Systeme und ihr Umfeld

Projektbericht

Zeitsignatur beim Beschaffungsamt des BMI

Von Doris Jessen, Hamburg

Das Bundesinnenministerium hat im Jahr 2000 das Projekt "Öffentlicher Eink@uf Online" ins Leben gerufen, das eine elektronische Angebotsabgabe für öffentliche Ausschreibungen ermöglicht. Hierzu nutzt das Beschaffungsamt des BMI beweiskräftige elektronische Zeitstempelverfahren.

Seit Mai 2002 kauft das Beschaffungsamt des Bundesministerium des Innern (BMI) als eine der ersten Behörden Deutschlands online ein. Dazu gehört auch der elektronische Austausch rechtsgültiger Verträge. Charakteristisch für Vergabeverfahren von Behörden sind strikte Fristen für die Angebotsabgabe, die an einem bestimmten Termin enden. Zu spät eingegangene Angebote dürfen bei der Prüfung und Wertung nach dem Vergaberecht nicht berücksichtigt werden. Daher sind verbindliche Eingangsstempel vonnöten. Alle abgegebenen Angebote werden in der Angebotssammelstelle bis zum Öffnungstermin zunächst nur verwahrt. So auch bei der elektronischen Variante: Die Angebote erhalten eine Zeitstempelsignatur und lassen sich nur öffnen, wenn sich zwei Mitarbeiter gleichzeitig mit ihrer Signaturkarte anmelden.

Verfahrensablauf und verwendete Protokolle bei "Öffentlicher Eink@uf Online"

Das Verfahren "Öffentlicher Eink@uf Online" besteht aus vier Elementen: der Kommunikation zwischen Bedarfsträger und Beschaffungsamt, dem elektronischen Vergabe-Modul, der E-Vergabe-Plattform und dem virtuellen Marktplatz. Wer sich im Netz um öffentliche Aufträge bewerben möchte, meldet sich bei der Vergabeplattform an und bekommt dann die notwendige Zugangssoftware, mit der er sich an dem Verfahren beteiligen kann. Der Unternehmer muss sich eine Signaturkarte und ein Chipkartenterminal bei einem Trustcenter besorgen; auch die Rechner der Vergabestellen sind mit Chipkarten ausgestattet. Die Software übernimmt auf beiden Seiten die Kommunikation mit dem Web-Server und sorgt für eine gesetzeskonforme elektronische Unterschrift und starke Verschlüsselung.

Damit der Bieter sicher sein kann, dass sein verschlüsseltes Angebot an die richtige Adresse übertragen wurde, authentifiziert sich die Vergabeplattform gegenüber dem Client per SSL-Zertifikat. Zusätzlich erhält er eine signierte elektronische Quittung über sein Angebot. Um die Fristeinhaltung zu protokollieren, nutzt das System einen elektronischen Zeitstempel auf Basis gesetzeskonformer digitaler Signaturen.

"Für die höchstmögliche Sicherheit und Verfügbarkeit der Zeitstempel werden in der E-Vergabe zwei Verfahren genutzt", erklärt Monika Elschner, Leiterin des Projektes. "Zum einen nimmt die Vergabeplattform über das Internet Verbindung mit dem externen Zeitstempeldienst eines Trustcenters auf. Zusätzlich – und um einen eventuellen Ausfall des Zeitstempeldienstes abzusichern – haben wir lokal eine Trustbox TSS 380 des Hamburger Anbieters timeproof in das System integriert, die jeden Angebotseingang automatisch 'zeitstempelt'. Um auch den Ausfall dieses Systems abzusichern, ist eine Backup-Lösung durch eine redundante Trustbox vorhanden."

Das Beschaffungsamt des BMI hat sich für die timeproof-Lösung entschieden, weil sie derzeit in Deutschland das einzige autarke System darstellt, das der Anwender mittels Programmierschnittstelle in seine bestehenden Anwendungen integrieren und selbstständig betreiben kann. Diese ist in C und Java für verschiedene Plattformen implementiert und ließ sich auf den vorhandenen Linux-Systemen einfach integrieren. Außerdem: "Ein ganz wichtiges Kriterium war, dass die Trustbox konform zum Deutschen Signaturgesetz arbeitet, und nach ITSEC E2-hoch evaluiert ist. Dazu kommt die hohe Signiergeschwindigkeit und die leichte Bedienbarkeit der Systeme," begründet Monika Elschner abschließend.

