Signaturkarten (Hardware-Token) werden in drei Anwendungsfällen im Zusammenhang mit der beA-Anwendung benötigt:

  1. Für die Registrierung benötigen Sie die beA-Karte.
  2. Für die Anmeldung am beA-Postfach können Sie ein Hardware-Token oder ein Software-Token verwenden. Dieses muss die Schlüsselverwendung „Authentisierung“ und „Verschlüsselung“ besitzen. Neben den explizit getesteten Hardware-Token können für die Anmeldung weitere Sicherheits-Token verwendet werden, mit denen eine Authentisierung und Verschlüsselung möglich ist, bspw. Software-Token.
  3. Für die Anbringung einer qualifizierten elektronischen Signatur (QES) benötigen Sie eine Signaturkarte mit der Schlüsselverwendung „QES“. Es können Signaturkarten verwendet werden, die durch deutsche Zertifizierungsdiensteanbieter (ZDA) herausgegeben werden und mit denen man eine QES erzeugen kann.

Die explizit getesteten Hardware-Token finden Sie in den Tabellen 1a bis 1c.

Chipkartenlesegeräte werden in drei Anwendungsfällen im Zusammenhang mit der beA-Anwendung und der Signaturanwendungskomponente der BNotK benötigt:

  1. Für die Registrierung und Anmeldung am beA benötigen Sie ein Chipkartenlesegerät der Klassen 3, 2 oder 1. Angaben zu den unterstützten Chipkartenlesegeräten finden Sie in den Tabellen rechts. Neben den dort aufgeführten Chipkartenlesegeräten können für die Registrierung und Anmeldung auch andere Chipkartenlesegeräte verwendet werden, beispielsweise Chipkartenleser ohne PIN-Pad oder interne Chipkartenlesegeräte in Notebooks. Die Funktionsfähigkeit dieser weiteren Chipkartenlesegeräte im Zusammenhang mit dem beA ist jedoch nicht Bestandteil der Tests und ist daher möglicherweise nicht durchgängig gewährleistet.
  2. Für die Anbringung einer qualifizierten elektronischen Signatur (QES) im beA benötigen Sie ein Chipkartenlesegerät der Klassen 3 oder 2. Es können die meisten Chipkartenlesegeräte verwendet werden, die in Deutschland für die Erzeugung einer qualifizierten elektronischen Signatur (QES) zugelassen sind. Angaben zu den unterstützten Chipkartenlesegeräten finden Sie in den Tabellen 2a bis 2b.
  3. Für die PIN-Änderung und das Nachladen des Signaturzertifikates der beA-Karte Signatur über die Signaturanwendungskomponente der BNotK unter https://bea.bnotk.de/sak/ wird ein Chipkartenlesegerät der Klasse 3 benötigt. Angaben zu den unterstützten Chipkartenlesegeräten finden Sie in dem von der BNotK unter https://bea.bnotk.de/sak/ bereitgestellten Hilfedokument.

Chipkartenlesegeräte der Klasse 3 haben eine Tastatur und ein Display, Geräte der Klasse 2 eine Tastatur.

Im Folgenden sind die unterstützten Chipkartenlesegeräte, die unterstützten Signaturkarten (Hardware-Token) sowie die unterstützten Kombinationen von Betriebssystem, Chipkartenlesegerät und Signaturkarten (Hardware-Token) aufgeführt. Welche Signaturkarte (Hardware-Token) Sie für welchen Zweck verwenden können, entnehmen Sie bitte diesen Tabellen.

