Hilfe

Basiswissen

Zertifikatsprüfung und Sicherheitswarnungen
zuklappenmit Enter bzw. Leertaste

Um sicherzustellen, dass Sie tatsächlich über eine sichere Verbindung mit dem BZStOnline-Portal verbunden sind, überprüft ihr Browser, ob das automatisch übermittelte elektronische Zertifikat gültig ist. So stellen Sie fest, dass Ihr Kommunikationspartner wirklich BZStOnline ist beziehungsweise es sich um das zugehörige ElsterOnline-Portal-Zertifikat handelt. Das ElsterOnline-Portal-Zertifikat dient dazu, einen kryptographischen, öffentlichen Schlüssel an das BZStOnline-Portal zu binden. Die Bindung des Schlüssels an das BZStOnline-Portal wird wiederum kryptographisch mit einer elektronischen Signatur einer vertrauenswürdigen dritten Stelle, einem international anerkannten Trustcenter abgesichert.
Das Zertifikat des vertrauenswürdigen Trustcenters ist bereits in allen Browsern enthalten, sodass diese Eigenschaft automatisch überprüft werden kann. Zusätzlich werden noch die beiden folgenden Zertifikatseigenschaften automatisch überprüft:

  • Der Domainname, für den das für die sichere Internetverbindung verwendete ElsterOnline-Portal-Zertifikat ausgestellt wurde, muss mit dem tatsächlichen Domainnamen des Webservers übereinstimmen (zum Beispiel www.elsteronline.de).

  • Das Zertifikat muss gültig sein. Server-Zertifikate werden aus Sicherheitsgründen nur für einen bestimmten Zeitraum ausgestellt und werden vom Betreiber des BZStOnline-Portals regelmäßig erneuert.


Wenn mindestens eine der drei oben genannten Überprüfungen fehlschlägt, wird dem Anwender eine Browser-Warnung angezeigt. In diesem Fall sollte das BZStOnline-Portal nicht genutzt, sondern die Hotline kontaktiert werden.
Zugriffsrechte
zuklappenmit Enter bzw. Leertaste

Auf Seiten, auf denen ein Java-Applet enthalten ist, wird von manchen Browsern (zumindest beim ersten Besuch) ein Sicherheitshinweis angezeigt, der den Anwender darüber informiert, dass beim Fortfahren dem Applet Zugriffsrechte auf den Computer des Anwenders eingeräumt werden. Diese Zugriffsrechte sind für das BZStOnline-Portal notwendig und der Hinweis muss vom Anwender bestätigt werden. Bei Applets werden darüber hinaus ebenfalls die drei bei der Zertifikatsprüfung genannten Sicherheitsüberprüfungen durchgeführt. Wenn mindestens eine davon fehlschlägt, erscheint eine Warnung (kein Hinweis) und das BZStOnline-Portal sollte nicht genutzt, sondern die Hotline kontaktiert werden.

Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die verschlüsselte elektronische Verbindung zum BZStOnline-Portal erfolgt über das anerkannte Internet-Protokoll HTTPS(TLS 1.0, 1.1, 1.2). Die Basis ist eine 2048-Bit Authentifizierung des BZStOnline-Portals über das ElsterOnline-Portal-Zertifikat gegenüber Ihrem Computer gemäß dem asymmetrischen, kryptographischen RSA-Verfahren. Die Verschlüsselung erfolgt über ein symmetrisches, kryptographisches Verfahren, welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird während der Registrierung auf Ihrem Computer als Zufallszahl generiert und dem BZStOnline-Portal, verschlüsselt mittels RSA-Verfahren, mitgeteilt. Nur Ihr Computer und das BZStOnline-Portal kennen damit den symmetrischen Schlüssel, mit dem die Kommunikation entschlüsselt werden kann.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Innerhalb der drei Authentifizierungsmethoden Zertifikatsdatei, Sicherheitsstick und Signaturkarte werden sicherheitstechnisch ein asymmetrisches kryptographisches Verfahren und Zertifikate eingesetzt. Es handelt sich bei dem Verfahren um das weltweit anerkannte RSA-Verfahren, mit einer verwendeten Mindestschlüssellänge von 2048 Bit.

Elektronischer Fingerabdruck
zuklappenmit Enter bzw. Leertaste

Im Internet-Explorer können Sie zum Beispiel die Gültigkeit des ElsterOnline-Portal-Zertifikatsüber das Menü "Datei/Eigenschaften/Zertifikate" prüfen. Vergleichen Sie den elektronischen Fingerabdruck in den weitergehenden Erläuterungen zum ElsterOnline-Portal-Zertifikat. Weiter können Sie sich an die ELSTER-Hotline - 0800 52 35 055 (für Anrufer aus dem Ausland: + 49 180 5 23 50 55) - wenden, welche Ihnen zum Vergleich den elektronischen Fingerabdruck des ElsterOnline-Portal-Zertifikats nennen kann.

