Präsentationsbeginn
4. Bayerischer IT-Rechtstag
IT-Sicherheit und E-GovernmentAnforderungen an Verschlüsselung und Signaturen
München, 27.10.2005
Dr. Jyn Schultze-Melling LL.M.
3IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
IT-Sicherheit und E-Government
1. Grundlagen: Verschlüsselung, Signaturen und Zertifikate – IT-Sicherheit und E-Government als
Symbiose– Technische Eckdaten
2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen
3. Sicherheitsanforderungen bei der elektronischen Kommunikation
4. Ausblick– Entwicklung digitaler Signaturen– Sicheres E-Government?
01001010101011010101010110100101010101101010011010101011010101010101010100101001010010101010110101011010101010101010101010101010010101010110101010101101001010101011010100110101010110101010101010101001010010100101010101101010110101010101010101010101010100101010101101010101011010010101010110101001101010101101010101010101010010100101001010101011010101101010101010101010101010100101010101101010101011010010101010110101001101010101101010101010101010010100101001010101011010101101010101010101010101010101001010101011010101010110100101010101101010011010101011010101010101010100101001010010101010110101011010101010101010101010101010010101010110101010101101001010101011010100110101010110101010101010101001010010100101010101101010110101010101010101010101010010110101010010110101010011010110110101010101010101010101010010110101010010110101010011010110110101010101010101010101010010110101010010110001010110
1. Grundlagen: Verschlüsselung, Signaturen und Zertifikate
5IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
– IT-Sicherheit ist notwendiger Bestandteil eines sicheren unddamit verfassungsgemäßen E-Governments
– E-Government kann die Grundlagen legen für eine verstärkteIT-Sicherheit auch im unternehmerischen Umfeld
1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateIT-Sicherheit und E-Government als Symbiose
E-Government IT-Sicherheit
6IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Kommunikation per E-Mail – Klageeinreichungen– Verwaltungs- und Widerspruchsbescheide– Anträge– Gebührenerhebung
Kommunikation über das Web– Individuelle Information des Bürgers– Staatliche Verbraucherdienste– Leistungsplattformen (E-Vergabe)
Sonstige Wege der elektronischen Kommunikation– Elektronische Aktenführung und Archivierung– Verschlüsselung als Zugriffskontrolle – Authentisierung durch Zertifikate
1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateMittel und Wege der elektronischen Kommunikation beim elektronischen Regieren
7IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
1. Grundlagen: Verschlüsselung, Signaturen und Zertifikate Technische Aspekte der elektronischen Kommunikation
digitale Signaturen
Zertifikate
Verschlüsselung
8IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateArten der Verschlüsselung
Verschlüsselung
Asymmetrische Verschlüsselung
Symmetrische Verschlüsselung
Hybrid Verschlüsselung
9IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateFunktionsprinzip der symmetrischen Verschlüsselung
10IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateFunktionsprinzip der asymmetrischen Verschlüsselung
11IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateFunktionsprinzip der elektronischen Signatur
2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen
§
13IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Verwaltungsverfahrensgesetz (VwVfG)
§ 3a VwVfG Regelung zur elektronischen Kommunikation
§ 33 VwVfG Beglaubigungen
§§ 37 Abs. 2, 3 und § 44 Abs. 2 VwVfG
Regelungen zum elektronischen Verwaltungsakt
§ 37 Abs. 4 VwVfG Erfordernis dauerhafter Überprüfbarkeit von qualifizierten Signaturen bei Verwaltungsakten
§ 39 Abs. 1 VwVfG Elektronische Begründung eines Verwaltungsaktes
§ 41 Abs. 2 VwVfG Zugang elektronischer Verwaltungsakt
14IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen
Das Signaturgesetz (SigG)
Einfache Signatur (§ 2 Nr. 1 SigG)
– Alle Daten in elektronischer Form, welche anderen Daten beigefügtoder mit Ihnen verknüpft sind und die in irgendeiner beliebigen Formder Authentifizierung dienen (z. B. auch eingescannte Unterschriften)
Fortgeschrittene Signatur (§ 2 Nr. 2 SigG)
– Ausschließliche Zuordnung dem Signatur-Inhaber– Ermöglichung der Identifikation des Signierenden– Alleinige Kontrolle der Signatur durch den Inhaber erforderlich
(z. B. PGP oder Email-Zertifikate)
15IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Qualifizierte elektronische Signaturen
– müssen gem. § 2 Nr. 3 a SigG auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen
– und gem. § 2 Nr. 3 b mit einer sicheren Signaturerstellungseinheit erzeugt sein.
