Suchbegriff eingeben

Suchbegriff

Weitere Servicefunktionen

• Newsletter bestellen
• Newsletter abbestellen
• RSS-Feeds
• Fragen zum Rufnummernmissbrauch
• Fragen an die Nummernverwaltung
• Fragen an den Verbraucherservice
• Fragen zur Qualifizierten Elektronischen Signatur
• Fragen zum Datenschutz
• Fragen zu anderen Fachthemen
• Fragen zu Funkstörungen
• Fragen an unsere Pressestelle
• Fragen an unsere Webmaster

Qualifizierte elektronische Signatur

Wichtiger Hinweis: Sicherheitslücke bei bestätigtem Kartenleser entdeckt (Stand: 27.04.2010, aktualisiert am: 30.04.2010 und 07.06.2010)

Die Bundesnetzagentur weist darauf hin, dass für das gem. § 17 Abs. 4 Satz 1 SigG bestätigte Chipkartenterminal KAAN TriB@nk mit der Firmware 79.22 eine Sicherheitslücke entdeckt wurde. Diese Sicherheitslücke besteht ebenso bei den bestätigten Chipkartenterminals EMV-TriCAP Reader (Art.-Nr. HCPNCKS/A03, Firmware 69.18), SecOVID Reader III (Art.-Nr. HCPNCKS/B05, Firmware 69.18) und KAAN TriB@nk (Art.-Nr. HCPNCKS/C05, Firmware 68.17). Die Sicherheitslücke eröffnet die Möglichkeit, dass eine ggf. schädliche Firmware auf den Kartenleser eingespielt werden kann. Damit ist nicht mehr gewährleistet, dass der Kartenleser alle an ihn gestellten signaturrechtlichen Anforderungen (z.B. die sichere Eingabe der PIN) erfüllt.

Die Sicherheitslücke des Chipkartenterminal KAAN TriB@nk kann mit einem Security-Patch „Firmware 79.23 für KAAN TriB@nk“ (SHA-1-Prüfsumme der Datei KAAN_TriBank-79.23_40.exe: e14bd5ef9eb3388865626ddbfeb8d02375eaaf89) behoben werden. Der Hersteller hat für diese Firmware bei der Bundesnetzagentur eine Herstellererklärung nach § 17 Abs. 4 Satz 2 SigG eingereicht. Die Bundesnetzagentur rät Benutzern dieses Chipkartenterminals, diesen Sicherheitspatch aufzuspielen.

Zusatz am 07.06.2010: Die Bestätigungen der Chipkartenterminals wurden mit Wirkung zum 17.04.2010 für ungültig erklärt.

Informationen für den "einheitlichen Ansprechpartner" (Stand: 23.12.2009)

Informationen für den "einheitlichen Ansprechpartner" gemäß der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates über Dienstleistungen im Binnenmarkt und für interessierte Unternehmen/Behörden zu den Themenbereichen Zertifizierungsdiensteanbieter (Akkreditierung, Anzeige, Einstellung des Betriebs) und Prüf- und Bestätigungsstellen finden Sie hier.

Hinweis im Zusammenhang mit der Prüfung von qualifizierten elektronischen Signaturen, die auf ungeeigneten Algorithmen beruhen (Stand: 06.03.2009)

Die Bundesnetzagentur weist darauf hin, dass bei der Prüfung von qualifizierten elektronischen Signaturen durch Signaturanwendungskomponenten i.S.v. § 2 Nr. 11 b SigG auch dann eine zuverlässige Prüfung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs 2 Nr. 2a SigV erfolgen muss, wenn die geprüfte Signatur auf einem Algorithmus beruht, der als nicht mehr geeignet und damit als nicht mehr hinreichend sicher eingestuft ist.

Mehr dazu unter Frage 28 der FAQs - Häufig gestellte Fragen

Hinweis im Zusammenhang mit der Nutzung von freiwilligen Prüfzeichen (Stand: 06.03.2009)

Internetpublikationen zufolge gibt es Dienstleister, welche zum Nachweis der Übereinstimmung ihres Angebots mit den gesetzlichen Bestimmungen des Signaturgesetzes (SigG) und der Signaturverordnung (SigV) freiwillige Prüfzeichen verwenden.

Die Bundesnetzagentur weist darauf hin, dass solche freiwilligen Prüfzeichen zum Nachweis der signaturrechtlichen Konformität unzulässig sind. Die Übereinstimmung von Produkten: Signaturanwendungskomponenten und technischen Komponenten nach dem Signaturgesetz und nach der Signaturverordnung werden ausschließlich durch Produktbestätigungen und veröffentlichte Herstellererklärungen nachgewiesen. Bestätigungen werden dabei ausschließlich von nach § 18 SigG anerkannten (Prüf- und) Bestätigungsstellen erstellt, Herstellererklärungen nur durch die Hersteller des Produktes abgegeben.

Hinweis im Zusammenhang mit der Erstellung von Fremdsignaturen (Stand: 06.03.2009)

Internetpublikationen zufolge gibt es Dienstleistungsanbieter, welche die qualifizierte elektronische Signierung fremder Daten geschäftsmäßig betreiben. Zwei Modelle werden beschrieben:

1. Signierung mittels auf Mitarbeiter des Dienstleisters personalisierten Signaturkarten und Signatur-Pins: Auf der Grundlage einer vertraglichen Vollmacht signiert ein Dienstleister die Rechnungen des Auftraggebers unter Verwendung seines Zertifikats im Namen des Auftraggebers.
2. Signierung mittels Signaturkarte und Signatur-Pin des Auftraggebers: In diesem Fall beschafft sich der Auftraggeber eine eigene Signaturkarte sowie eine Signatur-Pin und stellt diese dem Dienstleister zur Verfügung, welcher dann die Signierung durchführt.

Die Bundesnetzagentur weist darauf hin, dass mit Modell 1 grundsätzlich qualifiziert elektronisch signiert werden kann, wenn die Vertretungsmacht nach außen, z.B. durch Verwendung eines Attributs im Zertifikat, offenkundig wird. Nicht signaturgesetzkonform ist Modell 2 und hat zur Folge, dass durch diesen Vorgang keine qualifizierten elektronischen Signaturen erzeugt werden.

Weitere Hinweise der Bundesnetzagentur zum Thema "qualifizierte elektronische Signaturen" finden Sie auf unserer Seite "Weitere Hinweise"