SICHERHEIT IM E-GOVERNMENT 1. EINLEITUNG 4

2. BEGRIFFE UND DEFINITIONEN 7 2.1. E - Government 7

2.1.1. Interaktionen im E- Government 8

2.1.2. Interaktionsbeziehungen im E-Government 9

2.1.2.1. Government to Citizen (G2C) 9

2.1.2.2. Government to Buisness (G2B) 10

2.1.2.3. Government to Government (G2G) 10 2.2. Sicherheit 11 2.2.1. IT- Sicherheit 11

2.2.2. IT- Grundschutzhandbuch 12

2.2.3. Sicherheit im E-Government 12

2.2.4. IT- Sicherheit in der Praxis 13

2.2.5. Verlässlichkeit der IT - Technologien 14

2.2.6. Sicherheit und IT - Kompetenz der Kunden 14

3. E- GOVERNMENT IN DEUTSCHLAND 15

3.1. Projekte der Bundesregierung 16 3.2. Anwendungsbereiche 19

4. SICHERHEITSANFORDERUNGEN ^{BEI DER ELEKTRONISCHEN} KOMMUNIKATION 20 4.1. Vertraulichkeit 22 4.2. Integrität 23 4.3. Verfügbarkeit 24 4.4. Verbindlichkeit 25

4.5. Authentizität der Daten 26

4.6. Authentizität des Kommunikationspartners 26

4.7. Weitere Anforderungen, Schriftform 27 5. VERSCHLÜSSELUNG 28

5.1. Private Key Verschlüsselung 29

5.2. Public Key Verschlüsselung 30

1

5.3. Public-Key Infrastruktur für die öffentliche Verwaltung 31 5.4. Zeitstempel 31 5.5. Hashverfahren 32

6. ELEKTRONISCHE UNTERSCHRIFT, SIGNATUREN 33 6.1. Das Signaturgesetz 35 6.2. Die Signaturverodnung 36

6.3. Elektronische und digitale Signaturen 37

6.3.1. Elektronische Signaturen (§2 Nr.1 SigG) 38

6.3.2. Fortgeschrittene elektronische Signaturen.. (§2 Nr.2SigG) 39

6.3.3. Qualifizierte elektronische Signatur (§2 Nr. 3 SigG) 39

6.3.4. Akkreditierte Elektronische Signatur (§2 Nr. 3a SigG ) 40 6.4. Bedeutung der elektronischen Signatur 40

6.4.1. Hohes Sicherheitsniveau bei elektronische Signatur 41

6.4.2. Mittleres Sicherheitsniveau bei elektronische Signatur 42 6.4.3. Einfaches Sicherheitsniveau bei elektronische Signatur 43 6.4.4. Funktion der Signatur 43

6.4.5. Erneuerung qualifizierter Signaturen 44

6.4.6. Signaturniveau und die gesetzlichen Grundlage 45

6.4.7. Stellvertretung und elektronische Signatur 46

6.4.8. Sicherheitseignung elektronischer Signaturen 46

6.4.9. Novelle des Signaturgesetzes 48

7. PERSONENBEZOGENE DATEN IM E-GOVERNMENT 49

8. DATENSCHUTZRECHTLICHE BEWERTUNG 50 9. RISIKEN 51

9.1. Maschinentypische Risiken 52

9.1.1. Flüchtigkeit elektronischer Informationen 52

9.1.2. Veränderung räumlicher Relation 53

9.1.3. Protokollierung/Revisionssicherheit 53

9.2. Spezifische Bedrohungen 53

9.2.1. Zentrale Datenbestände 54

9.2.2. Automatisierung von Einzelentscheidungen 55

2

9.2.3. Datenschutz und die Verschlüsselung 55

10. RECHTSLAGE AUF EUROPÄISCHER EBENE 56

11. FREIWILLIGE AKKREDITIERUNG VON ZERTIFIZIERUNGS-DIENSTESANBIETERN, NEUE GÜTEZEICHEN FÜR ELEKTRONISCHE SIGNATUR 57 12. FAZIT 59

Literaturverzeichnis

3

1. Einleitung

Wir leben heute im Zeitalter der „Informationsgesellschaft“. Niemals zuvor bestanden so umfassende und komfortable Möglichkeiten zur weltweiten Kommunikation und damit zur Information, der schon immer große Bedeutung zugeschrieben ist.

