🔒 eIDAS / EDIFACT / Bundesnetzagentur konforme S/MIME Zertifikate ✓
Our core Business is Securing yours

Anforderungen der Bundesnetzagentur

Viele Unternehmen müssen Sie in den kommenden Wochen mit dem Thema S/MIME E-Mail Zertifikaten auseinandersetzen. Gerne möchten wir Sie mit den Anforderungen der Bundesnetzagentur vertraut machen.

Die Bundesnetzagentur setzt sich das Ziel, eine sichere Kommunikation innerhalb von Deutschland und in der EU einzuführen. Dafür gibt es verschiedene Möglichkeiten, die E-Mail Kommunikation zu verschlüsseln. Eine der wohl meist verbreiteten Applikationen sind die S/MIME Zertifikate. In einem Dokument hat die Bundesnetzagentur eine Regelung zum sicheren Austausch von EDIFACT Übertragungsdateien erstellt. Darin sind sämtliche Regelungen für eine sichere Übertragung von E-Mails enthalten. Damit Sie das wichtigste aus 26 Seiten innert Kürze erfahren, fassen wir insbesondere die Bedingungen und Anforderung an die Zertifikat zusammen.

Richtlinien für den Übertragungsweg

Bereits seit 1. Juni 2016 müssen sämtliche E-Mails in der deutschen Energiewirtschaft signiert respektive verschlüsselt werden. Für die Signierung zählen dabei die unter 5.5 genannten Regelungen:

  • Im Sinne der 1:1-Kommunikation ist der Datenaustausch geschäftsprozessunspezifisch zu betreiben, das heisst die Verschlüsselung und Signatur der E-Mail erfolgt für alle Nachrichtentypen einheitlich. Es müssen somit alle Übertragungsdateien von einem Absender an einen Empfänger verschlüsselt und signiert werden.
  • Das Verschlüsseln und Signieren von E-Mails ist ausschließlich nach dem S/MIME-Standard gestattet. Es muss mindestens die Version 3.2 (IETF RFC 5751, Veröffentlichungsjahr 2010)
    verwendet werden.
  • Jeder Marktpartner muss für die von ihm genutzte E-Mail-Adresse10 genau ein Zertifikat (genauer den dazugehörigen privaten Schlüssel) zur Signaturerzeugung verwenden. Zur Entschlüsselung der an diese E-Mail-Adresse von den jeweils anderen Marktpartnern verschlüsselt gesendeten E-Mail wird der gleiche private Schlüssel genutzt.

Auswahl der richtigen Zertifizierungsstelle

Damit Ihr E-Mail Zertifikat Gültigkeit hat, muss es von einer vertrauenswürdigen Zertifizierungsstelle (CA = Certification Authority) ausgestellt sein. Für die CAs gelten die Bedingungen, die unter 5.5.1 beschrieben sind:

  • Die CA verfügt über einen Rückrufservice, über den Zertifikate widerrufen werden können. Dazu führt sie eine sogenannte Zertifikatsperrliste (englisch certificate revocation list, CRL),
    welche öffentlich zugängig ist.
    Unsere Zertifikate werden von der CA Sectigo (ehemals Comodo) kryptiert und ausgestellt. Sämtliche Zertifikate können Sie telefonisch auf +41 41 514 31 33 oder per Mail info@s-mime.info revoken.
  • Die IT-Sicherheit des CA-Betriebs ist durch ein Audit / eine Zertifizierung nach einem anerkannten Audit / Zertifizierungs-Standard geprüft. Es wird eine Zertifizierung nach BSI TR03145,
    Secure Certification Authority operation empfohlen.
    Unsere Zertifikate werden nach den Richtlinien des CA/Browser Forums durch Ernst & Young geprüft und zertifiziert.
  • Der Registrierungsservice, einschließlich an Dienstleister (Registrare) ausgelagerter Service, erfolgt auf einem hohen Sicherheitsniveau.
    Secorio selbst ist eine Registrierungsstelle von Sectigo. Seit über 10 Jahren pflegen die beiden Unternehmen eine enge und strategische Partnerschaft um ein hohes Mass an Sicherheit bieten zu können. Sämtliche Zertifikate werden von mindestens 2 Stellen geprüft und validiert.

Weitere Anforderungen können aus dem Dokument der EDIFACT entnommen werden. Die Secorio sowie auch Sectigo ist darum bemüht, die Änderungen der Bundesnetzagentur mitzugehen. Aktuell werden die Anforderungen für Zertifizierungsstellen vollumfänglich eingehalten – die Finale Umsetzung erfolgt im Q4 2019. Daher arbeitet Secorio eng mit weiteren Certificate Authorities zusammen um die passenden Zertifikate anbieten zu können.

