Erreichbarkeitsplattform Bayern ein Beitrag zum Datenschutz und zur Cyber-Sicherheit Berthold Gaß Bayerisches Staatsministerium des 6. Bayerisches Anwenderforum egovernment München 21./22. Mai 2014 www.dienstleistungsportal.bayern.de
Sichere elektronische Kommunikation Warum? www
Sichere elektronische Kommunikation Beispiele für den Bedarf von sicherer E-Mail-Kommunikation E-Mails mit schutzwürdigen Daten Anfragen der Polizei bei Melde- und Ausländerbehörden Übermittlung der Wahlvorschläge für die Schöffenwahl Umsetzung der EG-Dienstleistungsrichtlinie (elektronische Erreichbarkeit aus der Ferne Art. 8 EG-DLR) Die Mitgliedstaaten stellen sicher, dass alle Verfahren und Formalitäten problemlos aus der Ferne und elektronisch über den betreffenden einheitlichen Ansprechpartner oder bei der betreffenden zuständigen Behörde abgewickelt werden können.
Sichere elektronische Kommunikation Kommunikation Behörde <-> Behörde Kommunikation unter Nutzung der bayerischen Verwaltungs-PKI Sender und Empfänger benötigen jeweils entsprechende Zertifikate (Signatur und Verschlüsselung) Informationen zur Zertifikatsbeantragung: www.pki.bayern.de Kommunikation Bürger/Unternehmer <-> Behörde Bürger/Unternehmer besitzt in der Regel keine Zertifikate (qualifizierte elektronische Signatur) Lösung: Erreichbarkeitsplattform
Erreichbarkeitsplattform (EPF) Bereitstellen einer sicheren elektronischen Kommunikation (auch) über das Internet zwischen dem Dienstleister, den Einheitlichen Ansprechpartnern (EA) sowie den zuständigen Stellen Die Plattform soll kein Fachverfahren sein, sondern nur dem Dokumenten-/ Nachrichtenaustausch dienen. Eine Sachstandsdarstellung der eingeleiteten Verfahren ist nicht vorgesehen. Produktivbetrieb: voraussichtlich Sommer 2014
Grundfunktionalitäten der EPF Hochladen von Dokumenten (Formulare, formlose Schreiben) auf die Plattform mittels https-verschlüsselung Verschlüsselte Ablage der Dokumente auf der Plattform Verschlüsselter und signierter Versand der Dokumente an die EA und zuständigen Stellen unter Nutzung der Verwaltungs-PKI automatisch durch Auswahl der EA / zuständigen Stellen über das Dienstleistungsportal Entsprechender (sicherer) Rückkanal für EA und zuständige Behörden an Antragsteller Dezentrale, z. B. kommunale Formulare werden anhand der Verlinkungen bei den Leistungsbeschreibungen im Dienstleistungsportal Bayern erschlossen. Von der EPF unabhängig sind weiterhin Online-Anwendungen, bei denen Daten direkt in das Verfahren eingegeben werden, z. B. Fachverfahren von Herstellern.
Nutzer -> EPF -> Behörde Hinkanal Nutzer an Behörde Nutzer (Bürger, Unternehmer, Verwaltung) - einfache Registrierung (PIN- Brief an Postadresse) - Auswahl einer Leistung sowie Lokalisierung (Formulare und zuständige Behörde werden angezeigt) oder - Auswahl einer Behörde und Freitext - Hochladen der Dokumente verschlüsselt über https - Virenprüfung EPF automatisch - Verschlüsselte Dokumentenablage auf der Plattform - Versand einer verschlüsselten und signierten E-Mail mit den hochgeladenen Dokumenten als Anlage - Zuleitung an zuständige Behörde zuständige Behörde - benötigt lediglich ein E-Mail- Postfach mit Verschlüsselungsund Signaturmöglichkeit - behördeninterne Weiterleitung unverschlüsselt oder verschlüsselt je nach Sicherheitsbedarf
Voraussetzungen für Behörden erfordert am PC nur PKI-Zertifikate für Verschlüsselung und Signatur es wird keine zusätzliche Software benötigt erfordert eine Zustimmung zur Auftragsdatenverarbeitung es wird auf Vorhandenem aufgesetzt Vorteile für Nutzer bietet wesentlich mehr Sicherheit als die herkömmliche unverschlüsselte E-Mail Nutzer benötigt kein Zertifikat zur Verschlüsselung Nutzer entstehen keine Kosten durch sicheren Versand
