1. Welche Systemvoraussetzungen benötigt mein Computer ?
Sie benötigen einen PC mit einem Chipkartenleser und geeigneter Anwendungssoftware.

2. Wo kann ich meinen PKS Auftrag abgeben?
Ihren PKS Auftrag nimmt jede Postfiliale / -agentur (zusammen mit PostIdent-Coupon, vgl. Frage 3) entgegen.

3. Wie funktioniert die Identifizierung über PostIdent?
Eine genaue Beschreibung, inkl. des notwendigen Coupons, finden Sie hier.

4. Preise für den Public Key Service
Die Preisliste für den Public Key Service finden Sie hier.

5. Ich möchte, dass in dem Zertifikat ein Pseudonym anstatt meines Namens eingetragen wird.
Sie haben die Möglichkeit, ein frei wählbares Pseudonym auf dem Antrag anzugeben. Das Pseudonym wird dann im Zertifikat als solches gekennzeichnet (mit einem Zusatz ":PN"). Ihr Name ist im Zertifikat dann nicht vorhanden. Bei einer Prüfung einer mit diesem Zertifikat erstellten elektronischen Signatur wird das Pseudonym als Signaturersteller angezeigt. Das Zertifikat ist Ihnen persönlich trotzdem zweifelsfrei zugewiesen. In Rechtsfällen sind wir verpflichtet, berechtigten Stellen Auskunft über den Inhaber der Zertifikate zu geben.

6. Warum werden Zertifikate verschlüsselt verschickt?
Es muss sicher gestellt werden, dass kein Unbefugter Kenntnis Ihrer Daten erhält. Und dass nur Sie als Karteninhaber in der Lage sind das Zertifikat auf die Karte zu laden.

7. Was bedeutet die Freischaltung des Zertifikats (Verzeichnisdienst)?
Bevor Sie mit Ihrer Karte rechtsverbindlich signieren können, ist eine Freischaltung Ihres Zertifikats zwingend erforderlich! Erst nach dieser Freischaltung kann der Status Ihres Zertifikats im Verzeichnisdienst überprüft werden. Haben Sie Ihr Zertifikat per EMail erhalten, so erfolgt die Freischaltung über die Webseite https://pks.telesec.de/registration/pks_auftrag/freischaltung.htm. Dabei werden folgende Angaben benötigt: Name, Kartennummer Ihrer Signaturkarte und die Zertifikatsseriennummer (Ihres qualifizierten Zertifikats, das Sie freischalten wollen). Wurde Ihnen Ihre Karte per Post zugestellt, so füllen Sie bitte das beiliegende Formblatt "Empfangsbestätigung" aus und senden Sie es zusammen mit einer Kopie der Ihres PKS-Auftrages an uns zurück.

8. Wie kann ich meine Karte sperren lassen?
Entweder telefonisch 24 Stunden am Tag nach Identifikation durch Ihr Telepasswort bzw. TelePIN oder schriftlich. Die Kontaktdaten für beide Wege finden Sie unter http://pks.telesec.de/sperrservice.

9. Welche Software kann ich mit meiner PKS-Signaturkarte nutzen?
Unsere Chipkarten werden von den gängigen Softwareprodukten / Anwendungen am Markt unterstützt. Sie sollten darauf achten, dass die von Ihnen eingesetzte Software entsprechend den Anforderungen des Signaturgesetzes bestätigt ist. Bei der Bundesnetzagentur finden Sie eine Liste der gegenwärtig bestätigten Produkte.

10. Wo bekomme ich Hilfe zu meiner Software?
Bitte wenden Sie sich an den Hersteller der Software.

11. Welche Kartenleser sind mit PKS kompatibel ?
Unsere Chipkarten werden von den gängigen Chipkartenlesern am Markt unterstützt. Jedoch wird oft ein gewisser Firmwarestand vorausgesetzt. Details hierzu sind in der Beschreibung des Kartenlesers zu finden.

