{"id":"bgbl1-1997-70-6","kind":"bgbl1","year":1997,"number":70,"date":"1997-10-27T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/1997/70#page=14","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-1997-70-6/","document_url":"https://media.offenegesetze.de/bgbl1/1997/bgbl1_1997_70.pdf#page=14","order":6,"title":"Verordnung zur digitalen Signatur (Signaturverordnung - SigV)","law_date":"1997-10-22T00:00:00Z","page":2498,"pdf_page":14,"num_pages":5,"content":["2498 Bundesgesetzblatt Jahrgang 1997 Teil I Nr. 70, ausgegeben zu Bonn am 27. Oktober 1997\nVerordnung\nzur digitalen Signatur\n(Signaturverordnung - SigV)\nVom 22: Oktober 1997\nAuf Grund des § 16 des Signaturgesetzes vom §2\n22. Juli 1997 (BGBI. 1 S. 1870, 1872) verordnet die\nKosten\nBundesregierung:\n(1) Für folgende öffentliche Leistungen werden Kosten\nInhaltsübersicht (Gebühren und Auslagen) erhoben:\n§ Verfahren bei Erteilung, Rücknahme und Widerruf von 1. die Erteilung einer Genehmigung für den Betrieb einer\nGenehmigungen\nZertifizierungsstelle,\n§ 2 Kosten\n2. die Ablehnung eines Antrags auf Erteilung einer\n§ 3 Antragsverfahren bei Vergabe von Zertifikaten\nGenehmigung,\n§ 4 Unterrichtung des Antragstellers\n3. die Rücknahme oder den Widerruf einer Genehmi-\n§ 5 Erzeugung und Speicherung von Signaturschlüsseln und\nIdentifikationsdaten gung,\n§ 6 Übergabe von Signaturschlüsseln und Identifikationsdaten 4. die vollständige oder teilweise Zurückweisung eines\n§ 7 Gültigkeitsdauer von Zertifikaten Widerspruchs,\n§ 8 Öffentliche Verzeichnisse von Zertifikaten 5. die Ausstellung von Zertifikaten,\n§ 9 Verfahren zur Sperrung von Zertifikaten\n6. die Überprüfung von Prüfberichten und Bestätigungen\n§ 1O Zuverlässigkeit des Personals nach§ 15 Abs. 1,\n§ 11 Schutz der technischen Komponenten\n7. die Kontrollen nach§ 15 Abs. 2, wenn im Rahmen der\n§ 12 Sicherheitskonzept Kontrolle ein nicht nur unerheblicher Verstoß gegen\n§ 13 Dokumentation das Signaturgesetz oder gegen diese Verordnung fest-\n§ 14 Einstellung der Tätigkeit gestellt wird,\n§ 15 Kontrolle der Zertifizierungsstellen 8. die Übernahme einer Dokumentation nach § 11 Abs. 2\n§ 16 Anforderungen an die technischen Komponenten des Signaturgesetzes.\n§ 17 Prüfung der technischen Komponenten Kosten werden auch dann erhoben, wenn ein Antrag auf\n§ 18 Erneute digitale Signatur Erteilung einer Genehmigung oder ein Widerspruch nach\nBeginn der sachlichen Bearbeitung, aber vor deren Been-\n§ 19 Inkrafttreten\ndigung zurückgenommen wird.\n§1 (2) Bei der Berechnung der Gebühren für öffentliche\nVerfahren bei Erteilung, Leistungen nach Absatz 1 Nr. 1, 5, 6, 7 und 8 sind folgende\nRücknahme und Widerruf von Genehmigungen Stundensätze zugrunde zu legen:\n(1) Eine Genehmigung· für den Betrieb einer Zerti- 1. Beamte des mittleren Dienstes\nfizierungsstelle nach § 4 Abs. 1 des Signaturgesetzes oder vergleichbare Angestellte: 85 Deutsche Mark,\nist schriftlich bei der zuständigen Behörde zu beantragen. 2. Beamte des gehobenen Dienstes\n(2) Zur Prüfung der Voraussetzungen für die Erteilung oder vergleichbare Angestellte: 105 Deutsche Mark,\nder Genehmigung trifft die zuständige Behörde die er-\n3. Beamte des höheren Dienstes\nforderlichen Feststellungen. Sie kann vom Antragsteller\noder vergleichbare Angestellte: 135 Deutsche Mark.