Registrierung

Kryptographie
zuklappenmit Enter bzw. Leertaste

Aus sicherheitstechnischer Sicht erhalten Sie für Ihren persönlichen Zugang zwei eigene asymmetrische Schlüsselpaare mit jeweils einem persönlichen Zertifikat, welches vom Trustcenter des BZStOnline-Portals ausgestellt ist (gilt für ELSTER-Basis und ELSTER-Spezial), beziehungsweise es werden die bereits vorhandenen asymmetrischen Schlüsselpaare Ihrer Signaturkarte verwendet (dies gilt für ELSTER-Plus). Eines Ihrer Schlüsselpaare wird in allen Sicherheitsprozessen von BZStOnline Ihrer persönlichen elektronischen Authentifizierung dienen und das andere zur individuellen Verschlüsselung von Daten, die nur für Sie bestimmt sind. Ihre persönlichen Zertifikate dienen dem BZStOnline-Portal unter anderem zum Nachweis der eindeutigen Zugehörigkeit der in den asymmetrischen Schlüsselpaaren enthaltenen öffentlichen Schlüssel zu Ihrer Person.

Authentifizierungsmittel
zuklappenmit Enter bzw. Leertaste

Für Ihren persönlichen Zugang benötigen Sie abhängig vom ausgewählten BZStOnline-Anwenderpaket (Art des Logins) eines der folgenden drei Mittel:

  • ELSTER-Basis: Zertifikatsdatei
    Die asymmetrischen Schlüsselpaare werden auf Ihrem Computer erzeugt und in einer durch eine individuelle PIN zu schützenden Datei gemäß dem Sicherheitsstandard PKCS#12 in einer speziellen Sicherheitsumgebung (PSE) des Computer gespeichert. Jedes Paar besteht aus einem privaten und einem öffentlichen Schlüssel. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann ausschließlich über die von Ihnen vergebene PIN aktiviert werden. Zu den zugehörigen öffentlichen Schlüsseln stellt das Trustcenter des BZStOnline-Portals Zertifikate aus.

  • ELSTER-Spezial: Sicherheitsstick
    Die asymmetrischen Schlüsselpaare werden auf Ihrem Computer im angeschlossenen Sicherheitsstick erzeugt und auf dem enthaltenen Kryptochip durch eine individuelle PIN geschützt und in einer speziellen Sicherheitsumgebung (PSE) gespeichert und verwendet. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann nur über die von Ihnen vergebene PIN zur Benutzung aktiviert werden. Zu den jeweiligen öffentlichen Schlüsseln stellt das Trustcenter des BZStOnline-Portals Zertifikate aus. Die Registrierungs-, Schlüsselerzeugungs- und Zertifizierungsprozesse sind analog zu den Prozessen der Zertifikatsdatei.

  • ELSTER-Plus: Signaturkarte
    Verfügen Sie über eine von BZStOnline unterstützte Signaturkarte, so können Sie diese verwenden. Dies ist zum Beispiel mittels qualifizierter oder fortgeschrittener Signaturkarten diverser Banken und Unternehmen möglich, deren Trustcenter in BZStOnline eingebunden sind. Üblicherweise sind die auf Ihrer Signaturkarte enthaltenen asymmetrischen Schlüsselpaare durch eine individuelle PIN geschützt und in einer speziellen Sicherheitsumgebung gespeichert und verwendbar. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann nur von Ihnen selbst über die PIN zur Benutzung aktiviert werden. Die auf der Signaturkarte vorhandenen Zertifikate der zugehörigen öffentlichen Schlüssel werden von Ihrem Computer zum Trustcenter des BZStOnline-Portals übertragen, damit deren Gültigkeit für BZStOnline bestätigt werden kann. Im positiven Fall werden Ihre Zertifikate in BZStOnline eingebunden.
    Die aktuell unterstützten Signaturkarten sind unter "PB 6 - Sicherheit" einsehbar. Die technologische Ausgestaltung sowie die Registrier- und Ausgabeprozesse für diese Karten werden von den jeweiligen Anbietern unter Beachtung der Vorgaben und Forderungen der StDÜV beziehungsweise des Signaturgesetzes gestaltet und sind konform zur ELSTER-Policy.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Die privaten Schlüssel der asymmetrischen Schlüsselpaare können nur über Eingabe einer von Ihnen gewählten individuellen PIN zur Benutzung aktiviert werden. Diese Sicherheit wird auch allgemein als Sicherheit auf Basis von "Wissen (PIN) und Besitz (Authentifizierungs mittel)" bezeichnet. Für den sicheren Umgang mit Ihrem Authentifizierungsmittel und der dazugehörigen PIN sind Sie selbst verantwortlich!

