Elektronische Signaturen Gesetze, Normen, E-Government

Transkript

1 Elektronische Signaturen Gesetze, Normen, E-Government LV VO Information society & E- Government Daniel Konrad A-SIT Zentrum für sichere Informationstechnologie Austria

2 Inhalt Was ist eine el. Signatur? Rechtliche Rahmenbedingungen Relevante Normen Organisatorische Infrastruktur in Österreich A-SIT Zahlungssystemaufsicht in Österreich Anwendungen E-Government, Bürgerkarte E-Rechnung E-Zahlungsverkehr

3 Was ist eine el. Signatur? elektronische Signatur: elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung, also der Fesstellung der Identität des Signators dienen (SigG 2 Z1) SigG technologieneutral in Verwendung: digitale Signaturen, fälschungssichere Signaturen, anhand von kryptographischen Mechanismen erstellt. Kryptographie: Wissenschaft von Methoden der Verund Entschlüsselung von Daten.

4 Asymmetrische Kryptographie (Public Key Cryptography) Öffentlicher Schlüssel (public key): Signaturprüfdaten Öffentlich (z.b in einem Verzeichnis) Privater Schlüssel (private key): Signaturerstellungsdaten Geheim (z.b auf Chipkarte) Zertifikat: eine elektronische Bescheinigung, mit der Signaturprüfdaten einer Person zugeordnet werden und die Identität dieser Person bestätigt wird Sicherheit beruht auf komplexen mathematischen Verfahren Z.B. RSA-Verfahren: Schwierigkeit der Primfaktorzerlegung großer Zahlen

5 Eigenschaften der elektronischen Signatur Authentizität Herkunft der signierten Daten Integrität Unveränderbarkeit der signierten Daten Nichtabstreitbarkeit Signatur kann nicht geleugnet werden

6 Grundablauf Dokument Hashwert Signierter Hashwert Signiertes Dokument

7 Sicherheit der el. Signatur Beruht auf dem kryptographischen Verfahren, das für ihre Berechnung verwendet wird und das nach dem heutigen Stand der Technik mit bestimmten Parametern ausreichend sicher ist, der Sicherheit des Hashwertes, der nicht zu einem weiteren Dokument passen darf, der Einzigartigkeit des zum Signieren verwendeten kryptographischen Schlüssels, der durch ein Zertifikat einer bestimmten Person zuverlässig zugeordnet ist, und der Verwendung sicherer Signaturerstellungseinheiten (z.b. Chipkarten), die nur von den berechtigten Signatoren benützt werden können (z.b. PIN-geschützt) und die zur Erstellung elektronischer Signaturen verwendet werden.

8 Tutorial, Tools Infobox : Demo-Tools:

9 Rechtlicher Rahmen EU-Signaturrichtlinie (EU-SigRL) Signaturgesetz (SigG) Signaturverordnung (SigV) E-Government Gesetz (E-GovG) Verwaltungssignaturverordnung (VerwSigV)

10 EU-SigRL Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen ( Fortgeschrittene el. Signatur: a) Sie ist ausschließlich dem Unterzeichner zugeordnet; b) sie ermöglicht die Identifizierung des Unterzeichners; c) sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann; d) sie ist so mit den Daten, auf die sie sich bezieht, verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann;

11 EU-SigRL (2) Qualifiziertes Zertifikat: ein Zertifikat, das die Anforderungen des Anhangs I erfüllt und von einem Zertifizierungsdiensteanbieter bereitgestellt wird, der die Anforderungen des Anhangs II erfüllt;

12 EU-SigRL (3) Z.B: Artikel 5 Rechtswirkung elektronischer Signaturen (1) Die Mitgliedstaaten tragen dafür Sorge, dass fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen und die von einer sicheren Signaturerstellungseinheit erstellt werden, a) die rechtlichen Anforderungen an eine Unterschrift in bezug auf in elektronischer Form vorliegende Daten in gleicher Weise erfüllen wie handschriftliche Unterschriften in bezug auf Daten, die auf Papier vorliegen, und b) in Gerichtsverfahren als Beweismittel zugelassen sind. (2) Die Mitgliedstaaten tragen dafür Sorge, dass einer elektronischen Signatur die rechtliche Wirksamkeit und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen wird, - weil sie in elektronischer Form vorliegt oder - nicht auf einem qualifizierten Zertifikat beruht oder - nicht auf einem von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellten qualifizierten Zertifikat beruht oder - nicht von einer sicheren Signaturerstellungseinheit erstellt wurde.