\nverlangen, daß dieser erforderliche Unterlagen, insbeson-\ndere einen a~tuellen Handelsregisterauszug und aktuelle Für jede angefangene Viertelstunde ist ein Viertel dieser\nFührungszeugnisse nach § 30 Abs. 5 des Bundeszentral- Stundensätze zu berechnen. Werden öffentliche Leistun-\nregistergesetzes für die gesetzlichen Vertreter der Zerti- gen durch Angehörige der zuständigen Behörde außer-\nfizierungsstelle, beibringt. Zur Feststellung der erforder- halb der Behörde erbracht, so sind Gebühren ferner\nlichen Fachkunde hat der Antragsteller darzulegen, daß zu berechnen für Reisezeiten, die innerhalb der üblichen\ndas am Zertifizierungsverfahren oder an der Ausstellung Arbeitszeit liegen oder von der zuständigen Behörde\nvon Zeitstempeln beteiligte Personal über die erforder- besonders abgegolten werden, sowie für Wartezeiten, die\nlichen beruflichen Qualifikationen verfügt. der Kostenschuldner verursacht hat.\n(3) Vor Ablehnung, Rücknahme oder Widerruf einer (3) Für die Fälle der Ablehnung oder Zurücknahme\nGenehmigung hat die zuständige Behörde den Antragstel- eines Antrages auf Erteilung einer Genehmigung sowie\nler anzuhören und ihm Gelegenheit zu geben, die Gründe der Rücknahme oder des Widerrufs einer Genehmigung\nfür die Ablehnung, die Rücknahme oder den Widerruf zu gilt § 15 des Verwaltungskostengesetzes. Für die voll-\nbeseitigen. ständige oder teilweise Zurückweisung eines Wider-","Bundesgesetzblatt Jahrgang 1997 Teil I Nr. 70, ausgegeben zu Bonn am 27. Oktober 1997 2499\nspruchs kann eine Gebühr bis zur Höhe der für den an- Abs. 2 des Signaturgesetzes enthält und dies für die\ngefochtenen Verwaltungsakt erhobenen Gebühr erhoben Aussage von signierten Daten von Bedeutung ist, ist\nwerden. Für die Zurückweisung und in den Fällen der das Zertifikat den Daten beizufügen und in die digitale\nZurücknahme eines ausschließlich gegen eine Kostenent- Signatur einzuschließen.\nscheidung gerichteten Widerspruchs kann eine Gebühr 5. Soweit für die Verwendung signierter Daten ein Zeit-\nbis zur Höhe von 10 vom Hundert des streitigen Betrages punkt von erheblicher Bedeutung sein kann, ist ein\nerhoben werden. Zeitstempel anzubringen.\n§3 6. Werden Daten über längere Zeit in signierter Form\nAntragsverfahren bei Vergabe von Zertifikaten benötigt, ist gemäß § 18 erneut eine digitale Signatur\nanzubringen.\n(1) Die Zertifizierungsstelle hat die Identifikation des\nAntragstellers gemäß § 5 Abs. 1 Satz 1 des Signatur- 7. Bei der Prüfung digitaler Signaturen ist festzustellen,\nob das Signaturschlüssel-Zertifikat und Attribut-Zer-\ngesetzes anhand des Bundespersonalausweises oder\ntifikate zum Zeitpunkt der Signaturerzeugung gültig\nReisepasses oder auf andere geeignete Weise vorzu-\nwaren, das Signaturschlüssel-Zertifikat gemäß § 7\nnehmen. Der Antrag auf ein Zertifikat muß eigenhändig\nAbs. 1 Nr. 7 des Signaturgesetzes Beschränkungen\nunterschrieben sein. Soweit ein Antrag auf ein Zertifikat\nenthält und gegebenenfalls die Nummern 4 und 5\nmit einer digitalen Signatur des Antragstellers versehen\nbeachtet wurden.\nist, kann die Zertifizierungsstelle von einer erneuten Iden-\ntifikation und eigenhändigen Unterschrift absehen. (2) Soweit ein Antragsteller bereits über ein Zertifikat\nverfügt, kann eine erneute Unterrichtung unterbleiben.