Bundesamt für Sicherheit in der Informationstechnik

Zertifizierung als Auditor "Secure CA Operation" für BSI TR-03145

Nur eine sichere Certification Authority kann als Wurzel für eine Public Key Infrastruktur dienen, welche für die Sicherung von Vertraulichkeit oder auch Authentizität/Integrität von Informationen genutzt wird. Die Grundlage von Public Key Infrastrukturen (PKI) ist Vertrauen. Daher muss eine Certification Authoritiy (CA), welche die PKI betreibt, zum einen vertrauenswürdig sein und zum anderen Vertrauen von Dritten erhalten. Um dieses Vertrauen herzustellen, müssen zwei Bedingungen erfüllt sein:

  • Erstens muss es eine Basis für Vertrauenswürdigkeit geben, das heißt die CA muss auf einem angemessenen Sicherheitsniveau organisatorische und technische Maßnahmen implementieren und Regeln für alle PKI-Teilnehmer aufstellen.
  • Zweitens müssen diese Sicherheitsmaßnahmen, transparent dokumentiert werden. Hierzu dient ein (bestandenes) Audit basierend auf klaren und dokumentierten Anforderungen.

Die BSI [TR-03145] hat zum Ziel, CAs bei beiden Schritten zu unterstützen. Es werden Anforderungen an die zu implementierenden Sicherheitsmaßnahmen gestellt, und die Technische Richtlinie dient als Grundlage für einen Audit- und Zertifizierungsprozess. Die Anforderungen der [TR-03145] beinhalten unter anderem ein Audit nach ISO/IEC 27001 in dessen Rahmen alle in der TR benannten Prozesse und Bereiche der CA berücksichtigt werden müssen. Das Audit wird durch einen zertifizierten Auditor "Secure CA Operation" durchgeführt und findet vor Ort bei der zu prüfenden CA statt.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK