BSI veröffentlicht neue Technische Richtlinie zur Sicherung von Public-Key-Infrastrukturen
Am 23. März 2023 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die neue Technische Richtlinie BSI TR-03145-5 veröffentlicht. Sie adressiert den sicheren Betrieb von Public-Key-Infrastrukturen für Technische Sicherheitseinrichtungen.
Im Zuge der fortschreitenden Digitalisierung gewinnt die elektronische Erfassung von Geschäftsvorfällen zunehmend an Bedeutung. Um den Schutz vor nachträglichen Manipulationen an elektronischen Aufzeichnungen zu gewährleisten, sind seit 2020 elektronische Aufzeichnungssysteme, wie zum Beispiel Registrierkassen, verpflichtet, über eine zertifizierte Technische Sicherheitseinrichtung zu verfügen. Die Technische Sicherheitseinrichtung ist in eine Public Key Infrastruktur eingebettet und hat die Aufgabe, die Vertraulichkeit, Integrität und Authentizität von Informationen zu gewährleisten. Das BSI legt dabei die technischen Anforderungen und Prüfvorschriften für die Technische Sicherheitseinrichtung sowie die dazugehörige Public Key Infrastruktur fest.
Eine Public Key Infrastruktur (PKI) besteht aus einer hierarchisch angeordneten Struktur von Organisationen, die digitale Zertifikate ausstellen. Diese Zertifikate dienen der Sicherung von Vertraulichkeit, Integrität und Authentizität von Informationen. Die Sicherheit der PKI setzt voraus, dass die zertifikatsausstellenden Stellen sicher betrieben werden.
Public Key Infrastrukturen werden in einer Vielzahl von Anwendungsbereichen eingesetzt. Um dafür zu sorgen, dass diese Infrastrukturen sicher betrieben werden, hat das BSI in der Richtlinienreihe BSI TR-03145 grundlegende Anforderungen für verschiedene Anwendungsbereiche festgelegt. Die Technische Richtlinie BSI TR-03145-1 bildet dabei die Basis für die gesamte Richtlinienreihe und definiert Anforderungen für den sicheren Betrieb von zertifikatsausstellenden Stellen in möglichst allgemeingültiger Form. Dies gewährleistet eine breite Anwendbarkeit dieser Technischen Richtlinie.
In bestimmten Anwendungsbereichen kann es notwendig sein, die allgemeingültigen Anforderungen für den gegebenen Anwendungsbereich zu konkretisieren, wie bei der Absicherung von Aufzeichnungen elektronischer Aufzeichnungssysteme mit einer Technischen Sicherheitseinrichtung.
Mit der Veröffentlichung der Technischen Richtlinie BSI TR-03145-5 ergänzt und konkretisiert das BSI die Vorgaben für diesen Anwendungsfall und ermöglicht die einheitliche und vereinfachte Zertifizierung.
