Elektronische Signatur für Online-Dienste an Hochschulen Dr. Martin Wind ZKI-Herbsttagung 25./26. September 2001 in Erfurt
1. Ein Blick in die gute alte PIN-Welt 2. Elektronische Signaturen, MEDIA@Komm und OSCAR 3. Signaturbasierte Online-Dienste für Studierende 4. Offline-Demo Geschäftsvorfall Beurlaubung 5. Ausblick
Von Karten, PIN und TAN... PIN A / TAN Dienstleister A PIN B / TAN Dienstleister B KARTE/PIN C Dienstleister C... PIN n... Dienstleister n
Vor- und Nachteile aus Anbietersicht + Sichere Identifizierung der Kunden + Bedarfsgerechte (Multi)Funktionalität + Imagegewinn, Marketinginstrument - Sehr hoher Aufwand für Karten-Infrastruktur - Abhängigkeit von einzelnen Systemanbietern - Unklare Beweislage vor Gericht - Zukunftsoffenheit?
Vor- und Nachteile aus Kundensicht + Einfache Handhabung (in der Regel) + Begrenzter Schaden bei Verlust + Bedarfsgerechte (Multi)Funktionalität - Unkomfortable Kartensammlungen - Unterschiedliche PIN/TAN - Ungewißheit über Sicherheitskonzept des Anbieters - Gelegentlich komplizierte Beantragung
1. Ein Blick in die gute alte PIN-Welt 2. Elektronische Signaturen, MEDIA@Komm und OSCAR 3. Signaturbasierte Online-Dienste für Studierende 4. Offline-Demo Geschäftsvorfall Beurlaubung 5. Ausblick
Elektronische Signaturen ermöglichen Authentifikation: eine Nachricht stammt tatsächlich vom angegebenen Absender sichern Integrität einer Nachricht: nachträgliche Veränderungen werden bemerkt gewährleisten Vertraulichkeit: verschlüsselte Nachrichten können nur vom gewünschten Adressaten entschlüsselt und gelesen werden öffnen den Weg für sichere und rechtsverbindliche Online-Transaktionen ohne Medienbrüche
Online-Dienste mit Signaturkarte Internet technische Plattform Öffentliche Verwaltung Signaturkarte Dienstleistungsunternehmen Eine Karte für viele Anwendungsfelder Trust Center Kreditwirtschaft Hochschulverwaltung
Rechtliche Wirkung Einfache und fortgeschrittene elektronische Signaturen nutzbar, wenn keine besonderen Formerfordernisse bestehen als Beweismittel zulässig (freie Beweiswürdigung) Qualifizierte elektronische Signaturen sind i.v.m. Formanpassungsgesetzen der handschriftlichen Unterschrift gleichgestellt besitzen erhöhte Beweiskraft (Anscheinsbeweis 292 a ZPO) Online-Transaktionen werden auch dort möglich, wo Formvorschriften dem bislang entgegen standen.
Multimedia-Städtewettbewerb MEDIA@Komm BMWi (anfangs BMBF) als Träger Ziel: Einführung und Erprobung der Digitalen Signatur nach Signaturgesetz Wirtschaftlichkeit, Nachhaltigkeit und Übertragbarkeit der Lösungen als wichtiges Auswahlkriterium 136 Grobkonzepte - 10 Detailkonzepte - 3 Siegerkonzepte (Bremen, Esslingen, Nürnberg) Dreijährige Förderlaufzeit begann im September 1999 zentrale Begleitforschung: www.mediakomm.net Ein absehbarer Meilenstein: Ummeldung bei Umzug innerhalb Bremens komplett online möglich.
