Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
3.5. Rechtlicher Rahmen 31<br />
3.5.2 Verordnung zur digitalen Signatur<br />
In § 16 SigG wird die B<strong>und</strong>esregierung ermächtigt, durch Rechtsverordnung Details zur Digitalen<br />
Signatur <strong>und</strong> zu SigG-Zertifizierungsstellen zu regeln, die im Signaturgesetz selbst ausgespart<br />
wurden. Dies betrifft alle wesentlichen Einzelheiten der Zertifizierung, der Pflichten <strong>einer</strong> Zertifizierungsstelle<br />
<strong>und</strong> der Maßnahmen, mit denen ihre Einhaltung kontrolliert werden soll.<br />
Die B<strong>und</strong>esregierung hat in der Verordnung zur digitalen Signatur (Signaturverordnung – SigV)<br />
[Sig97b] die entsprechende Ausgestaltung der o.g. Bereiche geregelt.<br />
In der SigV ist unter anderem festgelegt,<br />
daß die Identifikation des in der SigV als ‘Antragsteller’ bezeichneten Zertifikatnehmers bei<br />
der erstmaligen Beantragung anhand des Personalausweises oder des Reisepasses „oder auf<br />
andere geeignete Weise“ vorzunehmen ist (bei Folgeanträgen kann von <strong>einer</strong> erneuten Identifikation<br />
abgesehen werden, wenn der Folgeantrag mit <strong>einer</strong> digitalen Signatur des Antragstellers<br />
versehen ist) (§ 3 Abs. 1)<br />
daß die Zertifizierungsstelle den Zertifikatnehmer über die Verhaltensweisen <strong>und</strong> Maßnahmen<br />
aufklären muß, mit denen er seinen geheimen Signaturschlüssel vor unbefugtem Zugriff<br />
schützen muß bzw. die er bei der Prüfung fremder digitaler Signaturen vornehmen sollte (§ 4<br />
Abs. 1), es sei denn, der Betreffende ist bereits entsprechend unterrichtet worden (§ 4 Abs. 2)<br />
daß Signaturschlüssel durchaus auch vom Zertifikatnehmer selbst unter eigener Kontrolle<br />
(<strong>und</strong> nicht von der Zertifizierungsstelle) generiert werden können (§ 5 Abs. 1)<br />
daß SigG-Zertifikate eine maximale Gültigkeitsdauer von fünf Jahren aufweisen dürfen (§ 7)<br />
daß eine Fotokopie des Personalausweises oder Reisepasses des Zertifikatnehmers anzufertigen<br />
(§ 13 Abs. 1) <strong>und</strong> zusammen mit seinem Zertifizierungsantrag sowie allen anderen zugehörigen<br />
Unterlagen 35 Jahre lang aufzubewahren ist (§ 13 Abs. 2).<br />
Bemerkenswert ist, daß darüber hinaus nicht nur dem Zertifikatinhaber oder seinem Vertretungsbevollmächtigten,<br />
sondern auch der SigG-Wurzelinstanz von jeder Zertifizierungsstelle eine Möglichkeit<br />
geboten werden muß, das betreffende (bzw. im Falle der „zuständigen Behörde“ wohl jedes)<br />
Zertifikat auf telefonischem Wege nach geeigneter Authentifizierung des Anrufers unverzüglich<br />
sperren zu lassen (§ 9 Abs. 1 SigV). Hierdurch wird eine Möglichkeit geschaffen, mit der der Staat<br />
letztlich jede SigG-konforme digitale Signatur einzelner Personen ab einem bestimmten Zeitpunkt<br />
verhindern könnte – eine sehr weitgehende Eingriffsbefugnis, die ggf. für den Betroffenen quasi<br />
der technisch durchgesetzten Beschränkung gleichkäme, k<strong>einer</strong>lei Verträge mehr unterzeichnen<br />
<strong>und</strong> sich nicht mehr ausweisen zu können. Der Betroffene wäre geradezu s<strong>einer</strong> digitalen „Identität“<br />
beraubt. Diese Durchgriffsbefugnis <strong>einer</strong> übergeordneten <strong>Zertifizierungsinstanz</strong> auf die Nutzerzertifikate<br />
<strong>einer</strong> nachgeordneten CA ist außergewöhnlich. Dieser <strong>Teil</strong> von § 9 Abs. 1 wird interessanterweise<br />
auch in der Begründung der B<strong>und</strong>esregierung zur SigV [BRD97] mit keinem Wort<br />
kommentiert oder auch nur erwähnt. Dort heißt es zu § 9 Abs. 1 lediglich:<br />
„Die Regelung dient dem Schutz der Signaturschlüssel-Inhaber sowie der dritten Personen, de-<br />
ren Angaben zur Vertretungsmacht in ein Zertifikat aufgenommen wurden. Durch die verlang-<br />
te Bekanntgabe <strong>einer</strong> Rufnummer (Telefon) [der Zertifizierungsstelle] soll eine unverzügliche