![[externer Link]](../../../../images/link.gif)
SECUDE zurück, die eine Einbindung
von RSA-Smartcards ermöglicht. Die technische und
organisatorische Ausgestaltung des Verfahrens wurde durch das
Signaturgesetz (SigG) von 1997 und die Signaturverordnung (SigVO)
zwingend vorgeschrieben.E-Government braucht eine flächendeckende Infrastruktur, auch und vor allem in der Verwaltung. Das Land Niedersachsen hat die Chance genutzt, mit der Einführung eines neuen Haushaltswirtschaftssystems zum 1.1.2000 einen beträchtlichen Teil seiner Bediensteten mit persönlichen Signaturchipkarten und die dazugehörigen Büro-PCs mit Kartenlesern und der notwendigen Sicherheitssoftware auszustatten, um digital signierte Kassenanordnungen zu ermöglichen. Das System auf der Basis der BaaN-Software Public Performance Management (PPM) arbeitet komplett ohne Papierbelege.
Die Signaturkomponente in der BaaN-Anwendung nutzt
1024-Bit-RSA-Schlüssel und als Hashverfahren SHA-1 (Secure
Hash Algorithm, 160 Bit). Für die eigentlichen
Signaturfunktionen greift sie auf eine hierfür entwickelte
Funktionsbibliothek der Firma SECUDE zurück, die eine Einbindung
von RSA-Smartcards ermöglicht. Die technische und
organisatorische Ausgestaltung des Verfahrens wurde durch das
Signaturgesetz (SigG) von 1997 und die Signaturverordnung (SigVO)
zwingend vorgeschrieben.
![[Feststeller überträgt Daten verschlüsselt an die zentrale Datenhaltung im izn - von dort gehen sie wiederum verschlüsselt an den Anordnungsbefugten, der sie signiert und chiffriert zurück an das izn sendet]](8-1.jpg)
Erfassung und Anordnung von Haushaltsmitteln erfolgen in der
Niedersächsischen Landesverwaltung elektronisch.
Die Signaturkomponente für das so genannte Projekt P53 sollte höchst benutzerfreundlich und einfach zu bedienen sein, da sie nicht von IT-Fachleuten, sondern von Verwaltungsbediensteten genutzt wird. Deshalb weist die Software den Anwender durch verschiedene Informationen auf den jeweiligen Bearbeitungsstand hin, Signaturverlauf und -dauer bleiben für den Anwender erkennbar bis hin zur Meldung, ob eine Unterschrift erfolgreich war oder abgewiesen wurde. Die Fehlermeldungen und Dialoge der Komponente sollten zudem möglichst identisch mit dem Management der Signaturchipkarte sein, dem Personal Security Environment (PSE). Ein P53-Anwender kann beispielsweise seine PIN nicht nur im PSE-Management freischalten oder ändern, sondern auch in der Fachapplikation.
Eine SSL-Verschlüsselungskomponente der Firma SECUDE chiffriert alle übertragenen Transaktionsdaten mit Triple-DES (3DES). Hier wurde bewusst eine transparente und anwendungsunabhängige Lösung realisiert, um eine Homogenität innerhalb der Niedersächsischen Landesverwaltung auch für künftige Applikationen zu garantieren. Zwischenzeitlich sichert der SECUDE SecureTransportProvider auch andere Client/Server-Applikationen. Weitere Entscheidungskriterien waren die Verwendung von SSL als Standardprotokoll mit bekannt sicheren Kryptoalgorithmen und eine einfache Administrierbarkeit. So könnten die Administratoren beispielsweise über einen Systemrichtlinieneditor die Cipher Suites einfach austauschen, falls das einmal notwendig werden sollte.
