Schnittstellen für den Datenaustausch im Zivilschutz

Transkript

1 Bundesamt für Bevölkerungsschutz Office fédéral de la protection de la population Ufficio federale della protezione della popolazione Uffizi federal da protecziun da la populaziun Schnittstellen für den Datenaustausch im Zivilschutz Die Schnittstellen des zentralen Zivilschutzinformationssystems (ZEZIS) definieren das Austauschformat und die erlaubten Werte zum elektronischen Austausch von überwiegend personenbezogenen Angaben im Umfeld des Zivilschutzes. Dies ermöglicht die elektronische Weiterverarbeitung der Stammdatensätze aus der Rekrutierung, eine kantons- und systemübergreifende elektronische Verarbeitung von Mutationen bei einem Umzug sowie die direkte elektronische Übermittlung der Diensttage an die kantonalen Wehrpflichtersatzbehörden. Name Einführung und Überblick Standard Einführung zur Schnittstellendokumentation ZEZIS, Reifegrad Status definiert Öffentlicher Entwurf Gültig ab Oktober 2004 Kurzbeschrei bung Änderungen - Ersetzt - Basiert auf - Sprachen Autor Herausgeber Bei ZEZIS handelt es sich um ein Standardisierungsprojekt, das den Daten- und Nachrichtenaustausch zwischen den beteiligten Partnern im Zivilschutz unterstützt. Der Datenaustausch basiert ausschließlich auf Standardlösungen, die jedem Partner frei zugänglich sind. Unterstützt werden durch die heute definierten Schnittstellen die folgenden Aufgaben: Rekrutierungsdatenübergabe, Mutationsdatenaustausch, Kurslistenübergabe, Kursplanung und Übermittlung der Daten an die kantonalen Wehrpflichtersatzbehörden. Deutsch Volker Dohr und Martin Haller (martin.haller@babs.admin.ch) Bundesamt für Bevölkerungsschutz, Projekt ZEZIS, Postfach 3003 Bern, Tel.: , info@babs.admin.ch / Version Datum Name Bemerkung: Volker Dohr Erstellung Volker Dohr Ergänzungen und Korrekturen VBS DDPS DDPS DDPS Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport Département fédéral de la défense, de la protection de la population et des sports Dipartimento federale della difesa, della protezione della popolazione e dello sport Departament federal da la defensiun, da la protecziun da la populaziun e dal sport \\IFC1.IFR.INTRA2.ADMIN.CH\Shares\Teams\BABS-BFG\

2 2 Inhaltsverzeichnis 1. Ausgangslage Unterstützte Aufgaben des Zivilschutzes durch die Schnittstellen Rekrutierung (Geschäftsprozess 10 REKR) Mutationsunterstützung (Geschäftsprozess 20 MUT) Wehrpflichtersatz (Geschäftsprozess 40 WPE) Zusätzliche Funktionen Datenformate XML und Excel XML Excel Sprache Datensicherheit Rechtliche Aspekte Schutzstufe der Verschlüsselung verkehr und Datensicherheit mit ZEZIS Möglichkeiten der sicheren übertragung bei ZEZIS Clientbasierte Verschlüsselung bei ZEZIS Eingesetzte Verschlüsselungs-Technologie Lizenzmodell der Ver- und Entschlüsselungssoftware Passwortverteilung und Schlüsselaustausch Geschäftsprozess 10 REKR Geschäftsprozess 20 MUT Geschäftsprozess 40 WPE Passwortwechsel und Generierung Sicherung des Schlüssels in den Softwareanwendungen Zugang zu den Anwendungen Schulung Internetauftritt und Dokumentenablage... 10