\n(2) Sollen nach § 5 Abs. 2 des Signaturgesetzes in ein\nZertifikat Angaben über die Vertretungsmacht für eine §5\ndritte Person aufgenommen werden, muß die Ver-\ntretungsmacht zuverlässig nachgewiesen sein und eine Erzeugung und Speicherung von\nschriftliche oder mit einer digitalen Signatur versehene Signaturschlüsseln und Identifikationsdaten\nEinwilligung der dritten Person vorliegen. Die dritte Person (1) Werden Signaturschlüssel durch den Signatur-\nist schriftlich oder in digitaler Form mit digitaler Signatur schlüssel-lnhaber erzeugt, so hat sich die Zertifizierungs-\nüber den Inhalt des Zertifikates zu unterrichten und auf die stelle zu überzeugen, daß er hierfür sowie für die Speiche-\nMöglichkeit der Sperrung nach § 9 Abs. 1 hinzuweisen. rung und Anwendung des privaten Signaturschlüssels\nEine berufsrechtliche oder sonstige Zulassung ist ins- geeignete technische Komponenten nach dem Signatur-\nbesondere durch Vorlage der Zulassungsurkunde nach- gesetz und dieser Verordnung einsetzt.\nzuweisen.\n(2) Werden Signaturschlüssel durch die Zertifizierungs-\n§4 stelle bereitgestellt, so hat diese Vorkehrungen zu treffen,\nUnterrichtung des Antragstellers um eine Preisgabe von privaten Schlüsseln und eine\nSpeicherung bei der Zertifizierungsstelle auszuschließen.\n(1) Die Zertifizierungsstelle hat einen Antragsteller im Dies gilt auch für persönliche Identifikationsnummern oder\nRahmen des§ 6 Satz 1 und 3 des Signaturgesetzes ins- andere Daten zur Identifikation des Signaturschlüssel-\nbesondere über folgende erforderliche Maßnahmen zur lnhabers gegenüber dem Datenträger mit dem privaten\nGewährleistung der Sicherheit der digitalen Signatur zu Signaturschlüssel.\nunterrichten:\n1. Der Datenträger mit dem privaten Signaturschlüssel ist §6\nin persönlichem Gewahrsam zu halten. Bei dessen Übergabe von Signatur-\nVerlust ist unverzüglich die Sperrung des Signatur- schlüsseln und Identifikationsdaten\nschlüssel-Zertifikates zu veranlassen. Wird der Daten-\nträger mit dem privaten Signaturschlüssel nicht mehr Soweit die Zertifizierungsstelle Signaturschlüssel oder\nbenötigt, ist er unbrauchbar zu machen und die Identifikationsdaten nach § 5 Abs. 2 bereitstellt, hat sie\nSperrung des Signaturschlüssel-Zertifikates zu ver- den privaten Signaturschlüssel sowie die Identifikations-\nanlassen, falls es nicht abgelaufen ist. daten dem Signaturschlüssel-lnhaber persönlich zu über-\ngeben und die Übergabe von diesem schriftlich bestätigen\n2. Persönliche Identifikationsnummern oder andere zu lassen, es sei denn, dieser verlangt schriftlich eine\nDaten zur Identifikation gegenüber dem Datenträger andere Übergabe. Mit Übergabe des privaten Signatur-\nmit dem privaten Signaturschlüssel sind geheim zu schlüssels oder Signaturschlüssel-Zertifikates hat sie\nhalten. Bei Preisgabe oder Verdacht der Preisgabe auch den öffentlichen Signaturschlüssel der zuständigen\ndieser Identifikationsdaten ist unverzüglich deren\nBehörde zu übergeben.\nÄnderung vorzunehmen.