Erbringung von Signatur- und Zertifizierungsdiensten für qualifizierte Zertifikate und qualifizierte elektronische Signaturen

§ 7

(1) Werden die Einrichtungen eines ZDA organisatorisch oder technisch getrennt geführt, so ist durch Sicherheitsmaßnahmen sicherzustellen, dass die Übertragung der Daten zwischen den Teileinrichtungen nicht zu einer Kompromittierung der Signatur- oder Zertifizierungsdienste führt.

(2) Die technischen Einrichtungen eines ZDA sind so zu gestalten, dass deren Funktionen und Anwendungen, die zu den bereitgestellten Signatur- und Zertifizierungsdiensten gehören, von anderen Funktionen und Anwendungen getrennt sind und eine Beeinflussung ausgeschlossen ist. Dies muss sowohl für den regulären Betrieb, für besondere Betriebssituationen und außerhalb des Betriebs sichergestellt sein. Besondere Betriebssituationen wie beispielweise eine Wartung sind zu dokumentieren.

(3) Ein ZDA hat geeignete Vorkehrungen zu treffen, die seine Einrichtungen zur Erbringung von Signatur- und Zertifizierungsdiensten vor unbefugtem Zutritt schützen.

(4) Ein ZDA darf im Rahmen der bereitgestellten Signatur- und Zertifizierungsdienste nicht Personen beschäftigen, die wegen einer mit Vorsatz begangenen strafbaren Handlung zu einer Freiheitsstrafe von mehr als einem Jahr oder wegen strafbarer Handlungen gegen das Vermögen oder gegen die Zuverlässigkeit von Urkunden und Beweiszeichen zu einer Freiheitsstrafe von mehr als drei Monaten verurteilt wurden. Verurteilungen, die nach den Bestimmungen des Tilgungsgesetzes 1972 getilgt sind oder der beschränkten Auskunft unterliegen, bleiben außer Betracht.

(5) Das technische Personal eines ZDA muss über ausreichendes Fachwissen in folgenden Bereichen verfügen:

1. 1. allgemeine EDV-Ausbildung,
2. 2. Sicherheitstechnologie, Kryptographie, elektronische Signatur und Public Key Infrastructure,
3. 3. technische Normen, insbesondere Evaluierungsnormen, sowie
4. 4. Hard- und Software.

   Auf Verlangen der Aufsichtsstelle hat der ZDA Auskunft über das erforderliche Fachwissen des Personals zu geben. Das erforderliche Fachwissen des Personals kann insbesondere durch

1. 1. Absolvierung einer einschlägigen Höheren Technischen Lehranstalt (HTL),
2. 2. einer solchen Fachhochschule,
3. 3. eines einschlägigen Studiums, oder durch
4. 4. eine fachlich einschlägige Tätigkeit in der Dauer von zumindest drei Jahren

   erworben werden.

(6) Werden die Signaturerstellungsdaten beim ZDA oder bei der Produktion der Signaturerstellungseinheit erzeugt, so muss vom ZDA sichergestellt werden, dass die Signaturerstellungsdaten nur an den Signator ausgehändigt werden. Die Möglichkeit der Verwendung der Signaturerstellungsdaten vor der Aushändigung an den Signator muss ausgeschlossen sein. In jedem Fall hat sich der ZDA darüber zu vergewissern, dass die Signaturerstellungsdaten des Signators und die Signaturprüfdaten des entsprechenden Zertifikats in komplementärer Weise anwendbar sind.

(7) Der ZDA hat den Zertifikatswerber vor Vertragsabschluss gemäß § 20 SigG schriftlich oder

unter Verwendung eines dauerhaften Datenträgers klar und allgemein verständlich zu unterrichten, wobei die Informationen über den Inhalt des Sicherheits- und Zertifizierungskonzepts jedenfalls Erläuterungen zu sämtlichen anwendbaren Angaben nach § 12 Abs. 1 und 2 zu enthalten haben.