Die Ressource „Information“ spielt eine herausragende Rolle und beeinflusst die Entwicklung und die Veränderung nicht nur in den Bereichen Technik, Wirtschaft und Umwelt. Moderne Informations- und Kommunikationstechnologien durchdringen heute alle Lebensbereiche der Gesellschaft.

Das Internet nimmt dabei als Kommunikationsmittel einen zunehmend höheren Stellenwert ein. Kennzeichen sind u.a. Homepage- und E-mail- Adressen auf Visitenkarten. Noch deutlicher sieht man die große Bedeutung des Internets an der hohen Verbreitung von Internetzugängen in privaten Haushalten. In Deutschland sind bereits weit über 50% der Haushalte online.

Diese Entwicklung zur Informationsgesellschaft erfasst international sowohl die Wirtschaft und den privaten Sektor als auch Staat und Verwaltung. Auch im nationalen Rahmen wirkt sich die „Kommunikations-Revolution“ auf die Tätigkeit und die Struktur der Verwaltung von Bund, Ländern und Kommunen aus.

Immer mehr Städte und Gemeinden nutzen das Internet und ermöglichen damit die elektronische Kommunikation und verschiedene Arten von elektronischen Transaktionen (Abwicklung von Geschäftsprozessen über elektronische Medien). Bürgerinnen und Bürgern wie auch die Wirtschaft können an der online-Kommunikation mit den Behörden teilnehmen. Die Daten von Bürgern oder Unternehmen werden über das Internet übertragen, von den Behörden verarbeitet, gespeichert und archiviert.

4

Die neuen Technologien und die neuen Möglichkeiten der Informationsverarbeitung verändern das Verhalten der Menschen und beeinflussen die Struktur der Gesellschaft grundlegend. Möglicherweise sind die Umwälzungen ähnlich gravierend wie die mit der Erfindung des Buchdrucks einhergehenden Veränderungen. Die weltweite Verbreitung des Personal-Computers und die globale Kommunikation durch die Vernetzung über das Internet hat seit den letzten beiden Jahrzehnten Ausmaße angenommen, die so nicht vorhersehbar waren ¹ .

Im September 2000 hat Bundeskanzler Gerhard Schröder die E-Government- Initiative „BundOnline 2005“ gestartet, mit der sich die Bundesverwaltung verpflichtet, ihre über 400 internetfähigen Dienstleistungen bis zum Jahr 2005 online bereit zu stellen. Bürgerinnen und Bürger sowie die Wirtschaft sollen über nutzerfreundliche Internetangebote auf die Dienste (Services) der Verwaltung zugreifen können. ² Mit dem verstärkten Angebot im E-Government ist ein erhöhter Bedarf nach IT- Sicherheit verknüpft: Denn durch das E-Government darf die gewohnte Vertraulichkeit und der in herkömmlichen Verwaltungsstrukturen erreichte Sicherheitsstandard nicht gemindert oder gefährdet werden. Die Sicherheit der Systeme und der Daten ist für alle Beteiligten unabdingbare Voraussetzung für einen erfolgreichen, flächendeckenden und umfassenden Einsatz des E- Government.

Ziel der vorliegenden Diplomarbeit ist es, die verschiedenen Aspekte des E-Governments und dessen Sicherheit zu erläutern, die technischen und rechtlichen Anforderungen und Möglichkeiten zu betrachten und die Probleme der IT-Sicherheit aufzuzeigen. Neben den genannten Punkten ist es unabdingbar erforderlich auch die gesetzlichen Vorschriften vor allem in Deutschland und der Europäischen Union

1 Vgl. Wohlfeil. Stefan, “Sicherheit in der Informationstechnik“, Skript, Fernuniver-

sität Hagen, 2001(Seite.11)

2 Vgl.BMI, Saga, Standards und Architekturen für E-Government-Anwendungen,

Version 2, Bonn 2004 (Seite: 11)

5

näher zu betrachten. Abschließend erfolgt eine eigene Bewertung der Sicherheit im E-Government.

