieser <strong>Teilnehmerunterrichtung</strong> mehrfach erwähnt, ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,<br />
Post und Eisenbahnen die zuständige Behörde für die Aufsicht über die signatur-gesetzkonforme Tätigkeit von<br />
<strong>TC</strong> <strong>TrustCenter</strong>. Solle ein Kunde einen Anlass haben, sich über diese Tätigkeit von <strong>TC</strong> <strong>TrustCenter</strong> zu beschweren, ist die<br />
Bundesnetzagentur die zuständige Behörde.<br />
Wir hoffen jedoch, unsere Dienstleistungen in einer Art und Weise zu erbringen, die keinen Anlass für Beschwerden bietet. Wir<br />
gehen weiter davon aus, dass Sie sich in einem Fall, bei dem Sie mit <strong>TC</strong> <strong>TrustCenter</strong> unzufrieden sind, zuerst direkt an uns wenden.<br />
Symantec Limited<br />
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de<br />
9/9