Drei Säulen, die parallel entwickelt werden Bürger Kreditwirtschaft Digitale Signatur Digitale Signatur Internet Kiosksystem Zugang Trust Center Online-Plattform Behörden, Hochschulen usw. Anwendungen
Varianten der Signatur-Chipkarten Monofunktionale Signaturkarte Integrierte Sig-/ec-Karte (2002) Die Sparkasse Bremen MAX MUSTERMANN Konto-Nr. Karten- Nr. 1234 56-789 9876543-0 D 99 0321 Maestro
Plattform und Intermediär Interpretiert Nutzungsdaten ohne Zugriff auf Inhaltsdaten. Nachrichtenspeicherung und -steuerung, zentrale Dienste. Bürger Dienstleister CA 11 12 1 10 2 9 3 8 4 7 6 5 Payment
Standardisierung des Datenaustausches Zwischen Bürger, Verwaltung und Dienstleistern sollen rechtsverbindliche Dienstleistungen und Transaktionen vollelektronisch und ohne Medienbrüche abgewickelt werden können. Umzug OSCI OSCI OSCI OSCI OSCI Meldebehörde Bauamt Standesamt Online Services Computer Interface (OSCI) Mail Log Bauantrag
Das Bermuda-Dreieck
OSCI-Architecture (OSCAR) Programmpaket zur Erstellung, Übermittlung und Prüfung OSCI-konformer Nachrichten als asynchrone Mail oder Online-Komponente beliebiger Fachverfahren Client Intermediär Dienstleister Signieren (De)Chiffrieren Anbindung Lesegeräte Anbindung Smart Cards und Software-Zertifikate Integration von Attachments Visualisierungskomponente Transport und Routing sicherer, anonymer Mailserver (Postkörbe etc.) Zertifikats- und Signaturprüfung Funktionen wie Client Adapterfunktionen zur Anbindung beliebiger Fachverfahren
Was ist OSCAR? Weitgehend plattformneutrale Java-Implementierung Streng XML-zentriert Es werden fast ausschließlich Open-Source-Produkte eingesetzt Zentraler Produktfokus: Sicherheit, Nutzerfreundlichkeit, Integration und Interoperabilität bezogen auf kryptografische Medien Kapselung der zentralen Funktionen für alle 3 Ebenen in einem OSCI-Kernel Auch der Client ist eine anspruchsvolle entsprechend große Anwendung; daher Entscheidung für Java Web Start als kontrollierbare, sichere Ablaufumgebung OSCAR ist Sammlung von Middleware-Funktionalitäten als Basis für sichere, rechtsverbindliche Online- Transaktionen und wird über Bremen hinaus vertrieben.
Snapshot OSCAR Client-Anwendung Erzeugen + Versenden der OSCI-Nachricht OSCI-Intermediär Postkorb Prüfung Signatur / Zertifikate Nachrichtenrouting OSCI-Backend-Server Ent-/Verschlüsselung Wrapper OSCI/ Anwendungsysteme Browser/HTML JVM 2 Anwendung OSCI Client-Enabler (signed Applet/ Application OSCI Kernel Komposition/ Dekomposition Nachrichten Signatur Verschlüsselung OCF JNLP- Request OSCI in SOAP via HTTP Apache IIS... S O A P (als Helper- Application) HTTP- -Server Tomcat- Servlet Engine XML/SQL Server (Tamino) (Postkorb, Stamdaten) Servlets OSCI-Msg- Engine OSCI Kernel OSCI Request/ Response in SOAP via HTTP HTTP-Server + Tomcat Adapter XML/ DOM - prop. Formate OSCI Kernel Komposition/ Dekomposition Nachrichten Signatur Verschlüsselung RPC RFC BAPI SOAP.. Fachverfahren Datei (prop./xml) Kartenleser HEZ (Payment) Trust- Center 1
Über 70 Geschäftsprozesse mit 26 Dienstleistern: Verwaltung, Eigenbetriebe & überregionale Dienstleister Bürger/in Mittler Unternehmen Alle Nutzer 1. Umzug und Wohnen 5. Bauen / Bau eines Hauses 8. Wirtschaft / E-Vergabe 9. Geld / Elektronischer Zahlungsverkehr 2. Studium 3. Familie, Singles & Co. (Personenstandsurkunden) 6. Mobilität / Auto 7. Geld / Elektronischer Rechtsverkehr 10. Geld / Kommunikation Steuerberater Finanzamt (Steuererklärungen) 4. Ticketing u. Online-Buchung
