Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Die Bürgerkarte Nur ein e-Government-Instrument ? Arno.Hollosi Gregor.Karlinger Alexander.Leiningen

Ähnliche Präsentationen


Präsentation zum Thema: "Die Bürgerkarte Nur ein e-Government-Instrument ? Arno.Hollosi Gregor.Karlinger Alexander.Leiningen"—  Präsentation transkript:

1 Die Bürgerkarte Nur ein e-Government-Instrument ? Arno.Hollosi Gregor.Karlinger Alexander.Leiningen

2 Informatik Akademiewww.buergerkarte.at Übersicht e-Government allgemein Konzept Bürgerkarte Was bringen Bürgerkarten Rechtsrahmen des e-Government E-Government Gütesiegel

3 Informatik Akademiewww.buergerkarte.at E-Government allgemein Conveniance für den Bürger Amtsbesuch von der Couch One-Stop-Government Beschleunigung der Verfahren Keine (unsicheren) Paßwörter merken Vorteile für den öffentlichen Sektor Großes Einsparungspotential Integrales Element der Verwaltungsreform Österreich als Vorreiter des europäischen Trends Strengster Datenschutz Ziel: gläserne Verwaltung Nichtziel: gläserner Mensch Qualitätskontrolle durch Public Private Partnership Detaillierte Modelle und ausgereifte Prototypen werden von der öffentlichen Hand entwickelt Wirtschaft gratis u. inkl. Modifikationsrecht zur Verfügung gestellt Koordinierte und harmonisierte e-Government-Strategie für den ganzen öffentlichen Sektor

4 Informatik Akademiewww.buergerkarte.at e-Government Struktur Österreichs BKA IKT-Stabsstelle Berichtswesen- Qualitätsmanagement Organisation-Strategie Schnittstellen-Standards IKT-Board CIO Bund Chief Information Officer pro Ministerium (CIO) Technische Arbeits- gruppe der Länder Gemeinde- und Städte-Vertreter Arbeits- gruppe Arbeits- gruppe Arbeits- gruppe

5 Informatik Akademiewww.buergerkarte.at Übersicht e-Government allgemein Konzept Bürgerkarte Was bringen Bürgerkarten Rechtsrahmen des e-Government E-Government Gütesiegel

6 Informatik Akademiewww.buergerkarte.at Die Rolle der Bürgerkarten Bürgerkarten als Key-Element für eine sichere e-Government- Infrastruktur in Österreich Konzept und nicht spezielle Karte Offenheit des Konzepts: nicht exklusiv für Verwaltung, Einsatz auch im e-Commerce (etwa: nächste Generation der Bankkarten) Bürgerkarten als Initialzündung für die Verbreitung elektronischer Signaturen in Österreich Aufkommensneutral – Finanzierungsmöglichkeiten Signaturkarte schon vorhanden (keine Mehrkosten d. Personenbindung) Sponsoring (etwa: StudentenserviceCards, OCG-Karte) Öffentliche Förderungsmodelle (wegen massiver Kosteneinsparung´) Initiale Förderung neuer Technologien durch die öffentliche Hand Sichere Signatur Personenbindung Security Layer Einzige Anforderungen

7 Informatik Akademiewww.buergerkarte.at Konzept Bürgerkarte Das Konzept Bürgerkarte ist der Schlüssel zum e-Government ein logisches Modell kein konkreter Token als solches Mindestanforderungen Sichere elektronische Signatur Personenbindung Infoboxen Security Layer alle Karten, die das erfüllen sind bürgerkartenfähig Light Versionen bei Bedarf möglich

8 Informatik Akademiewww.buergerkarte.at Funktion der Bürgerkarte Ausweis zur Identifikation auf der Reise am Datenhighway Bürgerkarte als Schlüssel für die Kommunikation mit der Verwaltung Höherer Sicherheitsbedarf als derzeit im E-Commerce erreicht Aufbewahrung der Signaturerstellungsdaten (must) Distribution des Zertifikats (must) Infoboxen (optional) Informationen, die zusätzlich vom Karteninhaber benötigt werden Rechte und Pointer auf andere Informationen (z.B. Vollmachten)

9 Informatik Akademiewww.buergerkarte.at Technologieneutralität Schnittstellen e- Government Anwendung Marktplatz Portal USERPPPVERWALTUNG

10 Informatik Akademiewww.buergerkarte.at Personenbindung Auf Chipkarte von Behörde abgelegt, besteht aus: Basisbegriff (ZMR Zahl), Hinweis auf die Zertifikate Gültigkeitsdauer Eindeutige Identifikation des Bürgers im Verfahren durch Beigabe der Personenbindung anhand seiner elektronischen Unterschrift auf dem anzubringenden Dokument. Vom Datenschutzrat genehmigt - Auflagen: sicherer Übertragungsweg Abfrage von Daten nur durch berechtigte Personen Speicherung des Basisbegriffs hat zu unterbleiben

11 Informatik Akademiewww.buergerkarte.at Datenschutz und ZMR (1) Eindeutiger lebenskonstanter Ordnungsbegriff hoher Qualität Datenschutzproblematik ZMR-Nummer, SV-Nummer? Lösung: Verfahrenskennung Ableitung aus ZMR und Verfahrens(gruppen)name Erfüllt alle Anforderungen In den Datenbeständen der Verwaltung wird stets nur die verfahrensabhängige Kennung, nie aber der Basisbegriff gespeichert. Damit wird die Zusammenführbarkeit (Rasterabgleich) von Datenbeständen gegenüber der jetzigen Situation nicht ausgeweitet.

