Präsentationsbeginn

4. Bayerischer IT-Rechtstag

IT-Sicherheit und E-GovernmentAnforderungen an Verschlüsselung und Signaturen

München, 27.10.2005

Dr. Jyn Schultze-Melling LL.M.

3IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

IT-Sicherheit und E-Government

1. Grundlagen: Verschlüsselung, Signaturen und Zertifikate – IT-Sicherheit und E-Government als

Symbiose– Technische Eckdaten

2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen

3. Sicherheitsanforderungen bei der elektronischen Kommunikation

4. Ausblick– Entwicklung digitaler Signaturen– Sicheres E-Government?

01001010101011010101010110100101010101101010011010101011010101010101010100101001010010101010110101011010101010101010101010101010010101010110101010101101001010101011010100110101010110101010101010101001010010100101010101101010110101010101010101010101010100101010101101010101011010010101010110101001101010101101010101010101010010100101001010101011010101101010101010101010101010100101010101101010101011010010101010110101001101010101101010101010101010010100101001010101011010101101010101010101010101010101001010101011010101010110100101010101101010011010101011010101010101010100101001010010101010110101011010101010101010101010101010010101010110101010101101001010101011010100110101010110101010101010101001010010100101010101101010110101010101010101010101010010110101010010110101010011010110110101010101010101010101010010110101010010110101010011010110110101010101010101010101010010110101010010110001010110

1. Grundlagen: Verschlüsselung, Signaturen und Zertifikate

5IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

– IT-Sicherheit ist notwendiger Bestandteil eines sicheren unddamit verfassungsgemäßen E-Governments

– E-Government kann die Grundlagen legen für eine verstärkteIT-Sicherheit auch im unternehmerischen Umfeld

1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateIT-Sicherheit und E-Government als Symbiose

E-Government IT-Sicherheit

6IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Kommunikation per E-Mail – Klageeinreichungen– Verwaltungs- und Widerspruchsbescheide– Anträge– Gebührenerhebung

Kommunikation über das Web– Individuelle Information des Bürgers– Staatliche Verbraucherdienste– Leistungsplattformen (E-Vergabe)

Sonstige Wege der elektronischen Kommunikation– Elektronische Aktenführung und Archivierung– Verschlüsselung als Zugriffskontrolle – Authentisierung durch Zertifikate

1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateMittel und Wege der elektronischen Kommunikation beim elektronischen Regieren

7IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

1. Grundlagen: Verschlüsselung, Signaturen und Zertifikate Technische Aspekte der elektronischen Kommunikation

digitale Signaturen

Zertifikate

Verschlüsselung

8IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateArten der Verschlüsselung

Verschlüsselung

Asymmetrische Verschlüsselung

Symmetrische Verschlüsselung

Hybrid Verschlüsselung

9IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateFunktionsprinzip der symmetrischen Verschlüsselung

10IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateFunktionsprinzip der asymmetrischen Verschlüsselung

11IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

1. Grundlagen: Verschlüsselung, Signaturen und ZertifikateFunktionsprinzip der elektronischen Signatur

2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen

§

13IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Verwaltungsverfahrensgesetz (VwVfG)

§ 3a VwVfG Regelung zur elektronischen Kommunikation

§ 33 VwVfG Beglaubigungen

§§ 37 Abs. 2, 3 und § 44 Abs. 2 VwVfG

Regelungen zum elektronischen Verwaltungsakt

§ 37 Abs. 4 VwVfG Erfordernis dauerhafter Überprüfbarkeit von qualifizierten Signaturen bei Verwaltungsakten

§ 39 Abs. 1 VwVfG Elektronische Begründung eines Verwaltungsaktes

§ 41 Abs. 2 VwVfG Zugang elektronischer Verwaltungsakt

14IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen

Das Signaturgesetz (SigG)

Einfache Signatur (§ 2 Nr. 1 SigG)

– Alle Daten in elektronischer Form, welche anderen Daten beigefügtoder mit Ihnen verknüpft sind und die in irgendeiner beliebigen Formder Authentifizierung dienen (z. B. auch eingescannte Unterschriften)

Fortgeschrittene Signatur (§ 2 Nr. 2 SigG)

– Ausschließliche Zuordnung dem Signatur-Inhaber– Ermöglichung der Identifikation des Signierenden– Alleinige Kontrolle der Signatur durch den Inhaber erforderlich

(z. B. PGP oder Email-Zertifikate)

15IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Qualifizierte elektronische Signaturen

– müssen gem. § 2 Nr. 3 a SigG auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen

– und gem. § 2 Nr. 3 b mit einer sicheren Signaturerstellungseinheit erzeugt sein.

