IT-Notfall

Zertifizierung nach dem Signaturgesetz des BSI

Das Signaturgesetz (SigG) bildet die gesetzliche Grundlage für die Nutzung und Anerkennung elektronischer Signaturen in Deutschland. Es wurde geschaffen, um die rechtliche Verbindlichkeit digitaler Signaturen zu regeln und damit eine sichere elektronische Kommunikation zu ermöglichen. Elektronische Signaturen ersetzen handschriftliche Unterschriften und gewährleisten die Authentizität, Integrität und Vertraulichkeit digitaler Dokumente.

Das Gesetz orientiert sich an europäischen Vorgaben, insbesondere an der eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services), die 2016 in Kraft trat und einheitliche Standards für elektronische Signaturen innerhalb der EU festlegt. Das Signaturgesetz regelt sowohl die Anforderungen an Anbieter von Signaturdiensten als auch die verschiedenen Sicherheitsstufen elektronischer Signaturen. Die Zertifizierung von Produkten erfolgt durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder durch akkreditierte Prüfstellen.

Anwendungsbereich

Das Signaturgesetz richtet sich insbesondere an Betreiber kritischer Infrastrukturen sowie an Behörden in den Bereichen Regierung und Verteidigung. Darüber hinaus ist es für Finanzdienstleister und Trust Service Provider von Relevanz, die auf rechtssichere elektronische Signaturen angewiesen sind. Die Zertifizierung umfasst vor allem kryptographische Module (Hardware Security Modules, HSM), Smartcards und Public-Key-Infrastrukturen (PKI).

Zertifizierte Produkte werden in Deutschland sowie in großen Teilen der EU anerkannt, da die eIDAS-Verordnung hier Anwendung findet. Für qualifizierte Vertrauensdienste besteht eine gesetzliche Zertifizierungspflicht nach eIDAS. Andere Hersteller können jedoch freiwillig eine Zertifizierung beantragen, um sich einen Marktvorteil zu verschaffen. Für Behörden und Finanzdienstleister ist eine BSI-Bestätigung oft eine Voraussetzung, um die Sicherheit und Integrität eines Produkts sicherzustellen.

Prüfspezifika und Gültigkeit

Bevor eine Zertifizierung stattfinden kann, sind vorbereitende Maßnahmen erforderlich:

  • Definition der Sicherheitsanforderungen: Die spezifischen Sicherheitskriterien des Produkts müssen im Einklang mit den gesetzlichen Vorgaben festgelegt werden.
  • Erstellung der technischen Produktdokumentation: Hierbei werden detaillierte Informationen zur Architektur, Funktionsweise und Sicherheitsmechanismen des Produkts dokumentiert.
  • Auswahl einer akkreditierten Prüfstelle: Das BSI oder eine anerkannte Prüfstelle führt die Sicherheitsbewertung durch.

Der Aufwand für eine Zertifizierung hängt von der Komplexität des jeweiligen Produkts ab. Einfache Anwendungen wie Signaturkarten und Basis-HSMs erfordern weniger Aufwand als komplexe PKI- und Trust-Center-Lösungen. Hochsicherheitsprodukte, bei denen ein Angriffswiderstandsnachweis notwendig ist, haben die höchsten Anforderungen. Abhängig von der Produktkategorie variieren auch die Zertifizierungskosten.

Zur Prüfung eines Produkts existieren verschiedene Verfahren, die jeweils unterschiedliche Sicherheitsaspekte evaluieren:

  1. Funktionale Tests: Überprüfung der signaturtechnischen Funktionen hinsichtlich ihrer Korrektheit und Zuverlässigkeit.
  2. Kryptographische Sicherheitsanalysen: Kontrolle der Schlüsselverwaltung, Schlüsselerzeugung und der Implementierung kryptographischer Verfahren.
  3. Schwachstellen- und Angriffstests: Identifikation potenzieller Sicherheitslücken durch Simulation von Angriffsszenarien, einschließlich Side-Channel-Analysen und Penetrationstests.
  4. Konformitätsbewertungen: Sicherstellung der Einhaltung des Signaturgesetzes, der eIDAS-Verordnung und der technischen Richtlinien des BSI sowie internationaler Standards wie Common Criteria (CC) oder FIPS 140-2.

Nach erfolgreichem Abschluss der Prüfung erhält das Produkt eine BSI-Bestätigung, die eine Bewertung der Sicherheitsstufe sowie Einsatzempfehlungen beinhaltet. Zudem wird das zertifizierte Produkt in eine offizielle BSI-Liste aufgenommen, die als zentrale Referenz für die Sicherheit solcher Produkte dient. Die Gültigkeit der Zertifizierung liegt in der Regel zwischen zwei und fünf Jahren, abhängig von der eingesetzten Technologie und Produktkategorie. Eine erneute vollständige Prüfung wird bei wesentlichen technischen Änderungen erforderlich.

Damit ein Produkt weiterhin als zertifiziert gilt, sind regelmäßige Maßnahmen zur Sicherstellung der Sicherheitsstandards erforderlich. Hersteller müssen sicherstellen, dass Sicherheitsupdates durchgeführt und nachgewiesen werden. Zudem gehören jährliche Audits oder spezifische Überprüfungen für besonders kritische Dienste zur Zertifizierungspflege. Um aktuellen Bedrohungsmodellen gerecht zu werden, sind fortlaufende Sicherheitsanpassungen am Produkt notwendig.

Zudem können sich regulatorische Vorgaben oder technische Standards weiterentwickeln, sodass eine Nachzertifizierung oder Anpassung bestehender Zertifikate erforderlich sein kann. Insbesondere bei Produkten, die in Hochsicherheitsbereichen oder in kritischen Infrastrukturen eingesetzt werden, sind regelmäßige Sicherheitsüberprüfungen essenziell, um die Vertrauenswürdigkeit der Systeme langfristig sicherzustellen. Durch die kontinuierliche Zertifizierungspflege wird sichergestellt, dass die Produkte den neuesten sicherheitstechnischen Anforderungen entsprechen und dauerhaft ein hohes Maß an Schutz gewährleisten.

Hier geht es zur Liste der Produktzertifikate

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge IT-Sicherheit
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
ITS-Couch
ITS-Couch-Sofa-Icon
Markplatz Formate
Experten sehen & hören
its-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
Ratgeber IT-Sicherheit
Glühbirne - Ratgeber - Icon
Cyber-Risyk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
Forum IT-Sicherheit
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
markplatz_illustration_firstidea_standdertechnik
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-Sicherheitstools
secaware_lightbulb
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
Interaktive Listen
IT-Notfall
IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter (ISB)
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern
Datenschutzbeauftragter-Icon
Der Datenschutzbeauftragte
Kontaktdaten von IT-Sicherheitsanbietern
it-sicherherheitsrecht waage
IT-Sicherheitsrecht
Juristische Beratung
Zertifikate IT-Sicherheit
Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste
Unternehmenszertifikate - Icon
Unternehmenszertifikate
Interaktive Liste
Veranstaltungen
Anbieterverzeichnis
Skip to content