12 Informatik Akademiewww.buergerkarte.at Datenschutz und ZMR (2) Basisbegriff Verfahrenskennung nicht rückführbare Ableitung (Hash [z.B. SHA-1]) z.B. ZMR, ZVR,... z.B. Steuerverfahrenz.B. Führerschein keine Umrechnung möglich

13 Informatik Akademiewww.buergerkarte.at Infobox Datenspeicher für Zertifikate Personenbindung Nicht näher definierter Bereich f. sonstige Daten Verweise für Vollmachten oder andere Daten möglich Steuerberater, Treuhänder etc. (z.B. Pointer auf Datensafe) Funktionalität: Lesen Schreiben Zugriffsschutz Management durch den Benutzer (Freiwilligkeit!) z.B. Vergabe von Lese- und Schreib-PIN, Eingabe durch den Benutzer Vergabe von Rechten je nach Applikation

14 Informatik Akademiewww.buergerkarte.at Security-Layer Schnittstelle zwischen Applikation und Bürgerkartenumgebung Kartenhersteller muss nicht auf Applikationen Rücksicht nehmen Applikationsentwickler sind nicht für Kompatibilität mit verschiedenen Karten verantwortlich Bietet eine logisch, abstrakte Sicht auf die tatsächliche physikalische Implementation

15 Informatik Akademiewww.buergerkarte.at Signatur erstellen (sichere und einfache) verifizieren Formate: XML und CMS Infoboxen Lesen und Schreiben Arten: Binärdatei, Assoziatives Feld Utility-Funktionen Status (Karte vorhanden?) Erzeugen von Sessionkeys Eigenschaften der Umgebung Funktionen des Security-Layers

16 Informatik Akademiewww.buergerkarte.at Applikationen u. Security-Layer Applikationen greifen ausschließlich über Security-Layer auf die Bürgerkartenumgebung zu Für Applikation sind Art und Handhabung der Zugriffsrechte transparent Applikation soll sich nicht um Details kümmern müssen Keine bescheinigungspflichtigen Komponenten in der Applikation

17 Informatik Akademiewww.buergerkarte.at Arten von Zertifikaten Signaturdienstzertifikate Serverzertifikate zertifikate Authentisierungszertifikate Verschlüsselungszertifikate Qualifizierte Zertifikate

18 Informatik Akademiewww.buergerkarte.at Zertifikatsinhalte u. -erweiterungen Name des Ausstellers (ZDA) Namen des Signators Prüfdaten des Signators Gültigkeitsdauer Eindeutige Kennung des Zertifikats Allfällige Beschränkungen Verwaltungskennzeichen (OID) Keine Rollen und Berechtigungen abbilden

19 Informatik Akademiewww.buergerkarte.at Verzeichnisdienste Speicherung und Publikation von Zertifikaten und Widerrufslisten (CRLs) Öffentlicher Schlüssel muss bekannt sein LDAP, HTTP öffentlicher Zugriff per URL (HTTP) oder Distinguished Name (LDAP) Vollständiger Vorname in Verbindung mit vollständigem Nachnamen Vollständige adresse Seriennummer des Zertifikats Erweiterter Zugriff für besonders vertrauenswürdige Personen Wildcardsuche Nachname, Vorname, adresse, Distinguished Name CRLs sollen allgemein und kostenfrei zugänglich sein

20 Informatik Akademiewww.buergerkarte.at Signaturdienstzertifikate Zertifikatsverwendung Automationsgestütztes Signieren von Daten Sichert Integrität von Daten Identifizierung ihres Ursprungs Unterzeichnung von Daten eines Registers Unterzeichnung von ausgehenden Bescheiden Zertifikatsinhalte und –erweiterungen Schlüsselverwendung Bezeichnung u. Beschreibung des Signaturdienstes Verwaltungskennzeichen (OID) CRL Verteilungspunkt Verweis auf Zertifikatspolicy des ZDA

21 Informatik Akademiewww.buergerkarte.at Serverzertifikate Ermöglichen digitale Identifizierung eines Servers Informationen über Webserver u. verantwortliche Organisation Für SSL Aufbau notwendig Erlauben beidseitige Authentifizierung Zertifikatsinhalte u. –erweiterungen ähnlich Signaturdienstzertifikaten Distinguished Name Country State Locality Organisation Organizational Unit Common Name (vollqualifizierter Name des Servers) (des Verantwortlichen)

22 Informatik Akademiewww.buergerkarte.at zertifikate Zertifikatsinhalt u.-erweiterung Bezeichnung des Bediensteten adresse Verwaltungskennzeichen (OID) Schlüsselverwendung Ausschließlicher Verwendungszweck: signieren elektronischer Post Datenintegrität Authentisierung des Ursprungs CRL Verteilungspunkt Verweis auf Zertifikatspolicy des ZDA

23 Informatik Akademiewww.buergerkarte.at Authentisierungszertifikate Ausschliesslich zur Authentifizierung Webaccess Tunnelverbindungen Zu behandeln wie zertifkate

24 Informatik Akademiewww.buergerkarte.at Verschlüsselungszertifikate Stellen Vertraulichkeit sicher Zertifikat für digitale Signatur soll nicht für Verschlüsselung verwendet werden (OECD) Einige Mailclients benötigen sowohl Signatur- als auch Verschlüsselungszertifikat für S/Mime Besonderes Augenmerk muss auf Schlüsselverwahrung gelegt werden Möglicher Ansatz: Mehrere User nützen gleiches Schlüsselpaar

25 Informatik Akademiewww.buergerkarte.at Lebenszyklus eines Zertifikates Regelt Erwerb, Installation, Verlängerung u. Widerruf Technischer Verantwortlicher Liefert techn. Angaben für ZDA Techn. Ansprechpartner für Implementierung Organisatorischer Verantwortlicher Prüft Berechtigungen Widerruf Berechtigungsnachweis

26 Informatik Akademiewww.buergerkarte.at Belehrung Benutzer muss verantwortlich handeln Nutzen und Zweck eines Zertifikats Stellt keine Ermächtigung dar Passwortregelungen Widerrufsgründe Vorgehen bei Verlängerung Konsequenzen bei unsachgemäßer Verwendung