13 EU-SigRL (4) Annex I: Anforderungen an qualifizierte Zertifikate (Inhalt) Annex II: Anforderungen an Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen (Zuverlässigkeit, Qualität, Sicherheit) Annex III: Anforderungen an sichere Signaturerstellungseinheiten Annex IV: Empfehlungen für die sichere Signaturprüfung

14 SigG Stammfassung: BGBl. I Nr. 190/1999 Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) 1. Novelle: BGBl. I Nr. 137/ Novelle: BGBl. I Nr. 32/ Novelle: BGBl. I Nr. 152/2001

15 SigG (2) Erste Umsetzung der EU-SigRL In D SigG 1996, aber nicht RL-konform Definiert sichere elektronische Signatur ( 2 Z 3): sichere elektronische Signatur: eine elektronische Signatur, die a) ausschließlich dem Signator zugeordnet ist, b) die Identifizierung des Signators ermöglicht, c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, d) mit den Daten, auf die sie sich bezieht, so verknüpft ist, daß jede nachträgliche Veränderung der Daten festgestellt werden kann, sowie e) auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt wird;

16 SigG regelt: 1. Abschnitt. Gegenstand und Begriffsbestimmungen 2. Abschnitt. Rechtserheblichkeit elektronischer Signaturen 3. Abschnitt. Zertifizierungsdiensteanbieter 4. Abschnitt. Aufsicht 5. Abschnitt. Technische Sicherheitserfordernisse 6. Abschnitt. Rechte und Pflichten der Anwender 7. Abschnitt. Anerkennung ausländischer Zertifikate 8. Abschnitt. Schlussbestimmungen

17 SigV BGBl II Nr. 2000/30 Vor allem technische Fragen Anhang 1 Parameter für technische Komponenten und Verfahren für sichere elektronische Signaturen Anhang 2 Technische Verfahren und Formate Derzeit Änderung der SigV im Begutachtungsverfahren

18 E-GovG BGBl. I Nr. 10/2004: Bundesgesetz, mit dem ein E-Government-Gesetz erlassen wird sowie das Allgemeine Verwaltungsverfahrensgesetz 1991, das Zustellgesetz, das Gebührengesetz 1957, das Meldegesetz 1991 und das Vereinsgesetz 2002 geändert werden Ziele: Der elektronische Verkehr mit öffentlichen Stellen soll unter Berücksichtigung grundsätzlicher Wahlfreiheit zwischen Kommunikationsarten für Anbringen an diese Stellen erleichtert werden.

19 E-GovG, Ziele Gegen Gefahren, die mit einem verstärkten Einsatz der automationsunterstützten Datenverarbeitung zur Erreichung der genannten Ziele verbunden sind, sollen zur Verbesserung des Rechtsschutzes besondere technische Mittel geschaffen werden, die dort einzusetzen sind, wo nicht durch andere Vorkehrungen bereits ausreichender Schutz bewirkt wird. Bei der Umsetzung der Ziele dieses Bundesgesetzes ist Vorsorge dafür zu treffen, dass behördliche Internetauftritte, die Informationen anbieten oder Verfahren elektronisch unterstützen, spätestens bis 1. Jänner 2008 so gestaltet sind, dass internationale Standards über die Web-Zugänglichkeit auch hinsichtlich des barrierefreien Zugangs für behinderte Menschen eingehalten werden.

20 E-GovG, Inhalte Identifikation und Authentifizierung im elektronischen Verkehr mit öffentlichen Stellen Verwendung der Bürgerkartenfunktion im privaten Bereich Elektronischer Datennachweis Besonderheiten elektronischer Aktenführung Strafbestimmungen Übergangs- und Schlussbestimmungen

