Datum 23.03.2023

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 23. März 2023 die neue Technische Richtlinie BSI TR-03145-5 für den sicheren Betrieb einer Public Key Infrastruktur für Technische Sicherheitseinrichtungen veröffentlicht.

Im Zuge der Digitalisierung werden Geschäftsvorfälle immer häufiger elektronisch erfasst. Um nachträglichen Manipulationen an elektronischen Aufzeichnungen entgegenzuwirken, müssen seit 2020 elektronische Aufzeichnungssysteme wie Registrierkassen mit einer zertifizierten Technischen Sicherheitseinrichtung geschützt werden. Diese ist in eine Public Key Infrastruktur eingebettet. Die technischen Anforderungen und Prüfvorschriften an die Technische Sicherheitseinrichtung sowie die dazugehörige Public Key Infrastruktur werden vom BSI festgelegt.

Eine Public Key Infrastruktur besteht aus hierarchisch angeordneten Stellen, welche digitale Zertifikate ausstellen. Die digitalen Zertifikate können genutzt werden, um beispielsweise die Vertraulichkeit oder die Integrität und Authentizität von Informationen zu sichern. Dies setzt allerdings voraus, dass die zertifikatsausgebenden Stellen sicher betrieben werden.

Public Key Infrastrukturen werden in unterschiedlichsten Anwendungsbereichen eingesetzt. Das BSI legt in der Richtlinienreihe BSI TR-03145 grundsätzliche Anforderungen für verschiedene Bereiche fest. Die Technische Richtlinie BSI TR-03145-1 ist die Basis dieser Richtlinienreihe und definiert Anforderungen für den sicheren Betrieb von zertifikatsausgebenden Stellen in möglichst allgemeingültiger Form. Dies ermöglicht eine möglichst breite Anwendbarkeit dieser Technischen Richtlinie.

In bestimmten Anwendungsbereichen kann es notwendig sein, die allgemeingültigen Anforderungen für den gegebenen Anwendungsbereich zu konkretisieren, wie bei der Absicherung von Aufzeichnungen elektronischer Aufzeichnungssysteme mit einer Technischen Sicherheitseinrichtung.

Mit der Veröffentlichung der Technischen Richtlinie BSI TR-03145-5 ergänzt und konkretisiert das BSI die Vorgaben für diesen Anwendungsfall und ermöglicht die einheitliche und vereinfachte Zertifizierung.