– Erfordernisse richten sich nach §§ 5-14 SigG
2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Signaturgesetz (SigG)
16IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Akkreditierte Signaturen
– sind qualifizierte elektronische Signaturen i. S. v. § 2 Nr. 3 a SigG
– Zusätzliche Sicherheit durch Nutzung eines Zertifizierungsdiensteanbieters, der die Erfordernisse der §§ 5-14 SigG erfüllt und dieses zusätzlich in einer Vorabprüfung (freiwillige Akkreditierung) i. S. v. § 15 SigG nachgewiesen hat.
– Qualifizierte elektronische Signaturen eines akkreditierten Zertifizierungsdiensteanbieters bieten daher das höchste Sicherheitsniveau des SigG
2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Signaturgesetz (SigG)
17IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
§ 5 TDG Teledienste sind zulassungs- und anmeldefrei
§ 6 TDG Impressumspflicht
§ 11 BGG –
Gesetz zur Gleichstellung behinderter Menschen (Behindertengleichstellungsgesetz) vom 27. April 2002 (BGBl. I S. 1467)
Verpflichtung zur Berücksichtigung der Bedürfnisse von Personen mit Behinderungen bei der Gestaltung von Online-Angeboten für die Bundesverwaltung. (Es ist zu erwarten, dass die Länder bald entsprechende Gesetze verabschieden.)
BITV – Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz (Barrierefreie Informationstechnik-Verordnung) vom 17. Juli 2002 (BGBl. I 2002, S. 2645)
Festlegung der konkret anzuwendenden technischen Standards, die zu gestaltenden Bereiche und Arten amtlicher Information sowie die einzubeziehenden Gruppen behinderter Menschen.
2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Teledienstgesetz (TDG) und Gleichstellung (BGG und BITV)
18IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
§ 4 Abs. 1 TDDSG, § 18 Abs. 1 MDStV
Im Falle einer Online-Registrierung mit Erhebung personenbezogener Daten vor Nutzung eines Diensteangebots muss der Nutzer vor der Erhebung über Umfang, Ort und Zweck der Erhebung unterrichtet werden. Der Diensteanbieter hat auf das Recht zum Widerruf erteilter Einwilligungen hinzuweisen.
§ 4 Abs. 4 TDDSG Es ist sicherzustellen, dass Nutzer Teledienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können.
§ 4 Abs. 4 TDDSG Pseudonyme Nutzungs- und Bezahlverfahren müssen angeboten werden, soweit dies technisch möglich und zumutbar ist.
§ 6 Abs. 3 TDDSG, § 19 Abs. 4 MDStV
Ein Diensteanbieter darf nur für Zwecke der Marktforschung, der bedarfsgerechten Gestaltung des Dienstes oder für Zwecke der Werbung Nutzerprofile unter Verwendung von Pseudonymen erstellen.