ELSTER-Basis (Zertifikatsdatei)

Allgemeines
zuklappenmit Enter bzw. Leertaste

Sollten Sie innerhalb einer gewissen Zeit nach dem Absenden Ihrer persönlichen Daten keine E-Mail vom BZStOnline-Portal erhalten haben, müssen Sie noch einmal mit dem Registrierungsprozess beginnen. Die häufigste Ursache hierfür kann ein Tippfehler sein, wie zum Beispiel die unabsichtliche Angabe einer falschen oder ungültigen E-Mail-Adresse. Die empfohlene Wartezeit bevor man von einem Fehler bei der Zustellung der E-Mail ausgehen kann, hängt von vielen Parametern ab, wie zum Beispiel der augenblicklichen Last am Portal, der Last bei Ihrem Internet-Provider sowie der Qualität Ihrer Verbindung zu Ihrem Provider. Üblicherweise wird die E-Mail innerhalb von Minuten bis zu wenigen Stunden ausgeliefert. Bei Wartezeiten über mehrere Tage empfehlen wir die Hotline zu kontaktieren.

Hinweis zum Gebrauch
zuklappenmit Enter bzw. Leertaste

Die Zertifikatsdatei ist aus Sicht des Betriebssystems Ihres Computers eine Datei. Sie kann daher auf unterschiedliche Speichermedien abgelegt werden (z. B. Festplatte, Diskette, Memory-Stick). Sie beinhaltet kryptografische Schlüssel und Zertifikate. Die Zertifikatsdatei stellt die Verknüpfung mit einem Benutzerkonto im BZStOnline-Portal her. Da die Zertifikatsdatei wie jede andere Datei beliebig oft kopierbar ist, kann auf einfache Weise einfach eine Sicherungskopie erstellt werden.
Da das Kopieren auch unbemerkt erfolgen kann, z. B. bei Ablage auf einem Netzlaufwerk oder durch bösartige Software - so genannte Malware (engl. malicious software), bringt die Zertifikatsdatei Risiken mit sich, die der Anwender berücksichtigen sollte.
Es ist technisch möglich, von mehreren Arbeitsplätzen Zugang zu ein und demselben Benutzerkonto zu bekommen. Diese Möglichkeit birgt allerdings Sicherheitsrisiken und ist fehleranfällig. Die Absicherung eines Benutzerkontos beruht auf einer Kombination von Wissen (PIN für die Zertifikatsdatei) und Besitz der Zertifikatsdatei. Bei Weitergabe der Zertifikatsdatei gibt der Inhaber des Benutzerkontos diese Sicherheitseigenschaft in eigener Verantwortung auf. Bei missbräuchlicher Nutzung der ELSTER-Infrastruktur durch eine Kopie der Zertifikatsdatei kann der ursprüngliche Eigentümer ermittelt und verantwortlich gemacht werden.
Benutzerkonten sind personenbezogen konzipiert. Die parallele (im Sinne von gleichzeitige) Nutzung eines Benutzerkontos durch mehrere Benutzer mit Zertifikatsdatei ist technisch möglich. Die Ablaufsteuerung von BZStOnline unterstützt den Mehrfachnutzerbetrieb für ein Benutzerkonto aber nicht explizit. Die Resultate der Aktionen anderer Nutzer werden erst zeitverzögert oder erst nach erneutem Login sichtbar. Dies kann zu Irritationen und Fehlern führen. Von paralleler Nutzung wird deshalb abgeraten.
Bitte beachten Sie bei Weitergabe der Datei, dass

  • die Anzahl der Kopien nicht eingeschränkt werden kann,
  • alle Kopien der Zertifikatsdatei gleichwertig sind,
  • nicht nachvollzogen werden kann, mit welcher Kopie einer Zertifikatsdatei eine Transaktion durchgeführt wurde,
  • bei Sperrung eines Benutzerkontos alle Kopien der Zertifikatsdatei betroffen sind,
  • und es nicht möglich ist, eine einzelne missbräuchlich verwendete Kopie zu sperren.

Eine weitere mögliche Fehlerquelle gibt es bei der Aktualisierung der Zertifikatsdatei. Aus Sicherheitsgründen ist die Gültigkeit der Zertifikatsdatei begrenzt (gegenwärtig auf 3 Jahre). Mit einem gewissen zeitlichen Sicherheitsabstand zum Ende der Gültigkeitsdauer wird der Benutzer via E-Mail darüber informiert, dass sein neues Zertifikat erzeugt und für ihn bereitgestellt wurde. Beim nächsten Login am BZStOnline-Portal wird dieses automatisch aktualisiert. Aus Sicht des Betriebssystems Ihres Computers wird damit die Zertifikatsdatei verändert und ab dieser Aktualisierung ist nur noch genau diese Kopie der Zertifikatsdatei gültig. Alle anderen Kopien verlieren ihre Gültigkeit und ein Login am BZStOnline-Portal mit diesen Kopien ist nicht mehr möglich. Die alten Kopien müssen also als Folgeaktion der Zertifikatserneuerung durch die neue Version ersetzt werden.
Um die Sicherheitsaspekte zu wahren, empfehlen wir daher im Falle der Mehrfachnutzung eines Benutzerkontos, z.B. bei Ehepaaren oder innerhalb einer Organisationseinheit einer Firma die Verwendung eines Sicherheitssticks. Hier kann die Nutzung mit organisatorischen Mitteln kontrolliert werden, die Kopie eines Sicherheitsstick-Zertifikats ist nicht möglich. Zudem bietet der Sicherheitsstick eine höhere Sicherheit (Anwenderpaket "ELSTER-Spezial") innerhalb des BZStOnline-Portals.
Hinweise zur sicheren Aufbewahrung
zuklappenmit Enter bzw. Leertaste

