Zertifikatsrichtlinie Certificate Policy (CP) Erklärung ...pki.asklepios.com/KBIT SEC VA...

Asklepios TrustCenter CP & CPS

KBIT-SEC-VA Version 01-0

Geltungsbereich: Asklepios Kliniken GmbH Verfahrensanweisung

Revisionsdatum 1.12.2012

Seite

1 von 69

Bezug: ISO/IEC 20000-1:2005 3.2, ISO/IEC 27000-1, ISO9000:2000 Ablage: Intranet KBIT TrustCenter

Dateiname KBIT SEC VA Zertifikatsrichtlinie Version 01-0.docx

Ersteller: Jung-Uh Yang, Andrea Schreiner, Henning Bergmann Erstelldatum: 20.12.2011

Freigabe: Robert Lacroix Freigabedatum: 28.02.2012

Vertraulichkeitsstufe öffentlich

ASKLEPIOS TRUSTCENTER

Zertifikatsrichtlinie

Certificate Policy (CP)

&

Erklärung zum Zertifizierungsbetrieb

Certification Practice Statement (CPS)

Version : 01-0

Dateiname: KBIT SEC VA Aklepios TrustCenter Zertifikatsrichtlinie 01-0.docx

Erstellt am : 18.01.2011

Zuletzt geändert am : 20.12.2011

Autoren : Jung-Uh Yang, Andrea Schreiner, Henning Bergmann

Freigabe : Robert Lacroix

Freigegeben am: 28.02.2012

Nächstes Revisionsdatum: 01.12.2012





Seite

2 von 69






Versionen / Änderungsübersicht

Ausgabe-datum

Versions-Nr.

Abschnitt/ Seite

Änderung

18.01.2011 0.2 Alle Erstellt

26.01.2011 0.3 Alle Offene Punkte, Korrekturen

20.04.2011 0.7 Alle Erster vollständiger Entwurf

18.08.2011 0.8 Alle Interne Endversion

20.12.2011 1.0 Alle Externe Endversion





Seite

3 von 69






Inhalt

Überschrift ....................................................................................................................................................... 1

Änderungsübersicht ......................................................................................................................................... 2

Inhaltsverzeichnis............................................................................................................................................. 3

1. EINLEITUNG ................................................................................................................................... 7

Überblick…. ................................................................................................................................................................ 9

Dokumententitel und Identifikation ........................................................................................................................... 9

Teilnehmer und Instanzen ........................................................................................................................................ 10

Anwendungsbereich von Zertifikaten....................................................................................................................... 12

Verwaltung der Richtlinien ....................................................................................................................................... 15

Definitionen und Abkürzungen ................................................................................................................................ 16

2. PUBLIKATIONEN UND INFORMATIONSDIENSTE .................................................................. 17

Verzeichnis- und Informationsdienste ...................................................................................................................... 17

Publikation von Zertifizierungsinformationen .......................................................................................................... 17

Veröffentlichungsintervall ........................................................................................................................................ 18

Zugang zu den Informationsdiensten ....................................................................................................................... 18

3. IDENTIFIKATION AND AUTHENTIFIKATION .......................................................................... 19

Namen…….. .............................................................................................................................................................. 19

Identitätsprüfung bei Neuantrag .............................................................................................................................. 23

Identifikation and Authentifikation bei Zertifikatserneuerung ................................................................................. 24

Identifikation and Authentifikation bei Zertifikatsrückruf ........................................................................................ 24





Seite

4 von 69






4. BETRIEBLICHE ANFORDERUNGEN AN DEN ZERTIFIKATS-LIFE-CYCLE ............................... 25

Zertifikatsantrag....................................................................................................................................................... 26

Prozess für die Antragsbearbeitung ......................................................................................................................... 26

Zertifikatsausgabe .................................................................................................................................................... 26

Zertifikatsannahme .................................................................................................................................................. 27

Schlüsselpaar- und Zertifikatsverwendung ............................................................................................................... 28

Zertifikatserneuerung .............................................................................................................................................. 28

Zertifikatserneuerung mit Schlüsselwechsel ............................................................................................................ 29

Zertifikatserneuerung mit Schlüsselwechsel und Datenanpassung .......................................................................... 30

Zertifikatssperrung und -suspendierung ................................................................................................................... 30

Auskunftsdienste für den Zertifikatsstatus ............................................................................................................... 33

Beendigung des Vertragsverhältnisses durch den Zertifikatsnehmer ....................................................................... 34

Schlüsselhinterlegung und -wiederherstellung ......................................................................................................... 34

5. EINRICHTUNGEN, SICHERHEITSMANAGEMENT, ORGANISATORISCHE UND BETRIEBLICHE SICHERHEITSMASSNAHMEN ................................................................................. 35

Physikalische- und Umgebungssicherheit ................................................................................................................. 35

Organisatorische Sicherheitskontrollen .................................................................................................................... 36

Sicherheitsmassnahmen für das Personal ................................................................................................................ 36

Überwachung von sicherheitskritischen Ereignissen ................................................................................................ 38

Archivierung von Protokolldaten ............................................................................................................................. 39

Schlüsselwechsel der Zertifizierungsstellen .............................................................................................................. 41

Kompromittierung und Wiederanlauf nach Katastrophen........................................................................................ 42





Seite

5 von 69






6. TECHNISCHE SICHERHEITSMAßNAHMEN ............................................................................. 44

Schlüsselpaarerzeugung und Installation ................................................................................................................. 44

Schutz des privaten Schlüssels und kryptographische Module ................................................................................. 46

Weitere Aspekte für die Verwaltung von Schlüsselpaaren ....................................................................................... 48

Aktivierungsdaten .................................................................................................................................................... 49

Sicherheitsmaßnahmen für Computer ..................................................................................................................... 49

Technische Kontrollen für den gesamten Lebenszyklus ............................................................................................ 50

Sicherheitsmaßnahmen im Netz .............................................................................................................................. 50

Zeitstempel .............................................................................................................................................................. 51

7. ZERTIFIKATS- UND CRL PROFIL ................................................................................................ 52

Zertifikatsprofil ........................................................................................................................................................ 52

CRL Profil…. .............................................................................................................................................................. 60

OCSP Profil…. ........................................................................................................................................................... 62

8. AUDITIERUNG UND ÜBERPRÜFUNG DER KONFORMITÄT ................................................. 63

Frequenz und Umstand der Überprüfung ................................................................................................................. 63

Identität und Qualifikation des Prüfers/Auditors ..................................................................................................... 63

Verhältnis des Prüfers zur überprüften Entität ......................................................................................................... 63

Von der Überprüfung abgedeckte Bereiche.............................................................................................................. 63

Maßnahmen bei Nichterfüllung oder Abweichen von der Konformität .................................................................... 63

Kommunikation der Prüfergebnisse ......................................................................................................................... 63





Seite

6 von 69






9. WEITERE RECHTLICHE UND GESCHÄFTLICHE REGELUNGEN .............................................. 64

Gebühren… .............................................................................................................................................................. 64

Finanzielle Verantwortung ....................................................................................................................................... 64

Vertraulichkeit von Geschäftsinformationen ............................................................................................................ 64

Datenschutz (personenbezogen) .............................................................................................................................. 65

Urheberrechte .......................................................................................................................................................... 66

Verpflichtungen ....................................................................................................................................................... 66

Gewährleistung ........................................................................................................................................................ 66

Haftungsbeschränkung ............................................................................................................................................. 66

Haftungsfreistellung ................................................................................................................................................. 67

Inkrafttreten und Aufhebung ................................................................................................................................... 67

Individuelle Benachrichtigung und Kommunikation mit Teilnehmern ...................................................................... 67

Ergänzungen der Richtlinie ....................................................................................................................................... 67

Schiedsverfahren ..................................................................................................................................................... 68

Gerichtsstand ........................................................................................................................................................... 68

Konformität zum geltenden Recht ........................................................................................................................... 68

Weitere Regelungen ................................................................................................................................................. 68

Andere Regelung ...................................................................................................................................................... 69





Seite

7 von 69






1. Einleitung Dieses Dokument enthält die Zertifikatsrichtlinie des Asklepios TrustCenters, das von den Asklepios Kliniken GmbH mit der sicheren Identifizierung, Authentisierung und Autorisierung von Personen und IT-Ressourcen beauftragt ist. Die Basis für die Erfüllung der Aufgaben des TrustCenters ist die Asklepios PKI (Public Key Infrastructure), die im zentralen Rechenzentrum der Asklepios Gruppe betrieben wird. Der Betrieb der PKI wird ebenfalls in diesem Dokument beschrieben. Die vorliegende Zertifikatsrichtlinie orientiert sich am formalen Rahmen der „Certificate Policy (CP)“, definiert im X.509 Standard. Die CP steht für die Gesamtheit der Regeln und Vorgaben, welche die Anwendbarkeit eines Zertifikatstyps festlegen. Die Zielsetzung einer Certificate Policy wird im RFC 3647 („Certificate Policy and Certification Practices Framework“) ausführlich diskutiert. Die CP ist eine Entscheidungshilfe für den Zertifikatsnutzer ob einem bestimmten Zertifikat und Anwendung vertraut werden kann. Das Konzept einer “Certification Practice Statement (CPS)” wurde von der American Bar Association (ABA) entwickelt und ist in deren Digital Signature Guidelines (ABA Guidelines) aufgeführt. Die CPS ist eine detaillierte Beschreibung des Zertifizierungsbetriebes der Organisation. Aus diesem Grund stellen Organisationen, die eine oder mehrere Zertifizierungsstellen betreiben, in der Regel auch eine CPS zur Verfügung. Die Dokumentenstruktur orientiert sich an dem im RFC 3647 angegebenen Empfehlungen. Entsprechend den Vorgaben des RFC 3647 legt die Asklepios Kliniken GmbH CP/CPS die Vorgehensweise dar, die der Zertifizierungsdienst bei der Beantragung, Generierung, Auslieferung und Verwaltung der Zertifikate anwendet. Aufgrund der Anforderung einer vereinfachten Dokumentenverwaltung wurden die CP (Certficate Policies) und CPS (Certification Practice Statement) in einem zentralen Dokument zusammengefasst. Die Asklepios CP/CPS beschreibt, welche technischen und organisatorischen Anforderungen die bei der Ausstellung der Zertifikate eingesetzten Systeme und Prozesse erfüllen müssen. Es werden die konkreten Vorgaben für die Anwendung der Zertifikate sowie im Umgang mit den zugehörigen Schlüsseln und Signaturerstellungseinheiten (z.B. Chipkarten) definiert. Darüber hinaus wird festgelegt, welche Sicherheit, Beweiskraft oder rechtliche Relevanz die mit den Zertifikaten und den zugehörigen Anwendungen erzeugten Signaturen, Verschlüsselungen bzw. Authentisierungen besitzen. Der Geltungsbereich der Asklepios CP/CPS umfasst die Organisationseinheiten und Mitarbeiter der Asklepios Gruppe, die die Zertifizierungsdienste betreiben sowie die Nutzer und Teilnehmer der Zertifizierungsdienste. Mit Teilnahme an den Zertifizierungsdiensten akzeptieren die Asklepios Mitarbeiter und vertrauende Parteien die Bedingungen und Regularien aufgeführt im CP/CPS. Die Asklepios CP/CPS ist öffentlich zugänglich.





Seite

8 von 69






Überblick

Das Asklepios TrustCenter betreibt Zertifizierungsdienste (Asklepios PKI) für die Erzeugung, kontrollierte Ausgabe und Verwaltung von Zertifikaten sowie Smartcards. Asklepios Mitarbeiter erhalten Zertifikate und Smartcards kontrolliert und verwaltet durch ein Zertifikats- und Smartcard Managementsystem. Asklepios Smartcard Zertifikate und Zertifikate für Asklepios Maschinen/Computer werden in Namen der Asklepios Antragsteller durch die Asklepios PKI beantragt. Darüber hinaus werden CA Zertifikate ausgestellt zur Zertifizierung der Wurzel-Zertifizierungsstelle ASKLEPIOS Root CA selbst und den untergeordneten ASKLEPIOS User CA und ASKLEPIOS Machine CA. Die Asklepios Zertifizierungsinfrastruktur ist hierarchisch aufgebaut und terminiert an der ASKLEPIOS Root CA. Ein Netzwerk Hardware Security Modul, kurz HSM, übernimmt die Schlüsselgenerierung und -verwaltung für die Asklepios Zertifizierungsstellen .





Seite

9 von 69






Dokumententitel und Identifikation

Dies ist die Asklepios Kliniken GmbH ”Certification Practice Statement and Certificate Policy” für das Asklepios TrustCenter. Ein eindeutiger ASN.1 Object Identifier (OID) ist diesem Dokument zugewiesen.

Die Asklepios OID ist bei der IANA.ORG registriert, siehe auch: http://www.iana.org/assignments/enterprise-numbers Kontaktperson: Robert Lacroix Asklepios Kliniken GmbH Konzernbereich IT Rübenkamp 226 22307 Hamburg Deutschland E-Mail: [email protected] Tel.: +49 (0)40 1818 822707

Asklepios Enterprise OID: 1.3.6.1.4.1.23779 OID Beschreibung: Asklepios SMI Network Management Private Enterprise Code Asklepios TrustCenter OID: 1.3.6.1.4.1.23779.1 OID Beschreibung: Namensraum der TrustCenter Dienste der Asklepios Kliniken GmbH

Asklepios CP/CPS OID: 1.3.6.1.4.1.23779.1.1 OID Beschreibung: OID für die Asklepios Kliniken GmbH Certificate Policy & Certification Practice Statement Dokumentation Asklepios aktuelle CP/CPS OID: 1.3.6.1.4.1.23779.1.1.1 OID Beschreibung: OID für das aktuelle Asklepios Kliniken GmbH – Certificate Policy & Certification Practice Statement Dokument

Die Lokation der Asklepios Kliniken CP/CPS Dokumentationen für Asklepios Zertifikatsnehmer und vertrauende Parteien lautet: http://pki.asklepios.com/Asklepios-CPS.html

http://www.iana.org/assignments/enterprise-numbers

http://pki.asklepios.com/Asklepios%20User%20CA.crt

http://pki.asklepios.com/Asklepios-CPS.html





Seite

10 von 69






Das Asklepios TrustCenter betreibt die Zertifizierungsstellen in einer 2-stufigen (2-tier) Architektur. Die Eindeutigkeit der Zertifizierungsstellen wird durch den „Distinguished Name“ der Zertifizierungsstellen gewährleistet. Der vollständige DN der Asklepios Root CA lautet:

Asklepios Kliniken GmbH - Root CA CN = Asklepios Root CA O = Asklepios Group C = DE

Der vollständige DN der Asklepios User CA lautet:

Asklepios Kliniken GmbH - User CA CN = Asklepios User CA O = Asklepios Group C = DE

Der vollständige DN der Asklepios Machine CA lautet:

Asklepios Kliniken GmbH - Machine CA CN = Asklepios Machine CA O = Asklepios Group C = DE

Teilnehmer und Instanzen

Die Teilnehmer des Asklepios TrustCenters sind grundsätzlich in 4 Teilnehmergruppen klassifiziert. Jeder dieser teilnehmenden Gruppen bietet PKI Dienste und Ressource an oder konsumiert PKI Dienste und Ressourcen. Zertfizierungsstelle oder Certificate Authority (CA):

Ausstellen von Zertifikaten;

Sperren von Zertifikaten;

Wiederherstellen von Benutzerschlüssel

Registrierungsstelle oder Registration Authority (RA):

Identifizierung von Benutzer;

Registrierung von Benutzer;

Beantragung einer Zertifikatsanforderung für Benutzer

Beantragung einer Sperranforderung von Zertifikaten





Seite

11 von 69






Zertifikatsnehmer:

Konsumiert Zertifikate und PKI Dienstleistungen

Vertrauende Parteien (z. B. E-Mail Empfänger):

Konsumiert PKI Dienstleistungen

Zertifizierungsstellen Das 2-Tier CA Hierarchie-Modell basiert auf:

Offline Asklepios Root CA mit einem selbst-signierten CA Zertifikat. Die Asklepios Root CA ist von Produktionsnetz entkoppelt und unterhält eine dedizierte Verbindung zum Network Hardware Security Module (HSM). Alle kryptographischen Operationen der Asklepios Root CA werden durch das HSM ausgeführt. Die Asklepios Root CA stellt CA Zertifikate und Sperrlisten für subordinierte Zertifizierungsstelleninstanzen, wie auch für sich selbst aus.

