Hilfe

Basiswissen

Zertifikatsprüfung und Sicherheitswarnungen
zuklappenmit Enter bzw. Leertaste

Um sicherzustellen, dass Sie tatsächlich über eine sichere Verbindung mit Mein BOP verbunden sind, überprüft ihr Browser, ob das automatisch übermittelte elektronische Zertifikat gültig ist. So stellen Sie fest, dass Ihr Kommunikationspartner wirklich Mein BOP ist beziehungsweise es sich um das zugehörige ELSTER-SSL-Zertifikat handelt. Das ELSTER-SSL-Zertifikat dient dazu, einen kryptographischen, öffentlichen Schlüssel an Mein BOP zu binden. Die Bindung des Schlüssels an Mein BOP wird wiederum kryptographisch mit einer elektronischen Signatur einer vertrauenswürdigen dritten Stelle, einem international anerkannten Trustcenter abgesichert.
Das Zertifikat des vertrauenswürdigen Trustcenters ist bereits in allen Browsern enthalten, sodass diese Eigenschaft automatisch überprüft werden kann. Zusätzlich werden noch die beiden folgenden Zertifikatseigenschaften automatisch überprüft:

  • Der Domainname, für den das für die sichere Internetverbindung verwendete ELSTER-SSL-Zertifikat ausgestellt wurde, muss mit dem tatsächlichen Domainnamen des Webservers übereinstimmen (zum Beispiel www.elsteronline.de).

  • Das Zertifikat muss gültig sein. Server-Zertifikate werden aus Sicherheitsgründen nur für einen bestimmten Zeitraum ausgestellt und werden vom Betreiber von Mein BOP regelmäßig erneuert.


Wenn mindestens eine der drei oben genannten Überprüfungen fehlschlägt, wird dem Anwender eine Browser-Warnung angezeigt. In diesem Fall sollte Mein BOP nicht genutzt, sondern die Hotline kontaktiert werden.

Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die verschlüsselte elektronische Verbindung zu Mein BOP erfolgt über das anerkannte Internet-Protokoll HTTPS(TLS 1.0, 1.1, 1.2). Die Basis ist eine 2048-Bit Authentifizierung von Mein BOP über das ELSTER-SSL-Zertifikat gegenüber Ihrem Computer gemäß dem asymmetrischen, kryptographischen RSA-Verfahren. Die Verschlüsselung erfolgt über ein symmetrisches, kryptographisches Verfahren, welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird während der Registrierung auf Ihrem Computer als Zufallszahl generiert und BOP, verschlüsselt mittels RSA-Verfahren, mitgeteilt. Nur Ihr Computer und BOP kennen damit den symmetrischen Schlüssel, mit dem die Kommunikation entschlüsselt werden kann.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Innerhalb der drei Authentifizierungsmethoden Zertifikatsdatei, Sicherheitsstick und Signaturkarte werden sicherheitstechnisch ein asymmetrisches kryptographisches Verfahren und Zertifikate eingesetzt. Es handelt sich bei dem Verfahren um das weltweit anerkannte RSA-Verfahren, mit einer verwendeten Mindestschlüssellänge von 2048 Bit.

Elektronischer Fingerabdruck
zuklappenmit Enter bzw. Leertaste

Im Internet-Explorer können Sie zum Beispiel die Gültigkeit des ELSTER-SSL-Zertifikatsüber das Menü "Datei/Eigenschaften/Zertifikate" prüfen. Vergleichen Sie den elektronischen Fingerabdruck in den weitergehenden Erläuterungen zum ELSTER-SSL-Zertifikat. Weiter können Sie sich an die ELSTER-Hotline - 0800 52 35 055 (für Anrufer aus dem Ausland: + 49 180 5 23 50 55) - wenden, welche Ihnen zum Vergleich den elektronischen Fingerabdruck des ELSTER-SSL-Zertifikats nennen kann.

Registrierung

Kryptographie
zuklappenmit Enter bzw. Leertaste

Aus sicherheitstechnischer Sicht erhalten Sie für Ihren persönlichen Zugang zwei eigene asymmetrische Schlüsselpaare mit jeweils einem persönlichen Zertifikat, welches vom Trustcenter von Mein BOP ausgestellt ist (gilt für Registrierung mit Zertifikatsdatei und Registrierung mit Sicherheitsstick), beziehungsweise es werden die bereits vorhandenen asymmetrischen Schlüsselpaare Ihrer Signaturkarte verwendet (dies gilt für Registrierung mit Signaturkarte). Eines Ihrer Schlüsselpaare wird in allen Sicherheitsprozessen von Mein BOP Ihrer persönlichen elektronischen Authentifizierung dienen und das andere zur individuellen Verschlüsselung von Daten, die nur für Sie bestimmt sind. Ihre persönlichen Zertifikate dienen Mein BOP unter anderem zum Nachweis der eindeutigen Zugehörigkeit der in den asymmetrischen Schlüsselpaaren enthaltenen öffentlichen Schlüssel zu Ihrer Person.

