die bürgerkarte nur ein e-government-instrument ? arno.hollosi gregor.karlinger alexander.leiningen...
TRANSCRIPT
Die BürgerkarteNur ein e-Government-Instrument ?
Arno.HollosiGregor.Karlinger
Alexander.LeiningenThomas.Menzel
@cio.gv.at
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Übersicht
e-Government allgemein
Konzept Bürgerkarte
Was bringen Bürgerkarten
Rechtsrahmen des e-Government
E-Government Gütesiegel
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
E-Government allgemein Conveniance für den Bürger
Amtsbesuch von der Couch One-Stop-Government Beschleunigung der Verfahren Keine (unsicheren) Paßwörter merken
Vorteile für den öffentlichen Sektor Großes Einsparungspotential Integrales Element der Verwaltungsreform Österreich als Vorreiter des europäischen Trends
Strengster Datenschutz Ziel: gläserne Verwaltung Nichtziel: gläserner Mensch Qualitätskontrolle durch
Public Private Partnership Detaillierte Modelle und ausgereifte Prototypen werden von der
öffentlichen Hand entwickelt Wirtschaft gratis u. inkl. Modifikationsrecht zur Verfügung gestellt
Koordinierte und harmonisierte e-Government-Strategie für den ganzen öffentlichen Sektor
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
e-Government Struktur Österreichs
BKA
IKT-Stabsstelle•Berichtswesen- Qualitätsmanagement
•Organisation-Strategie
•Schnittstellen-Standards
IKT-Board
CIO Bund
Chief Information Officerpro Ministerium (CIO)
Technische Arbeits-gruppe der Länder
Gemeinde- undStädte-Vertreter
Arbeits-
gruppeArbeits-gruppe
Arbeits-gruppe
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Übersicht
e-Government allgemein
Konzept Bürgerkarte
Was bringen Bürgerkarten
Rechtsrahmen des e-Government
E-Government Gütesiegel
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Die Rolle der Bürgerkarten
Bürgerkarten als Key-Element für eine sichere e-Government-Infrastruktur in Österreich
Konzept und nicht spezielle Karte Offenheit des Konzepts:
nicht exklusiv für Verwaltung, Einsatz auch im e-Commerce (etwa: nächste Generation der Bankkarten)
Bürgerkarten als Initialzündung für die Verbreitung elektronischer Signaturen in Österreich
Aufkommensneutral – Finanzierungsmöglichkeiten Signaturkarte schon vorhanden (keine Mehrkosten d. Personenbindung) Sponsoring (etwa: StudentenserviceCards, OCG-Karte) Öffentliche Förderungsmodelle (wegen massiver Kosteneinsparung´) Initiale Förderung neuer Technologien durch die öffentliche Hand
Sichere SignaturPersonenbindungSecurity Layer
Einzige Anforderungen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Konzept Bürgerkarte
Das Konzept Bürgerkarte ist der Schlüssel zum e-Government ein logisches Modell kein konkreter Token als solches
Mindestanforderungen Sichere elektronische Signatur Personenbindung Infoboxen Security Layer
alle Karten, die das erfüllen sind bürgerkartenfähig
Light Versionen bei Bedarf möglich
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Funktion der Bürgerkarte
Ausweis zur Identifikation auf der Reise am Datenhighway
Bürgerkarte als Schlüssel für die Kommunikation mit der Verwaltung
Höherer Sicherheitsbedarf als derzeit im E-Commerce erreicht
Aufbewahrung der Signaturerstellungsdaten (must)
Distribution des Zertifikats (must) Infoboxen (optional)
Informationen, die zusätzlich vom Karteninhaber benötigt werden
Rechte und Pointer auf andere Informationen (z.B. Vollmachten)
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Technologieneutralität
Schnittstellen
e-GovernmentAnwendung
MarktplatzPortal
USER PPP VERWALTUNG
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Personenbindung Auf Chipkarte von Behörde abgelegt, besteht aus:
Basisbegriff (ZMR Zahl), Hinweis auf die Zertifikate Gültigkeitsdauer
Eindeutige Identifikation des Bürgers im Verfahren durch Beigabe der Personenbindung anhand seiner elektronischen Unterschrift auf dem anzubringenden Dokument.
Vom Datenschutzrat genehmigt - Auflagen: sicherer Übertragungsweg Abfrage von Daten nur durch berechtigte Personen Speicherung des Basisbegriffs hat zu unterbleiben
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Datenschutz und ZMR (1)
Eindeutiger lebenskonstanter Ordnungsbegriff hoher Qualität
Datenschutzproblematik ZMR-Nummer, SV-Nummer?
