Home | Kontakt | Akkreditierungen | Aktuelles | Themen | Newsletter | Jobs

Dienstleistungen / Zertifikatslisten / Referenzen / Über uns /

August 2009

 

Themen:

IT Dragons - sportliches Highlight

Das sportliche Highlight zuerst: Wir gratulieren den IT Dragons zur erfolgreich gestarteten Drachenboot-Saison: Beim 9. nordcom Drachenboot-Cup am 13. und 14. Juni 2009 hat das Team der IT Dragons auf der Rennstrecke in der Fun-Gruppe den 6. Platz belegt; und auf der Seemeile gar den 4. Herzlichen Glückwunsch!

Das Team der IT Dragons setzt sich aus Sportlerinnen und Sportlern von EDS Bremen, ArcelorMittal Bremen und datenschutz cert sowie assoziierten Mitgliedern zusammen. Die IT Dragons starten diese Saison unter dem Motto "IT Dragons certified by datenschutz cert".

Common Criteria - Re-Akkreditierung erfolgt

Das, was für Sie gilt - wenn wir bei Ihnen eine ISO 27001-Auditierung durchführen -, trifft auch auf uns zu: die regelmäßige Wiederholungsbegutachtung. Die Re-Akkreditierung der datenschutz cert GmbH als Prüfstelle für IT-Sicherheit für Common Criteria-Evaluierungen wurde am 28. Mai 2009 ausgesprochen.

Wir sind als Prüfstelle für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiert. Neben einer hinreichenden Erfahrung durchgeführter Evaluierungen ist für die Akkreditierung wichtig, dass das Qualitäts- sowie das Informationssicherheits-Managementsystem konform zu DIN ISO 17025 ist. Diese Begutachtung zur Re-Akkreditierung wurde im April 2009 erfolgreich durchgeführt, und am 29.05.2009 wurde die Re-Akkreditierung offiziell ausgesprochen und die Urkunde überreicht.

Damit stehen wir Ihnen auch weiterhin als akkreditierte Prüfstelle für IT-Sicherheit für Evaluierungen nach Common Criteria zur Verfügung und freuen uns auf weitere spannende Evaluierungsprojekte. Derzeit befindet sich in Evaluierung u.a. ein eHealth-Chipkartenterminal zur Gematik-Zulassung.

Ausbau des Dienstleistungsportfolios

Wir können Ihnen zwei neue Dienstleistungen anbieten:

  • eine Prüfung im Kontext der Anerkennung elektronischer Rechnungen, Stichwort „GDPdU“ sowie
  • eine Prüfung zum Disaster Recovery.

zu den "Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)": Elektronische Rechnungen werden zunehmend eingesetzt - nicht nur, um Porto zu sparen, sondern oftmals auch, um elektronische Vorgänge ohne Medienbruch effizient gestalten zu können. Inwiefern aus Sicht der Buchhaltung solche elektronischen Rechnungen behandelt werden müssen um den Anforderungen der Finanzbehörden bei einer Steuerprüfung zu genügen, ist vom Finanzministerium normiert worden - u.a. in den "Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)".

Neben Rechten und Pflichten – etwa zum Zugriff von Prüfern der Finanzbehörde oder zur Archivierung von Dokumenten – werden in den GDPdU auch Anforderungen an die Prüfbarkeit elektronischer Dokumente gesetzt; explizit werden qualifizierte elektronische Signaturen gemäß Signaturgesetz (SigG) normiert, wodurch diese Systeme Signaturanwendungskomponenten darstellen.

Wie bieten Ihnen die Zertifizierung von Produkten bzgl. Konformität zu Abschnitt II GDPdU an, was wir für die Produkte „Governikus Signer, Version 2.1.0.0“ und „Governikus Signer, Version 2.1.0.1“ der bremen online services GmbH & Co. KG bereits durchgeführt haben. Im Rahmen der Zertifizierung wurde nachgewiesen, dass diese beiden Produkte die relevanten Anforderungen aus GDPdU, Abschnitt 2, zur Prüfbarkeit digitaler Unterlagen erfüllen und für den Einsatz in einem GDPdU-konformen Gesamtsystem genutzt werden können.

zum Disaster Recovery: Die internationale Norm ISO 24762 "Guidelines for Information and Communications Technology Disaster Recovery Services" stellt eine Empfehlung für die Katastrophenvorsorge dar. In der ISO-Norm 24762 werden Anforderungen zu einem strukturierten Ansatz erörtert, der sicherstellt, dass

  • die IT-Infrastruktur sowie
  • die Telekommunikationseinrichtungen
  • hinsichtlich des konkreten Schutzbedarfs

adäquat darauf eingerichtet ist, einen Katastrophenfall zu überstehen und schnellstmöglich den Betrieb wieder aufnehmen zu können. Da typischerweise die IT-Infrastruktur für wesentliche Prozesse innerhalb eines Unternehmens oder einer Behörde essentiell ist, ist es wichtig, die Ausfallzeiten zu minimieren.

ISO 24762 hat diverse Berührungspunkte zu einem Informationssicherheits-Managementsystem gemäß ISO 27001 und IT-Grundschutz und ergänzt dieses, kann aber auch eigenständig angewendet werden. Die Norm ist sowohl für die Betrachtung der internen Prozesse als auch als Anforderung an einen Outsourcing-Partner geeignet - beispielsweise ein Rechenzentrum, welches wichtige Serversysteme hostet.