Sie sollten die zum Löschen Ihres Benutzerkontos erforderliche Antwort auf die Sicherheitsabfrage sicher und getrennt von Ihrem Authentifizierungsmittel aufbewahren. Weil bei einer Registrierung mit ELSTER-Basis die Zertifikatsdatei auf Ihrer Festplatte abgelegt wird, müssen Sie hier zusätzlich auf eine hinreichende Absicherung Ihres Rechners achten. Falls Sie Ihren Rechner für das Surfen im Internet verwenden oder dieser von anderen Personen mitbenutzt wird, könnte die Datei unbemerkt ausgelesen oder kopiert werden. Bei einem solchen Angriff wäre Ihr Zertifikat nur noch durch Ihr Persönliches Kennwort (PIN) gesichert. Wie Sie Ihren Rechner vor den Gefahren des Internets absichern können, können Sie auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik nachlesen: https://www.bsi-fuer-buerger.de

Aktivierungsdaten
zuklappenmit Enter bzw. Leertaste

Es erfolgt ein indirekter Identitätsnachweis durch Übermittlung des Aktivierungs-Codes auf dem Standard-Postweg sowie Versenden der Aktivierungs-ID per E-Mail. Der Nachweis Ihrer Identität erfolgt dabei, indem nur die authentische Person beide Informationen erhalten und damit das persönliche Benutzerkonto am BZStOnline-Portal aktivieren kann.

Aktivierungsbrief
zuklappenmit Enter bzw. Leertaste

Der persönliche Aktivierungs-Code ist ein essentieller Sicherheitsmechanismus bei der Aktivierung eines persönlichen Benutzerkontos am BZStOnline-Portal. Initiiert durch das BZStOnline-Portal wird er in einem separat abgesicherten System der Finanzverwaltung erzeugt und gedruckt. Anschließend wird er in einem geschlossenen Brief von der Finanzverwaltung an Sie übermittelt.

Trustcenter
zuklappenmit Enter bzw. Leertaste

Das Trustcenter von BZStOnline ist ein dediziert zusammen mit dem BZStOnline-Portal zu betreibender Schlüssel- und Zertifikatsmanager. Es dient der Erstellung und Verwaltung von Zertifikaten, welche die individuelle elektronische Authentifizierung und Verschlüsselung für Anwender des BZStOnline-Portals ermöglichen. Das Trustcenter wird auf Basis eines eigenen Betriebs-, Organisations- und Sicherheitskonzepts in Anlehnung an weltweit anerkannte Richtlinien betrieben.

Zertifikat
zuklappenmit Enter bzw. Leertaste

Pro Anwender werden aus Sicherheitsgründen zwei Zertifikate benötigt beziehungsweise ausgestellt. Eines für die elektrische Authentifizierung von Daten, das zusätzlich zur Authentifizierungsprüfung beim Login am BZStOnline-Portal verwendet wird und eines zur Verschlüsselung für die Übermittlung vertraulicher Daten beziehungsweise Rückmeldungen vom BZStOnline-Portal an den Anwender.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Die Anmeldung an vielen Internet-Portalen wie zum Beispiel Amazon oder eBay erfolgt durch Angabe eines Benutzernamens und des zugehörigen Passwortes. Diese Authentifizierung ist gemessen am Schutzbedarf der dort hinterlegten Daten ausreichend. Die vom BZStOnline-Portal verwendete Authentifizierung bietet jedoch eine höhere Sicherheit. Hier erfolgt die Anmeldung am BZStOnline-Portal unter Angabe des Pfades zu Ihrer Zertifikatsdatei und Ihrer PIN. Ihre Zertifikatsdatei enthält neben dem privaten Schlüssel das zugehörige Zertifikat, über welches das BZStOnline-Portal Ihre elektronische Identität prüfen kann. Anstatt bei der Anmeldung nur Ihren Namen zu sagen, zeigen Sie dem Portal Ihren Ausweis. Haben Sie den Registrierungsprozess vollzogen und ein Login durchgeführt, so werden die von Ihnen an das BZStOnline-Portal übertragenen elektronischen Datensätze immer Authentifizierungsdaten zur persönlichen Zuordnung enthalten. Damit werden Sie einerseits über das zugehörige Zertifikat vom BZStOnline-Portal als Urheber identifiziert und andererseits kann ausgeschlossen werden, dass Ihre Daten bei der Übertragung verändert wurden. Der aus Ihrer Zertifikatsdatei zur Signatur verwendete private Schlüssel entspricht dem für die Authentifizierung.

