1. Allgemeine Fragen
Was ist das digitale Akkreditierungssymbol?
Das digitale Akkreditierungssymbol ist das digitale Pendant zum bekannten Akkreditierungssymbol mit dem Zusatz, dass es technisch auf Integrität und Authentizität prüfbar ist.
Es ist ein elektronisches Siegel, also eine Art elektronischer Firmenstempel. Das digitale Akkreditierungssymbol ist maschinenlesbar und weltweit in Echtzeit technisch verifizierbar.
Es basiert auf einer digitalen Identität für die Konformitätsbewertungsstelle (KBS), die akkreditierungsspezifische Informationen enthält. Diese Informationen sind:
- eine eindeutige Akkreditierungsnummer der jeweiligen akkreditierten Stelle im maschinenlesbaren, internationalisierbaren Format AAAAAAA-CC-XX-YYYYY-ZZ-NN (z. B. DAkkS00-DE-PL-12345-01-00)
- die Aussage, dass es sich um eine von der nationalen Akkreditierungsbehörde akkreditierte Konformitätsbewertungsstelle handelt
- die Definition, was eine Bestätigung (attestation) gemäß ISO/IEC 17000:2020 ist
- die Beschränkung der Nutzung des elektronischen Siegels auf die definierten Bestätigungen
Warum wurde das digitale Akkreditierungssymbol (für PDF sowie maschinenlesbare Dokumente) eingeführt?
Das digitale Akkreditierungssymbol wird durch die DAkkS als grundlegende Infrastruktur für alle akkreditierten Stellen bereitgestellt, um die digitale Transformation der Wirtschaft zu unterstützen.
Das digitale Akkreditierungssymbol dient dem Zweck, das Vertrauen in die Aussage und den Wert der Akkreditierung im digitalen Raum angemessen zu schützen.
Durch seine technische Ausgestaltung bietet es akkreditierten Stellen eine zusätzliche Option, um sich besser gegen Fälschungen von Ergebnisberichten und Zertifikaten im digitalen Raum zu schützen, da die Originale mit dem digitalen Akkreditierungssymbol manipulations- und fälschungssicher sind.
Es ist damit ein Werkzeug zur Umsetzung einer digitalen Qualitätsinfrastruktur mit rein digitalen Nachweisketten.
Wer kann das digitale Akkreditierungssymbol nutzen und wie wird es angewendet (eAttestation)?
Jede akkreditierte Stelle kann das digitale Akkreditierungssymbol beantragen.
Sie kann damit ihre digitalen Bestätigungen (eAttestation) – also unter anderem digitale Laborberichte, medizinische Laborberichte, Kalibrierscheine, Inspektionsberichte oder Zertifikate – digital signieren und an ihre jeweiligen Kundinnen und Kunden manipulationssicher herausgeben.
Was ist eine eAttestation?
Die eAttestation ist eine von einer akkreditierten Stelle herausgegebene Bestätigung (attestation), die mit dem digitalen Akkreditierungssymbol signiert wurde. Dazu zählen etwa mit dem digitalen Akkreditierungssymbol signierte digitale Laborberichte, medizinische Laborberichte, Kalibrierscheine, Inspektionsberichte, Zertifikate etc. Damit ist die Bestätigung technisch abgesichert und vor unbemerkten Veränderungen geschützt. Der Integritätsschutz und der Authentizitätsschutz sind gewährleistet.
Die eAttestation kann in verschiedenen digitalen Formaten (u. a. PDF und XML) von einer akkreditierten Stelle herausgegeben werden.
Bei einer PDF-basierten eAttestation, kann das bisherige, von der DAkkS freigegebene Layout mit dem bildhaften „klassischen“ Akkreditierungssymbol unverändert bestehen bleiben.
Was ist ein elektronisches Siegel?
Das elektronische Siegel ist eine Art digitaler Firmenstempel. Das hier verwendete elektronische Siegel ist in Art. 3 Abs. 30 der eIDAS-Verordnung (EU) Nr. 910/2014 definiert und erfüllt die nach dieser Verordnung geltenden Anforderungen. Damit bietet es eine europaweit rechtssichere und einheitliche Nutzung.
Es bietet einen technisch sicheren Herkunftsnachweis (Authentizitätsschutz für eine juristische Person) und einen Integritätsschutz (Schutz vor unbemerkter Veränderung) der Daten und Informationen, die von der juristischen Person signiert worden sind. Im Fall des digitalen Akkreditierungssymbols sind dies die Informationen der eAttestation.
Wie werden der Herkunftsnachweis und der Integritätsschutz durch ein elektronisches Siegel umgesetzt?
Der Nachweis der Authentizität (Herkunft) und der Integritätsschutz (Schutz vor unbemerkter Veränderung) werden durch die Nutzung eines Verschlüsselungsverfahrens – dem sogenannten „Public-Key“-Verfahren – hergestellt. Dabei wird zunächst eine digitale Identität für die Konformitätsbewertungsstelle erzeugt. Dieser Identität wird ein eindeutiges kryptografisches Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel (Public-Key-Infrastruktur: PKI) zugeordnet. In der Nutzung spricht man dabei von einem elektronischen Siegel.
Die Produktion und technische Absicherung solcher elektronischen Siegel übernimmt ein qualifizierter Vertrauensdiensteanbieter im Sinne der eIDAS-Verordnung (EU) Nr. 910/2014.
Die Freigabe des jeweiligen digitalen Akkreditierungssymbols erfolgt vor der Produktion durch die DAkkS als nationale Akkreditierungsbehörde.
Welche Funktionalitäten bietet das digitale Akkreditierungssymbol auf Basis eines elektronischen Siegels?
Die akkreditierte Stelle kann mit diesem Siegel das Akkreditierungssymbol digital und maschinenlesbar auf ihre Bestätigung (engl. attestation) aufbringen und es damit schützen (= eAttestation).
Das elektronische Siegel liefert Dritten
- Informationen zur Identität der juristischen Person (Authentizität),
- die Gewissheit der Unversehrtheit der Daten (Integritätsschutz) und
- die Bestätigung der Gültigkeit der Akkreditierung für die spezifische Akkreditierungstätigkeit (bspw. Prüf- oder Kalibrierlaboratorium, Inspektions- oder Zertifizierungsstelle).
Für eine Überprüfung des digitalen Akkreditierungssymbols siehe Frage: Wie erfolgt die Signaturprüfung bei eAttestations als PDF durch Kundinnen und Kunden einer KBS?
Ebenso können Kundinnen und Kunden der KBS die digitale Konformitätsbestätigung medienbruchfrei in die eigene automatisierte Prozesskette integrieren. Das führt zu kostensenkenden Effizienzsteigerungen.
Was ist der Vorteil des digitalen Akkreditierungssymbols gegenüber einer marktüblichen qualifizierten Signatur?
Eine qualifizierte Signatur dient der Identitätsprüfung der ausstellenden natürlichen Person (Authentizität) sowie der Prüfung der Unversehrtheit der Daten (Integrität). Das digitale Akkreditierungssymbol ist lediglich auf die akkreditierte Stelle, nicht auf die natürliche Person ausgestellt. Es dient damit ebenso der Identitätsprüfung (der juristischen Person) und der Unversehrtheit der Daten, ermöglicht aber zusätzlich eine automatisierte und maschinenlesbare Prüfung der Gültigkeit der zugrundeliegenden Akkreditierung für die jeweils betroffene Konformitätsbewertungstätigkeit.
Das heißt, der Mehrwert besteht darin, dass zum Zeitpunkt der Siegelung mit gültigem Siegelzertifikat auch das digitale Akkreditierungssymbol und damit die Akkreditierung gültig war. Dies lässt sich technisch in Echtzeit automatisiert prüfen.
Wie verhält sich das digitale Akkreditierungssymbol zum bildhaften Akkreditierungssymbol?
Das digitale Akkreditierungssymbol eröffnet den akkreditierten Stellen einen weiteren, digitalen Kanal. Seine Verwendung geschieht freiwillig und kann auf Antrag zur Verwendung genehmigt werden. Die akkreditierte Stelle kann digitale Dateien mit einem digitalen Akkreditierungssymbol versehen. Das digitale Akkreditierungssymbol kann von den jeweiligen Kundinnen und Kunden einer KBS maschinell und automatisiert ausgelesen werden.
Das digitale Akkreditierungssymbol ist primär für Maschinen vorgesehen und ermöglicht die selbstständige Prüfung des Akkreditierungsstatus zum Zeitpunkt der Signaturanbringung auf einer eAttestation. Es ist weniger für die menschliche Prüfung gedacht.
Bei Nutzung des digitalen Akkreditierungssymbols auf digitalen Dokumenten, die nicht maschinenlesbar sein sollen (z. B. PDF statt XML), ist die Datei zusätzlich zum bildhaften „klassischen“ Akkreditierungssymbol mit dem digitalen Akkreditierungssymbol zu schützen.
