umwelt-online: FPersV - Fahrpersonalverordnung - Verordnung zur Durchführung des Fahrpersonalgesetzes (3)

umwelt-online: Fahrpersonalverordnung - FPersV (3)

9 Informations- Sicherheit

9.1 Informations-Sicherheitsmanagement (ISMS)

Die D-CA/der D-CP und alle ggf. von ihr beauftragten Dienstleister etablieren ein geeignetes Informations-Sicherheitsmanagement-System (ISMS), durch das die informationstechnische Sicherheit aller für die Aufgaben der D-CA/des D-CP relevanten Tätigkeiten dauerhaft gewährleistet ist.

Die Vorgehensweisen sollen den Anforderungen von [ISO] 27.001:2006 sowie [GSHB] genügen.

[r9.2]

Die D-CA/der D-CP stellt sicher, dass für alle im Zusammenhang mit der D-CA/des D-CP relevanten IT-Systeme und Informationen eine Schutzbedarfsfeststellung nach [GSHB] durchgeführt wird.

[r9.3]

Für die Tätigkeit der D-CA/des D-CP ist ein Sicherheitskonzept zu erstellen. Dieses Konzept ist mit dem Betriebskonzept abzustimmen.

[r9.4]

Erstellung und Aktualisierung des Betriebskonzepts sind Bestandteil des Informations-Sicherheitsmanagements.

9.2 Besondere Anforderungen an das Sicherheitskonzept

Der folgende Abschnitt stellt innerhalb des Sicherheitskonzepts besonders zu beachtende Gesichtspunkte zusammen. Er ist nicht als abschließende Aufzählung von dessen Inhalten gedacht.

[r9.5]

Die D-CA/der D-CP stellt sicher, dass nur zuverlässiges und ausreichend qualifiziertes Personal mit den erforderlichen Tätigkeiten betraut wird. Dies gilt auch für das Personal bei externen Auftragnehmern.

[r9.6]

Die für die Tätigkeit der D-CA/des D-CP und ggf. externer Dienstleister eingesetzten IT-Systeme müssen so betrieben werden, dass mögliche Schädigungen durch Viren und andere schadhafte Codes weitestgehend verhindert sowie die möglichen Folgen von Schäden und Störungen minimiert werden.

Die Systeme müssen über wirksame Zugangskontrollen verfügen und insbesondere die in dieser Policy und den zugehörigen Sicherheits- und Betriebskonzepten beschriebenen Rollenkonzepte wirksam implementieren.

[r9.7]

Die Initialisierung von Systemen, die den privaten Signaturschlüssel der D-CA oder die geheimen symmetrischen Schlüssel KmVU, KmWC oder Km enthalten, darf nur in Kooperation von zwei Personen erfolgen, welches durch organisatorische Maßnahmen sichergestellt wird.

[r9.8]

Die D-CA/der D-CP soll für ihre/seine Aufgaben vertrauenswürdige Systeme und Software einsetzen, die durch geeignete Maßnahmen wirksam gegen unautorisierte Veränderungen geschützt sind.

Sofern speziell entwickelte Soft- oder Hardware eingesetzt wird, müssen die relevanten Sicherheitsvorgaben bereits im Entwicklungsprozess nachvollziehbar berücksichtigt werden.

Bei allen Veränderungen der eingesetzten Soft- und Hardware müssen dokumentierte Kontrollmechanismen umgesetzt werden.

[r9.9]

Die innerhalb der D-CA/des D-CP eingesetzten Netzwerke und die dort gespeicherten und verarbeiteten Daten sind durch besondere Schutzmechanismen (wie z.B. Firewalls) gegen externe Zugriffe zu schützen.

[r9.10]

Alle sicherheitsrelevanten Aktionen und Prozesse auf den für die Tätigkeit der D-CA/des D-CP relevanten IT-Systemen sind so zu protokollieren, dass sich der zugehörige Zeitpunkt und die entsprechenden Personen mit hinreichender Sicherheit nachvollziehen lassen. Dazu gehören zumindest:

das Einrichten von Benutzerbereichen (Accounts),
alle Transaktions-Anforderungen (Account des Anfordernden, Typ, Status (erfolgreich/nicht erfolgreich), Gründe für das Fehlschlagen usw.),
Software-Installationen und -Updates,
Hardware-Modifikationen,
Herunterfahren und Neustarts des Systems,
Zugriff auf Audits und Archive.

[r9.11]

Die Protokolle sind gegen Veränderung und unberechtigten Zugriff zu schützen. Sie sollen regelmäßig und anlassbezogen ausgewertet und analysiert werden.

[r9.12]

Die Protokolldaten sollen für mindestens 7 Jahre so aufgehoben werden, dass eine Auswertung während dieser Zeitspanne jederzeit möglich ist.

[r9.13]

Die D-CA/der D-CP erstellt einen Notfallplan, in dem das Verhalten bei schwerwiegenden Notfällen wie einer Schlüsselkompromittierung oder beim Verlust oder Ausfall von relevanten Daten und/oder IT-Systemen festgelegt ist.