Verschlüsselung
zuklappenmit Enter bzw. Leertaste

Ihre Zertifikatsdatei beinhaltet zwei asymmetrische Schlüsselpaare (aus privatem und öffentlichem Schlüssel) und jeweils ein dazu gehöriges Zertifikat. Eines für die Authentifizierung und eines für die Verschlüsselung. Die bei der Nutzung der personalisierten Dienste des BZStOnline-Portals generierten Rückmeldungen (zum Beispiel Abfrageergebnisse und Übermittlungsbestätigungen), werden für Sie persönlich mit Ihrem öffentlichen Schlüssel, der zum Verschlüsselungszertifikat gehört (dieser ist dem BZStOnline-Portal bekannt) verschlüsselt und im BZStOnline-Portal in Ihrem persönlichen Postfach bereit gestellt. Nur Sie können diese mit Ihrem (in der Zertifikatsdatei enthaltenen) privaten Schlüssel entschlüsseln.

Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit. In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung der 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Die Verschlüsselung der Datenübertragung erfolgt über ein symmetrisches kryptographisches Verfahren, welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird als Zufallszahl generiert und dem ElsterOnline-Portal, verschlüsselt mittels RSA-Verfahren, mitgeteilt. Nur Ihr Computer kennt damit den aktuell verwendeten symmetrischen Schlüssel, mit dem Ihre Daten entschlüsselt werden.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Die Authentifizierung basiert auf dem weltweit anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit. In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung der 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Ihr Computer erzeugt dabei nach Eingabe Ihrer PIN mit einem in Ihrer Zertifikatsdatei enthaltenen privaten Schlüssel eine elektronische Authentifizierungs-Signatur. Diese elektronische Authentifizierungs-Signatur und das in Ihrer Zertifikatsdatei enthaltene Zertifikat des zugehörigen öffentlichen Schlüssels sendet Ihr Computer zur Authentifizierung an das BZStOnline-Portal. Ihr Zertifikat ist dem BZStOnline-Portal bekannt, da das Trustcenter von BZStOnline dieses ausgestellt hat und in einem eigenen Verzeichnis verwahrt. Damit kann das BZStOnline-Portal durch Vergleich der Zertifikate sicherstellen, dass der öffentliche Schlüssel wirklich Ihnen gehört und verlaufen alle Prüfungen des BZStOnline-Portals positiv, werden Sie zu Ihren personalisierten Diensten weitergeleitet.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Nur Sie können zu Ihren personalisierten Diensten Zugang erhalten. Die starke Sicherheit basiert hier auf Ihrem Wissen (PIN) und Ihrem Besitz (Zertifikatsdatei). Die Zertifikatsdatei besitzt nur persönliche, individuelle sicherheitstechnische Inhalte. Ohne die Kenntnis von PIN und Zertifikatsdatei ist der Zugang zu Ihren personalisierten Diensten nicht möglich. Für die sichere Verwahrung der beiden Kryptomittel sind Sie selbst verantwortlich! Unberechtigte Personen dürfen keinen Zugriff auf diese Mittel erhalten, damit die Sicherheit in Ihrer Kommunikation mit dem BZStOnline-Portal gewahrt werden kann.

ELSTER-Spezial (Sicherheitsstick)

Allgemeines
zuklappenmit Enter bzw. Leertaste

Sollten Sie innerhalb einer gewissen Zeit nach dem Absenden Ihrer persönlichen Daten keine E-Mail vom BZStOnline-Portal erhalten haben, müssen Sie noch einmal mit dem Registrierungsprozess beginnen. Die häufigste Ursache hierfür kann ein Tippfehler sein, wie zum Beispiel die unabsichtliche Angabe einer falschen oder ungültigen E-Mail-Adresse. Die empfohlene Wartezeit bevor man von einem Fehler bei der Zustellung der E-Mail ausgehen kann, hängt von vielen Parametern ab, wie zum Beispiel der augenblicklichen Last am Portal, der Last bei Ihrem Internet-Provider sowie der Qualität Ihrer Verbindung zu Ihrem Provider. Üblicherweise wird die E-Mail innerhalb von Minuten bis zu wenigen Stunden ausgeliefert. Bei Wartezeiten über mehrere Tage empfehlen wir die Hotline zu kontaktieren.

Aktivierungsdaten
zuklappenmit Enter bzw. Leertaste

Es erfolgt ein indirekter Identitätsnachweis durch Übermittlung des Aktivierungs-Codes auf dem Standard-Postweg sowie Versenden der Aktivierungs-ID per E-Mail. Der Nachweis Ihrer Identität erfolgt dabei, indem nur die authentische Person beide Informationen erhalten und damit den in Frage kommenden Zugang zum BZStOnline-Portal aktivieren kann.