21 Verwaltungssignatur Übergangsbestimmung ( 25 E-GovG): (1) Im Rahmen der Bürgerkartenfunktion dürfen bis zum 31. Dezember 2007 gleichgestellt mit sicheren Signaturen auch Verwaltungssignaturen verwendet werden. Verwaltungssignaturen sind Signaturen, die im zulässigen Bereich ihrer Verwendung hinreichende Sicherheit bieten, auch wenn sie nicht notwendigerweise allen Bedingungen der Erzeugung und Speicherung von Signaturerstellungsdaten der sicheren Signatur genügen und nicht notwendigerweise auf einem qualifizierten Zertifikat beruhen. Die sicherheitstechnischen und organisationsrelevanten Voraussetzungen für das Vorliegen einer Verwaltungssignatur im Sinne dieses Bundesgesetzes werden durch Verordnung des Bundeskanzlers festgelegt. (2) In jenen Fällen, in welchen in einfachen Gesetzen die Verwendung einer sicheren elektronischen Signatur im Verkehr mit Behörden im Rahmen der Hoheitsverwaltung ausdrücklich verlangt wird, gilt diese Voraussetzung bis zum Ende der in Abs. 1 genannten Übergangsfrist auch bei Verwendung einer Verwaltungssignatur als erfüllt.

22 VerwSigV BGBl. II Nr. 159/2004: Verordnung des Bundeskanzlers, mit der die sicherheitstechnischen und organisationsrelevanten Voraussetzungen für Verwaltungssignaturen geregelt werden

23 Verordnung zur el. Rechnung BGBl. II Nr. 583/2003 Verordnung des Bundesministers für Finanzen, mit der die Anforderungen an eine auf elektronischem Weg übermittelte Rechnung bestimmt werden Die Echtheit der Herkunft und die Unversehrtheit des Inhalts einer auf elektronischem Weg übermittelten Rechnung ist gewährleistet, 1. wenn die Rechnung mit einer Signatur versehen ist, die den Erfordernissen des 2 Z 3 lit. a bis d Signaturgesetz entspricht und auf einem Zertifikat eines Zertifizierungsdiensteanbieters im Sinne des Signaturgesetzes beruht,..

24 Normen EESSI Common Criteria Sichere Signaturerstellungseinheit Signaturerstellungseinheit eines ZDA Vertrauenswürdiges System eines ZDA

25 EESSI European Electronic Signature Standardization Initiative Eine Initiative der Europäischen Kommission und des European ICT Standards Board Normungsarbeit: CEN und ETSI CEN/ISSS WS/E-Sign: Signaturerstellung und prüfung, Certification Service Providers (CSP) ssdomains/isss/cwa/electronic+signatures.asp ETSI SEC ESI: X.509 und qualifizierte Zertifikate, CSP Sicherheitspolitiken, Signaturformate (z.b. XML), Zeitstempel-Protokolle Weitere Infos:

26 Common Criteria Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik ISO/IEC CC-Evaluierungen von Produkten, Systemen, Schutzprofilen (Protection Profiles) Verschiedene Stufen (EAL1-EAL7) Info:

27 Vertrauenswürdigkeitsstufen EAL1 functionally testet EAL2 strukturally testet (ITSEC E1) EAL3 methodically testet & checked (ITSEC E2) EAL4 methodically designed, tested & reviewed (ITSEC E3) EAL5 semiformally designed & tested (ITSEC E4) EAL6 semiformally verified design & tested (ITSEC E5) EAL7 - formally verified design & tested (ITSEC E6)

28 Mechanismenstärke (SOF) Anwendbar, wenn Sicherheitsfunktionen enthalten sind, die auf einem Wahrscheinlichkeits- oder Permutationsmechanismus beruhen. SOF-Niedrig: Eine Stufe der EVG-Stärke von Funktionen, bei der die Analyse zeigt, dass die Funktionen einen angemessenen Schutz gegen zufälliges Brechen der EVG-Sicherheit durch Angreifer bieten, die über ein geringes Angriffspotential verfügen. SOF-Mittel: Eine Stufe der EVG-Stärke von Funktionen, bei der die Analyse zeigt, dass die Funktionen einen angemessenen Schutz gegen naheliegendes oder absichtliches Brechen der EVG-Sicherheit durch Angreifer bieten, die über ein mittleres Angriffspotential verfügen. SOF-Hoch: Eine Stufe der EVG-Stärke von Funktionen, bei der die Analyse zeigt, dass die Funktionen einen geeigneten Schutz gegen geplantes oder organisiertes Brechen der EVG-Sicherheit durch Angreifer bieten, die über ein hohes Angriffspotential verfügen.

