Mit einem aktuellen Schreiben legt das Bundesfinanzministerium (BMF) die Vorgaben für die Anzeige des Widerrufs von Root-Zertifikaten an das BMF fest.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach § 5 Kassensicherungsverordnung in Technischen Richtlinien die technischen Anforderungen an das Sicherheitsmodul, das Speichermedium und die einheitliche digitale Schnittstelle des elektronischen Aufzeichnungssystems festzulegen. Dazu gehören auch die Anforderungen an die Public Key Infrastruktur (PKI). Anforderungen an die PKI für zertifizierte technische Sicherheitseinrichtungen sind in der Technischen Richtlinie BSI TR-03145 Teil 5 niedergelegt. Zu den Anforderungen gehört unter anderem, dass der Betreiber einer PKI für Technische Sicherheitseinrichtungen den Widerruf des Root-Zertifikats unverzüglich dem BMF und dem Bundesamt für Sicherheit in der Informationstechnik anzeigen muss (vgl. Tz. 4.3, RM.Req.13).

Aufgrund der entsprechenden Vorgaben der Tz. 4.3 der BSI TR-03145 Teil 5 ergehen folgende Regelungen im Einvernehmen mit dem BSI:

Die Mitteilung hat auf elektronischen Weg an das Postfach IVD2@bmf.bund.de zu erfolgen.

In der Mitteilung sind folgende Daten aufzunehmen:

• Name und Adresse des meldenden Betreibers der PKI

• Genaue und eindeutige Bezeichnung der Root-CA

• Zeitpunkt, zu dem der Widerruf erfolgt ist

• Grund des Widerrufs

Eine Empfangsbestätigung wird dem BMF-Schreiben zufolge nicht erteilt.

Das Schreiben steht ab sofort auf den Internetseiten des BMF (http://www.bundesfinanzministerium.de) unter der Rubrik Themen – Steuern – Steuerverwaltung & Steuerrecht – Abgabenordnung – BMF-Schreiben / Allgemeines zum Download bereit.

Bundesfinanzministerium, Schreiben vom 07.07.2023, IV D 2 - S 0316-a/19/10005 :014