1. Ein Blick in die gute alte PIN-Welt 2. Elektronische Signaturen, MEDIA@Komm und OSCAR 3. Signaturbasierte Online-Dienste für Studierende 4. Offline-Demo Geschäftsvorfall Beurlaubung 5. Ausblick
Beteiligte Projektpartner bremen online services (bos) Technologie-Zentrum Informatik (TZI) Universität Bremen (ca. 18.000 Studierende) Hochschule Bremen (ca. 6.800 Studierende) Hochschule Bremerhaven (ca. 1.300 Studierende) Studentenwerk Bremen Staats- und Universitätsbibliothek Bremen
Vorgesehene Geschäftsvorfälle Übermittlung von Zulassungs- und Immatrikulationsdaten Mitteilung von Adressänderungen Beantragung von Urlaubssemestern Exmatrikulation auf eigenen Antrag Ausdruck zusätzlicher Studienbescheinigungen Anmeldung zu Prüfungen (Mail/Office) SB-Funktionalitäten von Prüfungsverwaltungssystemen Korrespondenz mit Studentenwerk (BAföG, Wohnheime) Online-Gremienwahl (Erprobung an Hochschule BHV)
Gebührenregelung bremer-online-service: - pro Karte: 10,- (TeleSec: ca. 250 DM für 2 Jahre) - pro Kartenleser: 20,- DM (Marktpreis: 200 DM) Sonderregelung für Studierende: - keine Kartengebühr, wenn Registrierung im dafür vorgesehenen Zeitraum ( Aktionswoche ) erfolgt - evtl.: Gutscheine im Begrüßungspaket für Studierende, die neu nach Bremen ziehen - keine Sonderregelung bei Gebühr für Kartenleser
Selbstbedienung mit Signaturkarte? Studierende Signaturkarte Internet Hochschulverwaltung Trust Center
Vorläufige Variante des Online-Dienstes Studierende Sachbearbeitung in der Hochschulverwaltung Trust Center
Ziel: Automatisierter Dialog mit Fachverfahren 2 Trust Center Studierende 1 + Matr.nr. 3 Fachverfahren der Hochschulverwaltung 5 4 7 6
Besonderheiten des Bremer Projekts Verwendung elektronischer Signaturen nach SigG - keine hochschulspezifische Karte - Rechtssicherheit gewährleistet - hoher Datenschutz, hohe Datensicherheit Wahlmöglichkeiten (konventioneller Weg oder vollständig online) für Nutzer(innen) Einbindung in städtische Online-Landschaft Transaktionen übers Internet offenes System ohne Bindung an einzelne Karten- oder Systemlieferanten Browserunabhängige Java-Applikationen mit automatisiertem Update (Java Web Start) hohe Übertragbarkeit durch hochschulübergreifende Kooperation während Anwendungsentwicklung
1. Ein Blick in die gute alte PIN-Welt 2. Elektronische Signaturen, MEDIA@Komm und OSCAR 3. Signaturbasierte Online-Dienste für Studierende 4. Offline-Demo Geschäftsvorfall Beurlaubung 5. Ausblick
www.bremer-online-service.de www.bremen.de www.uni-bremen.de
1. Ein Blick in die gute alte PIN-Welt 2. Elektronische Signaturen und MEDIA@Komm 3. Signaturbasierte Online-Dienste für Studierende 4. Offline-Demo Geschäftsvorfall Beurlaubung 5. Ausblick
Elektronische Signaturen auf dem Weg zum Erfolgsmodell? Ja, denn mit zunehmender Häufigkeit elektronischer Transaktionen (E-Commerce, E-Government) steigt der Bedarf nach Sicherheit und Rechtsverbindlichkeit. Ja, denn es ist unakzeptabel, den Nutzern für jeden Online-Dienst spezielle Zugangslösungen (PIN/TAN, Chipkarten plus passende Leser...) anzubieten. Aber wir sollten nicht vergessen, dass wir uns erst am Anfang eines komplizierten Diffusionsprozesses befinden.
Kontakt wind@tzi.de www.signatur.uni-bremen.de www.bremer-online-service.de