Die grafische Darstellung des Akkreditierungssymbols und dessen Freigabe durch die DAkkS bleiben unverändert bestehen.
Was ist ein Vertrauensdiensteanbieter?
Ein Vertrauensdiensteanbieter ist – vereinfacht gesagt – ein Notar für das Internet. Durch diesen Vertrauensdiensteanbieter werden Identitäten von Personen, Unternehmen oder Objekten im Internet beglaubigt. Dafür werden digitale Zertifikate als Identitätsausweise in der Online-Welt eingesetzt.
Die DAkkS arbeitet mit dem Vertrauensdiensteanbieter D-Trust GmbH zusammen. Das Unternehmen ist eine hundertprozentige Tochter der Bundesdruckerei-Gruppe und ein innerhalb der EU anerkannter und qualifizierter Vertrauensdiensteanbieter. Die D-Trust GmbH handelt auf Basis der europäischen eIDAS VO (EU) Nr. 910/2014 sowie nach dem deutschen Vertrauensdienstegesetz (VDG).
Welche Kosten fallen für eine Konformitätsbewertungsstelle für die Verwendung des digitalen Akkreditierungssymbols an?
Je ausgestellter Gesamturkunde (Akkreditierungstätigkeit) fallen beim Vertrauensdiensteanbieter (D-Trust) jährliche Auslagen in Höhe von 469 EUR zzgl. MwSt. pro elektronischem Siegel für die Verwaltung der digitalen Identität der KBS und für die Verwendung des Siegelzertifikats an. Diese Kosten werden der akkreditierten Stelle bei der Gebührenabrechnung berechnet und als Auslage dargestellt. Eine Teilurkunde gehört zur Gesamturkunde und löst keine weiteren Kosten aus.
Zusätzlich entstehen Verwaltungskosten für die Antragsbearbeitung bei der DAkkS. Grundlage für die Berechnung dieser weiteren Gebühren ist die Gebührenverordnung der Akkreditierungsstelle (AkkStelleGebV).
Die Verwaltungskosten sind abhängig vom Einzelfall, insbesondere davon, ob der Antrag vollständig und korrekt eingereicht wurde, das Autorisierungsdokument im zweiten Antragsprozessschritt fehlerfrei vorliegt oder seitens der DAkkS zusätzliche Nachforderungen erforderlich sind. Die Aufwände der DAkkS sind im Standardfall jedoch überschaubar und liegen aktuell bei durchschnittlich 50 Euro pro Antrag.
2. Fragen zur Beantragung
Warum ist ein zusätzlicher Antrag für das digitale Akkreditierungssymbol notwendig? Wann darf der Antrag gestellt werden?
Ein Antrag für das digitale Akkreditierungssymbol ist notwendig, weil eine digitale Identität erstellt und die Akkreditierungsinformation durch die DAkkS gegenüber dem Vertrauensdiensteanbieter bestätigt werden muss.
Der Antrag kann als akkreditierte Stelle jederzeit gestellt werden. Voraussetzung zur Antragstellung ist eine gültige Akkreditierung.
Kann nur eine fachliche Ansprechperson pro KBS benannt werden?
Für das Autorisierungsdokument bitten wir um die Benennung einer fachlichen Ansprechperson, die allerdings nur als erste Kontaktaufnahme fungiert. Es können innerhalb einer KBS mehrere Personen für den Beantragungs- und Verwaltungsprozess des digitalen Akkreditierungssymbol zuständig sein.
Daher empfehlen wir als DAkkS, eine Postfachadresse im Autorisierungsdokument sowie als CSM-Zugangsmail (siehe Kapitel 5) zu hinterlegen.
Was ist, wenn sich die vertretungsberechtigten Personen oder die zuständigen Ansprechpersonen ändern? Muss das mitgeteilt werden und welche Auswirkungen hat das?
Die vertretungsberechtigten Personen haben lediglich in Schritt 2 des Beantragungsprozesses eine Relevanz. Eine Mitteilung der Änderung der vertretungsberechtigten Person ist nur dann notwendig, wenn Sie sich innerhalb des Beantragungsprozesses befinden. Sollten sich die vertretungsberechtigten Personen nachträglich ändern, ist keine Meldung notwendig. Daher hat dies keine Auswirkung auf die Nutzung des digitalen Akkreditierungssymbols.
Wenn sich die zuständigen Ansprechpersonen zum digitalen Akkreditierungssymbol ändern ist eine Mitteilung an die DAkkS immer notwendig. Hier reicht eine formlose Mail an Ihre DAkkS Ansprechperson mit Hinweis darauf, dass es sich bei der Änderung um die Ansprechperson für das digitale Akkreditierungssymbol handelt. In diesem Fall prüft die DAkkS, inwieweit Ihre KBS im CSM über eine Postfachadresse im CSM hinterlegt ist oder ob die neue Ansprechperson einen entsprechenden Zugang benötigt. Hierbei wird diese Prüfung per Gebührenverordnung der Akkreditierungsstelle (AkkStelleGebV) als Verwaltung des digitalen Akkreditierungssymbols auf ihre nächste Abrechnung der DAkkS hinzugerechnet. In solchen Fällen sind die Kosten im Standardfall jedoch überschaubar und liegen bei durchschnittlich unter 50 Euro pro Änderung.
Welche Unterlagen werden für die Beantragung benötigt?
Eine KBS benötigt zwei Dokumente:
- den Antrag auf Verwendung des digitalen Akkreditierungssymbols
Link zum Antrag - das Autorisierungsdokument
Das Autorisierungsdokument wird der KBS von der DAkkS postalisch zugesendet. Es wird benötigt, damit die DAkkS der KBS durch den Vertrauensdiensteanbieter D-Trust GmbH eine digitale Identität und damit ein elektronisches Siegel gewähren kann, das die spezifischen Akkreditierungsinformationen enthält. Das Autorisierungsdokument ist damit die Grundlage zum Erhalt des digitalen Akkreditierungssymbols.
Das Autorisierungsdokument muss von der zeichnungsberechtigten Person der juristischen Person der Konformitätsbewertungsstelle unterzeichnet werden und muss mit einem Firmenstempel (oder wahlweise mit dem Firmennamen in Druckbuchstaben) versehen sein. Die Korrektheit wird durch die DAkkS geprüft. Im Einzelfall kann ein Identifikationsverfahren der zeichnungsberechtigten Person notwendig werden.
Mehr Informationen bietet auch das „Merkblatt zur Beantragung des digitalen Akkreditierungssymbols“ (M-17011 Anhang 3)
Link zum Merkblatt
Wie läuft die Beantragung ab?
Eine ausführliche Beschreibung des Beantragungsprozesses ist unter folgendem Link zu finden:
Antragsverfahren digitales Akkreditierungssymbol Schritt für Schritt
Informationen zur Beantragung bietet zudem das „Merkblatt zur Beantragung des digitalen Akkreditierungssymbols“ (M-17011 Anhang 3)
Kann das Autorisierungsdokument mit einer qualifizierten elektronischen Signatur unterzeichnet werden?
Ja, das Autorisierungsdokument kann mit einer qualifizierten elektronischen Signatur (QES) der im Register hinterlegten vertretungsberechtigten bzw. zeichnungsberechtigten Person unterzeichnet werden.
Wichtig: Diese qualifizierte elektronische Signatur (QES) ersetzt nicht den zusätzlich notwendigen Firmenstempel.
Warum und wie muss ggf. die zeichnungsberechtigte Person der juristischen Person per Identifikationsverfahren identifiziert werden?
Die Identifizierung der vertretungsberechtigten bzw. zeichnungsberechtigten Personen in den jeweiligen Konformitätsbewertungsstellen obliegt der DAkkS. Im Regelfall wird die Identifizierung dieser Personen durch die Prüfung der vorhandenen Register (z. B. Handelsregister) vorgenommen.
Liegen keine Registereinträge oder Bestätigungen von Behörden vor, bestimmt die DAkkS die Identität der vertretungsberechtigten bzw. zeichnungsberechtigten Personen per Identifikationsverfahren.
Welche Art von E-Mail-Adresse muss im Autorisierungsdokument für den fachlichen Ansprechpartner angegeben werden?
Im Autorisierungsdokument kann eine Funktionspostfachadresse angegeben werden, an die die Registrierung für das Verwaltungsportal „Certificate Service Manager“ (CSM) versendet werden soll. Die DAkkS empfiehlt, dass es sich bei der im Autorisierungsdokument anzugebenden Adresse um ein Funktionspostfach und keine persönliche E-Mail-Adresse handelt.
Die akkreditierte Stelle muss sicherstellen, dass nur befugte Personen Zugriff zu diesem Funktionspostfach haben.
Wo finde ich die für die Unterzeichnung des Autorisierungsdokuments zustimmungspflichtigen Regeln der PKI?