Authentifizierungsmittel
zuklappenmit Enter bzw. Leertaste

Für Ihren persönlichen Zugang benötigen Sie abhängig von der ausgewählten Art des Logins eines der folgenden drei Mittel:

  • Login-Option Zertifikatsdatei
    Die asymmetrischen Schlüsselpaare werden auf Ihrem Computer erzeugt und in einer durch eine individuelle PIN zu schützenden Datei gemäß dem Sicherheitsstandard PKCS#12 in einer speziellen Sicherheitsumgebung (PSE) des Computer gespeichert. Jedes Paar besteht aus einem privaten und einem öffentlichen Schlüssel. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann ausschließlich über die von Ihnen vergebene PIN aktiviert werden. Zu den zugehörigen öffentlichen Schlüsseln stellt das Trustcenter von Mein BOP Zertifikate aus.

  • Login-Option Sicherheitsstick
    Die asymmetrischen Schlüsselpaare werden auf Ihrem Computer im angeschlossenen Sicherheitsstick erzeugt und auf dem enthaltenen Kryptochip durch eine individuelle PIN geschützt und in einer speziellen Sicherheitsumgebung (PSE) gespeichert und verwendet. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann nur über die von Ihnen vergebene PIN zur Benutzung aktiviert werden. Zu den jeweiligen öffentlichen Schlüsseln stellt das Trustcenter von Mein BOP Zertifikate aus. Die Registrierungs-, Schlüsselerzeugungs- und Zertifizierungsprozesse sind analog zu den Prozessen der Zertifikatsdatei.

  • Login-Option Signaturkarte
    Verfügen Sie über eine von Mein BOP unterstützte Signaturkarte, so können Sie diese verwenden. Dies ist zum Beispiel mittels qualifizierter oder fortgeschrittener Signaturkarten diverser Banken und Unternehmen möglich, deren Trustcenter in Mein BOP eingebunden sind. Üblicherweise sind die auf Ihrer Signaturkarte enthaltenen asymmetrischen Schlüsselpaare durch eine individuelle PIN geschützt und in einer speziellen Sicherheitsumgebung gespeichert und verwendbar. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann nur von Ihnen selbst über die PIN zur Benutzung aktiviert werden. Die auf der Signaturkarte vorhandenen Zertifikate der zugehörigen öffentlichen Schlüssel werden von Ihrem Computer zum Trustcenter von Mein BOP übertragen, damit deren Gültigkeit für Mein BOP bestätigt werden kann. Im positiven Fall werden Ihre Zertifikate in Mein BOP eingebunden.
    Die aktuell unterstützten Signaturkarten sind unter "PB 6 - Sicherheit" einsehbar. Die technologische Ausgestaltung sowie die Registrier- und Ausgabeprozesse für diese Karten werden von den jeweiligen Anbietern unter Beachtung der Vorgaben und Forderungen der StDÜV beziehungsweise des Signaturgesetzes gestaltet und sind konform zur ELSTER-Policy.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Die privaten Schlüssel der asymmetrischen Schlüsselpaare können nur über Eingabe einer von Ihnen gewählten individuellen PIN zur Benutzung aktiviert werden. Diese Sicherheit wird auch allgemein als Sicherheit auf Basis von "Wissen (PIN) und Besitz (Authentifizierungs mittel)" bezeichnet. Für den sicheren Umgang mit Ihrem Authentifizierungsmittel und der dazugehörigen PIN sind Sie selbst verantwortlich!

Login-Option Zertifikatsdatei

Allgemeines
zuklappenmit Enter bzw. Leertaste

Sollten Sie innerhalb einer gewissen Zeit nach dem Absenden Ihrer persönlichen Daten keine E-Mail von Mein BOP erhalten haben, müssen Sie noch einmal mit dem Registrierungsprozess beginnen. Die häufigste Ursache hierfür kann ein Tippfehler sein, wie zum Beispiel die unabsichtliche Angabe einer falschen oder ungültigen E-Mail-Adresse. Die empfohlene Wartezeit bevor man von einem Fehler bei der Zustellung der E-Mail ausgehen kann, hängt von vielen Parametern ab, wie zum Beispiel der augenblicklichen Last am Portal, der Last bei Ihrem Internet-Provider sowie der Qualität Ihrer Verbindung zu Ihrem Provider. Üblicherweise wird die E-Mail innerhalb von Minuten bis zu wenigen Stunden ausgeliefert. Bei Wartezeiten über mehrere Tage empfehlen wir die Hotline zu kontaktieren.

