{"id":4559,"date":"2017-09-11T16:38:47","date_gmt":"2017-09-11T14:38:47","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=4559"},"modified":"2025-12-04T10:15:25","modified_gmt":"2025-12-04T09:15:25","slug":"e-mail-zertifikate-anforderungen-der-bundesnetzagentur","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/e-mail-zertifikate-anforderungen-der-bundesnetzagentur\/","title":{"rendered":"E-Mail-Zertifikate: Anforderungen der Bundesnetzagentur"},"content":{"rendered":"<p>Wir erhalten h\u00e4ufig die Anfrage, ob <a href=\"https:\/\/www.psw-group.de\/smime\/\">unsere E-Mail-Zertifikate<\/a> den Anforderungen der Bundesnetzagentur entsprechen. Gerne machen wir Sie heute mit diesen Anforderungen vertraut und geben Handlungsempfehlungen.<\/p>\n<h3>Regeln der Bundesnetzagentur<\/h3>\n<p>In einem PDF-Dokument von edi-energy.de finden Sie die &#8222;Regelungen zum sicheren Austausch von EDIFACT-\u00dcbertragungsdateien&#8220;. Dargestellt werden darin die Regelungen f\u00fcr eine sichere \u00dcbertragung von E-Mails. Im Folgenden fassen wir diese Regelungen \u00fcbersichtlich f\u00fcr Sie zusammen und zeigen Ihnen M\u00f6glichkeiten, diesen Regelungen zu entsprechen. Wir fokussieren uns dabei auf die Bedingungen, die an Zertifikate gestellt werden.<\/p>\n<h3>Richtlinien f\u00fcr den \u00dcbertragungsweg<\/h3>\n<p>F\u00fcr die \u00dcbertragung von Nachrichten k\u00f6nnen Sie wahlweise eine E-Mail-Adresse oder eine AS2-Adresse verwenden. Wir fokussieren uns auf die \u00dcbertragung per E-Mail. Ziel ist es, eine gr\u00f6\u00dftm\u00f6gliche Automatisierung und Sicherheit zu halten. Deshalb ist jede E-Mail, die sensible Inhalte enth\u00e4lt, zu verschl\u00fcsseln und zu signieren. Dabei gelten die unter 5.5 genannten Regelungen:<\/p>\n<ul>\n<li>Das Verschl\u00fcsseln und Signieren Ihrer E-Mail muss f\u00fcr alle Nachrichtentypen einheitlich erfolgen. S\u00e4mtliche \u00dcbertragungsdateien m\u00fcssen vom Absender an den Empf\u00e4nger verschl\u00fcsselt und signiert sein.<\/li>\n<li>F\u00fcrs Verschl\u00fcsseln und Signieren von E-Mails k\u00f6nnen Sie den S\/MIME-Standard w\u00e4hlen, jedoch mindestens in der Version 3.2 (<a href=\"https:\/\/tools.ietf.org\/html\/rfc5751\" target=\"_blank\" rel=\"noopener\">IETF RFC 5751<\/a> von 2010).<\/li>\n<li>Jeder Kommunikationspartner muss f\u00fcr die von ihm verwendete E-Mail-Adresse genau ein Zertifikat (bzw. genau einen privaten Schl\u00fcssel) zum Erzeugen der Signatur verwenden. Zum Entschl\u00fcsseln der von anderen Kommunikationspartnern verwendeten Kommunikation wird ebendieser Schl\u00fcssel verwendet.<\/li>\n<\/ul>\n<h3>Auswahl der richtigen Zertifizierungsstelle<\/h3>\n<p>Damit Ihr E-Mail-Zertifikat G\u00fcltigkeit hat, muss es von einer vertrauensw\u00fcrdigen Zertifizierungsstelle (CA) ausgestellt sein. F\u00fcr die CA gelten die Bedingungen, die unter 5.5.1 beschrieben sind:<\/p>\n<ul>\n<li>Die CA erlaubt den Widerruf von Zertifikaten und verf\u00fcgt daf\u00fcr \u00fcber einen R\u00fcckrufservice. Daf\u00fcr wird eine sogenannte Zertifikatesperrliste gef\u00fchrt, welche \u00f6ffentlich zug\u00e4nglich ist.<\/li>\n<li>Idealerweise wird die IT-Sicherheit der CA durch ein Audit oder eine Zertifizierung belegt.<\/li>\n<li>Registrierungsservice und weitere, eventuell auch an Dienstleister ausgelagerte Services bieten ein hohes Sicherheitsniveau.