Elektronische Signaturen Gesetze, Normen, E-Government · elektronische Signaturen, die auf einem...
82
E-Signatur, E-Governmet, E-Zahlungsverkehr Elektronische Signaturen Gesetze, Normen, E-Government LV VO 406281 Information society & E- Government Daniel Konrad A-SIT Zentrum für sichere Informationstechnologie – Austria www.a-sit.at
Transcript of Elektronische Signaturen Gesetze, Normen, E-Government · elektronische Signaturen, die auf einem...
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Elektronische SignaturenGesetze, Normen, E-Government
LV VO 406281 Information society & E-Government
Daniel KonradA-SIT Zentrum für sichere
Informationstechnologie – Austriawww.a-sit.at
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Inhalt
• Was ist eine el. Signatur?• Rechtliche Rahmenbedingungen• Relevante Normen• Organisatorische Infrastruktur in Österreich• A-SIT• Zahlungssystemaufsicht in Österreich• Anwendungen
– E-Government, Bürgerkarte– E-Rechnung– E-Zahlungsverkehr
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Was ist eine el. Signatur ?
• „elektronische Signatur: elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung, also der Fesstellung der Identität des Signators dienen“ (SigG §2 Z1)
• SigG technologieneutral• in Verwendung: „digitale Signaturen“,
fälschungssichere Signaturen, anhand von kryptographischen Mechanismen erstellt.
• Kryptographie: Wissenschaft von Methoden der Ver-und Entschlüsselung von Daten.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Asymmetrische Kryptographie (Public Key Cryptography)• Öffentlicher Schlüssel (public key):
– Signaturprüfdaten– Öffentlich (z.B in einem Verzeichnis)
• Privater Schlüssel (private key):– Signaturerstellungsdaten– Geheim (z.B auf Chipkarte)
• Zertifikat:– eine elektronische Bescheinigung, mit der
Signaturprüfdaten einer Person zugeordnet werden und die Identität dieser Person bestätigt wird
• Sicherheit beruht auf komplexen mathematischen Verfahren– Z.B. RSA-Verfahren: Schwierigkeit der Primfaktorzerlegung
großer Zahlen
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Eigenschaften der elektronischen Signatur
• Authentizität– Herkunft der signierten Daten
• Integrität– Unveränderbarkeit der signierten Daten
• Nichtabstreitbarkeit– Signatur kann nicht geleugnet werden
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Grundablauf
Dokument Hashwert Signierter Hashwert Signiertes Dokument
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Sicherheit der el. Signatur
• Beruht auf– dem kryptographischen Verfahren, das für ihre Berechnung
verwendet wird und das nach dem heutigen Stand der Technik mit bestimmten Parametern ausreichend sicher ist,
– der Sicherheit des Hashwertes, der nicht zu einem weiteren Dokument passen darf,
– der Einzigartigkeit des zum Signieren verwendeten kryptographischen Schlüssels, der durch ein Zertifikat einer bestimmten Person zuverlässig zugeordnet ist, und
– der Verwendung sicherer Signaturerstellungseinheiten (z.B. Chipkarten), die nur von den berechtigten Signatorenbenützt werden können (z.B. PIN-geschützt) und die zur Erstellung elektronischer Signaturen verwendet werden.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Tutorial, Tools
• „Infobox“: http://www.a-sit.at/signatur/tutorial/tutorial.htm
• Demo-Tools:http://demo.a-sit.at
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Rechtlicher Rahmen
• EU-Signaturrichtlinie (EU-SigRL)
• Signaturgesetz (SigG)
• Signaturverordnung (SigV)
• E-Government Gesetz (E-GovG)
• Verwaltungssignaturverordnung (VerwSigV)
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EU-SigRL
• „Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen“ (http://www.eu.int/eur-lex/de/index.html)
• Fortgeschrittene el. Signatur:a) Sie ist ausschließlich dem Unterzeichner zugeordnet;b) sie ermöglicht die Identifizierung des Unterzeichners;c) sie wird mit Mitteln erstellt, die der Unterzeichner
unter seiner alleinigen Kontrolle halten kann;d) sie ist so mit den Daten, auf die sie sich bezieht,
verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann;
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EU-SigRL (2)
• Qualifiziertes Zertifikat: – ein Zertifikat, das die Anforderungen des