Lösung: Verfahrenskennung Ableitung aus ZMR und Verfahrens(gruppen)name Erfüllt alle Anforderungen In den Datenbeständen der Verwaltung wird stets
nur die verfahrensabhängige Kennung, nie aber der Basisbegriff gespeichert. Damit wird die Zusammenführbarkeit (Rasterabgleich) von Datenbeständen gegenüber der jetzigen Situation nicht ausgeweitet.
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Datenschutz und ZMR (2)
Basisbegriff
Verfahrenskennung Verfahrenskennung
nicht rückführbare Ableitung(Hash [z.B. SHA-1])
z.B. ZMR, ZVR, ...
z.B. Steuerverfahren z.B. Führerschein
keine Umrechnung möglich
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Infobox
Datenspeicher für Zertifikate Personenbindung Nicht näher definierter Bereich f. sonstige Daten
Verweise für Vollmachten oder andere Daten möglich Steuerberater, Treuhänder etc. (z.B. Pointer auf
Datensafe) Funktionalität:
Lesen Schreiben
Zugriffsschutz Management durch den Benutzer (Freiwilligkeit!)
• z.B. Vergabe von Lese- und Schreib-PIN, Eingabe durch den Benutzer
Vergabe von Rechten je nach Applikation
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Security-Layer
Schnittstelle zwischen Applikation und Bürgerkartenumgebung Kartenhersteller muss nicht auf
Applikationen Rücksicht nehmen Applikationsentwickler sind nicht für
Kompatibilität mit verschiedenen Karten verantwortlich
Bietet eine logisch, abstrakte Sicht auf die tatsächliche physikalische Implementation
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Signatur erstellen (sichere und einfache) verifizieren Formate: XML und CMS
Infoboxen Lesen und Schreiben Arten: Binärdatei, Assoziatives Feld
Utility-Funktionen Status (Karte vorhanden?) Erzeugen von Sessionkeys Eigenschaften der Umgebung
Funktionen des Security-Layers
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Applikationen u. Security-Layer
Applikationen greifenausschließlich über Security-Layerauf die Bürgerkartenumgebung zu
Für Applikation sind Art und Handhabung der Zugriffsrechte transparent
Applikation soll sich nicht um Details kümmern müssen
Keine bescheinigungspflichtigen Komponenten in der Applikation
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Arten von Zertifikaten
Signaturdienstzertifikate Serverzertifikate Emailzertifikate Authentisierungszertifikate Verschlüsselungszertifikate Qualifizierte Zertifikate
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Zertifikatsinhalte u. -erweiterungen
Name des Ausstellers (ZDA) Namen des Signators Prüfdaten des Signators Gültigkeitsdauer Eindeutige Kennung des Zertifikats Allfällige Beschränkungen Verwaltungskennzeichen (OID) Keine Rollen und Berechtigungen
abbilden
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Verzeichnisdienste
Speicherung und Publikation von Zertifikaten und Widerrufslisten (CRLs) Öffentlicher Schlüssel muss bekannt sein
LDAP, HTTP öffentlicher Zugriff per URL (HTTP) oder Distinguished
Name (LDAP) Vollständiger Vorname in Verbindung mit vollständigem
Nachnamen Vollständige Emailadresse Seriennummer des Zertifikats
Erweiterter Zugriff für besonders vertrauenswürdige Personen Wildcardsuche Nachname, Vorname, Emailadresse, Distinguished Name
CRLs sollen allgemein und kostenfrei zugänglich sein
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Signaturdienstzertifikate
Zertifikatsverwendung Automationsgestütztes Signieren von Daten Sichert Integrität von Daten Identifizierung ihres Ursprungs
• Unterzeichnung von Daten eines Registers• Unterzeichnung von ausgehenden Bescheiden
Zertifikatsinhalte und –erweiterungen Schlüsselverwendung Bezeichnung u. Beschreibung des Signaturdienstes Verwaltungskennzeichen (OID) CRL Verteilungspunkt Verweis auf Zertifikatspolicy des ZDA
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Serverzertifikate
Ermöglichen digitale Identifizierung eines Servers Informationen über Webserver u. verantwortliche
Organisation Für SSL Aufbau notwendig Erlauben beidseitige Authentifizierung
Zertifikatsinhalte u. –erweiterungen ähnlich Signaturdienstzertifikaten