\n3. Für die Erzeugung und Prüfung digitaler Signaturen §7\nsowie die Darstellung von zu signierenden oder zu\nprüfenden signierten Daten sind technische Kom- Gültigkeitsdauer von Zertifikaten\nponenten einzusetzen, die den Anforderungen des Die Gültigkeitsdauer eines Zertifikates darf höchstens\nSignaturgesetzes und dieser Verordnung entsprechen fünf Jahre betragen und den Zeitraum der Eignung der\nund deren Sicherheit nach dem Signaturgesetz und eingesetzten Algorithmen und zugehörigen Parameter\ndieser Verordnung bestätigt wurde. Sie sind vor un- nach § 17 Abs. 2 nicht überschreiten. Die Gültigkeit eines\nbefugtem Zugriff zu schützen. Attribut-Zertifikates endet spätestens mit der Gültigkeit\n4. Soweit ein Zertifikat Beschränkungen .nach § 7 Abs. 1 des Signaturschlüssel-Zertifikates, auf das es Bezug\nNr. 7 des Signaturgesetzes oder Angaben nach § 7 nimmt.","2500 Bundesgesetzblatt Jahrgang 1997 Teil I Nr. 70, ausgegeben zu Bonn am 27. Oktober 1997\n§8 § 11\nÖffentliche Verzeichnisse von Zertifikaten Schutz der technischen Komponenten\n(1) Die Zertifizierung~stelle hat die von ihr ausgestellten Die Zertifizierungsstelle hat Vorkehrungen zu treffen, um\nZertifikate mindestens solange in einem Verzeichnis private Signaturschlüssel und die zum Erstellen der Zer-\ngemäß den Vorgaben nach§ 5 Abs. 1 Satz 2 des Signatur- tifikate und Zeitstempel sowie zum Nachprüfbarhalten der\ngesetzes zu führen, wie der im Zertifikat aufgeführte Zertifikate eingesetzten technischen Komponenten vor\nAlgorithmus mit den dazugehörigen Parametern nach unbefugtem Zugriff zu schützen.\n§ 17 Abs. 2 als geeignet beurteilt wird.\n(2) Die zuständige Behörde hat die von ihr ausge- §12\nstellten Zertifikate für die in Absatz 1 genannte Dauer in Sicherheitskonzept\neinem Verzeichnis gemäß den Vorgaben nach § 4 Abs. 5\nSatz 3 des Signaturgesetzes zu führen. Dies gilt auch (1) Das Sicherheitskonzept nach § 4 Abs. 3 Satz 3\nfür Zertifikate für öffentliche Signaturschlüssel oberster des Signaturgesetzes hat alle Sicherheitsmaßnahmen\nausländischer Zertifizierungsstellen, soweit ausländische sowie insbesondere eine Übersicht über die eingesetzten\nZertifikate anerkannt werden. Bei den im Verzeichnis ent- technischen Komponenten und eine Darstellung der\nhaltenen ausländischen Zertifikaten hat die zuständige Ablauforganisation der Zertifizierungstätigkeit zu enthal-\nBehörde die Anerkennung durch eine digitale Signatur zu ten. Im Falle sicherheitserheblicher Veränderungen ist das\nbestätigen. Die zuständige Behörde hat die Telekommu- Konzept unverzüglich anzupassen.\nnikationsanschlüsse, unter denen die Zertifikate abrufbar (2) Die zuständige Behörde führt einen Katalog von\nsind, sowie ihre öffentlichen Schlüssel im Bundesanzeiger geeigneten Sicherheitsmaßnahmen, den sie im Bundes-\nzu veröffentlichen und den Zertifizierungsstellen unmittel- anzeiger veröffentlicht. Die Maßnahmen sollen bei der\nbar bekanntzugeben. Erstellung des Sicherheitskonzeptes berücksichtigt wer-\nden. Der Katalog wird nach Angaben des Bundesamtes\n(3) ·Nach Ablauf der in Absatz 1 genannten Frist haben\nfür Sicherheit in der Informationstechnik erstellt. Experten\ndie Zertifizierungsstelle und die zuständige Behörde\naus Wirtschaft und Wissenschaft sind zu beteiligen.\neine Nachprüfung der Zertifikate bis zum Ablauf der in\n§ 13 Abs. 2 genannten Frist auf Antrag im Einzelfall zu\nermöglichen. §13\nDokumentation\n§9 (1) Die Dokumentation nach § 10 des Signaturgesetzes\nVerfahren zur Sperrung von Zertifikaten hat sich auf das Sicherheitskonzept einschließlich der\nÄnderungen, die Prüfberichte und Bestätigungen nach\n(1) Die Zertifizierungsstelle hat den Signaturschlüssel- § 15 Abs. 1, die vertraglichen Vereinbarungen mit den\nlnhabern und dritten Personen, von denen Angaben zur Antragstellern und die von der zuständigen Behörde