Bei Unterzeichnung des Autorisierungsdokuments bedarf es der Zustimmung zu den Regeln der PKI. Hier sind die Regeln zu finden:
Certificate Policy (CP) der D-Trust GmbH
Trust Service Practice Statement (TSPS) der D-Trust GmbH
Certification Practice Statement (CPS) für CSM PKI der D-Trust GmbH
Trust Service Practice Statement (TSPS) der DAkkS (TSPS DAkkS)
Datenschutzerklärung D-Trust GmbH
Alle Dokumente der D-Trust sind in ihrer jeweils aktuellen Fassung hier zu finden:
3. Fragen zum elektronischen Siegel
Welche Ausstattung wird benötigt, um das elektronische Siegel zu nutzen?
Es gibt keine besonderen Anforderungen durch die DAkkS an die technische Ausstattung zur Nutzung eines elektronischen Siegels als digitales Akkreditierungssymbol.
Die KBS benötigt eine handelsübliche Software zur Anwendung von digitalen Signaturen. Der Funktionsbereich (Signierung nur auf PDF möglich oder auch auf maschinenlesbaren Formaten wie XML) unterscheidet sich bei den Softwareanbietern.
Beispiele von verwendeter Software aus der Pilotphase mit unterschiedlichem Funktionsbereich sind:
- DigiSeal
- SecSigner
- SignLive
- Adobe Acrobat
- Foxit
Welche Anforderungen gelten für die Nutzung des elektronischen Siegels?
Die DAkkS stellt keine zusätzlichen Anforderungen, die über die jeweilige Akkreditierungsnorm („Level-3-Norm“) hinausgehen.
Durch die Nutzung eines softwarebasierten elektronischen Siegels ist der Einsatz des Siegels hardwareunabhängig und das Siegel und sein Schlüsselmaterial kann in jeder von der KBS frei wählbaren, sicheren Umgebung – auf einem Server oder in einer Cloud – hinterlegt werden.
Die DAkkS empfiehlt die technisch sichere Einbettung in die IT-Umgebung der akkreditierten Stelle mit Zugriffskontrolle auf Schlüsselmaterial und PIN, damit ausschließlich befugte Mitarbeitende die Siegelung von Bestätigungen (Ergebnisberichten) vornehmen können.
Hinweis: Der Prozess der Siegelung kann vielfältig umgesetzt werden. Dies ist möglich über
- die Einbindung des Schlüsselmaterials in einen PDF-Reader, der die Signaturfunktion besitzt,
- ein eigenes zu schreibendes Skript (alleinstehend oder im Rahmen eines bestehenden Programms) oder
- eine marktübliche Siegel-/Signaturerstellungs- und -prüfeinheit (wie z. B. SecSigner, DigiSeal, SignLive, etc.).
Gibt es bei der Implementierung des elektronischen Siegels Unterstützung durch die DAkkS?
Die DAkkS unterstützt die KBS bei der Beantragung und Bereitstellung des elektronischen Siegels.
Folgende Themenbereiche liegen nicht im Verantwortungsbereich der DAkkS:
- Beantwortung von Fragen zur Softwareimplementierung bei der KBS oder dem Kunden der KBS für die Nutzung des DAkkS-Akkreditierungssymbols (Signatursoftware und Verifikationssoftware) oder der softwareseitigen Erstellung von maschinenlesbaren Ergebnisberichten (z. B. einen digitalen Kalibrierschein DCC)
- Die DAkkS leistet keine Unterstützung für die Einführung von Prozessen oder der Softwareentwicklung bzw. technische Implementierung in einer KBS (Beratungsverbot).
- Zudem unterstützt die DAkkS nicht bei Einführung von KBS-internen Prozessen, die eine Nutzung des Akkreditierungssymbols betreffen.
Wie wird mit dem elektronischen Siegel signiert?
Für die Signatur mit dem elektronischen Siegel benötigt die KBS das Schlüsselmaterial (p.12-Datei) und die PIN. Das Schlüsselmaterial wird per E-Mail an die im Certificate Service Manager (CSM) hinterlegte E-Mail-Adresse (hinterlegte Funktionspostfachadresse im Autorisierungsdokument) versendet. Die PIN wird auf die angegebene SMS-fähige Nummer versendet.
Das zum Schlüsselmaterial zugehörige Siegelzertifikat für das elektronische Siegel kann aus dem CSM heruntergeladen werden, sofern das Zertifikat noch manuell in der IT-Umgebung hinterlegt werden muss.
Worin unterscheidet sich das Schlüsselmaterial, wenn mehrere elektronische Siegel als digitales Akkreditierungssymbol für verschiedene Konformitätsbewertungsaktivitäten beantragt wurden?
Der Dateiname des Schlüsselmaterials (p.12-Datei) beginnt mit dem Namen der juristischen Person und enthält ebenfalls die dafür vorgesehene eindeutige Akkreditierungsnummer. Die Anzeige ist dabei abhängig vom E-Mail-Programm. Änderungen durch die DAkkS oder durch D-Trust sind nicht möglich.
Pro Schlüsselmaterial erhält die KBS eine E-Mail von D-Trust. Wichtig ist, die Differenzierung des E-Mail-Inhalts zu beachten. Das Schlüsselmaterial ist im E-Mail-Text eindeutig der jeweiligen Akkreditierungsaktivität und Akkreditierungsnummer zugewiesen.
Wie lange ist ein elektronisches Siegel technisch gültig?
Aus rechtlichen Gründen kann ein Siegel, das auf einem technischen Zertifikat mit Soft-Token beruht, nur für maximal zwei Jahre ausgestellt werden. Danach muss ein Folgezertifikat beantragt werden.
Die KBS wird automatisch vom CSM System der D-Trust GmbH 90 Tage sowie 14 Tage vor Ablauf des Siegelzertifikats über den Ablauf benachrichtigt. Die Benachrichtigung erfolgt über die angegebene Kontakt-E-Mail-Adresse (Funktionspostfach).
Ein Folgezertifikat kann frühestens 30 Tage vor Ablauf des Siegelzertifikats im Webportal beantragt werden.
Um die Vertrauenskette aufrechtzuerhalten, ist die zweijährliche Beantragung des Folgezertifikats notwendig. Dafür ist kein neuer Antrag auf Verwendung des digitalen Akkreditierungssymbols notwendig, sondern die Beantragung läuft allein im Rahmen des CSM-Systems.
Wie erhält man Informationen, wann das elektronische Siegelzertifikat abläuft?
Das CSM Portal (siehe Kapitel 5 der FAQ) sendet an die im CSM hinterlegte E-Mail-Adresse (Empfehlung der Nutzung einer Postfachadresse) 90 Tage sowie 14 Tage vor Ablauf des bisher gültigen Siegelzertifikats eine E-Mail zur Information über den Ablauf des Siegelzertifikats.
30 Tage vor Ablauf des Siegelzertifikats ist die Beantragung eines Folgezertifikats (siehe Antwort zur Frage Folgezertifikat) direkt im CSM möglich.
Was passiert (mit signierten (PDF-)Dokumenten), nachdem ein elektronisches Siegel abgelaufen ist? Welche Bedeutung hat ein Folgezertifikat?
Technisch läuft ein Siegelzertifikat der D-Trust nach zwei Jahren automatisch aus und es muss ein neues Siegelzertifikat über das CSM (siehe Kapitel 5) beantragt werden. Es benötigt hierfür keinen weiteren Antrag bei der DAkkS, die reine Beantragung im CSM reicht aus. Sie haben dabei die Möglichkeit ein neues Siegelzertifikat im CSM zu beziehen oder ein Folgezertifikat (30 Tage vor Ablauf des alten Siegelzertifikats) auszustellen.
Der Vorteil eines Folgezertifikats ist, dass bei einem Folgezertifikat alle Angaben im CSM aus dem bisherigen Siegelzertifikat übernommen werden und zusätzlich die Restlaufzeit ihres bisherigen Siegelzertifikats dem neuen Siegelzertifikat gutgeschrieben wird.
Bestimmte Siegel-/Signaturerstellungssoftware lässt es zu, dass mit einem abgelaufenen Siegelzertifikat Siegel/Signaturen erstellt werden. Diese werden allerdings dann beim Prüfen als ungültig angezeigt, da die Laufzeit des Siegelzertifikats abgelaufen ist. Folglich ist es notwendig, dass nicht mit dem abgelaufenen, sondern mit dem Folge- bzw. neuen Siegelzertifikat gesiegelt/signiert wird.
Alle vorherigen, mit einem zum Zeitpunkt der Unterzeichnung gültigen Siegelzertifikat signierten Dokumente, haben weiterhin Ihre Gültigkeit.
Inwieweit kann es zu Problemen kommen, wenn zusätzlich zum elektronischen Siegel qualifizierte Signaturen verwendet werden, die von einem anderen Vertrauensdiensteanbieter als der D-Trust stammen?
Die verschiedenen Signaturen und Siegel beeinträchtigen sich gegenseitig nicht.
