Bundesamt für Sicherheit in der Informationstechnik

Fragen zur Einführung und Anwendung der Elektronischen Signatur

Welche Sicherheitsschwachstellen sind aus Sicht des BSI beim Thema "Elektronische Beseitigung)Signaturen im Internet" zu beachten und wie können Maßnahmen mit welcher Wirkung zur Gegensteuerung durchgesetzt werden?

Das könnte man – leider – ausufernd beantworten. Für alle IT-gestützten relevanten Applikationen ist immer ein stimmiges Sicherheitskonzept zu erstellen. Detaillierte Hinweise dazu finden Sie etwa im IT-Grundschutz-Katalog des BSI, sowie – für den Bereich des E-Government - im E-Government-Handbuch.
Außerdem gilt hier der Rat, die zuständigen Informationsquellen, sowie u. a. die Webseite Datenschutz und Datensicherheit zu diesem Thema permanent auszuwerten.
Dazu drei kleinere – nicht wirklich neue – Anmerkungen:

  1. Die Signaturkarte inkl. PIN (falls vorhanden) muß von dem Anwender unbedingt vor fremdem Zugriff geschützt werden;
  2. Der Signier-PC muß unbedingt vor unautorisiertem Zugriff geschützt werden;
  3. Falls verfügbar nutzen Sie einen Kartenleser mit integriertem PinPad, sofern Sie eine Signaturkarte verwenden.
  4. Wird dagegen eine Server-Signatur verwendet, so ist darauf zu achten, dass die Authentifizierungsdaten für die Autorisierung der Erstellung der Signatur hinreichend geschützt werden.

Welche kryptographischen Verfahren kann das BSI zur Anwendung "Elektronische Signatur" empfehlen?

Hierbei bieten beispielsweise die Technische Richtlinie BSI TR-01202-1 "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" und der Algorithmenkatalog der Bundesnetzagentur eine gute Orientierung.

Was hat eine Firma zu tun, wenn sie für ihre rechnergestützten Geschäftsprozesse Elektronische Signaturen im Internet anwenden will?

Hier gibt es zwei Möglichkeiten:

  1. Sie können eine der Standardlösungen verwenden z. B. gemäß Gesetz bestätigte/zugelassene Produkte oder Dienste… siehe Webseite der Bundesnetzagentur oder etwas "einfachere" nicht gesetzkonforme Lösungen, die für viele Anwendungsgebiete jedoch durchaus ausreichen können – z. B. beim Verwendung von fortgeschrittenen elektronischen Signaturen, die mit einem Softtoken erstellt werden.
  2. Sie müssen selbst entwickeln. Dann müssen Sie die Anforderungen hierzu bezüglich Ihrer speziellen Anwendung z. B. aus dem Gesetz ableiten. Beraten kann Sie hierbei eine der Bestätigungsstellen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK