Sichere Signaturerstellungseinheit

Der Begriff Sichere Signaturerstellungseinheit (SSEE) wurde in der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen[1] als konfigurierte Software oder Hardware definiert, die zur Speicherung und Anwendung des Signatursschlüssel verwendet wird (Signaturerstellungseinheit) und die Anforderungen des Anhangs III der Richtlinie erfüllt. Diese lauten sinngemäß:

  1. SSEEs müssen gewährleisten, dass die Signatursschlüssel
    • praktisch nur einmal auftreten können und ihre Geheimhaltung hinreichend gewährleistet ist,
    • mit hinreichender Sicherheit nicht abgeleitet werden können und die Signatur vor Fälschungen bei Verwendung der jeweils verfügbaren Technologie geschützt ist,
    • von dem rechtmäßigen Unterzeichner vor der Verwendung durch andere verlässlich geschützt werden können.
  2. SSEEs verändern die zu unterzeichnenden Daten nicht und verhindern nicht, dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden.

Aufgrund dieser Richtlinie wurde das Konzept der SSEE in der Gesetzgebung fast aller EU-Mitgliedstaaten und der Staaten des EWR in inhaltsgleicher Weise definiert. Ausnahmen sind Großbritannien und Irland, in denen keine entsprechenden Regelungen existieren.

Sichere Signaturerstellungseinheiten ermöglichen die Erstellung von qualifizierten elektronischen Signaturen, die einer eigenhändigen Unterschrift gleichgestellt sind.

Rechtliche Details

Die Übereinstimmung von sicheren Signaturerstellungseinheiten mit den gesetzlichen Anforderungen erfolgt durch die von den Mitgliedstaaten benannten Bestätigungsstellen. Diese Bestätigungen müssen auf Basis des Artikels 3 (4) der EU-Richtlinie von allen anderen Mitgliedstaaten anerkannt werden. Nach Artikel 3 Nr. 5 der EU-Richtlinie ist für eine sichere Signaturerstellungseinheit keine Bestätigung erforderlich, wenn sie nachweisbar einer internationalen Norm entspricht, die die Europäische Kommission als dafür geeignet festgelegt hat. In ihrer Entscheidung vom 14. Juli 2003[2] wies die Kommission die Spezifikation „CWA 14169“ des Europäischen Komitees für Normung (CEN) als eine geeignete Norm aus, welche Schutzprofile für eine Sicherheitsevaluierung nach Common Criteria definiert. Die rechtliche Relevanz dieser Entscheidung ist jedoch umstritten, da es sich bei der benannten Spezifikation um keinen offiziellen Standard handelt. Trotzdem hat sich europaweit diese Spezifikation für die Prüfung von SSEEs durchgesetzt.

Umsetzung in Deutschland

Das deutsche Signaturgesetz übernimmt und konkretisiert die Anforderungen aus der Richtlinie 1999/93/EG in § 17 SigG und § 15 SigV. Insbesondere wird gefordert, dass eine Speicherung des Signaturschlüssels außerhalb der sicheren Signaturerstellungseinheit ausgeschlossen sein muss, und dass eine SSEE den Schlüsselinhaber vor der Anwendung des Signaturschlüssels durch Besitz und Wissen oder durch Besitz und ein oder mehrere biometrische Merkmale sicher identifizieren muss. Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen müssen der Veröffentlichung der Bundesnetzagentur über geeignete Algorithmen entsprechen oder nachweislich mindestens gleichwertige Sicherheit bieten.

Die Bestätigung einer sicheren Signaturerstellungseinheit muss durch eine von der Bundesnetzagentur anerkannten Bestätigungsstelle erfolgen. Derzeit gibt es in Deutschland vier Bestätigungsstellen für Produkte für qualifizierte Signaturen. Die Bestätigung einer sicheren Signaturerstellungseinheit erfordert gemäß Anlage 1 der Signaturverordnung mindestens eine Prüfung der Sicherheitseigenschaften mit Prüftiefe EAL4 oder ITSEC mit Prüftiefe E3 hoch. (Das von der Europäischen Kommission als zur Prüfung geeignet angesehene Common Criteria Schutzprofil aus CWA 14169 erfüllt diese Anforderung.) Zusätzlich muss die Bestätigungsstelle die Übereinstimmung der Sicherheitsvorgaben, gegen die die Prüfung nach CC oder ITSEC durchgeführt wurde, mit den Anforderungen des Signaturgesetzes bestätigen.