12. Welche Arten von Attribut-Zertifikaten bietet PKS an?
Der Public Key Service bietet Attributzertifikate zur Selbstbeschränkung, Attributzertifikate zur Vertretungsmacht für einen Dritten sowie Attributzertifikate zu berufsbezogenen oder sonstigen Angaben an. Mit dem Attributzertifikat zur Selbstbeschränkung können Sie die Nutzung des Signaturschlüssels beschränken, wie z.B. "Maximal 1.000,- € pro Rechtsgeschäft." Ein Attributzertifikat zur Vertretungsmacht für einen Dritten benötigen Sie, wenn Sie nachweisen müssen oder möchten, dasss Sie ermächtigt sind, einen Dritten (Arbeitgeber oder sonstiger) in beliebiger Art und Weise zu vertreten. Mit Hilfe eines Attributzertifikates zu berufsbezogenen oder sonstigen Angaben können Sie nachweisen, dass Sie einer bestimmten Berufsgruppe (Rechtsanwalt, Arzt, ...) zugehören und in dieser Eigenschaft über entsprechende Berechtigungen und / oder Qualifikationen verfügen.

13. Wie erhalte ich mein Attributzertifikat?
Das Attributzertifikat wird Ihnen per E-Mail zugestellt.

14. Die Online-Prüfung meines Zertifikats ist nicht erfolgreich. Woran kann das liegen?
Falls Ihr Zertifikat online nicht nachprüfbar ist, kann dies folgende Ursachen haben: Sie haben Ihr Zertifikat nach Erhalt noch nicht freigeschaltet. Ist dies der Fall, so verfahren Sie bitte wie unter Frage 7 beschrieben und holen Sie die Freischaltung des Zertifikats nach. Ihr Zertifikat wurde gesperrt.

15. Mein Zertifikat ist im öffentlichen Verzeichnis nicht auffindbar.
Falls Ihr Zertifikat im öffentlichen Verzeichnis nicht auffindbar ist, kann dies folgende Ursachen haben: Bitte überprüfen Sie Ihren verwendeten Suchfilter. Geben Sie ggfs. einen allgemeineren Suchbegriff ein. Sie haben Ihr Zertifikat bei der Beantragung nicht zur Veröffentlichung freigegeben. Sie haben Ihr Zertifikat nach Erhalt noch nicht freigeschaltet. Ist dies der Fall, so verfahren Sie bitte wie unter Frage 7 beschrieben und holen Sie die Freischaltung des Zertifikats nach.

16. Welches technische Format haben die von T-TeleSec PKS ausgestellten qualifizierten Zertifikate ?
Die qualifizierten Zertifikate, die von T-TeleSec PKS ausgegeben werden, entsprechen dem Standard X.509 v3 und sind zusätzlich Common-PKI konform (www.common-pki.org). Damit legt T-TeleSec PKS die Basis für eine weitgehende Interoperabilität der Zertifikate und Dienstleistungen mit anderen Zertifizierungsdiensteanbietern und einer Vielzahl von Anwendungen. Das Zertifikatsprofil können Sie unter folgendem Link erhalten: http://www.telesec.de/pks/dokumentation.html.

17. Wie unterscheide ich qualifizierte und nicht qualifizierte (fortgeschrittene) Zertifikate voneinander?
Diese Zertifikate haben unterschiedliche Einsatzzwecke. Wenn von Ihrer Anwendung eine qualifizierte Signatur gefordert wird und Sie das falsche Zertifikat zur Signaturerstellung verwenden, so wird diese Signatur von der Gegenseite abgelehnt. Ein qualifiziertes Signaturzertifikat erkennen Sie am einfachsten an seinem Aussteller. Alle qualifizierten Signaturzertifikate, die von der Deutschen Telekom AG ausgestellt wurden, verwenden einen Aussteller dessen Name mit TeleSec PKS SigG CA ... beginnt. Danach folgt eine Nummer. Achten Sie hier unbedingt auf SigG im Namen des Ausstellers.

18. Welche Funktion hat meine TelePIN ?
Die TelePIN identifiziert Sie gegenüber dem Trust Center. Sie benötigen es zur Sperrung Ihres Zertifikates auf telefonischem Wege. In bestimmten Fällen wird die TelePIN zusätzlich für die Entschlüsselung verschlüsselt übermittelter Zertifikate benötigt.