[r9.14]

Die D-CA/der D-CP gewährleistet einen ausreichenden infrastrukturellen und physischen Schutz ihrer/ seiner Daten und IT-Systeme. Dieser umfasst insbesondere einen ausreichenden Zutrittsschutz für sicherheitsrelevante Bereiche.

Bereiche, in denen private und geheime Schlüssel erzeugt, aufbewahrt und verarbeitet werden, müssen durch besondere Maßnahmen geschützt werden.

9.3 Rollentrennung

[r9.15]

Durch die Einrichtung von Rollenkonzepten soll verhindert werden, dass einzelne Personen Sicherheitsvorkehrungen der D-CA/des D-CP umgehen. Hierzu werden den einzelnen Rollen jeweils beschränkte Rechte und Pflichten zugewiesen. Die genaue Ausgestaltung hängt von den konkreten Abläufen bei der D-CA/dem D-CP ab und bleibt dem Betriebskonzept der D-CA/des D-CP vorbehalten.

Folgende Rollen sind in der D-CA aber mindestens vorzusehen:

D-CA-Verantwortlicher (CA-R)
PIN-Verwalter (PV)
IT-Sicherheitsbeauftragter (ISSO)

Keine Person der vorstehenden Rollen darf gleichzeitig mehr als eine dieser Rollen wahrnehmen.

CA-Administrator (CAA)
Key-Manager (KM)

Jede dieser Rollen ist mit mindestens einer Person zu besetzen; mindestens ein Vertreter ist zu benennen.

Folgende Rollen sind beim D-CP aber mindestens vorzusehen:

D-CP-Verantwortlicher (CP-R)
System Administrator (SysAdmin)
IT-Sicherheitsbeauftragter (ISSO)
Key-Manager (KM)

Keine Person darf gleichzeitig mehr als eine dieser Rollen wahrnehmen.

Jede dieser Rollen ist mit mindestens einer Person zu besetzen; mindestens ein Vertreter ist zu benennen.

Die Inhaber dieser Rollen sind von den IT-Systemen der D-CA/des D-CP zuverlässig zu authentifizieren.

[r9.16]

Die CA-R/CP-R-Rolle umfasst:

Er ist für den sicheren und störungsfreien Betrieb der D-CA bzw. des D-CP als Organisation zuständig.
Er vertritt die Organisation nach außen und ist in der D-CA/D-CP-Organisation weisungsbefugt.
Er ist nicht direkt an der Realisierung von Geschäftsprozessen beteiligt, sondern neben der Gesamtleitung der D-CA/des D-CP verantwortlich für die Einhaltung und Überwachung von Sicherheitsmaßnahmen.
Er übernimmt die Verantwortung für das Change-Management.

[r9.17]

Die KM-Rolle umfasst:

die sichere Durchführung der Key-Management-Prozesse,
die Erzeugung, Zertifizierung, Verwaltung und Löschung der asymmetrischen Schlüssel der D-CA/des D-CP sowie der symmetrischen Schlüssel, die zur Verschlüsselung von Daten der Kontrollgeräte bzw. Werkstattkarten dienen.

Die Rolle Key-Manager kann nur im 4-Augen-Prinzip umgesetzt werden.

[r9.18]

Die CAA-Rolle umfasst:

Verantwortung für den reibungslosen Betrieb der technischen Systeme und Netzwerkkomponenten der D-CA.

[r9.19]

Die PV-Rolle umfasst:

die alleinige Kenntnis über die PIN, die den Zugriff auf die Mitgliedstaatenschlüssel und den Zugriff auf die symmetrischen Schlüssel sichert,
Mitwirkung bei der Schlüsselgenerierung,
Mitwirkung bei allen Aktivitäten der D-CA, bei denen ein Zugriff auf die Mitgliedstaatenschlüssel oder den symmetrischen Schlüssel für die Verschlüsselung der Bewegungsgeber-Daten notwendig ist (z.B. Schlüsselgenerierung, Inbetriebnahme der Schlüssel, Schlüsselerneuerung).

[r9.20]

Die SysAdmin-Rolle umfasst:

Verantwortung für den reibungslosen Betrieb der Netzwerkkomponenten und der IT-Systeme des DCP (Installation, Konfiguration, Administration, Update, Backup, Wiederherstellung).

[r9.21]

Die ISSO-Rolle umfasst:

die Überwachung der Sicherheit aller Geschäftsprozesse im Detail und die Auswertung der Sicherheitsmaßnahmen,
die Überwachung aller anderen Rollen, die Umsetzung der Security Policy, das Change-Management bzw. die Realisierung der Geschäftsprozesse und Anweisungen innerhalb der D-CA/D-CP-Organisation,
die Verantwortung zur Durchführung der Audits, die regelmäßig innerhalb der D-CA/D-CP-Organisation vorgenommen werden müssen,
die Verantwortung für die Erstellung und Pflege des Sicherheitskonzeptes,
die Teilnahme an der Mitgliedstaatenschlüssel-Generierung. [r9.22]

Sofern die D-CA/der D-CP Teile ihrer/seiner Aufgaben an externe Dienstleister überträgt, müssen diese ein ihren Aufgaben entsprechendes Rollenkonzept einrichten.

