![[externer Link]](../../../../images/link.gif)
www.w3.org) zum Einsatz.Ein breitenwirksamer Durchbruch zur digitalen Interaktion mit den Bürgern steht Städten und Gemeinden erst noch bevor; im Mittelpunkt bisheriger Anwendungen steht vor allem die Präsentation regionaler Informationen. Aber auch privatwirtschaftliche Unternehmen haben beim E-Business noch Bedarf an standardisierten rechtsverbindlichen Transaktionen unter Nutzung der elektronischen Signatur. Was bisher fehlte, war die gesetzliche Grundlage, um eine elektronische Signatur der handschriftlichen Unterschrift gleichzustellen und damit Rechtsverbindlichkeit zu erreichen. Mit dem neuen Signaturgesetz und der darin definierten digitalen Signatur wurde nunmehr diese Voraussetzung geschaffen.
Um diese Chance zu nutzen, müssen aber neben den gesetzlichen auch die technischen Voraussetzungen für gleichermaßen sichere, flexible und für den Anwender praktikable Transaktionen geschaffen werden. Im Umfeld der Bremer Umsetzung des virtuellen Rathauses wurde mit dem Online Services Computer Interface (OSCI) ein Protokoll speziell für die sichere Übertragung digital signierter Nachrichten über das Internet konzipiert. Technisch gesehen handelt es sich dabei um ein ähnliches Protokoll wie den Homebanking Computer Interface Standard (HBCI), ergänzt um Möglichkeiten der Ereignissteuerung, Vermittlung und Nachvollziehbarkeit von Nachrichten.
OSCI richtet sich an drei zentrale Zielgruppen:
Die hauptsächlichen Nutzen, die durch die konzipierten
multimedialen Dienste unter Einsatz der elektronischen Signatur
für alle Beteiligten erreichbar sind, liegen in Zeit- und
Kostenersparnis, erhöhter Sicherheit, Rechtsverbindlichkeit
und Verbesserung der Servicequalität. Weiterhin lassen sich
per OSCI eingegebene Daten der Nutzer ohne Medienbruch in der
Verwaltung oder bei privaten Dienstleistern weiterverarbeiten:
Hierfür sorgt ein offenes Konzept und die Nutzung von XML
(eXtended Markup Language) als OSCI-Dokumentenformat. Sowohl die
Inhalte als auch die Nachrichtenstrukturen sind mittels XML
beschrieben; dabei kommen Spezifikationen des World Wide Web
Consortiums (W3C, www.w3.org) zum Einsatz.
----------Anfang Textkasten----------
Die Freie Hansestadt Bremen ist aufgrund ihres Sieges beim MEDIA@Komm-Städtewettbewerb in der Lage, Pionierarbeit im Bereich E-Governement zu leisten. Mit OSCI will man hier vor allem einen Standard für die deutsche Kommunalwirtschaft schaffen, aber auch die Privatwirtschaft ansprechen.
OSCI wurde von Beginn an als ein offenes und auf andere Städte und Kommunen übertragbares Protokoll entwickelt. Um dieses Ziel zu erreichen, wurde in Bremen 1999 die OSCI-Leitstelle etabliert. Sie hat die Aufgabe, in enger Zusammenarbeit unter anderem mit der Media@Komm Begleitforschung die OSCI-Entwicklung so zu betreiben, dass diese Übertragbarkeit gewährleistet ist.
Alle Fragen des sicheren Transports von OSCI-Nachrichten werden in der Arbeitsgruppe "OSCI Kernel" adressiert, deren Projektziel die datenverarbeitungstechnische Feinspezifizierung und inkrementelle Implementierung eines Softwareproduktes OSCI-KERNEL ist.
Die Entwicklungsschwerpunkte der OSCI-Leitstelle liegen auf den technischen Basisfunktionen von OSCI, die unabhängig von den transportierten Inhalten eine sichere, rechtsverbindliche, vertrauliche und ereignisgesteuerte Übermittlung vom Absender über den Intermediär zum Empfänger gewährleisten sollen.