19. Was ist die PIN?
Ihre persönliche Identifikationsnummer (PIN) schützt die Karte vor mißbräuchlicher Nutzung.

20. Warum gibt es unterschiedliche PINs?
Da Ihre PKS Karte unterschiedliche Anwendungen mit unterschiedlichen Sicherheitsanforderungen enthält, werden diese durch separate PINs geschützt.

21. Was ist die NullPIN?
Ihre Chipkarte wird mit einem elektronischen Siegel ausgeliefert. Dieses Verfahren wird als NullPIN-Verfahren bezeichnet. Wie jedes herkömmliche Siegel verhindert auch dieses Siegel nicht den Zugriff auf Ihre Karte, ermöglicht aber eine verlässliche Kontrolle der Unversehrtheit der Karte. Eine nicht mehr gesetzte NullPIN ist ein sicheres Indiz, dass die Karte (ggf. von einem Dritten) bereits benutzt wurde. Ein solches Vergehen kann also vom Karteninhaber verlässlich erkannt und auch beanstandet werden.

22. Wie kann ich die NullPIN ändern?
Dazu benötigen Sie eine entsprechende Anwendungssoftware, die die NullPIN erkennt und den Karteninhaber zur Eingabe bzw. Wahl einer eigenen PIN auffordert. Wenn Sie dazu kein eigenes Programm haben empfehlen wir Ihnen unser kostenloses Programm SignLive! Toolbox, welche Sie auf dieser Seite unter dem Menüpunkt Tools downloaden können.

23. Was kann ich tun, wenn ich meine PIN drei mal in Folge falsch eingegeben habe?
Ihre Chipkarte ist damit unbrauchbar. Sie benötigen eine neue Karte.

24. Warum werden Umlaute in Windows nicht richtig angezeigt?
Die uns bekannten Webbrowser unterstützen den bei PKS verwendeten Zeichensatz nicht vollständig. Bitte verwenden Sie zur Anzeige der Zertifikate eine geeignete Software.

25. Windows meldet "Signatur ungültig".
In PKS Zertifikaten wird ein Signaturalgorithmus verwendet, der von Windows ohne zusätzliche Software nicht unterstützt wird. Die derzeitig eingesetzten CA-Zertifikate sind von der Bundesnetzagentur unter Verwendung des Hash-Algorithmus SHA-2 signiert. Microsoft Windows unterstützt diesen Hash-Algorithmus erst ab Microsoft Vista bzw. bei Windows XP ab Service Pack 3. Für den korrekten Umgang mit dem Hash-Algorithmus benötigen Sie einen Crypto Service Provider (CSP), der diesen Hash-Algorithmus beinhaltet. Alle für den Einsatz zur Erzeugung qualifizierter elektronischer Signaturen geeigneten Signaturanwendungskomponenten enthalten einen solchen CSP.

26. Windows meldet "Diese Zertifizierungsstelle ist nicht berechtigt, Zertifikate auszustellen oder das Zertifikat kann nicht als Endeinheitszertifikat verwendet werden." für ein TeleSec CA-Zertifikat.
MS Windows erwartet in CA-Zertifikaten eine Zertifikatserweiterung namens "BasicConstraints", die ein Zertifikat als CA-Zertifikat ausweist. Diese Zertifikatserweiterung ist in älteren TeleSec CA-Zertifikaten nicht enthalten. Diese Zertifikate wurden von der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen ausgestellt und unterliegen nicht unserem Einfluss. Alle Zertifikate, die dies betreffen sind bereits abgelaufen.