Kann zusätzlich zum elektronischen Siegel eine digitale Signatur und/oder ein qualifizierter Zeitstempel auf der Bestätigung integriert werden?
Die Anbringung einer digitalen Signatur und/oder eines qualifizierten Zeitstempels zusätzlich zum elektronischen Siegel ist technisch möglich. Die Entscheidung zur Verwendung liegt im Ermessen einer akkreditierten Stelle.
Die Siegelung mit einer weiteren digitalen Signatur sollte in der Abfolge vor der Siegelung mit dem elektronischen Siegel als digitalem Akkreditierungssymbol erfolgen.
4. Fragen zum digitalen Akkreditierungssymbol
Handelt es sich beim digitalen Akkreditierungssymbol um eine qualifizierte elektronische Signatur?
Das digitale Akkreditierungssymbol ist in seiner Ausgestaltung gemäß der Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) ein fortgeschrittenes elektronisches Siegel mit qualifiziertem Siegelzertifikat.
Muss eine KBS das digitale Akkreditierungssymbol in Form eines elektronischen Siegels zwingend nutzen?
Die DAkkS stellt auf Antrag das digitale Akkreditierungssymbol als Werkzeug bereit, um den Integritätsschutz und Authentizitätsschutz auf digitalen Ergebnisberichten von KBS sicherzustellen. Grundsätzlich lässt sich der Integritätsschutz mit anderen technischen Lösungen umsetzen, jedoch ist dann der korrekte Verweis auf die Akkreditierung in maschinenlesbarer Form nicht realisierbar. Daher ist die Anwendung des digitalen Akkreditierungssymbols sinnvoll und wirtschaftlich.
Warum gibt es keinen direkten Hinweis auf das digitale Akkreditierungssymbol im Dokument?
Die DAkkS stellt keine Anforderungen in Bezug auf eine sichtbare oder unsichtbare Anbringung des digitalen Akkreditierungssymbols auf Bestätigungen akkreditierter Stellen. Es gilt hier primär die Anforderung des Kunden.
Das digitale Akkreditierungssymbol ist vor allem als technische Schutzfunktion und für die Maschinenlesbarkeit gedacht. Daher ist ein sichtbarer Hinweis auf das Symbol nicht nötig.
Wie wird das digitale Akkreditierungssymbol sichtbar, wenn es nicht im Dokument als Element angelegt ist?
Prüft ein Dritter eine eAttestation in einem beliebigen PDF-Reader, so wird das digitale Akkreditierungssymbol mit dem Hinweis zu enthaltenen Unterschriften „sichtbar“ und die eAttestation kann über den Reader verifiziert werden.
Hinweis: Browser unterstützen Signaturen und Siegel zumindest derzeit nicht.
Ein Vorteil für die KBS ihren Kundinnen und Kunden gegenüber ist, dass die KBS die Korrektheit ihrer Identität (Herausgeberschaft) und die Integrität des Dokuments (Unversehrtheit der Daten) nachweisen kann.
Warum wird das digitale Akkreditierungssymbol ausschließlich auf die juristische Person ausgestellt und nicht zusätzlich die Bezeichnung der KBS erwähnt?
Die juristische Person, die von der DAkkS akkreditiert ist, umfasst immer die Konformitätsbewertungsstelle. Eine juristische Person als Konformitätsbewertungsstelle kann mehrere Akkreditierungsverfahren führen. Eine juristische Person als Konformitätsbewertungsstelle kann zudem über mehrere Standorte verfügen.
Das digitale Akkreditierungssymbol identifiziert die juristische Person. Die Differenzierung der Aktivitäten im Sinne der Akkreditierungsverfahren oder sonstige fachliche Bezeichnungen (z. B. Institut für …) werden nicht gesondert genannt. Sie ergibt sich aus der jeweils hinterlegten Registriernummer des beantragten digitalen Akkreditierungssymbols, die auf die Gesamturkunde verweist. Auch eine Differenzierung nach Standorten im digitalen Akkreditierungssymbol erfolgt nicht.
Wie kann im Signaturprozess eine sichtbare Differenzierung von juristischen Personen mit mehreren Akkreditierungsverfahren vorgenommen werden?
Die akkreditierte juristische Person selbst kann über ihre Signaturerstellungssoftware beispielsweise mittels einer Angabe zu „Grund der Signatur“ zusätzlich den Namen der Einheit, die die Konformitätsbewertungstätigkeit (KBS) durchführt, und eine gegebenenfalls abweichende Ortsbezeichnung angeben, z. B.:
- Juristische Person = Muster GmbH
- Einheit = KBS = z. B. Institut für Mikrobiologie
- ggf. Adresse ebenfalls hinzufügen: Musterstraße 1, 10500 Musterhausen
Wann und wie kann das digitale Akkreditierungssymbol verwendet werden? Was ist der Umfang der Nutzung des digitalen Akkreditierungssymbols?
Das digitale Akkreditierungssymbol kann von jeder akkreditierten Konformitätsbewertungsstelle verwendet werden, die ein solches Symbol erfolgreich beantragt hat.
Der Einsatz des digitalen Akkreditierungssymbols ist beschränkt auf die Herausgabe von Bestätigungen gemäß ISO/IEC 17000:2020, 7.3 (sogenannte „attestations“). Dazu gehören etwa Prüfberichte, Kalibrierscheine, Inspektionsberichte oder diverse Zertifikate für Produkte, Managementsysteme oder Personen.
Das Dateiformat dieser Bestätigungen ist für die Nutzung des digitalen Akkreditierungsformats unerheblich. Alle bekannten Dateiformate werden unterstützt, etwa PDF und maschinenlesbare XML-Dateien, z. B. die Anwendung von digitalen Kalibrierscheinen (DCC).
Die DAkkS stellt keine Anforderungen dazu, wie die digitale Signatur (das digitale Akkreditierungssymbol) mit der Konformitätsaussage (attestation) verknüpft wird. Technisch sind sowohl eine sogenannte „embedded“ Signatur sowie eine „detached“ Signatur möglich. Es empfiehlt sich die „embedded“ Signaturoption zu wählen.
Was erhält man von der DAkkS als digitales Akkreditierungssymbol?
Das digitale Akkreditierungssymbol entspricht dem elektronischen Siegel in der technischen Ausstattung. Das heißt, man erhält nach Freigabe der DAkkS im CSM von der D-Trust (innerhalb von 30 Minuten nach Freigabe durch die DAkkS) das Siegelzertifikat (.p12-Datei) per E-Mail und die PIN für das Siegelzertifikat per angegebener Mobilfunknummer als SMS.
Ersetzt das digitale Akkreditierungssymbol andere digitale Unterschriften auf Konformitätsaussagen?
Das digitale Akkreditierungssymbol erfüllt als fortgeschrittene elektronische Signatur mit qualifiziertem Siegelzertifikat sowohl den Integritätsschutz (Unversehrtheit der Daten) als auch Authentizitätsschutz (Herkunft), wie ihn auch andere digitale Unterschriften erfüllen.
Auch bei Nutzung des digitalen Akkreditierungssymbols bleiben die normativen Anforderungen in Bezug auf die Inhalte der jeweiligen Bestätigung (attestation) bestehen.
Wann soll das digitale Akkreditierungssymbol im Prozess der Erstellung einer Konformitätsaussage angebracht werden?
Das digitale Akkreditierungssymbol sollte in den Prozess der finalen Prüfung und der anschließenden Herausgabe einer Konformitätsaussage prozessual eingebettet werden.
Wie erfahren meine Kundinnen und Kunden vom digitalen Akkreditierungssymbol und den damit verbundenen Vorteilen?
Die DAkkS bemüht sich über allgemeine Informationsangebote sowie über Vorträge bei Konferenzen auf das digitale Akkreditierungssymbol aufmerksam zu machen. Die DAkkS stellt auf ihrer Homepage sowie auf YouTube Erklärvideos und Informationen bereit, die Ihnen nutzen können.
Dennoch sind wir bei der Informationsverbreitung auf Sie – also auf die Konformitätsbewertungsstellen – angewiesen. Wenn Sie das digitale Akkreditierungssymbol nutzen, dann informieren Sie Ihre Kundinnen und Kunden bitte darüber.
Wenn mehrere Signaturen verwendet werden, zu welchem Zeitpunkt darf das digitale Akkreditierungssymbol angebracht werden?
Das digitale Akkreditierungssymbol wird nach Anbringung aller vorherigen Signaturen zur finalen Signatur des Dokuments verwendet.
Was passiert mit dem digitalen Akkreditierungssymbol, wenn das Siegelzertifikat abgelaufen ist?
Der Ablauf des Siegelzertifikats hat keine Auswirkungen auf die Gültigkeit der Signatur bereits existenter und herausgegebener Dokumente (eAttestations; siehe Kapitel 9 der DAkkS_TSPS). Das bedeutet, dass zum Zeitpunkt der Siegelung mit gültigem Siegelzertifikat auch das digitale Akkreditierungssymbol (und damit die Akkreditierung) gültig war.
