Digitalisierung der Verwaltung in Deutschland ViS!T Verwaltung integriert sichere Informationstechnologie Bern, 28./29. Juni Bundesamt für Sicherheit in der Informationstechnik,
Agenda IT-Sicherheitsstandards & Normung Digitalisierung Aktuelle Handlungsfelder des BSI Vertrauensdienste und elektronische Identitäten Aktuelle Regulierungsansätze Ausblick 2
Bedeutung von IT-Sicherheitsstandards (1) Wirtschaft und Gesellschaft hängen von der Verfügbarkeit und Integrität von IT-Systemen ab Mangel an Datenschutz und Vertrauenswürdigkeit von gängigen Produkten Öffentliche und Nationale Sicherheit sind betroffen Regierungen sind gefordert, Richtlinien für angemessene Sicherheitsstandards und unabhängige Produktprüfungen resp. Zertifizierungen zu setzen Beispiel: Versorgungssicherheit in einem intelligenten Energienetz Strom Mess- / Zustandsdaten, Steuersignale 3
Bedeutung von IT-Sicherheitsstandards (2) Entwicklung Technischer Standards unterstützen Technische Richtlinien (TR) Schutzprofile (PP) Nationale und internationale Normung Zertifizierung Komponenten & Produkte Prozesse & Infrastrukturen Dienstleistungen Dienstleister Unterstützung von Gesetzgeber und Politik Intelligente Messsysteme (EnWG / MsbG) Gesundheitstelematik (SGB V 291 / EHealth-Gesetz) eid-verfahren und Vertrauensdienste (EGovG, eidas-vo) 4
BSI-Zertifizierung Gesetzl. Vorgaben (EnWG, EEG, egovg, SGBV/eHealthG, IT-SiG) Technischer Standard (BSI TR/PP/IT-Grundschutz) Konformitätsprüfung private qualifizierte Prüfstelle Zertifizierung BSI Die Zertifizierung weist nach, dass ein Produkt/Verfahren die in den Rechtsvorschriften geforderten technischen Eigenschaften (TR, PP) erfüllt. 5
Agenda IT-Sicherheitsstandards & Normung Digitalisierung Aktuelle Handlungsfelder des BSI Vertrauensdienste und elektronische Identitäten Aktuelle Regulierungen Ausblick 6
Digitale Agenda 7
Digitale Agenda für Deutschland Grundsätze unserer Digitalpolitik Digitale Infrastrukturen Digitale Wirtschaft und digitales Arbeiten Innovativer Staat Bildung, Forschung, Wissenschaft, Kultur und Medien Sicherheit Schutz und Vertrauen für Gesellschaft und Wirtschaft Europäische und digitale Dimension der digitalen Agenda Handlungsfelder Digitale Lebenswelten in der Gesellschaft gestalten www.bsi.bund.de 8
Standardisierungsauftrag der Digitalen Agenda Digitalisierung, Automation, Vernetzung in allen Lebensbereichen: Smart Grid, Smart Metering (KRITIS) Smart Home, Smart Services Industrie 4.0 / Fernwartung emobility / car2car / car2x ehealth / egovernment Cloud Computing eid / epayment ecommerce Big Data Vertrauenswürdigkeit, Verfügbarkeit, Transparenz 9
Agenda IT-Sicherheitsstandards & Normung Digitalisierung Aktuelle Handlungsfelder des BSI Vertrauensdienste und elektronische Identitäten Aktuelle Regulierungen Ausblick 10
Hoheitliche Durchsetzung der Vertrauenswürdigkeit mit PKI Rechtsrahmen Verankerung Root Root (Hoheitlich) (Hoheitlich) Berechtigung via Zertifikat Zertifizierungsstelle Zertifizierungsstelle (Kommerziell) (Kommerziell) Vorgabe Certificate Policy Sperrung eines Zertifikats Zertifizierungsstelle Zertifizierungsstelle (Kommerziell) (Kommerziell) Zertifizierungsstelle Zertifizierungsstelle (Kommerziell) (Kommerziell) Ausstellen von Zertifikaten für Nutzer Nutzer Nutzer Nutzer Nutzer Nutzer Nutzer Nutzer Nutzer Nutzer Nutzer Nutzer Nutzer 11