Online Asklepios User CA mit einem von der Asklepios Root CA ausgestellten Zertifikat. Die Asklepios User CA ist mit dem Produktionsnetz verbunden und unterhält ebenso, wie die Asklepios Root CA, eine dedizierte Verbindung zur Network HSM. Alle kryptographischen Operationen der Asklepios User CA werden durch das HSM ausgeführt. Die Asklepios User CA stellt End-Entitäten Zertifikate und Sperrlisten für die Zertifikatsnehmer (Benutzer) aus.

Online Asklepios Machine CA mit einem von der Asklepios Root CA ausgestellten Zertifikat. Die Asklepios Machine CA ist mit dem Produktionsnetz verbunden und unterhält ebenso, wie die Asklepios Root CA, eine dedizierte Verbindung zur Network HSM. Alle kryptographischen Operationen der Asklepios Machine CA werden durch das HSM ausgeführt. Die Asklepios Machine CA stellt End-Entitäten Zertifikate und Sperrlisten für die Zertifikatsnehmer (Masschinen/Computer) aus.

Im Asklepios TrustCenter sind für Zertifizierungsstellen Lebensdauern wie folgt festgelegt: Asklepios Root CA

Root CA Zertifikat: 10 Jahre

Root CA CRLs: 8 Monate

Asklepios User CA

User CA Zertifikat: 6 Jahre

User CA CRLs: 32 Stunden

Asklepios Machine CA

Machine Zertifikat: 6 Jahre

Machine CA CRLs: 9 Tage





Seite

12 von 69






Registrierungsstellen Die Registrierungsstelleninstanzen im Sinne dieser Certificate Policy sind Instanzen, welche die Zertifikatsnehmer und Antragssteller erfassen und identifizieren und für Zertifikatsnehmer Zertifikate beantragen. Die Registrierung der Mitarbeiter-Zertifikate geschieht in lokalen Registrierungsstellen (LRA). Diese sind unterstützend für den Zertifizierungsbetrieb verantwortlich. Die Zertifikatsbeantragung für die Zertifikatsnehmer erfolgt über ein Registrierungswerkzeug, welches eine kontrollierte Ausgabe von Zertifikaten auf Smartcards ermöglicht. Darüber hinaus wird die gesamte Lebenszyklusverwaltung von Zertifikaten und Smartcards durch dieses Werkzeug organisiert.

Zertifikatsnehmer

Sind End-Entitäten denen ein Zertifikat durch das Asklepios TrustCenter zugewiesen wird. Schlüsselgenerierung und Zertifikatsausgabe unterstehen nicht der Kontrolle des Zertifikatsnehmers, sondern obliegen der Asklepios PKI. End-Entitäten als Zertifikatsnehmer in Rahmen dieser PKI stellen Asklepios Mitarbeiter, technische Systeme (wie z. B.: Asklepios Computer), Geschäftspartner (z. B. zuweisende Ärzte) und auch externe Mitarbeiter dar.

Vertrauende Parteien

Vertrauende Parteien im Sinne der vorliegenden Certificate Policy sind alle Personen und Systeme, die mit Hilfe eines Zertifikates mit dessen Inhaber sicher kommunizieren wollen. In der Regel stellen die vertrauenden Parteien E-Mail Empfänger von SMIME geschützten Nachrichten dar.

Weitere Teilnehmer

Nicht zutreffend.

Anwendungsbereich von Zertifikaten

Die Verwendung von Schlüsseln und Zertifikaten obliegt der Verantwortung des Zertifikatsnehmers und der vertrauenden Partei.

Zulässige Anwendung von Zertifikaten

Die im Rahmen dieser CP/CPS ausgestellten Smartcard Zertifikate können durch den Zertifikatsnehmer für die Authentifikation (z. B. Windows Anmeldung), als auch zur Verschlüsselung und Signatur herangezogen werden können.





Seite

13 von 69






Folgende Tabelle beschreibt den Anwendungsbereich der ausgestellten Zertifikate: Ausgestellt von der Asklepios Root CA:

Zertifikatstyp Anwendungsbereich des ausgegebenen Zertifikats

Certification Authority ROOT CA Zertifikat für selbst signierte (Wurzel-) Zertifizierungsstellen

Subordinate Certification Authority

CA Zertifikat für subordinierte Zertifizierungsstellen

Asklepios User CA


Ausgestellt von der Asklepios User CA:


Asklepios FIMCM User Authentication Smartcard Authentifikationszertifikat mittels FIMCM ausgestellt für die Anmeldung für OneIT Benutzer, z. B. Windows Logon

Asklepios FIMCM User Authentication non OneIT

Smartcard Authentifikationszertifikat mittels FIMCM ausgestellt für die Anmeldung für externe Benutzer, z. B. Windows Logon

Asklepios FIMCM Code Signing Code Signing Zertifikat mittels FIMCM ausgestellt für die Erstellung einer elektronische Signatur

Asklepios FIMCM Software Software Authentifikationszertifikat mittels FIMCM ausgestellt für die Anmeldung, z. B. Client Authentication

Asklepios Service Authentication Software Authentifikationszertifikat für die Anmeldung, z. B. Client Authentication

Asklepios EFS Recovery Software EFS Recovery Zertifikat

Ausgestellt von der Asklepios Machine CA:


Asklepios Server Authentication 1024 Serverauthentifizierung

Asklepios Server Authentication 2048 Serverauthentifizierung

Asklepios VPN Server Authentication VPN Server Authentication Zertifikat

Asklepios RAS- und IAS-Server Radius Server Zertifikat

Asklepios Workstation Workstation Authentication Zertifikat





Seite

14 von 69






Asklepios Domain Controller Domain Controller Authentication Zertifikat, z. B. für LDAPS Verbindung oder zum Smartcard Logon

Unzulässige Anwendung von Zertifikaten

Die Zertifikatsnutzung von Benutzerzertifikaten im Rahmen der Asklepios PKI ist beschränkt auf:

Authentifikation

Verschlüsselung

Elektronische Signierung Die Zertifikatsnutzung von Maschinenzertifikaten im Rahmen der Asklepios PKI ist beschränkt auf:

Authentifikation Die Zertifikatsnutzung von CA Zertifikaten im Rahmen der Asklepios PKI ist beschränkt auf:

Signierung von CA Zertifikaten für die Asklepios Root CA

Signierung von End-Entitäten Zertifikaten für die Asklepios User CA und Asklepios Machine CA.

Eine Anwendung der Zertifikate für den privaten Gebrauch ist ebenso untersagt, wie auch die Nutzung dieser Zertifikate für andere Anwendungszwecke abweichend vom Abschnitt „Zulässige Anwendungen von Zertifikaten“. Jegliche weitere Zertifikatnutzung ist untersagt, insbesondere die Zertifizierung weiterer, untergeordneter Zertifizierungsstellen ist ausschließlich der Asklepios Root CA Zertifizierungsstelle vorbehalten, als auch die Nutzung von Asklepios Zertifikaten für die qualifizierte elektronische Signatur. Zum Schutz der Asklepios CP/CPS Konformität ist jegliche Änderung oder Erweiterung der Zertifikatsanwendung unverzüglich dem Asklepios TrustCenter anzuzeigen.





Seite

15 von 69






Verwaltung der Richtlinien

Organisation

Die Asklepios Kliniken GmbH ist die verantwortliche Organisation für die Richtlinien Verwaltung. Asklepios Kliniken GmbH, 22307 Hamburg, Deutschland

Kontaktpersonen

Folgende Person ist Ansprechpartner für das Asklepios TrustCenter:

Andrea Schreiner Asklepios Kliniken GmbH TrustCenter Konzernbereich IT Debusweg 3 61462 Königstein E-Mail: [email protected]

Verantwortliche Personen für das CPS

Die Asklepios Kliniken GmbH, TrustCenter, ist verantwortlich für die Einhaltung des Zertifizierungsbetriebes und -richtlinien gemäß der CP/CPS und begleitender Dokumentation. Ansprechpartner zur Einhaltung der CP/CPS sind im Abschnitt zu Kontaktpersonen aufgeführt.

CPS Genehmigungsverfahren

Die Asklepios Kliniken GmbH, TrustCenter, ist verantwortlich für die Freigabe dieser CP/CPS. Die CP/CPS Dokumentation wird fortwährend auf Konformität hin untersucht.

http://pki.asklepios.com/asklepios-cps.html





Seite

16 von 69






Definitionen und Abkürzungen

ABA (American Bar Association) – Verband der amerikanischen Revisoren ASN.1 (Abstract Syntax Notation) – Abstrakte Syntaxnotation Nummer 1, Datenbeschreibungssprache C (Country) – Landesobjekt (Teil des X.500 Distinguished Name), für Deutschland C=DE CA (Certification Authority) – Zertifizierungsstelle CN (Common Name) – Namensobjekt (Teil des X.500 Distinguished Name) CP (Certificate Policy) – Zertifikatsrichtlinie CPS (Certification Practice Statement) – Zertifizierungsbetrieb CRL (Certificate Revocation List) – Liste, in der eine Zertifizierungsstelle die von ihr ausgestellten Zertifikate, die gesperrt aber noch nicht abgelaufenen sind, veröffentlicht CSR (Certificate Signing Request) – Signierte Zertifikatsanforderung DN (Distinguished name) – Eindeutiger Name basiert auf der X.500 Namensbildung DNS (Domain Name System) – Standard für Internet Namen FIPS (Federal Information Processing Standard) – Kryptographiestandard der US Behörden HSM (Hardware Security Module) – Hardwarekomponente, das sicherheitsrelevante Informationen wie Daten und kryptographische Schlüssel sicher speichert und verarbeitet IETF (Internet Engineering Task Force) – Projektgruppe für die technische Weiterentwicklung des Internets. Spezifiziert quasi Standards in Form von RFCs IP (Internet Protocol) – Internetprotokoll ISO (International Organization for Standardization) – Internationale Normungsstelle ITU (International Telecommunications Union) – Standardisierungsgremium, hat auch X.509 spezifiziert LDAP (Lightweight Directory Access Protocol) – Zugriffsprotokoll für Verzeichnisdienste NIST (National Institute of Standards and Technology) – Normungsstelle der Vereinigten Staaten O (Organization) – Objekt für die Organisation (Teil des X.500 Distinguished Name) OID (Object Identifier) – Object Identifikator, eindeutige Refrenz zu Objekten im OID Namensraum OU (Organizational Unit) – Objekt für die Organisationseinheit (Teil des X.500 Distinguished Name) PIN (Personal Identification Number) – Geheimzahl zur Authentisierung eines Individuums z.B. gegenüber einer Chipkarte PKCS (Public key Cryptographic Standard) – Serie von Quasi-Standards für kryptographische Operationen spezifiziert durch RSA PKI (Public Key Infrastructure) – Beschreibung von Technologie, Prozesse und Teilnehmer in Rahmen der asymetrischen Kryptographie PKIX (Public Key Infrastructure eXchange) – eine Serie von Spezifikationen der IETF im Umfeld von digitalen Zertifikaten nach X.509 Spezifikation RA (Registration Authority) – Registrierungsstelle RFC (Request For Comment) – Quasi Internet-Standard ausgegeben durch die IETF URL (Uniform Resource Locator) – Ressourcen Lokation im Internet X.500 – Protokolle und Dienste für ISO konforme Verzeichnisse X.509 – Authentifikationsmethode für X.500 Verzeichnisse X.509v3 – Aktuell gültiger PKI Zertifikatsstandard





Seite

17 von 69






2. Publikationen und Informationsdienste

Verzeichnis- und Informationsdienste

Öffentliche Informationen wie Asklepios CA Zertifikate, CRLs und CP/CPS Dokumentation wird ein webbasierter Dienst als Informationsdienst genutzt. Ebenso werden CA Informationen mit Ausnahme der CP/CPS Dokumentation im Asklepios Active Directory veröffentlicht.

Publikation von Zertifizierungsinformationen

Die fortwährende Publikation der CRLs auf den Asklepios PKI CRL Web Servern und ins Asklepios LDAP Verzeichnis wird durch die Asklepios User CA und der Asklepios Machine CA automatisiert durchgeführt; die Publikation der Asklepios Root CA wird im Gegensatz manuell durch Mitarbeiter des Asklepios Rechenzentrums auf den Web Servern und in das LDAP Verzeichnis ausgeführt, da eine netztechnische Trennung bzw. ein offline Betrieb adressiert wird. Asklepios CA Zertifikate und die CP/CPS Dokumentation wird durch das Asklepios TrustCenter freigegeben und auf den entsprechenden Web Lokation eingestellt. Folgende Veröffentlichungsorte sind vorgesehen: Lokation Asklepios PKI Webserver: Asklepios CP und CPS: http://pki.asklepios.com/Asklepios-CPS.html Asklepios CRLs: http://pki.asklepios.com/Asklepios Root CA.crl http://pki.asklepios.com/Asklepios User CA.crl

http://pki.asklepios.com/Asklepios Machine CA.crl Asklepios CA Zertifikate: http://pki.asklepios.com/Asklepios Root CA.crt http://pki.asklepios.com/Asklepios User CA.crt

http://pki.asklepios.com/Asklepios Machine CA.crt Lokation Asklepios LDAP Verzeichnis: Asklepios CRLs: ldap:///CN=Asklepios%20Root%20CA,CN=ham-

caak01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?certificateRevocationList?base?objectClass=cRLDistributionPoint

ldap:///CN=Asklepios%20User%20CA,CN=ham-caeu01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?certificateRevocationList?base?objectClass=cRLDistributionPoint

ldap:///CN=Asklepios%20Machine%20CA,CN=ham-caeu02,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?certificateRevocationList?base?objectClass=cRLDistributionPoint


http://pki.asklepios.com/Asklepios%20Root%20CA.crl

http://pki.asklepios.com/Asklepios%20User%20CA.crl

http://pki.asklepios.com/Asklepios%20Machine%20CA.crl

http://pki.asklepios.com/Asklepios%20Root%20CA.crt


http://pki.asklepios.com/Asklepios%20Machine%20CA.crt





Seite

18 von 69






Asklepios CA Zertifikate:

ldap:///CN=Asklepios%20Root%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate?base?objectClass=certificationAuthority

ldap:///CN=Asklepios%20User%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate?base?objectClass=certificationAuthority

ldap:///CN=Asklepios%20Machine%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate?base?objectClass=certificationAuthority

Veröffentlichungsintervall

Die Veröffentlichung der Asklepios Certificate Policies und des Certification Practice Statements erfolgt jeweils nach ihrer Erstellung bzw. Aktualisierung. Die Veröffentlichung der Asklepios CA Zertifikate erfolgt einmalig nach der Installation der Asklepios Zertifizierungsstellen. Eine erneute Publikation erfolgt nur bei Ablauf bzw. Erneuerung der CA Zertifikats. Sperrlisten werden nach vorgeschriebenem Publikationsintervall erzeugt und sofort auf den PKI CRL Web Diensten und in das LDAP Verzeichnis publiziert. Asklepios Root CA:

CRL Veröffentlichungsperiode: 6 Monate

CRL Veröffentlichung Überlappungsperiode: 2 Monate Asklepios User CA:

CRL Veröffentlichungsperiode: 24 Stunden

CRL Veröffentlichung Überlappungsperiode: 8 Stunden Asklepios Machine CA:

CRL Veröffentlichungsperiode: 7 Tage

CRL Veröffentlichung Überlappungsperiode: 2 Tage

Zugang zu den Informationsdiensten

Der Zugriff auf die Asklepios CA Zertifikate, CRLs und der CP/CPS Dokumentation ist nicht eingeschränkt und daher öffentlich. Siehe auch Veröffentlichungsorte in Abschnitt „Publikation von Zertifizierungsinformationen“.