Wie funktioniert die Nutzung des digitalen Akkreditierungssymbols (dAS) durch mehrere prüfzeichnungsberechtigte Personen in einer akkreditierten Stelle?
Grundsätzlich können Sie selbst festlegen, welche Personen mit einem digitalen Akkreditierungssymbol Konformitätsaussagen unterzeichnen dürfen. Es gibt keine Anforderungen der DAkkS an eine bestimmte Personenanzahl, die Zugriff auf das digitale Akkreditierungssymbol haben dürfen. Dies muss in der KBS selbst festgelegt und geregelt werden. Alle definierten Personen erhalten denselben Zugriff. Es gibt nur ein Siegelzertifikat und PIN (das digitale Akkreditierungssymbol).
Bei der Beantragung des digitalen Akkreditierungssymbols (dAS) erhält die im Antrag angegebene fachliche Ansprechperson einmalig das notwendige Schlüsselmaterial (.p12-Datei) per E-Mail (Empfehlung: Hinterlegung einer Postfachadresse) sowie die zugehörige PIN per SMS. Es wird also genau ein Siegel auf ihre akkreditierte Stelle ausgestellt, und nicht auf eine oder mehrere Personen.
Die interne Verteilung und technische Umsetzung liegt im Verantwortungsbereich der akkreditierten Stelle. Dabei gibt es verschiedene Möglichkeiten, wie die Nutzung geregelt werden kann, z. B.:
- manuelle Verwendung derselben PIN und .p12-Datei durch autorisierte Personen,
- Softwareintegration mit rollenbasiertem Zugriff (z.B. über Einbettung in LIMS System),
- zentrale Signaturdienste, bei denen die eigentliche Siegelung serverseitig erfolgt, ohne dass Einzelpersonen direkten Zugriff auf PIN oder Zertifikat erhalten.
Die konkrete technische Umsetzung hängt von der verfügbaren IT-Infrastruktur, internen Sicherheitsvorgaben und Risikoabwägungen ab. Die DAkkS leistet keine direkte Beratung oder technische Unterstützung bei der Implementierung in Konformitätsbewertungsstellen.
Kann das digitale Akkreditierungssymbol auch im Rahmen eines automatisierten Prozesses zur Dokumentenerstellung und deren Versand verwendet werden oder muss jeweils manuell gesiegelt werden?
Nach erfolgreicher Beantragung des digitalen Akkreditierungssymbols (dAS) kann dieses auch im Rahmen automatisierter Prozesse in den Dokumentenversand eingebunden werden. Voraussetzung ist, dass durch die akkreditierte Stelle sichergestellt wird, dass das elektronische Siegel ausschließlich auf normkonforme Konformitätsaussagen (z.B. Prüfberichte, Befundberichte, Kalibrierscheine oder Zertifikate) angebracht wird, die im Geltungsbereich der gültigen Akkreditierung liegen und für die das digitale Akkreditierungssymbol beantragt wurde.
Es bestehen seitens der DAkkS keine Vorgaben, ob das digitale Akkreditierungssymbol manuell oder automatisiert durch die KBS angebracht wird. Die konkrete technische Umsetzung erfolgt eigenverantwortlich durch die akkreditierte Stelle.
Die DAkkS leistet keine direkte Beratung oder technische Unterstützung bei der Implementierung in Konformitätsbewertungsstellen.
Wie bringe ich das digitale Akkreditierungssymbol automatisiert auf Dokumente auf?
Das hängt ganz von den internen Prozessen einer KBS ab. Wenn Ihre KBS zur Erstellung ihrer Dokumente einen bestimmten Dienst nutzt, wenden Sie sich bitte an den entsprechenden IT-Dienstleister.
Folgendes Vorgehen können Sie gegenüber dem IT-Dienstleister angeben:
- Die D-Trust GmbH stellt den Konformitätsbewertungsstellen eine .p12-Datei per Email und ein Passwort per SMS zur Verfügung.
- Die .p12-Datei enthält das von der D-Trust an die KBS ausgestellte Zertifikat (welches das digitale Akkreditierungssymbol enthält) und den zugehörigen privaten Schlüssel.
- Die Datei ist mit dem per SMS übersendeten Passwort verschlüsselt.
- Zur Erzeugung einer digitalen Signatur werden lediglich die .p12-Datei und das Passwort benötigt.
Auf Anfrage an d-AS@dakks.de können wir Ihnen bzw. Ihrem IT-Dienstleister ein Minimalbeispiel in der Skriptsprache Python zum Anbringen einer “unsichtbaren” digitalen Signatur auf einem PDF-Dokument übermitteln.
Die .p12-Datei lässt sich einfach z.B. über openssl in andere Formate konvertieren, bzw. privater Schlüssel und Zertifikat extrahieren, je nachdem, was für die Integration in bestehende Systeme benötigt wird.
Ist die Eingabe des PINs für die Siegelung eines Dokuments mit dem digitalen Akkreditierungssymbols jedes Mal neu zu tätigen?
Dies hängt ganz von den Einstellungen und dem Anwendungskontext der Konformitätsbewertungsstelle ab. Bei einer automatisierten Verwendung (z.B. Einbettung in bestehende Software / Workflowprozesse in LIMS) muss der PIN für das elektronische Siegelzertifikat nicht bei jedem Vorgang eingegeben werden. Bei einer manuellen Siegelung sind mit einer Siegel-Signatursoftware „Stapelsignaturen“ möglich. Ansonsten kann je nach verwendeter Software bei manueller Anbringung jedes Mal die PIN-Eingabe notwendig werden.
Ist es möglich, ein mit dem digitalen Akkreditierungssymbol versehenes Beispieldokument (eAttestation) zu erhalten?
Ja, dieses können Sie unter folgendem Link bei der Bundesanstalt für Materialforschung und -prüfung (BAM), unserem Partner in der QI-Digital Initiative, abrufen. Es handelt sich hierbei um eine für diese Ansichtszwecke explizit ausgestellte exemplarische Konformitätsaussage, unter Freigabe des DKD, als eAttestation.
Es ist hier abrufbar: https://netzwerke.bam.de/Netzwerke/Content/ DE/Standardartikel/Netzwerke/QI-Digital/dcc.html
Das Beispiel der BAM enthält auch eine Anleitung für die Anwendung der eAttestation mit maschinenlesbarem Zertifikat (hier: DCC) sowie mit PDF.
Darf das digitale Akkreditierungssymbols weiterhin verwendet werden, wenn die juristische Person sich ändert (z.B. durch Änderung im Handelsregister)?
Wenn Angaben im Handelsregister sich ändern, weil es eine Änderung der juristischen Person der Konformitätsbewertungsstelle gibt, dann muss das bisherige digitale Akkreditierungssymbol gesperrt werden.
Danach muss für die neue juristische Person ein digitales Akkreditierungssymbol gemäß Beantragungsprozess neu beantragt werden. Dies ist notwendig, da das elektronische Siegel die digitale Identität der juristischen Person einer KBS darstellt und daher diese Anpassung vollzogen werden muss.
Darf das digitale Akkreditierungssymbol auf der eigenen Homepage verwendet werden?
Das digitale Akkreditierungssymbol ist ausschließlich auf die Verwendung in digitalen Konformitätsaussagen (z.B. Prüfberichte, Kalibrierscheine oder Zertifikate) beschränkt. Eine Anwendung auf der Homepage wird nicht gestattet.
Kann das Symbol auch auf verkürzten Konformitätsaussagen (insbesondere auf verkürzten Prüfberichten, wie bspw. Tabellen) verwendet werden, die nicht alle Normpunkte erfüllen?
Das digitale Akkreditierungssymbol darf nur auf normkonformen Konformitätsaussagen (attestations) angebracht werden. Dies schließt die Nutzung des Symbols auf vereinfachten, normkonformen Ergebnisberichten mit ein.
Ein Kunde der KBS möchte das digitale Akkreditierungssymbol prüfen, meldet jedoch zurück, dass die Unterschrift Probleme aufzeigt oder einer Validierung bedarf. Welche Lösung gibt es?
Probleme bei der Prüfung des elektronischen Siegels als digitales Akkreditierungssymbol liegen i. d. R. an einer Fehlkonfiguration der Software (z. B. PDF-Reader oder Signaturprüfeinheit), die auf dem PC des Nutzers verwendet wird.
Mögliche Lösungsansätze bei einem signierten Dokument sind:
Bei PDF-Dateien:
- Möglicherweise ist eine Aktualisierung der European Union Trusted List (EUTL) des vom Kunden genutzten PDF-Readers (unter Einstellungen) erforderlich. Ein PDF kann alternativ auch über eine Siegelsignaturerstellung und -prüfeinheit verifiziert werden.
- Es kann erforderlich sein, das Zertifikat gemäß DAkkS TSPS, Kapitel 6 einmalig als vertrauenswürdig einzustufen. Danach sollte die Prüfung reibungsfrei verlaufen.