Anhangs I erfüllt und von einem Zertifizierungsdiensteanbieter bereitgestellt wird, der die Anforderungen des Anhangs II erfüllt;
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EU-SigRL (3)
• Z.B: Artikel 5 Rechtswirkung elektronischer Signaturen„(1) Die Mitgliedstaaten tragen dafür Sorge, dass fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen und die von einer sicheren Signaturerstellungseinheit erstellt werden,a) die rechtlichen Anforderungen an eine Unterschrift in bezug auf in elektronischer Form vorliegende Daten in gleicher Weise erfüllen wie handschriftliche Unterschriften in bezug auf Daten, die auf Papier vorliegen, undb) in Gerichtsverfahren als Beweismittel zugelassen sind.(2) Die Mitgliedstaaten tragen dafür Sorge, dass einer elektronischen Signatur die rechtliche Wirksamkeit und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen wird,- weil sie in elektronischer Form vorliegt oder- nicht auf einem qualifizierten Zertifikat beruht oder- nicht auf einem von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellten qualifizierten Zertifikat beruht oder- nicht von einer sicheren Signaturerstellungseinheit erstellt wurde.“
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EU-SigRL (4)
• Annex I:– Anforderungen an qualifizierte Zertifikate (Inhalt)
• Annex II:– Anforderungen an Zertifizierungsdiensteanbieter, die
qualifizierte Zertifikate ausstellen (Zuverlässigkeit, Qualität, Sicherheit)
• Annex III:– Anforderungen an sichere Signaturerstellungseinheiten
• Annex IV:– Empfehlungen für die sichere Signaturprüfung
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
SigG
• Stammfassung: BGBl. I Nr. 190/1999Bundesgesetz über elektronische Signaturen
(Signaturgesetz - SigG)• 1. Novelle: BGBl. I Nr. 137/2000
• 2. Novelle: BGBl. I Nr. 32/2001
• 3. Novelle: BGBl. I Nr. 152/2001
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
SigG (2)
• Erste Umsetzung der EU-SigRL– In D SigG 1996, aber nicht RL-konform
• Definiert „sichere elektronische Signatur“ (§2 Z 3):– sichere elektronische Signatur: eine elektronische Signatur, die
a) ausschließlich dem Signator zugeordnet ist,b) die Identifizierung des Signators ermöglicht,c) mit Mitteln erstellt wird, die der Signator unter seiner
alleinigen Kontrolle halten kann,d) mit den Daten, auf die sie sich bezieht, so verknüpft ist,
daß jede nachträgliche Veränderung der Daten festgestellt werden kann, sowie
e) auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt wird;
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
SigG regelt:
• 1. Abschnitt. Gegenstand und Begriffsbestimmungen• 2. Abschnitt. Rechtserheblichkeit elektronischer
Signaturen• 3. Abschnitt. Zertifizierungsdiensteanbieter• 4. Abschnitt. Aufsicht• 5. Abschnitt. Technische Sicherheitserfordernisse • 6. Abschnitt. Rechte und Pflichten der Anwender • 7. Abschnitt. Anerkennung ausländischer Zertifikate• 8. Abschnitt. Schlussbestimmungen
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
SigV
• BGBl II Nr. 2000/30• Vor allem technische Fragen
– Anhang 1 Parameter für technische Komponenten und Verfahren für sichere elektronische Signaturen
– Anhang 2 Technische Verfahren und Formate• Derzeit Änderung der SigV im
Begutachtungsverfahren
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
E-GovG
• BGBl. I Nr. 10/2004:– „Bundesgesetz, mit dem ein E-Government-Gesetz erlassen
wird sowie das Allgemeine Verwaltungsverfahrensgesetz 1991, das Zustellgesetz, das Gebührengesetz 1957, das Meldegesetz 1991 und das Vereinsgesetz 2002 geändert werden“
• Ziele: – Der elektronische Verkehr mit öffentlichen Stellen soll
unter Berücksichtigung grundsätzlicher Wahlfreiheit zwischen Kommunikationsarten für Anbringen an diese Stellen erleichtert werden.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
E-GovG, Ziele
– Gegen Gefahren, die mit einem verstärkten Einsatz der automationsunterstützten Datenverarbeitung zur Erreichung der genannten Ziele verbunden sind, sollen zur Verbesserung des Rechtsschutzes besondere technische Mittel geschaffen werden, die dort einzusetzen sind, wo nicht durch andere Vorkehrungen bereits ausreichender Schutz bewirkt wird.