<\/li>\n<li>Die Vertrauensw\u00fcrdigkeit ist auch unter Ber\u00fccksichtigung von Eingriffsrechten Dritter gegeben.<\/li>\n<li>Der Rechtsstand gen\u00fcgt den Anforderungen des Zertifikate-Bestellers.<\/li>\n<\/ul>\n<h3>Anforderungen an E-Mail-Zertifikate<\/h3>\n<p>Die Anforderungen, die an E-Mail-Zertifikate gestellt werden, werden unter 5.5.2 gekl\u00e4rt:<\/p>\n<ul>\n<li>Das E-Mail-Zertifikat wurde von einer CA ausgestellt, die den eben genannten Anforderungen gerecht wird.<\/li>\n<li>S\u00e4mtliche bis zum 31.12.2017 ausgestellten E-Mail-Zertifikate sind mit den Signaturalgorithmen SHA-256RSA oder SHA-512RSA zu signieren (Signaturverfahren: <a href=\"https:\/\/tools.ietf.org\/html\/rfc3447\" rel=\"noindex,nofollow noopener\" target=\"_blank\">RSASSA-PKCS1-v1_5<\/a>). Verwendbar sind sie bis zur maximalen Zertifikatsg\u00fcltigkeit, also maximal drei Jahre.<\/li>\n<li>Alle ab dem 01.01.2018 neu ausgestellten E-Mail-Zertifikate m\u00fcssen mit RSASSA-PSS signiert sein. Von der Bundesnetzagentur konnten wir in Erfahrung bringen, dass es voraussichtlich eine \u00dcbergangsfrist f\u00fcr weit verbreitete Signaturverfahren wie RSASSA-PKCS1-V1_5 mit entsprechenden Signaturalgorithmen SHA-256RSA oder SHA-512RSA geben wird. Es werden noch technische Details gekl\u00e4rt, bevor es wahrscheinlich zu einer \u00dcbergangsfrist kommt.<\/li>\n<li>Jedes E-Mail-Zertifikat soll Informationen zur R\u00fcckrufpr\u00fcfung enthalten, also einen CRLDistrubutionPoint, unter dem aktuelle CRL verf\u00fcgbar ist.<\/li>\n<li>Ein E-Mail-Zertifikat darf maximal drei Jahre g\u00fcltig sein.<\/li>\n<li>Das Zertifikat muss mindestens die Verwendungszwecke &#8222;Schl\u00fcsselverschl\u00fcsselung&#8220; und &#8222;digitale Signatur&#8220; im Feld KeyUsage enthalten.<\/li>\n<li>F\u00fcr die unterschiedlichen Anwendungszwecke &#8222;Signatur&#8220; und &#8222;Verschl\u00fcsselung&#8220; wird dasselbe Schl\u00fcsselpaar generiert, sodass ein sogenanntes Kombizertifikat ausgestellt und verwendet wird.<\/li>\n<li>E-Mail-Zertifikate m\u00fcssen eine fortgeschrittene elektronische Signatur erm\u00f6glichen.<\/li>\n<li>Das Zertifikat muss die Identifikation und Zuordnung zur Organisation gew\u00e4hrleisten, die die E-Mail-Adresse betreibt. Im Feld O des E-Mail-Zertifikats muss also eine juristische Person stehen, f\u00fcr die das Zertifikat ausgestellt wurde und die das E-Mail-Postfach der E-Mail-Adresse betreibt.<\/li>\n<li>Im Feld &#8222;Alternativer Antragstellername&#8220; muss die E-Mail-Adresse des Zertifikatbestellers stehen (Wert &#8222;RFC822-Name=&#8220;).<\/li>\n<\/ul>\n<p>Um \u00f6ffentliche E-Mail-Zertifikate auszutauschen, gilt die Codierung:<\/p>\n<ul>\n<li>DER-codiert-bin\u00e4r X.509 (mit der Datei-Extension: .cer) oder<\/li>\n<li>Base-64-codiert X.509 (mit der Datei-Extension: .cer).