10 Beendigung des D-CA/D-CP-Betriebs

10.1 Verantwortlichkeit der D-MSA

Die D-MSA entscheidet über eine Verlegung der D-CA/D-CP-Verantwortlichkeit. Dafür muss die D-MSA eine neue D-CA/D-CP benennen. Um diese Verlegung durchzuführen, müssen die folgenden Punkte erfüllt werden.

[r10.1]

Die D-MSA stellt sicher, dass die Übertragung der Aufgaben und Pflichten an die neue D-CA/D-CP in geeigneter Art und Weise zu erfolgen hat.

[r10.2]

Die alte D-CA/D-CP muss alle vorhandenen D-CA/D-CP-Schlüssel an die neue D-CA/D-CP übertragen. Die Art und Weise wird durch die D-MSA bestimmt.

[r10.3]

Kopien von Schlüsseln jeglicher Art, die in Zusammenhang mit der alten D-CA/D-CP gebracht werden können oder nicht transferiert werden konnten, müssen vernichtet werden.

11 Überprüfungen des Betriebs

11.1 D-CA

[r11.1]

Die D-MSA stellt die Durchführung von regelmäßigen und anlassbezogenen unabhängigen Überprüfungen des Betriebs der D-CA sicher. Eine entsprechende Überprüfung soll mindestens einmal jährlich erfolgen. Die D-MSA kann externe Dienstleister mit dieser Aufgabe betrauen.

Bei Überprüfungen des D-CA-Betriebs muss insbesondere die Übereinstimmung des laufenden Betriebs mit den relevanten Rechtsvorschriften, mit der D-MSA-Policy sowie mit dem aktuellen Betriebskonzept und dem aktuellen IT-Sicherheitskonzept verifiziert werden.

Von der D-CA ggf. beauftragte externe Dienstleister sind in die Überprüfung einzubeziehen.

[r11.2]

Die D-MSA stellt sicher, dass die Sicherheit des Betriebs des D-CA durch die Überprüfungen nicht beeinträchtigt wird. Insbesondere stellt sie sicher, dass die Ergebnisse der Überprüfungen Unbefugten nicht zugänglich gemacht werden.

Sie verpflichtet ggf. externe Dienstleister zur Verschwiegenheit.

[r11.3]

Die D-MSA fasst die Ergebnisse der Überprüfung in einem Bericht zusammen, der die Abhilfemaßnahmen definiert, einschließlich eines Implementierungsplanes, der erforderlich ist, um die Verpflichtungen der D-MSA zu erfüllen. Der Bericht ist in englischer Sprache an die ERCA zu leiten.

[r11.4]

Sofern Überprüfungen der D-CA Schwachstellen oder Abweichungen offengelegt haben, veranlasst die D-MSA die D-CA, diese zu beseitigen. Die D-CA berichtet der D-MSA unverzüglich über Einleitung und Abschluss dieser Maßnahmen. Die D-MSA kann eine unabhängige Überprüfung des Erfolgs dieser Maßnahmen anordnen.

11.2 D-CP und Hersteller von Fahrzeugeinheiten sowie Hersteller von Weg-/Geschwindigkeitsgebern

[r11.5]

Die Einhaltung der Sicherheitsvorschriften, insbesondere der deutschen D-MSA-Policy sind nachzuweisen durch

ein Zertifikat von einem vom BSI oder vergleichbaren EU-Behörden akkreditierten Prüflabor,
mindestens einmal jährliche Audits.

Die Kosten trägt der Hersteller bzw. der D-CP.

[r11.6]

Anlassbezogene Audits im Zusammenhang mit der VO (EG) 3821/85, VO (EG) 2135/98 und VO (EG) 1360/ 2002 können jederzeit von der D-MSA und der D-CA verlangt werden. Sollten Unregelmäßigkeiten nachgewiesen werden, trägt der Hersteller bzw. D-CP die Kosten. Andernfalls trägt die veranlassende Aufsichtsstelle die Kosten.

12 Änderungen und Anpassungen der D-MSA-Policy

[r12.1]

Anträge zur Änderung der D-MSA-Policy sind an die D-MSA zu richten, die darüber entscheidet und im positiven Fall in angemessener Frist geeignete Maßnahmen zu treffen hat.

13 Übereinstimmung mit der ERCA-Policy

Die Anforderungen für die D-MSA-Policy sind in der ERCA-Policy in § 5.3 beschrieben. Die nachstehende Tabelle stellt die Verbindung zwischen den in der ERCA-Policy formulierten Anforderungen und den Anforderungen der D-MSA-Policy dar.