er-\nVertretungsmacht in ein Zertifikat aufgenommen wurden, haltenen Zertifikate zu erstrecken. Zu den eingegangenen\nsowie der zuständigen Behörde eine Rufnummer Anträgen auf Zertifikate und Vereinbarungen mit den\nbekanntzugeben, unter der diese jederzeit eine unverzüg- Antragstellern sind eine Ablichtung des vorgelegten Aus-\nliche Sperrung der Zertifikate veranlassen können und weises oder eines anderen Identitätsnachweises, die für\ndafür ein Authentisierungsverfahren anzubieten. die Aufnahme von Angaben dritter Personen erforder-\nlichen Unterlagen, die Vergabe eines Pseudonyms, der\n(2) Die Zertifizierungsstelle hat ein Zertifikat unter\nNachweis über die vorgeschriebene Unterrichtung des\nden Voraussetzungen des § 8 des Signaturgesetzes zu\nAntragstellers und dritter Personen, die erteilten Zertifi-\nsperren, wenn ein mit einer digitalen Signatur versehener\nkate mit dem jeweiligen Zeitpunkt der Ausstellung und der\noder schriftlicher Antrag des Signaturschlüssel-lnhabers\nÜbergabe, die Sperrung von Zertifikaten und Auskünfte\noder seines Vertreters oder einer berechtigten dritten\nnach § 12 Abs. 2 des Signaturgesetzes zu dokumentieren.\nPerson nach Absatz 1 vorliegt oder wenn ein vereinbartes Soweit die Zertifizierungsstelle Signaturschlüssel oder\nAuthentisierungsverfahren angewandt wurde. Identifikationsdaten nach § 5 Abs. 2 bereitstellt, sind der\n(3) Die Sperrung von Zertifikaten ist mit Angabe des Zeitpunkt der Übergabe und die Übergabebestätigung zu\nDatums und der Uhrzeit im Verzeichnis nach § 8 des dokumentieren. In digitaler Form geführte Aufzeichnungen\nSignaturgesetzes eindeutig kenntlich zu machen und darf müssen digital signiert sein.\nnicht rückgängig gemacht werden. (2) Die Dokumentation nach Absatz 1 ist mindestens\n35 Jahre ab dem Zeitpunkt der Ausstellung des Signatur-\nschlüssel-Zertifikates aufzubewahren und so zu sichern,\n§ 10 daß sie innerhalb dieses Zeitraumes verfügbar bleibt. Die\nZuverlässigkeit des Personals Dokumentation von Auskünften nach § 12 Abs. 2 Satz 2\ndes Signaturgesetzes ist zwölf Monate aufzubewahren.\nDie Zertifizierungsstelle hat sich von der Zuverlässigkeit\nvon Personen, die am Zertifizierungsverfahren oder an der §14\nAusstellung von Zeitstempeln mitwirken, zu überzeugen.\nEinstellung der Tätigkeit\nSie kann hierzu insbesondere die Vorlage eines Führungs-\nzeugnisses nach § 30 Abs. 1 des Bundeszentralregister- (1) Die Zertifizierungsstelle hat, wenn sie ihre Tätigkeit\ngesetzes verlangen. Unzuverlässige Personen sind vom nach § 11 Abs. 1 des Signaturgesetzes einstellen will, dies\nZertifizierungsverfahren und der Ausstellung von Zeit- spätestens vier Monate vorher der zuständigen Behörde\nstempeln auszuschließen. mitzuteilen.","Bundesgesetzblatt Jahrgang 1997 Teil I Nr. 70, ausgegeben zu Bonn am 27. Oktober 1997 2501\n(2) Vor Beendigung ihrer Tätigkeit hat die Zertifizie- speichert werden. Sicherheitstechnische Veränderungen\nrungsstelle für jedes nicht gesperrte und zum Zeitpunkt an den technischen Komponenten müssen für den Nutzer\nder Beendigung der Tätigkeit nicht abgelaufene Zertifikat erkennbar werden.