<\/li>\n<\/ul>\n<h3>Algorithmen und Schl\u00fcssell\u00e4ngen f\u00fcr S\/MIME-Zertifikate<\/h3>\n<p>Folgende Algorithmen und Schl\u00fcssel mit entsprechenden Schl\u00fcssell\u00e4ngen werden unter 5.5.3 beschrieben:<\/p>\n<ul>\n<li>Hashfunktion:\n<ul>\n<li>SHA-256 oder SHA-512<\/li>\n<\/ul>\n<\/li>\n<li>Signaturverfahren:\n<ul>\n<li>idealerweise, wenn bei Sender &amp; Empf\u00e4nger verf\u00fcgbar: RSASSA-PSS<\/li>\n<li>zwischen Juni 2017 und 21.12.2017 muss zum Wahren der Interoperabilit\u00e4t unterst\u00fctzt werden: sha256RSA \/ sha512RSA (RSASSA-PKCS1-v1_5)<\/li>\n<li>ab Januar 2018 muss ausschlie\u00dflich eingesetzt werden: RSASSA-PSS (gem\u00e4\u00df <a href=\"https:\/\/www.ietf.org\/rfc\/rfc4056.txt\" rel=\"noindex,nofollow noopener\" target=\"_blank\">IETF RFC 4056<\/a>; eventuelle \u00dcbergangsregelung wird noch gefunden)<\/li>\n<\/ul>\n<\/li>\n<li>Verschl\u00fcsselung:\n<ul>\n<li>Inhaltsverschl\u00fcsselung:\n<ul>\n<li>AES-128 CBC oder AES-192 CBC<\/li>\n<\/ul>\n<\/li>\n<li>Schl\u00fcsselverschl\u00fcsselung:\n<ul>\n<li>idealerweise, wenn bei Sender &amp; Empf\u00e4nger verf\u00fcgbar: RSAES-OAEP (gem\u00e4\u00df <a href=\"https:\/\/www.ietf.org\/rfc\/rfc3447.txt\" rel=\"noindex,nofollow noopener\" target=\"_blank\">IETF RFC 3447<\/a>)<\/li>\n<li>zwischen Juni 2017 und 21.12.2017 muss zum Wahren der Interoperabilit\u00e4t unterst\u00fctzt werden: RSAES-PKCS1-v1_5<\/li>\n<li>ab Januar 2018 muss ausschlie\u00dflich eingesetzt werden: RSAES-OAEP (gem\u00e4\u00df IETF RFC 3447; eventuelle \u00dcbergangsregelung wird noch gefunden)<\/li>\n<li>RSA-Schl\u00fcssell\u00e4nge mind. 2048 Bit<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3>E-Mail-Zertifikate: Handlungsempfehlungen<\/h3>\n<p>Wie Sie sehen, tut sich bei den E-Mail-Zertifikaten ab Januar 2018 etwas. Die von uns vertriebenen E-Mail-Zertifikate entsprechen den Anforderungen der Bundesnetzagentur. Zwar m\u00fcssen alle ab dem 01.01.2018 neu ausgestellten E-Mail-Zertifikate mit RSASSA-PSS signiert sein. Sie k\u00f6nnen jedoch auch jetzt noch Ihr E-Mail-Zertifikat kaufen, denn diese bleiben auch nach dem Stichtag nutzbar. Deshalb: warten Sie nicht, sondern <a href=\"https:\/\/www.psw-group.de\/smime\/\">bestellen Sie Ihr E-Mail-Zertifikat<\/a> zeitnah! F\u00fcr die Auswahl des richtigen Zertifikats <a href=\"https:\/\/www.psw-group.de\/kontakt\/\">ber\u00e4t unser Support Sie gerne<\/a>!<\/p>\n<div class=\"shariff\"><ul class=\"shariff-buttons theme-default orientation-horizontal buttonsize-medium\"><li class=\"shariff-button facebook shariff-nocustomcolor\" style=\"background-color:#4273c8\"><a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fe-mail-zertifikate-anforderungen-der-bundesnetzagentur%2F\" title=\"Bei Facebook teilen\" aria-label=\"Bei Facebook teilen\" role=\"button\" rel=\"nofollow\" class=\"shariff-link\" style=\"; background-color:#3b5998; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 18 32\"><path fill=\"#3b5998\" d=\"M17.1 0.2v4.7h-2.8q-1.5 0-2.1 0.6t-0.5 1.9v3.4h5.2l-0.7 5.3h-4.5v13.6h-5.5v-13.6h-4.5v-5.3h4.5v-3.9q0-3.3 1.9-5.2t5-1.8q2.6 0 4.1 0.2z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button twitter shariff-nocustomcolor\" style=\"background-color:#595959\"><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fe-mail-zertifikate-anforderungen-der-bundesnetzagentur%2F&text=E-Mail-Zertifikate%3A%20Anforderungen%20der%20Bundesnetzagentur\" title=\"Bei X teilen\" aria-label=\"Bei X teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#000; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 24 24\"><path fill=\"#000\" d=\"M14.258 10.152L23.176 0h-2.113l-7.747 8.813L7.133 0H0l9.352 13.328L0 23.973h2.113l8.176-9.309 6.531 9.309h7.133zm-2.895 3.293l-.949-1.328L2.875 1.56h3.246l6.086 8.523.945 1.328 7.91 11.078h-3.246zm0 0\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button xing shariff-nocustomcolor\" style=\"background-color:#29888a\"><a href=\"https:\/\/www.xing.com\/spi\/shares\/new?