Nr.	Referenz ERCA policy	Anforderung	Referenz D-MSA-Policy
1.	§ 5.3.1	The MSA Policy shall identify the entities in charge of operations.	§ 1.1 Zuständige Organisationen
2.	§ 5.3.2	The MSCA key pairs for equipment key certification and for motion sensor key distribution shall be generated and stored within a device which either: is certified to meet the requirements identified in FIPS 140-2 (or FIPS 140-1) level 3 or higher [10]; is certified to be compliant with the requirements identified in the CEN Workshop Agreement 14.167- 2 [11]; is a trustworthy system which is assured to EAL4 or higher in accordance with ISO 15.408 [12]; to level E3 or higher in ITSEC [13]; or equivalent security criteria. These evaluations shall be to a protection profile or security target, is demonstrated to provide an equivalent level of security.	§ 6 Schlüsselmanagement in der D-CA (Absatz 2)
3.	§ 5.3.3	Member State Key Pair generation shall take place in a physically secured environment by personnel in trusted roles under, at least dual control.	§ 6 Schlüsselmanagement in der D-CA (Absatz 3) § 6 Schlüsselmanagement in der D-CA [r6.5] § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.10] § 7.3 Schlüsselverwendung [r7.9] § 9.2 Besondere Anforderungen an das Sicherheitskonzept [r9.7]
4.	§ 5.3.4	The Member State Key Pairs shall be used for a period of at most two years starting from certification by the ERCA.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.7]
5.	§ 5.3.5	The generation of new Member State Key Pairs shall take into account the one month turnaround time required for certification by the ERCA	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.13]
6.	§ 5.3.6	The MSA shall submit MSCA public keys for certification by the ERCA using the key certification request (KCR) protocol described in Annex A.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.14]
7.	§ 5.3.7	The MSA shall request motion sensor master keys from the ERCA using the key distribution request (KDR) protocol described in Annex D.	§ 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/ Geschwindigkeitsgeber (Km, Km_WC, Km_VU) [r6.20]
8.	§ 5.3.8	The MSA shall recognise the ERCA public key in the distribution format described in Annex B.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.15]
9.	§ 5.3.9	The MSA shall use the physical media for key and certificate transport described in Annex C.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r 6.16]
10.	§ 5.3.10	The MSA shall ensure that the Key Identifier (KID) and modulus (n) of keys submitted to the ERCA for certification are unique within the domain of the MSCA.	§ 8.4 Zertifikatinhalte und -formate [r8.9]
11.	§ 5.3.11	The MSA shall ensure that expired keys are not used for any purpose. The Member State private key shall be either: destroyed so that the private key cannot be recovered or retained in a manner preventing its use.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.7]
12.	§ 5.3.12	The MSA shall ensure that an equipment RSA key is generated, transported, and inserted into the equipment, in such a way as to preserve its confidentiality and integrity. For this purpose, the MSA shall ensure that any relevant prescription mandated by security certification of the equipment is met; ensure that both generation and insertion (if not onboard) takes place in a physically secured environment; unless key generation was covered by the security certification of the equipment, ensure that specified and appropriate cryptographic key generation algorithms are used.	§ 7.1 Allgemeine Anforderungen, Protokollierung [r7.1] § 7.2 Schlüsselerzeugung [r7.5]
		The last two of these requirements on generation shall be met by generating equipment keys within a device which either:
		is certified to meet the requirements identified in FIPS 140-2 (or FIPS 140-1) level 3 or higher [9]; is certified to be compliant with the requirements identified in the CEN Workshop Agreement 14.167-2 [10]; is a trustworthy system which is assured to EAL4 or higher in accordance with ISO 15.408 [11]; to level E3 or higher in ITSEC [12]; or equivalent security criteria. These evaluations shall be to a protection profile or security target; is demonstrated to provide an equivalent level of security.
13.	§ 5.3.13	The MSA shall ensure confidentiality, integrity and availability of the private keys generated, stored and used under control of the MSA Policy.	§ 5 Karten- und Gerätemanagement [r5.6] § 6 Schlüsselmanagement in der D-CA (Absatz 2) § 7.1 Allgemeine Anforderungen, Protokollierung [r7.2]
14.	§ 5.3.14	The MSA shall prevent unauthorised use of the private keys generated, stored and used under control of the MSA Policy.	§ 7.1 Allgemeine Anforderungen, Protokollierung (Absatz 2) § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.9] § 7.2 Schlüsselerzeugung [r7.8]
15.	§ 5.3.15	The Member State private keys may be backed up using a key recovery procedure requiring at least dual control.	§ 7.3 Schlüsselerzeugung [r7.11]
16.	§ 5.3.16	Key certification requests that rely on transportation of private keys are not allowed.	§ 8.2 Zertifikatserteilung [r8.7]
17.	§ 5.3.17	Key escrow is strictly forbidden.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.11]
18.	§ 5.3.18	The MSA shall prevent unauthorised use of its motion sensor keys.	§ 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/Geschwindigkeitsgeber (Km, Km_WC, Km_VU) [r6.18]
19.	§ 5.3.19	The MSA shall ensure that the motion sensor master key (Km) is used only to encrypt motion sensor data for the purposes of motion sensor manufacturers. The data to be encrypted is defined in the ISO / IEC 16.844-3 standard [7].	§ 6 Schlüsselmanagement in der D-CA (Absatz 2)