2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Teledienstedatenschutzgesetz (TDDSG)
3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government
20IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Grundsätzliche Anforderungen
– Vertraulichkeit – Integrität – Authentizität – Nicht-Abstreitbarkeit
Weitere Anforderungen
– Verfügbarkeit Schriftform-Erfordernis – Identifizierbarkeit
– Abbildbarkeit
– Adressierbarkeit
3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government
21IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Beispielproblem: Schriftformersatz
Akkreditierte Signatur Qualifizierte Signatur
§ 126a BGB, § 3a VwVfG: Ersatz für gesetzlich vorgeschriebene Schriftform
Auch Schriftformersatz, soweit für die Signatur die dauerhafte Überprüfbarkeit vorgeschrieben ist: Grundsätzlich möglich für Verwaltungsakte (VA) (§ 37 Abs. 4 VwVfG); bisher vorgesehen z. B. für VA für Abschluss des förmlichen Verwaltungsverfahrens (§ 69 Abs. 2 S. 2 VwVfG) und für Unterschrift des Bediensteten bei Beglaubigungsvermerk(§ 33 Abs. V Nr. 2 VwVfG)
§ 126a BGB, § 3a VwVfG: Ersatz für gesetzlich vorgeschriebene Schriftform
Aber: Risiko des Nicht-Bestehens der behaupteten Sicherheit
=> Grundsätzlich kein Schriftformersatz, soweit für die Signatur die dauerhafte Überprüfbarkeit vorgeschrieben ist
3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government
22IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Beispielproblem: Beweiseignung
Akkreditierte Signatur Qualifizierte Signatur
§ 292a ZPO:Anschein der Echtheit der Signatur
Für Nachweis qualifizierter Signatur: Inanspruchnahme der „technisch-organisatorischen” Sicherheitsvermutung nach § 15 Abs. 1, Abs. 4 SigG.
§ 292a ZPO:Anschein der Echtheit der Signatur
Für Nachweis qualifizierter Signatur: allenfalls Bitte an den Richter möglich, vom Signaturaussteller die Vorlage der Signaturerstellungseinheit (§ 144 ZPO) und vom Zertifizierungsdiensteanbieter die Vorlage seiner Dokumentation (§ 142 ZPO) zu verlangen.
3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government
23IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Sicherheitsaspekte bei der praktischen Anwendung
– Interne Risiken– Technische Fehler– Anwendungsfehler– Verlust der Schlüssel– Mitlesen oder Manipulation durch Unbefugte
– Externe Risiken– Betrugsversuche– Manipulationsgefahr
3. Sicherheitsanforderungenbei der elektronischen Kommunikation im E-Government
24IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Voraussetzungen für den korrekten Einsatz
– Organisation– Integration der IT-Sicherheit in die behördlichen Abläufe
– „Chefsache IT-Sicherheit“ gilt auch für den Staat
– Technische Ausstattung– Open Source vs. proprietäre Software
– Schlüsselmanagement im interbehördlichen Dienst
– Benutzerakzeptanz– Sensibilität wecken und Know-how erschaffen
– Kontinuierliche Fortbildung und Kooperation (BSI CERT)
3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government
4. Ausblick
26IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
4. AusblickAuswirkungen auf das E-Government
27IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
4. AusblickSicheres E-Government?
28IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
4. AusblickSicheres E-Government?
29IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
4. AusblickSicheres E-Government?
30IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Fazit:
1. IT-Sicherheit ist unabdingbare Voraussetzung für ein funktionierendes E-Government
2. Die breite Durchdringung der Gesellschaft mit digitalen Signaturen bedingt ein sicheres E-Government
3. Maßnahmen auf legislativer und exekutiver Ebene sind erforderlich, um E-Government voranzutreiben
4. AusblickSicheres E-Government?
31IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Kontakt
Vielen Dank für Ihre Aufmerksamkeit.
Haben Sie noch Fragen?
Dr. Jyn Schultze-Melling LL.M.Nörr Stiefenhofer Lutz
Brienner Straße 2880333 München
E-Mail: [email protected] Tel.: +49 (89) 28628 542
www.noerr.com
32IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen
Rechtliche Aspekte der IT-Sicherheit
– http://www.it-sicherheitsrecht.de
IT-Sicherheit allgemein
– http://www.itseccity.de– http://www.heise.de/itsec– http://www.it-sicherheit-fachzeitschrift.de/– http://www.competence-site.de/itsecurity.nsf/– http://www.bsi.bund.de/– http://www.kes.info/
Weiterführende Informationen im Internet