BSI-Forum
Kabinettbeschluss zur elektronischen Signatur
Von Jörg-Udo Aden, Bundesministerium des Innern
Die Bundesregierung hat am 16. Januar 2002 den Beschluss zur
Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit
der Bundesverwaltung gefasst. Dieser Artikel stellt die
E-Government-Initiative BundOnline 2005 und die Bedeutung des
Beschlusses hierfür dar. Der Beschluss wird erläutert und
weitere Aktivitäten vorgestellt.
Laut einer Forsa-Studie sind derzeit zwei Fünftel der
Bundesbürger über 14 Jahre online. E-Mail-Kommunikation
und die elektronische Abwicklung alltäglicher Geschäfte
sind "normal" geworden. 58 Prozent der Internet-Nutzer
gehen davon aus, dass sich bereits in diesem Jahr viele wichtige
Verwaltungsangelegenheiten online erledigen lassen. Die
Erwartungshaltung der Bürgerinnen und Bürger wird noch
übertroffen von der Bereitschaft, solche Online-Angebote auch
tatsächlich zu nutzen. Mehr als drei Viertel der Bürger
möchten der Umfrage zufolge beispielsweise Auto-Ummeldungen im
Internet abwickeln.
Die Bundesregierung fördert diese Entwicklung. Ein
wichtiges Beispiel hierfür ist die E-Government-Initiative
BundOnline 2005, mit der sich die Bundesregierung verpflichtet hat,
über 350 Dienstleistungen der gesamten Bundesverwaltung bis
Ende 2005 online im Internet bereitzustellen. Im November 2001 hat
das Bundeskabinett hierzu einen umfassenden und
ressortübergreifenden Umsetzungsplan beschlossen.
Ein wichtiger Bestandteil sind die so genannten
Basiskomponenten: Module, die für viele
E-Government-Anwendungen gebraucht werden. Diese Basiskomponenten
werden zentral bereitgestellt:
- Datensicherheit
- Zahlungsverkehrsplattform
- Content Management System
- Formularserver
- Call Center
- Portal www.bund.de
IT-Sicherheit
Die Basiskomponente Datensicherheit spiegelt die hohe
Bedeutung der IT-Sicherheit beim E-Government wider. Die Menschen
werden die neuen Möglichkeiten der elektronischen
Kommunikation nur nutzen, wenn sie Vertrauen in ihre Sicherheit
haben. Das gilt beim E-Mail-Verkehr genauso wie für
webbasierte E-Government-Dienstleistungen.
Das Bundeskabinett hat daher am 16. Januar 2002 den Beschluss
der Bundesregierung zur Sicherheit im elektronischen Rechts- und
Geschäftsverkehr mit der Bundesverwaltung gefasst. Ein
wesentliches Anliegen ist die Einführung der digitalen
Signatur beziehungsweise – wie es seit der EG-Richtlinie
heißt – elektronischen Signatur. Der Beschluss schafft
gleichzeitig die Grundlage für die Ausgestaltung der
Basiskomponente Datensicherheit.
Die elektronische Signatur ist das wesentliche Instrument zur
Gewährleistung der Integrität (Schutz vor Manipulation)
und der Authentizität (Schutz vor gefälschter
Identität/Herkunft) elektronischer Nachrichten und ihrer
Verfasser. In der Praxis steht die Signatur in engem Zusammenhang
mit der Verschlüsselung (Schutz der Vertraulichkeit).
Schließlich muss die Verfügbarkeit (Schutz vor Ausfall
der IT-Systeme) durch geeignete IT-Grundschutzmaßnahmen
gewährleistet sein. Mit dem Kabinettbeschluss hat die
Bundesregierung ein Gesamtkonzept dafür vorgelegt.
Vertraulichkeit, Integrität, Authentizität und
Verfügbarkeit bei der elektronischen Kommunikation
- von der Bundesverwaltung zu ihrem Kommunikationspartner
und
- zurück zur Bundesverwaltung
werden sichergestellt.
Ausgangssituation
Schon 1997 wurde in Deutschland der rechtliche Rahmen für
den Einsatz elektronischer Signaturen geschaffen. Signatur und
Verschlüsselung werden in einzelnen Anwendungen genutzt. Die
Bundesregierung hat in mehreren Projekten die elektronische
Signatur getestet und ihren Einsatz gefördert, beispielsweise
in MEDIA@Komm-Projekten für den Einsatz der Signatur bei
kommunalen E-Government-Anwendungen und dem Projekt SPHINX für
sicheren E-Mail-Austausch.