Vor der eigentlichen Implementierung der Lösung wurden die spezifizierten Anforderungen in einer so genannten Technikfolgenabschätzung (TFA) formuliert und mit dem Niedersächsischen Landesbeauftragten für den Datenschutz abgestimmt. Eine große Schwierigkeit war es dann, die Vielzahl der beteiligten Abteilungen zu koordinieren: UNIX, Client/Server-Systeme, Beratung, Datenschutz, CallCenter, Dokumentation usw. Dazu hat das Niedersächsische Finanzministerium als Auftraggeber einen Projektleiter nebst Projektgruppe bestimmt. Der ausführende Landesbetrieb, das Informatikzentrum Niedersachsen (izn), stellte technische Arbeitsgruppen zusammen, um Reibungsverluste durch Kompetenzkonflikte zu verhindern.
Da das izn im Umgang mit chipkartenbasierten Security-Systemen kaum Erfahrungen hatte, war es sehr wichtig, in die Erstimplementierungsphase eine Vielzahl von Mitarbeitern einzubeziehen, und zwar nicht nur Techniker und Informatiker, sondern vor allem auch Verwaltungsfachleute. Somit lag dem izn schon vor der eigentlichen Einführung von P53 ein erstes Anwenderfeedback vor, was sich vor allem bei der Umsetzung von Anforderungen an die Chipkartenverwaltung (PSE-Management) als vorteilhaft erwiesen hat. Viele der hieraus resultierenden Anregungen sind in das SECUDE-Produkt PSE-Management eingeflossen.
Während der Implementierung vor Ort in den einzelnen Landesbehörden war man auf eine enge Zusammenarbeit mit den Dienststellenadministratoren angewiesen, die letztlich die Security-Software auf den Client-PCs installieren mussten. Zumindest in den Fällen, wo keine vorgefertigten Festplatten-Images eingesetzt werden konnten.
Hier zeigte sich, wie wichtig gute Dokumentationen sind. In der Vorbereitungsphase wurde versucht, die Informationen so detailliert wie möglich zu gestalten und vor allem auch für "normale" Anwender lesbar und verständlich zu halten. Denn in vielen kleineren Dienststellen sitzen keine ausgebildeten Administratoren; dort übernehmen Verwaltungsfachleute die entsprechenden Aufgaben zusätzlich.
Ein großes Problem beim Roll-out war sicherlich der Umfang der Security-Komponenten: Bis zu sechs verschiedene Module mussten installiert werden. Für ein interaktives Setup-Paket war leider keine Zeit, denn die neue Software musste zwingend zum 01.01.2000 funktionstüchtig bereitstehen, weil das alte Haushaltswirtschaftssystem nicht Jahr-2000-kompatibel war.
Gerade in Konfigurationsfragen (etwa welche Algorithmen, Serverprofil oder lokales Profil usw. bei der SSL-Verschlüsselung einzusetzen sei) zeigten sich alsbald die Grenzen der Dokumentation: Sind sie zu umfangreich, werden sie nicht mehr gelesen, weil der Griff zum Telefon als kürzerer Weg zum Ziel erscheint. In der Folge konnten sich die Implementierer der ersten Stunde über Wochen fast nur noch mit Second-Level-Supprt beschäftigen.
Der First-Level-Service funktionierte hingegen glänzend über das CallCenter, welches allerdings auch zuvor extra in seiner Personalstärke erweitert worden war. Teilweise müssen jedoch auch heute die Fachimplementierer noch Detailfragen zu dem System beantworten, woran sich wiederum zeigt, dass man nie genug Mitarbeiter an Spezialwissen teilhaben lassen kann. Eine große Wissensstreuung entlastet jeden einzelnen Mitarbeiter. Wer zuviel Exklusivwissen hat, muss alles selbst erledigen.
