FAQ zum digitalen Akkreditierungssymbol Fragen und Antworten

Hier finden Sie Antworten auf die am häufigsten gestellten Fragen zum digitalen Akkreditierungssymbol.

1. Allgemeine Fragen

Was ist das digitale Akkreditierungssymbol?

Das digitale Akkreditierungssymbol ist das digitale Pendant zum bekannten Akkreditierungssymbol mit dem Zusatz, dass es technisch auf Integrität und Authentizität prüfbar ist.

Es ist ein elektronisches Siegel, also eine Art elektronischer Firmenstempel. Das digitale Akkreditierungssymbol ist maschinenlesbar und weltweit in Echtzeit technisch verifizierbar.

Es basiert auf einer digitalen Identität für die Konformitätsbewertungsstelle (KBS), die akkreditierungsspezifische Informationen enthält. Diese Informationen sind:

  • eine eindeutige Akkreditierungsnummer der jeweiligen akkreditierten Stelle im maschinenlesbaren, internationalisierbaren Format AAAAAAA-CC-XX-YYYYY-ZZ-NN (z. B. DAkkS00-DE-PL-12345-01-00)
  • die Aussage, dass es sich um eine von der nationalen Akkreditierungsbehörde akkreditierte Konformitätsbewertungsstelle handelt
  • die Definition, was eine Bestätigung (attestation) gemäß ISO/IEC 17000:2020 ist
  • die Beschränkung der Nutzung des elektronischen Siegels auf die definierten Bestätigungen

Warum wurde das digitale Akkreditierungssymbol eingeführt?

Das digitale Akkreditierungssymbol wird durch die DAkkS als grundlegende Infrastruktur für alle akkreditierten Stellen bereitgestellt, um die digitale Transformation der Wirtschaft zu unterstützen.

Das digitale Akkreditierungssymbol dient dem Zweck, das Vertrauen in die Aussage und den Wert der Akkreditierung im digitalen Raum angemessen zu schützen.

Durch seine technische Ausgestaltung bietet es akkreditierten Stellen eine zusätzliche Option, um sich besser gegen Fälschungen von Ergebnisberichten und Zertifikaten im digitalen Raum zu schützen, da die Originale mit dem digitalen Akkreditierungssymbol manipulations- und fälschungssicher sind.  

Es ist damit ein Werkzeug zur Umsetzung einer digitalen Qualitätsinfrastruktur mit rein digitalen Nachweisketten.

Wer kann das digitale Akkreditierungssymbol nutzen und wie wird es angewendet (eAttestation)?

Jede akkreditierte Stelle kann das digitale Akkreditierungssymbol beantragen.

Sie kann damit ihre digitalen Bestätigungen (eAttestation) – also unter anderem digitale Laborberichte, medizinische Laborberichte, Kalibrierscheine, Inspektionsberichte oder Zertifikate – digital signieren und an ihre jeweiligen Kundinnen und Kunden manipulationssicher herausgeben.

Was ist eine eAttestation?

Die eAttestation ist eine von einer akkreditierten Stelle herausgegebene Bestätigung (attestation), die mit dem digitalen Akkreditierungssymbol signiert wurde. Dazu zählen etwa mit dem digitalen Akkreditierungssymbol signierte digitale Laborberichte, medizinische Laborberichte, Kalibrierscheine, Inspektionsberichte, Zertifikate etc. Damit ist die Bestätigung technisch abgesichert und vor unbemerkten Veränderungen geschützt. Der Integritätsschutz und der Authentizitätsschutz sind gewährleistet.

Die eAttestation kann in verschiedenen digitalen Formaten (u. a. PDF und XML) von einer akkreditierten Stelle herausgegeben werden.

Bei einer PDF-basierten eAttestation, kann das bisherige, von der DAkkS freigegebene Layout mit dem bildhaften „klassischen“ Akkreditierungssymbol unverändert bestehen bleiben.

Was ist ein elektronisches Siegel?

Das elektronische Siegel ist eine Art digitaler Firmenstempel. Das hier verwendete elektronische Siegel ist in Art. 3 Abs. 30 der eIDAS-Verordnung (EU) Nr. 910/2014 definiert und erfüllt die nach dieser Verordnung geltenden Anforderungen. Damit bietet es eine europaweit rechtssichere und einheitliche Nutzung.

Es bietet einen technisch sicheren Herkunftsnachweis (Authentizitätsschutz für eine juristische Person) und einen Integritätsschutz (Schutz vor unbemerkter Veränderung) der Daten und Informationen, die von der juristischen Person signiert worden sind. Im Fall des digitalen Akkreditierungssymbols sind dies die Informationen der eAttestation.  

Wie werden der Herkunftsnachweis und der Integritätsschutz durch ein elektronisches Siegel umgesetzt?

Der Nachweis der Authentizität (Herkunft) und der Integritätsschutz (Schutz vor unbemerkter Veränderung) werden durch die Nutzung eines Verschlüsselungsverfahrens – dem sogenannten „Public-Key“-Verfahren – hergestellt. Dabei wird zunächst eine digitale Identität für die Konformitätsbewertungsstelle erzeugt. Dieser Identität wird ein eindeutiges kryptografisches Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel (Public-Key-Infrastruktur: PKI) zugeordnet. In der Nutzung spricht man dabei von einem elektronischen Siegel.

Die Produktion und technische Absicherung solcher elektronischen Siegel übernimmt ein qualifizierter Vertrauensdiensteanbieter im Sinne der eIDAS-Verordnung (EU) Nr. 910/2014.