Hinweis zum Gebrauch
zuklappenmit Enter bzw. Leertaste

Die Zertifikatsdatei ist aus Sicht des Betriebssystems Ihres Computers eine Datei. Sie kann daher auf unterschiedliche Speichermedien abgelegt werden (z. B. Festplatte, Diskette, Memory-Stick). Sie beinhaltet kryptografische Schlüssel und Zertifikate. Die Zertifikatsdatei stellt die Verknüpfung mit einem Benutzerkonto in Mein BOP her. Da die Zertifikatsdatei wie jede andere Datei beliebig oft kopierbar ist, kann auf einfache Weise einfach eine Sicherungskopie erstellt werden.
Da das Kopieren auch unbemerkt erfolgen kann, z. B. bei Ablage auf einem Netzlaufwerk oder durch bösartige Software - so genannte Malware (engl. malicious software), bringt die Zertifikatsdatei Risiken mit sich, die der Anwender berücksichtigen sollte.
Es ist technisch möglich, von mehreren Arbeitsplätzen Zugang zu ein und demselben Benutzerkonto zu bekommen. Diese Möglichkeit birgt allerdings Sicherheitsrisiken und ist fehleranfällig. Die Absicherung eines Benutzerkontos beruht auf einer Kombination von Wissen (PIN für die Zertifikatsdatei) und Besitz der Zertifikatsdatei. Bei Weitergabe der Zertifikatsdatei gibt der Inhaber des Benutzerkontos diese Sicherheitseigenschaft in eigener Verantwortung auf. Bei missbräuchlicher Nutzung der ELSTER-Infrastruktur durch eine Kopie der Zertifikatsdatei kann der ursprüngliche Eigentümer ermittelt und verantwortlich gemacht werden.
Benutzerkonten sind personenbezogen konzipiert. Die parallele (im Sinne von gleichzeitige) Nutzung eines Benutzerkontos durch mehrere Benutzer mit Zertifikatsdatei ist technisch möglich. Die Ablaufsteuerung von Mein BOP unterstützt den Mehrfachnutzerbetrieb für ein Benutzerkonto aber nicht explizit. Die Resultate der Aktionen anderer Nutzer werden erst zeitverzögert oder erst nach erneutem Login sichtbar. Dies kann zu Irritationen und Fehlern führen. Von paralleler Nutzung wird deshalb abgeraten.
Bitte beachten Sie bei Weitergabe der Datei, dass

  • die Anzahl der Kopien nicht eingeschränkt werden kann,
  • alle Kopien der Zertifikatsdatei gleichwertig sind,
  • nicht nachvollzogen werden kann, mit welcher Kopie einer Zertifikatsdatei eine Transaktion durchgeführt wurde,
  • bei Sperrung eines Benutzerkontos alle Kopien der Zertifikatsdatei betroffen sind,
  • und es nicht möglich ist, eine einzelne missbräuchlich verwendete Kopie zu sperren.

Eine weitere mögliche Fehlerquelle gibt es bei der Aktualisierung der Zertifikatsdatei. Aus Sicherheitsgründen ist die Gültigkeit der Zertifikatsdatei begrenzt (gegenwärtig auf 3 Jahre). Mit einem gewissen zeitlichen Sicherheitsabstand zum Ende der Gültigkeitsdauer wird der Benutzer via E-Mail darüber informiert, dass sein neues Zertifikat erzeugt und für ihn bereitgestellt wurde. Beim nächsten Login bei Mein BOP wird dieses automatisch aktualisiert. Aus Sicht des Betriebssystems Ihres Computers wird damit die Zertifikatsdatei verändert und ab dieser Aktualisierung ist nur noch genau diese Kopie der Zertifikatsdatei gültig. Alle anderen Kopien verlieren ihre Gültigkeit und ein Login bei Mein BOP mit diesen Kopien ist nicht mehr möglich. Die alten Kopien müssen also als Folgeaktion der Zertifikatserneuerung durch die neue Version ersetzt werden.
Um die Sicherheitsaspekte zu wahren, empfehlen wir daher im Falle der Mehrfachnutzung eines Benutzerkontos, z.B. bei Ehepaaren oder innerhalb einer Organisationseinheit einer Firma die Verwendung eines Sicherheitssticks. Hier kann die Nutzung mit organisatorischen Mitteln kontrolliert werden, die Kopie eines Sicherheitsstick-Zertifikats ist nicht möglich. Zudem bietet der Sicherheitsstick eine höhere Sicherheit innerhalb von Mein BOP.
Hinweise zur sicheren Aufbewahrung
zuklappenmit Enter bzw. Leertaste

