Prüfung der technischen Komponenten

Gesetze - Signaturverordnung

Prüfung der technischen Komponenten (SigV § 17)

(1) Die Prüfung der technischen Komponenten nach § 14 Abs. 4 des Signaturgesetzes hat nach den "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik" (GMBl. 1992, S. 545) zu erfolgen. Die Prüfung muß bei technischen Komponenten zum Erzeugen von Signaturschlüsseln oder zum Speichern oder Anwenden privater Signaturschlüssel und bei technischen Komponenten, die geschäftsmäßig Dritten zur Nutzung angeboten werden, mindestens die Prüfstufe 'E 4' und im übrigen mindestens die Prüfstufe 'E 2' umfassen. Die Stärke der Sicherheitsmechanismen muß mit "hoch" und die Algorithmen und zugehörigen Parameter müssen nach Absatz 2 als geeignet bewertet sein.

(2) Die zuständige Behörde veröffentlicht im Bundesanzeiger eine Übersicht über die Algorithmen und zugehörigen Parameter, die zur Erzeugung von Signaturschlüsseln, zum Hashen zu signierender Daten oder zur Erzeugung und Prüfung digitaler Signaturen als geeignet anzusehen sind, sowie den Zeitpunkt, bis zu dem die Eignung jeweils gilt. Der Zeitpunkt soll mindestens sechs Jahre nach dem Zeitpunkt der Bewertung und Veröffentlichung liegen. Die Eignung ist jährlich sowie bei Bedarf neu zu bestimmen. Die Eignung ist gegeben, wenn innerhalb des bestimmten Zeitraumes nach dem Stand von Wissenschaft und Technik eine nicht feststellbare Fälschung von digitalen Signaturen oder Verfälschung von signierten Daten mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen werden kann. Die Eignung wird nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik unter Berücksichtigung internationaler Standards festgestellt. Experten aus Wirtschaft und Wissenschaft sind zu beteiligen.

(3) In der Bestätigung der Erfüllung der Anforderungen für technische Komponenten nach § 14 Abs. 4 des Signaturgesetzes ist anzugeben, für welche Anforderungen nach § 16 die Bestätigung gilt und unter welchen Einsatzbedingungen, welche Algorithmen und zugehörigen Parameter nach Absatz 2 eingesetzt und bis zu welchem Zeitpunkt diese mindestens geeignet sind sowie nach welcher Stufe die technischen Komponenten nach Absatz 1 geprüft wurden. Eine Ausfertigung des Prüfberichtes und der Bestätigung ist bei der zuständigen Behörde zu hinterlegen. Diese kann bei Anhaltspunkten für Mängel bei Prüfungen oder bei bestätigten technischen Komponenten sowie stichprobenweise Gutachten eines unabhängigen Dritten darüber einholen, ob die technischen Komponenten gemäß Absatz 1 geprüft wurden und ob diese die Anforderungen des Signaturgesetzes und dieser Verordnung erfüllen. Betroffene Hersteller, Vertreiber und Prüfstellen haben die dafür erforderliche Unterstützung zu gewähren. Wird diese nicht gewährt oder stellt sich heraus, daß bestätigte technische Komponenten nicht ausreichend geprüft wurden oder Anforderungen nicht erfüllen, so kann die zuständige Behörde erteilte Bestätigungen für ungültig erklären.

(4) Die zuständige Behörde hat die nach § 14 Abs. 4 des Signaturgesetzes anerkannten Stellen sowie die technischen Komponenten, die von diesen eine Bestätigung nach Absatz 3 erhalten haben, im Bundesanzeiger zu veröffentlichen und den Zertifizierungsstellen unmittelbar bekannt zu geben. Zu den technischen Komponenten ist anzugeben, bis zu welchem Zeitpunkt die Bestätigung gilt. Wird eine Anerkennung entzogen oder eine Bestätigung für ungültig erklärt, so ist dies ebenfalls im Bundesanzeiger zu veröffentlichen und den Zertifizierungsstellen unmittelbar bekannt zu geben.