Distinguished Name Country State Locality Organisation Organizational Unit Common Name (vollqualifizierter Name des Servers) Email (des Verantwortlichen)
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Emailzertifikate
Zertifikatsinhalt u.-erweiterung Bezeichnung des Bediensteten Emailadresse Verwaltungskennzeichen (OID) Schlüsselverwendung
• Ausschließlicher Verwendungszweck: signieren elektronischer Post
• Datenintegrität• Authentisierung des Ursprungs
CRL Verteilungspunkt Verweis auf Zertifikatspolicy des ZDA
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Authentisierungszertifikate
Ausschliesslich zur Authentifizierung Webaccess Tunnelverbindungen
Zu behandeln wie Emailzertifkate
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Verschlüsselungszertifikate
Stellen Vertraulichkeit sicher Zertifikat für digitale Signatur soll
nicht für Verschlüsselung verwendet werden (OECD)
Einige Mailclients benötigen sowohl Signatur- als auch Verschlüsselungszertifikat für S/Mime
Besonderes Augenmerk muss auf Schlüsselverwahrung gelegt werden Möglicher Ansatz: Mehrere User nützen
gleiches Schlüsselpaar
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Lebenszyklus eines Zertifikates
Regelt Erwerb, Installation, Verlängerung u. Widerruf
Technischer Verantwortlicher Liefert techn. Angaben für ZDA Techn. Ansprechpartner für
Implementierung Organisatorischer Verantwortlicher
Prüft Berechtigungen Widerruf
• Berechtigungsnachweis
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Belehrung
Benutzer muss verantwortlich handeln Nutzen und Zweck eines Zertifikats
Stellt keine Ermächtigung dar Passwortregelungen Widerrufsgründe Vorgehen bei Verlängerung Konsequenzen bei unsachgemäßer
Verwendung
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Übersicht
e-Government allgemein
Konzept Bürgerkarte
Was bringen Bürgerkarten
Rechtsrahmen des e-Government
E-Government Gütesiegel
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Was bringt die Bürgerkarte?
Sicherheit Zweifelsfreie Identifikation d. Users (Authentizität) Unverfälschtheit der Daten (Integrität) Verschlüsselung
Unabhängigkeit von Ort und Zeit 7 Tage die Woche, 24 Stunden Bits sollen Laufen – keine Bürger
Verkürzte Wartezeiten Online statt Inline
One Stop Government Lebenssituationsprinzip Eine Anlaufstelle für alle Anliegen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Anbringen - Sicht des Bürgers Signiertes Dokument (Formular)
XML• automatisch verarbeitbar, gute Anbindung an
Applikationen• gute Darstellbarkeit mittels Stylesheets• zahlreiche Werkzeuge vorhanden• signaturfähig mit W3C XMLDSig• unabhängig von System und Plattform• Erlaubt Mehrsprachigkeit
Beilagen (getrennt signiert) Andere Dokumente, Zahlungsbestätigungen (Stuzza)
Personenbindung Vollmacht Information über Art der Zustellung des
Bescheides
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
optionale Applikationen des Portals
Hilfestellung beim Anbringen Kommunikation mit der
Verfahrensapplikation Postfach zur Hinterlegung eines
Bescheides Persönliches Dokumentenarchiv Überblick über laufende
Verfahren
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Anbringen - Sicht der Applikation
Einlauf Security Entrance überprüft
• Signatur• Zertifikat• Identität (=Personenbindung)• Vollmachtskette
Security Entrance leitet verfahrensabhängige Kennung (VPK) ab
Applikation Verarbeitet das Anbringen Proxy/Middleware
• Zur Einbindung bestehender Anwendungen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Elektr. Verfahren – Designphilosophie
Universelle Einsetzbarkeit Felder optional wo möglich Einfache Erweiterung Organisationsübergreifend
Modularer Aufbau Wiederverwendbarkeit
Verwenden von vorhandenen Standards Rad nicht neu erfinden
Hersteller-neutral Abhängigkeiten und Monopole vermeiden
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Elektronisches Verfahren
FORMULAR
Styleguide-konform
Webbasiert
BürgerInSignatur
Security LayerBürgerkarte
Formular
Beilagen
Zustellungs-
info
Signatur
+
Help.gv
?