27 Informatik Akademiewww.buergerkarte.at Übersicht e-Government allgemein Konzept Bürgerkarte Was bringen Bürgerkarten Rechtsrahmen des e-Government E-Government Gütesiegel

28 Informatik Akademiewww.buergerkarte.at Was bringt die Bürgerkarte? Sicherheit Zweifelsfreie Identifikation d. Users (Authentizität) Unverfälschtheit der Daten (Integrität) Verschlüsselung Unabhängigkeit von Ort und Zeit 7 Tage die Woche, 24 Stunden Bits sollen Laufen – keine Bürger Verkürzte Wartezeiten Online statt Inline One Stop Government Lebenssituationsprinzip Eine Anlaufstelle für alle Anliegen

29 Informatik Akademiewww.buergerkarte.at Anbringen - Sicht des Bürgers Signiertes Dokument (Formular) XML automatisch verarbeitbar, gute Anbindung an Applikationen gute Darstellbarkeit mittels Stylesheets zahlreiche Werkzeuge vorhanden signaturfähig mit W3C XMLDSig unabhängig von System und Plattform Erlaubt Mehrsprachigkeit Beilagen (getrennt signiert) Andere Dokumente, Zahlungsbestätigungen (Stuzza) Personenbindung Vollmacht Information über Art der Zustellung des Bescheides

30 Informatik Akademiewww.buergerkarte.at optionale Applikationen des Portals Hilfestellung beim Anbringen Kommunikation mit der Verfahrensapplikation Postfach zur Hinterlegung eines Bescheides Persönliches Dokumentenarchiv Überblick über laufende Verfahren

31 Informatik Akademiewww.buergerkarte.at Anbringen - Sicht der Applikation Einlauf Security Entrance überprüft Signatur Zertifikat Identität (=Personenbindung) Vollmachtskette Security Entrance leitet verfahrensabhängige Kennung (VPK) ab Applikation Verarbeitet das Anbringen Proxy/Middleware Zur Einbindung bestehender Anwendungen

32 Informatik Akademiewww.buergerkarte.at Elektr. Verfahren – Designphilosophie Universelle Einsetzbarkeit Felder optional wo möglich Einfache Erweiterung Organisationsübergreifend Modularer Aufbau Wiederverwendbarkeit Verwenden von vorhandenen Standards Rad nicht neu erfinden Hersteller-neutral Abhängigkeiten und Monopole vermeiden

33 Informatik Akademiewww.buergerkarte.at Elektronisches Verfahren FORMULAR Styleguide- konform Webbasiert BürgerIn Signatur Security Layer Bürgerkarte Formular Beilagen Zustellungs- info Signatur + Help.gv ? Security Entrance EInLAUFEInLAUF ZDA Zustellservice Hilfe Dokumentensafe APPLIKATIONENAPPLIKATIONEN Verfahrenskennung Nicht umkehrbar Signatur, Zertifikat, Personenbindung Überpüfung Gemeinde Statusmeldung

34 Informatik Akademiewww.buergerkarte.at Lebenssituationen Portal Umzug Unternehmensgründung Geburt Lebenssituationen HeiratSteuer MeldezettelSteuerFührerscheinPass Kirchensteuer

35 Informatik Akademiewww.buergerkarte.at Ausprägungen der Bürgerkarte SV-Karte (e-card) Personalausweis Studentenausweis Mitgliedskarten Dienstausweis USB-Token PDA Handy-SIM.....

36 Informatik Akademiewww.buergerkarte.at Schülerkarte Elektronische Signatur in Österreich eCard BMI Dienstkarte StudentenServiceCard Bundesamtsgebäude Schülerkarte e-Commerce Signaturtechnologie: RSA 1024 ECC 160 sonstige Kammerkarte Personalausweis Bankkarten Bürgerkarten

37 Informatik Akademiewww.buergerkarte.at OCG-Karte als Bürgerkarte Größere Rollouts bedürfen des Tests durch Pilotprojekte Warum die Österreichische Computergesellschaft als erste Institution, die eine Bürgerkarte ausgibt: Als Dachgesellschaft für Informatik in Österreich integrierende Funktion für Forschung, Privatwirtschaft und Verwaltung Wunsch zur Ausgabe einer Signaturkarte bestand schon bei OCG Ideale zeitliche Übereinstimmung zwischen Ausgabe der Mitgliedskarte und Realisierung des Konzepts Bürgerkarte Überschaubarer Benutzerkreis (ca Mitglieder) Gute Voraussetzungen zum Feldtest aller Komponenten des Konzepts Bürgerkarte Win-Win-Situation für beide Partner innovatives Projekt Konkreter Nutzen für die Mitglieder Einsatz neuester Technologie OCG - CIO Erster Prototyp umgesetzt Referenzprojekt Lerneffekt bei der Realisierung

38 Informatik Akademiewww.buergerkarte.at Bildung.at Universitäten Westverbund (+ Montan) – KeplerCard Ausweisfunktion bm:bwk Zeugnisausdruck Kopierzähler Fortsetzungsbestätigung Mensa-Zutrittskarte Parkplatzbewirtschaftung Elektronische Geldbörse (Quick) Einfache Signatur

39 Informatik Akademiewww.buergerkarte.at WU-Wien und Universitäten Südverbund (ohne Montan) Bildung.at Ausweisfunktion bm:bwk Raumzutrittsfunktion Sichere elektronische Signatur Authentisierungsverfahren

40 Informatik Akademiewww.buergerkarte.at Übersicht e-Government allgemein Konzept Bürgerkarte Was bringen Bürgerkarten Rechtsrahmen des e- Government E-Government Gütesiegel

41 Informatik Akademiewww.buergerkarte.at Wechselwirkung zwischen Recht und Technik Recht bedingt Technik verfassungsverträgliche Technikgestaltung Anpassung an traditionelle Rechtsinstitute Schriftform Nichtabstreitbarkeit von Willenserklärungen Technik bedingt Recht Technik als Vorreiter Prägung der Gesellschaft (Info-Society) Recht reagiert mit Verzögerung auf die durch Technik neu gestaltete faktische Situation wechselseitige Bedingtheit