- Wichtig: Die Überprüfung des elektronischen Siegels über einen Browser ist nicht möglich, da die für eine Prüfung notwendigen Prüfschritte von Browsern nicht unterstützt werden.
Mögliche Lösungsansätze bei einem signierten DCC:
- Ist ein Update der Siegelsignaturerstellungs- und -prüfeinheit notwendig? Auch hier muss ggf. die EUTL aktualisiert werden. Wird die Gültigkeit des Siegels mit der von der KBS verwendeten Software korrekt angezeigt? Ist dies der Fall, empfiehlt es sich, dass sich der Kunde der KBS an seinen Support der Siegelsignaturerstellungs- und -prüfeinheit wendet. Gegebenenfalls muss auch hier das Zertifikat gemäß DAkkS TSPS, Kapitel 6 einmalig manuell als vertrauenswürdig eingestuft werden.
5. Fragen zum D-Trust-Portal „Certificate Service Manager“ (CSM)
Welcher Browser kann für das CSM Portal verwendet werden?
Es kann jeder aktuelle, marktübliche Browser verwendet werden. Der DAkkS sind keine Einschränkungen bekannt.
Was ist zu tun, wenn die E-Mail zur Registrierungsbestätigung im CSM nicht ankommt?
Prüfen Sie zunächst, ob die E-Mail der D-Trust (Absender: csm.noReply@d-Trust.net) in der IT-Quarantäne oder im Spam-Ordner gelandet ist.
Sollten die E-Mails dort nicht auffindbar sein, wenden Sie sich an Ihre DAkkS-Ansprechperson zum Verfahren. Melden Sie der DAkkS-Ansprechperson Ihre gewünschte E-Mail-Adresse. Die DAkkS prüft intern im System, ob die korrekte E-Mail-Adresse zur Registrierung hinterlegt wurde.
Was bedeutet „Fehler 403 – Sie haben keine Berechtigung für die Aktion“ beim CSM?
Wird der Fehlercode 403 im Browserfenster für das CSM-Portal angezeigt, ist es zu einem Server-Timeout aufgrund von Inaktivität gekommen.
Analog zu Vorgängen im Onlinebanking loggt Sie das System aus Sicherheitsgründen automatisch nach fünf Minuten Inaktivität aus. Alle Vorgänge müssen danach von vorn begonnen werden.
Welche Adresse ist bei der Antragstellerregistrierung zu hinterlegen?
Die Adresse dient lediglich zur möglichen Kontaktaufnahme der hinterlegten Person und wird nicht im elektronischen Siegel veröffentlicht. Es kann an dieser Stelle daher die Adresse der KBS angegeben werden, sofern diese Adresse von der juristischen Person abweicht.
Ist die Nutzung desselben Sperrpassworts für mehrere elektronische Siegel möglich?
Die Vergabe eines Sperrpassworts liegt im Verantwortungsbereich der KBS. Die Verwendung desselben Sperrpassworts für mehrere elektronische Siegel ist technisch möglich, jedoch aus Sicherheitsgründen nicht zu empfehlen.
Wie ist das Vorgehen bei Verlust der PIN oder des Schlüsselmaterials?
Bei Verlust von PIN und/oder Schlüsselmaterial besteht die Möglichkeit, sich ein Ersatzzertifikat ausstellen zu lassen. Die Laufzeit des Ersatzzertifikates wird an die bisherige Laufzeit des Zertifikates angepasst.
Ein Beispiel: Sie haben Ihr Zertifikat vier Monate verwendet, bevor es zum Verlust Ihrer PIN kam. Damit ist das Ersatzzertifikat noch ein Jahr und acht Monate gültig (Restlaufzeit der insgesamt Zweijahreslaufzeit). Kosten für die Ausstellung des Ersatzzertifikates durch die D-Trust entstehen dabei nicht.
Stellen Sie in diesem Fall sicher, dass das elektronische Siegel durch den Verlust von PIN und/oder Schlüsselmaterial nicht korrumpiert wurde. Haben Sie den Verdacht, dass Unbefugte an PIN und/oder Schlüsselmaterial herangekommen sind, sperren Sie bitte Ihr elektronisches Siegel und beantragen Sie ein neues elektronisches Siegel innerhalb des CSM.
Der Sperrprozess kann zudem über die DAkkS ausgelöst werden. In diesem Fall wenden Sie sich bitte an Ihre DAkkS-Ansprechperson zum Verfahren.
Hinweis: Haben Sie die PIN bei Erstausstellung nicht über die hinterlegte SMS-fähige Nummer erhalten oder gab es Probleme bei der Zustellung des Schlüsselmaterials, ist es innerhalb der ersten 30 Tage nach Erstausstellung des Siegelzertifikats möglich, dass Sie Ihr Siegelzertifikat ohne zusätzliche Kosten von Seiten der D-Trust GmbH sperren lassen und innerhalb des CSM ein neues beantragen.
Die Siegelzertifikatsdatei für das elektronische Siegel (.cer-Datei) lässt sich nicht aus dem E-Mail-Postfach heraus öffnen. Welche Möglichkeiten gibt es noch?
Sie können das Siegelzertifikat unter „Zertifikate“ im CSM herunterladen.
Alternativ können Sie folgendes Vorgehen versuchen:
- Wenn Ihr E-Mail-Programm die .cer-Datei bei der Öffnung blockiert, wandeln Sie diese beim Abspeichern zunächst in eine (.txt) Datei um.
- Nach Speicherung auf einem lokalen Speicher können Sie die Datei mit der Dateiendung .cer versehen.
Für den Siegelungsprozess sind das Schlüsselmaterial (p12-Datei) aus der E-Mail und die Eingabe der PIN erforderlich.
Die Datei mit dem Schlüsselmaterial (p.12-Datei) lässt sich nicht aus dem E-Mail-Postfach heraus abspeichern. Welche Möglichkeiten gibt es?
Ein Download im CSM des Schlüsselmaterials ist nicht möglich, da aus Sicherheitsgründen das Schlüsselmaterial mit der p.12-Datei ausschließlich per E-Mail zugesendet wird und es eine Trennung der Kanäle für die Übermittlung der relevanten Dateien geben muss.
Zwei mögliche Lösungswege können in diesem Fall funktionieren:
Option 1:
Versuchen Sie zunächst, das Zertifikat (.cer-Datei) aus dem CSM herunterzuladen und in Ihrem Zertifikatsspeicher als vertrauenswürdig zu hinterlegen. Danach erkennt Ihr E-Mail-Postfach ggf. den Schlüssel und die p12-Datei lässt sich problemlos aus der E-Mail heraus abspeichern und verwenden.
Option 2:
Versuchen Sie, einen Workaround zum Abspeichern aus dem E-Mail-Postfach (hier exemplarisch: Outlook) zu nutzen. Dieser lautet wie folgt:
- Datei als .txt abspeichern
- am Speicherort Datei umbenennen in .p12
- Datei einbetten und verwenden
Hinweis:
Es bestehen mehrere Lösungswege. Weder die DAkkS noch D-Trust haben Einfluss auf die E-Mail-Konfigurationen der E-Mail-Anbieter, weshalb die möglichen Lösungswege je nach verwendetem E-Mail-Anbieter variieren können.
Was ist zu tun, wenn die E-Mail mit dem Schlüsselmaterial von der D-Trust nicht ankommt?
Ihre Möglichkeiten:
- Prüfen Sie bitte zunächst, ob die E-Mail der D-Trust (Absender: csm.noReply@d-Trust.net) in der IT-Quarantäne oder im Spam-Ordner gelandet ist.
- Gehen Sie im CSM im Reiter Zertifikatsverwaltung auf Zertifikate und prüfen Sie, ob dort ein Siegelzertifikat als „gültig“ hinterlegt ist.
- Melden Sie ggf. Ihr Problem bei der DAkkS über die jeweilige DAkkS-Ansprechperson zum Verfahren.
Hinweis: Nach Freigabe durch die DAkkS werden Ihnen innerhalb von 30 Minuten das Schlüsselmaterial und die PIN automatisiert zugesendet. - Prüfen Sie, ob die Ausstellung eines Ersatzzertifikats im CSM möglich ist oder führen Sie ggf. eine Sperrung des Siegelzertifikats im CSM aus. Stellen Sie nach der Sperrung im CSM einen neuen Siegelzertifikatsantrag.
Hinweis:
Innerhalb der ersten 30 Tage nach Erstausstellung des elektronischen Siegels ist die Sperrung von elektronischen Siegeln und Neuausgabe vonseiten der D-Trust kostenfrei.
Ist es möglich, für den Erhalt der PIN eine private Mobilfunknummer statt einer Firmen-Mobilfunknummer zu hinterlegen?
Die Wahl der Mobilfunknummer obliegt dem Verantwortungsbereich der KBS und muss im Rahmen der gültigen Betriebsregelungen umgesetzt werden. Die DAkkS empfiehlt die Nutzung von firmeneigenen Geräten für den Erhalt der PIN.
