Elektronische Signatur Version 1.0 Oktober 2007 - APV
Elektronische Signatur Version 1.0 Oktober 2007 - APV
Elektronische Signatur Version 1.0 Oktober 2007 - APV
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>APV</strong>-Empfehlung: <strong>Elektronische</strong> <strong>Signatur</strong>en, <strong>Version</strong> <strong>1.0</strong><br />
4.3.10 Sicherheit und Notfallkonzept<br />
Auch in Bezug auf die Integrität elektronischer <strong>Signatur</strong>en sind Regelungen zu treffen zur Sicherung von Systemen gegen:<br />
Informationsabfluss<br />
Manipulation<br />
Zerstörung<br />
Ausfall durch Nachlässigkeit<br />
Sabotage<br />
Defekte<br />
Unglücksfälle<br />
Zusätzlich ist für den Notfall (definiert als länger dauernder Systemausfall) ein adäquates Konzept zu erstellen. Mit Blick auf<br />
elektronische <strong>Signatur</strong>en sollte dies auch eine Aussage beinhalten, ob und wie während der Ausfallzeit alternativ ggf. handschriftlich<br />
zu unterschreiben ist.<br />
4.3.11 Periodische Überprüfungen<br />
Im Rahmen periodischer Überprüfungen wird der Validierungsstand eines Systems bewertet.<br />
Hinsichtlich der elektronischen <strong>Signatur</strong> wird empfohlen, in diesem Zusammenhang die Aktualität der entsprechenden<br />
Unterschriftenberechtigungen zu prüfen.<br />
4.4 Außerbetriebnahme<br />
Soll ein System außer Betrieb genommen werden, z. B. weil aufgrund der technischen Weiterentwicklung die bestehende<br />
Technologie zukünftig nicht mehr verfügbar sein wird, sind hinsichtlich signierter Daten u. a. folgende Varianten denkbar:<br />
Valide Migration auf ein Nachfolgesystem<br />
Valide Migration auf ein Hilfssystem (z. B. nur für Recherche- und Berichtszwecke)<br />
Ausdrucken und „notariell beglaubigen“<br />
Nachsignieren und Zertifikat erneuern<br />
Dabei sind folgende Aspekte zu beachten:<br />
Einhaltung der gesetzlichen Aufbewahrungsfristen für Daten und Dokumente<br />
Dauer der Archivierung vs. Gültigkeitsdauer von elektronischen <strong>Signatur</strong>en<br />
Ggf. Regelung zur Schlüsselverwaltung (z. B. falls Zertifikate vor Ablauf der Archivierungsdauer ungültig werden)<br />
5 Erläuterungen zur Public-Key-Infrastruktur (PKI)<br />
Mittels der asymmetrischen Verschlüsselung können Nachrichten im Internet digital signiert und verschlüsselt werden.<br />
Allerdings wird hierzu der „öffentliche Schlüssel“ (Public-Key) des Absenders benötigt.<br />
Damit sichergestellt ist, dass es sich tatsächlich um den öffentlichen Schlüssel des Absenders handelt und nicht um die<br />
Fälschung eines Betrügers, wird eine vertrauenswürdige Stelle (Trust Center) benötigt. Diese arbeitet als Certification<br />
Authority (CA) und stellt hierzu Zertifikate („Echtheitsbescheinigungen“) von öffentlichen Schlüsseln aus.<br />
Die Verwaltung der Zertifikate durch eine CA wird in einer organisatorisch-technischen Umgebung, einer Public-Key-Infrastruktur<br />
(PKI), durchgeführt. Sie besteht aus Technologie, Standards und definierten Sicherheitsanforderungen (Policy).<br />
Die Policy definiert u. a. Haftung, Gewährleistung, Organisation, Standards, einzusetzende Technologie und deren Handhabung.<br />
Eine PKI stellt Dienstleistungen wie Schlüssel-Management (Schlüsselerstellung, Aktualisierung, Wiedergewinnung, ...), Zertifikat-Management<br />
(Erzeugung, Bereitstellung, Erneuerung, Sperrung, ...) oder Zeitstempeldienste zur Verfügung. Zu einer<br />
PKI gehören folgende Komponenten:<br />
Die Zertifizierungsstelle (Certification Authority – CA) erstellt die digitalen Zertifikate für den Nutzer und verwaltet sie.<br />
Die Registrierungsstelle (Registration Authority – RA) verifiziert die Identität und Angaben des Antragstellers. Sie organi -<br />
siert die Zertifikatsausgabe im Namen der CA.<br />
Der Verzeichnisdienst stellt eine öffentliche Datenbank zur Verfügung, in der Zertifikate geführt werden. Gesperrte Zertifikate<br />
werden über eine Sperrliste (Certificate Revocation List – CRL) gekennzeichnet.<br />
Eine Alternative zur CRL ist das „Online Certificate Status Protocol“ (OCSP), mit dem der Status eines Zertifikates online<br />
überprüft werden kann.<br />
Der Zeitstempeldienst bestätigt die Vorlage von digitalen Daten zu einem bestimmten Zeitpunkt – dies ist von besonderer<br />
Bedeutung bei Verträgen und Urkunden.<br />
Jede Organisation oder jedes Unternehmen, das den internen und/oder externen Datenaustausch sicher gestalten möchte<br />
und sich entscheidet, mit Zertifikaten zu arbeiten, kann seine eigene PKI aufbauen und einsetzen. Dabei kann die<br />
28 <strong>APV</strong>news 04/07 copyright apv