Die Freigabe des jeweiligen digitalen Akkreditierungssymbols erfolgt vor der Produktion durch die DAkkS als nationale Akkreditierungsbehörde.

Welche Funktionalitäten bietet das digitale Akkreditierungssymbol auf Basis eines elektronischen Siegels?

Die akkreditierte Stelle kann mit diesem Siegel das Akkreditierungssymbol digital und maschinenlesbar auf ihre Bestätigung (engl. attestation) aufbringen und es damit schützen (= eAttestation). Diese geschützte Datei (=eAttestation) enthält das digitale Hoheitszeichen der DAkkS.

Das elektronische Siegel liefert Dritten, die es prüfen,

  1. Informationen zur Identität der juristischen Person (Authentizität),
  2. die Gewissheit der Unversehrtheit der Daten (Integritätsschutz) und
  3. die Bestätigung der Gültigkeit der Akkreditierung für die spezifische Akkreditierungstätigkeit (bspw. Prüf- oder Kalibrierlaboratorium, Inspektions- oder Zertifizierungsstelle).

Ist das elektronische Siegel bei dessen Prüfung gültig, so ist auch die Akkreditierung für diese Aktivität gültig.

Ebenso können Kundinnen und Kunden der KBS die digitale Konformitätsbestätigung medienbruchfrei in die eigene automatisierte Prozesskette integrieren. Das führt zu kostensenkenden Effizienzsteigerungen.

Wie verhält sich das digitale Akkreditierungssymbol zum bildhaften Akkreditierungssymbol?

Das digitale Akkreditierungssymbol eröffnet den akkreditierten Stellen einen weiteren, digitalen Kanal. Seine Verwendung geschieht freiwillig und kann auf Antrag zur Verwendung genehmigt werden. Die akkreditierte Stelle kann damit digitale Dateien mit einem digitalen Akkreditierungssymbol versehen. Das digitale Akkreditierungssymbol kann von den jeweiligen Kundinnen und Kunden einer KBS maschinell und automatisiert ausgelesen werden.

Das digitale Akkreditierungssymbol ist primär für Maschinen vorgesehen und ermöglicht die selbstständige Prüfung des Akkreditierungsstatus. Es ist weniger für die menschliche Prüfung gedacht.

Bei Nutzung des digitalen Akkreditierungssymbols auf digitalen Dokumenten, die nicht maschinenlesbar sein sollen (z. B. PDF statt XML), ist die Datei zusätzlich zum bildhaften „klassischen“ Akkreditierungssymbol mit dem digitalen Akkreditierungssymbol zu schützen.

Das bestehende Layout mit bildhaftem „klassischem“ Akkreditierungssymbol und dessen Freigabe bleiben unverändert.

Was ist ein Vertrauensdiensteanbieter?

Ein Vertrauensdiensteanbieter ist – vereinfacht gesagt – ein Notar für das Internet. Durch diesen Vertrauensdiensteanbieter werden Identitäten von Personen, Unternehmen oder Objekten im Internet beglaubigt. Dafür werden digitale Zertifikate als Identitätsausweise in der Online-Welt eingesetzt.

Die DAkkS arbeitet mit dem Vertrauensdiensteanbieter D-Trust GmbH zusammen. Das Unternehmen ist eine hundertprozentige Tochter der Bundesdruckerei-Gruppe und ein innerhalb der EU anerkannter und qualifizierter Vertrauensdiensteanbieter. Die D-Trust GmbH handelt auf Basis der europäischen eIDAS VO (EU) Nr. 910/2014 sowie nach dem deutschen Vertrauensdienstegesetz (VDG).

Welche Kosten fallen für eine Konformitätsbewertungsstelle für die Verwendung des digitalen Akkreditierungssymbols an?

Je ausgestellter Gesamturkunde (Akkreditierungstätigkeit) fallen beim Vertrauensdiensteanbieter (D-Trust) jährliche Auslagen in Höhe von 469 EUR zzgl. MwSt. pro elektronischem Siegel für die Verwaltung der digitalen Identität der KBS an. Diese Kosten werden der akkreditierten Stelle bei der Gebührenabrechnung berechnet und als Auslage dargestellt. Eine Teilurkunde gehört zur Gesamturkunde und löst keine weiteren Kosten aus.

Zusätzlich entstehen Verwaltungskosten für die Antragsbearbeitung bei der DAkkS. Grundlage für die Berechnung dieser weiteren Gebühren ist die Gebührenverordnung (AkkStelleGebV).

2. Fragen zur Beantragung

Warum ist ein Antrag für das digitale Akkreditierungssymbol notwendig?

Ein Antrag für das digitale Akkreditierungssymbol ist notwendig, weil eine digitale Identität erstellt und die Akkreditierungsinformation durch die DAkkS gegenüber dem Vertrauensdiensteanbieter bestätigt werden muss.

Welche Unterlagen werden für die Beantragung benötigt?

Eine KBS benötigt zwei Dokumente:

  • den Antrag auf Verwendung des digitalen Akkreditierungssymbols
    Link zum Antrag
  • das Autorisierungsdokument

Das Autorisierungsdokument wird der KBS von der DAkkS postalisch zugesendet. Es wird benötigt, damit die DAkkS der KBS durch den Vertrauensdiensteanbieter D-Trust GmbH eine digitale Identität und damit ein elektronisches Siegel gewähren kann, das die spezifischen Akkreditierungsinformationen enthält. Das Autorisierungsdokument ist damit die Grundlage zum Erhalt des digitalen Akkreditierungssymbols.