\ndem Signaturschlüssel-lnhaber mit einer Frist von min- (3) Die zum Darstellen zu signierender Daten erforder-\ndestens drei Monaten mitzuteilen, daß sie ihre Tätigkeit als lichen technischen Komponenten müssen so beschaffen\nZertifizierungsstelle einstellen will und ihn zu unterrichten, sein, daß die signierende Person die Daten, auf die sich\nob eine andere Zertifizierungsstelle das Zertifikat über- die Signatur erstrecken soll, eindeutig bestimmen kann,\nnimmt und diese zu benennen. Soweit nicht eine andere eine digitale Signatur nur auf ihre Veranlassung erfolgt und\nZertifizierungsstelle die Zertifikate übernimmt, sind ,nach diese vorher eindeutig angezeigt wird. Die zum Prüfen\nAblauf der in Absatz 1 genannten Frist alle Zertifikate zu signierter Daten erforderlichen technischen Komponenten\nsperren, die zu diesem Zeitpunkt nicht bereits gesperrt müssen so beschaffen sein, daß die prüfende Person die\noder abgelaufen sind. Die Signaturschlüssel-lnhaber der Daten, auf die sich die digitale Signatur erstreckt, sowie\nzu sperrenden Zertifikate sind darüber zu unterrichten. den Signaturschlüssel-lnhaber eindeutig feststellen kann\n(3) Die Mitteilung an die zuständige Behörde und die und die Korrektheit der digitalen Signatur zuverlässig\nUnterrichtung der Signaturschlüssel-lnhaber haben in geprüft und zutreffend angezeigt wird. Die technischen\ndigitaler Form mit digitaler Signatur oder schriftlich zu Komponenten zum Nachprüfen von Zertifikaten müssen\nerfolgen. eindeutig erkennen lassen, ob die nachgeprüften Zertifi-\n(4) Die Zertifizierungsstelle, die nach § 11 Abs. 2 des kate im Verzeichnis der Zertifikate zu einem angegebenen\nSignaturgesetzes die Dokumentation übernimmt, oder Zeitpunkt vorhanden und nicht gesperrt waren. Die techni-\nandernfalls die zuständige Behörde hat die Zertifikate in schen Komponenten müssen nach Bedarf den Inhalt\neinem Verzeichnis nach § 8 Abs. 1 und 3 zu führen. der zu signierenden oder signierten Daten hinreichend\nerkennen lassen. Werden technische Komponenten nach\nden Sätzen 1 bis 4 geschäftsmäßig Dritten zur Nutzung\n§15\nangeboten, muß die eindeutige Interpretation der Daten\nKontrolle der Zertifizierungsstellen sichergestellt sein und müssen die technischen Kom-\nponenten bei Benutzung automatisch· auf ihre Echtheit\n·(1) Die Zertifizierungsstelle hat vor Betriebsaufnahme,\nüberprüft werden. Sicherheitstechnische Veränderungen\nnach sicherheitserheblichen Veränderungen sowie regel-\nan den technischen Komponenten müssen für den Nutzer\nmäßig im Abstand von zwei Jahren eine Prüfung nach\nerkennbar werden.\n§ 4 Abs. 3 Satz 3 des Signaturgesetzes zu veranlassen\nund der zuständigen Behörde einen Prüfbericht und (4) Die technischen Komponenten, mit denen Zertifi-\neine Bestätigung darüber vorzulegen, daß sie die Vor- kate nach § 4 Abs. 5 Satz 3 oder § 5 Abs. 1 Satz 2 des\ngaben aus dem Signaturgesetz und dieser Verordnung Signaturgesetzes nachprüfbar gehalten werden, müssen\nerfüllt. so beschaffen sein, daß nur befugte Personen Eintragun-\n(2) Die zuständige Behörde kann in angemessenen gen und Veränderungen vornehmen können, die Sperrung\neines Zertifikates nicht unbemerkt rückgängig gemacht\nZeitabständen sowie bei Anhaltspunkten für eine Ver-\nwerden kann und die Auskünfte auf ihre Echtheit überprüft\nletzung von Vorschriften des Signaturgesetzes oder\nwerden können. Die Auskünfte müssen beinhalten, ob\ndieser Verordnung Kontrollen durchführen.