Aktivierungsbrief
zuklappenmit Enter bzw. Leertaste

Der persönliche Aktivierungs-Code ist ein essentieller Sicherheitsmechanismus bei der Aktivierung eines Zugangs zum BZStOnline-Portal. Initiiert durch das BZStOnline-Portal wird er in einem separat abgesicherten System der Finanzverwaltung erzeugt und gedruckt. Anschließend wird er in einem geschlossenen Brief von der Finanzverwaltung an Sie übermittelt.

Trustcenter
zuklappenmit Enter bzw. Leertaste

Das Trustcenter von BZStOnline ist ein dediziert zusammen mit dem BZStOnline-Portal zu betreibender Schlüssel- und Zertifikatsmanager. Es dient der Erstellung und Verwaltung von Zertifikaten, welche individuelle Authentifizierung und Verschlüsselung für Anwender des BZStOnline-Portals ermöglichen. Das Trustcenter wird auf Basis eines eigenen Betriebs-, Organisations- und Sicherheitskonzepts in Anlehnung an weltweit anerkannte Richtlinien betrieben.

Zertifikate
zuklappenmit Enter bzw. Leertaste

Pro Anwender werden aus Sicherheitsgründen zwei elektronische Zertifikate (beziehungsweise asymmetrische Schlüsselpaare) für den Sicherheitsstick ausgestellt. Eines für die Authentifizierung von Daten, welches zusätzlich zur Authentifizierungsprüfung beim Login am BZStOnline-Portal verwendet wird und eines zur Verschlüsselung für die Übermittlung vertraulicher Daten beziehungsweise Rückmeldungen vom BZStOnline-Portal an den Anwender.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Sie können die personalisierten Dienste des BZStOnline-Portals zukünftig über das Login nur nutzen, wenn Sie sich mit Ihrem Sicherheitsstick authentifizieren. Ihr Sicherheitsstick enthält den dafür notwendigen privaten Schlüssel und das zugehörige Zertifikat, über welches das BZStOnline-Portal Ihre elektronische Identität prüfen kann. Bei der Nutzung personalisierter Dienste des Portals enthalten die an das BZStOnline-Portal übertragenen elektronischen Datensätze persönliche Authentifizierungsdaten. Damit werden Sie einerseits über Ihr Zertifikat vom BZStOnline-Portal als Urheber sichergestellt und andererseits kann ausgeschlossen werden, dass Ihre Daten bei der Übertragung verändert wurden. Der hierzu aus Ihrem Sicherheitsstick verwendete private Schlüssel entspricht dem für Authentifizierungszwecke.

Verschlüsselung
zuklappenmit Enter bzw. Leertaste

Ihr Sicherheitsstick besitzt genau zwei asymmetrische Schlüsselpaare und jeweils ein dazu gehöriges Zertifikat. Eines für die Authentifizierung und eines für die Verschlüsselung. Die bei der Nutzung der personalisierten Dienste des BZStOnline-Portals generierten Rückmeldungen (zum Beispiel Abfrageergebnisse und Übermittlungsbestätigungen), werden zukünftig persönlich mit Ihrem öffentlichen Schlüssel(beziehungsweise Zertifikat- ist dem BZStOnline-Portal bekannt) verschlüsselt in Ihrem persönlichen BZStOnline-Postfach für Sie bereit gestellt. Nur Sie können diese mit Ihrem Sicherheitsstick entschlüsseln.

Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert grundlegend auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit für den "G&D StarSign USB Token für ELSTER" (Vertrieb seit Oktober 2008). In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung eines Sicherheitssticks mit 2048-Bit-Schlüssellängen und des Hash-Algorithmus SHA256. Die Verschlüsselung der Datenübertragung erfolgt über ein symmetrisches kryptographisches Verfahren, welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird von Ihrem Sicherheitsstick als Zufallszahl generiert und dem BZStOnline-Portal, verschlüsselt mittels RSA-Verfahren, mitgeteilt. Nur Ihr Sicherheitsstick und das BZStOnline-Portal kennen damit den symmetrischen Schlüssel, mit dem nun entsprechende Daten entschlüsselt werden können.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert grundlegend auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit für den "G&D StarSign USB Token für ELSTER" (Vertrieb seit Oktober 2008). In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung der 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Ihr Sicherheitsstick erzeugt dabei nach Eingabe Ihrer PIN mit dem im Stick enthaltenen privaten Schlüssel eine elektronische Authentifizierungs-Signatur. Diese elektronische Authentifizierungs-Signatur und das in Ihrem Sicherheitsstick enthaltene Zertifikat des zugehörigen öffentlichen Schlüssels sendet Ihr Computer zur Authentifizierung an das BZStOnline-Portal. Ihr Zertifikat ist dem BZStOnline-Portal bekannt, da das Trustcenter von BZStOnline dieses ausgestellt hat und in einem eigenen Verzeichnis verwahrt. Damit kann das BZStOnline-Portal durch Vergleich der Zertifikate sicherstellen, dass der öffentliche Schlüssel wirklich Ihnen gehört. Verlaufen alle Prüfungen des BZStOnline-Portals positiv, werden Sie zu Ihren personalisierten Diensten weiter geleitet.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Nur Sie können zu Ihren personalisierten Diensten Zugang erhalten. Die starke Sicherheit basiert hier auf Ihrem Wissen (PIN) und Ihrem Besitz (Sicherheitsstick). Der Sicherheitsstick besitzt nur persönliche und individuelle sicherheitstechnische Inhalte. Ohne die Kenntnis von PIN und den Besitz des Sicherheitssticks ist der Zugang zu Ihren personalisierten Diensten nicht möglich. Für die sichere Verwahrung der beiden Kryptomittel sind Sie selbst verantwortlich! Unberechtigte dürfen keinen Zugriff auf diese Mittel erhalten. Nur dann ist Ihre sichere Verbindung zum BZStOnline-Portal gewahrt.