Online-Ausweisfunktion Beidseitige Authentisierung - Diensteanbieter mit Berechtigungszertifikat - Inhaber mit gültigem Ausweisdokument 2-Faktor Authentisierung des Inhabers durch - Besitz (Zertifikat im npa) und - Wissen (PIN) Obligatorische Nutzung bei De-Mail - Sichere Kommunikationsinfrastruktur Schaffung neuer Anwendungen - E-Government-Initiative - Nutzung als Schriftformersatz - etc. 12
egovernment Kraftfahrtbundesamt Punkteauskunft aus dem Verkehrszentralregister Internetbasierte Außerbetriebsetzung eines Fahrzeugs (i-kfz) Deutsche Rentenversicherung Rentenauskunft online abrufen Persönliche Daten ändern Verschiedene Bürgerservices bei kommunalen Verwaltungen Baugenehmigung Kfz An-/Abmeldung Führungszeugnis online beantragen Wahlschein beantragen 13
ebusiness Versicherungen Persönliche Daten ändern Vertrag abschließen oder ändern Login Webseite Finanzen Konto eröffnen Persönliche Daten ändern Login Website Stadtwerke Münster Dienstleister für Energie und Wasserversorgung Zählerstandsangabe Produktwechsel Persönliche Daten ändern Login Website 14
Sichere Identitäten Ursprungsidentität Authentische Daten Übertragung Datengruppen abgeleitetes Vertrauen Kennzeichen (Geheimnis) Registrierung Authentisierungsmechanismen Authentisierungssysteme Authentisierungsmittel Secure Elements Mobile Connect Yubikey VDV-Kernapp Vorrangiges Ziel: Nutzung an mobilen Endgeräten 15
De-Mail De-Mails sind sichere E-Mails: einfache E-Mail + Sicherheit + Datenschutz De-Mail unterstützt zusätzliche Ende-zuEnde-Verschlüsselung Gatewayanbindung (insbes. Behörden) seit Frühjahr 2015: Browser-Erweiterung auf Basis von Mailvelope Nutzung gängiger Plugins für E-Mail-Client Login via Weboberfläche (Privatkunden) De-Mail entspricht qualif. Zustelldienst als Vertrauensdienst nach eidas-vo 16
BSI TR-03108 Sicherer E-Mail-Transport Vertrauenswürdige E-Mail-Dienste Offene Infrastruktur Keine Aufwände für den Nutzer Zertifizierte Sicherheit durch ein im Aufbau befindliches Prüfverfahren Vergleichbarkeit Verbreitung wichtiger ITSicherheitsmaßnahmen 17
Vertrauensniveaus & Mechanismen: TR 03107-1 Maßnahme 10 der eid-strategie des IT-PLR: Technische Richtlinie für Vertrauensdienste Das BSI wird [ ] den Entwurf einer Technischen Richtlinie vorlegen, in der Vertrauensniveaus und entsprechende Kriterien für Vertrauensdienste definiert werden. (eid-strategie) Betrachtung der Grundlagen und Mechanismen (z.b. eid, De-Mail, OSCI, TAN) für Vertrauensdienste (Identifizierung, Abgabe einer Willenserklärung, Dokumentenübermittlung und Übermittlung von Identitätsdaten) Mechanismen werden bestimmten Vertrauensniveaus zugeordnet (Hoch+, Hoch, Normal) Anpassung an eidas-vertrauensniveaus 18
Übersicht über Vertrauensdienste und -niveaus 19
Elektronischer Schriftformersatz mit elektronischem Identitätsnachweis Verwaltungsverfahrensgesetz 3a - Die Schriftform kann ersetzt werden durch unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät oder über öffentlich zugängliche Netze zur Verfügung gestellt wird. - In den Fällen [des Satzes 4 Nummer 1] muss bei einer Eingabe über öffentlich zugängliche Netze ein sicherer Identitätsnachweis nach 18 Personalausweisgesetz oder nach 78 Absatz 5 des Aufenthaltsgesetzes erfolgen. Technische Richtlinie TR 03107-2 regelt: - Erfüllung der verschiedenen Funktionen der Schriftform - Technische Anforderungen zur Umsetzung 20