Das Autorisierungsdokument muss von der zeichnungsberechtigten Person der juristischen Person der Konformitätsbewertungsstelle unterzeichnet werden und muss mit einem Firmenstempel (oder wahlweise mit dem Firmennamen in Druckbuchstaben) versehen sein. Die Korrektheit wird durch die DAkkS geprüft. Im Einzelfall kann ein Identifikationsverfahren der zeichnungsberechtigten Person notwendig werden.

Mehr Informationen bietet auch das „Merkblatt zur Beantragung des digitalen Akkreditierungssymbols“ (M-17011 Anhang 3)
Link zum Merkblatt

Wie läuft die Beantragung ab?

Eine ausführliche Beschreibung des Beantragungsprozesses ist unter folgendem Link zu finden:

Antragsverfahren digitales Akkreditierungssymbol Schritt für Schritt

 

Informationen zur Beantragung bietet zudem das „Merkblatt zur Beantragung des digitalen Akkreditierungssymbols“ (M-17011 Anhang 3)

Link zum Merkblatt

Kann das Autorisierungsdokument mit einer qualifizierten elektronischen Signatur unterzeichnet werden?

Ja, das Autorisierungsdokument kann mit einer qualifizierten elektronischen Signatur (QES) der im Register hinterlegten vertretungsberechtigten bzw. zeichnungsberechtigten Person unterzeichnet werden.

Wichtig: Diese qualifizierte elektronische Signatur (QES) ersetzt nicht den zusätzlich notwendigen Firmenstempel.

Warum und wie muss ggf. die zeichnungsberechtigte Person der juristischen Person per Identifikationsverfahren identifiziert werden?

Die Identifizierung der vertretungsberechtigten bzw. zeichnungsberechtigten Personen in den jeweiligen Konformitätsbewertungsstellen obliegt der DAkkS. Im Regelfall wird die Identifizierung dieser Personen durch die Prüfung der vorhandenen Register (z. B. Handelsregister) vorgenommen.

Liegen keine Registereinträge oder Bestätigungen von Behörden vor, bestimmt die DAkkS die Identität der vertretungsberechtigten bzw. zeichnungsberechtigten Personen per Identifikationsverfahren.

Welche Art von E-Mail-Adresse muss im Autorisierungsdokument für den fachlichen Ansprechpartner angegeben werden?

Im Autorisierungsdokument kann eine Funktionspostfachadresse angegeben werden, an die die Registrierung für das Verwaltungsportal „Certificate Service Manager“ (CSM) versendet werden soll. Die DAkkS empfiehlt, dass es sich bei der im Autorisierungsdokument anzugebenden Adresse um ein Funktionspostfach und keine persönliche E-Mail-Adresse handelt.

Die akkreditierte Stelle muss sicherstellen, dass nur befugte Personen Zugriff zu diesem Funktionspostfach haben.

Wo finde ich die für die Unterzeichnung des Autorisierungsdokuments zustimmungspflichtigen Regeln der PKI?

Bei Unterzeichnung des Autorisierungsdokuments bedarf es der Zustimmung zu den Regeln der PKI. Hier sind die Regeln zu finden:

Certificate Policy (CP) der D-Trust GmbH

Trust Service Practice Statement (TSPS) der D-Trust GmbH

Certification Practice Statement (CPS) für CSM PKI der D-Trust GmbH

Trust Service Practice Statement (TSPS) der DAkkS (TSPS DAkkS)

AGB der D-Trust GmbH

Datenschutzerklärung D-Trust GmbH

 

Alle Dokumente der D-Trust sind in ihrer jeweils aktuellen Fassung hier zu finden:

https://www.d-trust.net/de/support/repository

3. Fragen zum elektronischen Siegel

Welche Ausstattung wird benötigt, um das elektronische Siegel zu nutzen?

Es gibt keine besonderen Anforderungen durch die DAkkS an die technische Ausstattung zur Nutzung eines elektronischen Siegels als digitales Akkreditierungssymbol.

Die KBS benötigt eine handelsübliche Software zur Anwendung von digitalen Signaturen. Der Funktionsbereich (Signierung nur auf PDF möglich oder auch auf maschinenlesbaren Formaten wie XML) unterscheidet sich bei den Softwareanbietern.

Beispiele von verwendeter Software aus der Pilotphase mit unterschiedlichem Funktionsbereich sind:

  • DigiSeal
  • SecSigner
  • SignLive
  • Adobe Acrobat
  • Foxit

Welche Anforderungen gelten für die Nutzung des elektronischen Siegels?

Die DAkkS stellt keine zusätzlichen Anforderungen, die über die jeweilige Akkreditierungsnorm („Level-3-Norm“) hinausgehen.

Durch die Nutzung eines softwarebasierten elektronischen Siegels ist der Einsatz des Siegels hardwareunabhängig und das Siegel und sein Schlüsselmaterial kann in jeder von der KBS frei wählbaren, sicheren Umgebung – auf einem Server oder in einer Cloud – hinterlegt werden.

Die DAkkS empfiehlt die technisch sichere Einbettung in die IT-Umgebung der akkreditierten Stelle mit Zugriffskontrolle auf Schlüsselmaterial und PIN, damit ausschließlich befugte Mitarbeitende die Siegelung von Bestätigungen (Ergebnisberichten) vornehmen können.

