Zertifizierung nach ETSI

Zertifizierung der Anbieter von Vertrauensdiensten

Zur Förderung des elektronischen Geschäftsverkehrs, insbesondere innerhalb der Europäischen Gemeinschaften, erließen das Europäische Parlament und der Europäische Rat im Jahr 1999 die Direktive 1999/93/EC. Die Direktive regelt den Rahmen, in dem elektronische Signaturen, Zertifikate und Zeitstempel herausgegeben und verwendet werden. Zur praktischen Umsetzung dieses Rahmens entstanden in der Folge mehrere technische Spezifikationen. Inzwischen hat sich der elektronische Geschäftsverkehr etabliert und weitere Dienstleistungen sind hinzugekommen. Daher erhielt das European Telecommunications Standards Institute (ETSI) von der Europäischen Kommission den Auftrag, die technischen Spezifikationen weiterzuentwickeln. Wenn auch noch nicht alle Arbeiten abgeschlossen sind, so wurden im Laufe des vergangenen Jahres einige Weiterentwicklungen als neue europäische Normen publiziert und sind seit November 2013 in Kraft.

Wir geben hier einen kurzen Überblick über einige Aspekte der neuen Normenfamilie, wobei die Herausgabe von Zertifikaten und Zeitstempeln im Vordergrund steht.

Die insbesondere qualitative Weiterentwicklung auf dem Gebiet der Normierung der Sicherheitsaspekte im elektronischen Geschäftsverkehr wird besonders deutlich an der neuen Wortwahl. Während bisher von Zertifizierungsdiensteanbietern und Herausgebern von Zeitstempeln die Rede war, sprechen die neuen Normen von Vertrauensdiensten und Vertrauensdiensteanbietern (engl. trust service provider, abgekürzt TSP). Damit wird deutlich, dass eine ganze Reihe weiterer elektronischer Dienste in den Fokus gerückt sind, z. B. Verzeichnisdienste, Bereitstellung von Applikationen, Beratungsdienste.

Die grundlegenden Anforderungen an Vertrauensdiensteanbieter werden in der Norm ETSI EN 319 401 aufgestellt. Sie hat keine Entsprechung in dem früheren Regelwerk. Ihr Titel („General Policy Requirements for Trust Service Providers supporting Electronic Signatures”) zeigt jedoch, dass alle nachgeordneten Normen die Erfüllung der ETSI EN 319 401 verlangen.

Die frühere technische Spezifikation ETSI TS 101 456 wurde abgelöst durch die Norm ETSI EN 319 411-2 („Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates”). Sie definiert die Anforderungen, die an einen TSP gestellt werden, der qualifizierte Zertifikate herausgeben will.

Die frühere technische Spezifikation ETSI TS 102 042 wurde abgelöst durch die Norm ETSI TS 319 411-3 („Trust Service Providers issuing certificates; Part 3: Policy requirements for Certification Authorities issuing public key certificates“). Sie definiert die Anforderungen, die an einen TSP gestellt werden, die allgemeine, z. B. fortgeschrittene Zertifikate herausgeben will. Die Zertifizierung nach dieser Norm hat einen weiteren Vorteil: Die Hersteller von Internet-Browsern akzeptieren diese Zertifizierung als Vorbedingung für die Aufnahme des TSP in den Zertifikatsspeicher ihres jeweiligen Internet-Browsers.

Die technische Spezifikation ETSI TS 102 023 definiert die Anforderungen, die an einen TSP gestellt werden, der elektronische Zeitstempel herausgeben will. Diese Spezifikation wird derzeit überarbeitet. Die Herausgabe der entsprechenden Norm ist für Ende April 2014 vorgesehen.

Die datenschutz cert GmbH bietet die Auditierung und Zertifizierung von Unternehmen an, die nach einer oder mehreren ETSI-Normen zertifiziert werden möchten.

Ansprechpartner

Klaus-Werner Schröder, Dipl.-Math.

Leiter der Prüf- und Bestätigungsstelle

Telefon:  +49 (0) 421 69 66 32 57

kwschroeder@remove-this.datenschutz-cert.de

DAkkS-Symbol