20.	§ 5.3.20	The motion sensor master key (Km) shall never leave the secure and controlled environment of the MSA.	§ 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/Geschwindigkeitsgeber (Km, Km_WC, Km_VU) [r 6.18]
21.	§ 5.3.21	The MSA shall forward the workshop card motion sensor key (Km_WC) to the component personaliser (in this case, the card personalisation service), by appropriately secured means, for the sole purpose of insertion into workshop cards.	§ 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/Geschwindigkeitsgeber (Km, Km_WC, Km_VU) [r6.18]
22.	§ 5.3.22	The MSA shall forward the vehicle unit motion sensor key (Km_VU) to the component personaliser (in this case, a vehicle unit manufacturer), by appropriately secured means, for the sole purpose of insertion into vehicle units.	§ 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/Geschwindigkeitsgeber(Km, Km_WC, Km_VU) [r6.18]
23.	§ 5.3.23	The MSA shall maintain the confidentiality, integrity and availability of its motion sensor key copies.	§ 6 Schlüsselmanagement in der D-CA (Absatz 2)
24.	§ 5.3.24	The MSA shall ensure that its motion sensor key copies are stored within a device which either: is certified to meet the requirements identified in FIPS 140-2 (or FIPS 140-1) level 3 or higher [9]; is a trustworthy system which is assured to EAL4 or higher in accordance with ISO 15.408 [11]; to level E3 or higher in ITSEC [12]; or equivalent security criteria. These evaluations shall be to a protection profile or security target.	§ 6 Schlüsselmanagement in der D-CA (Absatz 2)
25.	§ 5.3.25	The MSA shall possess different Member State Key Pairs for the production of vehicle unit and tachograph card equipment public key certificates.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.3] § 7.3 Schlüsselverwendung [r7.9]
26.	§ 5.3.26	The MSA shall ensure availability of its equipment public key certification service.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.6]
27.	§ 5.3.27	The MSA shall only use the Member State Private Keys for: the production of Annex I(B) equipment key certificates using the ISO / IEC 9796-2 digital signature algorithm as described in Annex I(B) Appendix 11 Common Security Mechanisms [6]; production of the ERCA key certification request as described in Annex A; c) issuing Certificate Revocation Lists if this method is used for providing certificate status information (see 5.3.30).	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.4]
28.	§ 5.3.28	The MSA shall sign equipment certificates within the same device used to store the Member State Private Keys (see 5.3.2).	§ 6 Schlüsselmanagement in der D-CA (Absatz 2)
29.	§ 5.3.29	Within its domain, the MSA shall ensure that equipment public keys are identified by a unique key identifier which follows the prescriptions of Annex I(B) [6].	§ 8.4 Zertifikatinhalte und -formate [r8.9]
30.	§ 5.3.30	Unless key generation and certification is performed in the same physically secured Environment, the key certification request protocol shall provide proof of origin and integrity of certification requests, without revealing the private key.	§ 8 Zertifikatsmanagement [r8.3]
31.	§ 5.3.31	The MSA shall maintain and make certificate status information available.	§ 8.5 Informationspflichten der D-CA [r8.13]
32.	§ 5.3.32	The validity of a tachograph card certificate shall equal the validity of the tachograph card.	§ 8.3 Zertifikatgültigkeit [r8.8]
33.	§ 5.3.33	The MSA shall prevent the insertion of undefined validity certificates into tachograph cards.	§ 8.3 Zertifikatgültigkeit [r8.8]
34.	§ 5.3.34	The MSA may allow the insertion of undefined validity Member State certificates into vehicle units.	§ 8.3 Zertifikatgültigkeit [r8.8]
35.	§ 5.3.35	The MSA shall ensure that users of cards are identified at some stage of the card issuing process.	§ 5 Karten- und Gerätemanagement [r5.8] § 7.3 Schlüsselverwendung [r7.10]
36.	§ 5.3.36	The MSA shall ensure that ERCA is notified without delay of loss, theft, or potential compromise of any MSA keys.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.12]
37.	§ 5.3.37	The MSA shall implement appropriate disaster recovery mechanisms which do not depend on the ERCA response time.	§ 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.6] § 9 Informations-Sicherheit [r9.13]
38.	§ 5.3.38	The MSA shall establish an information security management system (ISMS) based on a risk assessment for all the operations involved.	§ 9.1 Informations-Sicherheitsmanagement (ISMS) [r9.1]
39.	§ 5.3.39	The MSA shall ensure that the policies address personnel training, clearance and roles.	§ 9.2 Besondere Anforderungen an das Sicherheitskonzept [r9.5] § 9.3 Rollentrennung [r9.15]
40.	§ 5.3.40	The MSA shall ensure that appropriate records of certification operations are maintained.	§ 9 Informations-Sicherheit [r9.10] [r9.11] [r9.12]
41.	§ 5.3.41	The MSA shall include provisions for MSCA termination in the MSA Policy.	§ 10.1 Verantwortlichkeit
42.	§ 5.3.42	The MSA Policy shall include change procedures.	§ 12 Änderungen und Anpassungen der [r12.1]
43.	§ 5.3.43	The MSA audit shall establish whether the Requirements of this Section are being maintained.	§ 11.1 D-CA [r11.1] 2. Paragraph
44.	§ 5.3.44	The MSA shall audit the operations covered by the approved policy at intervals of not more than 12 months.	§ 11.1 D-CA [r11.1] 1. Paragraph
45.	§ 5.3.45	The MSA shall report the results of the audit as mentioned in 5.3.43 and provide the audit report, in English, to the ERCA.	§ 11.1 D-CA [r11.3]
46.	§ 5.3.46	The audit report shall define any corrective actions, including an implementation schedule, required to fulfil the MSA obligations.	§ 11.1 D-CA [r11.3]