Die timeproof Trustbox TSS 380

Marcus Förster, Produktmanager bei der timeproof GmbH, erklärt die relativ junge Technik: "Zeitsigniersysteme liefern eine auf der gesetzlich gültigen Zeit basierende, durch Hardware gesicherte Zeitinformation. In Deutschland empfangen solche Systeme über Antenne die öffentlich zugänglichen, gesetzlich gültigen und anerkannten DCF77-Zeitsignale der Physikalisch-Technischen Bundesanstalt. Eine andere Möglichkeit ist der Empfang von GPS-Signalen, die über Satellit weltweit verfügbar sind. Mittels interner, voneinander unabhängiger Uhren wird das eingehende Signal auf Richtigkeit und Plausibilität kontrolliert. Durch die gekapselte Hardware ist das System – und damit die protokollierte Zeit – manipulationssicher."

Eine interne nicht-funkgesteuerte Kontroll-Uhr ist notwendig, um beispielsweise eine Manipulation der "gestempelten" Zeit durch Einspielen gefälschter Funksignale zu verhindern. Die Differenz zwischen Zeitsignal [1] und interner Zeit darf einen Grenzwert nicht überschreiten. Dieser ist abhängig von der Quarzgenauigkeit des internen Systems. Ein Überwachungs- und Regelalgorithmus sorgt dafür, dass ein externes "Wegziehen" der Zeit oder ein Zeitsprung auffallen. Erkennt das System eine Manipulation des externen Signals, so schaltet es in den Status "falsche Frequenz" und setzt die funkgesteuerte Nachregelung außer Betrieb. Die interne Uhr läuft weiter und liefert dennoch – innerhalb ihrer eigenen Quarzgenauigkeit – die gesetzlich gültige Zeit.

Das komplette Zeitsignatursystem besteht aus der so genannten Trustbox, welche die Zeitsignale empfängt, einem Protokollserver und (optional) einem Kommunikationsserver sowie den PC-Clients der Anwender. "Unsere Trustbox enthält die Uhrenmodule, acht Steckplätze für Signatur-Smartcards, den Controller mit der Firmware sowie einen Touch-Screen mit LC-Display, auf dem sich unterschiedliche Menüs zum Status des Systems abrufen lassen. Die Initialisierung bei der Inbetriebnahme der Box erfolgt durch zwei Administratoren, die sich per Passwort anmelden müssen. Eventuelle Statusänderungen, beispielsweise abgelaufene Smartcards oder Empfangsstörungen für das Zeitsignal, sendet ein Statusagent per E-Mail an die zuständigen Administratoren", so Marcus Förster.

Soll ein Dokument eine Zeitsignatur erhalten, so generiert die Client-Applikation auf dem PC des Bieters zunächst eine kryptographische Prüfsumme (Hash-Wert) des Dokumentes. Nur dieser Hash-Wert – nicht das gesamte Dokument – geht über den Protokollserver an die Trustbox. Über den erhaltenen Hash-Wert, den Zeitpunkt seines Eintreffens in der Trustbox und weitere, vom Signaturaustauschformat festgelegte Informationen, bildet das System erneut einen Hash-Wert und sendet diesen zur Signatur an eine Smartcard. Die derart erzeugte (Zeit-)Signatur gelangt über die Trustbox zurück zum Protokollserver, der sie in einer Protokolldatei speichert und anschließend an den Kommunikationsserver und Client weiterleitet.

Die Aufbewahrung des Zeitstempels auf dem Protokollserver ist wichtig, damit Zeitstempel ihren Beweiswert über die Gültigkeitsdauer des verwendeten Signaturzertifikats hinaus behalten. Der (optionale) Kommunikationsserver dient dazu, den Protokollserver mit seinen sensitiven Daten vom unsicheren Internet abzuschotten. Ist beim Anwender eine geeignete Firewall implementiert, so ist kein Kommunikationsserver erforderlich.

Der gesamte Vorgang dauert in Abhängigkeit der zu "hashenden" Daten und der Geschwindigkeit der Internetverbindung nur wenige Sekunden. Anschließend können das Angebots-Dokument und die Zeitsignaturdatei entweder in einem Archiv abgelegt oder hausintern oder extern versandt werden. Der Empfänger eines zeitsignierten Dokuments benötigt allerdings ebenfalls eine Client-Software, um den Hash-Wert zu verifizieren und damit die Authentizität und Integrität des Dokumentes sowie des Zeitstempels zu prüfen.

Doris Jessen ist Fachjournalistin in Hamburg und betreut unter anderem die Pressearbeit von timeproof.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 28

Zurück zum Inhalt