– Bei der Umsetzung der Ziele dieses Bundesgesetzes ist Vorsorge dafür zu treffen, dass behördliche Internetauftritte, die Informationen anbieten oder Verfahren elektronisch unterstützen, spätestens bis 1. Jänner 2008 so gestaltet sind, dass internationale Standards über die Web-Zugänglichkeit auch hinsichtlich des barrierefreien Zugangs für behinderte Menschen eingehalten werden.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
E-GovG, Inhalte
• Identifikation und Authentifizierung im elektronischen Verkehr mit öffentlichen Stellen
• Verwendung der Bürgerkartenfunktion im privaten Bereich
• Elektronischer Datennachweis• Besonderheiten elektronischer Aktenführung• Strafbestimmungen• Übergangs- und Schlussbestimmungen
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Verwaltungssignatur
• Übergangsbestimmung (§ 25 E-GovG):(1) Im Rahmen der Bürgerkartenfunktion dürfen bis zum
31. Dezember 2007 gleichgestellt mit sicheren Signaturen auch Verwaltungssignaturen verwendet werden. Verwaltungssignaturen sind Signaturen, die im zulässigen Bereichihrer Verwendung hinreichende Sicherheit bieten, auch wenn sie nicht notwendigerweise allen Bedingungen der Erzeugung und Speicherung von Signaturerstellungsdaten der sicheren Signatur genügen und nicht notwendigerweise auf einem qualifizierten Zertifikat beruhen. Die sicherheitstechnischen und organisationsrelevanten Voraussetzungen für das Vorliegen einer Verwaltungssignatur im Sinne dieses Bundesgesetzes werden durch Verordnung des Bundeskanzlers festgelegt.
(2) In jenen Fällen, in welchen in einfachen Gesetzen die Verwendung einer sicheren elektronischen Signatur im Verkehr mit Behörden im Rahmen der Hoheitsverwaltung ausdrücklich verlangt wird, gilt diese Voraussetzung bis zum Ende der in Abs. 1 genannten Übergangsfrist auch bei Verwendung einer Verwaltungssignatur als erfüllt.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
VerwSigV
• BGBl. II Nr. 159/2004:– „Verordnung des Bundeskanzlers, mit der die
sicherheitstechnischen und organisationsrelevanten Voraussetzungen für Verwaltungssignaturen geregelt werden“
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Verordnung zur el. Rechnung
• BGBl. II Nr. 583/2003– Verordnung des Bundesministers für Finanzen, mit der die
Anforderungen an eine auf elektronischem Weg übermittelte Rechnung bestimmt werden
– „Die Echtheit der Herkunft und die Unversehrtheit des Inhalts einer auf elektronischem Weg übermittelten Rechnung ist gewährleistet, 1. wenn die Rechnung mit einer Signatur versehen ist, die den Erfordernissen des § 2 Z 3 lit. a bis d Signaturgesetz entspricht und auf einem Zertifikat eines Zertifizierungsdiensteanbieters im Sinne des Signaturgesetzes beruht, ..“
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Normen
• EESSI• Common Criteria• Sichere Signaturerstellungseinheit• Signaturerstellungseinheit eines ZDA• Vertrauenswürdiges System eines ZDA
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EESSI
• European Electronic Signature Standardization Initiative• Eine Initiative der Europäischen Kommission und des European
ICT Standards Board• Normungsarbeit: CEN und ETSI
– CEN/ISSS WS/E-Sign: Signaturerstellung und –prüfung, Certification Service Providers (CSP)
http://www.cenorm.be/cenorm/businessdomains/businessdomains/isss/cwa/electronic+signatures.asp
– ETSI SEC ESI: X.509 und qualifizierte Zertifikate, CSP Sicherheitspolitiken, Signaturformate (z.B. XML), Zeitstempel-Protokolle
http://portal.etsi.org/esi/el-sign.asp• Weitere Infos:
http://www.ict.etsi.org/EESSI_home.htm
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Common Criteria
• Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik– ISO/IEC 15408– CC-Evaluierungen von Produkten, Systemen,
Schutzprofilen (Protection Profiles)– Verschiedene Stufen (EAL1-EAL7)
• Info: http://www.commoncriteriaportal.org
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Vertrauenswürdigkeits-stufen
• EAL1 – functionally testet• EAL2 – strukturally testet (ITSEC E1)• EAL3 – methodically testet & checked (ITSEC E2)• EAL4 – methodically designed, tested & reviewed (ITSEC E3)• EAL5 – semiformally designed & tested (ITSEC E4)• EAL6 – semiformally verified design & tested (ITSEC E5)• EAL7 - formally verified design & tested (ITSEC E6)
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Mechanismenstärke (SOF)
• Anwendbar, wenn Sicherheitsfunktionen enthalten sind, die auf einem Wahrscheinlichkeits- oder Permutationsmechanismus beruhen.