A
Abkürzungen, Definitionen

Anhang ⁰⁸

BMVBS	Bundesministerium für Verkehr, Bau und Stadtentwicklung CA-Administrator
BSI	Bundesamt für Sicherheit in der Informationstechnik
CAA	CA-Administrator
CA-R	Der D-CA-Verantwortliche
CP-R	Der D-CP-Verantwortliche
D-MSA-Policy	Zertifizierungs-Policy der Bundesrepublik Deutschland für den elektronischen Fahrtenschreiber gemäß Anlage 11 des Anhangs I(B) VO (EG) 2135/98
Change Management	Behandlung technischer, organisatorischer und/oder fachlicher Änderungen des Verfahrens
D-CA	Die Zertifizierungsstelle der Bundesrepublik Deutschland für den elektronischen Fahrtenschreiber gemäß der VO (EG) 3821/85, VO (EG) 2135/98 und VO (EG) 1360/2002, Kraftfahrt-Bundesamt. Nach internationalem Sprachgebrauch (CA = certification authority)
D-CIA	Antragsbearbeitende und Ausgabestelle für Tachografenkarten
D-CP	Kartenpersonalisierer. Stelle, die asymmetrische Schlüsselpaare und die gemäß VO (EG) 3821/85, VO (EG) 2135/98 und VO (EG) 1360/2002 zugehörigen Zertifikate auf die in der VO (EG) 2135/98 definierten Fahrer-, Werkstatt-, Kontroll- und Unternehmenskarten aufbringt.
D-MSA	Die für die Umsetzung der EU-Richtlinie in der Bundesrepublik Deutschland verantwortliche Stelle, BMVBS. Nach internationalem Sprachgebrauch (MSA = Member State Authority)
Digitale Signatur	Verfahren zur Sicherung der Unverfälschtheit (Integrität) und zum Herkunftsnachweis (Authentizität) eines elektronischen Dokuments mittels Anwendung der asymmetrischen Kryptographie.
ERCA	Europäische Route Zertifizierungsstelle
FE	Fahrzeugeinheiten nach Definition der VO (EG) 3821/85, VO (EG) 2135/98 und VO (EG) 1360/2002
ISMS	Informations-Sicherheitsmanagement-System
ISSO	Der Sicherheitsbeauftragte Nach internationalem Sprachgebrauch (ISSO = Information System Security Officer)
Kartenpersonalisierer	Siehe D-CP
KDR	Key Distribution Request (Schlüssel-Auslieferungsantrag für den Hauptschlüssel des Weg-/Geschwindigkeitsgebers)
KM	Der Key-Manager
Öffentlicher Schlüssel	In der asymmetrischen Kryptographie der öffentliche Teil eines Schlüsselpaars. Dieser dient meistens zur Verifizierung einer digitalen Signatur oder zur Verschlüsselung einer Nachricht.
Personalisierung	Auch: logische P. Einbringung von privaten/geheimen Schlüsseln und den zugehörigen Zertifikaten in Kontrollgerätkarten und Kontrollgeräte. Diese ist zu unterscheiden von der optischen P. einer Karte, bei der Namen, Fotos u. Ä. auf den Kartenkörper aufgebracht werden.
Privater Schlüssel	In der asymmetrischen Kryptographie der private (geheime) Teil eines Schlüsselpaars. Dieser dient meistens zur Erzeugung einer digitalen Signatur oder zur Entschlüsselung einer Nachricht. (s. auch Öffentlicher Schlüssel)
PS	Das Practice Statement der D-CA, des D-CP, der Hersteller von Fahrzeugeinheiten und der Hersteller von Weg-/Geschwindigkeitsgebern, wie es in Kapitel 4 der D-MSA-Policy definiert ist. Im internationalen Kontext ist dafür die Bezeichnung "Certification Practice Statement (CPS)" gebräuchlich.
Root-CA	Die europäische Zertifizierungsstelle für den elektronischen Fahrtenschreiber gemäß der VO (EG) 3821/85, VO (EG) 2135/98 und VO (EG) 1360/2002.
Root-Policy	"Digital Tachograph System - European Root Policy" erstellt vom JRC in Ispra.
RSA	Spezielles Verfahren der asymmetrischen Kryptographie. Gemäß Anlage 11 des Anhangs I (B) der VO (EG) 2135/98 wird im elektronischen Fahrtenschreiber das RSA-Verfahren zur Erstellung digitaler Signaturen eingesetzt.
SysAdmin	Der Systemadministrator des D-CP
Zertifikat	In der asymmetrischen Kryptographie wird durch ein Z. die Bindung eines öffentlichen Schlüssels an eine im Z. bezeichnete Identität (Person, Organisation, Maschine usw.), die sich im Besitz des zugehörigen privaten Schlüssels befindet, bestätigt. Im Kontext der D-MSA-Policy werden hierunter insbesondere die in Anlage 11 zum Anhang I (B) der VO (EG) 2135/98 definierten Zertifikate verstanden.
Zertifizierungsstelle	Stelle, die ein Zertifikat ausstellt. Im Kontext der VO (EG) 3821/85, VO(EG) 2135/98 und VO (EG) 1360/2002 existieren die Europäische Zertifizierungsstelle (Root-CA) und die Zertifizierungsstellen der Mitgliedstaaten (für Deutschland D-CA), die die für ihre Tätigkeit benötigten Zertifikate von der Root-CA erhalten.