Hinweis: Der Prozess der Siegelung kann vielfältig umgesetzt werden. Dies ist möglich über

  • die Einbindung des Schlüsselmaterials in einen PDF-Reader, der die Signaturfunktion besitzt,
  • ein eigenes zu schreibendes Skript (alleinstehend oder im Rahmen eines bestehenden Programms) oder
  • eine marktübliche Siegel-/Signaturerstellungs- und -prüfeinheit (wie z. B. SecSigner, DigiSeal, SignLive, etc.).

Gibt es bei der Implementierung des elektronischen Siegels Unterstützung durch die DAkkS?

Die DAkkS unterstützt die KBS bei der Beantragung und Bereitstellung des elektronischen Siegels.

Folgende Themenbereiche liegen nicht im Verantwortungsbereich der DAkkS:

  • Beantwortung von Fragen zur Softwareimplementierung bei der KBS oder dem Kunden der KBS für die Nutzung des DAkkS-Akkreditierungssymbols (Signatursoftware und Verifikationssoftware) oder der softwareseitigen Erstellung von maschinenlesbaren Ergebnisberichten (z. B. einen digitalen Kalibrierschein DCC)
  • Die DAkkS leistet keine Unterstützung für die Einführung von Prozessen oder der Softwareentwicklung bzw. technische Implementierung in einer KBS (Beratungsverbot).
  • Zudem unterstützt die DAkkS nicht bei Einführung von KBS-internen Prozessen, die eine Nutzung des Akkreditierungssymbols betreffen.

Wie wird mit dem elektronischen Siegel signiert?

Für die Signatur mit dem elektronischen Siegel benötigt die KBS das Schlüsselmaterial (p.12-Datei) und die PIN. Das Schlüsselmaterial wird per E-Mail an die im Certificate Service Manager (CSM) hinterlegte E-Mail-Adresse (hinterlegte Funktionspostfachadresse im Autorisierungsdokument) versendet. Die PIN wird auf die angegebene SMS-fähige Nummer versendet.

Das zum Schlüsselmaterial zugehörige Siegelzertifikat für das elektronische Siegel kann aus dem CSM heruntergeladen werden, sofern das Zertifikat noch manuell in der IT-Umgebung hinterlegt werden muss.

Worin unterscheidet sich das Schlüsselmaterial, wenn mehrere elektronische Siegel als digitales Akkreditierungssymbol für verschiedene Konformitätsbewertungsaktivitäten beantragt wurden?

Der Dateiname des Schlüsselmaterials (p.12-Datei) beginnt mit dem Namen der juristischen Person und enthält ebenfalls die dafür vorgesehene eindeutige Akkreditierungsnummer. Die Anzeige ist dabei abhängig vom E-Mail-Programm. Änderungen durch die DAkkS oder durch D-Trust sind nicht möglich.

Pro Schlüsselmaterial erhält die KBS eine E-Mail von D-Trust. Wichtig ist, die Differenzierung des E-Mail-Inhalts zu beachten. Das Schlüsselmaterial ist im E-Mail-Text eindeutig der jeweiligen Akkreditierungsaktivität und Akkreditierungsnummer zugewiesen.

Wie lange ist ein elektronisches Siegel technisch gültig?

Aus rechtlichen Gründen kann ein Siegel, das auf einem technischen Zertifikat mit Soft-Token beruht, nur für maximal zwei Jahre ausgestellt werden. Danach muss ein Folgezertifikat beantragt werden.

Die KBS wird automatisch vom CSM System der D-Trust GmbH 90 Tage sowie 14 Tage vor Ablauf des Siegelzertifikats über den Ablauf benachrichtigt. Die Benachrichtigung erfolgt über die angegebene Kontakt-E-Mail-Adresse (Funktionspostfach).

Ein Folgezertifikat kann frühestens 30 Tage vor Ablauf des Siegelzertifikats im Webportal beantragt werden.

Um die Vertrauenskette aufrechtzuerhalten, ist die zweijährliche Beantragung des Folgezertifikats notwendig. Dafür ist kein neuer Antrag auf Verwendung des digitalen Akkreditierungssymbols notwendig, sondern die Beantragung läuft allein im Rahmen des CSM-Systems.

Was passiert nachdem ein elektronisches Siegel abgelaufen ist?

Wird kein Folgezertifikat für das elektronische Siegel von der KBS beantragt, erhält die KBS kein neues Siegelzertifikat. Signaturen (eAttestations), die nach Ablauf der Gültigkeit des bisherigen Siegelzertifikats erzeugt werden, werden als ungültig angezeigt.

Inwieweit kann es zu Problemen kommen, wenn zusätzlich zum elektronischen Siegel qualifizierte Signaturen verwendet werden, die von einem anderen Vertrauensdiensteanbieter als der D-Trust stammen?

Die verschiedenen Signaturen und Siegel beeinträchtigen sich gegenseitig nicht.

Kann zusätzlich zum elektronischen Siegel eine digitale Signatur und/oder ein qualifizierter Zeitstempel auf der Bestätigung integriert werden?

Die Anbringung einer digitalen Signatur und/oder eines qualifizierten Zeitstempels zusätzlich zum elektronischen Siegel ist technisch möglich. Die Entscheidung zur Verwendung liegt im Ermessen einer akkreditierten Stelle.

Die Siegelung mit einer weiteren digitalen Signatur sollte in der Abfolge vor der Siegelung mit dem elektronischen Siegel als digitalem Akkreditierungssymbol erfolgen.