Seite

19 von 69






3. Identifikation and Authentifikation

Namen

Namensform

Der X.500 Distinguished Name in den CA-Zertifikaten für Asklepios Zertifikatsnehmer ist wie in den folgende Tabellen dargestellt, spezifiziert. Der Einsatz von DNs für die Benennung im Subject Name Field erlaubt die Eineindeutigkeit der Namensvergabe von Zertifizierungsstellen innerhalb der Asklepios Kliniken GmbH. Das Schema für die Namensform ist bei allen ausgestellten Zertifikaten der Asklepios Root CA identisch und folgt untenstehendem Regelwerk:

CN = [Common Name],

O = [Organization],

C = [Country] In der tatsächlichen Umsetzung der Zertifizierungsstelleninfrastruktur werden nicht alle (Namens-) Attribute festgelegt, da die Aussagekraft und Eindeutigkeit der Namen für die Zertfizierungsstellen mit den dafür notwendigen Attributen als ausreichend erachtet wird.

Asklepios Root CA DN

Der X.500 Distinguished Name der selbst-signierten Asklepios Inhouse Root CA lautet:

Attribute Value

Common Name (CN) Asklepios Root CA

Organization Unit ***

Organization Asklepios Group

Locality ***

State or Province ***

Country DE

E-Mail ***





Seite

20 von 69






Asklepios User CA

Der X.500 Distinguished Name im Zertifikat der Asklepios User CA, welches durch die Asklepios Root CA ausgestellt wird, lautet:

Attribute Value

Common Name (CN) Asklepios User CA



Locality ***


Country DE

E-Mail ***


Der X.500 Distinguished Name im Zertifikat der Asklepios Machine CA, welches durch die Asklepios Root CA ausgestellt wird, lautet:

Attribute Value

Common Name (CN) Asklepios Machine CA



Locality ***


Country DE

E-Mail *** Das Schema für die Namensform ist bei allen ausgestellten Zertifikaten der Asklepios User CA identisch und folgt untenstehendem Regelwerk:

CN = [Common Name]

Anmerkung: Die Eindeutigkeit des Namens folgt in Kapitel 3.





Seite

21 von 69






Asklepios Smartcard Zertifikate DN

Der X.500 Distinguished Name im Zertifikat für die End-Entitäten Asklepios FIM CM User Authentication, welches durch die Asklepios User CA ausgestellt wird, lautet:

Attribute Value

Common Name (CN) Common Name des Asklepios Benutzers



Locality ***


Country DE

E-Mail ***

Der X.500 Distinguished Name im Zertifikat für die End-Entitäten Asklepios FIM CM User Authentication non OneIT, welches durch die Asklepios User CA ausgestellt wird, lautet:

Attribute Value




Locality ***


Country DE

E-Mail ***

Der X.500 Distinguished Name im Zertifikat für die End-Entitäten Asklepios FIM CM Code Signing, welches durch die Asklepios User CA ausgestellt wird, lautet:

Attribute Value







Seite

22 von 69







Locality ***


Country DE

E-Mail ***

Anforderung an die Bedeutung von Namen

Der Distinguished Name muss den Zertifikatnehmer eindeutig identifizieren. Ist der DN nicht ausreichend, kann zur Einhaltung der Eindeutigkeit eines Namens auch der Subject Alternative Name herangezogen werden. Bei der Namensvergabe sind folgenden Regelungen wirksam:

Zertifikate dürfen nur auf einen zulässigen Namen des Zertifikatnehmers ausgestellt werden.

o Bei Authentifikationszertifikaten für Benutzer ist es der Common Name des Benutzers und der UPN (User Principle Name) im Subject Alternative Name Feld des Zertifikatsnehmers.

o Bei den Verschlüsselungs- und Signaturzertifikaten für Benutzer ist es der Nachname, Vorname im Common Name und die E-Mail-Adresse im Subject Alternative Name Feld des Zertifikatsnehmers.

Der DN der Asklepios Zertifizierungsstellen wird durch die Namens-Objekte Common Name, Organization und Country gebildet. Eine Eindeutigkeit des DNs ist mit diesem zur Verfügung stehenden Namensobjekten zu gewährleisten.

Der alternative Name in den Verschlüsselungs- und Signaturzertifikaten enthält die E-Mail Adresse des Inhabers in der Form Vornamenkü[email protected].

Jedem Zertifikat wird eine eindeutige Seriennummer zugeordnet, welche eine eindeutige und unveränderliche Zuordnung zum Zertifikatnehmer ermöglicht.

Anonymität und Pseudonymität von Zertifikatsnehmern

Abgesehen von technischen Konten (Service Zertifikate für das Managementsystem) sind natürliche Zertifikatsnehmer (Personen) nicht anonym noch werden zur Kennung von Zertifikatsnehmern Pseudonyme verwendet. Jedem Zertifikatsnehmer (Personen) können daher die Zertifikate eindeutig zugeordnet werden.

Regeln zur Interpretation verschiedener Namensformen

Die ausgewiesenen Distinguished Names im Zertifikatsprofil folgen dem X.500 Standard. Die Asklepios E-Mail Adressen und UPN Einträge im Zertifikatsprofil folgen dem RFC 822 Regelwerk. UPN Namensinformationen müssen UTF-8 encodiert vorliegen.






Seite

23 von 69






Eindeutigkeit von Namen

Der komplette Distinguished Name im Common Name Feld und der alternative Subjektname in den ausgestellten Zertifikaten erlaubt die Eindeutigkeit von Namen, sowohl der Asklepios Zertifizierungsstellen als auch der Namen für die Asklepios Zertifikatsnehmer. So wird durch eine zusätzliche Kennung im alternativen Namensfeld (Subject Alternative Name), nämlich die eindeutige Asklepios E-Mail Adresse, Benutzer UPN Informationen und eine eindeutige Seriennummer im Zertifikat, die Eindeutigkeit des Namens eines Asklepios Zertifikatsnehmers gewährleistet.

Erkennung, Authentifikation und Rolle von Warenzeichen

Nicht zutreffend

Identitätsprüfung bei Neuantrag

Verfahren zur Überprüfung des Besitzes von privaten Schlüsseln

Die Schlüsselpaare der Asklepios Zertifikatsnehmer von Benutzerzertifikaten werden auf der beantragenden Maschine auf Smartcards generiert. Der Besitznachweis für die privaten Schlüssel erfolgt durch die Signierung (mit dem privaten Schlüssel) des PKCS#10-Zertifikatsrequests. Der Certificate Signing Request oder CSR ist die Basis der Überprüfung von privaten Schlüsseln. Die Schlüsselpaare der Asklepios Zertifizierungsstellen werden durch das Hardware Security Modul generiert. Der Besitznachweis für die privaten Schlüssel zu den CA Zertifikaten erfolgt durch die Signierung (mit dem privaten Schlüssel) des PKCS#10-Zertifikatsrequests. Der Certificate Signing Request oder CSR ist die Basis der Überprüfung von privaten Schlüsseln.

Authentifikation der Organisation

Nicht zutreffend. Es werden nur individuelle Zertifikate für Asklepios Beschäftigte und Partner ausgegeben.

Authentifikation von Personen

Für die Erstausstattung von Zertifikaten für Benutzer und findet eine Identitätsprüfung durch die Registrierungsstelle statt. Hierbei werden die notwendigen Maßnahmen ergriffen um die Identität eines Antragsstellers eindeutig festzustellen. Detailinformationen zu den TrustCenter Workflows können bei Bedarf beim Asklepios TrustCenter erfragt werden.

Nicht überprüfte Zertifikatsnehmer Information

Es werden nur die Informationen des Zertifikatsnehmers überprüft, welche im Rahmen der Authentifikation und Identifikation des Zertifikatsnehmers notwendig sind. Andere Informationen des Zertifikatsnehmers werden nicht berücksichtigt.





Seite

24 von 69






Prüfung der Berechtigung zur Antragstellung Für die Ausgabe von Benutzerzertifikaten findet eine Überprüfung der Berechtigung zur Antragsstellung statt. Detailinformationen zu den TrustCenter Workflows können bei Bedarf beim Asklepios TrustCenter erfragt werden.

Kriterien für Cross-Zertifizierung und Interoperation

Nicht zutreffend. Zurzeit ist keine Cross-Zertifizierung mit anderen Organisationen geplant.

Identifikation and Authentifikation bei Zertifikatserneuerung

Für OneIT Benutzer gilt: Die Identifizierung und Authentifizierung bei einer routinemäßigen Zertifikatserneuerung mit Schlüsselwechsel (d.h. bei der Ausstellung eines neuen Zertifikates zu einem neuen Schlüssel kurz vor dem regulären Ablauf des alten Zertifikates) ist eine erfolgreiche Anmeldung mit der persönlichen Windows Kennung und einem „Einmal“ Kennwort für Asklepios Benutzer ausreichend. Für Externer Benutzer (non-One IT Benutzer): Die routinemäßigen Zertifikatserneuerung für externe Benutzer kommt einem Neuantrag gleich. Für externe Benutzer findet eine Identitätsprüfung durch die Registrierungsstelle statt. Hierbei werden die notwendigen Maßnahmen ergriffen um die Identität eines Antragsstellers eindeutig festzustellen und die Berechtigung für eine Zertifikatserneuerung zu überprüfen. Die Prozesse sind hier noch im Detail auszuarbeiten.

Identifikation und Authentifikation bei routinemäßiger Zertifikatserneuerung

Die Erneuerung von Smartcard Zertifikaten erfolgt automatisiert durch die Asklepios PKI und zugehörigen Managementsystems. Betroffene Zertifikatsnehmer werden über die anstehende Erneuerung informiert. Zur Erneuerung wird eine Authentifikation am Zertifikatsmanagement-systems mittels Windows Benutzerkennung und einem „Einmal“ Kennwort erzwungen.

Identifikation und Authentifikation bei Zertifikatserneuerung nach erfolgtem Zertifikatsrückruf

Die Identifizierung und Authentifizierung bei einer Zertifikatserneuerung nach einer Sperrung entspricht der Identifizierung und Authentifizierung bei der initialen Registrierung.

Identifikation and Authentifikation bei Zertifikatsrückruf

Grundsätzlich können Zertifikatsinhaber/Zertifikatsnehmer die eigenen Zertifikate oder Vorgesetzte Zertifikate zurückziehen. Die entsprechend Prozesse für die Identifikation und Authentifikation beim Zertifikatsrückruf sind etabliert. Detailinformationen zu den TrustCenter Workflows können bei Bedarf beim Asklepios TrustCenter erfragt werden.





Seite

25 von 69






4. Betriebliche Anforderungen an den Zertifikats-Life-Cycle Im folgenden Abschnitt werden die grundsätzlichen Parameter der Asklepios PKI aufgezeigt. Die Asklepios PKI dient der Ausgabe und Verwaltung von Benutzer- als auch von Maschinen-Zertifikaten. Zertifikatsantrag für Asklepios Smartcard Benutzerzertifikate: Die Erst-Beantragung und die Verlängerung von Smartcard Zertifikate für Asklepios Benutzer erfolgt kontrolliert durch ein Zertifikats- und Smartcard Management Tool. Benutzerbezogene Zertifikate werden auf einer Smartcard provisioniert. Hierbei unterliegt die Zertifikatslebenszyklusverwaltung und respektive die Smartcard Verwaltung der Kontrolle des Managementsystems. Detailinformationen zu den TrustCenter Workflows können bei Bedarf beim Asklepios TrustCenter erfragt werden. Nutzung von Asklepios Smartcard Benutzerzertifikaten: Die Nutzung von Asklepios Smartcard Zertifikaten erstreckt sich neben der Authentifikation, auch auf die Verschlüsselung und die Erstellung einer digitalen Signatur. Detaillierte Anwendungsfälle können aus den Asklepios Zertifikatsprofilen entnommen werden. Folgende technische Rahmenbedingungen sind hervorzuheben:

Benutzerzertifikate liegen auf der Smartcard/Chipkarte vor

Die Verwaltung und Ausgabe von Asklepios Smartcard Benutzerzertifikaten obliegt der Kontrolle durch das zentrale Zertifikatsmanagement Tool

Zugehörige CPS, CRL und CA-Zertifikate sind veröffentlicht. Dies ermöglicht eine problemlose Kommunikation.

Eine Schlüsselarchivierung von Verschlüsselungsschlüsseln ist etabliert Weitergehende Informationen zum Einsatzbereich der Asklepios PKI können bei Bedarf bei dem Asklepios TrustCenter erfragt werden.





Seite

26 von 69






Zertifikatsantrag

Im vorangegangenen Abschnitt unter Beantragung und Nutzung ist der Prozess für den Zertifikatsantrag zu entnehmen.

Antragsberechtigt für ein Zertifikat

Antragsberechtigt für ein Zertifikat sind:

Asklepios Mitarbeiter,

Geschäftspartner, z. B.: zuweisende Ärzte

externe Mitarbeiter. Hierbei werden Smartcards projektbezogen ausgegeben

Ausgabeprozess und Verantwortlichkeiten

Die Ausgabe von Smartcards und Zertifikaten erfolgt durch die Asklepios PKI. Die Verantwortlichkeit für den Ausgabeprozess obliegt dem Asklepios TrustCenter. Detailinformationen zu den TrustCenter Workflows können bei Bedarf beim Asklepios TrustCenter erfragt werden.

Prozess für die Antragsbearbeitung

Wie auch beim Zertifikatsantrag ist die Antragsbearbeitung von Smartcard Zertifikaten ein kontrollierter Prozess durch das Zertifikatsmanagementsystem.

Durchführung der Identifikation und Authentifizierung

Die Identifikation und Authentifizierung des Antragsstellers erfolgt auf Basis valider Asklepios Domänenkonten.

Annahme oder Ablehnung von Zertifikatsanträgen

Die Annahme oder Ablehnung wird im vorgelagerten Prozess durch das Asklepios TrustCenter auf Basis der erforderlichen Voraussetzungen entschieden. Annahme oder Ablehnung des Antragsstellers im Zertifikatsmanagementsystem erfolgt auf Basis valider Asklepios Domänenkonten.

Bearbeitungsdauer von Zertifikatsanträgen

Die Bearbeitung der Zertifikatsanträge erfolgt kontrolliert durch das Zertifikatsmanagementsystem. Dieses Verfahren erlaubt eine sofortige Ausstellung des Zertifikats an den Antragssteller. Daraus ergibt sich eine sofortige Bearbeitung. Vorgelagerte Prozesse sind hierbei nicht berücksichtigt, was die Bearbeitungsdauer verlängern kann.

Zertifikatsausgabe

Wie auch beim Zertifikatsantrag ist die Zertifikatsausgabe von Benutzerzertifikaten ein kontrollierter Prozess durch das Zertifikatsmanagementsystem.

Weitergehende Informationen zur Zertifikatsausgabe können bei Bedarf erfragt werden. Die Detailverfahren zur Zertifikatsausgabe von Benutzerzertifikaten sind aus den Prozessabläufen für die Ausgabe von Smartcards zu entnehmen.





Seite

27 von 69






Aktivitäten der CA bei Zertifikatsausgabe

Vor Ausgabe der Zertifikate an die Zertifikatsnehmer werden folgende Arbeitsschritte CA-seitig ausgeführt.

Validierung der Zertifikatsanforderung für durch das CA Richtlinienmodul

o Bei kontrollierter Ausgabe durch das Zertifikatsmanagementsystem erfolgt die Validierung durch das Zertifikatsmanagement Richtlinienmodul

Archivierung der ausgegebenen Zertifikate und Zertifikatsanforderungen in der Datenbank der Asklepios User CA.

Archivierung der ausgegebenen Zertifikatsinformationen und des Antragsablaufs in der Datenbank des Zertifikatsmanagementsystems. Darüber hinaus werden Smartcard-relevante Informationen, wie PIN und PUK, als auch Zusatzinformationen in dieser Datenbank verschlüsselt abgelegt.

Beim Einsatz von Verschlüsselungsschlüsseln für Benutzer werden diese in der Datenbank der Asklepios User CA archiviert.