Sie sollten die zum Löschen Ihres Benutzerkontos erforderliche Antwort auf die Sicherheitsabfrage sicher und getrennt von Ihrem Authentifizierungsmittel aufbewahren. Weil bei einer Registrierung mit Zertifikatsdatei die Zertifikatsdatei auf Ihrer Festplatte abgelegt wird, müssen Sie hier zusätzlich auf eine hinreichende Absicherung Ihres Rechners achten. Falls Sie Ihren Rechner für das Surfen im Internet verwenden oder dieser von anderen Personen mitbenutzt wird, könnte die Datei unbemerkt ausgelesen oder kopiert werden. Bei einem solchen Angriff wäre Ihr Zertifikat nur noch durch Ihr Persönliches Kennwort (PIN) gesichert. Wie Sie Ihren Rechner vor den Gefahren des Internets absichern können, können Sie auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik nachlesen: https://www.bsi-fuer-buerger.de

Aktivierungsdaten
zuklappenmit Enter bzw. Leertaste

Es erfolgt ein indirekter Identitätsnachweis durch Übermittlung des Aktivierungs-Codes auf dem Standard-Postweg sowie Versenden der Aktivierungs-ID per E-Mail. Der Nachweis Ihrer Identität erfolgt dabei, indem nur die authentische Person beide Informationen erhalten und damit das persönliche Benutzerkonto bei Mein BOP aktivieren kann.

Aktivierungsbrief
zuklappenmit Enter bzw. Leertaste

Der persönliche Aktivierungs-Code ist ein essentieller Sicherheitsmechanismus bei der Aktivierung eines persönlichen Benutzerkontos bei Mein BOP. Initiiert durch Mein BOP wird er in einem separat abgesicherten System der Finanzverwaltung erzeugt und gedruckt. Anschließend wird er in einem geschlossenen Brief von der Finanzverwaltung an Sie übermittelt.

Trustcenter
zuklappenmit Enter bzw. Leertaste

Das Trustcenter von Mein BOP ist ein dediziert zusammen mit Mein BOP zu betreibender Schlüssel- und Zertifikatsmanager. Es dient der Erstellung und Verwaltung von Zertifikaten, welche die individuelle elektronische Authentifizierung und Verschlüsselung für Anwender von Mein BOP ermöglichen. Das Trustcenter wird auf Basis eines eigenen Betriebs-, Organisations- und Sicherheitskonzepts in Anlehnung an weltweit anerkannte Richtlinien betrieben.

Zertifikat
zuklappenmit Enter bzw. Leertaste

Pro Anwender werden aus Sicherheitsgründen zwei Zertifikate benötigt beziehungsweise ausgestellt. Eines für die elektrische Authentifizierung von Daten, das zusätzlich zur Authentifizierungsprüfung beim Login bei Mein BOP verwendet wird und eines zur Verschlüsselung für die Übermittlung vertraulicher Daten beziehungsweise Rückmeldungen von Mein BOP an den Anwender.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Die Anmeldung an vielen Internet-Portalen wie zum Beispiel Amazon oder eBay erfolgt durch Angabe eines Benutzernamens und des zugehörigen Passwortes. Diese Authentifizierung ist gemessen am Schutzbedarf der dort hinterlegten Daten ausreichend. Die von Mein BOP verwendete Authentifizierung bietet jedoch eine höhere Sicherheit. Hier erfolgt die Anmeldung bei Mein BOP unter Angabe des Pfades zu Ihrer Zertifikatsdatei und Ihrer PIN. Ihre Zertifikatsdatei enthält neben dem privaten Schlüssel das zugehörige Zertifikat, über welches Mein BOP Ihre elektronische Identität prüfen kann. Anstatt bei der Anmeldung nur Ihren Namen zu sagen, zeigen Sie dem Portal Ihren Ausweis. Haben Sie den Registrierungsprozess vollzogen und ein Login durchgeführt, so werden die von Ihnen an Mein BOP übertragenen elektronischen Datensätze immer Authentifizierungsdaten zur persönlichen Zuordnung enthalten. Damit werden Sie einerseits über das zugehörige Zertifikat von Mein BOP als Urheber identifiziert und andererseits kann ausgeschlossen werden, dass Ihre Daten bei der Übertragung verändert wurden. Der aus Ihrer Zertifikatsdatei zur Signatur verwendete private Schlüssel entspricht dem für die Authentifizierung.