Vorauszuschicken ist, dass die Sicherheit grundsätzlich Aufgabe des Staates ist. Der Staat hat vorrangig die Pflicht, den Bürger zu schützen. Dies umfasst auch die Gefahrenabwehr in Bezug auf die digitale Identität des Bürgers, mit der sich eine Person gegenüber einer staatliche Stelle ausweisen kann.

Im E- Government wird die elektronische Informations- und Kommunikationstechnik benutzt, um den „Kunden“ (das ist der Bürger, ein Wirtschaftsunternehmen oder eine andere Behörde) in das Handeln von Regierung und öffentlicher Verwaltung einzubeziehen. Dabei soll es z.B. für die Bürger keinen Unterschied mehr machen, ob der Bund, ein Land oder eine Kommune eine Dienstleistung im Internet anbietet. Durch diese vielfältigen behördlichen Diensteanbieter entsteht aber ein höchst heterogener Verbund von IT- Systemen verschiedenster Hersteller, die nicht nur technisch reibungslos zusammenarbeiten sollen, sondern deren Daten auch effektiv zu schützen sind.

Es müssen also technische und administrative Maßnahmen durch die Behörden ergriffen werden, damit keine Sicherheitslücken auftreten und mögliche Risiken durch Angriffe, missbräuchliche Nutzung oder technisches Versagen ausgeräumt werden. Für einen effektiven Schutz ist es erforderlich, die Identität aller handelnden Personen (IT-Nutzer) festzustellen und festzuhalten. Durch die elektronische Signatur lässt sich dann eine rechtsverbindliche Internetkommunikation zwischen Bürger und Behörde aufbauen.

Durch E-Government ergeben sich neue Möglichkeiten zur Reform der öffentlichen Verwaltung. Dies betrifft zum einen das Innenver-

6

hältnis der Verwaltung und zum anderen das Außenverhältnis zwischen der Verwaltung zu den Bürgern und der Wirtschaft ³ .

2. Begriffe und Definitionen

2.1. E-Government

Der Begriff Electronic Government (E-Government) bedeutet, frei übersetzt, „elektronische öffentliche Verwaltung“. Da der Begriff sehr jung ist, gibt es noch keine eindeutige Definition. Vorerst definiert sich das Electronic Government durch seine Funktion, durch die Nutzung des Internets und anderer elektronischer Medien zur Einbindung der Bürger und Unternehmen in das Verwal-tungshandeln sowie durch die Art und Weise der verwaltungsinternen Zusammenarbeit.

Wenn man den Unterschied zwischen elektronisch und elektrisch ig-noriert, könnte man davon sprechen, dass die Anfänge des E-Governments mit der Einführung des Telefons begonnen haben. Die traditionelle Verwaltung fand in der Amtsstube statt, und das Telefon hat erstmalig die Behörde näher zum Bürger gebracht, indem es eine persönliche Kommunikation unabhängig von der räumlichen Distanz ermöglichte.

Heutzutage nutzt E-Government die neuen technischen Möglichkeiten, um den „Kunden“ noch stärker in das Handeln einzubeziehen. ⁴ Diese Einbeziehung umfasst viele Arten der Kommunikation und Interaktion zwischen Bürger und Verwaltung, die mit der Digitalisie-

³ Vgl.BMI,Saga,Standarts und Architekturen für e-government-Anwendungen,

Ver.2,Berlin 2004 (S. 37)

⁴ Vgl. BSI, Standards/Spezifikationen ,E-Government-Handbuch“, Bundesanzeiger-

Verlag. März 2004 (Seite.31)

7

rung des öffentlichen Sektors und der damit verbundenen Veränderungen seiner Strukturen, Prozesse und Kulturen einhergehen. 5

2.1.1 Interaktionen im E- Government

E- Government - Dienstleistungen kann man nach den drei Interaktionsstufen Information, Kommunikation und Transaktion unterscheiden.

Im Zusammenhang mit diesen Schlagworten stehen folgende Charakteristika:

• Information: Die Bereitstellung von Informationen für Bevölkerung, Wirtschaft und andere Informationsempfänger. Dieser Bereich ist am weitesten entwickelt. Fast alle öffentliche Stellen sind mit umfangreichen Informationsangeboten im Internet vertreten.