Jeder PC für das automatisierte Haushaltswirtschaftssystem ist mit folgenden Sicherheitskomponenten ausgestattet:
Die Signatur-Chipkarte musste zunächst einmal eine Bestätigung nach dem SigG haben. Zudem sollte sie das so genannte Null-PIN-Verfahren unterstützen, bei dem die PIN erst während der erstmaligen Nutzung durch den Anwender generiert wird. Durch dieses Verfahren konnte die unsichere postalische Übersendung von PIN-Briefen entfallen. Eine Mindestlänge von sechs Zeichen für die PIN war ebenso obligatorisch wie ein Fehlbedienungszähler, der sich auf maximal drei Fehlversuche beschränkt und nicht durch eine Master-PIN zurückzusetzen ist. Unabdingbare Voraussetzung war weiterhin eine Trennung von Signatur- und Chiffrierschlüsseln auf dem Chip. Die Wahl der persönlichen Sicherheitsumgebung (PSE) fiel auf die "SignaturCard" der Deutschen Telekom/TeleSec.
Es zeigte sich sehr schnell, dass Chipkarten in Deutschlands Verwaltung noch ein sehr unbekanntes Medium sind. Viele Dinge, die man eigentlich als Selbstverständlichkeit betrachtete, mussten den Anwendern explizit erklärt werden – zum Beispiel das richtige Einführen der Chipkarte in den Leser.
Die meisten Probleme traten bei der Freischaltung der Chipkarten auf: In einigen Fällen führten Konzentrationsfehler während der PIN-Interaktionsmenüs zu einer umgehenden Kartensperrung, weil die erlaubten Fehlversuche überschritten wurden. Zudem kam es in wenigen Fällen zu Anwenderfehlern bei der Zuordnung von PSE-Anmeldenamen zum Zertifikat (das verwendete PSE-Management kann mehrere Chipkartennutzer verwalten, die dann allerdings das Freischaltungsprocedere für jeden Anmeldenamen erneut durchführen müssen).
Intensive Tests hatten gezeigt, dass PC/SC-Leser während eines Signaturvorgangs um ein Vielfaches schneller arbeiten als Kartenleser nach dem B1-Standard. Das Terminal sollte überdies aus Gründen der Investitionssicherheit alle gängigen Smartcards, Standards und Protokolle unterstützen. Zudem sollten die Geräte dem Anwender deutlich den Betrieb und die Zugriffe auf die Chipkarte anzeigen, möglichst mit unterschiedlich farbigen Leuchtdioden. Auch Usability-Aspekte spielten eine große Rolle: Wie kann der Leser befestigt werden? Kann ein Datenkabel die gesamte Stromzufuhr bewältigen? Ist das Anschlusskabel lang genug und übersteht der Leser auch einen Sturz vom Schreibtisch? Das izn hat sich letztlich für einen Kartenleser der Firma Utimaco Safeware entschieden.
![[Foto: Chipkartenterminal]](8-2.jpg)
Die ausgewählten Kartenleser signalisieren dem Benutzer
wichtige Betriebszustände per farbiger LED.
Hier arbeiten das Modul PPM Digitale Signatur der Firma BaaN unter Nutzung einer SECUDE-Funktionsbibliothek, der SECUDE Secure Transport Provider als Verschlüsselungskomponente und darin integriert das PSE-Management. Vor allem Letzteres sollte besonders benutzerfreundlich sein: möglichst einfaches Freischalten der Karte und dem Anwender alle Informationen bieten, die er für eine reibungslose Interaktion benötigt. Eine PIN-Änderung sollte beispielsweise nur maximal zwei Schritte in Anspruch nehmen. Von überaus großer Bedeutung war für die Auswahl auch ein Warnhinweis, der den Anwender nach zwei Fehlversuchen auf seinen letztmöglichen Eingabeversuch hinweist, bevor die Karte dauerhaft gesperrt wird.
Die Aufgaben eines Trust Centers, also Benutzerregistrierung, Schlüsselgenerierung und Zertifizierung, nimmt die von der Regulierungsbehörde für Telekommunikation und Post (RegTP) akkreditierte Zertifizierungsstelle der Deutschen Telekom AG (Produktzentrum TeleSec) wahr. Die Schlüssel werden durch ein Zertifikat dem P53-Anwender als natürliche Person fest zugeordnet.
Der Abschluss eines Rahmenvertrages zwischen dem Land Niedersachsen und der Deutschen Telekom ermöglicht allen künftigen Anwendern des Systems die dienstliche Nutzung der SignaturCard. Die Vertragsparteien haben dabei vereinbart, dass das Land Niedersachsen seine Bediensteten von sämtlichen Haftungsansprüchen freistellt. Die Kosten der Nutzung des Verfahrens trägt das Land.
Dennoch muss jeder Anwender nach Maßgabe des Signaturgesetzes seine SignaturCard unter Vorlage eines Formulars und eines amtlichen Identitätsnachweises persönlich beantragen. Die Anträge nimmt jeder T-Punkt der Deutschen Telekom AG entgegen. Darüber hinaus hat das Land Niedersachsen mit der Deutschen Telekom vereinbart, dass bei größeren Dienststellen so genannte mobile T-Punkte eingerichtet werden können, um die Antragsaufnahme zu beschleunigen und die Abläufe für die Beschäftigten komfortabler zu gestalten. Die TeleSec versendet dann die SignaturCards unmittelbar an die Bediensteten.
Da es das erste Mal war, dass eine derartig große PKI an einem Public-Key-Verfahren teilnimmt, kam es naturgemäß zu einigen kleineren Problemen bei der Antragsabwicklung. So gab es beispielsweise einige Kritik bezüglich des Umfanges der Karten-Anträge, die mehrere Seiten lang persönliche Informationen des Nutzers erfragen, unter anderem die Personalausweisnummer und das Geburtsdatum. Zudem muss der Anwender ein "Telepasswort" vereinbaren, das nur ihm und der Telekom bekannt ist und den Schlüsselinhaber im Falle einer Kartensperrung authentifiziert.
Da die Formulare nicht auf die Bedürfnisse des öffentlichen Dienstes angepasst werden konnten, hatte das izn entschieden, den Antragsmappen vollständig ausgefüllte Musteranträge und zusätzliche Ausfüllhinweise beizulegen, um damit schon im Vorfeld Missverständnisse auszuschließen. Trotzdem gab es in der Anfangsphase Nachfragen zu den Formularen, die schließlich zwei volle DIN-A4-Seiten umfassten.
Nach dem Ausfüllen müssen die Anwender in spe ihre SignaturCard-Anträge einer Telekom-Registrierungsstelle vorlegen (normalerweise den T-Punkt-Filialen); dabei findet auch eine Sichtkontrolle sowie der Abgleich der Personalausweisdaten statt. Schwierig war es für die einzelnen Dienststellen des Landes, die Abgabe der Anträge in den Registrierungsstellen zu organisieren. Obwohl die Telekom ihre Filialmitarbeiter durch Schulungen und gezieltes Briefing gut vorbereitet hatte, wäre es sicherlich in einigen Städten zu Problemen gekommen, wenn dort größere Behörden geschlossen zur Registrierung erschienen wären. Vornehmlich bei größeren Behörden (z. B. den Bezirksregierungen) und Dienststellen, in deren näherer Umgebung kein T-Punkt vorhanden war, kamen daher die mobilen T-Punkte zum Einsatz.
Insgesamt zeigte sich die Telekom auf den Ansturm der P53-Anwender gut vorbreitet, besonders wenn man bedenkt, dass die Telesec vorher nur einige Hundert SignaturCard-Nutzer hatte. Um das Antragsverfahren noch komfortabler zu gestalten und weiter zu beschleunigen, wird das izn im Rahmen eines Piloteinsatzes ab Juli 2001 selbst Registrierungsstelle (LandesRA) für das TeleSec Trust Center. Hierfür wurden Mitarbeiter eigens ausgebildet. Künftig können Landesbedienstete, die an den Fortbildungsmaßnahmen (bspw. P53-Schulungen) des Hauses teilnehmen, dann gleichzeitig ihre SignaturCard beantragen und sich einen Dienstgang zum nächstgelegenen T-Punkt sparen.
