28.03.2023
Root- und Intermediate-Zertifikate: Zur Übermittlung aufgrund der BSI TR-03145 Teil 5
In einem aktuellen Schreiben legt das Bundesfinanzministerium (BMF) die Vorgaben für die Übermittlung von Root- und Intermediate-Zertifikaten fest.
Das Bundesamt für Sicherheit in der Informationstechnik habe in Technischen Richtlinien die technischen Anforderungen an das Sicherheitsmodul, das Speichermedium und die einheitliche digitale Schnittstelle des elektronischen Aufzeichnungssystems festzulegen, führt das BMF aus. Dazu gehörten auch die Anforderungen an die Public Key Infrastruktur. Anforderungen an die Public Key Infrastruktur für zertifizierte technische Sicherheitseinrichtungen seien in der Technischen Richtlinie BSI TR-03145 Teil 5 niedergelegt.
Zu den Anforderungen gehöre unter anderem, dass Root- und Intermediate-Zertifikate beim BMF hinterlegt werden müssen. Nach der Vorgabe IR.Req.14 der BSI TR-03145 Teil 5 seien Root-Zertifikate grundsätzlich persönlich zu übergeben. Dies gelte auch für die erstmalige Übergabe von Intermediate-Zertifikaten. Die Übergabe habe am Dienstsitz des BMF in Berlin zu erfolgen. Bei der Übergabe müsse sich die Person durch ein Ausweisdokument ausweisen und durch eine Vollmacht die Befugnis zur Übergabe nachweisen. Sofern eine juristische Person oder Personengesellschaft übergabepflichtig sind, sei eine lückenlose Vollmachtskette von dem zur Vertretung berechtigten Organ erforderlich. Für die Übergabe sei eine Terminvereinbarung erforderlich. Der Termin sei per E-Mail über die E-Mail-Adresse IVA4@bmf.bund.de zu vereinbaren.
Sofern ein anderer Weg als die persönliche Übergabe gewählt werden soll, sei dieser zu beschreiben. Bei der Beschreibung solle dargestellt werden, dass das Sicherheitsniveau dem der persönlichen Übergabe entspricht. Die Beschreibung sei sowohl an das BMF als auch an das Bundesamt für Sicherheit in der Informationstechnik (BSI) per E-Mail (IVA4@bmf.bund.de sowie registrierkassen@bsi.bund.de) zu übersenden. Eine Nutzung des alternativen Übermittlungswegs sei erst nach Billigung des BSI zulässig.
Sofern das Root-Zertifikat bereits an das BMF übermittelt wurde, könnten nachträglich ausgegebene Intermediate-Zertifikate per E-Mail an das BMF (IVA4@bmf.bund.de) übermittelt werden. Hierbei sei das Intermediate-Zertifikat in einer Container-Datei, wie zum Beispiel Zip- oder z7-Datei, zu übersenden.
Bundesfinanzministerium, Schreiben vom 27.03.2023, IV A 4 - S 0316-a/19/10005 :011