B
Referenzdokumente

Anhang ⁰⁸

[CC]	Common Criteria. ISO/IEC 15.408 (1999)
[CEN]	CEN Workshop Agreement 14.167-2: Cryptographic Module for CSP...
[FIPS]	FIPS PUB 140-2. NIST [GSHB] BSI-IT-Grundschutzkataloge
[ISO]	ISO 27.001:2006

Beschreibung der Speicherkarten

Anlage 3
(zu § 4 )

Die Speicherkarten entsprechen den Mustern nach Abschnitt IV, Anhang I B, Verordnung (EWG) Nr. 3821/85. Von den danach möglichen zusätzlichen Angaben enthält die Werkstattkarte Name und Vorname des Karteninhabers.
Fahrer-, Unternehmens- und Kontrollkarte enthalten keine fakultativen Angaben.
Sämtliche Speicherkarten enthalten folgende zusätzliche Sicherheitsmerkmale:
- Nicht kopierbare Elemente in Form optisch variabler Merkmale, unter anderem in Form beugungsoptisch wirksamer Strukturen (auf Grund der geforderten Gebrauchstauglichkeit vorzugsweise unterhalb der die Kartenoberfläche bildenden Kartenschicht),
- Integration der Führerscheindaten (einschließlich des Lichtbilds und der Unterschrift) in das Kartenmaterial mittels spezieller Sicherheitstechnik, die insbesondere in den mit Sicherheitsmerkmalen belegten Kartenschichten wirksam wird (nur für Fahrerkarten),
- Eignung für die Echtheitsprüfung auf der ersten Kontrollebene: Die Karten müssen Sicherheitsmerkmale und -eigenschaften besitzen, die ohne zusätzliche Hilfsmittel eine sichere Echtheitsprüfung des Dokuments erlauben. Zusätzlich sollen weitere Sicherheitselemente aufgebracht werden, die eine Echtheitsprüfung mit einfachen Mitteln (UV-Lampe, Lupe usw.) ermöglichen.

Fertigungstechnische Spezifikationen für die Kontrollgerätkarten

Die Kontrollgerätkarten müssen den folgenden Normen entsprechen ⁴:

ISO/IEC 7810 Identifikationskarten - Physikalische Eigenschaften
ISO/IEC 7816 Identifikationskarten - Chipkarten mit Kontakten (Teil 1, 2, 3, 4 und 8)
ISO/IEC 10373 Identifikationskarten; Prüfverfahren.

Gemäß der Leistungsbeschreibung für die Erstellung und Lieferung der Kontrollgerätkarten sind hohe Anforderungen an die Haltbarkeit und Gebrauchstauglichkeit des zu verwendenden Kartenwerkstoffs und der Karten insgesamt zu stellen. Die Herstellung der Karten und die Aufbringung der Daten muss mit Sicherheitstechniken erfolgen, die nicht allgemein zugänglich sind. Daraus ergeben sich für die Kontrollgerätkarten im Einzelnen folgende technische Spezifikationen, die sich als Auswahl der wichtigsten Sicherheitselemente aus einem allgemeinen EU-Mindestsicherheitsstandard für Ausweisdokumente und bestehenden Kartenkonzepten, z.B. dem der Führerscheinkarte der Bundesrepublik Deutschland, ableiten.

