Zertifizierung nach ETSI

Zertifizierung der Anbieter von Vertrauensdiensten

Zur Förderung des elektronischen Geschäftsverkehrs, insbesondere innerhalb der Europäischen Gemeinschaften, erließen das Europäische Parlament und der Europäische Rat im Jahr 1999 die Direktive 1999/93/EC. Die Direktive regelt den Rahmen, in dem elektronische Signaturen, Zertifikate und Zeitstempel herausgegeben und verwendet werden. Zur praktischen Umsetzung dieses Rahmens entstanden in der Folge mehrere technische Spezifikationen. Inzwischen hat sich der elektronische Geschäftsverkehr etabliert und weitere Dienstleistungen sind hinzugekommen. Daher erhielt das European Telecommunications Standards Institute (ETSI) von der Europäischen Kommission den Auftrag, die technischen Spezifikationen weiterzuentwickeln.

Wir geben hier einen kurzen Überblick über einige Aspekte der neuen Normenfamilie, wobei die Herausgabe von Zertifikaten und Zeitstempeln im Vordergrund steht.

Die insbesondere qualitative Weiterentwicklung auf dem Gebiet der Normierung der Sicherheitsaspekte im elektronischen Geschäftsverkehr wird besonders deutlich an der neuen Wortwahl. Während bisher von Zertifizierungsdiensteanbietern und Herausgebern von Zeitstempeln die Rede war, sprechen die neuen Normen von Vertrauensdiensten und Vertrauensdiensteanbietern (engl. trust service provider, abgekürzt TSP). Damit wird deutlich, dass eine ganze Reihe weiterer elektronischer Dienste in den Fokus gerückt sind, z. B. Verzeichnisdienste, Bereitstellung von Applikationen, Beratungsdienste.

Die grundlegenden Anforderungen an Vertrauensdiensteanbieter werden in der Norm ETSI EN 319 401 aufgestellt. Sie hat keine Entsprechung in dem früheren Regelwerk. Ihr Titel („General Policy Requirements for Trust Service Providers supporting Electronic Signatures”) zeigt jedoch, dass alle nachgeordneten Normen die Erfüllung der ETSI EN 319 401 verlangen.

Die technische Spezifikation ETSI EN 319 411-2 („Policy and security requirements for Trust Service Providers issuing certificates - Part 2: Policy requirements for Trust Service Providers issuing EU qualified certificates”) definiert die Anforderungen, die an einen TSP gestellt werden, der qualifizierte Zertifikate herausgeben will.

Die technische Spezifikation ETSI EN 319 411-1  („Policy and security requirements for Trust Service Providers issuing certificates - Part 1: General requirements“) definiert die Anforderungen, die an einen TSP gestellt werden, die allgemeine, z. B. fortgeschrittene Zertifikate herausgeben will. Die Zertifizierung nach dieser Norm hat einen weiteren Vorteil: Die Hersteller von Internet-Browsern akzeptieren diese Zertifizierung als Vorbedingung für die Aufnahme des TSP in den Zertifikatsspeicher ihres jeweiligen Internet-Browsers.

Die technische Spezifikation ETSI EN 319 421 („Policy and security requirements for trust service providers issuing time-stamps“) definiert die Anforderungen, die an einen TSP gestellt werden, der elektronische Zeitstempel herausgeben will.

Die datenschutz cert GmbH bietet die Auditierung und Zertifizierung von Unternehmen an, die nach einer oder mehreren ETSI-Normen zertifiziert werden möchten.

Ihre Vorteile einer ETSI-Zertifizierung

Als Zertifikats- oder Zeitstempelanbieter ist ihre Dienstleistung eine der wesentlichen Voraussetzungen für eine sichere und vertrauenswürdige Kommunikation über das Internet. Mit dem ETSI-Zertifikat weisen Sie nach, dass Ihre Zertifizierungs- oder Zeitstempeldienstleistung vertrauenswürdig erbracht wird. In puncto Sicherheit erfüllen Sie alle Anforderungen, die dem aktuellen Stand der Technik entsprechen.

Bei positivem Prüfergebnis kann ihr Root-Zertifikat auch in die gängigen Internet-Browser integriert werden. Dadurch werden letztlich sichere Verbindungen im Internet bei der Darstellung im Browser besonders gekennzeichnet.

Unser Service für Sie

Unsere Zertifizierung verläuft in drei Schritten und schließt bei erfolgreichem Abschluss aller Prüfungen mit der Erteilung eines Zertifikates ab.

Schritt 1: Auf der Grundlage Ihrer technischen und Verfahrensdokumentation prüfen wir im Stage 1 Audit, ob und in welcher Weise alle Anforderungen des gewählten Kriterienwerks erfüllt sind. Sie können eventuell erforderliche Verbesserungen vornehmen.

Schritt 2: Beim Stage 2 Audit vor Ort prüfen wir die praktische Umsetzung der in der Dokumentation beschriebenen Maßnahmen und stellen so fest, ob die Anforderungen der jeweiligen Norm auch im Betrieb erfüllt sind.

Schritt 3: Wenn sich weder im Stage 1 Audit noch im Stage 2 Audit gravierende Mängel gezeigt haben, stellen wir entsprechend der Empfehlung des Auditors ein Zertifikat aus.

Unsere Vorgehensweise

Unser Anspruch ist, Sie nicht nur umfassend zu allen Fragen rund um eine ETSI-Zertifizierung zu informieren, sondern Sie auch partnerschaftlich durch die Auditierung und Zertifizierung zu begleiten.

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditierte Zertifizierungsstelle für ETSI TS 101 456, ETSI TS 102 023 sowie ETSI TS 102 042. Für die Normen ETSI EN 319 401, ETSI EN 319 411-2 und ETSI ENT 319 411-3 und ETSI ENT 319-421 (vgl. auch Komformitätsprüfungen gemäß eIDAS).

Wir möchten Sie Ihrem Ziel näherbringen und Ihnen dabei den Mehrwert einer ETSI-Zertifizierung aufzeigen.

Kosten

Auf welche Kosten/Gebühren müssen Sie sich einstellen: Da die Kosten für die Auditierung und Zertifizierung stark von der Komplexität Ihrer Dienstleistung abhängen, sprechen Sie uns bitte für ein konkretes Angebot einfach an!

Ansprechpartner

Dipl.-Math.

Klaus-Werner Schröder

Leiter der Prüf- und Bestätigungsstelle
Head of Conformity Assessment Body

Telefon: +49 (0) 421 69 66 32-557

kwschroeder@remove-this.datenschutz-cert.de