29 Schutzprofile: CMCSO-PP CMCKG-PP SSCD-PP

30 Signaturerstellungseinheit Signature Creation Device (SCD) PC mit Signaturanwendung PDA Mobiltelefone Chipkarte Spezielles Gerät mit Signaturanwendung (Hardware Security Modul, z.b PCI Einsteckkarte)

31 Sichere Signaturerstellungseinheit Secure Signature Creation Device (SSCD) Laut Anhang III der EU-SigRL Veröffentlicht im EU Amtsblatt Nr. L 175 vom 15/07/2003 S CWA 14169: Secure Signature Creation Devices, version EAL 4+

32 Signaturerstellungseinheit eines ZDA Cryptographic Module for CSP Signing Operations (MCSO) Implementiert EU-SigRL Anhang II f und g Veröffentlicht im EU Amtsblatt Nr. L 175 vom 15/07/2003 S CWA (März 2002): security requirements for trustworthy systems managing certificates for electronic signatures - Part 2: cryptographic module for CSP signing operations - Protection Profile (MCSO-PP)

33 Vertrauenswürdiges System eines ZDA System Security Requirements Implementiert EU-SigRL Anhang II f Veröffentlicht im EU Amtsblatt Nr. L 175 vom 15/07/2003 S CWA (März 2003): security requirements for trustworthy systems managing certificates for electronic signatures - Part 1: System Security Requirements

34 Empfohlene Algorithmen und Parameter für sichere el. Signaturen ESI ALGO-Paper ETSI Special Report SR (März 2003) Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures Wird von neuer SigV übernommen

35 Infrastruktur in Österreich Zertifizierungsanbieter A-Trust, mobilkom, u.a. Aufsicht Telekom-Control-Kommission, RTR GmbH Bestätigungsstelle A-SIT

36 Zertifizierungsdiensteanbieter 1 akkreditierter Anbieter für qualifizierte Zertifikate (sichere Signaturen): 1 Anbieter für Verwaltungssignaturen: 3 weitere aktive Anbieter: ARGE Daten, Generali IT-Solutions, IAIK TU-Graz

37 A-Trust A-Trust bietet seit Zertifikate für die einfache elektronische Signatur an. Seit werden qualifizierte Zertifikate für sichere elektronische Signaturen ausgestellt. Seit Akkreditierung durch TKK Gesellschafter: Österr. Banken Oesterreichische Nationalbank Telekom Austria Wirtschaftskammer Österreich

38 Telekom-Control- Kommission Die Aufsichtsstelle hat insbesondere 1. die Umsetzung der Angaben im Sicherheits- und im Zertifizierungskonzept zu überprüfen 2. im Fall der Bereitstellung sicherer elektronischer Signaturen die Verwendung geeigneter technischer Komponenten und Verfahren ( 18 SigG) zu überwachen 3. Zertifizierungsdiensteanbieter nach 17 SigG zu akkreditieren und 4. die organisatorische Aufsicht über Bestätigungsstellen ( 19 SigG) durchzuführen.

39 RTR-GmbH Die Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) ist seit Rechtsnachfolgerin der früheren Telekom- Control GmbH. Bei der Durchführung der Aufsicht bedient sich die Telekom- Control-Kommission als Aufsichtsstelle für elektronische Signaturen der RTR-GmbH Die RTR-GmbH hat insbesondere die Verzeichnisse der Zertifizierungsdiensteanbieter zu führen. Im Fall des begründeten Verdachts, dass die Sicherheitsanforderungen des Signaturgesetzes nicht eingehalten werden, kann die RTR-GmbH unmittelbar die vorläufige Untersagung der Tätigkeit eines Anbieters oder geeignete gelindere Maßnahmen anordnen. Info:

40 Bestätigungsstelle In technischen Fragen bedient sich die Aufsichtsstelle für elektronische Signaturen einer Bestätigungsstelle Bei technischen Komponenten und Verfahren für die Erzeugung sicherer Signaturen muss von einer Bestätigungsstelle bescheinigt sein, dass die Sicherheitsanforderungen erfüllt sind ( 18 Abs. 5 SigG). Als erste und bislang einzige österreichische Bestätigungsstelle wurde der Verein "Zentrum für sichere Informationstechnologie Austria (A-SIT)" durch die Verordnung BGBl II 2000/31 anerkannt.