Die Ausgabe der Zertifikate für den Antragssteller erfolgt kontrolliert über das Zertifikatsmanagementsystem .

Ausgabebenachrichtigung der Zertifikatsnehmer durch die CA

Eine Ausgabebenachrichtigung erfolgt durch das Asklepios TrustCenter.

Zertifikatsannahme

Wie auch beim Zertifikatsantrag ist die Zertifikatsannahme von Benutzerzertifikaten ein kontrollierter Prozess durch das Asklepios Zertifikatsmanagementsystem.

Verfahren der Zertifikatsannahme

Die Zertifikatsannahme findet wie auch schon bei der Antragsstellung durch die Asklepios PKI statt. Im Falle von Benutzerzertifikaten für Smartcards gilt: Wenn ein Zertifikat durch das Asklepios Zertifikatsmanagementsystem erfolgreich ausgegeben wurde, so gilt es nach der PIN Eingabe des Benutzers als angenommen.

Publikation des Zertifikats

Die Publikation der Verschlüsselungszertifikate erfolgt automatisiert durch die Asklepios PKI in den lokalen Verzeichnisdienst. Keine Benutzerintervention ist hierzu notwendig. Die Publikation der Asklepios CA Zertifikate für die Asklepios Root CA, die Asklepios User CA und die Asklepios Machine CA wird auf den PKI Web Servern durch das Asklepios Rechenzentrum ausgeführt. Dies gilt auch für die Erneuerung der o. g. CA Zertifikate. Die Publikation der Asklepios CA Zertifikate in das Asklepios LDAP Verzeichnis erfolgt manuell für die Asklepios Root CA und automatisiert für die Asklepios User CA und die Asklepios Machine CA. Dies gilt auch für die Erneuerung der o. g. CA Zertifikate.

Ausgabebenachrichtigung anderer Entitäten durch die CA

Eine Ausgabebenachrichtigung an andere Entitäten durch die Asklepios CAs findet nicht statt.





Seite

28 von 69






Schlüsselpaar- und Zertifikatsverwendung

Grundsätzlich ist der Gebrauch des Schlüsselpaares für die Authentifikation und zur Verschlüsselung/Entschlüsselung von Informationen und zur Erstellung /Validierung von Signaturen vorgesehen.

Nutzung des privaten Schlüssels und Zertifikats durch den Zertifikatsnehmer

Die Nutzung der Zertifikate durch den Zertifikatsnehmer hat den Asklepios Zertifikatsrichtlinien zu folgen. In Kapitel 1 „Anwendungsbereich von Zertifikaten“ sind die zulässigen und unzulässigen Anwendungen der Schlüssel bzw. Zertifikate festgelegt. Außerdem muss der Zertifikatsnehmer bei der Nutzung der privaten Schlüssel seine in der Asklepios Richtlinie für Smartcards definierten Pflichten erfüllen. Für interne Mitarbeiter gilt: Regelungen Smartcards (intern) v1.8 Für Geschäftspartner gilt: Verpflichtungserklärung Smartcards (extern) v1.8

Nutzung des privaten Schlüssels und Zertifikats durch vertrauende Parteien

Die Nutzung der Zertifikate durch vertrauende Parteien hat den zugewiesenen Zertifikatsrichtlinien seiner Organisation zu folgen. Dort sind die zulässigen und unzulässigen Anwendungen der Schlüssel bzw. Zertifikate festgelegt.

Zertifikatserneuerung

In Rahmen der Asklepios PKI findet die Zertifikatserneuerung ausschließlich mit Schlüsselwechsel statt. Eine Erneuerung der Zertifikatslebensdauer mit gleichbleibenden Schlüsselpaaren ist nicht vorgesehen. Daher sind alle nachfolgenden Punkte für die Asklepios PKI nicht zutreffend.

Umstände für eine Zertifikatserneuerung

Nicht zutreffend.

Antragsberechtigte für eine Zertifikatserneuerung

Nicht zutreffend.

Durchführen einer Zertifikatserneuerung

Nicht zutreffend.

Erneuerungsbenachrichtigung für den Zertifikatsnehmer

Nicht zutreffend.

Verfahren zur Annahme der Zertifikatserneuerung

Nicht zutreffend.

Publikation des erneuerten Zertifikats durch die CA

Nicht zutreffend.





Seite

29 von 69






Erneuerungsbenachrichtigung anderer Entitäten durch die CA

Nicht zutreffend.

Zertifikatserneuerung mit Schlüsselwechsel

In Rahmen der Asklepios PKI findet die Zertifikatserneuerung ausschließlich mit Schlüsselwechsel statt. Technisch betrachtet handelt es sich um die Ersetzung eines Zertifikates durch ein Zertifikat mit neuer Gültigkeitsdauer und für einen neuen öffentlichen Schlüssel (respektive auch neuen privaten Schlüssel) aber sonst unveränderten Inhaltsdaten.

Umstände für eine Zertifikatserneuerung mit Schlüsselwechsel

Die Zertifikatserneuerung mit Schlüsselwechsel kann beantragt werden, wenn die folgenden Voraussetzungen erfüllt sind:

die Gültigkeitsdauer des aktuellen Zertifikats ist abgelaufen oder steht kurz vor Ablauf

das alte Zertifikat wurde gesperrt

die im Zertifikat enthaltenen Daten sind nicht korrekt.

der alte Schlüssel kann oder darf nicht mehr verwendet werden, weil er (möglicherweise) kompromittiert wurde

die Gültigkeitsdauer des aktuellen Zertifikats oder die aktuelle Schlüssellänge bietet keine ausreichende Sicherheit mehr

kann technisch nicht mehr genutzt werden kann (Verlust des privaten Schlüssels oder kein Zugriff auf private Schlüssel)

Antragsberechtigte für eine Zertifikatserneuerung mit Schlüsselwechsel

Sind alle Zertifikatsnehmer, denen ein gültiges Zertifikat durch die Asklepios PKI zugewiesen wurde

Durchführen einer Zertifikatserneuerung mit Schlüsselwechsel

Die Asklepios PKI führt die Zertifikatserneuerung mit Schlüsselwechsel von Benutzerzertifikaten für Smartcards kontrolliert durch das Zertifikats- und Smartcard Managementsystem.


Bei der kontrollierten Ausgabe- und Erneuerung durch das Zertifikats- und Smartcard Managementsystem wird eine Erneuerungsbenachrichtigung an den Antragssteller per E-Mail versendet. Die Erneuerungsbenachrichtigung wird an die Beteiligten innerhalb des Erneuerungsintervalls versandt.

Verfahren zur Annahme der Zertifikatserneuerung mit Schlüsselwechsel

Die Zertifikatsannahme findet wie auch schon bei der Antragsstellung durch die Asklepios PKI statt. Im Falle von Benutzerzertifikaten für Smartcards gilt: Wenn ein Zertifikat durch das Asklepios Zertifikatsmanagementsystem erfolgreich ausgegeben wurde, so gilt es nach der PIN Eingabe des Benutzers als angenommen.





Seite

30 von 69







Die Publikation der Verschlüsselungszertifikate erfolgt automatisiert durch die Asklepios PKI in den lokalen Verzeichnisdienst. Keine Benutzerintervention ist hierzu notwendig. Die Publikation der Asklepios CA Zertifikate für die Asklepios Root CA, die Asklepios User CA und die Asklepios Machine CA wird auf den PKI Web Servern manuell durch das Asklepios Rechenzentrum ausgeführt. Dies gilt auch für die Erneuerung der o. g. CA Zertifikate.


Eine Ausgabebenachrichtigung an andere Entitäten durch die Asklepios CAs findet nicht statt.

Zertifikatserneuerung mit Schlüsselwechsel und Datenanpassung

In Rahmen der Asklepios PKI findet die Zertifikatserneuerung nur ausschließlich mit Schlüsselwechsel statt. Eine Anpassung der Zertifikatsinhalte (Datenanpassung) ist nicht vorgesehen. Daher sind alle nachfolgenden Punkte für die Asklepios PKI nicht zutreffend.

Umstände für eine Zertifikatserneuerung mit Schlüsselwechsel und Datenanpassung

Nicht zutreffend.

Antragsberechtigte für eine Zertifikatserneuerung mit Schlüsselwechsel

Nicht zutreffend.

Durchführen einer Zertifikatserneuerung mit Schlüsselwechsel und Datenanpassung

Nicht zutreffend.


Nicht zutreffend.

Verfahren zur Annahme der Zertifikatserneuerung mit Schlüsselwechsel mit Datenanpassung

Nicht zutreffend.


Nicht zutreffend.


Nicht zutreffend.

Zertifikatssperrung und -suspendierung

Es ist primär eine Zertifikatssperrung und keine Zertifikatssuspendierung vorgesehen.





Seite

31 von 69






Umstände für die Sperrung

Eine Zertifikatssperrung ist in den folgenden Fällen zu sperren:

Wenn die Asklepios Smartcard entwendet, beschädigt oder verloren wurde, d. h. eine permanente Ersatzkarte mit neuen Zertifikaten ausgestellt wird

Wenn der berechtigte Verdacht besteht, dass der private Schlüssel, der zum öffentlichen Schlüssel im Zertifikat korrespondiert, kompromittiert wurde, d.h. dass ein Unbefugter den privaten Schlüssel nutzen kann.

Wenn der berechtigte Verdacht besteht, dass die für die Erzeugung und Anwendung des privaten Schlüssels, der zum öffentlichen Schlüssel im Zertifikat korrespondiert, eingesetzten Algorithmen, Parameter und Geräte die Fälschungssicherheit der erzeugten Signaturen nicht mehr gewährleisten.

Wenn der Eigentümer sein Zertifikat nicht mehr nutzen kann, z.B. der Benutzer keinen Zugriff auf das Schlüsselmaterial mehr hat.

Wenn zu dem Zertifikat, eine Zertifikatserneuerung mit Schlüsselwechsel beantragt wurde oder in Kürze beantragt wird.

Wenn die Asklepios Kliniken GmbH ihre Zertifizierungsdienste eingestellt. In diesem Fall werden sämtliche von den Zertifizierungsdiensten ausgestellten Zertifikate gesperrt.

Wenn der Zertifikatseigentümer die Voraussetzungen für die Beantragung des Zertifikates nicht mehr erfüllt, z.B. weil der Asklepios Mitarbeiter aus dem Dienst ausscheidet oder gegen die bestehende Zertifikatsrichtlinie verstoßen hat.

Wenn das Projekt bzw. Anwendung, wofür die Smartcard ausgegeben wurde, ausläuft.

Antragsberechtigte für eine Sperrung

Folgende Personenkreise und Instanzen sind berechtigt Zertifikate zu sperren:

die Sperrung eines Zertifikats kann durch

o den Zertifikatsnehmer selbst (Zertifikatsinhaber),

o seinen Vertreter (durch Vollmacht),

o seinen Vorgesetzten oder

Die Sperrung von CA Zertifikaten kann durch das Asklepios TrustCenter veranlasst werden.

Durchführung einer Zertifikatssperrung

Die Zertifikatssperrung erfolgt per schriftlichen Antrag. In Ausnahmefällen wird eine E-Mail an das TrustCenter akzeptiert. Hierbei findet eine Validierung des E-Mail Absenders statt. Durchgeführt wird die Zertifikatssperrung grundsätzlich durch das Asklepios TrustCenter und/oder den Asklepios Service Desk statt. Hierzu wird die Sperrung mit Hilfe des Zertifikats- und Smartcard Managementsystem ausgeführt.





Seite

32 von 69






Meldefrist von Sperranträgen für Zertifikatsnehmer

Es sind keine vorgeschriebenen Fristen festgelegt. Grundsätzlich soll eine Meldung von Sperranträgen direkt erfolgen.

Bearbeitungsdauer von Sperranträgen durch die CA

Es ist keine festgeschriebene Bearbeitungsdauer von Sperranträgen durch die CA spezifiziert.

Prüfung des Zertifikatsstatus durch vertrauende Parteien

Eine Überprüfung des Zertifikatsstatus durch vertrauende Parteien wird empfohlen. Der Sperrstatus von Asklepios Zertifikaten und von Asklepios Zertifizierungsstellenzertifikaten können über die entsprechenden Sperrlisten geprüft werden. Die aktuellen Zertifikatssperrlisten können durch die in den Zertifikat enthaltenen CDPs (CRL Distribution Points) heruntergeladen werden.

Ausstellungszeiträume für CRLs

Folgende Ausgabeschemata sind für die Asklepios PKI gültig: Asklepios Root CA:

CRL Veröffentlichungsperiode: 6 Monate

CRL Veröffentlichung Überlappungsperiode: 2 Monate Asklepios User CA:

CRL Veröffentlichungsperiode: 24 Stunden

CRL Veröffentlichung Überlappungsperiode: 8 Stunden Asklepios Machine CA:

CRL Veröffentlichungsperiode: 7 Tage

CRL Veröffentlichung Überlappungsperiode: 2 Tage

Maximale Latenz von CRLs

Die CRLs stehen sofort nach Veröffentlichung auf den Asklepios PKI Web-Servern zur Verfügung. Eine Latenzzeit von CRLs auf der Web Lokation ist nicht zu erwarten.

Online Sperrung und Statusprüfung von Zertifikaten

nicht zutreffend. Online Sperrung und Statusprüfung ist für die Asklepios PKI nicht vorgesehen.

Anforderung für die Online Prüfung des Sperrstatus

nicht zutreffend.

Weitere Arten zur Bekanntmachung von Zertifikatsstatus

Keine weiteren. Asklepios CRLs werden auf Web Lokationen veröffentlicht, welche im Zertifikat über die CDP Einträge bekannt gemacht werden.





Seite

33 von 69






Spezielle Maßnahmen bei Schlüsselkompromittierung

Bei einem Hinweis einer Schlüsselkompromittierung wird eine entsprechende Untersuchung durchgeführt. Sollte die Kompromittierung sich als stichhaltig erweisen, so werden die notwendigen Maßnahmen ergriffen, wie die Sperrung der betroffenen Zertifikate.

Umstände für eine Suspendierung

Nicht zutreffend, da eine permanente Sperrung des Zertifikats vorgesehen ist.

Berechtigte für eine Suspendierung


Durchführung einer Suspendierung


Dauer einer Suspendierung


Auskunftsdienste für den Zertifikatsstatus

Die Asklepios Kliniken GmbH betreibt einen Auskunftsdienst über den Zertifikatsstatus. Dieser Auskunftsdienst ist web-basiert und wird durch die URL http://pki.asklepios.com/

repräsentiert. Es werden die CRLs (Zertifikatssperrlisten) veröffentlicht:

Die Statusinformationen zu den End-Entitäten Zertifikaten werden in der CRL durch die Asklepios User CA und durch die Asklepios Machine CA veröffentlicht.

Die Statusinformationen zu den Zertifikaten der Zertifizierungsstellen werden in der CRL, ausgegeben durch die Asklepios Root CA, veröffentlicht.

Für jeden dieser Zertifikatstypen werden separate CRLs (Sperrlisten) veröffentlicht.

Betriebliche Ausprägung

Der Auskunftsdienst ist web basierend und verwendet als Übertragungsprotokoll http Auf folgenden URLs können die CRLs abgerufen werden:

http://pki.asklepios.com/Asklepios Root CA.crl

http://pki.asklepios.com/Asklepios User CA.crl

http://pki.asklepios.com/Asklepios Machine CA.crl

Die CRLs und zu sperrende Zertifikate müssen von der gleichen Zertifizierungsstelle ausgegeben worden sein. Eine Unterstützung von „indirekten CRLs“ ist in der jetzigen Implementierung nicht gegeben. Das ausgegebene CRL Profil ist zu RFC 5280 konform und entspricht dem X.509 Version 2 Standard.

Verfügbarkeit des Auskunftsdienstes

Die Verfügbarkeit der Asklepios PKI Web-Server ist für einen 7 x 24h Betrieb ausgelegt.

http://pki.asklepios.com/asklepios%20user%20ca.crl

http://pki.asklepios.com/Asklepios







Seite

34 von 69






Optionale Funktionen

Keine.

