Skip to Content.
Sympa Menu

cacert-de - Re: [CAcert-DE] Artikel über CAcert in der aktuellen A usgabe der <kes>

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: [CAcert-DE] Artikel über CAcert in der aktuellen A usgabe der <kes>


Chronological Thread 
  • From: Jens Paul <cacert AT canyonsport.de>
  • To: Deutschsprachige CAcert Support Liste <cacert-de AT lists.cacert.org>
  • Subject: Re: [CAcert-DE] Artikel über CAcert in der aktuellen A usgabe der <kes>
  • Date: Sat, 08 Sep 2007 14:37:17 +0200
  • List-archive: <https://lists.cacert.org/cgi-bin/mailman/private/cacert-de>
  • List-id: Deutschsprachige CAcert Support Liste <cacert-de.lists.cacert.org>
  • Organization: CAcert Inc.

Hallo Bernhard,
> Hallo, 
>
> in dem Text steht folgender Abschnitt, ich zitiere: "CAcert ist keine
> durch die Bundesnetzagentur akkreditierte Zertifizierungsinstanz. Mit
> den ausgestellten Zertifikaten können daher keine qualifizierten
> Signaturen im Sinne des deutschen Signaturgesetzes (SigG) erstellt
> werden."
>
> Meines Erachtens ist dieser Textblock dahingehend falsch, als dass eine
> Akkreditierung hinreichendes, aber kein notwendiges Kriterium ist. Eine
> Anzeige würde laut Gesetzestext ausreichen, um sogenannte qualifizierte
> Signaturen zu erstellen (gesetzl. Vorgaben müssen natürlich erfüllt
> sein). Vgl. auch entsprechende Liste der angezeigten oder akkreditierten
> Stellen bei der Bundesnetzagentur. Im Forum
> http://www.cacert-germany.de/Forum/index.php habe ich extra hierzu ein
> paar Zeilen geschrieben. Aber die Seite scheint wohl immer noch vom Netz
> zu sein.
>
> Es würde mich interessieren, ob seitens CAcert eine Anzeige bei der
> Bundesnetzagentur im oben genannten Sinne geplant ist?
>   
Da die Kollgen ja bereits einige Argumente aufgeführt haben, warum
CAcert NICHT akkreditiert ist (dazu später nochmal mehr), hier erstmal
etwas zum Thema Akkreditierung.

*(1) Unterscheidung*

Die "qualifizierten" Signaturen (dieser Begriff ist eigentlich "nur"
eine Abkürzung, laut Richtlinientext sind das "fortgeschrittene
Signaturen, die mit einer sicheren Signaturerstellungseinheit erstellt
wurden, die sich in der alleinigen Verfügung des Inhabers befindet...“)
sind (per § 126 a, BGB...) das rechtliche Äquivalent der eigenhändigen
Unterschrift.

Die "akkreditierten" Signaturen (streng genommen sind dies
"qualifizierte" Signaturen, deren Herausgeber - der jeweilige
Zertifizierungsdiensteanbieter - ein Akkreditierungsverfahren gemäß SigG
erfolgreich durchlaufen hat) sind im Rahmen des
Akkreditierungsverfahrens von einer Bestätigungsstelle umfassend
überprüft worden und ihre technische Sicherheit und langfristige Eignung
ist damit quasi gesetzlich bestätigt. Die erfolgreiche Prüfung wird nach
außen hin durch ein gem. § 15 Abs. 1 Satz 3 SigG verliehenes Gütesiegel
dokumentiert.

Im Extremfall (best case) besteht der Unterschied zur 2. Gruppe "nur"
darin, dass bei akkreditierten Signaturen eine unabhängige, kompetente
und dafür von der "zuständigen Behörde" anerkannte Stelle vorab die
Einhaltung von Gesetz und Verordnung geprüft und bestätigt hat.


*(2) Problematik bei fehlender Akkreditierung*

Der heute immer noch weitgehend außer acht gelassene aber wesentliche
Unterschied besteht darin, dass z.B. bei Betriebseinstellungen nur im
Falle der akkreditierten Betreiber die Bundesnetzagentur dafür sorgt,
dass die Zertifikate/Unterschriften weiterhin auf ihre Gültigkeit zum
Zeitpunkt der Unterschriftenerstellung hin überprüft werden können.

Die fortgesetzte und bisher weitverbreitete Nicht-zur-Kenntnisnahme
dieses ENTSCHEIDENDEN Unterschiedes könnte dazu führen, dass der
rechtliche Status elektronischer Dokumente langfristig in hohem Maße von
dem (möglicherweise zufälligen) „langen Leben“ der
(nicht-akkreditierten) Anbieter abhängt.

==> Der Einsatz von qualifizierten Signaturen eines nicht akkreditierten
Anbieters kann - gerade im Sinne der rechtlichen Archivierungspflichten
- zu Problemen führen. Ein Einsatz entsprechender Zertifikate kann daher
zumindest von mir nicht ruhigen Gewissens empfohlen werden. Eine Aussage
die Durchaus als Konsens innerhalb der Wirtschaft angesehen werden kann.