41 A-SIT Gegründet: Mai 1999 Mitglieder: Bund (BMF) OeNB TU Graz Steirische Wirtschaftsförderung (SFG) (seit Mitte 2003)

42 Unsere Mission: Der Verein, dessen Tätigkeit nicht auf Gewinn ausgerichtet ist, bezweckt die kompetente Zusammenführung und Weiterentwicklung fachlicher Inhalte aus dem Bereich der technischen Informationssicherheit. Zielsetzung ist die umfassende Unterstützung seiner Mitglieder, des Gesetzgebers, der Behörden und der Sozialpartner. Quelle: Statuten

43 Gründungsziele Bund OeNB TU Graz Hoheitl.Funktion [Best.Stelle] Unterstützung -Ministerien -Verwaltung -Wirtschaft -Bürger ZSA -Techn.Gutachter Unterstützung -Oversight Kompetenz Ressourcen Wirtschaftsfaktor Stmk Kein neues Amt Interessensneutral Lebensfähige, schlanke Organisation

44 About A-SIT Position: Strikte Neutralität = weisungsfrei = wirtschaftlich unabhängig Finanzierung: Direkte Services: durch Auftraggeber Allgemeine Leistungen, Infrastruktur: durch Mitglieder

45 Tätigkeitsfelder Bestätigungsstelle 19 SiG Unterstützung Bescheinigungen 18(5) Bestätigungen Begutachtung, Evaluierungsmgmt. Gutachten TKK, OeNB, DSK Schiedsverfahren e-gov Gütesiegel Analysen, Berichte Technologie- Beobachtung Algorithmen u Verfahren Prototypen u Demos Policies, Handbücher E-Government Awareness Internet Veranstaltungen Internationale Kooperation BSI, ISB EU, EESSI

46 Aufgaben einer Bestätigungsstelle nach 19 SigG Bescheinigungen nach 18(5) SigG Bestätigungen der Konformität mit SigG, SigV und EU-RL ( Bescheinigung nach 18(5) SigG) Unterstützung der Aufsicht (RTR GmbH) Dienstleistung für Betreiber/Hersteller Beobachtung der technologischen Entwicklung Mitarbeit in internationalen Gremien (EESSI, Europarat etc.)

47 Was ist zu bescheinigen? SSCD (=Chipkarte) beim Signator (Art 2 Z6 EURL) Hashbildung (konfigurationsabhängig) 7(1) SigV Anzeige zu signierender Daten 7(2) SigV Auslösen des Signaturvorgangs (=PIN) 7(3) SigV

48 Elemente eines Signaturerstellungssystems DTBS (Trusted Viewer) Benutzer-Authentisierung (z.b. PIN Eingabe) Elektronische Signatur Dokument (Hashwert) SCD (private key) SSCD: Implementiert Signaturerstellungsdaten z.b. Smart-Card (1999/93/EC Annex III) SVD export (public key/zertifikat)

49 Bescheinigungen nach 18(5) Aktuell gültig: (Stand 10/2003) 2 Chipkarten 5 Chipkartenleser 4 Viewer 1 Hardware Security Modul Bescheinigungen anderer bei der EU notifizierter Bestätigungsstellen werden in Österreich anerkannt

50 Zahlungssystemaufsicht OeNB A-SIT Gründungsmitglied Ziel: kompetente Unterstützung der Zahlungssystemaufsicht in techn. Belangen A-SIT erstellt Gutachten über die organisatorische und technische Systemsicherheit im Auftrag der OeNB Marktbeobachtung: New Payment E-Geld Zahlungssysteme im Internet M-Payment

51 ZSA, rechtl. Hintergrund Per 1. April 2002 Rechtsgrundlage dafür ist 44a NBG (Nationalbankgesetz) 44a (1) NBG: Die OeNB ist zur Ausübung der Aufsicht über die Zahlungssysteme verpflichtet. Die Aufsicht umfasst die Prüfung der Systemsicherheit von Zahlungssystemen. Betreibern von Zahlungssystemen- Teilnehmern an Zahlungssystemen (inklusive ausländischen) 44a (4) NBG: Zahlungssystem ist jedes System gemäß 2 des Finalitätsgesetzes,,sowie jede gewerbliche Einrichtung mit mindestens drei Teilnehmern, die dem elektronischen Transfer von Geldwerten dient