Aber es hat sich noch kein breiter Markt entwickelt. Der
Durchbruch für den breiten und flächendeckenden Einsatz
sicherer Verfahren für den elektronischen Rechts- und
Geschäftsverkehr ist noch nicht geschafft. Anliegen des
Beschlusses ist es, die verschiedenen Aktivitäten zu einer
kohärenten Gesamtlösung zusammenzuführen und das
weitere Vorgehen für die Bundesverwaltung festzuschreiben.
Mit dem Kabinettbeschluss wird verdeutlicht, dass die
Zusammenarbeit aller Beteiligten – Wirtschaft, Anwender und
Verwaltungen – für eine erfolgreiche Umsetzung
unabdingbar ist. Die Bundesregierung bietet den Herstellern und
Verbänden eine umfassende Zusammenarbeit an. Mit dem Beschluss
verfolgt die Bundesregierung drei Ziele:
1 E-Mail-Sicherheit wird flächendeckend eingeführt
– IT-Grundschutz
Die Bedeutung einfacher E-Mails steigt – auch in der
Kommunikation zwischen Bürger und Verwaltung. Daher will die
Bundesregierung Vertraulichkeit, Integrität und
Authentizität des E-Mail-Verkehrs möglichst
flächendeckend gewährleisten. Das gilt nicht nur
innerhalb der Verwaltung, sondern auch mit Dritten. Hinsichtlich
der Signatur (Integrität und Authentizität) gilt hierbei,
dass in der Regel keine Formvoraussetzungen zu beachten sind; im
Vordergrund steht die Verschlüsselung zur Gewährleistung
der Vertraulichkeit. Daher können so genannte fortgeschrittene
Signaturen gemäß Signaturgesetz zur Anwendung kommen.
Diese funktionieren auch ohne Chipkarte und können daher
einfach, schnell und kostengünstig eingeführt werden.
Die Bundesverwaltung strebt an, bis Ende 2003 in allen
Bundesbehörden die Arbeitsplätze mit Software für
E-Mail-Sicherheit auszustatten, sodass die Mitarbeiter ihre E-Mails
verschlüsseln und verschlüsselte E-Mails der Bürger
empfangen können.
2 Qualifizierte elektronische Signaturen bei
E-Government-Dienstleistungen, wo es erforderlich oder geboten
ist
Der Einsatz qualifizierter Signaturen ist anwendungsbezogen zu
entscheiden. Sie sind insbesondere dann erforderlich, wenn die
jeweiligen Gesetze eine Schriftform vorsehen
(Rechtsverbindlichkeit) oder falls eine Erhöhung der
Beweiskraft geboten ist. Qualifizierte Signaturen erfordern
persönliche Chipkarten, auf denen der individuelle
Schlüssel des Nutzers besonders sicher abgespeichert ist.
Bei einem Viertel der über 350 Dienstleistungen von
BundOnline 2005 wird voraussichtlich die qualifizierte
elektronische Signatur erforderlich sein. Ein Beispiel ist die
elektronische Ausschreibung und Beschaffung, wo die
eigenhändige Unterschrift rechtlich vorgeschrieben ist.
3 Verhinderung von Wildwuchs durch die Festlegung einheitlicher
technischer Standards
Wirtschaft und Verwaltung haben sich auf die Verwendung der
globalen Internet-Standards S/MIME für den sicheren
E-Mail-Verkehr und X.509v3 für die Zertifikate
verständigt. Diese werden durch den so genannten
ISIS-MTT-Standard ergänzt (vgl. KES 2001/5, S. 72), der
die Chance bietet, Zertifizierungsinfrastrukturen und elektronische
Signaturen mit unterschiedlichem Sicherheitsniveau flexibel auf
einer einheitlichen Basis einzuführen. Hierzu stehen die
zuständigen Bundesministerien des Innern und für
Wirtschaft und Technologie in einem sehr konstruktiven Dialog mit
der Wirtschaft. Diese tritt dabei nicht nur als Anbieter von
Produkten, sondern auch als Anwender auf, mit ähnlichen
Sicherheitsbedürfnissen wie die Verwaltung. Und die Systeme
müssen zusammenpassen.