42 Informatik Akademiewww.buergerkarte.at Grundsätze eines Rechtsrahmens Gesetzliche Determinierung etwa: Datenschutz Technologieneutral - neutrale Begriffe laufende Technologiebeobachtung Unterscheidung: IT-Einsatz nur innerhalb der Verwaltung Schnittstellen (Außenwirkung zum Bürger) Berücksichtigung des Stufenbaus: Gesetzliche Grundlagen Konkretisierung durch Verordnung Intern: Verwaltungsverordnung

43 Informatik Akademiewww.buergerkarte.at e-Government de lege lata SigG+SigVO Abgestuftes System Anforderungen an Karte, ZDAs, technische Formate Rechtswirkung der elektronischen Signatur (Schriftform und Beweiskraft) Rechte und Pflichten von Signator und ZDA DSG 2000 – Datensicherheit MeldeG, MeldeVO – ZMR-Abfrage Verwaltungsverfahrensnovelle 2000 VerwaltungsreformG 2001 Div. Regelungen in Materiengesetzen (GewO, HSG etc)

44 Informatik Akademiewww.buergerkarte.at Verwaltungsverfahrensnovelle 2000 VerwaltungsreformG 2001 Einzelgesetzliche Ermächtigung für Bürgerkarten im eGovernment Normierung von ZMR-Zahl und Personenbindung Speicherung am Chip nur bei Signaturanwendungen Ausgangszahl für Identifikation Nur Hash-Wert übermittelt Darf nicht gespeichert werden Anbringen können durch die Behörde elektronisch verarbeitet werden Bürger kann aber weiter konventionell einbringen Selbe Beweiskraft, wenn nicht veränderbar Niederschriften bedürfen keiner Unterschrift, wenn Leiter der Amtshandlung anders identifizierbar Elektronische Akteneinsicht Elektronische Bereithaltung (E-Zustellung) Bei Aufforderung: Erledigung am Server der Behörde abzuholen Gilt nicht bei Kenntnis der Behörde über elektronische Nichterreichbarkeit Oder, wenn Empfänger fristgerecht glaubhaft macht, daß Abholung aus technischen Gründen unmöglich oder unzumutbar ist

45 Informatik Akademiewww.buergerkarte.at Überlegungen: de lege ferenda Zentrale Normierung (vgl SigG, E-C-G) Klare Rechtsgrundlage für die einzusetzende Technik Technologieneutrale normative Vorgaben Konkretere Spezifikation durch VO unter Einbindung und Verweis auf offene, internationale Standards (zB: W3C) Problem: Welchen Rechtscharakter haben unsere Spezifikationen Besondere Berücksichtigung des Datenschutzes Vereinheitlichung und Standardisierung der einzusetzenden Verfahren Abrundung und Ergänzung des rechtlichen Rahmens für e- Government Schließung bestehender Rechtsdefizite

46 Informatik Akademiewww.buergerkarte.at Der rechtliche Rahmen SigG+SigVO Abgestuftes System Anforderungen an Karte, ZDAs, technische Formate Rechtswirkung der elektronischen Signatur (Schriftform und Beweiskraft) Rechte und Pflichten von Signator und ZDA VerwaltungsreformG 2001 (Bürgerkarte) Rechtliche Anerkennung des ELAK Elektronische Niederschriften Elektronische Bereithaltung als Hinterlegung ASVG – Novelle (Grundlage für SV-Karte) DSG 2000 – Datensicherheit MeldeG, MeldeVO – ZMR-Abfrage BGBlG, GOG + ERV, NO, HSG, Studienevidenzverordnung E-Government Gesetz

47 Informatik Akademiewww.buergerkarte.at Rechtliche Funktion der Unterschrift Abschlussfunktion Willenserklärung ist mit dem Vorgang des Unterschreibens abgeschlossen Echtheitsfunktion Garantiert, dass der unterschriebene Text vom Aussteller stammt Warnfunktion Schutz des Unterzeichners vor Übereilung Identitätsfunktion Sicherung der Identität des Ausstellers Beweisfunktion Beweis, dass die unterschriebenen Erklärungen vom Aussteller stammen

48 Informatik Akademiewww.buergerkarte.at Voraussetzungen für die Eignung I Identitätsfunktion (Identität des Ausstellers feststellbar) private Schlüssel nicht weitergeben Schutz des Schlüssels durch Speicherung auf SmartCard Biometrische Verifikation der Identität vor jedem Schlüsselzugriff wie bei analog aufgebauter Unterschrift Verpflichtung der Nutzer die Weitergabe zu unterlassen Aufklärung über die Folgen einer Weitergabe (ununterscheidbares Handeln von Dritten) geeignete Schlüssellängen Vermeidung der Doppelvergabe von Schlüsseln

49 Informatik Akademiewww.buergerkarte.at Voraussetzungen für die Eignung II Echtheitsfunktion (Fälschungssicherheit) Anzeige des gleichen Inhalts bei Verwendung unterschiedlicher Viewer oder digital signierte Angaben über den zu verwendenden Viewer Viertel Problem Vermeidung von verdecktem Text genaue Kenntnis, was alles von der Signatur umfasst wird geeignete Hash-Routinen ausreichend lange Schlüssel

50 Informatik Akademiewww.buergerkarte.at Voraussetzungen für die Eignung III Beweisfunktion Beweiswert von der Rechtsordnung selbst vorgegeben Keine technische Funktion Abschluss- und Warnfunktion Option der automatischen Signatur wird automatisch beim Versenden signiert Aufforderung zur Eingabe eines Passwort, um den Signiervorgang manuell zu starten über Rechtswirkung der Signatur bei der Zertifizierung aufklären Nicht-Abstreitbarkeit von Ursprung, Empfang, Entgegennahme und Zustellung keine klassische Funktion der Unterschrift unverzichtbar bei Übermittlung von rechtsverbindlichen Inhalten vertrauenswürdige Zeitstempelvergabe

