Mitteilung des Widerrufs von Root-Zertifikaten

Die Finanzverwaltung weist aktuell darauf hin, dass das Bundesamt für Sicherheit in der Informationstechnik nach § 5 KassenSichV in Technischen Richtlinien die technischen Anforderungen an das Sicherheitsmodul, das Speichermedium und die einheitliche digitale Schnittstelle des elektronischen Aufzeichnungssystems festzulegen hat. Auch die Anforderungen an die Public Key Infrastruktur (PKI) gehören hierzu und werden in der Technischen Richtlinie BSI TR-03145 Teil 5 festgelegt.

Widerruf des Root-Zertifikats

Dazu gehört unter anderem, dass der Betreiber einer PKI für Technische Sicherheitseinrichtungen den Widerruf des Root-Zertifikats unverzüglich dem BMF und dem BSI anzeigen muss (vgl. Tz. 4.3, RM.Req.13). Wie dieser Widerruf zu erfolgen hat, klärt das BMF-Schreiben v. 7.7.2023.

Widerruf mitteilen

So muss die Mitteilung an das Postfach IVD2@bmf.bund.de erfolgen und folgende Daten enthalten:

• Name und Adresse des meldenden Betreibers der PKI
• Genaue und eindeutige Bezeichnung der Root-CA
• Zeitpunkt zu dem der Widerruf erfolgt ist
• Grund des Widerrufs

Das BMF weist darauf hin, dass keine Empfangsbestätigung erfolgt.

BMF, Schreiben v. 7.7.2023, IV D 2 - S 0316-a/19/10005 :014