4. Fragen zum digitalen Akkreditierungssymbol

Muss eine KBS das digitale Akkreditierungssymbol in Form eines elektronischen Siegels zwingend nutzen?

Die DAkkS stellt auf Antrag das digitale Akkreditierungssymbol als Werkzeug bereit, um den Integritätsschutz und Authentizitätsschutz auf digitalen Ergebnisberichten von KBS sicherzustellen. Grundsätzlich lässt sich der Integritätsschutz mit anderen technischen Lösungen umsetzen, jedoch ist dann der korrekte Verweis auf die Akkreditierung in maschinenlesbarer Form nicht realisierbar. Daher ist die Anwendung des digitalen Akkreditierungssymbols sinnvoll und wirtschaftlich.

Warum gibt es keinen direkten Hinweis auf das digitale Akkreditierungssymbol im Dokument?

Die DAkkS stellt keine Anforderungen in Bezug auf eine sichtbare oder unsichtbare Anbringung des digitalen Akkreditierungssymbols auf Bestätigungen akkreditierter Stellen. Es gilt hier primär die Anforderung des Kunden.

Das digitale Akkreditierungssymbol ist vor allem als technische Schutzfunktion und für die Maschinenlesbarkeit gedacht. Daher ist ein sichtbarer Hinweis auf das Symbol nicht nötig.

Wie wird das digitale Akkreditierungssymbol sichtbar, wenn es nicht im Dokument als Element angelegt ist?

Prüft ein Dritter eine eAttestation in einem beliebigen PDF-Reader, so wird das digitale Akkreditierungssymbol mit dem Hinweis zu enthaltenen Unterschriften „sichtbar“ und die eAttestation kann über den Reader verifiziert werden.

Hinweis: Browser unterstützen Signaturen und Siegel zumindest derzeit nicht.  

Ein Vorteil für die KBS ihren Kundinnen und Kunden gegenüber ist, dass die KBS die Korrektheit ihrer Identität (Herausgeberschaft) und die Integrität des Dokuments (Unversehrtheit der Daten) nachweisen kann.

Warum wird das digitale Akkreditierungssymbol ausschließlich auf die juristische Person ausgestellt und nicht zusätzlich die Bezeichnung der KBS erwähnt?

Die juristische Person, die von der DAkkS akkreditiert ist, umfasst immer die Konformitätsbewertungsstelle. Eine juristische Person als Konformitätsbewertungsstelle kann mehrere Akkreditierungsverfahren führen. Eine juristische Person als Konformitätsbewertungsstelle kann zudem über mehrere Standorte verfügen.

Das digitale Akkreditierungssymbol identifiziert die juristische Person. Die Differenzierung der Aktivitäten im Sinne der Akkreditierungsverfahren oder sonstige fachliche Bezeichnungen (z. B. Institut für …) werden nicht gesondert genannt. Sie ergibt sich aus der jeweils hinterlegten Registriernummer des beantragten digitalen Akkreditierungssymbols, die auf die Gesamturkunde verweist. Auch eine Differenzierung nach Standorten im digitalen Akkreditierungssymbol erfolgt nicht.

Wie kann im Signaturprozess eine sichtbare Differenzierung von juristischen Personen mit mehreren Akkreditierungsverfahren vorgenommen werden?

Die akkreditierte juristische Person selbst kann über ihre Signaturerstellungssoftware beispielsweise mittels einer Angabe zu „Grund der Signatur“ zusätzlich den Namen der Einheit, die die Konformitätsbewertungstätigkeit (KBS) durchführt, und eine gegebenenfalls abweichende Ortsbezeichnung angeben, z. B.:

  • Juristische Person = Muster GmbH
  • Einheit = KBS = z. B. Institut für Mikrobiologie
  • ggf. Adresse ebenfalls hinzufügen: Musterstraße 1, 10500 Musterhausen

Wann und wie kann das digitale Akkreditierungssymbol verwendet werden?

Das digitale Akkreditierungssymbol kann von jeder akkreditierten Konformitätsbewertungsstelle verwendet werden, die ein solches Symbol erfolgreich beantragt hat.

Der Einsatz des digitalen Akkreditierungssymbols ist beschränkt auf die Herausgabe von Bestätigungen gemäß ISO/IEC 17000:2020, 7.3 (sogenannte „attestations“). Dazu gehören etwa Prüfberichte, Kalibrierscheine, Inspektionsberichte oder diverse Zertifikate für Produkte, Managementsysteme oder Personen.

Das Dateiformat dieser Bestätigungen ist für die Nutzung des digitalen Akkreditierungsformats unerheblich. Alle bekannten Dateiformate werden unterstützt, etwa PDF und maschinenlesbare XML-Dateien, z. B. die Anwendung von digitalen Kalibrierscheinen (DCC).

Ein Kunde der KBS möchte das digitale Akkreditierungssymbol prüfen, meldet jedoch zurück, dass die Unterschrift Probleme aufzeigt oder einer Validierung bedarf. Welche Lösung gibt es?

Probleme bei der Prüfung des elektronischen Siegels als digitales Akkreditierungssymbol liegen i. d. R. an einer Fehlkonfiguration der Software (z. B. PDF-Reader oder Signaturprüfeinheit), die auf dem PC des Nutzers verwendet wird.