51 Informatik Akademiewww.buergerkarte.at Schriftform Sichere elektronische Signaturen erfüllen die rechtliche Erfordernisse handschriftlicher Unterschriften Sicher elektronisch signierte Dokumente erfüllen die Schriftform (§ 886 ABGB) Ausnahmen (in Übereinstimmung mit E- Commerce Richtlinie) Parteienvereinbarung Familien-, Erbrecht Eintrag in Grund-, Firmenbuch oder anderes öffentliches Register Notarielle Beurkundung, Notariatsakt Bürgschaftserklärungen

52 Informatik Akademiewww.buergerkarte.at Beweiswert Elektronisch signierte Dokumente sind im Gerichtsverfahren als Beweismittel zugelassen (freie Beweiswürdigung in Österreich) § 294 ZPO gilt für sicher signierte elektronische Dokumente Vermutung der Echtheit des Inhalts einer Urkunde NICHT Vermutung der Echtheit der sicheren elektronischen Signatur Beweisvorschriften der ZPO im Verwaltungsrecht analog angewandt Keinen besonderen Beweiswert im Strafrecht (Urkundenbegriff)

53 Informatik Akademiewww.buergerkarte.at Charakteristika des SigG I Übereinstimmung mit SignaturRL Berücksichtigung des deutschen SigG technologieneutral abgestuftes System Rechtswirkungen hohe Sicherheitsstandards für Anbieter qualifizierter Zertifikate - SigVO keine Genehmigung, aber Aufsichtssystem Haftung der Zertifizierungsdiensteanbieter

54 Informatik Akademiewww.buergerkarte.at Charakteristika des SigG II Signatoren müssen natürliche Personen sein. Freier Marktzugang für Zertifizierungsdiensteanbieter Aufsicht durch Telekom Control Kommission Österreichische Wurzelzertifizierungsstelle = Telecom Control GmbH Technische Verfahren in SigVO geregelt Begutachtung der eingesetzten technischen Verfahren durch eine Bestätigungsstelle (A-SIT) Gegenseitige Anerkennung

55 Informatik Akademiewww.buergerkarte.at Charakteristika des SigG III Zertifizierungsdienste Keine vorherige Genehmigung Freiwillige Akkreditierungssysteme Haftung für qualifiziertes Zertifikat Internationale Zusammenarbeit Datenschutz Haftung der ZDA, die qualifizierte Zertifikate ausstellen Haftung gegenüber jedermann Verschuldenshaftung mit Beweislastumkehr Haftungshöhe und Verwendungsart im Zertifikat begrenzbar

56 Informatik Akademiewww.buergerkarte.at Abgestuftes System einfache elektronische Signaturen einfache Zertifikate Nichtdiskriminierung Sichere elektronische Signaturen qualifizierte Zertifikate Schriftform Beweiswert Haftung

57 Informatik Akademiewww.buergerkarte.at Sichere elektronische Signatur Elektronischen Signaturen können im Rechts- und Geschäftsverkehr verwendet werden. Rechtliche Wirksamkeit kann nicht (prinzipiell) ausgeschlossen werden. Sichere elektronische Signaturen ausschließlich dem Signator zugeordnet dient der Identifizierung des Signators Erstellung unter ausschließlicher Kontrolle des Signators jede nachträgliche Änderung der Daten erkennbar qualifiziertes Zertifikat Besondere Rechtswirkungen für sichere elektronische Signaturen

58 Informatik Akademiewww.buergerkarte.at Anforderungen des SigG + SigVO an elektronische Signaturen Erzeugung, Speicherung der privaten Schlüssel Technische Komponenten und Verfahren, die Fälschung von Signaturen und signierten Daten erkennbar machen Privater Schlüssel nicht auslesbar (Chipkarte) Verbot der Weitergabe Signaturerstellung Signierte Daten dürfen bei Anbringen der Signatur nicht verändert werden Sicherer Viewer Eingabe eines Autorisierungscode Signaturprüfung: Signierte Daten nicht verändert Signatur zuverlässig überprüft, Ergebnis korrekt Welche Daten sind signiert Welcher Signator hat die Signatur erstellt Sicherheitsrelevante Veränderungen werden erkannt Laufende Überprüfung nach dem Stand der Technik (Bestätigungsstelle) Liste der technischen Verfahren und Formate in Anh SigV

59 Informatik Akademiewww.buergerkarte.at RSA vs. elliptische Kurven Beide können gemäß SigG und SigVO eingesetzt werden Auch RSA-Karten sind bürgerkartenfähig Empfehlung: elliptische Kurven Zukunftsorientiert Kürzere Schlüssellänge bei gleicher Sicherheit Entlastung der Chip-Hardware Ausdruck des Werts einer Signatur ist kürzer

60 Informatik Akademiewww.buergerkarte.at Anforderungen an ZDAs Sicherheits- und Zertifizierungskonzept Einhaltung aller Sicherheitsanforderungen von SigG + SigVO Dokumentation Verzeichnis- und Widerrufsdienste Schnell, unverzüglich Qualifizierte Zeitangaben (Zeitstempel) Registrierung Registrierungsstelle im Auftrag des ZDA (§ 8 SigG) Identitätsüberprüfung Zuverlässiges Personal und finanzielle Absicherung Empfehlung sicherer Komponenten für die Signatoren

61 Informatik Akademiewww.buergerkarte.at ZMR (MeldeG + MeldeVO) Öffentliches Register, in dem alle gemeldeten Personen einmal erfasst sind (inkl. Obdachlose u. Strafgefangene) Abfrageberechtigt (Kosten laut MeldeVO) Behörden, soweit dies zur Besorgung einer ihnen gesetzlich übertragenen Aufgabe erforderlich ist Personen, die regelmäßig Meldeauskünfte zur erwerbsmäßigen Geltendmachung oder Durchsetzung von Rechten oder Ansprüchen benötigen Meldedaten: Vorname, Name, Geburtsdatum, wahlweise Geburtsort, letzter Wohnort, Vornamen der Eltern bzw. ZMR Zahl Aufbewahrungsfrist: 30 Jahre nach Abmeldung zahlr. Datenschutzauflagen (Aufzeichnungen über Verwendungsvorgänge, Schutz vor unberecht. Zugriff etc.) Auskünfte: Person ist gemeldet Es liegen keine Daten vor (Auskunftssperre) nicht eindeutig bestimmbar.