– Erfordernisse richten sich nach §§ 5-14 SigG

2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Signaturgesetz (SigG)

16IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Akkreditierte Signaturen

– sind qualifizierte elektronische Signaturen i. S. v. § 2 Nr. 3 a SigG

– Zusätzliche Sicherheit durch Nutzung eines Zertifizierungsdiensteanbieters, der die Erfordernisse der §§ 5-14 SigG erfüllt und dieses zusätzlich in einer Vorabprüfung (freiwillige Akkreditierung) i. S. v. § 15 SigG nachgewiesen hat.

– Qualifizierte elektronische Signaturen eines akkreditierten Zertifizierungsdiensteanbieters bieten daher das höchste Sicherheitsniveau des SigG

2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Signaturgesetz (SigG)

17IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

§ 5 TDG Teledienste sind zulassungs- und anmeldefrei

§ 6 TDG Impressumspflicht

§ 11 BGG –

Gesetz zur Gleichstellung behinderter Menschen (Behindertengleichstellungsgesetz) vom 27. April 2002 (BGBl. I S. 1467)

Verpflichtung zur Berücksichtigung der Bedürfnisse von Personen mit Behinderungen bei der Gestaltung von Online-Angeboten für die Bundesverwaltung. (Es ist zu erwarten, dass die Länder bald entsprechende Gesetze verabschieden.)

BITV – Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz (Barrierefreie Informationstechnik-Verordnung) vom 17. Juli 2002 (BGBl. I 2002, S. 2645)

Festlegung der konkret anzuwendenden technischen Standards, die zu gestaltenden Bereiche und Arten amtlicher Information sowie die einzubeziehenden Gruppen behinderter Menschen.

2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Teledienstgesetz (TDG) und Gleichstellung (BGG und BITV)

18IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

§ 4 Abs. 1 TDDSG, § 18 Abs. 1 MDStV

Im Falle einer Online-Registrierung mit Erhebung personenbezogener Daten vor Nutzung eines Diensteangebots muss der Nutzer vor der Erhebung über Umfang, Ort und Zweck der Erhebung unterrichtet werden. Der Diensteanbieter hat auf das Recht zum Widerruf erteilter Einwilligungen hinzuweisen.

§ 4 Abs. 4 TDDSG Es ist sicherzustellen, dass Nutzer Teledienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können.

§ 4 Abs. 4 TDDSG Pseudonyme Nutzungs- und Bezahlverfahren müssen angeboten werden, soweit dies technisch möglich und zumutbar ist.

§ 6 Abs. 3 TDDSG, § 19 Abs. 4 MDStV

Ein Diensteanbieter darf nur für Zwecke der Marktforschung, der bedarfsgerechten Gestaltung des Dienstes oder für Zwecke der Werbung Nutzerprofile unter Verwendung von Pseudonymen erstellen.

2. Gesetzliche Hintergründe und relevante Rechtsgrundlagen Das Teledienstedatenschutzgesetz (TDDSG)

3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government

20IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Grundsätzliche Anforderungen

– Vertraulichkeit – Integrität – Authentizität – Nicht-Abstreitbarkeit

Weitere Anforderungen

– Verfügbarkeit Schriftform-Erfordernis – Identifizierbarkeit

– Abbildbarkeit

– Adressierbarkeit

3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government

21IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Beispielproblem: Schriftformersatz