Verschlüsselung
zuklappenmit Enter bzw. Leertaste

Ihre Zertifikatsdatei beinhaltet zwei asymmetrische Schlüsselpaare (aus privatem und öffentlichem Schlüssel) und jeweils ein dazu gehöriges Zertifikat. Eines für die Authentifizierung und eines für die Verschlüsselung. Die bei der Nutzung der personalisierten Dienste von Mein BOP generierten Rückmeldungen (zum Beispiel Abfrageergebnisse und Übermittlungsbestätigungen), werden für Sie persönlich mit Ihrem öffentlichen Schlüssel, der zum Verschlüsselungszertifikat gehört (dieser ist Mein BOP bekannt) verschlüsselt und in Mein BOP in Ihrem persönlichen Postfach bereit gestellt. Nur Sie können diese mit Ihrem (in der Zertifikatsdatei enthaltenen) privaten Schlüssel entschlüsseln.

Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit. In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung der 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Die Verschlüsselung der Datenübertragung erfolgt über ein symmetrisches kryptographisches Verfahren, welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird als Zufallszahl generiert und dem ElsterOnline-Portal, verschlüsselt mittels RSA-Verfahren, mitgeteilt. Nur Ihr Computer kennt damit den aktuell verwendeten symmetrischen Schlüssel, mit dem Ihre Daten entschlüsselt werden.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Die Authentifizierung basiert auf dem weltweit anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit. In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung der 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Ihr Computer erzeugt dabei nach Eingabe Ihrer PIN mit einem in Ihrer Zertifikatsdatei enthaltenen privaten Schlüssel eine elektronische Authentifizierungs-Signatur. Diese elektronische Authentifizierungs-Signatur und das in Ihrer Zertifikatsdatei enthaltene Zertifikat des zugehörigen öffentlichen Schlüssels sendet Ihr Computer zur Authentifizierung an Mein BOP. Ihr Zertifikat ist Mein BOP bekannt, da das Trustcenter von Mein BOP dieses ausgestellt hat und in einem eigenen Verzeichnis verwahrt. Damit kann Mein BOP durch Vergleich der Zertifikate sicherstellen, dass der öffentliche Schlüssel wirklich Ihnen gehört und verlaufen alle Prüfungen von Mein BOP positiv, werden Sie zu Ihren personalisierten Diensten weitergeleitet.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Nur Sie können zu Ihren personalisierten Diensten Zugang erhalten. Die starke Sicherheit basiert hier auf Ihrem Wissen (PIN) und Ihrem Besitz (Zertifikatsdatei). Die Zertifikatsdatei besitzt nur persönliche, individuelle sicherheitstechnische Inhalte. Ohne die Kenntnis von PIN und Zertifikatsdatei ist der Zugang zu Ihren personalisierten Diensten nicht möglich. Für die sichere Verwahrung der beiden Kryptomittel sind Sie selbst verantwortlich! Unberechtigte Personen dürfen keinen Zugriff auf diese Mittel erhalten, damit die Sicherheit in Ihrer Kommunikation mit Mein BOP gewahrt werden kann.

Login-Option Sicherheitsstick

Allgemeines
zuklappenmit Enter bzw. Leertaste

Sollten Sie innerhalb einer gewissen Zeit nach dem Absenden Ihrer persönlichen Daten keine E-Mail von Mein BOP erhalten haben, müssen Sie noch einmal mit dem Registrierungsprozess beginnen. Die häufigste Ursache hierfür kann ein Tippfehler sein, wie zum Beispiel die unabsichtliche Angabe einer falschen oder ungültigen E-Mail-Adresse. Die empfohlene Wartezeit bevor man von einem Fehler bei der Zustellung der E-Mail ausgehen kann, hängt von vielen Parametern ab, wie zum Beispiel der augenblicklichen Last am Portal, der Last bei Ihrem Internet-Provider sowie der Qualität Ihrer Verbindung zu Ihrem Provider. Üblicherweise wird die E-Mail innerhalb von Minuten bis zu wenigen Stunden ausgeliefert. Bei Wartezeiten über mehrere Tage empfehlen wir die Hotline zu kontaktieren.

Aktivierungsdaten
zuklappenmit Enter bzw. Leertaste

Es erfolgt ein indirekter Identitätsnachweis durch Übermittlung des Aktivierungs-Codes auf dem Standard-Postweg sowie Versenden der Aktivierungs-ID per E-Mail. Der Nachweis Ihrer Identität erfolgt dabei, indem nur die authentische Person beide Informationen erhalten und damit den in Frage kommenden Zugang zu Mein BOP aktivieren kann.