Die inhaltliche Erarbeitung des OSCI-Standards erfolgt in enger Abstimmung mit dem Kooperationsausschusses ADV Bund/Länder/Kommunaler Bereich (KoopA, vergleichbar mit dem ZKA der Kreditwirtschaft). Diese Aufgabenstellung ist relativ frei von kryptografischen oder transporttechnischen Fragestellungen. Vielmehr geht es darum, die Struktur zu beschreiben, in der zum Beispiel eine Geburtsurkunde beim Standesamt beantragt wird: Welche Datenelemente benötigt man, um den Kunden zu identifizieren? Wie und mit welchen Feldern beschreibt man in der Nachricht, welches Objekt der Kunde haben möchte? Die Modellierung erfolgt in UML und XML.
Wer mehr über OSCI erfahren möchte oder sich an der Weiterentwicklung von OSCI aktiv beteiligen will, wende sich bitte an
bremen online services GmbH & Co. KGDie Schnittstellenspezifikation OSCI Version 1.0 sowie ein
Vortrag über XML als Grundlage von OSCI liegen auf www.bos-bremen.de/osci/downloads.html
zum Download bereit.
----------Ende Textkasten----------
Durch die Trennung von Inhalt, Struktur und Layout lassen sich die für jeden Beteiligten wesentlichen Teile eines Dokumentes leicht erfassen, in verschiedene Sicherheitsbereiche unterteilen und dennoch dauerhaft als Gesamtdokument in "Rohform" speichern. Die besonderen Merkmale von OSCI sind dabei:
An seinem Computer wählt der Nutzer über Hyperlinks im WWW das gewünschte Formular, beispielsweise über ein Stadtinformationssystem die Anforderung einer Geburtsurkunde beim zuständigen Standesamt. Dieses Formular ist kein HTML-Form, sondern ein signiertes Java-Applet. Durch die Signatur wird dem Anwender garantiert, dass es sich tatsächlich um ein Formular der richtigen Stelle handelt, die überdies dafür geradesteht, dass es nur die zugesicherten und erwarteten Aktionen ausführt. Zusätzlich erfolgt die Übertragung über eine SSL-gesicherte Verbindung.
Die für diesen Geschäftsvorfall notwendige Datenstruktur ist eindeutig vorgegeben: In der OSCI-Spezifikation für die "Beantragung einer Geburtsurkunde" ist genau festgelegt, welche Daten der Bürger unbedingt eingeben muss, welche optional sind und ob spezifische Felder nur bestimmte Werte annehmen können, beispielsweise nur Zifferneingaben im Feld "Geburtsjahr".
Bevor der Bürger nach dem Ausfüllen den Antrag unterschreibt, bekommt er die Antragsdaten noch einmal präsentiert. Erst nach dieser gesetzlich vorgeschriebenen Visualisierung signiert er seine Eingaben. Damit ist eine OSCI-Nachricht erstellt worden, die an den Empfänger übermittelt werden kann. Da es sich bei deren Inhalten in aller Regel um wichtige und teilweise hochsensitive personenbezogene Daten handelt, wird der Inhalt mittels kryptographischer Methoden vor unbefugter Einsichtnahme oder Manipulation auf dem Übertragungsweg geschützt
Neben den Inhaltsdaten einer Nachricht, die mit dem öffentlichen Schlüssel des Empfängers geschützt sind, gibt es die Nutzdaten, die sich an den Intermediär richten. Dazu gehören zum Beispiel die Angaben über den Absender und den Empfänger der Nachricht: So landet beispielsweise das Zertifikat des Bürgers, der eine Geburtsurkunde beantragt, als Absenderidentität in den Nutzdaten.
![[Aufbau einer OSCI-Nachricht]](43-1.jpg)
OSCI-Nachrichten sind zweistufig verschlüsselt: Der
Laufzettel ist auch für den Intermediär lesbar, die
eigentlichen Inhaltsdaten nur füe den letztendlichen
Empfänger.
