Kommentar zur eID-Strategie der Bundesregierung, Teil 2

E-Akten als Alternative zur Online-Durchsuchung?

| Autor / Redakteur: Joachim Jakobs / Stephan Augsten

De-Mail soll ein zentraler Treiber in der eID-Strategie der Bundesregierung werden.
De-Mail soll ein zentraler Treiber in der eID-Strategie der Bundesregierung werden. (Bild: Berliner Senat)

Bislang konnte der neue Personalausweis die Erwartungen seiner Mütter und Väter nicht erfüllen. Weder die De-Mail noch elektronische Behördengänge oder Bezahlvorgänge werden auf absehbare Zeit etwas daran ändern. Doch die Bundesregierung hält unbeirrt am Zeitplan ihrer eID-Strategie fest.

Der Vorsitzende des Verbands der Deutschen Internetwirtschaft eco, Michael Rotert ist der Meinung: „[...] bei Privatnutzern wird sich die De-Mail wegen der fehlenden Ende-zu-Ende-Verschlüsselung nicht durchsetzen". Damit will sich Thomas de Maizière aber nicht abfinden, er macht dem Dienst Dampf: Beim IT-Gipfel im Oktober 2014 kündigte der Innenminister an, dass bis Ende 2015 über 200 Bundesbehörden über De-Mail kommunizieren sollten.

Das ist nur konsequent – schließlich schreibt die Bundesregierung in ihrem Programm „Digitale Verwaltung 2020“: „Es soll zukünftig Standard werden, dass die öffentliche Verwaltung für die Bürgerinnen und Bürger auch elektronisch erreichbar ist.“ Das zu Grunde liegende e-Government-Gesetz gilt dabei unter anderem für

  • die „Behörden des Bundes einschließlich der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts“
  • „die öffentlich-rechtliche Verwaltungstätigkeit der Behörden der Länder, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts“.

Im November 2014 hat de Maizière den Entwurf seines IT-Sicherheitsgesetzes aktualisiert. Die aktualisierte Fassung will den Internet-Diensteanbietern jetzt erlauben, Nutzerdaten zur Beseitigung von „Störungen“ ihres Angebots zu sammeln.

Ergänzendes zum Thema
 
„Völlige Überwachung“ durch das IT-Sicherheitsgesetz?

Klar ist jedenfalls der Zeitplan, dem die Behörden bei der Digitalisierung ihrer Prozesse unterliegen: Seit der Verkündung des e-Government-Gesetzes im Sommer vergangenen Jahres müssen die Akten der Bundesbehörden digitalisiert vorliegen. Ab 1. Januar 2015 muss die Verwaltung in der Lage sein, sich gegenüber den Bürgern auszuweisen, wenn sie Dienstleistungen anbieten. Ab 2020 müssen Akten elektronisch geführt werden.

Das EGovG ist im August 2013 in Kraft getreten, seine vollständige Umsetzung erfolgt schrittweise.
Das EGovG ist im August 2013 in Kraft getreten, seine vollständige Umsetzung erfolgt schrittweise. (Bild: Materna)

Diese Dienstleistungen werden schrittweise eingeführt und werden von einer Reihe von Werkzeugen unterstützt – zum Beispiel:

  • die De-Mail
  • die elektronische Akte (§6 eGovG)
  • das elektronische Formular (§13 eGovG) und
  • der elektronische Nachweis (etwa für Zeugnisse, Quittungen, Urkunden, …§5 eGovG )
  • die elektronische Bezahlfunktion (§4 eGovG)

Die verschiedenen Funktionen lassen sich dann wie aus einem Baukasten vom jeweiligen Anbieter bündeln – so gibt es Führungszeugnisse digital, wie eGovernment-Computing.de berichtet: „Führungszeugnisse können ab sofort online per Internet beantragt und bezahlt werden. Um sich identifizieren zu können, sind der neue elektronische Personalausweis mit freigeschalteter eID-Funktion sowie ein Kartenlesegerät erforderlich.“

Aber: „Da der Großteil der Verwaltungskontakte der Bürger mit den kommunalen Behörden bestehen, liegt dort der entscheidende Schlüssel für eine breite Nutzung von E-Government-Anwendungen“, heißt es in der „Digitalen Verwaltung 2020“, einer Broschüre der Bundesregierung. Die „Kommunale Gemeinschaftsstelle für Verwaltungsmanagement (KGSt)“ will über 2.000 Leistungen identifiziert haben, die die Kommunen künftig elektronisch anbieten könnten.

Die Bürger im Sächsischen Kamenz kommen bereits in den Genuss kommunalen eRegierens, Heiratswütige können sich schon heute online anmelden. Ähnliche Dienstleistungen gibt es für Unternehmen: Wer in Brandenburg eine Firma gründen will, muss nicht mehr nach Potsdam aufs Amt, sondern kann das bequem übers Netz tun.