Beendigung des Vertragsverhältnisses durch den Zertifikatsnehmer

Ein Zertifikatsnehmer eines Asklepios Zertifikats scheidet aus den Zertifizierungsdiensten aus, wenn er aus dem Arbeitsverhältnis mit einem Unternehmen der Asklepios Gruppe ausscheidet bzw. sein Vertragsverhältnis als externer Mitarbeiter oder Geschäftspartner endet.

Schlüsselhinterlegung und -wiederherstellung

Eine Schlüsselhinterlegung und –wiederherstellung wird derzeit im Rahmen der Asklepios PKI für Verschlüsselungsschlüssel nicht praktiziert.

Richtlinien und Praktiken zur Schlüsselhinterlegung und –wiederherstellung

Nicht zutreffend

Richtlinien und Praktiken zur Hinterlegung und Wiederherstellung von Sitzungsschlüsseln (symmetrischen Schlüsseln)

Nicht zutreffend. Sitzungsschlüssel werden nicht archiviert.





Seite

35 von 69






5. Einrichtungen, Sicherheitsmanagement, organisatorische und betriebliche Sicherheitsmassnahmen

Physikalische- und Umgebungssicherheit

Die infrastrukturellen Sicherheitsmaßnahmen der Asklepios PKI sind in den Systembetrieb des Asklepios Rechenzentrums eingebettet. Nachfolgende Vorkehrungen und physikalische Schutzmaßnahmen sind integraler Bestandteil der Rechenzentren betrieben durch die Asklepios Kliniken GmbH. Weiterführende Informationen können den Richtlinien des Informationssicherheitsmanagementsystems (gemäß ISO/IEC 27001:2005) des Asklepios Rechenzentrums entnommen werden.

Lage und Konstruktion

Die Systeme der Asklepios PKI befinden sich in den Räumlichkeiten des Asklepios Rechenzentrums. Die Räume bieten hinsichtlich der physikalischen Sicherheitsmaßnahmen einen ausreichenden Schutz, der dem erforderlichen Sicherheitsniveau angemessen ist.

Zutrittskontrolle

Die Betriebsräume der Zertifizierungsstellen sind durch geeignete technische und infrastrukturelle Maßnahmen gesichert. Ein Zutritt zu den Betriebsräumen der Zertifizierungsstelle wird nur Mitarbeitern gestattet, die die entsprechende Freigabestufe besitzen. Der Zutritt durch betriebsfremde Personen wird durch eine Besucherregelung festgelegt.

Stromversorgung und Klimatisierung

Die Installation zur Stromversorgung entspricht den erforderlichen Normen, eine Klimatisierung der Räume für die technische Infrastruktur ist vorhanden.

Wasserschäden

Die Räume für die technische Infrastruktur verfügen über einen angemessenen Schutz vor Wasserschäden.

Prävention und Schutz vor Feuer

Die bestehenden Brandschutzvorschriften werden eingehalten.

Datenträger

Es werden folgende Datenträger verwendet:

Papier

CD-ROMs

USB-Speichermodule

Magnetbänder

Hardwaretoken





Seite

36 von 69






Datenträger werden in verschlossenen Schränken aufbewahrt. Datenträger mit sensiblen Daten, wie z. B. HSM Hardware Tokens, werden in einem Tresor aufbewahrt.

Abfall Entsorgung

Informationen auf elektronischen Datenträgern werden sachgemäß vernichtet und anschließend sachgerecht entsorgt. Papierdatenträger werden mittels vorhandenen Aktenvernichtern zerstört und auch hier sachgerecht entsorgt.

Off-site Backup

Ein Off-site Backup ist vorhanden.

Organisatorische Sicherheitskontrollen

Sicherheitskritische Rollen

Sicherheitskritische Aufgaben werden für den Betrieb der Asklepios PKI in Rollen zusammengefasst. Ein PKI Rollenkonzept ist verfügbar und wird für den organisatorischen Prozess und auch für den HSM (Hardware Security Module) Betrieb umgesetzt.

Zugewiesene Zahl von Personen bei sicherheitskritischen Aufgaben

Das Vier-Augen-Prinzip gilt bei folgenden Operationen:

Wiederherstellen des Schlüsselmaterials der Asklepios Zertifizierungsstellen

Wiederherstellen der Asklepios Zertifizierungsstellen

Zugriff auf die Hardware Security Module der Asklepios Zertifizierungsstellen

Identifikation und Authentifikation der Rollen

Die Identifikation und Authentisierung der Benutzer erfolgt beim Zutritt zu sicherheitsrelevanten Räumen und beim Zugriff auf sicherheitsrelevante Systeme mit Hilfe von Smartcards, Hardware Tokens und/oder Benutzername und Passwort. Bei besonders sicherheitskritischen Operationen, wie die Verwaltung von Zertifizierungsstellen-schlüssel wird das Vier-Augen-Prinzip adressiert.

Trennung von Rollen und Aufgaben

Das Rollenkonzept regelt auch, welche Zuordnungen von Personen zu Rollen sich gegenseitig ausschließen.

Sicherheitsmassnahmen für das Personal

Die Asklepios Kliniken GmbH stellt im Rahmen der Asklepios PKI erfahrenes Personal zur Verfügung. Notwendige Qualifikation, Wissenstand und Erfahrungswerte des Personals sind für den sicheren PKI Regelbetrieb vorhanden.





Seite

37 von 69






Anforderung an Qualifikation, Erfahrung und Freigabestufe

Das zuständige Personal verfügt über die erforderlichen spezifischen Kenntnisse und Erfahrungen aus dem Bereich der PKI. Ebenso sind grundlegende IT Kenntnisse vorhanden um auch systemnahe Operationen auszuführen.

Prozess zur Sicherheitsüberprüfung von Mitarbeitern

Es gelten die allgemeinen Personaleinstellungsrichtlinien der Asklepios Kliniken GmbH.

Trainingsanforderung

Das für den Zertifizierungsdienst eingesetzte Personal wird vor Aufnahme der Tätigkeit ausreichend geschult. Das Training beinhaltet auch eine Sensibilisierung der Mitarbeiter hinsichtlich der Sicherheitsrelevanz ihrer Arbeit und potenzieller Bedrohungen.

Trainingsfrequenz

Die Frequenz der Trainings orientiert sich an den Anforderungen der Asklepios PKI. Trainings werden insbesondere bei der Einführung neuer Richtlinien, IT-Systeme und Sicherheitstechnik durchgeführt.

Frequenz und Abfolge von Job Rotation

Eine Job Rotation ist nicht vorgesehen.

Sanktionen bei unzulässigen Handlungen

Die allgemeinen Sanktionsmöglichkeiten der Asklepios Kliniken GmbH werden bei unzulässigen Handlungen angewandt.

Vertragsbedingungen für das Personal

Das Asklepios PKI Betriebspersonal verpflichtet sich auf die die Einhaltung von Anweisungen und gesetzlichen Vorschriften. Diese beinhalten insbesondere eine Verpflichtung, personenbezogene Daten vertraulich zu behandeln.

An das Personal ausgehändigte Dokumente

Folgende Dokumente werden dem Asklepios Personal zum ordnungsgemäßen Betrieb der Asklepios PKI zur Verfügung gestellt:

Zertifikatsrichtlinie oder Certificate Policy (CP)

Erklärung zum Zertifizierungsbetrieb oder Certification Practice Statement (CPS)

Betriebskonzept und Sicherheitskonzept des Asklepios PKIs

Handlungsanweisungen

Betriebshandbücher der Systeme und Software





Seite

38 von 69






Überwachung von sicherheitskritischen Ereignissen

Protokollierte Ereignisse

Zu jedem Ereignis werden folgenden Daten erfasst:

Zeitpunkt (Datum und Uhrzeit)

Log ID des Eintrages

Art des Ereignisses

Ursprung des Ereignisses Die folgenden Ereignisse werden elektronisch protokolliert:

Ereignisse im Lebenszyklus der Zertifikate und Schlüsselpaare:

o Erstmalige Registrierung für Mitarbeiterzertifikate

o Ausstellung von Zertifikaten

o Veröffentlichung von Zertifikaten

o Registrierung für eine Re-Zertifizierung

o Sperranfragen an die CA durch die RA

o Sperrungen

o Erstellung von Sperrlisten

Ereignisse im Lebenszyklus der Verschlüsselungsschlüsselpaare:

o Generierung von Verschlüsselungsschlüsselpaaren

o Archivierung (Backup) von privaten Verschlüsselungsschlüsseln

o Wiederherstellung von privaten Verschlüsselungsschlüsseln

Ereignisse im Lebenszyklus der HSMs:

o Initialisierung eines HSM

o Änderung der Konfiguration eines HSM

o An- und Abmeldung an einem HSM

o Generierung von Schlüsseln in einem HSM

o Backup und Wiederherstellung von Schlüsseln in einem HSM

o Löschen von Schlüsseln in einem HSM

Systemereignisse und Fehlermeldungen der sicherheitskritischen Systeme:

o Versuche zur An- und Abmeldung

o Vergabe und Entzug von Zugriffsberechtigungen

o Zugriffe und Zugriffsversuche per Netzwerk

Ereignisse der Zutrittskontrollanlagen:





Seite

39 von 69






o Betreten und Verlassen von gesicherten Räumen

Durch internes Personal

Durch externes Personal

o Fehlgeschlagene Zutrittsversuche und Alarme

o Vergabe und Entzug von Zutrittsberechtigungen

o Beantragung, Ausgabe und Sperrung von Zutrittskarten Ergänzend zu den elektronischen Log-Dateien werden auch Änderungen der Richtlinien und des Betriebshandbuchs erfasst:

Rollendefinitionen

Prozessbeschreibungen

Wechsel der Verantwortlichkeiten

Überprüfungshäufigkeit von Log-Daten

Eine Überprüfung der Log-Daten sollte in regelmäßigen Abständen stattfinden. Bei Verdacht auf Unregelmäßigkeiten wird eine umgehende Prüfung veranlasst.

Aufbewahrungsfristen von Audit Log-Daten

Sicherheitsrelevante Protokolldaten werden entsprechend den gesetzlichen Regelungen aufbewahrt.

Schutzmaßnahmen von Audit Log-Daten

Elektronische Log-Dateien werden mit Mitteln des Betriebssystems gegen Zugriff, Löschung und Manipulation geschützt und sind nur den System- und Netzwerkadministratoren zugänglich.

Audit Log-Daten Backup-Verfahren

Die Protokolldaten werden zusammen mit anderen relevanten Daten einem regelmäßigen Backup unterzogen.

Audit Collection System (Protokollierungssystem intern oder extern)

Alle Protokoll-Dateien werden regelmäßig gesichert.

Benachrichtigung bei Auslösen eines sicherheitskritischen Ereignisses

Eine Benachrichtigung des PKI Bedienerpersonals findet bei Auftreten von Produktionsproblemen statt.

Schwachstellenanalyse

Schwachstellenanalysen werden kontinuierlich im Rahmen des Informationssicherheits-managementsystems durchgeführt.

Archivierung von Protokolldaten Die Asklepios Kliniken GmbH archiviert in Rahmen des PKI Betriebes die notwendigen Protokolldaten.





Seite

40 von 69






Archivierte Protokolldatentypen

Archiviert werden Daten, die für den Zertifizierungsprozess relevant sind:

Zertifikatanträge, diese enthalten persönliche Daten des Zertifikatnehmers

Alle von der Zertifizierungsstelle ausgestellten Zertifikate

Sperranträge für Zertifikate und für Zertifizierungsstellen Zertifikate

Vor einer Modifikation eines Systems gesicherte Systemdaten

Datensicherungen der Produktivsysteme

Dokumentation der personellen Sicherheitsmaßnahmen (z.B. Dienstpläne, Dokumentation der Sicherheitsüberprüfungen)

Dokumentationen von Prozeduren und Systemen (z.B. Handlungsanweisungen, Notfallpläne, Systemhandbücher)

Protokolle von sicherheitsrelevanten interner Prozeduren und Prozesse:

o Prozeduren der Schlüsselzeremonie

o Prozeduren bei Installation und Konfiguration der Zertifizierungsstellen

o Prozeduren bei Installation und Konfiguration des Asklepios PKI

o Notfallprozeduren

o Change-Management-Prozeduren

o Zugang zu den geschützten Räumlichkeiten durch externes Personal.

o Prüfung, Installation und Administration von HSMs

o Ausgabe von Zutrittskarten zu geschützten Räumlichkeiten

o Änderung, Kenntnisnahme oder Übergabe von PINs und Passwörtern für HSMs

o Änderungen in den Zuweisungen von Rollen

Archivierungsfristen

Zu archivierende Daten werden gemäß den Asklepios Regelungen aufbewahrt.

Schutzmaßnahmen für das Archiv

Es wird durch geeignete Maßnahmen sichergestellt, dass die Daten nicht verändert oder gelöscht werden können. Sind in den Archiven personenbezogene Daten enthalten, wird darüber hinaus sichergestellt, dass die Daten nicht unbefugt gelesen oder kopiert werden können. Die Schutzmaßnahmen für elektronische Datenträger entsprechen den für den Rechenzentrums-Betriebs der Asklepios Kliniken GmbH vorgesehenen Prozessen.

Backup-Verfahren für das Archiv

Die Verfahren und Prozesse für das Archiv Backup folgt der für den Rechenzentrumsbetrieb der Asklepios Kliniken GmbH vorgesehenen Umsetzung.





Seite

41 von 69






Zeitstempelanforderungen für archivierte Daten

Audit Logs, protokollierte Ereignisse, archivierte Daten, Zertifikate, Zertifikatssperrlisten und andere Eintragungen enthalten jeweils eine eindeutige Zeit- und Datumsangabe. Datums- und Zeitangaben von Online-Systemen werden in regelmäßigen Abständen gegen eine vertrauenswürdige Zeitquelle synchronisiert.

Archivierungssystem (intern oder extern)

Nicht zutreffend.

Verfahren zur Beschaffung und Verifizierung von Archivdaten

Nicht zutreffend.

Schlüsselwechsel der Zertifizierungsstellen

Bei einem Schlüsselwechsel der Asklepios Root CA wird das alte CA Zertifikat zerstört und ein neues selbst-signiertes Zertifikat ausgestellt und veröffentlicht. Eine Sperrung der selbst-signierenden Root CA Zertifikats ist technisch auf der CA Seite nicht machbar. Bei einem Schlüsselwechsel der Asklepios User CA bzw. Asklepios Machine CA wird das User CA Zertifikat bzw. Machine CA Zertifikat von der Asklepios Root CA gesperrt und eine neues Zertifikat ausgestellt und veröffentlicht. Die Beantragung selbst erfolgt durch die Asklepios User CA bzw. Asklepios Machine CA. Die CA Zertifikatserneuerung mit Schlüsselwechsel folgt dem unten aufgeführten Schema: Asklepios Root CA



Erneuerungsperiode Asklepios Root CA Zertifikat spätestens 24 Monate vor Ablauf

Asklepios User CA



Erneuerungsperiode Asklepios User CA Zertifikat spätestens 24 Monate vor Ablauf


Machine CA Zertifikat: 6 Jahre


Erneuerungsperiode Asklepios Machine CA Zertifikat spätestens 24 Monate vor Ablauf





Seite

42 von 69






Kompromittierung und Wiederanlauf nach Katastrophen

Prozeduren bei Sicherheitsvorfällen und Kompromittierung

Es existieren Notfallpläne der Asklepios Kliniken GmbH, in denen die Prozesse, Prozeduren und Verantwortlichkeiten bei Notfällen und Katastrophen geregelt sind. Zielsetzung dieser Notfall -Prozeduren ist die Minimierung von Ausfällen der Zertifizierungsdienstleistungen bei gleichzeitiger Aufrechterhaltung der Sicherheit. Die Notfall-Prozeduren sehen bei Sicherheitsvorfällen insbesondere die folgenden Maßnahmen vor:

Analyse und Bewertung der Funktionseinschränkung und Sicherheitsprobleme der betroffenen Dienste und Systeme der Zertifizierungsstelle.

Festlegung von Sofortmaßnahmen, die den Funktionseinschränkungen und Sicherheitsproblemen entgegenwirken.