Aktivierungsbrief
zuklappenmit Enter bzw. Leertaste

Der persönliche Aktivierungs-Code ist ein essentieller Sicherheitsmechanismus bei der Aktivierung eines Zugangs zu Mein BOP. Initiiert durch Mein BOP wird er in einem separat abgesicherten System der Finanzverwaltung erzeugt und gedruckt. Anschließend wird er in einem geschlossenen Brief von der Finanzverwaltung an Sie übermittelt.

Trustcenter
zuklappenmit Enter bzw. Leertaste

Das Trustcenter von Mein BOP ist ein dediziert zusammen mit Mein BOP zu betreibender Schlüssel- und Zertifikatsmanager. Es dient der Erstellung und Verwaltung von Zertifikaten, welche individuelle Authentifizierung und Verschlüsselung für Anwender von Mein BOP ermöglichen. Das Trustcenter wird auf Basis eines eigenen Betriebs-, Organisations- und Sicherheitskonzepts in Anlehnung an weltweit anerkannte Richtlinien betrieben.

Zertifikate
zuklappenmit Enter bzw. Leertaste

Pro Anwender werden aus Sicherheitsgründen zwei elektronische Zertifikate (beziehungsweise asymmetrische Schlüsselpaare) für den Sicherheitsstick ausgestellt. Eines für die Authentifizierung von Daten, welches zusätzlich zur Authentifizierungsprüfung beim Login bei Mein BOP verwendet wird und eines zur Verschlüsselung für die Übermittlung vertraulicher Daten beziehungsweise Rückmeldungen von Mein BOP an den Anwender.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Sie können die personalisierten Dienste von Mein BOP zukünftig über das Login nur nutzen, wenn Sie sich mit Ihrem Sicherheitsstick authentifizieren. Ihr Sicherheitsstick enthält den dafür notwendigen privaten Schlüssel und das zugehörige Zertifikat, über welches Mein BOP Ihre elektronische Identität prüfen kann. Bei der Nutzung personalisierter Dienste des Portals enthalten die an Mein BOP übertragenen elektronischen Datensätze persönliche Authentifizierungsdaten. Damit werden Sie einerseits über Ihr Zertifikat von Mein BOP als Urheber sichergestellt und andererseits kann ausgeschlossen werden, dass Ihre Daten bei der Übertragung verändert wurden. Der hierzu aus Ihrem Sicherheitsstick verwendete private Schlüssel entspricht dem für Authentifizierungszwecke.

Verschlüsselung
zuklappenmit Enter bzw. Leertaste

Ihr Sicherheitsstick besitzt genau zwei asymmetrische Schlüsselpaare und jeweils ein dazu gehöriges Zertifikat. Eines für die Authentifizierung und eines für die Verschlüsselung. Die bei der Nutzung der personalisierten Dienste von Mein BOP generierten Rückmeldungen (zum Beispiel Abfrageergebnisse und Übermittlungsbestätigungen), werden zukünftig persönlich mit Ihrem öffentlichen Schlüssel(beziehungsweise Zertifikat- ist Mein BOP bekannt) verschlüsselt in Ihrem persönlichen Posteingang in Mein BOP für Sie bereit gestellt. Nur Sie können diese mit Ihrem Sicherheitsstick entschlüsseln.

Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert grundlegend auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit für den "G&D StarSign USB Token für ELSTER" (Vertrieb seit Oktober 2008). In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung eines Sicherheitssticks mit 2048-Bit-Schlüssellängen und des Hash-Algorithmus SHA256. Die Verschlüsselung der Datenübertragung erfolgt über ein symmetrisches kryptographisches Verfahren, welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird von Ihrem Sicherheitsstick als Zufallszahl generiert und Mein BOP, verschlüsselt mittels RSA-Verfahren, mitgeteilt. Nur Ihr Sicherheitsstick und Mein BOP kennen damit den symmetrischen Schlüssel, mit dem nun entsprechende Daten entschlüsselt werden können.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert grundlegend auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit für den "G&D StarSign USB Token für ELSTER" (Vertrieb seit Oktober 2008). In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung der 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Ihr Sicherheitsstick erzeugt dabei nach Eingabe Ihrer PIN mit dem im Stick enthaltenen privaten Schlüssel eine elektronische Authentifizierungs-Signatur. Diese elektronische Authentifizierungs-Signatur und das in Ihrem Sicherheitsstick enthaltene Zertifikat des zugehörigen öffentlichen Schlüssels sendet Ihr Computer zur Authentifizierung an Mein BOP. Ihr Zertifikat ist Mein BOP bekannt, da das Trustcenter von Mein BOP dieses ausgestellt hat und in einem eigenen Verzeichnis verwahrt. Damit kann Mein BOP durch Vergleich der Zertifikate sicherstellen, dass der öffentliche Schlüssel wirklich Ihnen gehört. Verlaufen alle Prüfungen von Mein BOP positiv, werden Sie zu Ihren personalisierten Diensten weiter geleitet.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Nur Sie können zu Ihren personalisierten Diensten Zugang erhalten. Die starke Sicherheit basiert hier auf Ihrem Wissen (PIN) und Ihrem Besitz (Sicherheitsstick). Der Sicherheitsstick besitzt nur persönliche und individuelle sicherheitstechnische Inhalte. Ohne die Kenntnis von PIN und den Besitz des Sicherheitssticks ist der Zugang zu Ihren personalisierten Diensten nicht möglich. Für die sichere Verwahrung der beiden Kryptomittel sind Sie selbst verantwortlich! Unberechtigte dürfen keinen Zugriff auf diese Mittel erhalten. Nur dann ist Ihre sichere Verbindung zu Mein BOP gewahrt.