Das Bundesministerium für Wirtschaft und Technologie
fördert die Definition von ISIS-MTT sowie die Einrichtung
eines Testcenters im Rahmen von MEDIA@Komm. Mit dem Beschluss setzt
die Bundesregierung ein Signal für mehr Sicherheit beim
elektronischen Geschäftsverkehr, ohne den Bürgerinnen und
Bürgern oder der Wirtschaft kostenträchtige Investitionen
aufzubürden.
Ein Leitprinzip des Beschlusses ist es, dass jeder
grundsätzlich selbst über das für ihn angemessene
Sicherheitsniveau entscheiden können soll. Der Beschluss
spricht hier von anwendungsbezogen angemessener Sicherheit.
Das ermöglicht größtmögliche
Wirtschaftlichkeit.
So wie im normalen Briefverkehr soll es auch bei der
elektronischen Kommunikation gehandhabt werden: Eine E-Mail-Anfrage
kann weiterhin "einfach so" geschickt werden, aber die
Verwaltung wird schrittweise auch vom Bürger
verschlüsselte Anfragen akzeptieren, etwa mit
persönlichen Daten. Umgekehrt werden die Bundesbehörden
nach und nach auch verschlüsselte E-Mails versenden, sofern
der Bürger sein Zertifikat der Behörde zur Verfügung
stellt.
Ähnliches gilt für die elektronische Signatur: Die
Verwaltung wird ihre Dokumente – entsprechend den jeweils
vorhandenen technischen Möglichkeiten – elektronisch
signieren und auch die Signatur prüfen, sofern die Zertifikate
verfügbar sind. Und für bestimmte Anwendungen kommen
qualifizierte elektronische Signaturen zum Einsatz, die die gleiche
Rechtsverbindlichkeit haben wie eine handschriftliche
Unterschrift.
Weitere Schritte
Die genannten Leitlinien müssen nun bei der Implementierung
von E-Government-Dienstleistungen und bei der Einführung von
E-Mail-Sicherheit beachtet werden. Hierbei wird auf bereits
geschaffene, sich ergänzende und auf Basis von ISIS-MTT
interoperable Zertifizierungsinfrastrukturen aufgebaut:
- Zertifizierungsinfrastruktur gemäß Signaturgesetz:
Nach dem Signaturgesetz ist die Regulierungsbehörde für
Telekommunikation und Post (RegTP) für die Zertifizierung der
öffentlichen Schlüssel von akkreditierten
Zertifizierungsdiensteanbietern zuständig. Sie hat
darüber hinaus die Aufsicht über alle Anbieter von
Zertifikaten für qualifizierte elektronische Signaturen.
- PKI "Verwaltung": Für die
Kommunikationssicherheit auf Basis von
IT-Grundschutzmaßnahmen (insbesondere E-Mail-Sicherheit) in
der öffentlichen Verwaltung in Deutschland wurde die
Verwaltungs-PKI eingerichtet, die die Einhaltung von Sicherheits-
und Interoperabilitätsstandards, auch für so genannte
technische Signaturen (Server/Server-Kommunikation)
gewährleistet. An der Verwaltungs-PKI beteiligen sich nach
einem Beschluss des Kooperationsausschusses ADV
Bund/Länder/kommunaler Bereich auch Länder und Gemeinden.
Damit wird eine Grundlage für den IT-Grundschutz bei der
sicheren Kommunikation der öffentlichen Verwaltung in
Deutschland geschaffen.
- European Bridge-CA: Durch das Konzept der Bridge Certification
Authority (Bridge-CA, www.bridge-ca.org, s. a. S. 22), einer Initiative von
Wirtschaft und Verwaltung zur Verknüpfung verschiedener
Zertifizierungsinfrastrukturen, wird Kommunikation über
Verwaltungs- und Unternehmensgrenzen hinweg erleichtert. Die
Bridge-CA unter Schirmherrschaft von Bundesinnenminister Otto
Schily wird vom TeleTrusT Deutschland e.V. getragen.
Als Voraussetzung für eine sichere und nutzerfreundliche
E-Mail-Kommunikation zwischen Bund, Ländern und Einrichtungen
des kommunalen Bereichs wird ein Verzeichnisdienstkonzept
erarbeitet, das ein automatisches Zugreifen auf die Zertifikate der
Kommunikationspartner ermöglicht. Entsprechend wird auch der
Zugriff auf die Zertifikate und Sperrlisten anderer
Zertifizierungsinfrastrukturen über die Bridge-CA
erfolgen.