Behörde -> EPF -> Nutzer Rückkanal Behörde an das Fallpostfach des Nutzers Nutzer (Bürger, Unternehmer, Verwaltung) - Erhält eine Informations- E-Mail - Meldet sich am Portal an und navigiert zum Posteingang seines Fallpostfachs - Lädt die bereit gelegten Dokumente https-geschützt auf seinen PC herunter - Virenprüfung EPF automatisch - Entschlüsselt die E-Mail - Prüft die Signatur der E-Mail - Stellt die E-Mail (ggf. mit Anlagen) in das Fallpostfach des Einreichers ein - Verschlüsselte Dokumentenablage auf der Plattform - Informiert Bürger etc., dass eine E-Mail im Fallpostfach eingegangen ist zuständige Behörde - Entwirft eine Antwort-E-Mail, ggf. mit Anlagen - Fügt der E-Mail in der Betreffzeile die Korrespondenz-ID des Einreichers an - Verschlüsselt und signiert die E-Mail - Löst den Versand aus
Voraussetzungen zu Formularen o Bereitstellung von online ausfüllbaren, barrierefreien Formularen durch Ministerien und nachgeordnete Behörden sowie Kommunen und Kammern (auch Umsetzung der BayBITV) o Nutzung des Zentralen Formularservers beim IT-DLZ (= Basiskomponente) durch staatliche Behörden wird dringend empfohlen: Zentrale Formulare auf dem Formularserver können mit den Adressdaten der zuständigen Behörde im Verwaltungsservice Bayern automatisch vorbefüllt werden; zudem entfällt ein gesondertes Hochladen in die Erreichbarkeitsplattform o Kennzeichnung der Formulare, für die eine Unterschrift / Signatur rechtlich benötigt wird, damit Nutzer darüber informiert werden kann, im Redaktionssystem des Verwaltungsservice Bayern (ehemals Bayerischer Behördenwegweiser)
EPF Weiterentwicklung (1) Verknüpfung der EPF mit Verwaltungsservice Bayern o o Ziel: universelle Nutzung für eine allgemeine, sichere Dokumenten-/ Nachrichtenübermittlung unabhängig von der EG-DLR Lösung: Die Plattform soll im nächsten Schritt auch mit dem zentralen Portal Verwaltungsservice Bayern verknüpft werden. Es soll die Möglichkeit geschaffen werden, über die EPF auch allgemeine Schreiben / Dokumente an Behörden (ohne Formularbindung) zu übermitteln. Die erweiterte EPF soll möglichst auch mit den Webseiten der Behörden verknüpft und so dezentral zugänglich gemacht werden können.
EPF Weiterentwicklung (2) Anbindung Bürgerkonto des Serviceportals Digitales Bayern Ziel: Schaffung der technischen Voraussetzungen, das elektronische Schriftformsurrogat elektronischer Personalausweis (npa) flächendeckend nutzbar zu machen, sobald die rechtlichen Rahmenbedingungen (E-Government-Gesetz) geschaffen sind. Voraussetzung: Anbindung der Benutzerverwaltung des Bürgerkontos des Serviceportals Digitales Bayern (AKDB) o Damit würde ein vorbereitender Schritt zur Nutzung der Authentifizierungsfunktionalität des npa gemacht. o Damit bestünde die Möglichkeit, generell die npa-funktionalität zentral über die EPF mit Formularen und formlosen Schreiben zu verknüpfen und so zentral für alle staatlichen und kommunalen Behörden sowie Kammern in Bayern verfügbar zu machen.
Einsatzpotenzial der EPF Technisch könnten beliebige Dokumente elektronisch an alle Behörden in Bayern, die an die EPF angeschlossen sind, übermittelt werden (notwendige Beschränkungen, z. B. Formate, sind möglich; eine ausreichende E-Mail- Postfachgröße bei den Verwaltungen muss aber gewährleistet werden). Vor allem könnte auch der nicht an Formulare gebundene allgemeine Schriftverkehr sicher (verschlüsselt) abgewickelt werden. Die EPF kann unabhängig von Schriftformerfordernissen genutzt werden. Bei einer npa-integration könnte auch ein Schriftformsurrogat ermöglicht werden. Die nicht gesicherte allgemeine E-Mail-Kommunikation Externer mit den Verwaltungen könnte in eine sichere Form übergeleitet werden. Es besteht nur eine technische Plattform, Parallelentwicklungen und damit Mehrfachaufwände könnten vermieden werden.
Vielen Dank für Ihre Aufmerksamkeit Fragen?!