Mögliche Lösungsansätze bei einem signierten Dokument sind:

Bei PDF-Dateien:

  • Möglicherweise ist eine Aktualisierung der European Union Trusted List (EUTL) des vom Kunden genutzten PDF-Readers (unter Einstellungen) erforderlich. Ein PDF kann alternativ auch über eine Siegelsignaturerstellung und -prüfeinheit verifiziert werden.
  • Es kann erforderlich sein, das Zertifikat gemäß DAkkS TSPS, Kapitel 6 einmalig als vertrauenswürdig einzustufen. Danach sollte die Prüfung reibungsfrei verlaufen.
  • Wichtig: Die Überprüfung des elektronischen Siegels über einen Browser ist nicht möglich, da die für eine Prüfung notwendigen Prüfschritte von Browsern nicht unterstützt werden.

Mögliche Lösungsansätze bei einem signierten DCC:

  • Ist ein Update der Siegelsignaturerstellungs- und -prüfeinheit notwendig? Auch hier muss ggf. die EUTL aktualisiert werden. Wird die Gültigkeit des Siegels mit der von der KBS verwendeten Software korrekt angezeigt? Ist dies der Fall, empfiehlt es sich, dass sich der Kunde der KBS an seinen Support der Siegelsignaturerstellungs- und -prüfeinheit wendet. Gegebenenfalls muss auch hier das Zertifikat gemäß DAkkS TSPS, Kapitel 6 einmalig manuell als vertrauenswürdig eingestuft werden.

5. Fragen zum D-Trust-Portal „Certificate Service Manager“ (CSM)

Was ist zu tun, wenn die E-Mail zur Registrierungsbestätigung im CSM nicht ankommt?

Prüfen Sie zunächst, ob die E-Mail der D-Trust (Absender: csm.noReply@d-Trust.net) in der IT-Quarantäne oder im Spam-Ordner gelandet ist.

Sollten die E-Mails dort nicht auffindbar sein, wenden Sie sich an Ihre DAkkS-Ansprechperson zum Verfahren. Melden Sie der DAkkS-Ansprechperson Ihre gewünschte E-Mail-Adresse. Die DAkkS prüft intern im System, ob die korrekte E-Mail-Adresse zur Registrierung hinterlegt wurde.

Was bedeutet „Fehler 403 – Sie haben keine Berechtigung für die Aktion“ beim CSM?

Wird der Fehlercode 403 im Browserfenster für das CSM-Portal angezeigt, ist es zu einem Server-Timeout aufgrund von Inaktivität gekommen.

Analog zu Vorgängen im Onlinebanking loggt Sie das System aus Sicherheitsgründen automatisch nach fünf Minuten Inaktivität aus. Alle Vorgänge müssen danach von vorn begonnen werden.

Welche Adresse ist bei der Antragstellerregistrierung zu hinterlegen?

Die Adresse dient lediglich zur möglichen Kontaktaufnahme der hinterlegten Person und wird nicht im elektronischen Siegel veröffentlicht. Es kann an dieser Stelle daher die Adresse der KBS angegeben werden, sofern diese Adresse von der juristischen Person abweicht.

Ist die Nutzung desselben Sperrpassworts für mehrere elektronische Siegel möglich?

Die Vergabe eines Sperrpassworts liegt im Verantwortungsbereich der KBS. Die Verwendung desselben Sperrpassworts für mehrere elektronische Siegel ist technisch möglich, jedoch aus Sicherheitsgründen nicht zu empfehlen.

Wie ist das Vorgehen bei Verlust der PIN oder des Schlüsselmaterials?

Bei Verlust von PIN und/oder Schlüsselmaterial besteht die Möglichkeit, sich ein Ersatzzertifikat ausstellen zu lassen. Die Laufzeit des Ersatzzertifikates wird an die bisherige Laufzeit des Zertifikates angepasst.

Ein Beispiel: Sie haben Ihr Zertifikat vier Monate verwendet, bevor es zum Verlust Ihrer PIN kam. Damit ist das Ersatzzertifikat noch ein Jahr und acht Monate gültig (Restlaufzeit der insgesamt Zweijahreslaufzeit). Kosten für die Ausstellung des Ersatzzertifikates durch die D-Trust entstehen dabei nicht.

Stellen Sie in diesem Fall sicher, dass das elektronische Siegel durch den Verlust von PIN und/oder Schlüsselmaterial nicht korrumpiert wurde. Haben Sie den Verdacht, dass Unbefugte an PIN und/oder Schlüsselmaterial herangekommen sind, sperren Sie bitte Ihr elektronisches Siegel und beantragen Sie ein neues elektronisches Siegel innerhalb des CSM.

Der Sperrprozess kann zudem über die DAkkS ausgelöst werden. In diesem Fall wenden Sie sich bitte an Ihre DAkkS-Ansprechperson zum Verfahren.

Hinweis: Haben Sie die PIN bei Erstausstellung nicht über die hinterlegte SMS-fähige Nummer erhalten oder gab es Probleme bei der Zustellung des Schlüsselmaterials, ist es innerhalb der ersten 30 Tage nach Erstausstellung des Siegelzertifikats möglich, dass Sie Ihr Siegelzertifikat ohne zusätzliche Kosten von Seiten der D-Trust GmbH sperren lassen und innerhalb des CSM ein neues beantragen.

Die Siegelzertifikatsdatei für das elektronische Siegel (.cer-Datei) lässt sich nicht aus dem E-Mail-Postfach heraus öffnen. Welche Möglichkeiten gibt es noch?