Jetzt will die Bundesregierung die Entwicklungsgeschwindigkeit neuer Angebote erhöhen – in ihrer Broschüre schreibt sie: „Mit dem Pilotvorhaben 'Modellkommune E-Government' soll das Potenzial des EGovG auf kommunaler Ebene aufgezeigt werden. Das Pilotvorhaben wurde im Januar 2014 mit drei Modellkommunen (Städte Gütersloh und Düren, Landkreis Cochem-Zell) gestartet. Am 11. Juni 2014 erfolgte der Start für die Bewerbungsphase in der zweiten Staffel, in der fünf weitere Modellkommunen ausgewählt werden. Am Ende des Modellvorhabens soll ein Leitfaden ‚Weg zur E-Government-Kommune‘ als Handreichung für Kommunen erarbeitet werden.“

Ergänzendes zum Thema
 
Der Mensch unterm Datenmikroskop

Und was ist mit der Sicherheit? Die Vitako, die Bundesarbeitsgemeinschaft der Kommunalen IT-Dienstleister, weist in einer Broschüre zur „Einführung der E-Akte“ darauf hin: „Der IT-Sicherheitsbeauftragte unterstützt bei der Schutzbedarfsfeststellung, einem Basis-Sicherheitscheck, einer Risikoanalyse sowie der Identifikation geeigneter Maßnahmen.“

Die E-Akten enthielten Informationen zur Handlungsweise und den Entscheidungswegen der Verwaltung. Die Einführung der elektronischen Aktenführung erfordere daher in verstärktem Maße die Absicherung der erforderlichen IT-Systeme gegen Ausfall, Datenmanipulation, unberechtigten Zugriff oder Datenverlust.

„Erstellen Sie zum Schutz Ihrer Daten nach den Vorgaben der IT-Sicherheitsbeauftragten ein Sicherheitskonzept für die elektronische Akte, in dem die abzusichernden Ziele und hierzu ergriffenen Maßnahmen dokumentiert werden“, empfiehlt die Vitako Im Anhang nennt das Dokument zahlreiche weitere Informationsquellen mit vielen hundert Seiten Empfehlungen des BSI zur Informationssicherheit – etwa die Technische Richtlinie zur „Beweiswerterhaltung kryptographisch signierter Dokumente“ oder das IT-Grundschutzhandbuch.

Ein wenig nebulös formuliert das e-Government-Gesetz im Vergleich dazu: „Wird eine Akte elektronisch geführt, ist durch geeignete technisch-organisatorische Maßnahmen nach dem Stand der Technik sicherzustellen, dass die Grundsätze ordnungsgemäßer Aktenführung eingehalten werden.“

Nicht viel aufschlussreicher ist die „Digitale Verwaltung 2020“: „Daten, die von E- Government-Diensten verarbeitet werden, müssen authentisch und zugriffsgeschützt sein. Ferner sind nur so viele Daten zu erheben, wie für den Dienst wirklich benötigt werden. Diese und weitere Sicherheitsaspekte müssen von Anfang an bei der Entwicklung von E-Government-Angeboten berücksichtigt werden.“

Blick auf den neuen Personalausweis

Kommentar zur eID-Strategie der Bundesregierung

Blick auf den neuen Personalausweis

25.11.14 - E-Mail, E-Commerce, E-Government: Elektronische Dienste und Vorgänge haben durchaus ihren Reiz, doch mit der Rechtssicherheit ist es nicht immer allzu weit her. Vor diesem Hintergrund will die Bundesregierung mit dem neuen Personalausweis einen digitalen Identitätsnachweis etablieren. Doch hält der nPA, was die Regierung verspricht? lesen

Die Pressestelle des Innenministeriums bestätigt auf die Frage nach der technischen Umsetzung und den Verschlüsselungsmechanismen: „Im Gesetz sind explizite Regelungen zur Art der Verschlüsselung nicht enthalten. Ob und ggf. wie Akteninhalte, Formulare oder Nachweise bei der Speicherung und/oder Übermittlung durch eine Behörde zu verschlüsseln sind, ergibt sich aus den allgemeinen Regeln, z.B. den einschlägigen Datenschutzvorschriften und hängt damit nicht zuletzt vom Inhalt dieser Dokumente ab.“

Mit „allgemeinen Regeln“ könnte etwa das IT-Sicherheitsgesetz gemeint sein. Dazu heißt es allerdings auch im aktualisierten Gesetzesentwurf: „Die Kommunikationstechnik von Regierung, Parlament und öffentlicher Bundesverwaltung ist nach Satz 3 von den Kritischen Infrastrukturen im Sinne des BSI-Gesetzes ausgenommen. Als Spezialregelung gelten hier die §§ 4, 5 und 8 des BSI-Gesetzes. Die Verwaltungen der Länder und Kommunen sind ebenfalls ausgenommen, da der Bund für sie keine Gesetzgebungskompetenz besitzt.“

Karsten Nohl, Krypto-Experte und Geschäftsführer der Security Research Labs in Berlin stellt dazu fest: „Der De-Mail-Datenstrom stellt alle bisherigen Datenquellen in den Schatten und kreiert entsprechend nie dagewesene kriminelle Anreize“. Wert legt der Innenminister stattdessen auf die Kompetenz seines Personals – in der Mail seiner Pressestelle heißt es weiter: „Maßnahmen zur Kompetenzentwicklung der Mitarbeiter halten wir für wichtig.“

In den kommenden Monaten werden wir uns auf Security-Insider.de mit verschiedenen Telematik-Projekten sowie deren jeweiligen Risiken und Überwachungsmöglichkeiten beschäftigen. Hierbei wird es beispielsweise um intelligente Gebäude und Smart Grids gehen, weitere Beiträge sind zu intelligenten Städten und Verkehrstelematik sowie Telemedizin und Gesundheitstelematik geplant.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43117768 / Smartcard und Token)