Bei der Authentifikation gab es Irritationen, die den Anmeldeprozess betrafen: P53-Nutzer müssen sich zunächst mit ihrer PIN gegenüber der Chipkarte authentifizieren (Anmeldename/Passwort) und danach nochmals in der Fachapplikation mit Benutzername/Passwort anmelden. Zwei verschiedene interaktive Authentifizierungsvorgänge zu bewältigen, führte in einigen Fällen zu Verwechselungen der Passwörter. Um das in Zukunft zu vermeiden, will das izn in Kürze ein Single-Sign-on-Verfahren einführen, bei dem sich der Anwender nur noch per PIN gegenüber der Chipkarte authentifizieren muss.
In der Fachanwendung gab es aus Security-Sicht hingegen kaum Komplikationen. Die Anwender loben die gute Umsetzung der digitalen Signatur in die BaaN-Applikation. Bei der Freigabe einer Kassenanordnung erzwingt das Programm unmittelbar den Aufruf der Signaturkomponente. Der Benutzer wird vor Abschluss des Buchungsvorgangs aufgefordert seine PIN einzugeben, um so den Transfer der Kassendaten zu signieren. Erst anschließend gibt die Software den Beleg zur Zahlbarmachung frei. Die Performance des Signaturprozesses ist mehr als akzeptabel und behindert den Anwender in keinster Weise, die Zeitverzögerung ist nur minimal. Die SSL-Authentifikation verläuft üblicherweise völlig unbemerkt im Hintergrund.
Ein weiterer wesentlicher Ansatz der P53-Projektidee besteht darin, mit der Einführung des neuen Systems sowohl die Grundlage für die datentechnische Einbindung einer Vielzahl von Behörden in das Landesdatennetz zu schaffen als auch eine verbesserte Ausstattung eines erheblichen Anteils der insgesamt etwa 55 000 Büroarbeitsplätze zu ermöglichen.
![[Prognose Anzahl SignaturCards: Q3/2000 ca. 8000, Q3/2001 ca. 14000; Anzahl Dienststellen: Q3/2000 ca. 350, Q3/2001 ca. 700]](8-3.jpg)
Bis zum Jahresende sollen fast 15 000 Arbeitsplätze
für die digitale Signatur ausgerüstet sein.
Bereits Anfang Januar 2001 haben 11 500 Bedienstete im Rahmen des automatisierten Haushaltswirtschaftssystems mit der SignaturCard und den erforderlichen Sicherheitskomponenten gearbeitet. Die Anwenderzahl bei den mittelbewirtschaftenden Stellen soll bis zum Jahresende auf circa 15 000 anwachsen. Bei einem Großteil dieser Arbeitsplätze sollen die Sicherheitskomponenten zur E-Mail-Kommunikation und Datenablage parallel mitgenutzt werden.
Mittlerweile hat das izn in Zusammenarbeit mit der Koordinierungsstelle IuK des Niedersächsischen Finanzministeriums ein Pilotprojekt ins Leben gerufen, das innerhalb von Microsoft Outlook ein SECUDE Plug-in (AuthentEmail) zur Signatur und Verschlüsselung von E-Mail-Nachrichten testet. Den Schutz gespeicherter Dateien soll testweise ein weiteres Add-in von SECUDE (FileSafe) in Microsoft Word, Excel, PowerPoint und dem Microsoft Windows Explorer ermöglichen. Beide Programme greifen dabei wiederum auf die SignaturCard der TeleSec zurück.
Holger Meyer ist Berater für Datenschutz und
Sicherheit von IuK-Technik im Informatikzentrum Niedersachsen
(izn).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2001, Seite 8