Ein weiterer Bestandteil der Nutzdaten sind "Bedingungen", beispielsweise die Kopplung der Auslieferung an das Standesamt an einen Zahlvorgang, da die Ausstellung von Geburtsurkunden gebührenpflichtig ist. Wird die OSCI-Nachricht in Richtung Standesamt auf den Weg gebracht, so wird gleichzeitig eine Sollstellung mit einem zugehörigen Kassenzeichen ausgelöst, das ebenfalls Bestandteil der Nutzdaten ist.
Alle Nutzdaten werden – getrennt von den Inhaltsdaten – im so genannten Laufzettel gespeichert. Zwischen Absender und Empfänger steht in der OSCI-Infrastruktur als vermittelnde Stelle der OSCI-Intermediär. Er interpretiert die Nutzdaten und sorgt für die richtige ereignisgesteuerte Zustellung. Auf die Inhaltsdaten dagegen hat er keinen Zugriff.
Wenn der Bürger im Beispiel seinen Antrag an das Standesamt sendet, so verschlüsselt das System auch die Nutzdaten des Laufzettels – aber nicht für das Standesamt, sondern für den Intermediär. Auf dem Übertragungsweg kann also kein Unbefugter auch nur Teile der Nachricht abhören oder manipulieren.
Nach dem Empfang dechiffriert der Intermediär den Laufzettel, ergänzt einen (digitalen) Eingangs-Zeitstempel und interpretiert die Nutzdaten des Antrags. Er prüft als eine zentrale Dienstleistung, ob die Zertifikate der Kommunikationspartner noch gültig sind, und dokumentiert das Ergebnis im Laufzettel. Im genannten Beispiel erkennt der Intermediär zudem, dass die Bezahlung einer Gebühr unter Angabe eines Kassenzeichens als Bedingung für die Auslieferung der Nachricht an das Standesamt gefordert ist. Als weitere zentrale Dienstleistung des Intermediärs wird der Antrag bis zum Zahlungseingang "geparkt".
Sobald der Bürger – sei es unmittelbar per Geldkarte, per Überweisung, Lastschrift oder auch per Kreditkarte – die Gebühr für die Geburtsurkunde entrichtet hat, wird der erfolgte Ausgleich für das Kassenzeichen an den Intermediär signalisiert. Der Zeitpunkt, an dem dieses Signal ihn erreicht hat, vermerkt der Intermediär wiederum auf dem Laufzettel.
Wenn alle für die Auslieferung erforderlichen Bedingungen erfüllt sind, leitet der Intermediär den Antrag an den Empfänger, im Beispiel also das Standesamt weiter. Der erweiterte Laufzettel geht – wiederum verschlüsselt und signiert – ebenfalls an den Empfänger und verbleibt außerdem in Kopie im Archiv des Intermediärs. Die Adressierung aller Teilnehmer im OSCI erfolgt über X.509-Zertifikate, sodass keine spezielle Benutzerverwaltung notwendig ist.
Erst der eigentliche Empfänger verfügt über den notwendigen Schlüssel, um die Inhaltsdaten zu dechiffrieren. Anhand der Nutzdaten (Laufzettel) und der digitalen Signatur des Absenders lässt sich zudem sicher und rechtsverbindlich nachvollziehen, von wem die Nachricht stammt, ob dessen Zertifikat noch gültig ist und die erforderliche Gebühr bereits entrichtet wurde. Sofern der Antrag rechtsgültig digital signiert ist, kann die Geburtsurkunde dem Antragsteller zugestellt werden.
Möchte man den Vergleich mit der konventionellen Post durchführen, so steht E-Mail für die einfache Postkarte, während OSCI eine Sicherheitskassette als Einschreiben mit Rückschein nebst Zusatzdienstleistungen durch das Transportunternehmen (Absenderprüfung, Nachnahme, Zeitstempelung usw.) realisiert.
Frank Steimke leitet die OSCI-Leitstelle bei der
bremen online services GmbH & Co. KG ( www.bos-bremen.de).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2/2001, Seite 43