Login-Option Signaturkarte

Umgang mit der Signaturkarte für Authentifizierung
zuklappenmit Enter bzw. Leertaste

Verfügt der Benutzer über eine von ELSTER unterstützte Signaturkarte für Authentifizierung, so kann er diese auch im Rahmen von Mein BOP einsetzen. Eine Liste der von ELSTER unterstützten Signaturkarten für Authentifizierung finden Sie auf der Seite "Anforderungen" im Abschnitt "Betriebssystem und Art der Registrierung - Art des Logins".
Signaturkarten für Authentifizierung stellen den elektronischen Ersatz Ihrer handschriftlichen Unterschrift dar und werden z. B. von Banken ausgegeben. Ein mit einer Signaturkarte für Authentifizierung signiertes Dokument wird als rechtsverbindlich angesehen. Die Finanzverwaltung fordert bei der Verwendung von Signaturkarten für Authentifizierung ein Mindestmaß an Sicherheit, das in der ELSTER-Policy festgehalten wurde.

Hinweis: Signaturkarten für Authentifizierung mit Pseudonymen werden ausdrücklich nicht unterstützt!

Allgemeines
zuklappenmit Enter bzw. Leertaste

Sollten Sie innerhalb einer gewissen Zeit nach dem Absenden Ihrer persönlichen Daten keine E-Mail von Mein BOP erhalten haben, müssen Sie noch einmal mit dem Registrierungsprozess beginnen. Die häufigste Ursache hierfür kann ein Tippfehler sein, wie zum Beispiel die unabsichtliche Angabe einer falschen oder ungültigen E-Mail-Adresse. Die empfohlene Wartezeit bevor man von einem Fehler bei der Zustellung der E-Mail ausgehen kann, hängt von vielen Parametern ab, wie zum Beispiel der augenblicklichen Last am Portal, der Last bei Ihrem Internet-Provider sowie der Qualität Ihrer Verbindung zu Ihrem Provider. Üblicherweise wird die E-Mail innerhalb von Minuten bis zu wenigen Stunden ausgeliefert. Bei Wartezeiten über mehrere Tage empfehlen wir die Hotline zu kontaktieren.

Aktivierungsdaten
zuklappenmit Enter bzw. Leertaste

Es erfolgt ein indirekter Identitätsnachweis durch Übermittlung des Aktivierungs-Codes auf dem Standard-Postweg sowie Versenden der Aktivierungs-ID per E-Mail. Der Nachweis Ihrer Identität erfolgt dabei, indem nur die authentische Person beide Informationen erhalten und damit den in Frage kommenden Zugang zu Mein BOP aktivieren kann.

Aktivierungsbrief
zuklappenmit Enter bzw. Leertaste

Der persönliche Aktivierungs-Code ist ein essentieller Sicherheitsmechanismus bei der Aktivierung eines Zugangs zu Mein BOP. Initiiert durch Mein BOP wird er in einem separat abgesicherten System der Finanzverwaltung erzeugt und gedruckt. Anschließend wird er in einem geschlossenen Brief von der Finanzverwaltung an Sie übermittelt.