Wir haben den "Outsourcing Services/Hosting"-Bereich der Logica Managed Services Deutschland GmbH in Bremen gemäß der internationalen Norm ISO 24762 begutachtet und festgestellt, dass die Empfehlungen dieser Norm zum Disaster Recovery angemessen erfüllt werden. Damit ist das Rechenzentrum der Logica in Bremen vorbildlich auf Katastrophen im Bereich der IT-Infrastruktur und der Telekommunikationseinrichtungen eingestellt. Das Informationssicherheits-Managementsystem (ISMS) der Logica Managed Services Deutschland GmbH für den Geschäftsbereich "Outsourcing Services/ Hosting" ist bereits gemäß ISO 27001 zertifiziert.

internet privacy standards - ips

Unser von der D21-Initiative der Bundesregierung empfohlener Kriterienkatalog für die Begutachtung von Online-Dienstleistungen hat sich bewährt und erscheint seit diesem Jahr im neuen Look!

Das neue Logo weist nun deutlicher als vorher den für Internet-Nutzer wichtigen Stempel-Charakter auf und lässt damit gleich auf den ersten Blick erkennen, dass der geprüfte Internet-Anbieter "ausgezeichnet" ist. Das Logo fügt sich im Design zudem nahtlos in die wachsende Produktfamilie der datenschutz cert GmbH ein.

Zudem wurde unser Siegel von der COMPUTERBILD als besonders vertrauenswürdig bewertete Gütesiegel erachtet: Im Rahmen der Berichterstattung "Sicherheit beim Einkaufen im Internet" wurden verschiedene Gütesiegel getestet. Die Ergebnisse können derzeit auf www.computerbild.de abgerufen werden.

Das Gütesiegel ips – internet privacy standards – wurde dabei als vertrauenswürdig mit hohen Qualitätskriterien eingestuft. Von insgesamt 8 getesteten Online-Siegeln wurden nur vier Zertifikate als glaubwürdig eingestuft, die anderen fielen mangels entsprechender Prüftiefe oder Unabhängigkeit entweder durch oder wurden als bedingt glaubwürdig bewertet. Alle von der Initiative D21 anerkannten und empfohlenen Gütesiegel, darunter auch ips, bekamen hingegen ein positives Ergebnis. Der unabhängige Test von COMPUTERBILD zeigt einmal mehr, dass sich Verbraucher auf seriös zertifizierten Webseiten sicherer bewegen. Unternehmen können mit einem ips-Gütesiegel nachweisen, das Sie sich einem Datenschutz-Audit auf höchstem Niveau gestellt haben und den Daten- und Verbraucherschutz ihrer Kunden ernst nehmen.

In diesem Jahr konnten bereits die folgenden ips-Zertifikate erteilt werden:

Eine vollständige Zertifikatsliste finden Sie unter http://www.datenschutz-cert.de/zertlisten/

Schwach werdende Kryptoverfahren

Ein schon länger bekanntes Problem, das in der Vergangenheit häufig eher akademisch diskutiert wurde, wird aktuell stark diskutiert: Es geht um schwach werdende kryptographische Algorithmen.

Bekanntlich berät alljährlich eine Expertenkommission über die Güte kryptographischer Algorithmen – was insbesondere für die kryptographischen Signaturalgorithmen im Hinblick auf rechtsverbindliche qualifizierte elektronische Signaturen gemäß Signaturgesetz wichtig ist. Die Bundesnetzagentur veröffentlicht dann jährlich eine Übersicht über geeignete Algorithmen, aktuell ist die "Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)" vom 17. November 2008, veröffentlicht am 27. Januar 2009 im Bundesanzeiger Nr. 13, S. 346.

Danach werden die kryptographischen Algorithmen in den Zertifikaten und Produkten für qualifizierte elektronische Signaturen von Zeit zu Zeit angepasst. Und auch die Validierung von qualifizierten elektronischen Signaturen, die evtl. früher erzeugt wurden, ist in der Theorie umfassend geklärt: Nach dem Kettenmodell ist eine qualifizierte elektronische Signatur gültig, wenn das zugehörige Zertifikat sowie alle Zertifikate der darüberliegenden Zertifikatskette zum jeweiligen Erstellungszeitpunkt gültig – also bekannt und nicht gesperrt – waren. Praxiserfahrungen zeigen aber, dass häufig unklar ist, welcher Prüfzeitpunkt der Prüfung zugrunde gelegt werden muss. Der aktuelle Zeitpunkt? Ist es der Zeitpunkt der Erstellung? Und wenn ja, woher kenne ich den? Und wie verhält es sich mit Signaturen, die vor einiger Zeit erstellt wurden? Was ist mit Signaturen, deren kryptographische Eignung inzwischen abgelaufen ist?

Gegenwärtig befassen wir uns mit diesen Fragen und planen eine entsprechende Aufbereitung der Thematik. Zudem sind auch die Anforderungen an Signaturanwendungskomponenten von der Bundesnetzagentur diesbezüglich konkretisiert worden: Danach müssen Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG auch dann eine zuverlässige Prüfung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten, wenn die geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und damit als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel vorliegt.

Falls Sie Anregungen zu neuen Themen oder zu unserem Newsletter haben, schicken Sie eine E-Mail an newsletter@datenschutz-cert.de.