Akkreditierte Signatur Qualifizierte Signatur

§ 126a BGB, § 3a VwVfG: Ersatz für gesetzlich vorgeschriebene Schriftform

Auch Schriftformersatz, soweit für die Signatur die dauerhafte Überprüfbarkeit vorgeschrieben ist: Grundsätzlich möglich für Verwaltungsakte (VA) (§ 37 Abs. 4 VwVfG); bisher vorgesehen z. B. für VA für Abschluss des förmlichen Verwaltungsverfahrens (§ 69 Abs. 2 S. 2 VwVfG) und für Unterschrift des Bediensteten bei Beglaubigungsvermerk(§ 33 Abs. V Nr. 2 VwVfG)

§ 126a BGB, § 3a VwVfG: Ersatz für gesetzlich vorgeschriebene Schriftform

Aber: Risiko des Nicht-Bestehens der behaupteten Sicherheit

=> Grundsätzlich kein Schriftformersatz, soweit für die Signatur die dauerhafte Überprüfbarkeit vorgeschrieben ist

3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government

22IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Beispielproblem: Beweiseignung

Akkreditierte Signatur Qualifizierte Signatur

§ 292a ZPO:Anschein der Echtheit der Signatur

Für Nachweis qualifizierter Signatur: Inanspruchnahme der „technisch-organisatorischen” Sicherheitsvermutung nach § 15 Abs. 1, Abs. 4 SigG.

§ 292a ZPO:Anschein der Echtheit der Signatur

Für Nachweis qualifizierter Signatur: allenfalls Bitte an den Richter möglich, vom Signaturaussteller die Vorlage der Signaturerstellungseinheit (§ 144 ZPO) und vom Zertifizierungsdiensteanbieter die Vorlage seiner Dokumentation (§ 142 ZPO) zu verlangen.

3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government

23IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Sicherheitsaspekte bei der praktischen Anwendung

– Interne Risiken– Technische Fehler– Anwendungsfehler– Verlust der Schlüssel– Mitlesen oder Manipulation durch Unbefugte

– Externe Risiken– Betrugsversuche– Manipulationsgefahr

3. Sicherheitsanforderungenbei der elektronischen Kommunikation im E-Government

24IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Voraussetzungen für den korrekten Einsatz

– Organisation– Integration der IT-Sicherheit in die behördlichen Abläufe

– „Chefsache IT-Sicherheit“ gilt auch für den Staat

– Technische Ausstattung– Open Source vs. proprietäre Software

– Schlüsselmanagement im interbehördlichen Dienst

– Benutzerakzeptanz– Sensibilität wecken und Know-how erschaffen

– Kontinuierliche Fortbildung und Kooperation (BSI CERT)

3. Sicherheitsanforderungen bei der elektronischen Kommunikation im E-Government

4. Ausblick

26IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

4. AusblickAuswirkungen auf das E-Government

27IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

4. AusblickSicheres E-Government?

28IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

4. AusblickSicheres E-Government?

29IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

4. AusblickSicheres E-Government?

30IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Fazit:

1. IT-Sicherheit ist unabdingbare Voraussetzung für ein funktionierendes E-Government

2. Die breite Durchdringung der Gesellschaft mit digitalen Signaturen bedingt ein sicheres E-Government

3. Maßnahmen auf legislativer und exekutiver Ebene sind erforderlich, um E-Government voranzutreiben

4. AusblickSicheres E-Government?

31IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Kontakt

Vielen Dank für Ihre Aufmerksamkeit.

Haben Sie noch Fragen?

Dr. Jyn Schultze-Melling LL.M.Nörr Stiefenhofer Lutz

Brienner Straße 2880333 München

E-Mail: jyn.schultze-melling@noerr.com Tel.: +49 (89) 28628 542

www.noerr.com

32IT-Sicherheit und E-Government - Anforderungen an Verschlüsselung und Signaturen

Rechtliche Aspekte der IT-Sicherheit

– http://www.it-sicherheitsrecht.de

IT-Sicherheit allgemein

– http://www.itseccity.de– http://www.heise.de/itsec– http://www.it-sicherheit-fachzeitschrift.de/– http://www.competence-site.de/itsecurity.nsf/– http://www.bsi.bund.de/– http://www.kes.info/

Weiterführende Informationen im Internet