Elektronischer Schriftformersatz mit elektronischem Identitätsnachweis Behörde Bürger Papiergebundene Anträge mit Unterschrift Browser Formularserver eid-client eid-server Fachverfahren Anträge via DE-Mail und/oder mit QES 21
Interoperable Servicekonten und Unternehmenskonten Einheitliche Rahmenbedingungen, damit Verwaltungsdienstleitungen flächendeckend digital angeboten werden und interoperable Servicekonten übergreifend genutzt werden (One-Stop-Government) Schon jetzt bieten viele Bundesländer ihren Kommunen Servicekonten an Erhöht die Verbreitung von digitalen Verwaltungsdienstleistungen in den Kommunen Aktuell: Prototypische Entwicklung interoperabler Servicekonten in Bayern und NRW durch PG eid-strategie im Auftrag des IT-PLR Unternehmenskonten Treiben die Digitalisierung voran auch für Personen, die im Namen von juristischen Personen (Unternehmen, Vereine, Behörden etc.) handeln 22
Elektronische Aktenführung 6 und 7 EGovG fordern die elektronische Aktenführung inkl. Scannen und Langzeitaufbewahrung nach dem Stand der Technik Beweisregelungen zugunsten nach Stand der Technik eingescannter Dokumente, z.b. 371 b, 298a ZPO Orientierungshilfen des BSI durch Technische Richtlinien 23
TR-RESISCAN und TR-ESOR TR-RESISCAN: Beweiserhaltende Digitalisierung mit dem Ziel der Vernichtung des Papieroriginals. <XAIP> XML-basiertes selbsttragendes Archivdatenobjekt inklusive Nutz- und Metadaten sowie beweiserhaltende Daten und Evidence Records. TR-ESOR: Beweiserhaltung kryptographisch gesicherter Dokumente und Daten. 24
eidas-verordnung Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eidas-vo) Elektronische Identifizierung von Personen und Unternehmen in allen EULändern Assurance Level nach STORK oder ISO 29115 kompatibel mit BSI TR-03107 Grenzüberschreitende elektronische Vertrauensdienste zur Ablösung von papiergebundenen Verfahren Signaturen Siegel Zeitstempel Zustelldienste Webseitenzertifikate Durchsetzung Technischer Standards für sichere Identitäten und Vertrauensdienste 25
Agenda IT-Sicherheitsstandards & Normung Digitalisierung Aktuelle Handlungsfelder des BSI Vertrauensdienste und elektronische Identitäten Aktuelle Regulierungen Ausblick 26
Ausblick Vielfältige Vertrauensanker der Informationssicherheit Leistungsfähige Technologien sind vorhanden Usability ist wesentlicher Erfolgsfaktor security-by-design muss sich weiter durchsetzen Kooperativer Ansatz und Regulierung ergänzen sich IT-Sicherheitsstandards Made in Germany Anforderungen für Nachfragemärkte Technische Standards entwickeln Unabhängiger Nachweis über deren Einhaltung ermöglichen Verbindlichkeit von Standards schaffen Erhalt gesellschaftlicher Werte und der Grundrechte der Bürger Art. 1 / Art. 2 GG, Art. 10 GG Gestaltung der Digitalisierung & Begleitung von Umsetzungsprojekten 27
Vielen Dank für Ihre Aufmerksamkeit Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Referats S 11 Sicherheit in eid-anwendungen Godesberger Allee 185-189 D-53175 Bonn Telefon: Fax: 022899-9582-5169 022899-10-9582-5169 florian.bierhoff@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de www.buerger-cert.de 28