52 ZSA, rechtl. Hintergrund (2) 44a (2) NBG: Systemsicherheit ist die Summe der von den Betreibern und Teilnehmern eines Zahlungssystems zu ergreifenden Maßnahmen, die dem sicheren Umgang mit den rechtlichen, finanziellen, organisatorischen und technischen Risiken dienen, die mit dem Betrieb von einem Zahlungssystem oder mit der Teilnahme an einem Zahlungssystem verbunden sind. Das Nationalbankgesetz ermächtigt unter anderem zur Auskunftseinholung ( 44a (7 + 8) NBG) über die getroffenen Maßnahmen zur Gewährleistung der Systemsicherheit und die Art und das Volumen der abgewickelten Zahlungen zur Beiziehung von Sachverständigen ( 44a (9) NBG) => A-SIT

53 ZSA, norm. Grundlagen Core Principles : Empfehlung der Bank für internationalen Zahlungsausgleich (BIZ, im Euroraum durch EZB-Ratsbeschluss verpflichtend CP7 relevant für techn./org. Systemsicherheit EMSSO (Electronic Money System Security Objectives) Sicherheitsanforderungen des Eurosystems an E- Geldsysteme im Euroraum durch EZB-Ratsbeschluss verpflichtend ESCB/CESR (Committee of European Securities Regulators) Standards In Ausarbeitung Werden analog zu EMSSO und CP verpflichtend werden

54 ZSA, Aufsichtsgrundsätze Aufsichtsgrundsätze/Leitfäden für ARTIS Multilaterale Kleinbetragszahlungssysteme E-Geld Wertpapier Clearing und Settlement Systeme (in Ausarbeitung) Systemrelevante Teilnahme Die AGs/LF sind öffentlich

55 AG, Beispiele Techn. AG (4) multilaterale Kleinbetragszahlungssysteme Das Zahlungssystem soll die korrekte Authentisierung der Endkunden sicherstellen. Techn. AG (13) multilaterale Kleinbetragszahlungssysteme Zur Gewährleistung der Verfügbarkeit und Betriebssicherheit des Systems sollen etablierte, dem jeweiligen Stand der Technik entsprechende Maßnahmen gesetzt werden. Insbesondere soll die Verfügbarkeit der zentralen Autorisierungssysteme während der Betriebszeiten des Zahlungssystems gewährleistet sein.

56 ARTIS Austrian Real Time Interbank Settlement System Zahlungen aus geld- und währungspolitischen Operationen des ESZB Zahlungsausgleich von Nettingsystemen: EBA (European Banking Association) Zwischenbankzahlungen aus dem Devisen-, Geld- und Wertpapierhandel Kundenaufträge mit taggleicher und finaler Verbuchung Saldenausgleichszahlungen aus dem POS-, Bankomat- und Kreditkarten-Clearing Zahlungen aus Börseabrechnungssystemen Sonst. Zahlungen aus Gründen der Risikominimierung und/oder Dringlichkeit

57 ARTIS (2) Seit 2003: Elektronischer Kontozugang über Internet Zahlungsaufträge werden mit sicherer el. Signatur versehen

58 ZSA, weitere Systeme Maestro (Europay Austria, APSS) Umsatz 2003: Mio EUR Zahlungstransaktionen (4x mehr als 1998), Mio EUR Bargeldabhebungen (Steigerung seit 1998 ca. 18%) Weitere 10 Zahlungssysteme (inkl. E-Geld) 3 Wertpapier Settlement Systeme Teilnehmer (an Zahlungssystemen) 1 Infrastrukturbetreiber

59 Anwendungen der el. Signatur Einfache Signaturen: SSL-Verbindungen

60 Anwendungen E-Government Bürgerkarte E-Rechnung E-Payment

61 E-Government Citizen-to-public administration Business-to-public administration public administration-to-public administration Foreign public administration-to-public administration

62 EU-Benchmarking Im Rahmen der vom ER beschlossenen Aktionspläne eeurope 2002 und eeurope 2005 wurden zur Messung der Umsetzungsfortschritte 23 generelle Indikatoren festgelegt. Zusätzlich zu diesen, wurden vom Rat 20 ausgewählte E- Government Basisdienste verabschiedet. In den Jahren 2001 bis 2002 wurden 3 Benchmarking Studien durchgeführt, um die Fortschritte bei der Umsetzung der festgelegten E-Government Basisdienste in den EU- Mitgliedsstaaten kontinuierlich zu überprüfen. Bei der ersten Studie im Oktober 2001 nahm Österreich den 10. Platz, bei der zweiten im April 2002 Platz 13, bei der dritten im Oktober 2002 Platz 11 ein.