Trustcenter
zuklappenmit Enter bzw. Leertaste

Das Trustcenter von Mein BOP ist ein dediziert zusammen mit Mein BOP zu betreibender Schlüssel- und Zertifikatsmanager. Es dient der Erstellung und Verwaltung von Zertifikaten, welche individuelle Authentifizierung und Verschlüsselung für Anwender von Mein BOP ermöglichen. Das Trustcenter wird auf Basis eines eigenen Betriebs-, Organisations- und Sicherheitskonzepts in Anlehnung an weltweit anerkannte Richtlinien betrieben. Das Trustcenter von Mein BOP bindet Verzeichnisdienste verschiedener von Mein BOP akzeptierter externer Trustcenter sicher ein, um die auf Zertifikaten basierten Verschlüsselungs- und Authentifizierungsfunktionen Ihrer Signaturkarte für Mein BOP zu nutzen. Wird Ihre Signaturkarte von Mein BOP unterstützt, so befinden sich Ihre relevanten Zertifikate in einem solchen eingebundenen Verzeichnisdienst Ihres Kartenausgebers. Dadurch kann Mein BOP die Gültigkeit der auf Ihrer Signaturkarte enthaltenen Zertifikate schnell prüfen.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Sie können die personalisierten Dienste von Mein BOP zukünftig über das Login nur nutzen, wenn Sie sich mit Ihrer Signaturkarte authentifizieren. Ihre Signaturkarte enthält den dafür notwendigen privaten Schlüssel und das zugehörige Zertifikat, über welches Mein BOP Ihre elektronische Identität prüfen kann. Haben Sie den Registrierungsprozess vollzogen und ein Login durchgeführt, so werden die zu kommunizierenden, elektronischen Datensätze immer mit Ihrer persönlichen elektronischen Signatur versehen sein. Damit werden Sie einerseits über das zugehörige Zertifikat von Mein BOP als Urheber sichergestellt und andererseits wird die Integrität der Datensätze prüfbar. Der aus Ihrer Signaturkarte verwendete private Schlüssel entspricht dem für Authentifizierungszwecke.

Verschlüsselung
zuklappenmit Enter bzw. Leertaste

Die bei Ihrer Anwendung der personalisierten Dienste von Mein BOP entstehenden Rückmeldungen (zum Beispiel Abfrageergebnisse und Eingabebestätigungen), werden zukünftig persönlich mit dem aus Ihrer Signaturkarte vorgesehenen öffentlichen Schlüssel(beziehungsweise Zertifikat- ist Mein BOP bekannt) verschlüsselt in Mein BOP für Sie bereit gestellt sein. Nur Sie können diese auf Ihrem Computer mit Ihrem zugehörigen, in der Signaturkarte enthaltenen privaten Schlüssel entschlüsseln.

Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert grundlegend auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit, abhängig von der verwendeten Signaturkarte für Authentifizierung. In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung einer Signaturkarte für Authentifizierung mit 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Die Verschlüsselung erfolgt über ein symmetrisches kryptographisches Verfahren, welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird von Ihrer Signaturkarte für Authentifizierung als Zufallszahl generiert und Mein BOP, verschlüsselt mittels RSA-Verfahren, mitgeteilt. Nur Ihre Signaturkarte für Authentifizierung und Mein BOP kennen damit den symmetrischen Schlüssel, mit dem nun die entsprechenden Daten entschlüsselt werden können.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert grundlegend auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit, in Abhängigkeit der verwendeten Signaturkarte für Authentifizierung. In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung einer Signaturkarte für Authentifizierung mit 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Ihre Signaturkarte erzeugt dabei nach Eingabe Ihrer PIN mit dem in der Karte enthaltenen privaten Schlüssel Ihre persönliche elektronische Authentifizierungs-Signatur. Diese elektronische Authentifizierungs-Signatur und das in Ihrer Signaturkarte enthaltene Zertifikat des zugehörigen öffentlichen Schlüssels sendet Ihr Computer zur Authentifizierung an Mein BOP. Da Ihr Zertifikat im Rahmen Ihrer Registrierung in einem eigenen Verzeichnis von Mein BOP gespeichert wurde, kann Mein BOP durch Vergleich der Zertifikate sicherstellen, dass der öffentliche Schlüssel wirklich Ihnen gehört. Verlaufen alle Prüfungen von Mein BOP positiv, werden Sie zu Ihren personalisierten Diensten weitergeleitet.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Nur Sie können zu Ihren personalisierten Diensten Zugang erhalten. Die starke Sicherheit basiert hier auf Ihrem Wissen (PIN) und Ihrem Besitz (Signaturkarte). Ihre Signaturkarte besitzt nur persönliche, individuelle sicherheitstechnische Inhalte. Ohne die Kenntnis von PIN und den Besitz der Signaturkarte ist der Zugang zu Ihren personalisierten Diensten nicht möglich. Für die sichere Verwahrung der beiden Kryptomittel sind Sie selbst verantwortlich! Unberechtigte dürfen keinen Zugriff auf diese Mittel erhalten. Nur dann ist Ihre sichere Verbindung zu Mein BOP gewahrt.