Sie können das Siegelzertifikat unter „Zertifikate“ im CSM herunterladen.

Alternativ können Sie folgendes Vorgehen versuchen:

  • Wenn Ihr E-Mail-Programm die .cer-Datei bei der Öffnung blockiert, wandeln Sie diese beim Abspeichern zunächst in eine (.txt) Datei um.
  • Nach Speicherung auf einem lokalen Speicher können Sie die Datei mit der Dateiendung .cer versehen.

Für den Siegelungsprozess sind das Schlüsselmaterial (p12-Datei) aus der E-Mail und die Eingabe der PIN erforderlich.

Die Datei mit dem Schlüsselmaterial (p.12-Datei) lässt sich nicht aus dem E-Mail-Postfach heraus abspeichern. Welche Möglichkeiten gibt es?

Ein Download im CSM des Schlüsselmaterials ist nicht möglich, da aus Sicherheitsgründen das Schlüsselmaterial mit der p.12-Datei ausschließlich per E-Mail zugesendet wird und es eine Trennung der Kanäle für die Übermittlung der relevanten Dateien geben muss.

Zwei mögliche Lösungswege können in diesem Fall funktionieren:

Option 1:
Versuchen Sie zunächst, das Zertifikat (.cer-Datei) aus dem CSM herunterzuladen und in Ihrem Zertifikatsspeicher als vertrauenswürdig zu hinterlegen. Danach erkennt Ihr E-Mail-Postfach ggf. den Schlüssel und die p12-Datei lässt sich problemlos aus der E-Mail heraus abspeichern und verwenden.

Option 2:
Versuchen Sie, einen Workaround zum Abspeichern aus dem E-Mail-Postfach (hier exemplarisch: Outlook) zu nutzen. Dieser lautet wie folgt:

  • Datei als .txt abspeichern
  • am Speicherort Datei umbenennen in .p12
  • Datei einbetten und verwenden

Hinweis:
Es bestehen mehrere Lösungswege. Weder die DAkkS noch D-Trust haben Einfluss auf die E-Mail-Konfigurationen der E-Mail-Anbieter, weshalb die möglichen Lösungswege je nach verwendetem E-Mail-Anbieter variieren können.

Was ist zu tun, wenn die E-Mail mit dem Schlüsselmaterial von der D-Trust nicht ankommt?

Ihre Möglichkeiten:

  • Prüfen Sie bitte zunächst, ob die E-Mail der D-Trust (Absender: csm.noReply@d-Trust.net) in der IT-Quarantäne oder im Spam-Ordner gelandet ist.
  • Gehen Sie im CSM im Reiter Zertifikatsverwaltung auf Zertifikate und prüfen Sie, ob dort ein Siegelzertifikat als „gültig“ hinterlegt ist.
  • Melden Sie ggf. Ihr Problem bei der DAkkS über die jeweilige DAkkS-Ansprechperson zum Verfahren.
    Hinweis: Nach Freigabe durch die DAkkS werden Ihnen innerhalb von 30 Minuten das Schlüsselmaterial und die PIN automatisiert zugesendet.
  • Prüfen Sie, ob die Ausstellung eines Ersatzzertifikats im CSM möglich ist oder führen Sie ggf. eine Sperrung des Siegelzertifikats im CSM aus. Stellen Sie nach der Sperrung im CSM einen neuen Siegelzertifikatsantrag.

Hinweis:
Innerhalb der ersten 30 Tage nach Erstausstellung des elektronischen Siegels ist die Sperrung von elektronischen Siegeln und Neuausgabe vonseiten der D-Trust kostenfrei.

Ist es möglich, für den Erhalt der PIN eine private Mobilfunknummer statt einer Firmen-Mobilfunknummer zu hinterlegen?

Die Wahl der Mobilfunknummer obliegt dem Verantwortungsbereich der KBS und muss im Rahmen der gültigen Betriebsregelungen umgesetzt werden. Die DAkkS empfiehlt die Nutzung von firmeneigenen Geräten für den Erhalt der PIN.

Ist der Versand der PIN für ein elektronisches Siegel an mehrere Mobilfunknummern möglich?

Das Hinzufügen von weiteren Mobilfunknummern im CSM ist aktuell nicht möglich. Sie können prüfen, ob eine automatische Weiterleitung für Sie infrage kommt.

Was ist zu tun, wenn die SMS mit der PIN nicht ankommt?

Bitte prüfen Sie, ob Sie innerhalb des CSM die korrekte Mobilfunknummer im Zertifikatsantrag für das elektronische Siegel eingegeben haben. Sind die Eingaben korrekt, beantragen Sie ein Ersatzzertifikat oder sperren Sie das elektronische Siegel und beantragen Sie ein neues.

Hinweis:
Innerhalb der ersten 30 Tage nach Erstausstellung des elektronischen Siegels ist die Sperrung von elektronischen Siegeln und Neuausgabe kostenfrei.

6. Fragen zur Aussetzung der Akkreditierung / Sperrung des elektronischen Siegels

Wann wird das elektronische Siegel als digitales Akkreditierungssymbol gesperrt?

Es gibt diverse Gründe für die Sperrung des elektronischen Siegels als digitales Akkreditierungssymbol.

Als KBS haben Sie selbst die Möglichkeit, das digitale Akkreditierungssymbol per Sperrpasswort zu sperren, wenn

  • der Verdacht besteht, dass es unbefugten Zugriff auf PIN und/oder Schlüsselmaterial gab,
  • der Verdacht besteht, dass die Vertrauenskette unterbrochen ist oder
  • die Akkreditierung zurückgegeben wurde.