\ndie nachgeprüften Zertifikate im Verzeichnis der Zertifi-\nkate zum angegebenen Zeitpunkt vorhanden und nicht\n§16\ngesperrt waren. Nur nachprüfbar gehaltene Zertifikate\nAnforderungen an die technischen Komponenten dürfen nicht öffentlich abrufbar sein. Sicherheitstechni-\nsche Veränderungen an den technischen Komponenten\n(1) Die zur Erzeugung von Signaturschlüsseln erforder-\nmüssen für den Betreiber erkennbar werden.\nlichen technischen Komponenten müssen so beschaffen\nsein, daß ein Schlüssel mit an Sicherheit grenzender (5) Die technischen Komponenten, mit denen Zeit-\nWahrscheinlichkeit nur einmal vorkommt und aus dem stempel nach§ 9 des Signaturgesetzes erzeugt werden,\nöffentlichen Schlüssel nicht der private Schlüssel er- müssen so beschaffen sein, daß die zum Zeitpunkt der\nrechnet werden kann. Die Geheimhaltung des privaten Erzeugung des Zeitstempels gültige gesetzliche Zeit\nSchlüssels muß gewährleistet sein und er darf nicht unverfälscht in diesen aufgenommen wird. Sicherheits-\ndupliziert werden können. Sicherheitstechnische Ver- technische Veränderungen an den technischen Kompo-\nänderungen an den technischen Komponenten müssen nenten müssen für den Betreiber erkennbar werden.\nfür den Nutzer erkennbar werden. (6) Die zuständige Behörde führt einen Katalog von\n(2) Die zur Erzeugung oder Prüfung digitaler Signaturen geeigneten Sicherheitsmaßnahmen, den sie im Bundes-\nerforderlichen technischen Komponenten müssen so anzeiger veröffentlicht. Die Maßnahmen sollen bei den\nbeschaffen sein, daß aus der Signatur nicht der private technischen Komponenten berücksichtigt werden. Der\nSignaturschlüssel errechnet oder die Signatur auf andere Katalog wird nach Angaben des Bundesamtes für Sicher-\nWeise gefälscht werden kann. Der private Signatur- heit in der Informationstechnik erstellt. Experten aus\nschlüssel darf erst nach Identifikation des Inhabers durch Wirtschaft und Wissenschaft sind zu 'beteiligen.\nBesitz und Wissen angewendet werden können und bei\nder Anwendung nicht preisgegeben werden. Zur Identifi- §17\nkation des Signaturschlüssel-lnhabers können zusätzlich\nPrüfung der technischen Komponenten\nbiometrische Merkmale genutzt werden. Die zum Erfassen\nvon Identifikationsdaten erforderlichen technischen Kom- (1) Die Prüfung der technischen Komponenten nach\nponenten müssen so beschaffen sein, daß sie die Iden- § 14 Abs. 4 des Signaturgesetzes hat nach den „Kriterien\ntifikationsdaten nicht preisgeben und diese nur auf dem für die Bewertung der Sicherheit von Systemen der\n(?atenträger mit dem privaten Signaturschlüssel ge- Informationstechnik\" (GMBI. 1992, S. 545) zu erfolgen. Die","2502 Bundesgesetzblatt Jahrgang 1997 Teil I Nr. 70, ausgegeben zu Bonn am 27. Oktober 1997\nPrüfung muß bei technischen Komponenten zum Erzeu- sehen Komponenten sowie stichprobenweise Gutachten\ngen von Signaturschlüsseln oder zum Speichern oder eines unabhängigen Dritten darüber einholen, ob die tech-\nAnwenden privater Signaturschlüssel und bei technischen nischen Komponenten gemäß Absatz 1 geprüft wurden\nKomponenten, die geschäftsmäßig Dritten zur Nutzung und ob diese die Anforderungen des Signaturgesetzes\nangeboten werden, mindestens die Prüfstufe „E 4\" und im und dieser Verordnung erfüllen. Betroffene Hersteller,\nübrigen mindestens die Prüfstufe „E 2\" umfassen. Die Vertreiber und Prüfstellen haben die dafür erforderliche\nStärke der Sicherheitsmechanismen muß mit „hoch\" und Unterstützung zu gewähren. Wird diese nicht gewährt\ndie Algorithmen und zugehörigen Parameter müssen nach oder stellt sich heraus, daß bestätigte technische Kompo-\nAbsatz 2 als geeignet bewertet sein. nenten nicht ausreichend geprüft wurden oder Anforde-\nrungen nicht erfüllen, so kann die zuständige Behörde\n(2) Die zuständige Behörde veröffentlicht im Bundes-\nerteilte Bestätigungen für ungültig erklären.