27. Das Zertifikat wird als ungültig angezeigt, weil das CA- oder Root-Zertifikat abgelaufen ist.
Nach dem deutschen Signaturgesetz verliert ein qualifiziertes Zertifikat seine Gültigkeit nicht, wenn ein darüber liegendes Root- oder CA-Zertifikat abläuft. Diese Art der Prüfung der Gültigkeit von qualifizierten Zertifikaten wird als das sogenannte Kettenmodell bezeichnet. Bei einer Gültigkeitsprüfung nach dem Kettenmodell ist es wesentlich, dass das nächsthöhere Zertifikat zum Erstellungszeitpunkt der Signatur / des Zertifikats gültig ist bzw. war. Daher ist es auch erlaubt, dass der Gültigkeitszeitraum eines qualifizierten Zertifikats über die Gültigkeitsdauer des entsprechenden CA-Zertifikats hinaus geht. MS Windows prüft die Zertifikate jedoch nach dem Schalenmodell, welches, anders als das Kettenmodell, die Gültigkeit aller Zertifikate des Zertifizierungspfads zum Prüfzeitpunkt fordert. Im o.g. Fall liefert damit MS Windows einen falschen Status für ein qualifiziertes Zertifikat.

28. Ist eine Signatur von E-Mails mit dem qualifizierten Zertifikat möglich?
Wir empfehlen E-Mails nicht qualifiziert zu signieren. In der Regel signieren Sie dann auch Inhalte, die nicht für Sie sichtbar sind. Aus diesem Grund bieten wir keine ensprechenden Plug-Ins für E-Mail Programme an. Aus sicherheitstechnischer Sicht empfehlen wir, statt einer signierten E-Mail, eine signierte Datei, die Sie als Anhang zu einer E-Mail versenden können.

29. Was passiert wenn mein Zertifikat abläuft?
Wir informieren Sie etwa 6 Wochen vor Ablauf des Zertifikats per eMail. Wir empfehlen Ihnen dann eine neue PKS Karte zu beauftragen.

30. Woher bekomme ich die nötigen CA-Zertifikate?
Die CA-Zertifikate, welche für die Prüfung eines qualifizierten Signaturzertifikates benötigt werden wurden von der Bundesnetzagentur ausgestellt. Diese ist die Referenz für die Beschaffung solcher Zertifikate und die einzige Stelle, die zu diesen Zertifikaten verbindliche Gültigkeitsaussagen machen darf. Wir bieten Ihnen jedoch die Möglichkeit an, alle unsere CA/ OCSP/ CRL oder Zeitstempel-Zertifikate in einem Paket herunterzuladen.

31. Woher bekomme ich ein Kombinationszertifikat für EGVP?
Für die Nutzung des EGVP werden zwei verschiedene Zertifikate benötigt. Zum einen wird ein qualifiziertes Signaturzertifikat für das Signieren von Nachrichten verwendet. Mit diesem Erfordernis wird den Anforderungen aus den Verfahrensverordnungen (insbesondere Schriftformerforderniss) Rechnung getragen. Darüber hinaus ist die Nutzung eines weiteren Zertifikates für die Ende-zu-Ende-Verschlüsselung des Transportweges erforderlich. Mit diesem Zertifikat werden das Postfach geöffnet und die Nachrichten (für Sie unbemerkt) ver- und entschlüsselt. Seit der Version 2.6.0 von EGVP werden an dieses Zertifikat besondere Anforderungen gestellt. Es muss sich dabei um ein sog. Kombinationszertifikat (ein Zertifikat mit dem gleichzeitig signiert, ver- und entschlüsselt werden kann) handeln. Ein Zertifikat, dass diese Anforderungen erfüllt ist auf Ihrer PKS-Signaturkarte nicht enthalten. Die Anforderungen an Kombinationszertifikate werden durch Softwarezertifikate erfüllt. Das EGVP bietet die komfortable Möglichkeit Softwarezertifikate zu erstellen und in die Anwendung einzubinden. Dabei handelt es sich um die von EGVP empfohlene Art der Nutzung Ihres Postfachs. Einzelheiten sind in der Anwenderdokumentation des EGVP unter Punkt 6.1.1.2.1 beschrieben.