ELSTER-Plus (Signaturkarte für Authentifizierung)

Umgang mit der Signaturkarte für Authentifizierung
zuklappenmit Enter bzw. Leertaste

Verfügt der Benutzer über eine von ELSTER unterstützte Signaturkarte für Authentifizierung, so kann er diese auch im Rahmen des BZStOnline-Portals einsetzen. Eine Liste der von ELSTER unterstützten Signaturkarten für Authentifizierung finden Sie auf der Seite "Anforderungen" im Abschnitt "Betriebssystem und Art der Registrierung - Art des Logins".
Signaturkarten für Authentifizierung stellen den elektronischen Ersatz Ihrer handschriftlichen Unterschrift dar und werden z. B. von Banken ausgegeben. Ein mit einer Signaturkarte für Authentifizierung signiertes Dokument wird als rechtsverbindlich angesehen. Die Finanzverwaltung fordert bei der Verwendung von Signaturkarten für Authentifizierung ein Mindestmaß an Sicherheit, das in der ELSTER-Policy festgehalten wurde.

Hinweis: Signaturkarten für Authentifizierung mit Pseudonymen werden ausdrücklich nicht unterstützt!

Allgemeines
zuklappenmit Enter bzw. Leertaste

Sollten Sie innerhalb einer gewissen Zeit nach dem Absenden Ihrer persönlichen Daten keine E-Mail vom BZStOnline-Portal erhalten haben, müssen Sie noch einmal mit dem Registrierungsprozess beginnen. Die häufigste Ursache hierfür kann ein Tippfehler sein, wie zum Beispiel die unabsichtliche Angabe einer falschen oder ungültigen E-Mail-Adresse. Die empfohlene Wartezeit bevor man von einem Fehler bei der Zustellung der E-Mail ausgehen kann, hängt von vielen Parametern ab, wie zum Beispiel der augenblicklichen Last am Portal, der Last bei Ihrem Internet-Provider sowie der Qualität Ihrer Verbindung zu Ihrem Provider. Üblicherweise wird die E-Mail innerhalb von Minuten bis zu wenigen Stunden ausgeliefert. Bei Wartezeiten über mehrere Tage empfehlen wir die Hotline zu kontaktieren.

Aktivierungsdaten
zuklappenmit Enter bzw. Leertaste

Es erfolgt ein indirekter Identitätsnachweis durch Übermittlung des Aktivierungs-Codes auf dem Standard-Postweg sowie Versenden der Aktivierungs-ID per E-Mail. Der Nachweis Ihrer Identität erfolgt dabei, indem nur die authentische Person beide Informationen erhalten und damit den in Frage kommenden Zugang zum BZStOnline-Portal aktivieren kann.

Aktivierungsbrief
zuklappenmit Enter bzw. Leertaste

Der persönliche Aktivierungs-Code ist ein essentieller Sicherheitsmechanismus bei der Aktivierung eines Zugangs zum BZStOnline-Portal. Initiiert durch das BZStOnline-Portal wird er in einem separat abgesicherten System der Finanzverwaltung erzeugt und gedruckt. Anschließend wird er in einem geschlossenen Brief von der Finanzverwaltung an Sie übermittelt.