Feststellungen der Übereinstimmung einer SSEE mit den Anforderungen der Richtlinie 1999/93/EG durch einen anderen Mitgliedstaat der Europäischen Union oder des europäischen Wirtschaftsraumes werden nach § 23 SigG anerkannt. Eine Prüfung nach einer von der Europäischen Kommission als geeignet veröffentlichten Norm wird anerkannt; derzeit ist jedoch unklar, ob diese Regelung bei der von der Kommission referenzierten Spezifikation greift (siehe oben).

Alle bis heute in Deutschland bestätigten sicheren Signaturerstellungseinheiten sind Prozessor-Chipkarten oder USB-Sticks, die einen gleichartigen Prozessor enthalten wie Prozessor-Chipkarten. Technische Anforderungen an Chipkarten mit Signaturfunktionalität legt z. B. DIN V 66291-1 fest.

Umsetzung in Österreich

In Österreich wird der Begriff der sichere Signaturerstellungseinheit durch die Novelle zum 1. Januar 2008 in das Signaturgesetz aufgenommen (§ 2 Zeile 5). Bereits in der ursprünglichen Fassung waren in § 18 die Anforderungen an die entsprechende Komponente inhaltlich von der Richtlinie 1999/93/EG übernommen und konkretisiert worden. Insbesondere muss die Nutzung des Signaturschlüssels durch einen Autorisierungscode (z. B. PIN, Fingerabdruck) geschützt sein. Die Anzahl der Signaturen, die mit einer Autorisierung ausgelöst wird, muss dem Signator bekannt sein. Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen müssen den Anforderungen des Anhanges der Signaturverordnung genügen und dem jeweiligen Stand der Technik entsprechen.

Die Erfüllung der Sicherheitsanforderungen muss von einer anerkannten Bestätigungsstelle bescheinigt werden. Einzige Bestätigungsstelle in Österreich ist der Verein Zentrum für sichere Informationstechnologie – Austria (A-SIT). Die Bescheinigung kann auf Evaluierungen nach Common Criteria und ITSEC basieren. Bei Einsatz in einer kontrollierten Umgebung können die technischen Sicherheitsanforderungen auch organisatorisch erfüllt werden. Die Erfüllung dieser Sicherheitsanforderungen ist durch eine Bestätigungsstelle zu prüfen.

Bescheinigungen von anderen Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraumes über die Übereinstimmung einer SSEE mit den entsprechenden Anforderungen der Richtlinie 1999/93/EG sind den Bescheinigungen einer inländischen Bestätigungsstelle gleich zu halten. Eine Prüfung nach einer von der Europäischen Kommission als geeignet angesehenen Norm wird anerkannt.

Umsetzung in Liechtenstein

Das Liechtensteiner Signaturgesetz definiert Anforderungen für sichere Signaturerstellungseinheiten in Artikel 18 (1). Die Sicherheitsanforderungen entsprechen inhaltlich denen des österreichischen Signaturgesetzes. Die von einer sicheren Signaturerstellungseinheit verwendeten kryptographischen Algorithmen müssen den Anforderungen des Dokumentes ETSI SR 002 176[3] entsprechen oder nachweislich mindestens gleichwertige Sicherheit bieten.

Die Erfüllung der Anforderungen muss gemäß Artikel 8 der Verordnung über elektronische Signaturen (Signaturverordnung) von einer anerkannten Bestätigungsstelle geprüft und bescheinigt werden. Bisher wurde noch keine Bestätigungsstelle benannt, da nach dem Gesetz über die Abänderung des Signaturgesetzes als Übergangsbestimmung die von Zertifizierungsdiensteanbietern eingesetzten oder empfohlenen Komponenten bis zum 31. Dezember 2008 keine Sicherheitsbescheinigung benötigen. Als Prüfkriterien sind dabei die von der Europäischen Kommission als geeignete veröffentlichte Normen, sowie generell Common Criteria oder ITSEC zugelassen. Für die Prüfung nach Common Criteria oder ITSEC werden keine Prüftiefen explizit vorgeschrieben, die verwendeten Schutzprofile bzw. Sicherheitsvorgaben müssen aber von der Bestätigungsstelle als geeignet anerkannt werden. Bescheinigungen von anderen Mitgliedstaaten des Europäischen Wirtschaftsraumes über die Übereinstimmung einer SSEE mit den entsprechenden Anforderungen der Richtlinie 1999/93/EG sind den Bescheinigungen einer inländischen Bestätigungsstelle gleich zu halten.

Weblinks

Einzelnachweise

  1. Richtlinie 99/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen
  2. 2003/511/EG: Entscheidung der Kommission vom 14. Juli 2003 über die Veröffentlichung von Referenznummern für allgemein anerkannte Normen für Produkte für elektronische Signaturen gemäß der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates
  3. ETSI SR 002 176 V1.1.1 (2003-03). Abgerufen am 24. November 2018. (PDF-Datei)