Secu
rity E
ntra
nce
EInLAUF
Lizenz-Server
ZDA
Zustellservice
Hilfe
Dokumentensafe
APPLIKATIONEN
Verfahrenskennung
Nicht umkehrbar
Signatur, Zertifikat, Personenbindung
Überpüfung
Gemeinde
Statusmeldung
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Lebenssituationen
Portal
Umzug UnternehmensgründungGeburt
Lebenssituationen
Heirat Steuer
Meldezettel SteuerFührerscheinPass Kirchensteuer
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Ausprägungen der Bürgerkarte
SV-Karte (e-card) Personalausweis Studentenausweis Mitgliedskarten Dienstausweis USB-Token PDA Handy-SIM .....
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
privat@power card
1. 1. 2OO2 4711
Wol fgang Bürger
Schülerkarte
ElektronischeSignatur in Österreich
eCard
BMI Dienstkarte
StudentenServiceCard
Bundesamtsgebäude
Schülerkarte
e-CommerceSignaturtechnologie: RSA 1024
ECC 160
sonstige
Kammerkarte
Personalausweis
Bankkarten
Bü
rgerk
arte
n
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
OCG-Karte als Bürgerkarte
Größere Rollouts bedürfen des Tests durch Pilotprojekte Warum die Österreichische Computergesellschaft als erste
Institution, die eine Bürgerkarte ausgibt: Als Dachgesellschaft für Informatik in Österreich integrierende
Funktion für Forschung, Privatwirtschaft und Verwaltung Wunsch zur Ausgabe einer Signaturkarte bestand schon bei OCG Ideale zeitliche Übereinstimmung zwischen Ausgabe der
Mitgliedskarte und Realisierung des Konzepts Bürgerkarte Überschaubarer Benutzerkreis (ca. 1300 Mitglieder) Gute Voraussetzungen zum Feldtest aller Komponenten des Konzepts
Bürgerkarte
Win-Win-Situation für beide Partner
innovatives ProjektKonkreter Nutzen fürdie MitgliederEinsatz neuester Technologie
OCG - CIO
Erster Prototyp umgesetztReferenzprojektLerneffekt bei der Realisierung
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Bildung.atUniversitäten Westverbund (+ Montan) – KeplerCard
Ausweisfunktion
bm:bwk
Zeugnisausdruck
Kopierzähler
Fortsetzungsbestätigung
Mensa-Zutrittskarte
Parkplatzbewirtschaftung
Elektronische Geldbörse (Quick)
Einfache Signatur
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
WU-Wien und Universitäten Südverbund (ohne Montan)
Bildung.at
Ausweisfunktion
bm:bwk
Raumzutrittsfunktion
Sichere elektronische Signatur
Authentisierungsverfahren
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Übersicht
e-Government allgemein
Konzept Bürgerkarte
Was bringen Bürgerkarten
Rechtsrahmen des e-
Government
E-Government Gütesiegel
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Wechselwirkung zwischen Recht und Technik
Recht bedingt Technik verfassungsverträgliche Technikgestaltung Anpassung an traditionelle Rechtsinstitute
• Schriftform• Nichtabstreitbarkeit von Willenserklärungen
Technik bedingt Recht Technik als Vorreiter Prägung der Gesellschaft (Info-Society) Recht reagiert mit Verzögerung auf die durch
Technik neu gestaltete faktische Situation
wechselseitige Bedingtheit
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Grundsätze eines Rechtsrahmens
Gesetzliche Determinierung etwa: Datenschutz
Technologieneutral - neutrale Begriffe laufende Technologiebeobachtung Unterscheidung:
IT-Einsatz nur innerhalb der Verwaltung Schnittstellen (Außenwirkung zum Bürger)
Berücksichtigung des Stufenbaus: Gesetzliche Grundlagen Konkretisierung durch Verordnung Intern: Verwaltungsverordnung
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
e-Government de lege lata
SigG+SigVO Abgestuftes System Anforderungen an Karte, ZDAs, technische Formate Rechtswirkung der elektronischen Signatur
(Schriftform und Beweiskraft) Rechte und Pflichten von Signator und ZDA
DSG 2000 – Datensicherheit MeldeG, MeldeVO – ZMR-Abfrage Verwaltungsverfahrensnovelle 2000 VerwaltungsreformG 2001 Div. Regelungen in Materiengesetzen
(GewO, HSG etc)
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Verwaltungsverfahrensnovelle 2000VerwaltungsreformG 2001
Einzelgesetzliche Ermächtigung für Bürgerkarten im eGovernment Normierung von ZMR-Zahl und Personenbindung
Speicherung am Chip nur bei Signaturanwendungen Ausgangszahl für Identifikation Nur Hash-Wert übermittelt Darf nicht gespeichert werden