• SOF-Niedrig: Eine Stufe der EVG-Stärke von Funktionen, bei der die Analyse zeigt, dass die Funktionen einen angemessenen Schutz gegen zufälliges Brechen der EVG-Sicherheit durch Angreifer bieten, die über ein geringes Angriffspotential verfügen.
• SOF-Mittel: Eine Stufe der EVG-Stärke von Funktionen, bei der die Analyse zeigt, dass die Funktionen einen angemessenen Schutz gegen naheliegendes oder absichtliches Brechen der EVG-Sicherheit durch Angreifer bieten, die über ein mittleres Angriffspotential verfügen.
• SOF-Hoch: Eine Stufe der EVG-Stärke von Funktionen, bei der die Analyse zeigt, dass die Funktionen einen geeigneten Schutz gegengeplantes oder organisiertes Brechen der EVG-Sicherheit durch Angreifer bieten, die über ein hohes Angriffspotential verfügen.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Schutzprofile:
CMCSO-PPCMCKG-PP
SSCD-PP
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Signaturerstellungseinheit
• Signature Creation Device (SCD)– PC mit Signaturanwendung– PDA – Mobiltelefone– Chipkarte– Spezielles Gerät mit Signaturanwendung
(Hardware Security Modul, z.B PCI Einsteckkarte)
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Sichere Signaturerstellungseinheit
• Secure Signature Creation Device (SSCD)– Laut Anhang III der EU-SigRL– Veröffentlicht im EU Amtsblatt Nr. L 175 vom
15/07/2003 S. 0045 – 0046– CWA 14169: Secure Signature Creation Devices,
version EAL 4+
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Signaturerstellungs-einheit eines ZDA
• Cryptographic Module for CSP Signing Operations (MCSO)– Implementiert EU-SigRL Anhang II f und g– Veröffentlicht im EU Amtsblatt Nr. L 175 vom
15/07/2003 S. 0045 – 0046– CWA 14167-2 (März 2002): security requirements
for trustworthy systems managing certificates for electronic signatures - Part 2: cryptographic module for CSP signing operations - ProtectionProfile (MCSO-PP)
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Vertrauenswürdiges System eines ZDA
• System Security Requirements– Implementiert EU-SigRL Anhang II f– Veröffentlicht im EU Amtsblatt Nr. L 175 vom
15/07/2003 S. 0045 – 0046– CWA 14167-1 (März 2003): security requirements
for trustworthy systems managing certificates for electronic signatures - Part 1: System Security Requirements
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Empfohlene Algorithmen und Parameter für sichere el. Signaturen
• „ESI ALGO-Paper“• ETSI Special Report SR 002 176 (März 2003)
„Electronic Signatures and Infrastructures (ESI);Algorithms and Parameters for Secure Electronic Signatures“
• Wird von neuer SigV übernommen
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Infrastruktur in Österreich
• Zertifizierungsanbieter– A-Trust, mobilkom, u.a.
• Aufsicht– Telekom-Control-Kommission, RTR GmbH
• Bestätigungsstelle– A-SIT
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Zertifizierungsdienste-anbieter
• 1 akkreditierter Anbieter für qualifizierte Zertifikate (sichere Signaturen):www.a-trust.at
• 1 Anbieter für Verwaltungssignaturen:www.a1.net/signatur
• 3 weitere aktive Anbieter:– ARGE Daten, Generali IT-Solutions, IAIK TU-Graz
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
A-Trust
• A-Trust bietet seit 15.12.2001 Zertifikate für die einfache elektronische Signatur an.
• Seit 25.02.2002 werden qualifizierte Zertifikate für sichere elektronische Signaturen ausgestellt.
• Seit 11.3.2002 Akkreditierung durch TKK• Gesellschafter:
– Österr. Banken– Oesterreichische Nationalbank– Telekom Austria– Wirtschaftskammer Österreich
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Telekom-Control-Kommission
• Die Aufsichtsstelle hat insbesondere1. die Umsetzung der Angaben im Sicherheits- und im
Zertifizierungskonzept zu überprüfen2. im Fall der Bereitstellung sicherer elektronischer
Signaturen die Verwendung geeigneter technischer Komponenten und Verfahren (§ 18 SigG) zu überwachen
3. Zertifizierungsdiensteanbieter nach § 17 SigG zu akkreditieren und
4. die organisatorische Aufsicht über Bestätigungsstellen (§ 19 SigG) durchzuführen.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
RTR-GmbH
• Die Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) ist seit 01.04.2001 Rechtsnachfolgerin der früheren Telekom-Control GmbH.
• Bei der Durchführung der Aufsicht bedient sich die Telekom-Control-Kommission als Aufsichtsstelle für elektronische Signaturen der RTR-GmbH
• Die RTR-GmbH hat insbesondere die Verzeichnisse der Zertifizierungsdiensteanbieter zu führen.
• Im Fall des begründeten Verdachts, dass die Sicherheitsanforderungen des Signaturgesetzes nicht eingehalten werden, kann die RTR-GmbH unmittelbar die vorläufige Untersagung der Tätigkeit eines Anbieters oder geeignete gelindere Maßnahmen anordnen.
• Info: http://signatur.rtr.at
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Bestätigungsstelle
• In technischen Fragen bedient sich die Aufsichtsstelle für elektronische Signaturen einer Bestätigungsstelle
• Bei technischen Komponenten und Verfahren für die Erzeugung sicherer Signaturen muss von einer Bestätigungsstelle bescheinigt sein, dass die Sicherheitsanforderungen erfüllt sind(§ 18 Abs. 5 SigG).
• Als erste und bislang einzige österreichische Bestätigungsstellewurde der Verein "Zentrum für sichere Informationstechnologie – Austria (A-SIT)" durch die Verordnung BGBl II 2000/31anerkannt.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
A-SIT
• Gegründet: Mai 1999• Mitglieder:
– Bund (BMF)– OeNB– TU Graz– Steirische Wirtschaftsförderung (SFG) (seit Mitte
2003)
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Unsere Mission:
Der Verein, dessen Tätigkeit nicht auf Gewinnausgerichtet ist, bezweckt die kompetente Zusammenführung und Weiterentwicklung fachlicher Inhalte aus dem Bereich der technischen Informationssicherheit.Zielsetzung ist die umfassende Unterstützung seiner Mitglieder, des Gesetzgebers, der Behörden und der Sozialpartner.
Quelle: Statuten
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Gründungsziele
Bund OeNB TU Graz
Hoheitl.Funktion[Best.Stelle]Unterstützung-Ministerien-Verwaltung-Wirtschaft-Bürger
ZSA-Techn.GutachterUnterstützung-Oversight
KompetenzRessourcenWirtschafts-faktor Stmk
Kein neues AmtInteressensneutral
Lebensfähige, schlanke Organisation
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
About A-SIT
Position:
• Strikte Neutralität• = weisungsfrei• = wirtschaftlich unabhängig
Finanzierung:• Direkte Services: durch Auftraggeber• Allgemeine Leistungen,
Infrastruktur: durch Mitglieder
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Tätigkeitsfelder
Bestätigungsstelle§19 SiG UnterstützungBescheinigungen § 18(5)Bestätigungen
Policies, HandbücherE-Government
Begutachtung, Evaluierungsmgmt.