*(3) Problem Akkreditierung eines ausländischen Anbieters (was CAcert
faktisch ist)

* Die freiwillige Akkreditierung ist auch ausländischen
Zertifizierungsdiensteanbietern möglich. Die Sicherstellung einer
adäquaten Aufsichtsführung im Ausland ist hierbei (immer noch) höchst
komplex. Gerade weil qualifizierte Signaturen akkreditierter
ausländischer Anbieter durch das Gesetz den qualifizierten Signaturen
eines deutschen Anbieters gleichgestellt sind, müssen auch die gleichen
Anforderungen eingehalten werden, um Ungleichbehandlungen zu vermeiden
und ein hohes Maß an Sicherheit zu erreichen.


*(4) Finanzielles Risiko*

CAcert ist - zumindest zum aktuellen Zeitpunkt - weder in der Lage die
Kosten einer entsprechenden Akkreditierung, noch das Haftungsrisiko
(oder die Kosten der Haftungsverlagerung auf eine Versicherung) zu
tragen. Selbst nach erfolgter Akkreditierung entstehen nicht
unerhebliche Kosten durch die Aufrechterhaltung der Anforderungen. Als
Beispiel möchte ich hier mal ein Fall der Deutschen Telekom aufzeigen:

> *Wichtiger Hinweis im Zusammenhang mit dem Betrieb akkreditierter
> Zertifizierungsdiensteanbieter:*
>
> *Verlagerung von wesentlichen Betriebsteilen des akkreditierten
> Zertifizierungsdiensteanbieters TeleSec Produktzentrum der Deutsche
> Telekom AG: Bundesnetzagentur prüft, ob hierdurch Sicherheitsrisiken
> für die sichere Infrastruktur der qualifizierten elektronischen
> Signaturen entstehen.*
>
> *Der akkreditierte Zertifizierungsdiensteanbieter Deutsche Telekom AG
> hat am 15. Juni 2007 wesentliche sicherheitsrelevante Teile seines
> akkreditierten Zertifizierungsdienstes örtlich verlagert und an
> anderem Standort neu in Betrieb genommen. Die Bundesnetzagentur hätte
> als zuständige Aufsichtsbehörde nach § 3 des Signaturgesetzes (SigG)
> bei der konkreten Durchführung des Umzugs eingebunden werden müssen.*
>
> *Erst mehrere Tage nach Vollzug des Umzugs wurden die Prüfungen der
> Prüf- und Bestätigungsstelle nach § 18 SigG zur ordnungsgemäßen
> Umsetzung des hierfür geänderten Sicherheitskonzepts der Deutsche
> Telekom AG vorgenommen. Bis heute liegen der Bundesnetzagentur für
> Eignung und praktische Umsetzung des Sicherheitskonzepts, das die
> Verlagerung und Neuinbetriebnahme beschreibt, keine vollständigen,
> schriftlichen Prüfberichte von der hierzu befugten Prüf- und
> Bestätigungsstelle i.S.d. § 18 des SigG vor. Auch eine Bestätigung der
> Eignung und praktischen Umsetzung des Sicherheitskonzepts im Sinne des
> § 15 Abs. 2 S. 1 SigG durch eine Stelle nach § 18 SigG lag im
> Zeitpunkt des Umzugs nicht vor.*
>
> *Die Bundesnetzagentur prüft derzeit, ob sich aus alledem
> Sicherheitsrisiken für den Einsatz qualifizierter elektronischer
> Signaturen ergeben, wie sie z.B. bei der Abfrage des
> Verzeichnisdienstes der Deutsche Telekom AG entstehen können. Alle in
> Betracht kommenden rechtlichen Konsequenzen, insbesondere Maßnahmen
> nach § 15 Abs. 4 und 5 SigG und § 19 Abs. 2 und 3 SigG werden in
> Erwägung gezogen.*
>
Die Aufrechterhaltung aller Anforderungen welche sich im Rahmen der
Akkreditierung ergeben dürfte zum aktullen Zeitpunkt eine kaum von
CAcert zu bewältigende Hürde darstellen. Insbesondere auch in Hinblick
auf das bisher geringe Interesse an der Thematik.

FAZIT:
Ja, der Absatz ist dahingehend nicht 100% korrekt, als das eine Anzeige
plus Erzeugung der Signaturen mit einer sicheren
Signaturerstellungseinheit (wir müssten also beispielsweise SigKarten
und Lesegeräte bereitstellen) auch reichen wüde um eine qualifizierte
Signatur zu erzeugen. Da das bei solchen CA's gegenüber akkreditierten
CA's bestehende Risiko der fehlenden Nachhaltigkeit einen Einsatz in der
Praxis nicht empfehlenswet macht, ist faktisch die Akkreditierung der
einzige Weg für den Praxiseinsatz taugliche qualifizirte Zertifikate
anbieten zu können.

Gruß
Jens Paul

begin:vcard
fn:Jens Paul
n:Paul;Jens
org:CAcert Inc.
email;internet:cacert AT canyonsport.de
title:CAcert Education Officer
x-mozilla-html:TRUE
version:2.1
end:vcard




Archive powered by MHonArc 2.6.16.

Top of Page