62 Informatik Akademiewww.buergerkarte.at RV: VerwaltungsreformG 2001 Verfahrenskonzentration – One Stop Prinzip eGovernment als wesentlicher Bestandteil Ziel einer papierlosen Aktenführung Rechtliche und organisatorische Rahmenbedingungen für ELAK Situation de lege lata: erste Ansätze für eGov, erweitert durch VwRefG

63 Informatik Akademiewww.buergerkarte.at Vor RV: VerwaltungsreformG 2001 SigG gilt auch für öffentlichen Bereich Non denial, Schriftform, Beweiswert Nur fristgebundene Anbringen schriftlich Keine besonderen gesetzlichen Regelungen für Schriftform und Beweiswert im Verwaltungsrecht Automatisierte Ausfertigung möglich Langsame Änderung hin zu eGovernment SV publiziert authentisch im Internet Verhandlungsschriften im Internet

64 Informatik Akademiewww.buergerkarte.at Nach RV: VerwaltungsreformG 2001 Einzelgesetzliche Ermächtigung für SV-Karte im eGovernment Normierung von ZMR-Zahl und Personenbindung Speicherung am Chip nur bei Signaturanwendungen Ausgangszahl für Identifikation Nur Hash-Wert übermittelt Darf nicht gespeichert werden Anbringen können durch die Behörde elektronisch verarbeitet werden Bürger kann aber weiter konventionell einbringen Selbe Beweiskraft, wenn nicht veränderbar Niederschriften bedürfen keiner Unterschrift, wenn Leiter der Amtshandlung anders identifizierbar Elektronische Akteneinsicht Elektronische Bereithaltung Bei Aufforderung: Erledigung am Server der Behörde abzuholen Gilt nicht bei Kenntnis der Behörde über elektronische Nichterreichbarkeit Oder, wenn Empfänger fristgerecht glaubhaft macht, daß Abholung aus technischen Gründen unmöglich oder unzumutbar ist

65 Informatik Akademiewww.buergerkarte.at Integration in einzelne Gesetze BGBlG Elektronische Publikation (BGBl im RIS) derzeit nicht authentisch eRecht: Novelle für 2003 geplant eVoting Für allgemeine Vertretungskörper Verfassungsänderung nötig (Unmittelbarkeit) ÖH gesetzliche Grundlage in HSG HWO in Arbeit Erste e-Wahl Mai 2003 geplant UniStG + Studienevidenzverordnung Studentenausweis als Chipkarte GOG + ERV Novelle der eischlägigen Bestimmungen des ERV Bis jetzt nur in geschlossenen Netzwerken Auf Grundlage der elektronischen Signaturen auch über Internet möglich NO Erweiterung des notariellen Instrumentariums um sichere elektronische Signaturen

66 Informatik Akademiewww.buergerkarte.at Was bringt die SSC Sicherheit Zweifelsfreie Identifikation d. Users (Authentizität) Unverfälschtheit der Daten (Integrität) Verschlüsselung Unabhängigkeit von Ort und Zeit 7 Tage die Woche, 24 Stunden Bits sollen Laufen – keine Studierenden Verkürzte Wartezeiten Online statt Inline One Stop Government Lebenssituationsprinzip Eine Anlaufstelle für alle Anliegen

67 Informatik Akademiewww.buergerkarte.at e-Voting: Rahmenbedingungen Wahlbeteiligung bei ca 33 % 80 % der Studierenden wollen elektronisch wählen Initiative der ÖH zur Novellierung StudentenserviceCards an den Universitäten Elektronisches Wählerverzeichnis Rechtlicher Rahmen Signaturgesetz und Verordnung Datenschutzgesetz 2000 Gesetzliche Normierung der Briefwahl Studienevidenzverordnung Novelle des Hochschülerschaftsgesetz

68 Informatik Akademiewww.buergerkarte.at Wahlgrundsätze Abstufung: eVote – iVote Einhaltung der Wahlgrundsätze: Geheim Gleich Allgemein Unmittelbarkeit nicht von Verfassung gefordert VfGH Erkenntnis § 22 Bundes-Personalvertretungs-Wahlordnung Arbeiterkammer-Wahlordnung Überlegungen der WKÖ Einhaltung teils technisch erzwungen teils rechtlich verpflichtend

69 Informatik Akademiewww.buergerkarte.at technische Normierung I Technologieneutralität Split: Gesetz – Verordnung (Vorbild: SigG – SigVO) Keine genaue Determinierung der technischen Komponenten durch das Gesetz Hinreichend determinierte Verordnungsermächtigung Beispiele in den Erläuterungen Gleich und geheim = Identifizierung und Anonymität Kryptographie: Signatur und Inhaltsverschlüsselung Strikte Trennung von: Wählerdaten (zur Identifizierung und Vermeidung von mehrmaliger Stimmabgabe) Wahldaten (anonym abgegebenes Stimmverhalten) Unterschiedliche Speichermedien Ausschluß von Cookies etc Mischvorgang

70 Informatik Akademiewww.buergerkarte.at technische Normierung II Prüfung nach dem Stand der Technik Ziel: hohes Sicherheitsniveau Bestätigungsstelle nach Signaturgesetz Ähnliche Komponenten wie bei Signaturerstellung Server – Wahlzellen – Wahlkomponenten – sonstige SW Bestätigung vorher und Beiziehung während der Wahl Laufende Prüfung nach dem Stand der Technik Keine Bescheinigung aber Gutachten ITSEC oder Common Criteria Empfehlungen für sonstige verwendete Komponenten