63 EU-Benchmarking 2004 Veröffentlicht von Cap Gemini Ernst&Young im Jänner 2004 (Evaluierung September Dezember 2003) Herausragendstes Ergebnis ist, dass sich Österreich von Platz 11 auf Platz 4 in der Gesamtwertung aller 18 Staaten, die verglichen wurden (15 EU- Mitgliedstaaten, Schweiz, Island und Norwegen) vorschieben konnte.

64 EU-Benchmarking 2004 Die bisherigen Anstrengungen, E-Government Dienste als komplette Transaktion einschließlich elektronischer Zahlung und Zustellung anzubieten, tragen bereits die ersten Früchte. Mit 68% ist Österreich knapp hinter Dänemark (75%) und vor Schweden (67%) Ranglistenzweiter.

65 Die Bürgerkarte Konzept für E-Government in Österreich Amtliches Ausweisdokument im Internet Für sichere elektronische Abwicklung von Verwaltungsverfahren (sichere Authentifizierung) Unterschiedliche Ausprägungen möglich: Dzt: Chipkarte, Mobiltelefon Kann von Behörden oder Privatwirtschaft ausgegeben werden zb: Studierendenausweis, Dienstkarte, Bankkarte,...

66 Funktionen der Bürgerkarte Elektronische Signatur: Sichere elektronische Signatur (zb mit qualifiziertem A-Trust Zertifikat) Verwaltungssignatur (zb mit A1-Bürgerkarte) Identifikation: Durch Personenbindung Weitere Informationen:

67 Security Layer Technische Schnittstelle Ermöglicht Anwendungen Zugriff auf die Bürgerkarte Bei Chipkarte SW auf lokalem Rechner: Bürgerkartenumgebung (SW ist kostenlos unter erhältlich. Bei Mobiltelefon ist die SW am Server implementiert

68 Anwendungsbeispiele FinanzOnline El. Zustellung Strafregisterbescheinigung Meldebestätigung Studienbeihilfe...

69 Beispiel: FinanzOnline

70 Auswahl der Bürgerkartenumgebung

71 Anmeldung

72 Personenbindung auslesen

73 Signatur

74 PIN Eingabe

75 Fertig:

76 Bürgerkarte Ausblick Bankkarten ( Bankomat-Karte ) werden Ende 2004/Anfang 2005 bürgerkartenfähig sein SV-Karte ( e-card ) soll 2005 kommen, wird bürgerkartenfähig sein Verwaltungsanwendungen von Bund, Ländern und Gemeinden werden sukzessive bürgerkartenfähig gemacht.

77 E-Rechnung Rechnungslegungsverordnung (Voraussetzung für Vorsteuerabzugsfähigkeit): Signatur nach 2 Z 3 Lit. a-d SigG : a) ausschließlich dem Signator zugeordnet ist, b) die Identifizierung des Signators ermöglicht, c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, d) mit den Daten, auf die sie sich bezieht, so verknüpft ist, daß jede nachträgliche Veränderung der Daten festgestellt werden kann Großes Interesse bei Telekom-Unternehmen, Energieversorgern, etc. (Einsparungspotential mind. Briefporto)

78 E-Zahlungsverkehr EPS E-Payment Standard EPS Version 2 Entwickelt von Studiengesellschaft für Zusammenarbeit im Zahlungsverkehr (STUZZA) in Zusammenarbeit mit der Stabsstelle IKT Strategie des Bundeskanzleramts "garantierte Bezahlung" bei der der Zahlungspartner (z.b. die Bank) die Haftung für die Zahlung übernimmt. Das Aviso bzw. die Zahlungsbestätigung ist elektronisch signiert und kann damit als nachprüfbarer Beleg verarbeitet bzw. archiviert werden.

79 EPS Erlaubt Bezahlen über Online-Banking bei E- Government Anwendungen und Webshops. Wird von den meisten österr. Online-Banking Systemen unterstützt: BAWAG-PSK Gruppe Raiffeisen Gruppe ERSTE Bank u. Sparkassen BA-CA Gruppe Info:

80 EPS Zahlungsablauf

81 Ausblick: Online Banking mit Signaturkarte Mehr Sicherheit als bei PIN und TAN zb gegenüber Phishing-Attacken Derzeit nur bei BAWAG 2005 auch bei anderen Banken der BAWAG P.S.K. Gruppe Ab 2005 sind alle Bankkarten signaturfähig

82 Ende Ich danke für Ihre Aufmerksamkeit.