Regelung der Verantwortlichkeiten und Rollen

Falls erforderlich, Benachrichtigung betroffener Stellen und Personen, z.B. der Zertifikatsnehmer, über die Problematik und gegebenenfalls notwendige Gegenmaßnahmen.

Analyse und Dokumentation der Ursachen des Vorfalles.

Gegebenenfalls Erstellung, Prüfung und Genehmigung eines Change Requests zur Modifikation der Systemkonfiguration mit dem Ziel, Vorfälle dieser Art in Zukunft zu verhindern. Überwachung der Umsetzung des Change Requests.

Protokollierung der einzelnen Maßnahmen und Tätigkeiten.

Kompromittierung bei IT Ressourcen

Werden innerhalb der Zertifizierungsstelle fehlerhafte oder manipulierte Rechner, Software und/oder Daten festgestellt, die Auswirkungen auf die Prozesse der Zertifizierungsstelle haben,

wird der Betrieb des entsprechenden IT-Systems unverzüglich eingestellt.

Das IT-System wird neu aufgesetzt unter Wiederherstellung der Software und der Daten aus der Datensicherung, überprüft und in einem sicheren Zustand in Betrieb genommen.

Anschließend wird das fehlerhafte oder modifizierte IT-System analysiert. Bei Verdacht einer vorsätzlichen Handlung werden gegebenenfalls rechtliche Schritte eingeleitet.

Falls sich in einem Zertifikat fehlerhafte Angaben befinden, wird der Zertifikatnehmer unverzüglich informiert und das Zertifikat widerrufen.

Wiederanlauf bei Kompromittierung von privaten Schlüsselmaterial

Die Kompromittierung von privatem Schlüsselmaterial stellt einen ernstzunehmenden Zwischenfall dar und wird daher besonders gehandhabt.

Bei Kompromittierung von privatem Schlüsselmaterial der Zertifizierungsstellen wird das jeweilige Zertifikat sofort gesperrt. Gleichzeitig werden alle mit Hilfe dieses Zertifikats ausgestellten Zertifikate gesperrt.





Seite

43 von 69






Bei Kompromittierung von privatem Schlüsselmaterial des Asklepios Benutzerzertifikats für Smartcards wird das jeweilige Zertifikat sofort gesperrt.

Sofern der Verdacht besteht, dass die für die Erzeugung und Anwendung des privaten Schlüssels eingesetzten Algorithmen, Parameter oder Geräte unsicher sind, wird eine entsprechende Untersuchung durchgeführt.

Alle betroffenen Zertifikatsnehmer und vertrauende Parteien werden umgehend benachrichtigt.

Notfallbetrieb nach einem Katastrophenfall

Eine Wiederaufnahme des Zertifizierungsbetriebs nach einer Katastrophe bei Verlust ist Bestandteil der Notfallplanung und kann innerhalb kurzer Zeit erfolgen, sofern die Sicherheit der Zertifizierungsdienstleistung gegeben ist.

Einstellung des Betriebs der Zertifizierungs- und/oder Registrierungsstelle

Im Falle der Einstellung des Betriebes der Asklepios Zertifizierungsstellen oder der Registrierungsstellen sind folgende Maßnahmen festgelegt:

Alle Zertifikatsnehmer und vertrauende Parteien werden von der Einstellung des Zertifizierungsdienstes informiert.

Alle Benutzerzertifikate, sowie die Zertifikate der Zertifizierungsstellen werden gesperrt.

Alle privaten Schlüssel der Zertifizierungsstellen und Benutzerzertifikate für Smartcards der Zertifikatsnehmer werden vernichtet.

Ausnahme bildet das Schlüsselmaterial für die Verschlüsselung. Diese werden in gesicherten Umgebungen, z. B. verschlüsselte Datenbank, archiviert.





Seite

44 von 69






6. Technische Sicherheitsmaßnahmen

Schlüsselpaarerzeugung und Installation

Schlüsselpaarerzeugung

Die Schlüsselerzeugung und die Auswahl der Crypto-Algorithmen für die Asklepios PKI erfolgt nach FIPS 140-2 Level 1 bzw. 2 (Federal Information Processing Standards). Die Generierung der Schlüsselpaare wird von Hard- und Softwarekomponenten ausgeführt und unterscheidet sich je nach Entität: Schlüsselpaargenerierung für die Asklepios Zertifizierungsstellen: Alle Schlüsselpaare für die Asklepios Zertifizierungsstellen werden durch das Netzwerk-HSM (Hardware Security Modul) generiert. Die generierten CA Schlüssel werden auch durch das Netzwerk HSM kryptographisch geschützt. Jeglicher Prozess, der den Zugriff auf den privaten Schlüssel der Zertifizierungsstelle erforderlich macht, ist das HSM zwingend eingebunden. Die Asklepios Netzwerk HSM wird im Fips 140-2 Level 2 Modus betrieben. Schlüsselpaargenerierung der Schlüssel für Asklepios Benutzerzertifikate auf Smartcards: Das Authentifikationsschlüsselpaar für Benutzerzertifikate auf Smartcards wird durch die eingesetzte Smartcard für den Asklepios Zertifikatsnehmer generiert. Die Generierung des Schlüsselmaterials erfolgt in diesem Fall durch Hardware. Die Hardware Crypto-Komponenten auf der Smartcard sind nach FIPS 140-2 Level 3 zertifiziert.

Auslieferung der privaten Schlüssel an Zertifikatsnehmer

Private Schlüssel der Asklepios Zertifizierungsstellen: Jeglicher Prozess, der den Zugriff auf den privaten Schlüssel der Zertifizierungsstelle erforderlich macht, ist das HSM zwingend eingebunden; alle privaten CA Schlüssel liegen nur in der HSM selbst vor. Eine Auslieferung des privaten Schlüsselmaterials von CA Schlüsseln ist nicht notwendig, da die HSM für die Schlüsselerzeugung und als sichere Ablage für private Schlüssel der Zertifizierungsstellen dient. Private Schlüssel für Asklepios Benutzerzertifikate auf Smartcards; Die Smartcard wird an den Asklepios Zertifikatsnehmer ausgeliefert. Im Auslieferungszustand ist die Smartcard ohne Schlüsselpaare und Zertifikate. In Rahmen der Smartcard Provisionierung werden die Schlüsselpaare für Benutzerzertifikate auf der eingesetzten Smartcard generiert, oder zukünftig im Falle von Verschlüsselungsschlüssel nachträglich aufgebracht. Der Zugriff auf den privaten Schlüssel wird erst nach erfolgreicher Freischaltung durch einen Benutzer PIN gewährt.

Auslieferung der öffentlichen Schlüssel an Zertifikatsaussteller

Der Certificate Signing Request (CSR) des Zertifikatnehmers wird durch die Asklepios PKI an die Zertifizierungsstelle zum Zwecke der Zertifizierung im PKCS#10 Format übermittelt. Der gesamte Prozess findet automatisiert statt. Der Certificate Signing Request der Asklepios User CA und der Asklepios Machine CA erfolgt auch im PKCS#10 Format. Allerdings findet dieser Prozess, aufgrund der Offline-Mimik der Asklepios Root CA, rein manuell statt.





Seite

45 von 69






Auslieferung der öffentlichen CA Schlüssel an vertrauende Parteien

Die Auslieferung der öffentlichen CA Schlüssel erfolgt manuell. Des Weiteren sind die öffentlichen Schlüssel der Asklepios Zertifizierungsstellen auf dafür vorgesehenen Web-URLs oder im LDAP Verzeichnis publiziert: Asklepios Root CA: http://pki.asklepios.com/Asklepios Root CA.crt ldap:///CN=Asklepios%20Root%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate?base?objectClass=certificationAuthority

Asklepios User CA: http://pki.asklepios.com/Asklepios User CA.crt ldap:///CN=Asklepios%20User%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate?base?objectClass=certificationAuthority

Asklepios Machine CA: http://pki.asklepios.com/Asklepios Machine CA.crt ldap:///CN=Asklepios%20Machine%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate?base?objectClass=certificationAuthority

Schlüssellängen

Asklepios CA Schlüssellänge:

Asklepios Root CA – 4096bit (HSM) – RSA Algorithmus

Asklepios User CA – 4096bit (HSM) – RSA Algorithmus

Asklepios Machine CA – 4096bit (HSM) – RSA Algorithmus

Asklepios Zertifikatsnehmer Schlüssellänge:

Asklepios Benutzerzertifikate für Smartcards – 2048bit – RSA Algorithmus

Erzeugung und Prüfung der Schlüsselparameter

Public Key Algorithmus: 1.2.840.113549.1.1.1 (RSA)

Signaturalgorithmus: 1.2.840.113549.1.1.5 (sha1RSA)



http://pki.asklepios.com/Asklepios%20Machine%20CA.crt





Seite

46 von 69






Schlüsselverwendungszweck

Siehe auch in Abschnitt Zertifikats- und CRL Profile Asklepios CA Schlüsselverwendung:

Asklepios Root CA – Digital Signature, Certificate Signing, CRL Signing, CRL Signing (offline)

Asklepios User CA – Digital Signature, Certificate Signing, CRL Signing, CRL Signing (offline)

Asklepios Machine CA – Digital Signature, Certificate Signing, CRL Signing, CRL Signing (offline)

Asklepios Zertifikatsnehmer Schlüsselverwendung:

Asklepios FIMCM User Authentication – Digital Signature

Asklepios FIMCM User Encryption – Key Encipherment

Asklepios FIMCM User Signature – Digital Signature

Asklepios FIMCM User Authentication non OneIT – Digital Signature

Asklepios User Authentication – Digital Signature

Asklepios Extranet User Authentication – Digital Signature

Schutz des privaten Schlüssels und kryptographische Module

In der Asklepios PKI wird privates Schlüsselmaterial durch kryptographische Module in der Ausprägung als Hardware oder Software geschützt. Der Schutz des privaten Schlüsselmaterials von Asklepios Zertifizierungsstellen wird durch das Hardware Security Modul und des privaten Schlüsselmaterials von Asklepios Zertifikatsnehmern durch eine Software und Hardware Implementierung der Crypto-Schnittstelle umgesetzt. Der Schutz des privaten Schlüsselmaterials von:

Asklepios Zertifizierungsstellen wird durch das Hardware Security Modul

Asklepios Zertifikate für Smartcards wird durch eine Implementierung der Crypto-Schnittstelle auf der Smartcard

Asklepios Software Zertifikate wird durch eine Software Implementierung der Crypto-Schnittstelle

realisiert.

Standards und Sicherheitsmassnahmen von kryptographischen Modulen

Das eingesetzte Netzwerk HSM ist nach FIPS 140-2, Level 2 and Level 3 evaluiert.

Die eingesetzten Smartcards sind nach FIPS 140-2, Level 3 evaluiert.

Die eingesetzten Software Crypto-Module sind nach FIPS 140-2, Level 1 evaluiert.





Seite

47 von 69






Mehr-Personenkontrolle von privaten Schlüsseln (n von m Verfahren)

Eine Schlüsselteilung von privaten Schlüsseln findet nicht statt. Ausnahme bildet der Betrieb der Netzwerk HSM. Ein n-von-m Verfahren für die Netzwerk HSM Verwaltung wurde eingerichtet.

Hinterlegung von privaten Schlüsseln

Nicht zutreffend. Private Schlüssel werden nicht hinterlegt. Zur Wiederherstellung von privatem Schlüsselmaterial steht ein Schlüssel Backup zur Verfügung.

Backup von privaten Schlüsseln

Privates Schlüsselmaterial der Asklepios Zertifizierungsstellen wird durch die Netzwerk HSM eigenen Backup Komponenten und Prozesse gesichert. Privates Schlüsselmaterial der Asklepios Zertifikatsnehmer für Verschlüsselungsschlüssel wird durch das Asklepios PKI angebotenen Backup Mechanismen gesichert. Das proivate Schlüsselmaterial von Asklepios Zertifikatsnehmern liegt hierbei nicht im Klartext vor, sondern verschlüsselt durch das Schlüsselmaterial des Schlüsselwiederherstellungsagenten.

Archivierung von privaten Schlüsseln

Private Schlüssel werden nur für Verschlüsselungsschlüssel hinterlegt. Zur Wiederherstellung von privatem Schlüsselmaterial steht ein Schlüssel Backup/Archiv zur Verfügung.

Transfer von privaten Schlüsseln in oder aus einem kryptographischen Modul

Nicht zutreffend. Ein Transfer von privaten Schlüsseln ist nicht vorgesehen, da alle privaten Schlüssel in der Komponente verbleiben, die diese auch erzeugt haben. Privates Schlüsselmaterial der Asklepios Zertifizierungsstellen wird durch die Netzwerk HSM eigenen Backup Komponenten und Prozesse gesichert.

Ablage von privaten Schlüsseln im kryptographischen Modul

Die privaten Schlüssel der Asklepios Root CA und der Asklepios User CA und der Asklepios Machine CA werden durch das Netzwerk HSM verwaltet und geschützt. Darüber hinaus wird ein Backup der CA Schlüssel durch das Netzwerk HSM ausgeführt, diese wiederum sind in einer physisch geschützten Umgebung abgelegt. Das Netzwerk HSM ist nach FIPS 140-2, Level 2 und Level 3 zertifiziert. Die privaten Schlüssel für Benutzerzertifikate auf Smartcards werden durch die eingesetzte Smartcard geschützt und in einem gesicherten Bereich auf der Smartcard abgelegt. Die eingesetzten Smartcards sind nach FIPS 140-2, Level 3 zertifiziert. Die privaten Schlüssel für die Asklepios Software Zertifikate werden auf auf der beantragenden Maschine durch eine Software Crypto-Komponente verwaltet und gesichert abgelegt. Die Software Crypto-Komponenten sind nach FIPS 140-2 Level 1 zertifiziert.

Aktivierung der privaten Schlüssel

Eine Aktivierung von privaten Schlüsseln ist nur für Asklepios Benutzerschlüssel auf Smartcards vorgesehen. Die Aktivierung und damit auch der Zugriff auf den privaten Schlüssel erfolgt durch Festlegung einer Smartcard PIN durch den Benutzer.





Seite

48 von 69






Deaktivierung der privaten Schlüssel

Nicht zutreffend. Eine Deaktivierung von privaten Schlüsseln ist für die Asklepios PKI nicht vorgesehen.

Vernichtung der privaten Schlüssel

Die Methoden zur Vernichtung privater Schlüssel durch den Zertifizierungsdienstanbieter hängen von der kryptographischen Hardware und/oder der kryptographischen Software ab, in der die Schlüssel gespeichert werden:

Die Vernichtung des gesamten privaten Schlüsselmaterials erfolgt in der Regel durch das Löschen des privaten Schlüsselspeichers. Eine individuelle Löschung von privaten Schlüsseln muss manuell umgesetzt werden.

Private CA Schlüssel, die in HSMs gespeichert werden, werden durch das Löschen des Schlüssels im HSM vernichtet.

Private Schlüssel, die auf Smartcards vorliegen werden durch eine Initialisierung bzw. Formatierung gelöscht.

Bewertung des kryptographischen Moduls

Das eingesetzte Netzwerk HSM wird nach FIPS 140-2, Level 2 betrieben.

Die eingesetzten Smartcards werden nach FIPS 140-2, Level 3 betrieben.

Die eingesetzten Software Krypto-Module werden nach FIPS 140-2, Level 1 betrieben.

Weitere Aspekte für die Verwaltung von Schlüsselpaaren

Archivierung der öffentlichen Schlüssel

Alle von den Zertifizierungsdiensten ausgestellten Zertifikate werden in der Zertifizierungsstellen-datenbank archiviert. Darüber hinaus findet keine Archivierung öffentlicher Schlüssel statt.

Gültigkeit von Zertifikaten und Schlüsselpaaren.