Anbringen können durch die Behörde elektronisch verarbeitet werden Bürger kann aber weiter konventionell einbringen Selbe Beweiskraft, wenn nicht veränderbar
Niederschriften bedürfen keiner Unterschrift, wenn Leiter der Amtshandlung anders identifizierbar
Elektronische Akteneinsicht Elektronische Bereithaltung (E-Zustellung)
Bei Aufforderung: Erledigung am Server der Behörde abzuholen Gilt nicht bei Kenntnis der Behörde über elektronische Nichterreichbarkeit Oder, wenn Empfänger fristgerecht glaubhaft macht, daß Abholung aus
technischen Gründen unmöglich oder unzumutbar ist
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Überlegungen: de lege ferenda
Zentrale Normierung (vgl SigG, E-C-G) Klare Rechtsgrundlage für die einzusetzende Technik Technologieneutrale normative Vorgaben
Konkretere Spezifikation durch VO unter Einbindung und Verweis auf offene, internationale Standards (zB: W3C)
Problem: Welchen Rechtscharakter haben unsere Spezifikationen
Besondere Berücksichtigung des Datenschutzes Vereinheitlichung und Standardisierung der
einzusetzenden Verfahren Abrundung und Ergänzung des rechtlichen Rahmens für e-
Government Schließung bestehender Rechtsdefizite
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Der rechtliche Rahmen SigG+SigVO
Abgestuftes System Anforderungen an Karte, ZDAs, technische Formate Rechtswirkung der elektronischen Signatur (Schriftform und
Beweiskraft) Rechte und Pflichten von Signator und ZDA
VerwaltungsreformG 2001 (Bürgerkarte) Rechtliche Anerkennung des ELAK Elektronische Niederschriften Elektronische Bereithaltung als Hinterlegung
ASVG – Novelle (Grundlage für SV-Karte) DSG 2000 – Datensicherheit MeldeG, MeldeVO – ZMR-Abfrage BGBlG, GOG + ERV, NO, HSG, Studienevidenzverordnung E-Government Gesetz
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Rechtliche Funktion der Unterschrift
Abschlussfunktion Willenserklärung ist mit dem Vorgang des
Unterschreibens abgeschlossen
Echtheitsfunktion Garantiert, dass der unterschriebene Text vom
Aussteller stammt
Warnfunktion Schutz des Unterzeichners vor Übereilung
Identitätsfunktion Sicherung der Identität des Ausstellers
Beweisfunktion Beweis, dass die unterschriebenen Erklärungen
vom Aussteller stammen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Voraussetzungen für die Eignung I
Identitätsfunktion (Identität des Ausstellers feststellbar)
private Schlüssel nicht weitergeben Schutz des Schlüssels durch Speicherung auf SmartCard Biometrische Verifikation der Identität vor jedem
Schlüsselzugriff wie bei analog aufgebauter Unterschrift Verpflichtung der Nutzer die Weitergabe zu unterlassen Aufklärung über die Folgen einer Weitergabe
(ununterscheidbares Handeln von Dritten) geeignete Schlüssellängen Vermeidung der Doppelvergabe von Schlüsseln
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Voraussetzungen für die Eignung II
Echtheitsfunktion (Fälschungssicherheit)
Anzeige des gleichen Inhalts bei Verwendung unterschiedlicher Viewer
oder digital signierte Angaben über den zu verwendenden Viewer
„Viertel Problem“Vermeidung von verdecktem Textgenaue Kenntnis, was alles von der Signatur umfasst wird
geeignete Hash-Routinenausreichend lange Schlüssel
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Voraussetzungen für die Eignung III
Beweisfunktion Beweiswert von der Rechtsordnung selbst vorgegeben Keine technische Funktion
Abschluss- und Warnfunktion Option der automatischen Signatur E-Mail wird automatisch beim Versenden signiert Aufforderung zur Eingabe eines Passwort, um den
Signiervorgang manuell zu starten über Rechtswirkung der Signatur bei der Zertifizierung
aufklären
Nicht-Abstreitbarkeit von Ursprung, Empfang, Entgegennahme und Zustellung keine „klassische“ Funktion der Unterschrift unverzichtbar bei Übermittlung von rechtsverbindlichen
Inhalten vertrauenswürdige Zeitstempelvergabe
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Schriftform
Sichere elektronische Signaturen erfüllen die rechtliche Erfordernisse handschriftlicher Unterschriften
Sicher elektronisch signierte Dokumente erfüllen die Schriftform (§ 886 ABGB)