3 3 1. Ausgangslage Die Kontrollführung im Zivilschutz wird heute durch die Kantone grösstenteils mittels EDV vollzogen. Zurzeit sind bei den Kantonen mindestens drei Software-Anbieter (HIPO AG, Arc Flow AG, om computer support ag) mit unterschiedlichen Systemen für diese EDV zuständig. Diese Systeme arbeiten ohne Interaktion untereinander. Diese Situation führte zu Schwierigkeiten in der Praxis, weil die Daten von Hand eingegeben werden mussten. Aufgrund einer Initiative der Kantone und der beteiligten Software-Anbieter einigte man sich auf gemeinsame Schnittstellen für den Datenaustausch im Zivilschutz. Als Partner der Kantone hat das Bundesamt für Bevölkerungsschutz, die Führung übernommen und die hier dargestellte Lösung mit diesen erarbeitet. Ein wesentliches Ziel war, die bereits bestehenden Softwaresysteme nicht zu ersetzen, sondern sie im Sinne des Investitionsschutzes und der Qualitätssicherung bestehen zu lassen und die Erfordernisse des Datenaustausches über Schnittstellen zu erfüllen. In einer ersten Phase haben sich alle wichtigen Software-Anbieter auf gemeinsame Regeln und Begriffe geeinigt. Auf dieser Basis wurden mehrere einheitliche Schnittstellen geschaffen, welche eine Vernetzung und den Datenaustausch zwischen unterschiedlichen Anbietern ermöglicht. 2. Unterstützte Aufgaben des Zivilschutzes durch die Schnittstellen Nach dem heutigen Stand werden durch die ZEZIS-Schnittstellen folgende Funktionen unterstützt, die in einzelne Geschäftsprozesse (GP) unterteilt sind: 2.1. Rekrutierung (Geschäftsprozess 10 REKR) Diese Anwendung beinhaltet die Übergabe der Daten aus der Rekrutierung an die Kantone in einem Turnus von vier Wochen. Wenn keine zentrale EDV im Kanton vorhanden ist, werden die Daten bereits getrennt nach ZSO in einzelnen Datensätzen übergeben. Diese werden dann von den kantonalen Stellen an die jeweilige ZSO weitergegeben. Die Daten werden entweder als Excel-File oder als XML-File geliefert Mutationsunterstützung (Geschäftsprozess 20 MUT) Diese Anwendung beinhaltet die Übergabe der Daten aus der Stammkontrolle (gelbes Kontrollblatt). Darüber hinaus wird die Schnittstelle noch viele weitere Informationen weitergeben können, wie z.b. mehrere Telefonnummern, mehrere Adressen, alle historischen Daten über Funktionen, Einteilungen usw. Diese Informationen können unter Kantonen und unter Zivilschutzorganisationen (Umzug) ausgetauscht werden.

4 Wehrpflichtersatz (Geschäftsprozess 40 WPE) Auch die Anforderungen der Wehrpflichtersatzbehörde sind in eine Schnittstelle übernommen worden und können von nun an durch die ZSO an die kantonale Stelle im XML-Format übergeben werden. Die geleisteten Diensttage können somit von allen administrativen Stellen der kantonalen Wehrpflichtersatzbehörden (WPE) elektronisch übernommen werden. Es wird ebenfalls möglich sein, die Daten, falls Sie nicht in einer EDV-Anwendung vorliegen, aus einer Excel-Tabelle heraus im XML-Format zu generieren. Rekrutierung (GP 10) Mutationsunterstützung (GP 20) Wehrpflichtersatz (GP 40) Kdo Rekr Bern (ITR XXI) WPE im Kanton Abbildung 1: Hauptprozesse von ZEZIS 2.4. Zusätzliche Funktionen Zusätzlich werden aus der Rekrutierung die ermittelten Zahlen von Schutzdienstpflichtigen für die Grundausbildungskurse in Listen generiert, die dann regelmäßig den Kantonen zugesandt werden (Geschäftsprozess 32). Die Schnittstellen bzgl. Erhebung der Kursplanung und der Zahlenbücher sind zurückgestellt worden, da sie mit der im Kdo-Rekrutierung installierten Software EDVtechnisch nicht realisiert werden können oder der Realisierungsaufwand zu hoch ist. Hier werden zur Sollplanung weiterhin die Excel-Tabellen eingesetzt und zur Erhebung der Kursdaten die zuständigen Stellen befragt. Die Kursplanung wird via Rekr Of ZS in die Informatik des Kdo-Rekrutierung (ITR XXI) eingegeben. Die anlässlich der Rekrutierung festgelegte Kursbelegung der Schutzdienstpflichtigen wird dann über die Rekrutierungsschnittstelle an die Kantone weitergegeben.