Ist die Angabe einer Mobilfunknummer zwingend notwendig? Ist der Versand der PIN an mehrere Mobilfunknummern möglich?
Bei der Beantragung des Siegelzertifikats im CSM (siehe Schritt 5 im Beantragungsprozess) müssen Sie eine Mobilfunknummer angeben, um den PIN (also das Passwort) für Ihr Siegelzertifikat per SMS empfangen zu können.
Eine andere Art der Übermittlung des PINs ist von Seiten der D-Trust GmbH als Vertrauensdiensteanbieter nicht möglich.
Das Hinzufügen von weiteren Mobilfunknummern im CSM ist aktuell nicht möglich. Sie können prüfen, ob eine automatische Weiterleitung für Sie infrage kommt.
Was ist zu tun, wenn die SMS mit der PIN nicht ankommt?
Bitte prüfen Sie, ob Sie innerhalb des CSM die korrekte Mobilfunknummer im Zertifikatsantrag für das elektronische Siegel eingegeben haben. Sind die Eingaben korrekt, beantragen Sie ein Ersatzzertifikat oder sperren Sie das elektronische Siegel und beantragen Sie ein neues.
Hinweis:
Innerhalb der ersten 30 Tage nach Erstausstellung des elektronischen Siegels ist die Sperrung von elektronischen Siegeln und Neuausgabe kostenfrei.
Wie kann ich ein Folgezertifikat beantragen?
Ein Folgezertifikat lässt sich erst 30 Tage vor Ablauf des bisher gültigen Siegelzertifikats erstellen. Dazu erhalten Sie aus dem CSM-Portal per Mail eine Nachricht (90 Tage vor Ablauf sowie 14 Tage vor Ablauf des aktuellen Siegelzertifikats).
Zum Vorgehen im CSM: Loggen Sie sich in das CSM Portal ein und gehen Sie über den Bereich „Zertifikatsverwaltung“ auf „Zertifikate“. Suchen Sie über die Suchmaske nach Ihrem aktuell noch gültigen Siegelzertifikat. Klicken Sie auf das Siegelzertifikat (Feld mit „blauer“ Schrift) und scrollen Sie bis zum Ende der Informationen. Dort findet sich ein Button „Folgezertifikat beantragen“. Klicken Sie darauf und folgen Sie den Anweisungen im CSM.
6. Fragen zur Aussetzung der Akkreditierung / Sperrung des elektronischen Siegels
Wann wird das elektronische Siegel als digitales Akkreditierungssymbol gesperrt?
Es gibt diverse Gründe für die Sperrung des elektronischen Siegels als digitales Akkreditierungssymbol.
Als KBS haben Sie selbst die Möglichkeit, das digitale Akkreditierungssymbol per Sperrpasswort zu sperren, wenn
- der Verdacht besteht, dass es unbefugten Zugriff auf PIN und/oder Schlüsselmaterial gab,
- der Verdacht besteht, dass die Vertrauenskette unterbrochen ist oder
- die Akkreditierung zurückgegeben wurde.
Die DAkkS hat die Möglichkeit, das digitale Akkreditierungssymbol zu sperren, wenn
- die Akkreditierung für die Tätigkeit der KBS per bestandskräftigem Bescheid entzogen wurde (und eine Sperrung erst dann erfolgt, wenn der Eintrag für den Kunden bzgl. der negativen Entscheidung in der Datenbank der akkreditierten Stellen hinterlegt wurde),
- der Verdacht besteht, dass das digitale Akkreditierungssymbol durch eine KBS missbräuchlich verwendet wird,
- die KBS die DAkkS zur Sperrung auffordert oder
- der Vertrauensdiensteanbieter die DAkkS zu einer Sperrung auffordert.
Der Vertrauensdiensteanbieter hat die Möglichkeit, das digitale Akkreditierungssymbol zu sperren, wenn
- der Verdacht besteht, dass die Vertrauenskette unterbrochen ist,
- der Verdacht besteht, dass der Verschlüsselungsalgorithmus unsicher geworden ist oder
- die geltenden Richtlinien zur Teilnahme an der Public-Key-Infrastruktur (PKI) nicht eingehalten wurden.
Was passiert, bei Sperrung des elektronischen Siegels als digitales Akkreditierungssymbol?
Sie werden benachrichtigt, wenn Ihr digitales Akkreditierungssymbol gesperrt wurde.
Wenn das elektronische Siegel im CSM gesperrt wurde, ist es nicht mehr nutzbar. Manche Signatur- bzw. Siegelerstellungseinheiten werden Ihnen die Siegelung mit einem gesperrten Siegel verweigern. Andere Softwareanwendungen ermöglichen die Siegelung weiterhin, jedoch wird die Prüfung des Siegels als „ungültig“ angezeigt, da das Siegel gesperrt wurde.
Alle vor der Sperrung signierten Dokumente behalten weiterhin ihre Gültigkeit bei der Verifikation. Lediglich der Hinweis auf Sperrung des Siegels wird bei der Prüfung angezeigt.
Was passiert, wenn die Akkreditierung eingeschränkt wird?
Die Einschränkung hat keine Auswirkung auf das digitale Akkreditierungssymbol. Es identifiziert die juristische Person der KBS und diese ist weiterhin für die angegebene Tätigkeit akkreditiert. Der tatsächliche Umfang des Geltungsbereichs der Akkreditierung ergibt sich aus der Datenbank der akkreditierten Stellen und nicht aus dem digitalen Akkreditierungssymbol.
Gibt es Risiken für die Begutachtung, wenn das digitale Akkreditierungssymbol eingeführt wird?
Für die Nutzung des digitalen Akkreditierungssymbols und der Herausgabe von eAttestation (einschließlich DCC) besteht eine Nichtbeanstandungsfrist bis Ende 2025.
Das heißt: Nichtkonformitäten ohne unmittelbare Auswirkung auf die Richtigkeit der Konformitätsaussage, die aus der Ersteinführung und Nutzung dieser Technologien bei einer KBS entstehen könnten (insbesondere Prozess oder Dokumentationsmängel), können in einer DAkkS-Begutachtung festgestellt werden. Sie dürfen aber nicht zu einer kritischen Bewertung führen, um eine geschützte Einführung und Experimentierphase für die KBS zu ermöglichen und das Ziel der digitalen Transformation in der Qualitätsinfrastruktur zu unterstützen.
7. Fragen zur eAttestation (mit digitalem Akkreditierungssymbol gesiegelter Konformitätsnachweis)
Kann eine eAttestation eine im Original unterschriebene, gedruckte Version einer Konformitätsaussage (Befundbericht, Prüfbericht, Zertifikat, etc.) ersetzen?
Eine ausreichend gesicherte digitale Konformitätsaussage (PDF, XML, etc.), die als eAttestation ausgegeben wird, kann eine papierhafte Konformitätsaussage ersetzen.
Das digitale Akkreditierungssymbol gilt nicht für kombinierte ILAC/IAF Symbole. Es ist das rein digitale Pendant zum DAkkS Akkreditierungssymbol. Im Fall der kombinierten Symbole sind diese bildhaften kombinierten Symbole die „führenden“ Symbole. Das digitale Akkreditierungssymbol kann zusätzlich als Schutzfunktion auf diesen Konformitätsaussagen angewendet werden.
Wie erfolgt die Signaturprüfung bei eAttestations als PDF durch Kundinnen und Kunden einer KBS?
Bei PDFs kann die Validierung durch Öffnen des PDFs mittels eines gängigen PDF Reader erfolgen. Wenn das in der digitalen Signatur verwendete Siegelzertifikat zum Zeitpunkt der Unterzeichnung gültig ist, dann ist auch die Akkreditierung zu diesem Zeitpunkt gültig.
Das heißt, eine erste „Sichtprüfung“ bietet die Anzeige, ob eine Signatur gültig ist, bereits beim Öffnen einer PDF automatisch. Diese ist für die allermeisten Fälle ausreichend, da ein Dritter unmittelbar nach Versand ihrer eAttestation bei Öffnen des Dokuments eine gültige Signatur mit gültigem Siegelzertifikat einsehen kann. Damit ist auch der Akkreditierungsstatus zum Zeitpunkt der Herausgabe der eAttestation gültig.
Soll eine vertiefte Prüfung mit genauem Gegencheck der DAkkS-Akkreditierungsnummer über das digitale Akkreditierungssymbol erfolgen, so ist, wie bei anderen digitalen Signaturen, der Blick in die Zertifikatsdetails notwendig.