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fe-mail-zertifikate-anforderungen-der-bundesnetzagentur%2F\" title=\"Bei XING teilen\" aria-label=\"Bei XING teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#126567; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 25 32\"><path fill=\"#126567\" d=\"M10.7 11.9q-0.2 0.3-4.6 8.2-0.5 0.8-1.2 0.8h-4.3q-0.4 0-0.5-0.3t0-0.6l4.5-8q0 0 0 0l-2.9-5q-0.2-0.4 0-0.7 0.2-0.3 0.5-0.3h4.3q0.7 0 1.2 0.8zM25.1 0.4q0.2 0.3 0 0.7l-9.4 16.7 6 11q0.2 0.4 0 0.6-0.2 0.3-0.6 0.3h-4.3q-0.7 0-1.2-0.8l-6-11.1q0.3-0.6 9.5-16.8 0.4-0.8 1.2-0.8h4.3q0.4 0 0.5 0.3z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button linkedin shariff-nocustomcolor\" style=\"background-color:#1488bf\"><a href=\"https:\/\/www.linkedin.com\/sharing\/share-offsite\/?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fe-mail-zertifikate-anforderungen-der-bundesnetzagentur%2F\" title=\"Bei LinkedIn teilen\" aria-label=\"Bei LinkedIn teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#0077b5; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 27 32\"><path fill=\"#0077b5\" d=\"M6.2 11.2v17.7h-5.9v-17.7h5.9zM6.6 5.7q0 1.3-0.9 2.2t-2.4 0.9h0q-1.5 0-2.4-0.9t-0.9-2.2 0.9-2.2 2.4-0.9 2.4 0.9 0.9 2.2zM27.4 18.7v10.1h-5.9v-9.5q0-1.9-0.7-2.9t-2.3-1.1q-1.1 0-1.9 0.6t-1.2 1.5q-0.2 0.5-0.2 1.4v9.9h-5.9q0-7.1 0-11.6t0-5.3l0-0.9h5.9v2.6h0q0.4-0.6 0.7-1t1-0.9 1.6-0.8 2-0.3q3 0 4.9 2t1.9 6z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><\/ul><\/div>","protected":false},"excerpt":{"rendered":"<p>Wir erhalten h\u00e4ufig die Anfrage, ob unsere E-Mail-Zertifikate den Anforderungen der Bundesnetzagentur entsprechen. Gerne machen wir Sie heute mit diesen Anforderungen vertraut und geben Handlungsempfehlungen. Regeln der Bundesnetzagentur In einem PDF-Dokument von edi-energy.de finden Sie die &#8222;Regelungen zum sicheren Austausch von EDIFACT-\u00dcbertragungsdateien&#8220;. Dargestellt werden darin die Regelungen f\u00fcr eine sichere \u00dcbertragung von E-Mails. Im Folgenden fassen wir diese Regelungen \u00fcbersichtlich f\u00fcr Sie zusammen und zeigen Ihnen M\u00f6glichkeiten, diesen Regelungen zu [&hellip;]<\/p>\n","protected":false},"author":64,"featured_media":4562,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[379],"tags":[65],"class_list":["post-4559","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","tag-e-mail-zertifikate"],"_links":{"self":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/4559","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/comments?post=4559"}],"version-history":[{"count":8,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/4559\/revisions"}],"predecessor-version":[{"id":11762,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/4559\/revisions\/11762"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media\/4562"}],"wp:attachment":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media?parent=4559"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/categories?post=4559"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/tags?post=4559"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}