• Kommunikation : Informationssysteme mit Dialog- und Partizipationsmöglichkeit, um den Austausch von Nachrichten zu ermöglichen. Dazu gehören E-Mail, webbasierte Diskussionsforen bis hin zu Videokonferenzen für Telekooperation.

• Transaktion : Erbringung von Dienstleistungen in der öffentlichen Verwaltung. Dazu gehören die elektronische Annahme und Bearbeitung von Anträgen und Aufträgen, die Bereitstellung von Formularen, die direkt am Computer ausgefüllt und sofort an den zuständigen Empfänger versandt werden können, sowie elektronische Zahlungs-und Ausschreibungssysteme.

Bisher sind lediglich vereinzelt Transaktionsleistungen vollständig realisiert. Zu Unterscheiden sind noch „einfache“ Transaktionen, bei welchem ein Sachbearbeiter der öffentlichen Verwaltung noch persön-

⁵ Vgl.Riedl,Reinhard , Sicherheit im E-Government, HMD 236,Wolfsburg, 2004, (S.59)

8

lich eingreifen muss, um die Daten in ein bestimmtes Fachverfahren innerhalb der Verwaltung zu bringen und medienbruchfreie Transaktionen, bei welchen von der Eingabe der Daten durch den Kunden bis zur vollständigen Abwicklung des Prozesses alles vollautomatisch abläuft. Von den medienbruchfreien Transaktionen ist Deutschland allerdings in den meisten Fällen noch weit entfernt.

Das wichtigste Instrument, um die Authentizität und die Vertraulichkeit der zwischen den einzelnen Instanzen übermittelten Daten sicherzustellen, ist die elektronische Signatur, die diese Arbeit in erster Linie behandelt. Vor allem der rechtsverbindliche elektronische Austausch von Dokumenten stellt die öffentliche Verwaltung bis heute vor technische und organisatorische Herausforderungen, die noch nicht befriedigend gelöst werden konnten. Hinzu kommt die mangelnde Verbreitung der elektronischen Signatur in allen Bereichen der Gesellschaft. 6

Man unterscheidet je nachdem, wer als „Kunde“ beteiligt ist, verschiedene Arten der Interaktion, wobei die Dienstleistungskunden („Kunden“) die Bürger, die Wirtschaft und andere Verwaltungen sind.

2.1.2 Interaktionsbeziehungen im E-Government

Neben den Interaktionsstufen kann beim E-Government auch eine Unterteilung nach den beteiligten Kommunikationspartnern vorgenommen werden:

2.1.2.1. Goverment-to-Citizen (G2C)

Unter G2C wird vorrangig die elektronische Interaktion zwischen Bürger und der Verwaltung verstanden. Dieser Bereich umschließt aber auch non - Profit und non- Government - Organisationen ⁷ .

⁶ Vgl. BSI, „E-Government-Handbuch“ Bundesanzeiger, Bonn 2004 (S.39)

⁷ Vgl. BSI, „E-Government-Handbuch“ ,Bundesanzeiger, Bonn 2004 , (Seite 40)

9

2.1.2.2. Government - to - Buisness (G2B)

G2B kennzeichnet die elektronische Geschäftsbeziehung zwischen der Verwaltung und der Wirtschaft ⁸ .

2.1.2.3.Government - to - Government (G2G)

Dieser Bereich umfasst die vielfältigen elektronischen Kommunikationsbeziehungen zwischen verschiedenen Behörden und Einrichtungen der öffentlichen Verwaltung. 9

Für eine sichere Interaktion mit den Behörden, wird für jeden Kunden, eine global nutzbare maschinenlesbare Darstellung menschlicher Identität angelegt. 10

Bild: E-Government Interaktionen 11

⁸ Vgl. BSI, „E-Government-Handbuch“ ,Bundesanzeiger, Bonn 2004, (Seite 40)

⁹ Vgl. BSI, “E-Government-Handbuch“, Bundesanzeiger, Bonn 2004(Seite 40)

¹⁰ Vgl. Riedl, Reinhard, Sicherheit im E-Government, Praxis der Wirtschaftsinfor-

matik, HMD, 236, (April,2004)(Seite 59)