5 5 3. Datenformate XML und Excel 3.1. XML Die Daten werden bei allen Schnittstellen im Datenaustauschformat XML (Extensible Markup Language) versandt. Die Inhalte sind nach dem Entschlüsseln im Klartext enthalten und können auch manuell in einem Webbrowser betrachtet werden. Die XML-Schnittstellen werden von den Zivilschutzsoftwaresystemen automatisch erkannt und die Personaldaten in die entsprechenden Felder übernommen. Wenn keine Softwarelösung vorhanden ist, kann aus dem XML-Dokument der Inhalt trotzdem erkannt und verarbeitet werden Excel Sofern gewünscht werden die Daten aus der Rekrutierung in einer Exceltabelle geliefert. Somit können sie beim Nichtvorhandensein der Standard-Softwarelösungen erleichtert weiterverarbeitet werden. Die Exceldatei ist tabellarisch aufgebaut und enthält alle Informationen und Daten analog dem XML-Dokument. Alle zugeteilten Schutzdienstpflichtigen werden in einem eigenen Tabellenblatt aufgelistet Sprache Die Segmentnamen der XML-Schnittstelle, also der Sprache für das Datenformat, erfolgt in deutscher Sprache. Die Personalinformationen (Stammdaten) werden entsprechend der Sprache des Softwaresystems übergeben, also in Deutsch, Französisch oder Italienisch. 4. Datensicherheit 4.1. Rechtliche Aspekte Während der Datenschutz den Schutz der Persönlichkeit im Auge hat, bezieht sich die Datensicherheit auf den Schutz der Information, d.h. auf die Gewährleistung ihrer Vertraulichkeit, Verfügbarkeit und Unversehrbarkeit. Die Datensicherheit umfasst alle Maßnahmen, die vom Inhaber der Datensammlung getroffen werden müssen, um den Anforderungen des Datenschutzgesetzes zu genügen. Möchten Behörden und Organisationen die im Projekt ZEZIS spezifizierten Daten elektronisch austauschen, haben sie daher grundsätzlich sicher zu stellen, dass die dafür nötigen Rechtsgrundlagen vorhanden sind und beim Austausch der Daten die Vertraulichkeit und die Integrität (Unveränderlichkeit) der übermittelten Daten gewährleistet ist. Die Rechtsgrundlage ist für ZEZIS nicht gesondert zu ermitteln, da sich ZEZIS auf die Rechtsgrundlage des Personalinformationssystem der Armee (PISA) beruft. ZEZIS verwendet ausschließlich die wenigen im Zivilschutz notwendigen Informationen. Im Sinne der Angemessenheit und der Datensparsamkeit werden keine überflüssigen Informationen weitergegeben. Die Sicherung der Vertraulichkeit der Daten erfolgt über eine end to end Verschlüsselung wie unten beschrieben.

6 6 Das Datenschutzgesetz schreibt vor, dass Personendaten durch angemessene, technische und organisatorische Maßnahmen gegen unbefugtes Bearbeiten zu schützen sind (Art. 7 DSG). Diese Maßnahmen umfassen unter anderem die Kontrolle von Zugang, Transport, Bekanntgabe, Speicherung, Benutzung und Eingabe der Daten. Der Inhaber der Datensammlung ist verpflichtet, die Bearbeitungen zu protokollieren und ein Bearbeitungsreglement zu verfassen. Die konkretern Massnahmen finden sich in Art VDSG Schutzstufe der Verschlüsselung Die vom CIO VBS definierte Schutzstufe der Verschlüsselung für ZEZIS lautet 2, verkehr und Datensicherheit mit ZEZIS Das Wachstum des Internet und die Erreichbarkeit vieler Firmen und Behörden über das Netz haben die Projektleitung ZEZIS dazu bewogen, das zur Übermittlung der Daten zu verwenden. Der verkehr weist eine hohe Interoperabilität aus, weil die heutigen Mailsysteme eine gemeinsame Sprache (SMTP) sprechen. Allerdings ist das E- Mailprotokoll schon seit den Anfängen des Internet definiert, und nicht auf Datensicherheit ausgelegt. Daher ist davon auszugehen, dass jedes per SMTP in Klarschrift übertragen wird und problemlos gelesen werden kann. Da die Verbindung im Internet über nicht zu kontrollierende Wege geht, kann dies auch nicht abgesichert werden, es sei denn, das Internet wird nicht als Transportmittel verwendet (z.b. VPN, private Leitungen). Dies trifft bei ZEZIS nicht zu. Auch Nachrichten zwischen Standorten in der gleichen Behörde oder Organisation sind nicht zwingend sicher, denn auch bei privaten Netzwerken werden die Leitungen von anderen Unternehmen (z.b. Swisscom) bereitgestellt und laufen über öffentliche Verkehrswege. Es gibt in der Regel auch keine überwachende Instanz, die einen Absender auch als solchen authentifiziert. Der Absender eines kann problemlos gefälscht sein. Es ist nicht ausreichend, anhand des Absenders dem Inhalt eines s (sei es der Information selbst, einer Anlage oder einem angehängten Programm) zu vertrauen Möglichkeiten der sicheren übertragung bei ZEZIS Im Wesentlichen standen vier Möglichkeiten zur Verfügung, ein mit den ZEZIS- Schnittstellen "sicher" zu übertragen. 1. Anwender-zu-Anwender-Verschlüsselung: Das Mailprogramm auf dem PC des Anwenders (Sender und Empfänger) verschlüsselt und entschlüsselt selbst oder es wird eine zusätzliche Software verwendet. 2. Gatewaybasierte Verschlüsselung: Ein System zwischen dem Mailserver und dem Internet verschlüsselt und entschlüsselt die Nachrichten quasi "Im Auftrag" des Anwenders. 3. SMTP-Verschlüsselung: Die Mailserver selbst übertragen die Nachrichten verschlüsselt (SSL) über das öffentliche Internet.