1    Unterstützte Signaturkarten und Hardware-Token

Signaturkarten für eine qualifizierte elektronische Signatur (QES)
Mit dieser Anwendung können Sie die meisten von deutschen Zertifizierungsdiensteanbietern herausgegebenen qualifizierten Signaturkarten und Hardware-Token verwenden. Die Listen mit den unterstützten Signaturkarten für eine qualifizierte elektronische Signatur sind den Tabellen „Unterstützte Signaturkarten deutscher Zertifizierungsdiensteanbieter für eine QES“ (Tabellen 1a und 1b) zu entnehmen. Die Signaturkarten erlauben in der Regel die Erzeugung von qualifizierten und fortgeschrittenen Signaturen (ggf. auch Authentisierung). Außerdem können damit Daten ver- und entschlüsselt werden. Dieses gilt nur, wenn entsprechende Schlüssel/Zertifikate auf der Signaturkarte vorhanden sind. Für die Anmeldung am beA-Postfach können Hardware-Token verwendet werden, welche die Schlüsselverwendung „Authentisierung“ und „Verschlüsselung“ besitzen. Bei Signaturkarten wird zwischen Einzel-, Stapel- und Multisignaturkarten unterschieden. Diese Anwendung unterstützt alle drei Kartenvarianten wie folgt:

  • Bei Einzelsignaturkarten ist nach der PIN-Eingabe die Erzeugung einer QES möglich.
  • Bei Stapelsignaturkarten sind nach der einmaligen PIN-Eingabe – kartenabhängig – bis zu 254 QES möglich (Batchverfahren).
  • Bei Multisignaturkarten wird die Erzeugung von maximal 500 QES-Stapelsignaturen nach einer einmaligen PIN-Eingabe unterstützt (Batchverfahren). Die Erzeugung von Signaturen innerhalb eines festgelegten Zeitfensters ist nicht möglich.

Qualifizierte Signaturkarten basieren auf sogenannten sicheren Signaturerstellungseinheiten (SSEE). Unterstützt werden die in den Tabellen 1a und 1b angegebenen Kombinationen von Signaturkarte und SSEE.

Die unterstützten Signaturkarten müssen sich im Originalzustand befinden, d. h. so, wie sie durch den ZDA herausgegeben und zugestellt wurden. Es gibt eine Ausnahme: Wird von einem ZDA eine dezentrale Personalisierung einer Original-Signaturkarte angeboten, also das Nachladen von qualifizierten Zertifikaten, wird die Signaturkarte weiterhin unterstützt. Dieses ist zum Beispiel bei der beA-Karte oder beim neuen Personalausweis möglich. Andere Modifizierungen der Signaturkarte, wie z. B. das lokale Aufspielen eigenen Schlüsselmaterials, könnten die Signaturkarte für diese Anwendung unbrauchbar machen oder sogar zerstören.

Andere Signaturkarten
Diese Anwendung unterstützt auch Signaturkarten, mit denen eine fortgeschrittene Signatur erzeugt werden kann. Die Liste ist der Tabelle „andere unterstützte Signaturkarten“ (Tabelle 1c) zu entnehmen.

PIN-Management der unterstützten Signaturkarten
Diese Anwendung unterstützt technisch die Eingabe einer 6 bis 12-stelligen numerischen PIN auf dem Chipkartenlesegerät. Abweichend davon kann es technisch bedingte Einschränkungen geben. Im Anwendungsfall ist stets die gemeinsame Schnittmenge der unterstützten PIN-Längen von Signaturkarte, Chipkartenlesegerät und dieser Anwendung maßgeblich.

Beispiel:

Komponente unterstützte PIN-Länge
diese Anwendung 6 bis 12-stellig
Ihre Signaturkarte (Signatur-PIN) 6 bis 10-stellig
Ihr Chipkartenlesegerät für QES 4 bis 16-stellig
gemeinsame Schnittmenge 6 bis 10-stellig

Wichtig:
Bei einer Signaturkarte kann die unterstützte PIN-Länge je nach Funktion der PIN (z.B. Signatur-PIN, Entschlüsselungs-PIN, Authentisierungs-PIN) unterschiedlich sein. Bitte informieren Sie sich anhand der Dokumentation Ihrer Signaturkarte und Ihres Chipkartenlesegeräts. Oder fragen Sie den ZDA Ihrer Signaturkarte oder den Hersteller Ihres Chipkartenlesegeräts, welche PIN-Längen unterstützt werden. Falls Sie dies nicht beachten, besteht die Gefahr, dass Ihre Signaturkarte unbrauchbar wird.