Für die Asklepios Zertifizierungsstellen sind folgende Lebensdauern festgelegt: Asklepios Root CA




Asklepios User CA








Seite

49 von 69







Machine CA Zertifikat: 6 Jahre



Asklepios Zertifikate für Smartcards

Asklepios Smartcard Zertifikate: 2 Jahre


Asklepios Software Zertifikate

Asklepios Software Zertifikat: 1-3 Jahre (Je nach Anwendungszweck und Registrierungsmethode)


Aktivierungsdaten

In Rahmen der Asklepios PKI Implementierung fallen Aktivierungsdaten an, welches den Zugriff auf das private Schlüsselmaterial kontrolliert. Aktivierungsdaten werden bei der Ausgabe von Smartcards eine Benutzer PIN und PUK, für Asklepios Benutzer erstellt.

Erzeugung der Aktivierungsdaten und Installation

Die zufallsgenerierte Erzeugung der Aktivierungsdaten (PUK) erfolgt durch das Zertifikats- und Smartcard Managementsystem.

Schutz der Aktivierungsdaten

Aktivierungsdaten (PUK) werden durch das Zertifikats- und Smartcard Managementsystem geschützt. Hierzu werden diese Daten verschlüsselt auf der zugehörigen Zertifikatsmanagementdatenbank abgelegt. Der Zugriff auf diese erfolgt exklusiv nur für das Managementsystem.

Weitere Aspekte von Aktivierungsdaten

Nicht zutreffend.

Sicherheitsmaßnahmen für Computer

Spezifische technische Anforderungen von Sicherheitsmaßnahmen für Computer

Für Server, die zentrale Funktionen der Zertifizierungsdienste implementieren, sowie alle Rechner, die dem Schutz der Einrichtungen der Zertifizierungsdienste dienen, gelten die folgenden Sicherheitsanforderungen:

Auf dem Server ist nur die für die jeweilige Funktion notwendige Software installiert.

Der Server besitzt nur die für die jeweilige Funktion notwendigen Kommunikationsschnittstellen. Insbesondere sind die Rechner nur in die für ihre Funktion notwendigen Teilnetzwerke integriert.





Seite

50 von 69






Unnötige Funktionen des Betriebssystems und der installierten Software werden – sofern möglich – deaktiviert.

Falls Sicherheitsrisiken in der verwendeten Software bekannt werden, ergreifen die Systemadministratoren zeitnah die vom Hersteller bzw. von unabhängigen Experten empfohlenen Gegenmaßnahmen. Insbesondere werden beim Betriebssystem und der Software stets die aktuellen Patches gegen bekannte Sicherheitslücken eingespielt.

Der Zugriff auf die Server ist auf das für den Betrieb der Zertifizierungsdienste notwendige Maß beschränkt. Insbesondere werden die Server nur durch die verantwortlichen Systemadministratoren verwaltet.

Sicherheitskritische Ereignisse auf den Rechnern werden protokolliert.

Systeme mit hohen Verfügbarkeitsanforderungen sind hochverfügbar ausgelegt, so dass bei Ausfall eines Rechners die Funktion erhalten bleibt.

Mittels unterbrechungsfreier Stromversorgungen und mittels Aggregaten werden Schwankungen in der Stromversorgung ausgeglichen und Stromausfälle bis zu einer Dauer von mehreren Stunden überbrückt.

Auf den Systemen dürfen nur nach Viren geprüfte Datenträger verwendet werden.

Bewertung der Computersicherheit

Die Asklepios PKI baut auf Zertifizierungsdiensten auf, die nach Common Criteria EAL (Evaluation Assurance Level) 4+ (FLR – augmented with Flow Remediation) evaluiert sind. Das eingesetzte Netzwerk HSM ist nach FIPS 140-2, Level 2 and Level 3 evaluiert. Die eingesetzten Smartcards sind nach FIPS 140-2, Level 3 evaluiert. Die eingesetzten Software Krypto-Module sind nach FIPS 140-2, Level 1 evaluiert.

Technische Kontrollen für den gesamten Lebenszyklus

Sicherheitsmassnahmen bei der Systementwicklung

Nicht zutreffend.

Sicherheitsmanagement

Nicht zutreffend.

Sicherheitsmaßnahmen für den gesamten Lebenszyklus

Im Rahmen des Sicherheitskonzeptes für das Asklepios PKI und die zugehörigen Zertifizierungsstellen werden die notwendigen Sicherheitsmaßnahmen beleuchtet. Detailinformationen zum Sicherheitskonzept können bei Bedarf vom Asklepios TrustCenter erfragt werden.

Sicherheitsmaßnahmen im Netz

Die Zertifizierungsdienste implementieren die folgenden Maßnahmen zur Netzwerksicherheit:

Die produktiven Systeme und Netzwerke sind durch Firewalls vom Internet getrennt.





Seite

51 von 69






Die internen Netzwerke der Zertifizierungsdienste sind soweit möglich nach dem Schutzbedarf der Systeme aufgeteilt. Die Trennung in Teilnetze erfolgt durch Firewalls.

Firewalls beschränken den Datenverkehr auf das für den Betrieb notwendige Maß.

Zeitstempel

Die Asklepios Zertifizierungsstellen nutzen Zeitstempel bei der Ausgabe von Zertifikaten und Zertifikatssperrlisten. Die verwendete Zeitquelle ist hierbei die lokale Systemuhr des verwendeten Computersystems. Die lokale Systemuhr der Online Server wird regelmäßig mit einer externen Zeitquelle automatisch synchronisiert. Die Zeitsynchronisation der Asklepios Root CA erfolgt manuell. Der Einsatz einer vertrauenswürdigen und evaluierten Zeitstempelkomponente ist für die Asklepios PKI Lösung nicht notwendig.





Seite

52 von 69






7. Zertifikats- und CRL Profil In Rahmen der Asklepios PKI sind Zertifikats- und CRL Profile für die Asklepios Inhouse Root CA definiert. Diese Profile folgen den PKIX Vorgaben nach RFC 5280 und haben insbesondere die Interoperabiltätsaspekte im Fokus. Erweiterungen für die Zertifikats- und CRL Profile sind vorgesehen, soweit diese zum Zwecke der Unterscheidung von Zertifikatstypen genutzt werden können.

Zertifikatsprofil Asklepios Zertifikate entsprechen:

ITU-T Empfehlung X.509 (1997): Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, Juni 1997.

Asklepios Zertifikatsprofile sind konform:

RFC 3280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002

RFC 5280 (Ablösung von RFC 3280): Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, May 2008

Die Basisbeschreibung von Asklepios Zertifikaten enthält:

Feld Wert

Version Siehe auch 7.1.1. Version Numbers(s)

Serial Number Unique value in the namespace of each CA

Signature Algorithm Designation of algorithm used to sign the certificate. Siehe auch 7.1.3. Algorithm Object Identifiers

Issuer siehe auch 7.1.4. Name Forms

Validity Validity (from and to) time and date information.’

Subject siehe auch 7.1.4. Name Forms

Subject Public Key Zugehöriger Public Key

Signature CAs signature

Asklepios CA Zertifikate

Asklepios Root CA X.509 Version V3

Serial Number 1f 6e 26 b4 85 16 94 9c 41 6e 7d 28 33 b7 94 74

Signature Algorithm sha1RSA

Issuer CN = Asklepios Root CA O = Asklepios Group C = DE

Key Length 4096

Valid from Donnerstag, . kto er 2005 11:01:43

Valid to Dienstag, . kto er 2015 11:07:32

Public Key RSA (4096-Bit) Key Blob

Subject CN = Asklepios Root CA O = Asklepios Group C = DE





Seite

53 von 69






Key Usage Digitale Signatur, Zertifikatsignatur, Offline Signieren der Zertifikatsperrliste, Signieren der Zertifikatsperrliste (86)

Subject Key Identifier 8a ef 85 17 4c b7 7f 07 76 9c 0c 65 39 9a 2a b8 c4 ba 43 e8

Authority Key Identifier None

CRL Distribution Points None

Authority Information Access None

Subject Alternative Name None

Extended Key Usage None

Thumbprint Algorithm SHA1

Thumbprint 60 7d 81 d6 9c 42 a5 bb 1d 42 2c 96 50 f2 49 aa 06 cf b3 0a

Asklepios User CA X.509 Version V3

Serial Number 50 b2 98 f4 00 00 00 00 00 05



Key Length 4096

Valid from Dienstag, 8. April 2009 11:15:28



Subject CN = Asklepios User CA O = Asklepios Group C = DE


Subject Key Identifier 39 4f 1d fa 96 f7 f9 99 f9 9a 7f 65 78 4d dc 70 75 a8 a5 f6

Authority Key Identifier 8a ef 85 17 4c b7 7f 07 76 9c 0c 65 39 9a 2a b8 c4 ba 43 e8

CRL Distribution Points

ldap:///CN=Asklepios%20Root%20CA, CN=ham-caak01,CN=CDP,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=asklepios,DC=net?certificateRevocationList? base?objectClass=cRLDistributionPoint http://pki.asklepios.com/Asklepios Root CA.crl

Authority Information Access

ldap:///CN=Asklepios%20Root%20CA,CN=AIA,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate? base?objectClass=certificationAuthority http://pki.asklepios.com/Asklepios Root CA.crt



Thumbprint Algorithm sha1

Thumbprint 75 e4 7b 6f f5 40 b4 79 e4 ba cf 8e 87 9d d5 a1 0a 39 a0 87


http://pki.asklepios.com/asklepios%20machine%20ca.crt





Seite

54 von 69






Asklepios Machine CA X.509 Version V3

Serial Number 71 18 60 33 00 00 00 00 00 07



Key Length 4096

Valid from Freitag, 9. ai 2009 14:29:35



Subject CN = Asklepios Machine CA O = Asklepios Group C = DE


Subject Key Identifier 62 6c 11 ed 5d c6 4c 86 e5 bd c3 76 83 ff a0 a9 00 e2 7a e7



ldap:///CN=Asklepios%20Root%20CA, CN=ham-caak01,CN=CDP,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=asklepios,DC=net?certificateRevocationList? base?objectClass=cRLDistributionPoint http://pki.asklepios.com/Asklepios Root CA.crl


ldap:///CN=Asklepios%20Root%20CA,CN=AIA,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate? base?objectClass=certificationAuthority http://pki.asklepios.com/Asklepios Root CA.crt




Thumbprint eb 5b 78 e4 07 f6 5a 38 26 06 04 f9 13 cb f2 6f a7 53 06 d8

http://pki.asklepios.com/Asklepios%20Root%20CA.crl

http://pki.asklepios.com/asklepios%20machine%20ca.crt





Seite

55 von 69






Asklepios Smartcard Zertifikate

Asklepios FIMCM User Authentication

X.509 Version V3

Serial Number [Certificate Serial Number]


Issuer CN = Asklepios User CA O = Asklepios Group C = DE

Key Length 2048

Valid from [Start date and time]

Valid to [End date and time]


Subject CN = <Username> O = Asklepios Group C = DE

Key Usage Digital Signature

Subject Key Identifier [corresponding private key]

Authority Key Identifier 39 4f 1d fa 96 f7 f9 99 f9 9a 7f 65 78 4d dc 70 75 a8 a5 f6


ldap:///CN=Asklepios%20User%20CA, CN=ham-caeu01,CN=CDP,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=asklepios,DC=net?certificateRevocationList? base?objectClass=cRLDistributionPoint http://pki.asklepios.com/Asklepios User CA.crl


ldap:///CN=Asklepios%20User%20CA,CN=AIA,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=asklepios,DC=net?cACertificate? base?objectClass=certificationAuthority http://pki.asklepios.com/Asklepios User CA.crt

Subject Alternative Name

<User Principal Name>

Extended Key Usage Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2) Clientauthentifizierung (1.3.6.1.5.5.7.3.2)


Thumbprint [Thumbprint of certificate]

Asklepios FIMCM User Encryption

X.509 Version V3




Key Length 2048




mailto:[email protected]





Seite

56 von 69








Key Usage Key Encipherment








<User E-Mail Address>

Extended Key Usage Encrypting File System (1.3.6.1.4.1.311.10.3.4) Bitlocker Protection (1.3.6.1.4.1.311.67.1.1) Secure E-Mail (1.3.6.1.5.5.7.3.4)



Asklepios FIMCM User Signature

X.509 Version V3




Key Length 2048









ldap:///CN=Asklepios%20User%20CA, CN=ham-caeu01,CN=CDP,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=asklepios,DC=net?certificateRevocationList? base?objectClass=cRLDistributionPoint







Seite

57 von 69






http://pki.asklepios.com/Asklepios User CA.crl




<User E-Mail Address>

Extended Key Usage Document Signing (1.3.6.1.4.1.311.10.3.12) Secure E-Mail (1.3.6.1.5.5.7.3.4)



Asklepios FIMCM User Authentication non OneIT

X.509 Version V3




Key Length 2048













<User Principal Name>

Extended Key Usage Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2) Clientauthentifizierung (1.3.6.1.5.5.7.3.2)



http://pki.asklepios.com/asklepios%20machine%20ca.crl



http://pki.asklepios.com/Asklepios%20Machine%20CA.crl





Seite

58 von 69






Version Number(s)

Die Asklepios Root CA, die Asklepios User CA und die Asklepios Machine CA stellen X.509 Version 3 Zertifikate aus.

Certificate Extensions

Folgende Zertifikatserweiterungen werden in den von der Asklepios bereitgestellten Zertifkaten berücksichtigt:

Erweiterung Wert Kritisch

Key Usage Digital Signature, Certificate Signing, Certificate Trust List Signing, Certificate Trust List Signing (offline), Key Encipherment, Non Repudiation

Nein

Subject Key Identifier Unique num er corresponding to the su ject’s public key. The key identifier method is used.

Nein

Authority Key Identifier Unique num er corresponding to the authority’s public key. The key identifier method is used.

Nein

CRL Distribution Point Contains the information where the current CRL can be obtained

Nein


Contains a link where additional information to the issuing CA can be obtained (ca issuers method)

Nein

Extended Key Usage Contains application specific attributes/OIDs Nein

Subject Alternative Name Contains alternative Subject Names, such as E-Mail address or UPN

Nein

Certificate Issuance Policies 1.3.6.1.4.1.23779.1.1.1 (Asklepios CP/CPS OID Referenz)

Nein

Folgende private Zertifikatserweiterungen kommen zur Anwendung:

Erweiterung OID Kritisch

Microsoft Certificate Template Information

1.3.6.1.4.1.311.21.7 Nein

Application Policies 1.3.6.1.4.1.311.21.10 Nein

Algorithm Object Identifiers

Die Asklepios Zertifizierungsstellen erstellen RSA Schlüsselpaare (OID: 1.2.840.113549.1.1.1) gemäß RFC 5280.

Die Asklepios Zertifizierungsstellen erstellen Signaturen mit sha1WithRSAEncryption (OID: 1.2.840.113549.1.1.5) gemäß RFC 5280.

Name Forms

Die von der Asklepios Root CA ausgestellten CA Zertifikate enthalten den kompletten DN (Distinguished Name) im Subject Name und im Issuer Name Feld. Der Aufbau des DNs erfolgt gemäß X.500 und enthält die Komponenten in folgender Reihenfolge:

CN = [Common Name],





Seite

59 von 69






O = [Organization],

C = [Country]

Die von der Asklepios User CA und Asklepios Machine CA ausgestellten End-Entitäten Zertifikate enthalten den kompletten DN (Distinguished Name) im Subject Name und im Issuer Name Feld. Der Aufbau des DNs erfolgt gemäß X.500 und enthält die Komponenten in folgender Reihenfolge:

Für Zertifikatstypen Asklepios FIMCM User Authentication, Asklepios FIMCM User Encryption, Asklepios FIMCM User Signature, Asklepios FIMCM User Authentication non OneIT gilt:

CN = [Common Name],

O = [Organization],

C = [Country]

Name Constraints

nicht zutreffend. Es existieren keine Beschränkungen bezogen auf Namen.

Certificate Policy Object Identifier

Die Asklepios Certificate Policy OID für die Root CA lautet: 1.3.6.1.4.1.14978.5.1

Policy Constraints Extension

nicht zutreffend.

Policy Qualifiers Syntax und Semantik

Die Asklepios Certificate Policy Qualifier ID ist: CPS.

