Secure CA Operation gem. BSI TR-03145

Standard für Trust-Center

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert mit der Technischen Richtlinie BSI TR-03145 „Secure CA Operation“ Anforderungen an eine Certification Authority (CA) in einer Public-Key-Infrastruktur (PKI). Die Umsetzung dieses Standards für Trust-Center kann durch ein Zertifikat des BSI nachgewiesen werden; dazu sind Experten der datenschutz cert GmbH beim BSI als Auditoren für „Secure CA Operation“ lizenziert.

Secure CA Operation gem. BSI TR-03145

Worum geht es bei „Secure CA Operation“? Es geht um Vertrauen in einer digitalen Welt: Viele möchten auch in der digitalen Welt wissen, mit wem sie sprechen. Ist es tatsächlich der vermeintliche Kommunikationspartner? Oder jemand, der sich für einen anderen ausgibt? Auch soll häufig die Kommunikation nicht nur vertraulich, sondern auch zum richtigen Partner vertraulich erfolgen. Dies gilt nicht nur für die Kommunikation mit Personen, sondern auch mit Maschinen – etwa Webseiten. Um Vertrauen in einer digitalen Welt herzustellen, haben sich sogenannte Public-Key-Infrastrukturen (PKI) etabliert. Hierbei wird das Vertrauen auf eine Zertifizierungsinstanz – die sogenannte Certification Authority (CA) – verlagert. Somit lässt sich durch die von der CA ausgestellten Zertifikate eine vertrauenswürdige Kommunikation mit Teilnehmern der CA durchführen. 

Um nun Vertrauen in eine Certification Authority (CA) und die von ihr ausgestellten Zertifikate zu bekommen, sollen CAs nach etablierten Standards arbeiten, und entsprechend geprüft und zertifiziert werden. Hierzu gibt es mit der Technischen Richtlinie TR-03145 des BSI (Bundesamt für Sicherheit in der Informationstechnik) eine entsprechende Norm. Die BSI TR-03145 beschreibt in sogenannten „Requirements“ Anforderungen an die CA und ihre Prozesse. Dabei werden alle Requirements aus Funktionalitäten der CA oder Bedrohungen abgeleitet, gegen die in der CA entsprechende Maßnahmen umgesetzt sein müssen.

Die Anforderungen sind als Ergänzung zu einem Informationssicherheits-Managementsystem (ISMS) gem. ISO/IEC 27001 zu verstehen, so dass eine Zertifizierung gem. BSI TR-03145 als „sektor-spezifische Zertifizierung“ ein ISO/IEC 27001-Zertifikat voraussetzt.

Ihre Vorteile einer Zertifizierung gem. Secure CA Operation

Als Certification Authority (CA) können Sie mit einem Zertifikat gem. BSI TR-03145 den Nachweis erbringen, dass die Anforderungen des Standards zu Secure CA Operation wirksam umgesetzt werden. 

Zudem wird der Standard BSI TR-03145 „Secure CA Operation“  für Trust Center in der Smart Metering Public Key Infrastruktur (SM-PKI)  gefordert. 

Unser Service für Sie

Die Technische Richtlinie BSI TR-03145 setzt auf ein etabliertes Informationssicherheits-Managementsystem (ISMS) auf, das gem. ISO/IEC 27001 zertifiziert sein muss. Dadurch fokussiert die TR auf die spezifischen Anforderungen eines Trust Centers, und referenziert bzgl. des Managements der Informationssicherheit auf den weltweit etablierten Standard ISO/IEC 27001.

Die datenschutz cert GmbH deckt alle Bereiche ab:

  • Experten der datenschutz cert GmbH sind beim BSI als Auditoren für Secure CA Operation nach BSI TR-03145 lizenziert;
  • die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle (DAkkS) als Zertifizierungsstelle für ISO/IEC 27001 akkreditiert;
  • damit können wir Ihr Trust Center vollumfänglich gem. BSI TR-03145 prüfen – inklusive Ihres ISMS gem. ISO/IEC 27001.

Die BSI TR-03145 tangiert weitere Standards oder gesetzliche Anforderungen für sichere Trust-Center – etwa ETSI TS-Normen oder Signaturgesetz und -verordnung für Zertifizierungsdiensteanbieter. Auch diese Bereiche deckt die datenschutz cert GmbH als akkreditierte Zertifizierungsstelle für ETSI ab. 

Unsere Vorgehensweise

Unser Anspruch ist, Sie nicht nur umfassend zu allen Fragen rund um eine Zertifizierung gem. BSI TR-03145 zu informieren, sondern Sie auch partnerschaftlich durch die Auditierung und Zertifizierung zu begleiten.

Wir möchten Sie Ihrem Ziel näherbringen und Ihnen dabei den Mehrwert dieser Zertifizierung aufzeigen. 

Auf welche Kosten/Gebühren müssen Sie sich einstellen: Da die Kosten für die Auditierung und Zertifizierung stark von der Komplexität des Untersuchungsgegenstandes abhängen, sprechen Sie uns bitte für ein konkretes Angebot einfach an!

Ansprechpartner

Dipl.-Math.

Klaus-Werner Schröder

Leiter der Prüf- und Bestätigungsstelle
Head of Conformity Assessment Body

Telefon: +49 (0) 421 69 66 32-557

kwschroeder@remove-this.datenschutz-cert.de