\nanzeiger eine Übersicht über die Algorithmen und\nzugehörigen Parameter, die zur Erzeugung von Signatur- (4) Die zuständige Behörde hat die nach § 14 Abs. 4\nschlüsseln, zum Hashen zu signierender Daten oder zur des Signaturgesetzes anerkannten Stellen sowie die tech-\nErzeugung und Prüfung digitaler Signaturen als geeignet nischen Komponenten, die von diesen eine Bestätigung\nanzusehen sind, sowie den Zeitpunkt, bis zu dem die nach Absatz 3 erhalten haben, im Bundesanzeiger zu\nEignung jeweils gilt. Der Zeitpunkt soll mindestens veröffentlichen und den Zertifizierungsstellen unmittelbar\nsechs Jahre nach dem Zeitpunkt der Bewertung und bekanntzugeben. Zu den technischen Komponenten ist\nVeröffentlichung liegen. Die Eignung ist jährlich sowie bei anzugeben, bis zu welchem Zeitpunkt die Bestätigung gilt.\nBedarf neu zu bestimmen. Die Eignung ist gegeben, wenn Wird eine Anerkennung entzogen oder eine Bestätigung\ninnerhalb des bestimmten Zeitraumes nach dem Stand für ungültig erklärt, so ist dies ebenfalls im Bundes-\nvon Wissenschaft und Technik eine nicht feststellbare anzeiger zu veröffentlichen und den Zertifizierungsstellen\nFälschung von digitalen Signaturen oder Verfälschung unmittelbar bekanntzugeben.\nvon signierten Daten mit an Sicherheit grenzender Wahr-\nscheinlichkeit ausgeschlossen werden kann. Die Eignung § 18\nwird nach Angaben des Bundesamtes für Sicherheit in der\nInformationstechnik unter Berücksichtigung internatio- Erneute digitale Signatur\nnaler Standards festgestellt. Experten aus Wirtschaft und Werden Daten über längere Zeit in signierter Form\nWissenschaft sind zu beteiligen. benötigt, als die für ihre Erzeugung und Prüfung einge-\n(3) In der Bestätigung der Erfüllung der Anforderungen setzten Algorithmen und zugehörigen Parameter nach\nfür technische Komponenten nach § 14 Abs. 4 des § 17 Abs. 2 als geeignet beurteilt sind, so sind die Daten\nSignaturgesetzes ist anzugeben, für welche Anforde- vor Ablauf des Zeitpunktes der Eignung der Algorithmen\nrungen nach § 16 die Bestätigung gilt und unter welchen und zugehörigen Parameter mit einer neuen digitalen Sig-\nEinsatzbedingungen, welche Algorithmen und zugehö- natur zu versehen. Diese muß mit neuen Algorithmen oder\nrigen Parameter nach Absatz 2 eingesetzt und bis zu zugehörigen Parametern erfolgen, frühere digitale Signa-\nwelchem Zeitpunkt diese mindestens geeignet sind sowie turen einschließen und einen Zeitstempel tragen.\nnach welcher Stufe die technischen Komponenten nach\nAbsatz 1 geprüft wurden. Eine Ausfertigung des Prüf- §19\nberichtes und der Bestätigung ist bei der zuständigen\nInkrafttreten\nBehörde zu hinterlegen. Diese kann bei Anhaltspunkten\nfür Mängel bei Prüfungen oder bei bestätigten. techni- Diese Verordnung tritt am 1. November 1997 in Kraft.\nBonn, den 22. Oktober 1997\nDer Bundeskanzler\nDr. Helmut Kohl\nDer Bundesminister\nfür Bildung, Wissenschaft, Forschung und Technologie\nDr. J ü r gen R ü t t g er s\nDer Bundesminister des Innern\nKanther"]}