Trustcenter
zuklappenmit Enter bzw. Leertaste

Das Trustcenter von BZStOnline ist ein dediziert zusammen mit dem BZStOnline-Portal zu betreibender Schlüssel- und Zertifikatsmanager. Es dient der Erstellung und Verwaltung von Zertifikaten, welche individuelle Authentifizierung und Verschlüsselung für Anwender des BZStOnline-Portals ermöglichen. Das Trustcenter wird auf Basis eines eigenen Betriebs-, Organisations- und Sicherheitskonzepts in Anlehnung an weltweit anerkannte Richtlinien betrieben. Das Trustcenter von BZStOnline bindet Verzeichnisdienste verschiedener von BZStOnline akzeptierter externer Trustcenter sicher ein, um die auf Zertifikaten basierten Verschlüsselungs- und Authentifizierungsfunktionen Ihrer Signaturkarte für BZStOnline zu nutzen. Wird Ihre Signaturkarte von BZStOnline unterstützt, so befinden sich Ihre relevanten Zertifikate in einem solchen eingebundenen Verzeichnisdienst Ihres Kartenausgebers. Dadurch kann das BZStOnline-Portal die Gültigkeit der auf Ihrer Signaturkarte enthaltenen Zertifikate schnell prüfen.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Sie können die personalisierten Dienste des BZStOnline-Portals zukünftig über das Login nur nutzen, wenn Sie sich mit Ihrer Signaturkarte authentifizieren. Ihre Signaturkarte enthält den dafür notwendigen privaten Schlüssel und das zugehörige Zertifikat, über welches das BZStOnline-Portal Ihre elektronische Identität prüfen kann. Haben Sie den Registrierungsprozess vollzogen und ein Login durchgeführt, so werden die zu kommunizierenden, elektronischen Datensätze immer mit Ihrer persönlichen elektronischen Signatur versehen sein. Damit werden Sie einerseits über das zugehörige Zertifikat vom BZStOnline-Portal als Urheber sichergestellt und andererseits wird die Integrität der Datensätze prüfbar. Der aus Ihrer Signaturkarte verwendete private Schlüssel entspricht dem für Authentifizierungszwecke.

Verschlüsselung
zuklappenmit Enter bzw. Leertaste

Die bei Ihrer Anwendung der personalisierten Dienste des BZStOnline-Portals entstehenden Rückmeldungen (zum Beispiel Abfrageergebnisse und Eingabebestätigungen), werden zukünftig persönlich mit dem aus Ihrer Signaturkarte vorgesehenen öffentlichen Schlüssel(beziehungsweise Zertifikat- ist dem BZStOnline-Portal bekannt) verschlüsselt im BZStOnline-Portal für Sie bereit gestellt sein. Nur Sie können diese auf Ihrem Computer mit Ihrem zugehörigen, in der Signaturkarte enthaltenen privaten Schlüssel entschlüsseln.

Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert grundlegend auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit, abhängig von der verwendeten Signaturkarte für Authentifizierung. In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung einer Signaturkarte für Authentifizierung mit 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Die Verschlüsselung erfolgt über ein symmetrisches kryptographisches Verfahren, welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird von Ihrer Signaturkarte für Authentifizierung als Zufallszahl generiert und dem BZStOnline-Portal, verschlüsselt mittels RSA-Verfahren, mitgeteilt. Nur Ihre Signaturkarte für Authentifizierung und das BZStOnline-Portal kennen damit den symmetrischen Schlüssel, mit dem nun die entsprechenden Daten entschlüsselt werden können.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Die Sicherheit Ihrer Authentifizierung basiert grundlegend auf dem anerkannten RSA-Verfahren mit einer Schlüssellänge von 2048 Bit, in Abhängigkeit der verwendeten Signaturkarte für Authentifizierung. In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung einer Signaturkarte für Authentifizierung mit 2048 Bit Schlüssellängen und des Hash-Algorithmus SHA256. Ihre Signaturkarte erzeugt dabei nach Eingabe Ihrer PIN mit dem in der Karte enthaltenen privaten Schlüssel Ihre persönliche elektronische Authentifizierungs-Signatur. Diese elektronische Authentifizierungs-Signatur und das in Ihrer Signaturkarte enthaltene Zertifikat des zugehörigen öffentlichen Schlüssels sendet Ihr Computer zur Authentifizierung an das BZStOnline-Portal. Da Ihr Zertifikat im Rahmen Ihrer Registrierung in einem eigenen Verzeichnis von BZStOnline gespeichert wurde, kann das BZStOnline-Portal durch Vergleich der Zertifikate sicherstellen, dass der öffentliche Schlüssel wirklich Ihnen gehört. Verlaufen alle Prüfungen des BZStOnline-Portals positiv, werden Sie zu Ihren personalisierten Diensten weitergeleitet.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Nur Sie können zu Ihren personalisierten Diensten Zugang erhalten. Die starke Sicherheit basiert hier auf Ihrem Wissen (PIN) und Ihrem Besitz (Signaturkarte). Ihre Signaturkarte besitzt nur persönliche, individuelle sicherheitstechnische Inhalte. Ohne die Kenntnis von PIN und den Besitz der Signaturkarte ist der Zugang zu Ihren personalisierten Diensten nicht möglich. Für die sichere Verwahrung der beiden Kryptomittel sind Sie selbst verantwortlich! Unberechtigte dürfen keinen Zugriff auf diese Mittel erhalten. Nur dann ist Ihre sichere Verbindung zum BZStOnline-Portal gewahrt.