Asklepios PKI OID: 1.3.6.1.4.1.23779.1.1.1 Die Asklepios CPS Lokation wird durch eine URL bereitgestellt:


Processing Semantics für kritische Certificate Policies Extension

nicht zutreffend






Seite

60 von 69






CRL Profil CRLs werden in Rahmen der Asklepios PKI ausgegeben. Eine Ausgabe von deltaCRLs ist im Falle der Asklepios Root CA nicht geplant. Asklepios CRL Profile entsprechen:

ITU-T Empfehlung X.509 (1997): Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, Juni 1997.

Asklepios CRL Profile sind konform:

RFC 3280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002

RFC 5280 (Ablösung von RFC 3280): Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, May 2008

Die Basis CRL Felder sind wie folgt festgelegt:

Feld Wert

Version Siehe auch 7.2.1. Version Number

Issuer Contains the Distinguished Name of the issuing CA

This update Time and date of CRL issuance.

Next update Time and date of next CRL update.

Signature Algorithm Designation of algorithm used to sign the certificate. Siehe auch 7.1.3. Algorithm Object Identifiers

Signature CAs signature

Asklepios Root CA – CRL Profil

Feld Wert

Version X.509 V2


This update / Valid from [Time and date of CRL issuance]

Next update [Time and date of next CRL update]


Extension Wert


CRL Number [Unique increasing number per CRL]

CA Version Starting from: V0.0

Next CRL Publish [Time and date of next CRL publish]

Revoked Certificates Wert

Certificate Serial Number [Serial Number of revoked Certificate]

Revocation Date [Time and date of Certificate revocation]

Reason Code Revocation Reason: unspecified, keyCompromise, cACompromise, affiliationChanged, superseded, cessationOfOperation, certificateHold, removeFromCRL





Seite

61 von 69






Asklepios User CA – CRL Profil

Feld Wert

Version X.509 V2





Extension Wert









Asklepios Machine CA – CRL Profil

Feld Wert

Version X.509 V2

Issuer CN = Asklepios Machine CA O = Asklepios Group C = DE




Extension Wert

Authority Key Identifier 62 6c 11 ed 5d c6 4c 86 e5 bd c3 76 83 ff a0 a9 00 e2 7a e7











Seite

62 von 69







Version Number(s)

Die Asklepios Root CA stellt CRLs auf Basis X.509 Version 2 aus.

CRL und CRL Entry Extensions

CRL Extensions (Erweiterungen) können aus dem aktuell für die Asklepios Root CA geltenden CRL Profil entnommen werden. Siehe auch 7.2. CRL Profile.

OCSP Profil nicht zutreffend. OCSP wird durch die Asklepios PKI nicht unterstützt.

Version Number(s)

nicht zutreffend.

OCSP Extensions

nicht zutreffend.





Seite

63 von 69






8. Auditierung und Überprüfung der Konformität In Rahmen des ISMS werden interne Audits durchgeführt, um Abweichungen vom Regelbetrieb der Asklepios PKI zu den Ausführungen in der Asklepios Certificate Policy bzw. Certification Practice Statement (CP/CPS) zu identifizieren, und bei aufgedeckten Abweichungen der Konformität notwendige korrektive Maßnahmen zu ergreifen.

Frequenz und Umstand der Überprüfung

Grundsätzlich sind interne Audits und Überprüfungen in regelmäßigen Abständen geplant.

Identität und Qualifikation des Prüfers/Auditors

Das Auditierungspersonal verfügt über Know-how aus der Auditierung im Sicherheitsumfeld, insbesondere die notwendigen Kenntnisse aus dem Bereich der Public Key Infrastructure und aus dem Bereich des Rechenzentrumsbetriebes sind erforderlich.

Verhältnis des Prüfers zur überprüften Entität

Der zugewiesen Auditor für die Überprüfung der Konformität ist zur überprüften Entität, nämlich der Asklepios PKI Betrieb organisatorisch unabhängig.

Von der Überprüfung abgedeckte Bereiche

Für Umstände, die zwingend eine Überprüfung notwendig machen, können bestimmte Bereiche von vornherein festgelegt werden. Dazu gehören unter anderem:

Key Management Operations

Certificate Lifecycle Processes

Data Processing Security and Operations

Maßnahmen bei Nichterfüllung oder Abweichen von der Konformität

Werden Abweichungen zur Konformität festgestellt so müssen diese zeitnah korrigiert werden. Hierzu wird ein Aktionsplan entwickelt, welche die notwendigen Maßnahmen beschreiben um die notwendigen Korrekturen auszuführen. Nach Umsetzung des Aktionsplans gilt es zu überprüfen ob die ausgeführten Maßnahmen zu einer Korrektur der Mängel geführt haben. Die Leitung des Konzernbereichs IT der Asklepios Kliniken GmbH wird über die erzielten Ergebnisse informiert.

Kommunikation der Prüfergebnisse

Die Ergebnisse der Auditierung bzw. Prüfung werden als vertraulich erachtet und sind nicht bestimmt für die Öffentlichkeit.





Seite

64 von 69






9. Weitere rechtliche und geschäftliche Regelungen Dieser Abschnitt bezieht sich auf die geschäftlichen-, rechtlichen- und Datenschutz-Aspekte der Asklepios PKI.

Gebühren

Die Gebühren für Dienstleistungen, die durch die von der Asklepios Kliniken GmbH betriebenen Zertifizierungsstellen erbracht werden, werden anwendungsbezogen verrechnet.

Gebühren für die Ausstellung und Erneuerung von Zertifikaten

Detailinformation zu Gebühren sind vom Asklepios TrustCenter erhältlich.

Gebühren für den Zugriff auf Zertifikate


Gebühren für den Zugriff auf Sperrlisten- oder Status-Information


Gebühren für weitere Dienste


Richtlinie für die Erstattung von Gebühren


Finanzielle Verantwortung

Versicherungsschutz

Ein Versicherungsschutz ist nicht gegeben.

Vermögenswerte

Vermögenswerte werden nicht abgedeckt.

Versicherungsschutz oder Gewährleistung für Zertifikatsnehmer

Ein Versicherungsschutz für Zertifikatnehmer ist nicht gegeben.

Vertraulichkeit von Geschäftsinformationen

Vertrauliche Informationen berücksichtigt

Jegliche Informationen über Teilnehmer und Antragsteller werden als vertrauliche Informationen eingestuft. Zu diesen Informationen zählen u. a. Geschäftspläne, Vertriebsinformationen, Informationen über Geschäftspartner und ebenso alle Informationen, die beim Registrierungsprozess zur Kenntnis gekommen sind.





Seite

65 von 69






Vertrauliche Informationen nicht berücksichtigt

Jegliche Informationen, die in den herausgegebenen Zertifikaten und Widerrufslisten explizit (z.B. E-Mail Adresse) oder implizit (z.B. Daten über die Zertifizierung) enthalten sind oder davon abgeleitet werden können, werden als nicht vertraulich eingestuft.

Verantwortung zum Schutz vertraulicher Informationen

Jede innerhalb der Asklepios PKI operierende Zertifizierungsstelle trägt die Verantwortung für Maßnahmen zum Schutz vertraulicher Informationen.

Datenschutz (personenbezogen)

Datenschutzrichtlinie/-plan

Die Speicherung und Verarbeitung von personenbezogenen Daten richtet sich nach den gesetzlichen Datenschutzbestimmungen.

Vertraulich zu behandelnde Informationen

Jegliche Informationen über Zertifikatsnehmer und Antragsteller sind vertraulich zu behandeln.

Nicht vertraulich zu behandelnde Informationen

Nicht vertraulich sind Informationen die in den öffentlichen Zertifikaten, wie im Asklepios Zertifikat oder im Asklepios Zertifizierungsstellenzertifikat, enthalten sind. Ebenfalls gilt es für Informationen, die in den öffentlichen Zertifikatssperrlisten (CRLs) enthalten sind.

Verantwortung zum Schutz personenbezogener Information

Der Asklepios PKI Betrieb ist verantwortlich für den Schutz vertraulicher Informationen. Eine Offenlegung von vertraulichen Informationen kann nur in Abstimmung mit den verantwortlichen Stellen geschehen.

Benachrichtigung bei Nutzung personenbezogener Information

Der Zertifikatnehmer stimmt der Nutzung von personenbezogenen Daten durch eine Zertifizierungsstelle zu, soweit dies zur Leistungserbringung erforderlich ist. Darüber hinaus können alle Informationen veröffentlicht werden, die als nicht vertraulich behandelt werden.

Offenlegung bei gerichtlicher Anordnung oder in Rahmen einer gerichtlichen Beweisführung

Die Asklepios Kliniken GmbH richtet sich bei der Speicherung und Verarbeitung von personenbezogenen Daten nach den gesetzlichen Datenschutzbestimmungen. Eine Offenlegung findet nur gegenüber staatlichen Instanzen statt, wenn entsprechende Anordnungen ausgegeben wurden.

Andere Umstände einer Veröffentlichung

Keine.





Seite

66 von 69






Urheberrechte

Die Asklepios Kliniken GmbH besitzt die Urheberrechte für ausgegebene Dokumentationen in Rahmen der Asklepios PKI.

Verpflichtungen

Verpflichtung der Zertifizierungsstellen

Die Asklepios Zertifizierungsstellen verpflichten sich den aufgestellten Bestimmungen der CP bzw. CPS Dokumentation zu folgen.

Verpflichtung der Registrierungsstellen

Die Asklepios Registrierungsstellen verpflichten sich den aufgestellten Bestimmungen der CP bzw. CPS Dokumentation zu folgen.

Verpflichtung des Zertifikatsnehmers

Die Nutzung der Zertifikate durch den Zertifikatsnehmer hat:

Für interne Mitarbeiter gilt: Regelungen Smartcards (intern) v1.8

Für Geschäftspartner gilt: Verpflichtungserklärung Smartcards (extern) v1.8 zu folgen. In Kapitel 1 Anwendungsbereich von Zertifikaten sind die zulässigen und unzulässigen Anwendungen der Schlüssel bzw. Zertifikate festgelegt. Außerdem muss der Zertifikatsnehmer bei der Nutzung der privaten Schlüssel seine in der Zertifikatsrichtlinie definierten Pflichten erfüllen.

Verpflichtung der vertrauenden Partei

Die Nutzung der Zertifikate durch vertrauende Parteien hat den zugewiesenen Zertifikatsrichtlinien seiner Organisation zu folgen. Dort sind die zulässigen und unzulässigen Anwendungen der Schlüssel bzw. Zertifikate festgelegt.

Verpflichtung anderer Teilnehmer

Nicht zutreffend, da keine anderen Teilnehmer vorgesehen sind.

Gewährleistung

Es wird keine Gewährleistung übernommen. Die Asklepios Kliniken GmbH stellt die notwendigen IT Ressourcen für den Betrieb der PKI zur Verfügung, aber ohne eine garantierte Verfügbarkeit.

Haftungsbeschränkung

Die Asklepios Kliniken GmbH übernimmt keinerlei Haftung für Sach- und Vermögensschäden. Insbesondere bei einer unsachgemäßen oder einer grob fahrlässigen Nutzung der Asklepios PKI erlischt jegliche Haftung gegenüber Dritten.





Seite

67 von 69






Haftungsfreistellung

Bei der unsachgemäßen Verwendung des Zertifikats und dem zu Grunde liegenden privaten Schlüssels oder einer Verwendung des Schlüsselmaterials beruhend auf fälschlichen oder fehlerhaften Angaben bei der Beantragung, ist die Asklepios Kliniken GmbH von der Haftung freigestellt.

Inkrafttreten und Aufhebung

Inkrafttreten

Nach Veröffentlichung der aktuellen Asklepios CP/CPS Dokumentation tritt dies auch in Kraft. Die Veröffentlichung erfolgt auf der im Zertifikat vorgegebenen URL:


Aufhebung

Dieses Dokument ist solange gültig, bis

es durch eine neue Version ersetzt wird oder

der Betrieb der Asklepios Kliniken GmbH Zertifizierungsstellen eingestellt wird.

Konsequenzen der Aufhebung

Keine.

Individuelle Benachrichtigung und Kommunikation mit Teilnehmern

Die individuelle Benachrichtigung der Asklepios PKI Teilnehmer erfolgt durch die Verteilung und Zustimmung der

Für interne Mitarbeiter gilt: Regelungen Smartcards (intern) v1.8

Für Geschäftspartner gilt: Verpflichtungserklärung Smartcards (extern) v1.8

Ergänzungen der Richtlinie

Die Ergänzung und Modifikation der CP bzw. CPS Dokumentation obliegt dem Asklepios TrustCenter. In Kapitel 1 sind entsprechende Kontaktdaten veröffentlicht.

Prozess für die Ergänzung der Richtlinie

Nicht zutreffend.

Benachrichtigungsmethode und -zeitraum

Nicht zutreffend.

Bedingungen für die Änderung einer OID

Nicht zutreffend.






Seite

68 von 69






Schiedsverfahren

Nicht zutreffend.

Gerichtsstand

Der Betrieb der Asklepios PKI unterliegt den Gesetzen der Bundesrepublik Deutschland. Der Gerichtsstand ist Hamburg, Bundesrepublik Deutschland. Dieser Gerichtsstand gilt auch für Parteien deren Wohnsitz oder der gewöhnlicher Aufenthaltsort ins Ausland verlegt wird oder unbekannt ist.

Konformität zum geltenden Recht

Die von der Asklepios PKI ausgestellten Zertifikate sind nicht konform zu qualifizierten Zertifikaten. Die Vorgaben und Richtlinien nach Signaturgesetzt [SigG] sind daher nicht bindend für den Betrieb der Asklepios PKI.

Weitere Regelungen

Vollständigkeit

Alle in der CP & CPS für die Asklepios PKI beschriebenen Regelungen gelten zwischen den von der Asklepios Kliniken GmbH betriebenen Zertifizierungsstellen und deren Zertifikatnehmern. Die Ausgabe einer neuen Version ersetzt alle vorherigen Versionen. Mündliche Vereinbarungen bzw. Nebenabreden sind nicht zulässig.

Übertragung der Rechte

Eine Übertragung der Rechte ist nicht vorgesehen.

Salvatorische Klausel

Sollten einzelne Bestimmungen dieses CP & CPS Regelwerkes unwirksam sein oder dieses Regelwerk Lücken enthalten, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmungen gilt diejenige wirksame Bestimmung als vereinbart, welche dem Sinn und Zweck der unwirksamen Bestimmung entspricht. Im Falle von Lücken, gilt dasjenige als vereinbart, was nach Sinn und Zweck dieses Vertrages vernünftigerweise vereinbart worden wäre, hätte man die Angelegenheit von vorn herein bedacht. Es wird ausdrücklich vereinbart, dass sämtliche Bestimmungen dieser CP & CPS, die eine Haftungsbeschränkung, den Ausschluss oder die Beschränkung von Gewährleistungen oder sonstigen Verpflichtungen oder den Ausschluss von Schadensersatz vorsehen, als eigenständige Regelungen und unabhängig von anderen Bestimmungen bestehen und als solche durchzusetzen sind.

Erzwingungsklausel

Rechtliche Auseinandersetzungen, die aus dem Betrieb einer von Asklepios betriebenen Zertifizierungsstelle herrühren, obliegen den Gesetzen der Bundesrepublik Deutschland. Erfüllungsort und ausschließlicher Gerichtsstand ist Hamburg, Bundesrepublik Deutschland.

Höhere Gewalt

Die Asklepios Kliniken GmbH übernimmt keine Haftung für die Verletzung einer Pflicht sowie für Verzug oder Nichterfüllung im Rahmen dieses CP/CPS, sofern dies aus Ereignissen außerhalb ihrer





Seite

69 von 69






Kontrolle, wie z.B. höhere Gewalt, Kriegshandlungen, Epidemien, Netzausfälle, Brände, Erdbeben und andere Katastrophen, resultiert.

Andere Regelung

Keine

Zertifikatsrichtlinie Certificate Policy (CP) Erklärung ...pki.asklepios.com/KBIT SEC VA...

Documents

Transcript of Zertifikatsrichtlinie Certificate Policy (CP) Erklärung ...pki.asklepios.com/KBIT SEC VA...