Beitrag

Virtuelle Poststelle im CAST-Forum Di 16.09.2008

Check der Umsetzung von SigG und SigV

Die datenschutz cert GmbH erweitert ihr Dienstleistungsportfolio um die Sichtung von Unterlagen zur Einreichung einer Herstellererklärung.

Da qualifizierte elektronische Signaturen rechtsverbindlich sind, normiert das Signaturgesetz u.a. auch, in welcher Weise Produkte für qualifzierte elektronische Signaturen geprüft werden müssen - beispielsweise durch den Hersteller selbst, der diese Prüfung mit einer sogenannten Herstellererklärung dokumentiert.

Das Signaturgesetz sieht vor, dass für Signaturanwendungskomponenten und technische Komponenten für qualifizierte elektronische Signaturen eine Herstellererklärung ausreicht, in der der Hersteller selbst bestätigt, dass seine Komponenten die signaturrechtlichen Anforderungen umsetzen. Gemäß § 17 Abs. 4 SigG muss eine solche Herstellererklärung mit Inverkehrbringen der Software bei der Bundesnetzagentur eingereicht werden.

Eine Herstellererklärung ist damit eine dem Signaturgesetz nach mögliche Alternative zu einer Bestätigung durch eine anerkannte Bestätigungsstelle auf Basis einer Evaluierung. Ein wesentlicher Unterschied kann nicht nur die Tiefe der Prüfung sein, sondern ist letztlich auch eine Haftungsfrage: Während bei einer Bestätigung zunächst eine umfangreiche Evaluation nach Common Criteria oder ITSEC durch eine Prüfstelle erfolgt, erklärt bei einer Herstellererklärung - der Name sagt es bereits - der Hersteller selbst, dass sein Produkt alle Anforderungen von Signaturgesetz und -verordnung erfüllt. Herstellererklärungen werden von der zuständigen Behörde - der Bundesnetzagentur - geprüft und veröffentlicht, sofern sie den Anforderungen genügen.

Die datenschutz cert GmbH bietet Ihnen eine Sichtung zur Abgabe einer Herstellererklärung in der Weise an, dass wir unabhängig feststellen, ob

  • die signaturrechtlichen Anforderungen umgesetzt sind und
  • die formalen Anforderungen, die die Bundesnetzagentur an die
  • Herstellererklärung setzt,

erfüllt sind.

Grundlage sind Herstellerinformationen und eine Sichtung der Komponente. Damit können wir sicherstellen, dass die wesentlichen Anforderungen aus SigG und SigV umgesetzt sind. Zwar kann dieser Check eine vollständige Evaluierung und Bestätigung nicht ersetzen, jedoch erhalten Sie durch unseren unabhängigen, fachkompetenten Check eine Absicherung, dass Ihre Komponente die wesentlichen Anforderungen an SigG und SigV erfüllt.

Die datenschutz cert GmbH ist eine bei der Bundesnetzagentur akkreditierte Prüf- und Bestätigungsstelle.

Von Dr. Sönke Maseberg in der Rubrik cert News