Anforderungen an E-Mail-Zertifikate

Die Anforderungen, die an E-Mail-Zertifikate gestellt werden, werden unter 5.5.2 geklärt:

  • Das E-Mail-Zertifikat wurde von einer CA ausgestellt, die den eben genannten Anforderungen gerecht wird.
    Sämtliche Anforderungen werden vollumfänglich erfüllt.
  • Alle bis zum 31.12.2017 ausgestellten Zertifikate sind mit mindestens dem Signaturalgorithmen sha-256RSA zu signieren. Ab dem 01.01.2018 bis zum 31.12.2018 neu ausgestellte Zertifikate sind entweder mit dem Signaturverfahren RSASSA-PKCS1-v1_5 (Signaturalgorithmen sha-256RSA oder sha-512RSA) oder RSASSAPSS zu signieren. Diese Zertifikate sind bis zur maximalen Zertifikatsgültigkeit (maximal 3 Jahre) im Interimsmodell der Marktkommunikation verwendbar.
    Unsere S/MIME E-Mail Zertifikate enthalten einen Signaturalgorithmus sha-256RSA und werden mit einer Laufzeit von maximal 3 Jahren ausgestellt. Eine RSASSA-Verschlüsselung kann optional dazugebucht werden.
  • Alle ab dem 01.01.2019 neu ausgestellten S/MIME Zertifikate müssen mit RSASSA-PSS signiert sein.
    Sectigo arbeitet derzeit noch nicht mit dem RSASSA-PSS Algorithmus. Dieser wird voraussichtlich in Q4 2019 umgesetzt. Durch unseren Kontakt zu einem internationalen Alternativlieferanten haben wir die Möglichkeit auch Zertifikate mit höheren Verschlüsselungsalgorithmus auszustellen.
  • Für die unterschiedlichen Anwendungszwecke „Signatur“ und „Verschlüsselung“ wird dasselbe Schlüsselpaar generiert, sodass ein sogenanntes Kombizertifikat ausgestellt und verwendet wird.
    Sie können unser Zertifikat in Ihren E-Mail Client integrieren und können beim Verfassen von E-Mails selbst entscheiden, ob Sie die E-Mail signieren oder verschlüsseln möchten. Sie benötigen dafür kein weiteres Zertifikat.
  • Zertifikate müssen eine fortgeschrittene elektronische Signatur ermöglichen.
    Unsere SMIME Zertifikate können als Class 1 oder Class 2 Zertifikat ausgestellt werden. Insbesondere Unternehmen empfehlen wir den Einsatz von unserem Enterprise Secure Email Certificate, welches eine fortgeschrittene Signatur ermöglicht.
  • Das Zertifikat muss eine Identifizierung und Zuordnung zum Unternehmen/Dienstleister oder zur Organisation gewährleisten, das die E-Mail-Adresse betreibt. Somit muss im Feld O des
    Zertifikats die juristische Person stehen, die das E-Mail-Postfach zu der E-Mail-Adresse betreibt, für die das Zertifikat ausgestellt wurde und unter der die signierten und verschlüsselten EMails versendet und empfangen werden.
    Bei unseren Enterprise Secure Email Zertifikaten wird Ihr Unternehmen validiert und anhand Ihres Handelsregister Auszuges geprüft. So wird gewährleistet, dass das ausgestellte Zertifikat ausschliesslich Ihrem Unternehmen zugeordnet werden kann.

Algorithmen und Schlüssellängen für S/MIME-Zertifikate

Nach den Richtlinien unter 5.5.3 der Bundesnetzagentur müssen die folgenden Algorithmen und Schlüssel mit den genannten Schlüssellängen verwendet werden:

Signatur:

  • Hashfunktion:
    • SHA-256 oder SHA-512
      unsere Zertifikate werden mit einer SHA-256 Hashfunktion ausgestellt.
  • Signaturverfahren
    • seit dem 1. Januar 2018 muss ausschliesslich das Signaturverfahren RSAES-OAEP verwendet werden.
      Unsere RSASSA-PSS Zertifikate erfüllen dieses Signaturverfahren. Zertifikate von Sectigo verwenden derzeit das SHA-256 Signaturverfahren.

Verschlüsselung

  • Inhaltsverschlüsselung:
    • AES-128 CBC oder AES-192 CBC
      Unsere Zertifikate erfüllen den Standard der Inhaltsverschlüsselung durch die fortgeschrittene Technologie. 
  • Schlüsselverschlüsselung:
    • RSA-Schlüssellänge mind. 2048 Bit
      siehe Punkte „Signaturverfahren“ 

E-Mail-Zertifikate: Handlungsempfehlungen

Unsere Enterprise-Zertifikate erfüllen die Anforderungen der Bundesnetzagentur und bieten Ihnen ein hohes Mass an Sicherheit. Unsere Zertifikate durchlaufen ein Validierungsprozess, welcher durchgeführt werden muss. So können wir den Missbrauch unserer Zertifikate schützen. Auch in Zukunft werden unsere Zertifikate laufend weiterentwickelt um Ihre E-Mail Kommunikation sicherer zu machen.

Sie haben Fragen oder sind sich nicht sicher, welches das passende Zertifikat für Sie ist? Unser Support Team steht Ihnen gerne telefonisch auf +41 41 514 31 33, per Livechat oder per Mail auf info@s-mime.info gerne zur Verfügung.

Empfohlenes Zertifikat für Unternehmen

0