Sollten Sie beabsichtigen, Ihre PIN zu ändern, achten Sie bitte darauf, tatsächlich nur die alte PIN einzugeben und keinesfalls eine weitere Ziffer. Sonst kann es bei einigen Signaturkarten passieren, dass die neue PIN nicht so ist, wie sie es erwarten.

Beispiel:
Die richtige alte PIN ist 123456. Der Benutzer gibt aber versehentlich für die alte PIN 12345666 ein, weil die Tastatur des Chipkartenlesegeräts prellt (mechanisch ausgelöster Störeffekt, der bei Betätigung des Tastaturknopfs kurzzeitig ein mehrfaches Schließen und Öffnen des Kontakts hervorruft). Verwendet der Benutzer für die neue PIN 654321 und wiederholt diese korrekt, so wird die PIN-Änderung bei einigen Signaturkarten trotzdem durchgeführt. Bei diesen Signaturkarten ist die PIN dann 66654321. Die Ursache für dieses Verhalten ist die Anfälligkeit eines bestimmten verwendeten PIN-Verfahrens im Zusammenhang mit der für diesen Fall unzureichenden Spezifikation ISO 7816-4. Für die PIN-Änderung kann es daher sicherer sein, die PC-Tastatur zu verwenden.

2    Unterstützte Chipkartenlesegeräte

Mit dieser Anwendung können die meisten Chipkartenlesegeräte mit Tastatur (PIN-Pad) und ausgewählte Chipkartenlesegeräte ohne PIN-Pad verwendet werden, die in Deutschland für die Erzeugung einer QES zugelassen sind.

Für eine QES zugelassene Chipkartenlesegeräte
Alle für die Erzeugung einer QES zugelassenen Chipkartenlesegeräte werden über ihre eigene USB-Schnittstelle an den PC angeschlossen. Die Verbindung vom PC zum Chipkartenlesegerät wird über einen PC/SC-Treiber hergestellt. Bitte informieren Sie sich beim Hersteller des Chipkartenlesegeräts, wie ggf. der Treiber zu installieren ist.

Die Listen mit den für eine QES geeigneten Chipkartenlesegeräten sind den Tabellen „unterstützte Chipkartenlesegeräte“ (Tabellen 2a und 2b) zu entnehmen. Für eine QES dürfen nur die dort aufgeführten Chipkartenlesegeräte verwendet werden. Es handelt sich ausschließlich um Ge­räte mit einer zum Zeitpunkt des Inverkehrbringens dieser Anwendung gültigen Bestätigung oder Herstellererklärung. Diese wurde von der zuständigen Aufsichtsbehörde Bundesnetzagentur (BNetzA) veröffentlicht.

Bitte beachten Sie, dass Bestätigungen oder Herstellererklärungen für Chipkartenlesegeräte zeitlich befristet sind. Bei Sicherheitsmängeln können Bestätigungen oder Herstellererklärungen von der Bundesnetzagentur für ungültig erklärt oder widerrufen werden. Dieses passiert allerdings nur äußerst selten. Trotzdem sollten Sie sich informieren, ob Ihr Chipkartenlesegerät immer noch den Anforderungen genügt. Aktuelle Informationen hierzu finden Sie in den Übersichten bei der Bundesnetzagentur.