Bei PDF-Dokumenten, die das digitale Akkreditierungssymbol und damit den Akkreditierungsstatus als „Signatur“ enthalten, bedeutet dies, dass man folgende Elemente prüfen muss:
- Die Gültigkeit des Siegelzertifikats (Zertifikat nicht abgelaufen, Root CA ist „D-Trust CA 5-22-2 2022“, Signatur korrekt „grüner Haken“),
- Ob im Siegelzertifikat die DAkkS-Akkreditierungsnummer (z.B. DAkkS00-DE-K0-22222-01-00) enthalten ist,
- Ob im Siegelzertifikat OID (3.6.1.4.1.59749.1) enthalten ist (wird unter „Zulassung“ angezeigt à „DAkkS accredited conformity assessment body“).
Das bedeutet, dass zum Zeitpunkt der Siegelung mit gültigem Siegelzertifikat auch das digitale Akkreditierungssymbol (und damit die Akkreditierung) gültig war.
Wie erfolgt die automatisierte Validierung einer maschinenverarbeitbaren eAttestation mit dem digitalen Akkreditierungssymbol auf der Empfängerseite, z. B. bei Kundinnen und Kunden einer akkreditierten Stelle?
Bei voll-automatisierten Prozessen, z.B. bei Versand von maschinenlesbaren Berichten wie DCCs, muss auch auf Kundenseite einmalig ein Validierungsskript in den Prozessablauf beim Kunden integriert werden. Hierzu beschreibt das DAkkS Trust Service Practice Statement (TSPS) in Kapitel 8 primär die Anforderungen an die Verifizierung der Signatur und des Siegelzertifikats.
Die im Siegelzertifikat enthaltene OID (1.3.6.1.4.1.59749.1) identifiziert das Siegel als digitales Akkreditierungssymbol. Zur Validierung durch Software muss geprüft werden:
- ob das Siegel gültig ist (z. B. Zertifikat nicht abgelaufen, Signatur korrekt),
- ob die OID des digitalen Akkreditierungssymbols enthalten ist,
- ob die Signatur auf das gesamte Dokument angewendet wurde.
Warum ist der Geltungsbereich der Akkreditierung nicht Teil der automatisierten Prüfung des digitalen Akkreditierungssymbols in einer eAttestation?
Das digitale Akkreditierungssymbol überträgt das bekannte Akkreditierungssymbol in die digitale Welt. Daher ist der Geltungsbereich nicht Bestandteil des digitalen Akkreditierungssymbols, siehe dazu auch DAkkS_TSPS Kapitel 10.2.
Das DAkkS Trust Service Practice Statement (TSPS) zum digitalen Akkreditierungssymbol ist auf der DAkkS Homepage einsehbar.
Woran erkennt eine Software, dass es sich bei einer eAttestation um das digitale Akkreditierungssymbol als elektronisches Siegel handelt und nicht um ein herkömmliches Unternehmenssiegel?
Eine solche Unterscheidung erkennt eine Software nicht, da diese im Normalfall die „standardisierten“ Inhalte prüft. Da das digitale Akkreditierungssymbol jedoch nur von der DAkkS ausgegeben wird, ist es einfach dies zu validieren (siehe dazu DAkkS_TSPS Kapitel 8). Bei gültigem Siegelzertifikat zum Zeitpunkt der Siegelung bedeutet das, dass die Akkreditierung zum selben Zeitpunkt gültig war.
Damit eine Software 1:1 das digitale Akkreditierungssymbol erkennt, ist es notwendig, dass die Prüfsoftware die im Siegelzertifikat hinterlegte Objektkennung (OID) auswerten.
Die spezifische OID für das digitale Akkreditierungssymbol lautet: 1.3.6.1.4.1.59749.1.
Diese Kennung ist in Kombination mit dem korrekten Wurzelzertifikat (root certificate) der D-Trust fälschungssicher und ermöglicht die automatisierte Differenzierung gegenüber anderen Siegeln.
Die Beschreibung zu den technischen Details zur automatisierten Überprüfung des digitalen Akkreditierungssymbols finden sich in Kapitel 8 des Trust Service Practice Statement (TSPS) der DAkkS: https://accreditationauthority.dakks.de/pki/dakks-tsps.pdf
Siehe dazu auch die Fragen:
Wie erfolgt die Signaturprüfung bei eAttestations als PDF durch Kundinnen und Kunden einer KBS?
Wie erfolgt die automatisierte Validierung einer maschinenverarbeitbaren eAttestation mit dem digitalen Akkreditierungssymbol auf der Empfängerseite, z. B. bei Kundinnen und Kunden einer akkreditierten Stelle?
Wie ist eine Manipulation der Ergebnisse in PDFs (z.B. Prüfbericht) für die KBS oder Kundinnen und Kunden erkennbar?
Eine Manipulation wird über die Anzeige der Signaturprüfung sichtbar. Nachträgliche Änderungen an einem gesiegelten Konformitätsnachweis, z.B. einem PDF-Dokument, sind dadurch erkennbar, dass die Signaturprüfung fehlschlägt oder mindestens anzeigt, dass Änderungen nach der Signatur vorgenommen wurden.
Hinweis: Je nach Software (z.B. Adobe Acrobat Reader) können bestimmte Änderungen, die nach der Siegelung vorgenommen werden, dennoch zu einer gültigen Signaturprüfung führen (z.B. Formulare). In diesen Fällen empfiehlt es sich, das Dokument nach der Siegelung „zu sperren“, um solche Änderungen nach der Siegelung zu vermeiden.
8. Fragen zu maschinenlesbaren Bestätigungen (DCC)
Welche Anforderungen gelten bei der DAkkS für die Umsetzung des digitalen Kalibrierscheins (DCC) oder andere maschinenlesbare Berichte?
Für den DCC gilt, dass das PTB-Schema den normativen Anforderungen der ISO/IEC 17025:2018 entspricht. Das heißt: Es gelten für einen DCC dieselben fachlichen Anforderungen wie für jeden anderen Kalibrierschein oder Rückführungsnachweis. Dies gilt auch für andere maschinenlesbare Berichte und die Einhaltung ihrer jeweiligen normativen Anforderungen. Die DAkkS stellte keine digitalisierungsbedingt spezifischen Anforderungen an die Inhalte.
Damit bei der Herausgabe von DCC oder anderen maschinenlesbaren Bestätigungen (attestations) durch eine KBS die normativen Anforderungen erfüllt sind, müssen diese digital herausgegebenen Bestätigungen ausreichend geschützt sein. Der notwendige Integritätsschutz wird durch das digitale DAkkS-Akkreditierungssymbol sichergestellt.
Gibt es ein Beispiel für eine maschinenlesbare Bestätigung, die als eAttestation ausgestellt wurde?
Es gibt verschiedene Formen und Varianten maschinenlesbarer Konformitätsaussagen. Grundsätzlich können solche Aussagen mit einer digitalen Signatur (in Form des digitalen Akkreditierungssymbols) versehen werden. Hierbei ist lediglich die Nutzung des korrekten Signaturstandards (z.B. für XML-basierte Dateien der XAdES-Standard) notwendig.
Im Rahmen unserer Pilotphase konnten wir mit der Bundesanstalt für Materialforschung und -prüfung (BAM), unserem Partner in der QI-Digital Initiative, ein Beispiel einer eAttestation in Form des digitalen Kalibrierscheins (DCC) erarbeiten. Es handelt sich hierbei um eine für diese Ansichtszwecke explizit ausgestellte eAttestation – auch unter Freigabe des DKD.
Das Beispiel der BAM enthält auch eine Anleitung für die Anwendung der eAttestation mit maschinenlesbarem Zertifikat (hier: DCC) sowie mit PDF. Es ist hier abrufbar: https://netzwerke.bam.de/Netzwerke/Content/DE/Standardartikel/Netzwerke/QI-Digital/dcc.html
Muss das digitale Akkreditierungssymbol für die Kalibrierscheine nach jeder Re-Akkreditierung neu beantragt werden, oder reicht die Erstanmeldung nach Aktenzeichen auch für zukünftige Akkreditierungen?
Das digitale Akkreditierungssymbol hat, sofern die Akkreditierung nach einer Re-Akkreditierung nicht vollständig ausgesetzt oder entzogen wird, weiterhin Gültigkeit. Eine erneute Beantragung ist nicht notwendig, solange Ihr Verfahren dieselbe Nummer aufweist, die mit dem digitalen Akkreditierungssymbol gekoppelt ist.
Gibt es Auswirkungen auf die Begutachtung bei maschinenlesbaren Berichten?
Die DAkkS hat grundsätzlich keine Einwände gegen die Nutzung von maschinenlesbaren Ergebnisberichten, etwa auf XML-Basis. Allerdings ist Grundvoraussetzung, dass standardisierte semantische Strukturen, die z. B. von Fachverbänden herausgegeben werden, verwendet werden und die DAkkS diese auf Konformität beurteilt hat. Die Entwicklung der dafür notwendigen Prozesse steht aus. Eine KBS muss solche Vorhaben bei der DAkkS anzeigen.
DAkkS-Support
Digitales Akkreditierungssymbol
Es gibt noch offene Fragen? Bitte wenden Sie sich ausschließlich per E-Mail an unser Support-Team.