Die DAkkS hat die Möglichkeit, das digitale Akkreditierungssymbol zu sperren, wenn

  • die Akkreditierung für die Tätigkeit der KBS per bestandskräftigem Bescheid entzogen wurde (und eine Sperrung erst dann erfolgt, wenn der Eintrag für den Kunden bzgl. der negativen Entscheidung in der Datenbank der akkreditierten Stellen hinterlegt wurde),
  • der Verdacht besteht, dass das digitale Akkreditierungssymbol durch eine KBS missbräuchlich verwendet wird,
  • die KBS die DAkkS zur Sperrung auffordert oder
  • der Vertrauensdiensteanbieter die DAkkS zu einer Sperrung auffordert.

Der Vertrauensdiensteanbieter hat die Möglichkeit, das digitale Akkreditierungssymbol zu sperren, wenn

  • der Verdacht besteht, dass die Vertrauenskette unterbrochen ist,
  • der Verdacht besteht, dass der Verschlüsselungsalgorithmus unsicher geworden ist oder
  • die geltenden Richtlinien zur Teilnahme an der Public-Key-Infrastruktur (PKI) nicht eingehalten wurden.

Was passiert, bei Sperrung des elektronischen Siegels als digitales Akkreditierungssymbol?

Sie werden benachrichtigt, wenn Ihr digitales Akkreditierungssymbol gesperrt wurde.

Wenn das elektronische Siegel im CSM gesperrt wurde, ist es nicht mehr nutzbar. Manche Signatur- bzw. Siegelerstellungseinheiten werden Ihnen die Siegelung mit einem gesperrten Siegel verweigern. Andere Softwareanwendungen ermöglichen die Siegelung weiterhin, jedoch wird die Prüfung des Siegels als „ungültig“ angezeigt, da das Siegel gesperrt wurde.

Alle vor der Sperrung signierten Dokumente behalten weiterhin ihre Gültigkeit bei der Verifikation. Lediglich der Hinweis auf Sperrung des Siegels wird bei der Prüfung angezeigt.

Was passiert, wenn die Akkreditierung eingeschränkt wird?

Die Einschränkung hat keine Auswirkung auf das digitale Akkreditierungssymbol. Es identifiziert die juristische Person der KBS und diese ist weiterhin für die angegebene Tätigkeit akkreditiert. Der tatsächliche Umfang des Geltungsbereichs der Akkreditierung ergibt sich aus der Datenbank der akkreditierten Stellen und nicht aus dem digitalen Akkreditierungssymbol.

Gibt es Risiken für die Begutachtung, wenn das digitale Akkreditierungssymbol eingeführt wird?

Für die Nutzung des digitalen Akkreditierungssymbols und der Herausgabe von eAttestation (einschließlich DCC) besteht eine Nichtbeanstandungsfrist bis Ende 2025.

Das heißt: Nichtkonformitäten ohne unmittelbare Auswirkung auf die Richtigkeit der Konformitätsaussage, die aus der Ersteinführung und Nutzung dieser Technologien bei einer KBS entstehen könnten (insbesondere Prozess oder Dokumentationsmängel), können in einer DAkkS-Begutachtung festgestellt werden. Sie dürfen aber nicht zu einer kritischen Bewertung führen, um eine geschützte Einführung und Experimentierphase für die KBS zu ermöglichen und das Ziel der digitalen Transformation in der Qualitätsinfrastruktur zu unterstützen.

7. Fragen zu maschinenlesbaren Bestätigungen (DCC)

Welche Anforderungen gelten bei der DAkkS für die Umsetzung des digitalen Kalibrierscheins (DCC) oder andere maschinenlesbare Berichte?

Für den DCC gilt, dass das PTB-Schema den normativen Anforderungen der ISO/IEC 17025:2018 entspricht. Das heißt: Es gelten für einen DCC dieselben fachlichen Anforderungen wie für jeden anderen Kalibrierschein oder Rückführungsnachweis. Dies gilt auch für andere maschinenlesbare Berichte und die Einhaltung ihrer jeweiligen normativen Anforderungen. Die DAkkS stellte keine digitalisierungsbedingt spezifischen Anforderungen an die Inhalte.

Damit bei der Herausgabe von DCC oder anderen maschinenlesbaren Bestätigungen (attestations) durch eine KBS die normativen Anforderungen erfüllt sind, müssen diese digital herausgegebenen Bestätigungen ausreichend geschützt sein. Der notwendige Integritätsschutz wird durch das digitale DAkkS-Akkreditierungssymbol sichergestellt.

Gibt es Auswirkungen auf die Begutachtung bei maschinenlesbaren Berichten?

Die DAkkS hat grundsätzlich keine Einwände gegen die Nutzung von maschinenlesbaren Ergebnisberichten, etwa auf XML-Basis. Allerdings ist Grundvoraussetzung, dass standardisierte semantische Strukturen, die z. B. von Fachverbänden herausgegeben werden, verwendet werden und die DAkkS diese auf Konformität beurteilt hat. Die Entwicklung der dafür notwendigen Prozesse steht aus. Eine KBS muss solche Vorhaben bei der DAkkS anzeigen.

DAkkS-Support

Digitales Akkreditierungssymbol

Es gibt noch offene Fragen? Bitte wenden Sie sich ausschließlich per E-Mail an unser Support-Team.

Nach oben