Chipkartenlesegeräte nicht für QES geeignet
Diese Anwendung unterstützt auch Chipkartenlesegeräte, die keine sichere PIN-Eingabe erlauben (HBCI-Klasse 1) und daher nicht für eine QES verwendet werden dürfen. Es handelt sich ausschließlich um Geräte mit USB-Schnittstelle, die über einen PC/SC-Treiber angesprochen werden. Die Liste der unterstützten Chipkartenlesegeräte ohne PIN-Pad ist der Tabelle „Unterstützte Chipkartenlesegeräte ohne PIN-Pad“ (Tabelle 2c) zu entnehmen.

Neben diesen Geräten können auch viele weitere Chipkartenlesegeräte mit USB-Schnittstelle ohne PIN-Pad oder interne Chipkartenlesegeräte in Notebooks verwendet werden. Natürlich muss der Hersteller für das verwendete Betriebssystem einen Treiber zur Verfügung stellen. Die Funktionsfähigkeit dieser weiteren Chipkartenlesegeräte im Zusammenhang mit dem beA ist jedoch nicht Bestandteil der Tests und ist daher möglicherweise nicht durchgängig gewährleistet.  Für eine QES dürfen diese Geräte nicht verwendet werden, sondern nur für die Registrierung und Anmeldung am beA.

PIN-Änderung und Nachladen des Signaturzertifikates der beA-Karte Signatur
Über eine von der Bundesnotarkammer bereitgestellte Anwendung unter https://bea.bnotk.de/sak können Sie die PIN einer beA-Karte ändern und zukünftig das Signaturzertifikat der beA-Karte Signatur nachladen.

Technische Komponenten, die für die qualifizierte elektronische Signatur verwendet werden dürfen, müssen vorab durch eine bestätigende Stelle geprüft werden. Diese Komponenten werden zum Prüfzeitpunkt nach Stand der Technik und den Vorgaben des Signaturrechts evaluiert und bestätigt. Die Konformität der von der Bundesnotarkammer angebotenen Signaturanwendungskomponente (SAK) mit diesen Anforderungen wurde 2016 bestätigt. Beim Design der Anwendung wurden nach Stand der Technik nur aktuelle Chipkartenlesegeräte mit einem Display (Klasse 3 – Chipkartenlesegeräte), die seit ca. 15 Jahren erhältlich sind und deutliche Sicherheitsvorteile gegenüber Chipkartenlesegeräten ohne Display (Klasse 2 – Chipkartenlesegeräte) bieten, berücksichtigt. Die Signaturanwendungskomponente der Bundesnotarkammer ist damit nur mit Klasse 3 – Chipkartenlesegeräten nutzbar.

3   Betriebssystem – Chipkartenlesegerät – Signaturkarte

Unterstützte Kombinationen: Betriebssystem – Chipkartenlesegerät – Signaturkarte
In der Regel werden alle Kombinationen der in den Listen benannten Betriebssysteme, Chipkartenlesegeräte und Signaturkarten unterstützt. Aus technischen Gründen kann es in Ausnahmefällen allerdings vorkommen, dass die Signaturanbringung, Ver- und Entschlüsselung oder Authentisierung mit einer elektronischen Signaturkarte/SSEE in Kombination mit einem bestimmten Chipkartenlesegerät und einem bestimmten Betriebssystem nur eingeschränkt oder nicht funktioniert. Dies kann unterschiedliche Gründe haben: Auf der Signaturkarte ist kein Verschlüsselungszertifikat vorhanden. Für eine neue Signaturkarte wurde noch kein geeigneter PC/SC-Treiber durch den Hersteller des Chipkartenlesegeräts für ein bestimmtes Betriebssystem bereitgestellt. Oder es liegt eine technische Inkompatibilität von Chipkartenlesegerät und Signaturkarte vor.
Prüfen Sie daher bitte, ob Ihre Signaturkarte in Kombination mit Ihrem Chipartenlesegerät und Ihrem Betriebssystem unterstützt wird. Entsprechende Listen finden Sie in den Tabellen „Unterstützte Kombinationen Betriebssystem-Chipkartenlesegerät-Karten“ (Tabellen 3a bis 3c).