Nr.	Kriterien gemäß Mindestsicherheitsstandard für Ausweisdokumente ⁵	Auswahl	Spezifikationen für Kontrollgerätkarten
1	Material		vollständig aus Polycarbonat aufgebaut, zu einer homogenen Karte laminiert, Kartenkern aus weiß pigmentiertem, semitransparentem Polycarbonat, auf der Vorderseite zwei, auf der Rückseite mindestens eine transparente Polycarbonatschicht, Vorderseite für Lasergravur sensibilisiert
1.1	Materialmerkmale
1.1	• ohne optischen Aufheller
2	Sicherheitsdruck
2.1	Personaldatenseite/Kartenrückseite
	• Textdruck		Text auf Vorder- und Rückseite in Blau und EU-Symbol in Blau und Gelb entsprechend Abschnitt 2.1 und der Abbildung des Gemeinschaftsmodells in Anhang I B, Abschnitt IV.1 der Verordnung (EG) Nr. 1360/2002, Anbringung auf der Vorderseite zwischen den beiden transparenten Kartenschichten und auf der Rückseite zwischen Kartenkern und transparenter Kartenschicht
	•Guillochendruck		Kombination aus zwei Druckdurchgängen
			1. Druckplatte: Negativguilloche mit ausgespartem Endlostext, bestehend aus dem Kartentitel in den anderen Gemeinschaftssprachen, Flächen der Negativguilloche durch Schraffur aufgehellt, am unteren Rand Integration einer Mikroschriftzeile in das Guillochenmotiv, Iriseinfärbung mit Farbübergängen zum linken und rechten Kartenrand hin entsprechend Abschnitt 2.1, Iriszonenverhältnis ca. 25/50/25 % der Kartenbreite 2. Druckplatte: Positivguilloche, abgepasst auf das Motiv der ersten Druckplatte, mit eingearbeiteter Konturierung des in der ersten Druckplatte ausgesparten Endlostextes, in den Aussparungen Mikroschrift mit Endlostext, einheitlich eingefärbt (Fahrerkarte: rosa, Kontrollkarte, Werkstattkarte und Unternehmenskarte: grau) Anbringung auf Vorder- und Rückseite zwischen Kartenkern und der darauf folgenden transparenten Kartenschicht
	• Iriseinfärbung		s. o.
	• Layout Personaldatenseite - übrige Seiten	-	gleiches Guillochenmotiv auf Vorder- und Rückseite, auf der Vorderseite Aussparung des Lichtbildfeldes mit sich nach innen auflösender Überlappung des Lichtbildrandes
	•Mikroschrift		je eine Endlosschriftzeile unterhalb des Kartentitels in Blau und in den jeweiligen Iris-Farben mehrfarbig am unteren Rand in das Motiv der ersten Guillochendruckplatte integriert sowie Endlostext als Füllung der mit der zweiten Guillochendruckplatte aufgebrachten konturierten Endlosschrift in Rosa bzw. Grau (s. o.), Mikroschrifthöhe: jeweils < 0,3 mm, Inhalt: BUNDESREPUBLIK DEUTSCHLAND
	• UV-Aufdruck		auf der Vorderseite zwischen den beiden transparenten Kartenschichten, Fluoreszenzfarbe Rot (Anregung im langwelligen UV)
	• OVI-Aufdruck	-
2.2	Nummerierung
2.2	• auf Personaldatenseite		in Datenfeld 5b
3	Kopierschutz/weitere Sicherheitsmerkmale
3.1	OVD
	• beugungsoptisch wirksame Struktur		transparentes Kinegram
	• im Laminat/in der Ausweiskarte integriert oder als Overlay		auf der Vorderseite innenliegend zwischen Kartenkern und darauf folgender transparenter Schicht, den Lichtbildrand überlappend
3.2	weitere Sicherheitsmerkmale
3.2	• weitere Informationsträger		kontaktbehafteter IC-Chip
4	Ausstellungstechnik
4.1	Personalisierung
	• Bild- und Personendaten integriert		Lasergravur, die Angaben in den Datenfeldern 1, 4a/4b und 5b reliefartig auf der Kartenoberfläche fühlbar
	• Elemente zum Schutz der Einträge		durch geeignete Materialbeschaffenheit ist sicherzustellen, dass die durch die Lasergravur bewirkte Schwärzung des Kartenmaterials auf der Vorderseite in beiden transparenten Schichten und auf dem Kartenkern wirksam wird
4.2	Normkonformität
	• Maschinenlesbarkeit (ICAO 9303)	-
	• ISO/IEC 7810 und 7816

Erläuterung der in der Tabelle verwendeten Symbole

•	Anforderungen, orientiert an der EU-Entschließung hinsichtlich der Sicherung von Pässen und anderen Reisedokumenten vom 17. Oktober 2000
	muss in der Kontrollgerätkarte enthalten sein
-	ist in der Kontrollgerätkarte nicht enthalten

_________________________
1) Guideline and Template National CA policy, V 1.0.

2) Genehmigt wurde die Fassung in englischer Sprache, die bei Zweifelsfragen Vorrang vor der deutschen Fassung hat.

3) Vgl. Digital Tachograph System European Root Policy, V 2.0.

4) Siehe Anhang I B Abschnitt IV.3 der Verordnung (EG) Nr. 1360/2002.

5) Entschließung der im Rat vereinigten Vertreter der Regierungen der Mitgliedstaaten vom 17. Oktober 2000 hinsichtlich der Sicherung von Pässen und anderer Reisedokumente, ABl. EG Nr. C 310 S. 1.

ENDE