7 7 4. TCP/IP Verschlüsselung: Durch den Einsatz von IPSEC oder VPNs wird der gesamte TCP/IP-Verkehr zwischen den beiden Mailservern verschlüsselt Clientbasierte Verschlüsselung bei ZEZIS Es gibt keine allgemeine Lösung für das Problem der sicheren Mailverschlüsselung. Vielmehr richtet sich die gewählte Lösung nach dem geforderten Datenschutzniveau im konkreten Projekt und dem angemessenen Aufwand. Um die Datensicherheit einer ausgewählten Variante beurteilen zu können müssen die einzelnen Komponenten des Systems betrachtet werden und passende Optionen überlegt werden. Da nie alle Zwischenstationen gesichert werden können, ist die Sicherung von s oder deren Anhänge im Moment des Absendens durch den Anwender die einzig sichere Lösung. Der Anwender tippt wie gewohnt seine s ein und hängt verschlüsselte Dokumente an diese an. Die Daten werden hierbei noch auf dem PC verschlüsselt. Wir haben uns für diese einfache und dennoch sichere Art der Verschlüsselung (Möglichkeit 1 - Anwender-zu-Anwender) entschieden. Anstatt mit Passwort geschützten Dateien zu arbeiten, werden die komplette Datei mit den kritischen Anhängen direkt beim Anwender verschlüsselt, verschickt und erst auf dem PC des Empfängers wieder entschlüsselt (Abbildung 2: Symmetrische Verschlüsselung ). Abbildung 2: Symmetrische Verschlüsselung Problematisch ist bei diesem Verfahren eher der Schlüsselaustausch, die Sicherung des privaten Schlüssels und die notwendige Schulung der Mitarbeiter im Umgang mit dem System. Hierzu gehört auch, wie der Anwender den "Private Key" des Empfängers erhalten kann, um die Nachrichten überhaupt zu verschlüsseln Eingesetzte Verschlüsselungs-Technologie Im Projekt ZEZIS haben wir uns für den Einsatz des Verschlüsselungstools SafeGuard PrivateCrypto entschieden. Dies beruht auf einer Empfehlung der Abteilung für Informatik und Objektsicherheit (AIOS) im VBS.

8 8 Das Tool bietet die Möglichkeit, Dateien via in einem Vorgang zu verschlüsseln und zu senden und dies über eine Commandline-Ansteuerung, so dass diese Aufgaben im Hintergrund abgearbeitet werden können. Nach der Verschlüsselung und der optionalen Komprimierung wird der -Client gestartet, und die Datei wird automatisch angehängt. Das Tool eignet sich ideal, da sich jede beliebige Datei verschlüsseln und anhängen lässt. SafeGuard PrivateCrypto benutzt den "Rijndael"-Algorithmus, der als der neue Advanced Encryption Algorithm (AES) gilt. Die Implementierung der Herstellerfirma Sophos, benutzt den "Rijndael"-Algorithmus mit einer Schlüssellänge von 128 Bit, um Daten zu verschlüsseln. Der "Rijndael"-Algorithmus ist der Nachfolger des DES- Algorithmus und wird diesen in Zukunft ersetzen. Zur Komprimierung wird die BZIP2- Bibliothek benutzt. Die Schlüssel für die Verschlüsselungsvorgänge werden unter Nutzung des PKCS#5 Kryptographie-Standards für Passwörter abgeleitet Lizenzmodell der Ver- und Entschlüsselungssoftware Das Bundesamt für Bevölkerungsschutz hat für die Kantone Lizenzen erworben und verwaltet diese, so dass pro Kanton 1-2 Arbeitsplätze durch die vom Bund finanzierte Lizenz abgedeckt sind Passwortverteilung und Schlüsselaustausch Der Empfänger muss zum Entschlüsseln der Schnittstellendaten auch die Verschlüsselungssoftware installiert haben. Hierbei muss das Passwort nur einmal eingegeben werden. Die Software-Anbieter speichern das Passwort in ihren Anwendungen. Für jeden Geschäftsprozess haben wir uns für ein eigenes Passwort entschieden, welches durch den Projektleiter vergeben wird. Im Projekt ZEZIS haben wir uns für die folgende Passworttopographie entschieden: Geschäftsprozess 10 REKR In diesem Geschäftsprozess geht es um die einseitige Verteilung von Personaldaten aus der Rekrutierung an die kantonalen Stellen zur Kontrollführung. Im Interesse der Datensicherheit haben wir uns für 26 Passwortsätze entscheiden. Jeder Kanton bekommt ein Passwort durch die Projektleitung ZEZIS zugewiesen. Das Passwort wird in der Anwendung durch die Software-Anbieter oder durch den Anwender eingegeben. Das Passwort wird in der Anwendung gespeichert und dort intern wieder verschlüsselt. Wenn es aus sicherheitstechnischen Gründen notwendig ist, das Passwort zu ändern, reicht ein Anruf oder eine an die Projektleitung im BABS und das Passwort wird per Brief an den benannten Verantwortlichen im Kanton gesandt. Nun muss das alte Passwort vom Anwender in der Zivilschutzsoftware geändert und überschrieben werden. Danach ist es wieder für die automatische Verschlüsselung im Datenaustausch gespeichert. Das Vorgehen bei der Änderung ist im Handbuch der jeweiligen Hersteller ersichtlich.