Awareness
InternetVeranstaltungenGutachten TKK, OeNB, DSK
Schiedsverfahren e-gov GütesiegelAnalysen, Berichte
InternationaleKooperation
Technologie-Beobachtung
BSI, ISBEU, EESSI
Algorithmen u VerfahrenPrototypen u Demos
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Aufgaben einer Bestätigungsstelle nach §19 SigG
• Bescheinigungen nach §18(5) SigG• Bestätigungen der Konformität mit SigG, SigV und
EU-RL (≠ Bescheinigung nach §18(5) SigG)• Unterstützung der Aufsicht (RTR GmbH)• Dienstleistung für Betreiber/Hersteller• Beobachtung der technologischen Entwicklung• Mitarbeit in internationalen Gremien (EESSI,
Europarat etc.)
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Was ist zu bescheinigen?
• SSCD (=Chipkarte) beim Signator (Art 2 Z6 EURL)
• Hashbildung (konfigurationsabhängig) §7(1) SigV
• Anzeige zu signierender Daten §7(2) SigV
• Auslösen des Signaturvorgangs (=PIN) §7(3) SigV
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Elemente eines Signaturerstellungssystems
DTBS(Trusted Viewer)
SSCD: “Implementiert Signaturerstellungsdaten ”
z.B. Smart-Card(1999/93/EC Annex III)
SCD(private key)Benutzer-Authentisierung
(z.B. PIN Eingabe)
Dokument
(Hashwert)
SVD export (public key/Zertifikat)
Elektronische Signatur
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Bescheinigungen nach §18(5)
• Aktuell gültig: (Stand 10/2003)– 2 Chipkarten– 5 Chipkartenleser– 4 Viewer– 1 Hardware Security Modul
• Bescheinigungen anderer bei der EU notifizierter Bestätigungsstellen werden in Österreich anerkannt
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Zahlungssystemaufsicht
• OeNB A-SIT Gründungsmitglied– Ziel: kompetente Unterstützung der
Zahlungssystemaufsicht in techn. Belangen• A-SIT erstellt Gutachten über die organisatorische
und technische Systemsicherheit im Auftrag der OeNB
• Marktbeobachtung: „New Payment“– E-Geld– Zahlungssysteme im Internet– M-Payment
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
ZSA, rechtl. Hintergrund
• Per 1. April 2002 • Rechtsgrundlage dafür ist §44a NBG
(Nationalbankgesetz)• § 44a (1) NBG: „Die OeNB ist zur Ausübung der Aufsicht
über die Zahlungssysteme verpflichtet. Die Aufsicht umfasst die Prüfung der Systemsicherheit von Zahlungssystemen.“– Betreibern von Zahlungssystemen-– Teilnehmern an Zahlungssystemen (inklusive
ausländischen)• § 44a (4) NBG: „Zahlungssystem …ist jedes System gemäß §
2 des Finalitätsgesetzes, …,sowie jede gewerbliche Einrichtung mit mindestens drei Teilnehmern, die dem elektronischen Transfer von Geldwerten dient“
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
ZSA, rechtl. Hintergrund (2)
• § 44a (2) NBG: „Systemsicherheit … ist die Summe der von den Betreibern und Teilnehmern eines Zahlungssystems zu ergreifenden Maßnahmen, die dem sicheren Umgang mit den rechtlichen, finanziellen, organisatorischen und technischen Risiken dienen, die mit dem Betrieb von einem Zahlungssystem oder mit der Teilnahme an einem Zahlungssystem verbunden sind.“
• Das Nationalbankgesetz ermächtigt unter anderem– zur Auskunftseinholung (§ 44a (7 + 8) NBG)
• über die getroffenen Maßnahmen zur Gewährleistung der Systemsicherheit und
• die Art und das Volumen der abgewickelten Zahlungen– zur Beiziehung von Sachverständigen (§ 44a (9) NBG)
=> A-SIT
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
ZSA, norm. Grundlagen
• „Core Principles“:– Empfehlung der Bank für internationalen Zahlungsausgleich
(BIZ, www.bis.org)– im Euroraum durch EZB-Ratsbeschluss verpflichtend– CP7 relevant für techn./org. Systemsicherheit
• EMSSO (Electronic Money System Security Objectives)– Sicherheitsanforderungen des Eurosystems an E-
Geldsysteme–im Euroraum durch EZB-Ratsbeschluss verpflichtend
• ESCB/CESR (Committee of European Securities Regulators) Standards – In Ausarbeitung– Werden analog zu EMSSO und CP verpflichtend werden
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
ZSA, Aufsichtsgrundsätze
• Aufsichtsgrundsätze/Leitfäden für– ARTIS– Multilaterale Kleinbetragszahlungssysteme– E-Geld– Wertpapier Clearing und Settlement Systeme (in
Ausarbeitung)– Systemrelevante Teilnahme
• Die AGs/LF sind öffentlich verfügbar: – http://www.oenb.at
@Finanzmarkt/-stabilität@Zahlungssystemaufsicht
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
AG, Beispiele
• Techn. AG (4) multilaterale Kleinbetragszahlungssysteme– Das Zahlungssystem soll die korrekte Authentisierung der
Endkunden sicherstellen.• Techn. AG (13) multilaterale Kleinbetragszahlungssysteme
– Zur Gewährleistung der Verfügbarkeit und Betriebssicherheit des Systems sollen etablierte, dem jeweiligen Stand der Technik entsprechende Maßnahmen gesetzt werden. Insbesondere soll die Verfügbarkeit der zentralen Autorisierungssysteme während der Betriebszeiten des Zahlungssystems gewährleistet sein.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
ARTIS
• Austrian Real Time Interbank Settlement System– Zahlungen aus geld- und währungspolitischen Operationen
des ESZB– Zahlungsausgleich von Nettingsystemen: EBA (European
Banking Association)– Zwischenbankzahlungen aus dem Devisen-, Geld- und
Wertpapierhandel– Kundenaufträge mit taggleicher und finaler Verbuchung– Saldenausgleichszahlungen aus dem POS-, Bankomat- und
Kreditkarten-Clearing– Zahlungen aus Börseabrechnungssystemen– Sonst. Zahlungen aus Gründen der Risikominimierung
und/oder Dringlichkeit
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
ARTIS (2)
• Seit 2003: Elektronischer Kontozugang über Internet• Zahlungsaufträge werden mit sicherer el. Signatur
versehen
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
ZSA, weitere Systeme
• Maestro (Europay Austria, APSS)
– Umsatz 2003: 8.344 Mio EUR Zahlungstransaktionen (4x mehr als 1998), 14.460 Mio EUR Bargeldabhebungen (Steigerung seit 1998 ca. 18%)
• Weitere 10 Zahlungssysteme (inkl. E-Geld)• 3 Wertpapier Settlement Systeme• Teilnehmer (an Zahlungssystemen)• 1 Infrastrukturbetreiber
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Anwendungen der el. Signatur
• Einfache Signaturen:– E-Mail– SSL-Verbindungen
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Anwendungen
• E-Government – Bürgerkarte
• E-Rechnung
• E-Payment
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
E-Government
• Citizen-to-public administration• Business-to-public administration• public administration-to-public administration• Foreign public administration-to-public
administration
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EU-Benchmarking
• Im Rahmen der vom ER beschlossenen Aktionspläne eEurope2002 und eEurope 2005 wurden zur Messung der Umsetzungsfortschritte 23 generelle Indikatoren festgelegt. Zusätzlich zu diesen, wurden vom Rat 20 ausgewählte E-Government Basisdienste verabschiedet.
• In den Jahren 2001 bis 2002 wurden 3 Benchmarking Studien durchgeführt, um die Fortschritte bei der Umsetzung der festgelegten E-Government Basisdienste in den EU-Mitgliedsstaaten kontinuierlich zu überprüfen. Bei der ersten Studie im Oktober 2001 nahm Österreich den 10. Platz, bei der zweiten im April 2002 Platz 13, bei der dritten im Oktober 2002 Platz 11 ein.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EU-Benchmarking 2004
• Veröffentlicht von Cap Gemini Ernst&Young im Jänner 2004 (Evaluierung September 2003 -Dezember 2003)
• Herausragendstes Ergebnis ist, dass sich Österreich von Platz 11 auf Platz 4 in der Gesamtwertung aller 18 Staaten, die verglichen wurden (15 EU-Mitgliedstaaten, Schweiz, Island und Norwegen) vorschieben konnte.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EU-Benchmarking 2004
• Die bisherigen Anstrengungen, E-Government Dienste als komplette Transaktion einschließlich elektronischer Zahlung und Zustellung anzubieten, tragen bereits die ersten Früchte. Mit 68% ist Österreich knapp hinter Dänemark (75%) und vor Schweden (67%) Ranglistenzweiter.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Die Bürgerkarte
• Konzept für E-Government in Österreich• „Amtliches Ausweisdokument“ im Internet
– Für sichere elektronische Abwicklung von Verwaltungsverfahren (sichere Authentifizierung)
– Unterschiedliche Ausprägungen möglich:• Dzt: Chipkarte, Mobiltelefon
– Kann von Behörden oder Privatwirtschaft ausgegeben werden• zB: Studierendenausweis, Dienstkarte,
Bankkarte, ...