32. Ich möchte meinen Personalausweis nicht kopieren oder kopieren lassen. Was soll ich tun ?
Wir benötigen zur Ausstellung eines qualifizierten Zertifikates auf jeden Fall eine Ausweiskopie von Ihnen. Wenn Sie möchten, dann können Sie auf der Kopie die Felder Augenfarbe, Größe und die Berechtigungsnummer schwärzen. Alle anderen Angaben auf dem Ausweis benötigen wir jedoch. Sollte ein Registrierungsmitarbeiter von Ihnen jedoch die Herausgabe Ihres Ausweises, zum Zweck des Kopierens, verlangen, so können Sie dies ablehnen. Es ist gesetzlich festgelegt, das Sie niemand dazu zwingen darf Ihren Ausweis an ihn abzugeben oder bei ihm zu hinterlegen. Sie sollten in diesem Fall den Registrierungsmitarbeiter zum Kopierer begleiten so dass er die Kopie in Ihrem Beisein ausführt.

33. Wo liegt der Unterschied zwischen einer PKS-CLASSIC-Signaturkarte und einer PKS-ECC-Signaturkarte?
Bei der PKS-ECC-Signaturkarte handelt es sich um ein neu entwickeltes Produkt um den sogenannten "Stand der Technik" einzuhalten. Der "Stand der Technik" für Signaturkarten wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur im Algorithmenkatalog festgelegt. Dort wurde festgelegt, daß der Kartentyp den wir bisher für die qualifizierte Signatur genutzt haben (PKS-CLASSIC-Signaturkarte) nur noch bis zum 31.12.2015 dafür zugelassen ist. Die neue PKS-ECC-Signaturkarte nutzt eine neuere Technologie zur Signaturerstellung (ähnlich der, die auch der Personalausweis verwendet). Neben dieser Anpassung enthält die neue Signaturkarte aber auch geänderte Funktionen. Beispielsweise können sie die neue PKS-ECC-Signaturkarte auch zur kontaktlosen Erstellung einer qualifizierten Signatur verwenden. Wenn Sie viele Signaturen erstellen müssen so wird Sie besonders interessieren das die neue PKS-ECC-Multisignaturkarte, nach Durchführung der PIN-Prüfung, bis zu 10 mal so viele Signaturen in der gleichen Zeit erstellt wie die PKS-CLASSIC-Signaturkarte. Bedingt durch die neue Technologie der Signaturerstellung ist bei Ihnen auf jeden Fall ein Update der Signatursoftware erforderlich. Die Hersteller von Signatursoftware wurden bereits Mitte 2012 über den neuen Kartentyp informiert und haben ihre Signatursoftware inzwischen angepasst. Trotzdem kann es noch zu Inkompatibilitäten mit der PKS-ECC-Signaturkarte kommen. So wissen wir beispielsweise, daß die neue Signaturkarte noch nicht für die Erstellung von Abfallbegleitscheinen oder die elektronische Steuererklärung mit ELSTER genutzt werden kann. Wenn Sie in diesem Bereich arbeiten bestellen Sie bitte noch die PKS-CLASSIC-Signaturkarte.

34. Warum ist eine überprüfung der E-Mail Adresse, die ins Zertifikat eingetragen werden soll, erforderlich?
Diese Überprüfung ist auf Grund von Anforderungen der Browser Hersteller (Microsoft, Mozilla) erforderlich. Damit wird sichergestellt, daß nur Sie als Eigentümer Ihrer Emailadresse eine Signaturkarte bekommen können, die diese Emailadresse enthält. Diese Überprüfung erfolgt dadurch, daß wir Ihnen eine E-Mail an die angegebene Adresse zur Aufnahme ins Zertifikat senden. Diese E-Mail enthält eine achtstellige Prüfnummer, die Sie handschriftlich auf Ihren PKS-Auftrag übernehmen müssen. Sollten wir Ihren Auftrag ohne Prüfnummer erhalten, so produzieren wir eine Signaturkarte ohne Emailadresse. Ein nachträgliches Eintragen Ihrer Adresse auf einer Signaturkarte ist nicht möglich. Wenn Sie nachträglich die Eintragung Ihrer Emailadresse benötigen, so geht dies nur über die Beauftragung einer kostenpflichtigen Ersatzkarte gemäß unserer aktuellen Preisliste.