71 Informatik Akademiewww.buergerkarte.at berücksichtigte Normen Signaturgesetz: Anforderungen an sichere elektronische Signaturen Bestätigungsstellen Gleiche Sicherheitsanforderungen und nicht gleiche Anforderungen, damit blinde Signatur möglich bleibt Ausnahme nur: Anzeigen der Daten im Klartext vor Signaturvorgang nicht nötig, auch Verschlüsseltes kann signiert werden Ansonst alle Anforderungen des SigG berücksichtigt Datenschutzgesetz 2000 Enger Link zwischen Datenschutz und Wahlgeheimnis Anforderungen an die Datensicherheit AVG idF Verwaltungsreformgesetz 2001 Rechtsgrundlage für die Verwendung der Bürgerkarte in der Verwaltung

72 Informatik Akademiewww.buergerkarte.at weitere Randbedingungen Verlautbarung der Wahl auf Internetseiten der ÖH Keine Sicherheitsbestätigung Nicht authentisch Elektronisches Wahllokal schließt früher Abbruch der eWahl bei Beeinträchtigung der Sicherheit (zB DoS-Attacken) Bei Einsprüchen: technische Beratung durch Bestätigungsstelle (analog Sachverständiger) Zustimmung des Datenschutzrates zum Gesetz ist erfolgt Anhörung des Datenschutzrates vor Erlaß der Verordnung Teilnahme freiwillig

73 Informatik Akademiewww.buergerkarte.at Schlußfolgerungen Erste Normierung für Wahl zu einer Körperschaft des öffentlichen Rechts Hohe Sicherheitsanforderungen mangels Erfahrungswerten Herausforderung für eGovernment Österreichisches Umsetzungsmodell Wirtschaftsuniversität Wien

74 Informatik Akademiewww.buergerkarte.at Authentizität und Identifikation zentrales Tool der IKT-Strategie zur Identifikation Verfahrensbeteiligter Vermeidung des Merkens unterschiedlichster Verfahrensnummern Unterschiedliche VPKs werden aus einheitlicher Personenbindung automatisch generiert Datenschutz: Personenbindung (Privat) nicht rückführbare Ableitung (VPK) bei Behörde Rasterfandung faktisch-technisch unmöglich und nicht nur legal verboten Wann darf ZMR für andere Behörde VPK bilden oder aus VPK wieder die ZMR-Zahl rückermitteln Verknüpfung persönlicher Attribute mit Signaturschlüsseln Festlegung geeigneter Attribute zur sicheren Identifikation im Behördenverkehr (Verknüpfung durch behördliche Signatur) Hauptattribut im Behördenverkehr: Natürliche Personen: ZMR-Zahl Juristische Person: noch zu definieren (etwa:FBN, VR) Organwalter der Behörde: VPK Personalwesen Vollmachten VPK für die Privatwirtschaft Regelungsbedarf: Einzelgebühr bei ZMR-Abfrage Quasi-ZMR

75 Informatik Akademiewww.buergerkarte.at Sichere elektronische Übertragung Konkretisierung des bisher verwendeten Ausdrucks: im Wege automationsunterstützter Datenübertragung oder in jeder anderen technisch möglichen Weise Rahmen für sichere Kommunikation im e-Government Nachweis der Echtheit durch Signatur des Einbringers Verwaltungssignatur der ausfertigenden Stelle Bezweckt Echtheit der Unterschrift und des Textes Integrität der Daten durch end-to-end-Security Inhaltsverschlüsselung für Anbringen und Transport keine Speicherung verschlüsselter Dokumente bei Behörden Keine Schlüsselhinterlegung Konkretisierung durch VO HBK

76 Informatik Akademiewww.buergerkarte.at Konzept Bürgerkarte elektronische Standarddokumente Normierung der Grundlage für ein Konzept Bürgerkarte Zweck der Bürgerkarte: Identifikation und Authentizität Definition durch: Konformität zum Security Layer Signaturfähig Grundlage für nähere technische Spezifikation der Schnittstelle Elektronische Dienste, die eindeutige Identifikation und hohe Authentizität erfordern bedingen Einsatz der BK Rechtsgrundlage für Verwaltungssignatur Rechtsgrundlage für die Form von Beilagen in einem elektronischen Verfahren Geburtsurkunde, Staatsbürgerschaftsnachweis, Familienstandsurkunden elektronisch verfügbar Ermächtigung der Personenstandsbehörden, diese Attribute nach Prüfung der Originalurkunden ins ZMR einzutragen

77 Informatik Akademiewww.buergerkarte.at Portale und Verzeichnis erleichterte Heranführung, Komfortsteigerung Help.gv als Portal der Bundesverwaltung Definition der Rolle der Portale im e-Government Datenschutzkonforme Identifikation Identifikation an Portal oder Anwendung ist zulässig Sobald und dort wo rechtsrelevante Handlungen gesetzt werden (erst bei Anwendung) keine Speicherung von ID-Daten Erweiterter Amtskalender Online Verzeichnisdienste zur Abbildung der Zuständigkeiten und Erreichbarkeit von Organwaltern in standardisierter Form Verzeichnis für Behördenadressen

78 Informatik Akademiewww.buergerkarte.at Weitere mögliche Inhalte Elektronischer Datenaustausch zwischen staatlichen Stellen (Rechtsgrundlage für Behördenkommunikation, Kanzleiordnung) Archivierung (ELAK als Original, Regelung für Abschriften, Skartierung) Gebühren (elektronische Zahlungsbestätigung) Zugang zu Methoden und Verfahren (offene Standards, Spezifikationen sind zu publizieren) Sicherheitsvorgaben und Sicherheitsprüfung (Integration technischer Normen in den Rechtsbestand, Gütesiegel) E-Voting (Volksabstimmung, Volksbefragung, Wahl ieS,) Biometrie Elektronische Veröffentlichungen