¹¹ BMI,SAGA,Standards und Architekturen für E-Government-Anwendungen

(S.45)

10

2.2. Sicherheit

Es gibt keine einheitliche Definition der Sicherheit in der Informationstechnik oder speziell im E- Government. ¹² Je nach Sichtweise und Interessenlage wird „Sicherheit“ unterschiedlich definiert. Unabhängig hiervon ist unbestritten, dass für E- Government viele Aspekte der Sicherheit eine Rolle spielen und dass eine sehr hohe Erwartungshaltung hinsichtlich einer sicheren Interaktion besteht. Dort, wo technische Mittel im Mittelpunkt stehen, spielt stets die technische Sicherheit eine wesentliche Rolle.

2.2.1. IT - Sicherheit

IT- Sicherheit beschäftigt sich mit dem Schutz von Daten gegen Angriffe durch Unberechtigte. Die Sicherung der Daten liegt, von Ausnahmenfällen abgesehen, in der Verantwortung des Eigentümers. Angreifer haben oft das Ziel, die Daten für eigene Zwecke zu nutzen oder zu missbrauchen und damit den Eigentümer zu schädigen, sie wollen sich oftmals mit einem Angriff auf die Daten und dem Ausspähen der Dateninhalte Vorteile verschaffen. Sie handeln somit gegen die Interessen des Eigentümers. Der Eigentümer nimmt den Angriff als Reduzierung seiner Rechte wahr sofern er ihn überhaupt bemerkt.

Zum Schutz der Daten dienen spezielle IT- Sicherheitsmaßnahmen, z.B.Verschlüsselung und elektronische Signaturen. Derartige Maßnahmen werden in der Verwaltung, im Geschäftsleben und im privaten Bereich eingesetzt. Durch sie kann ein Qualitätsstandard für die elektronische Kommunikation geschaffen und die Grundlage für vielfältige Geschäfts- und Verwaltungsprozesse gelegt werden ¹³ .

¹² Im Lexikon ist Sicherheit wie folgt definiert: „ Zustand des Sicherseins, Geschütz-

sein vor Gefahr oder Schaden; höchstmögliches Freisein von Gefährdungen“ Das

große Wörterbuch der deutschen Sprache, Duden, Berlin 1999.

¹³ Vgl. Vgl. Wohlfeil, Stefan “Sicherheit in der Informationstechnik“, Skript, Fern-

universität Hagen, 2001 (S.11)

11

2.2.2. IT- Grundschutzhandbuch

IT-Sicherheit und die Standard-Sicherheitsmaßnahmen, die für jedes IT- System zu beachten sind, sind detailliert in dem IT -Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschrieben. http://www.it-grundschutzhandbuch.de

Danach ist IT- Sicherheit ein Synonym für Sicherheit in der Informationstechnik und bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen. Solche Sicherheitsvorkehrungen werden auf der Grundlage des BSI-Errichtungsgesetzes getroffen. 14

http://www.bsi.bund.de.dasbsi/gesetz.htm.

2.2.3. Sicherheit im E-Government

Im E- Government sind vor allem zwei Aspekte der Sicherheit zu beachten. Zum einen handelt es sich um rechtliche, zum anderen um technische Fragestellungen der Sicherheit. Unter rechtlichtem Blickwinkel werden ausgewählte gesetzliche Vorschriften geprüft, die für Anbieter von Telediensten/Internet-Angeboten nach europäischem und/oder deutschem Recht besonders relevant sind. Zur Anwendung kommen dabei z.B. das elektronische Geschäftsverkehrsgesetz (GVG), ferner deutsche Datenschutzbestimmungen, wie z.B. Bundesdatenschutzgesetz (BDSG), oder das deutsche Signaturgesetz (SigG) bzw. Signaturverordnung (SigV) und natürlich die allgemeinen Vorschriften des Verwaltungsverfahrengesetzes (VwVfG), des Bürgerlichen Gesetzbuches (BGB) usw. Bei der Verwendung von Copyright-Zeichen, zum Umfang der Abfrage per-

¹⁴ Vg.BSI, E-Government-Glossar, E-Government-Handbuch, Bundesanzeiger

,März 2004, (Seite:17)

12