9 9 Wenn keine Software vorhanden ist und die Ver- und Entschlüsselung mit der Verschlüsselungssoftware direkt erfolgt, ist das Passwort sicher zu verwahren und bei der jeweiligen Verwendung einzugeben Geschäftsprozess 20 MUT Beim Geschäftsprozess Mutationsunterstützung geht es um den Personendatenaustausch zwischen den kantonalen Stellen und zwischen den Zivilschutzorganisationen innerhalb der Schweiz. Für diesen Prozess haben wir nur ein Passwort vorgesehen, da sonst ein nicht zu akzeptierender Aufwand getrieben werden muss. In Rücksprache mit den Software- Anbietern ist diese Lösung als die einzig Praktikable angesehen worden. Eine Änderung des Passwortes erfolgt wie oben beschrieben. Die Passwörter können einzeln für jeden Geschäftsprozess angepasst werden Geschäftsprozess 40 WPE Beim Geschäftsprozess Wehrpflichtersatz geht es um den Export der geleisteten Diensttage für jeden Schutzdienstpflichtigen im Kanton. Der Export erfolgt an die kantonale Wehrpflichtersatzbehörde. Für diesen Prozess haben wir ebenfalls nur ein Passwort vorgesehen. In Rücksprache mit den Software-Anbietern ist diese Lösung als die einzig Praktikable angesehen worden. Eine Änderung des Passwortes erfolgt wie oben beschrieben. Die Passwörter können einzeln für jeden Geschäftsprozess angepasst werden Passwortwechsel und Generierung Der Passwortwechsel erfolgt bei den meisten Softwareanwendungen durch eine einmalige Eingabe in der Software. Im Anschluss ist das Passwort gespeichert und braucht nicht wieder eingegeben zu werden. Die Passwörter werden zentral durch die Projektleitung ZEZIS generiert, verwaltet und verteilt. Die Passwortliste ist auch im Projekt ZEZIS verschlüsselt gespeichert und nur für die beteiligten Projektmitarbeiter zugänglich, die für die Passwortverteilung zuständig sind. Die Gründe für den Passwortwechsel ergeben sich aus einer kantonalen Anforderung heraus oder durch den turnusmässigen Wechsel, der von der Projektleitung ZEZIS bestimmt wird Sicherung des Schlüssels in den Softwareanwendungen Der Passwortschlüssel wird in der Softwareanwendung gespeichert und dort wieder mit einem internen Passwort verschlüsselt abgelegt Zugang zu den Anwendungen Der Zugang zu den Softwaresystemen selbst in der üblichen Weise durch einen Benutzernamen und ein Passwort gesichert.

10 Schulung Eine Schulung im Umgang mit der Verschlüsselungssoftware ist nicht erforderlich, da diese in den Zivilschutzsoftwareanwendung integriert ist. Kantonale Zivilschutzorganisationen ohne eigene Softwareanwendung für den Zivilschutz können die Software sehr einfach installieren. Beim Empfang von verschlüsselten Mailanhängen werden diese geöffnet und dabei wird automatisch die Software gestartet und das Passwort erfragt. Danach wird die Datei von dort weiter verarbeitet. 5. Internetauftritt und Dokumentenablage Die hier beschrieben Schnittstellen sind im Internet zum downloaden bereit. Verfügbar sind das XML-Schema (Format XSD), ein Beispiel XML, und die Feld- und Schnittstellendokumentation in Excel.