79 Informatik Akademiewww.buergerkarte.at Übersicht e-Government allgemein Konzept Bürgerkarte Was bringen Bürgerkarten Rechtsrahmen des e-Government E-Government Gütesiegel

80 Informatik Akademiewww.buergerkarte.at Österreichisches e-Government Gütesiegel Qualitätsauszeichnung für sicheres vertrauenswürdiges e-Government Für Behörden, Unternehmen, Organisationen kostenfrei Ziel Einheitliche Qualitätskriterien Vertrauen der Bürger in e-Government stärken

81 Informatik Akademiewww.buergerkarte.at Technische Auszeichnung Gütesiegel regelt ausschließlich technische Aspekte Selbstverpflichtung der Träger zur Einhaltung der technischen e-Government Kriterien u. Qualitätsmerkmale Applikationen Hard- u. Software im e-Government Rechtsverbindliche, klare unmissverständliche Umsetzung Aktive Mitwirkung bei Überprüfung

82 Informatik Akademiewww.buergerkarte.at Kriterien - Allgemein Name und Anschrift (kein Postfach) des Anbieters, der Firma oder der Organisation -Adresse einer Kontaktperson bzw. - stelle Firmenbuchnummer und das Firmenbuchgericht etwaige gewerbe- oder berufsrechtlichen Vorschriften Kammer, Berufsverband Allgemeine gesetzliche Vorschriften (SigG, SigV, TKG, DSG 2000, e-CommerceG etc.)

83 Informatik Akademiewww.buergerkarte.at Technische Kriterien Anforderung an die Bürgerkarten – Umgebung Styleguide für e-Government-Formulare E-Government Verfahrens- und Leistungsbereiche LDAP Schema und Verzeichnisdienst der öffentlichen Verwaltung MOA, Identifikation und Authentifikation MOA, Signaturprüfung und Signaturerstellung XML Personendatenstruktur Verwaltungskennzeichen Ableitung für die verfahrensspezifische Personenkennzahl Portalverbundprotokoll Personenbindung Spezifikation Security Layer Spezifikation WAI Richtlinien Aktuell auf

84 Informatik Akademiewww.buergerkarte.at Mögliche Gütesiegelträger Sicherheitstoken nach Konzept Bürgerkarte Teile von Internetauftritten Verwaltungsinformationen oder Transaktionen Serveranwendungen Verwaltungsinformationen oder Transaktionen Portale Verwaltungsinformationen oder Transaktionen

85 Informatik Akademiewww.buergerkarte.at Vergabe und Entzug Durch Bundesministerium für öffentliche Leistungen und Sport (BMöLS) Bestätigungsstelle nach SigG zur Technischen Unterstützung Kann aber muss nicht prüfen befristet auf 3 Jahre Verlängerung möglich Nutzer muss PrüferInnen Zugang gewähren Bei Nichtkonformität nach Vergabe Gemeinsam vereinbarter Nachbesserungszeitraum Entzug bei Verstoß gegen Kriterien Wird auf veröffentlichtwww.guetesiegel.gv.at

86 Informatik Akademiewww.buergerkarte.at Streitbeilegungsverfahren Schlichtungsstelle im BMöLS Ziel: Vermittlung zw. Nutzern u. Benutzern des Gütesiegels Gütesiegelträger unterwirft sich d. Verfahrensordnung Veröffentlichung im Internet Verfahrensgegenstand Wortlaut d. Klage Name des Schiedsrichters Ergebnis des Verfahrens Ausgenommen Verfahren ohne Einigung auf gemeinsamen Schiedsrichter

87 Informatik Akademiewww.buergerkarte.at Schiedsrichter Personen m. besonderen techn., wirtschaftl. oder jurist. Kenntnissen Schiedsrichterliste A-SIT Streitparteien Ablehnung unter Angabe von Gründen auch im laufenden Verfahren möglich Rechtsweg bei Ablehnung aller Schiedsrichter

88 Informatik Akademiewww.buergerkarte.at Klage Einreichung bei A-SIT oder Inhalt Bezeichnung der Parteien und ihrer Anschrift Unterlagen über Zuständigkeit der Schlichtungsstelle Allfällige Schiedsrichtervorschläge Klagebegehren, dass konkrete Gütesiegelkriterien nicht eingehalten wurden Zustellung an beklagte Partei elektronisch 30 Tage Beantwortungsfrist elektronisch signiert

89 Informatik Akademiewww.buergerkarte.at Verfahren Mündlich, fernmündlich, schriftlich in Amtssprache der EU Übersetzungskosten trägt Verursacher Elektronische Durchführung möglich Verfahren sollten innerhalb von 12 Monaten abgeschlossen werden Kommt kein Verfahren zustande kann BMöLS trotzdem prüfen

90 Informatik Akademiewww.buergerkarte.at Kosten Stundensätze der Schiedsrichter werden von A-SIT festgelegt und veröffentlicht Verwaltungsaufwand der A-SIT Gütesiegelträger trägt Verfahrenskosten Keine Kosten auf Seiten des Bürgers

91 Informatik Akademiewww.buergerkarte.at Verfahrensende Gemeinsames Protokoll Signiert v. Schiedsrichter u. Parteien Veröffentlichung im Internet

92 Informatik Akademiewww.buergerkarte.at Sicherheit & Zukunft Sicherheit durch zukunftsorientierte Konzepte

93 Informatik Akademiewww.buergerkarte.at Vielen Dank für die Aufmerksamkeit Questions AND Discussion


Herunterladen ppt "Die Bürgerkarte Nur ein e-Government-Instrument ? Arno.Hollosi Gregor.Karlinger Alexander.Leiningen"

Ähnliche Präsentationen


Google-Anzeigen