Ein zentrales Modul ist die so genannte virtuelle
Poststelle. Sie wird zentral bereitgestellt und dezentral in
den einzelnen Behörden eingesetzt und soll Aufgaben der Ver-
und Entschlüsselung, Signaturprüfung und -bildung,
Virenprüfung, Archivierung und Zeitstempelung übernehmen.
Die Implementierung der Module wird Zug um Zug erfolgen und derzeit
im BSI konzipiert. Ein erster Schritt wird die Ausstattung der
Bundesbehörden-Poststellen mit Produkten zur E-Mail-Sicherheit
sein. Damit wird die Übersendung verschlüsselter E-Mails
an die Behörden möglich.
Zentrale Bedeutung hat die Bündelung von Infrastrukturen
(Zertifizierungsinfrastrukturen und Chipkarten). Derzeit wird
untersucht, welche vorhandenen Infrastrukturen genutzt werden
können, um Zertifikate und kryptografische Schlüssel
für Signatur und Verschlüsselung von
E-Government-Dienstleistungen zur Verfügung zu stellen.
Erfolgversprechend scheint die Verwendung von Bankkarten, die
mit Signaturfunktion ausgestattet sind. Signaturschlüssel und
weitere kryptografische Schlüssel könnten gemeinsam mit
EC- und Geldkartenfunktion auf einer Karte angeboten werden, die
damit für die Bürgerinnen und Bürger attraktiv
wäre, wenn sie den Schlüssel zu vielen interessanten
E-Government-Dienstleistungen böte. Grundsätzlich soll
allen Infrastruktur-(Chipkarten-)Anbietern die Möglichkeit
gegeben werden, Zertifikate und kryptografische Schlüssel
für E-Government-Dienstleistungen anzubieten.
Aus den Ausführungen ergibt sich, dass die Einführung
von Signatur und Verschlüsselung bei
E-Government-Dienstleistungen und der E-Mail-Sicherheit nur in
enger Zusammenarbeit mit den Ländern und Kommunen sowie mit
der Wirtschaft erfolgen kann. Dieses wird über den
Kooperationsausschuss ADV Bund/Länder/kommunaler Bereich sowie
über intensive Zusammenarbeit mit den Herstellerverbänden
sichergestellt.
Weiterführende Informationen
- [1]
- Kabinettbeschluss zur Sicherheit im elektronischen Rechts- und
Geschäftsverkehr mit der Bundesverwaltung vom 16. Januar 2002,
![[externer Link]](../../../../images/link.gif)
www.bmi.bund.de/Annex/de_16048/Kabinettbeschluss_zur_digitalen_Signatur.pdf
- [2]
- Koordinierungs- und Beratungsstelle der Bundesregierung
für Informationstechnik in der Bundesverwaltung, www.kbst.bund.de
- [3]
- E-Government-Initiative BundOnline 2005, BundOnline 2005
– Umsetzungsplan für die E-Government-Initiative, www.bundonline2005.de
- [4]
- SPHINX, www.bsi.bund.de/aufgaben/projekte/sphinx/
- [5]
- Elektronische Signatur, www.bsi.bund.de/esig/
- [6]
- Signaturgesetz (SigG) und Signaturverordnung (SigV) sowie
weitere Informationen zum Thema
Informationsgesellschaft/Medienrecht, www.bmwi.de/Homepage/Politikfelder/Informationsgesellschaft/Medienrecht/Medienrecht.jsp
- [7]
- Studie Einsatzmöglichkeiten der elektronischen Signatur in
öffentlicher Verwaltung und Wirtschaft, www.bmwi.de/Homepage/Politikfelder/Informationsgesellschaft/infogesellschaft1.jsp
(unter "Sicherheit im Internet")
- [8]
- Entwurf Drittes Gesetz zur Änderung
verwaltungsverfahrensrechtlicher Vorschriften (3. VwVfÄndG),
www.bmi.bund.de/dokumente/Artikel/ix_49955.htm
- [9]
- ISIS-MTT 1.01 Release, www.t7-isis.de/ISIS-MTT/isis-mtt.html
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/2, Seite 19
Zurück zum
Inhalt 