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Funktionen der Bürgerkarte
• Elektronische Signatur:– Sichere elektronische Signatur (zB mit
qualifiziertem A-Trust Zertifikat)– Verwaltungssignatur (zB mit A1-Bürgerkarte)
• Identifikation:– Durch Personenbindung
Weitere Informationen: www.buergerkarte.at
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Security Layer
• Technische Schnittstelle • Ermöglicht Anwendungen
Zugriff auf die Bürgerkarte• Bei Chipkarte SW auf
lokalem Rechner:„Bürgerkartenumgebung“(SW ist kostenlos unter http://www.cio.gv.at/identity/bku/erhältlich.
• Bei Mobiltelefon ist die SW amServer implementiert
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Anwendungsbeispiele
• FinanzOnline• El. Zustellung• Strafregisterbescheinigung• Meldebestätigung• Studienbeihilfe• ....
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Beispiel: FinanzOnline
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Auswahl der Bürgerkartenumgebung
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Anmeldung
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Personenbindung auslesen
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Signatur
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
PIN Eingabe
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Fertig:
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Bürgerkarte Ausblick
• Bankkarten („Bankomat-Karte“) werden Ende 2004/Anfang 2005 bürgerkartenfähig sein
• SV-Karte („e-card“) soll 2005 kommen, wird bürgerkartenfähig sein
• Verwaltungsanwendungen von Bund, Ländern und Gemeinden werden sukzessive bürgerkartenfähig gemacht.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
E-Rechnung
• Rechnungslegungsverordnung (Voraussetzung für Vorsteuerabzugsfähigkeit):
• Signatur nach „§ 2 Z 3 Lit. a-d SigG“:a) ausschließlich dem Signator zugeordnet ist,b) die Identifizierung des Signators ermöglicht,c) mit Mitteln erstellt wird, die der Signator unter seiner
alleinigen Kontrolle halten kann,d) mit den Daten, auf die sie sich bezieht, so verknüpft ist,
daß jede nachträgliche Veränderung der Daten festgestellt werden kann
• Großes Interesse bei Telekom-Unternehmen, Energieversorgern, etc. (Einsparungspotential mind. Briefporto)
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
E-ZahlungsverkehrEPS E-Payment Standard
• EPS Version 2• Entwickelt von Studiengesellschaft für Zusammenarbeit im
Zahlungsverkehr (STUZZA) in Zusammenarbeit mit der Stabsstelle IKT Strategie des Bundeskanzleramts
• "garantierte Bezahlung" bei der der Zahlungspartner (z.B. die Bank) die Haftung für die Zahlung übernimmt.
• Das Aviso bzw. die Zahlungsbestätigung ist elektronisch signiertund kann damit als nachprüfbarer Beleg verarbeitet bzw. archiviert werden.
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EPS
• Erlaubt Bezahlen über Online-Banking bei E-Government Anwendungen und Webshops.
• Wird von den meisten österr. Online-Banking Systemen unterstützt:
• BAWAG-PSK Gruppe• Raiffeisen Gruppe• ERSTE Bank u. Sparkassen• BA-CA Gruppe
• Info: www.stuzza.at
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
EPS Zahlungsablauf
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Ausblick:Online Banking mit Signaturkarte
• Mehr Sicherheit als bei PIN und TAN– zB gegenüber Phishing-Attacken
• Derzeit nur bei BAWAG• 2005 auch bei anderen Banken der BAWAG P.S.K.
Gruppe• Ab 2005 sind alle Bankkarten signaturfähig
E-Si
gnat
ur,
E-G
over
nmet
, E-
Zahl
ungs
verk
ehr
Ende
Ich danke für Ihre Aufmerksamkeit.
