Beitrag

E-world 2015: Der Countdown läuft Do 22.01.2015

Secure CA Operation: jetzt auch bei der datenschutz cert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert mit der Technischen Richtlinie BSI TR-03145 „Secure CA Operation“ Anforderungen an eine Certification Authority (CA) in einer Public-Key-Infrastruktur (PKI). Die Umsetzung dieses Standards für Trust-Center kann durch ein Zertifikat des BSI nachgewiesen werden; dazu sind Experten der datenschutz cert GmbH beim BSI als Auditoren für „Secure CA Operation“ jetzt lizenziert worden.

Worum geht es bei „Secure CA Operation“? Es geht um Vertrauen in einer digitalen Welt: Viele möchten auch in der digitalen Welt wissen, mit wem sie sprechen. Ist es tatsächlich der vermeintliche Kommunikationspartner? Oder jemand, der sich für einen anderen ausgibt? Auch soll häufig die Kommunikation nicht nur vertraulich, sondern auch zum richtigen Partner vertraulich erfolgen. Dies gilt nicht nur für die Kommunikation mit Personen, sondern auch mit Maschinen – etwa Webseiten. Um Vertrauen in einer digitalen Welt herzustellen, haben sich sogenannte Public-Key-Infrastrukturen (PKI) etabliert. Hierbei wird das Vertrauen auf eine Zertifizierungsinstanz – die sogenannte Certification Authority (CA) – verlagert. Somit lässt sich durch die von der CA ausgestellten Zertifikate eine vertrauenswürdige Kommunikation mit Teilnehmern der CA durchführen.

Um nun Vertrauen in eine Certification Authority (CA) und die von ihr ausgestellten Zertifikate zu bekommen, sollen CAs nach etablierten Standards arbeiten, und entsprechend geprüft und zertifiziert werden. Hierzu gibt es mit der Technischen Richtlinie TR-03145 des BSI (Bundesamt für Sicherheit in der Informationstechnik) eine entsprechende Norm. Die BSI TR-03145 beschreibt in sogenannten „Requirements“ Anforderungen an die CA und ihre Prozesse. Dabei werden alle Requirements aus Funktionalitäten der CA oder Bedrohungen abgeleitet, gegen die in der CA entsprechende Maßnahmen umgesetzt sein müssen. Die Anforderungen sind als Ergänzung zu einem Informationssicherheits-Managementsystem (ISMS) gem. ISO/IEC 27001 zu verstehen, so dass eine Zertifizierung gem. BSI TR-03145 als „sektor-spezifische Zertifizierung“ ein ISO/IEC 27001-Zertifikat voraussetzt.

Die datenschutz cert GmbH deckt alle Bereiche ab:

 

  • Experten der datenschutz cert GmbH sind beim BSI als Auditoren für Secure CA Operation nach BSI TR-03145 lizenziert;
  • die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle (DAkkS) als Zertifizierungsstelle für ISO/IEC 27001 akkreditiert;
  • damit können wir Ihr Trust Center vollumfänglich gem. BSI TR-03145 prüfen – inklusive Ihres ISMS gem. ISO/IEC 27001.

 

Die BSI TR-03145 tangiert weitere Standards oder gesetzliche Anforderungen für sichere Trust-Center – etwa ETSI TS-Normen oder Signaturgesetz und -verordnung für Zertifizierungsdiensteanbieter. Auch diese Bereiche deckt die datenschutz cert GmbH als akkreditierte Zertifizierungsstelle für ETSI TS und anerkannte Bestätigungsstelle für SigG/SigV  ab.

Haben Sie Interesse? Sprechen Sie uns gerne an.

Von Dr. Sönke Maseberg in der Rubrik cert News