„In dem Report der Europäischen Sicherheitsagentur ´ENISA´ wird dargestellt, dass es beim Betrieb der Zertifizierungsstelle (CA) durch das niederländische Unternehmen DigiNotar zu erheblichen Versäumnissen bei der sicheren Gestaltung der Systemlandschaft kam und weitere Sicherheitsmaßnahmen, die eigentlich Stand der Technik sein sollten, nicht implementiert wurden. Die Summe dieser Versäumnisse erlaubte den im November 2011 bekannt gewordenen Einbruch in die Systeme von DigiNotar und führte dazu, dass gefälschte Zertifikate ausgestellt werden konnten.
Deutsche Zertifizierungsdiensteanbieter (ZDA), die dem Signaturgesetz unterliegen, müssen sich in regelmäßigen Abständen (alle drei Jahre) und nach jeder sicherheitserheblichen Änderung ihrer Abläufe oder Systeme durch akkreditierte Prüfstellen überprüfen lassen. Der Prüfkatalog und die Zertifizierung erfordern umfassende Sicherheitsmaßnahmen, einschließlich Maßnahmen zur Verhinderung solcher Fehler, wie sie bei DigiNotar aufgetreten sind. Diese bei den deutschen Zertifizierungsdiensteanbietern implementierten Sicherheitsmaßnahmen erfüllen nicht nur bereits heute die im “ENISA-Report“ aufgestellten Forderungen, sondern gehen weit darüber hinaus und setzen einem Angriff, wie er bei DigiNotar erfolgt ist, sehr viel mehr entgegen. Ein Vorteil der qualifizierten elektronischen Signatur nach dem Signaturgesetz ist, dass bei jeder Nutzung eines Zertifikats in Echtzeit abgefragt werden kann, ob sowohl das genutzte Zertifikat als auch das Zertifikat der ausstellenden Zertifizierungsstelle zum angefragten Zeitpunkt gültig sind.
Die enge Anbindung der deutschen Zertifizierungsdiensteanbieter an ihre Aufsichtsbehörde, die Bundesnetzagentur, stellt schon heute sicher, dass die Kompromittierung einer Zertifizierungsstelle sehr schnell kommuniziert wird. Jeder Zertifizierungsdiensteanbieter hat für derartige Fälle entsprechende Abläufe definiert, die auch Gegenstand der Zertifizierung sind. Darüber hinaus gibt es einen Arbeitskreis der Zertifizierungsdiensteanbieter mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), in dem ein regelmäßiger Austausch über aktuelle sicherheitsrelevante Themen stattfindet.“