Ausnahmen (in Übereinstimmung mit E-Commerce Richtlinie)
Parteienvereinbarung Familien-, Erbrecht Eintrag in Grund-, Firmenbuch oder anderes
öffentliches Register Notarielle Beurkundung, Notariatsakt Bürgschaftserklärungen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Beweiswert
Elektronisch signierte Dokumente sind im Gerichtsverfahren als Beweismittel zugelassen (freie Beweiswürdigung in Österreich)
§ 294 ZPO gilt für sicher signierte elektronische Dokumente
Vermutung der Echtheit des Inhalts einer Urkunde NICHT Vermutung der Echtheit der sicheren elektronischen
Signatur Beweisvorschriften der ZPO im Verwaltungsrecht analog
angewandt Keinen besonderen Beweiswert im Strafrecht
(Urkundenbegriff)
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Charakteristika des SigG I
Übereinstimmung mit SignaturRL Berücksichtigung des deutschen SigG technologieneutral abgestuftes System Rechtswirkungen hohe Sicherheitsstandards für Anbieter
qualifizierter Zertifikate - SigVO keine Genehmigung, aber Aufsichtssystem Haftung der Zertifizierungsdiensteanbieter
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Charakteristika des SigG II
Signatoren müssen natürliche Personen sein. Freier Marktzugang für
Zertifizierungsdiensteanbieter Aufsicht durch Telekom Control Kommission Österreichische Wurzelzertifizierungsstelle =
Telecom Control GmbH Technische Verfahren in SigVO geregelt Begutachtung der eingesetzten technischen
Verfahren durch eine Bestätigungsstelle (A-SIT) Gegenseitige Anerkennung
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Charakteristika des SigG III
ZertifizierungsdiensteKeine vorherige GenehmigungFreiwillige AkkreditierungssystemeHaftung für qualifiziertes ZertifikatInternationale ZusammenarbeitDatenschutz
Haftung der ZDA, die qualifizierte Zertifikate ausstellen
Haftung gegenüber jedermannVerschuldenshaftung mit BeweislastumkehrHaftungshöhe und Verwendungsart im Zertifikat begrenzbar
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Abgestuftes System
“einfache” elektronische Signaturen
“einfache” Zertifikate
Nichtdiskriminierung
Sichere elektronische Signaturen
qualifizierte Zertifikate
Schriftform Beweiswert Haftung
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Sichere elektronische Signatur
Elektronischen Signaturen können im Rechts- und Geschäftsverkehr verwendet werden.
Rechtliche Wirksamkeit kann nicht (prinzipiell) ausgeschlossen werden.
Sichere elektronische Signaturen ausschließlich dem Signator zugeordnet dient der Identifizierung des Signators Erstellung unter ausschließlicher Kontrolle des
Signators jede nachträgliche Änderung der Daten erkennbar qualifiziertes Zertifikat
Besondere Rechtswirkungen für sichere elektronische Signaturen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Anforderungen des SigG + SigVOan elektronische Signaturen
Erzeugung, Speicherung der privaten Schlüssel Technische Komponenten und Verfahren, die Fälschung von
Signaturen und signierten Daten erkennbar machen Privater Schlüssel nicht auslesbar (Chipkarte) Verbot der Weitergabe
Signaturerstellung Signierte Daten dürfen bei Anbringen der Signatur nicht verändert
werden Sicherer Viewer Eingabe eines Autorisierungscode
Signaturprüfung: Signierte Daten nicht verändert Signatur zuverlässig überprüft, Ergebnis korrekt Welche Daten sind signiert Welcher Signator hat die Signatur erstellt Sicherheitsrelevante Veränderungen werden erkannt
Laufende Überprüfung nach dem Stand der Technik (Bestätigungsstelle)
Liste der technischen Verfahren und Formate in Anh SigV
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
RSA vs. elliptische Kurven
Beide können gemäß SigG und SigVO eingesetzt werden
Auch RSA-Karten sind bürgerkartenfähig Empfehlung: elliptische Kurven
Zukunftsorientiert Kürzere Schlüssellänge bei gleicher Sicherheit Entlastung der Chip-Hardware Ausdruck des Werts einer Signatur ist kürzer
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Anforderungen an ZDAs
Sicherheits- und Zertifizierungskonzept Einhaltung aller Sicherheitsanforderungen von
SigG + SigVO Dokumentation
Verzeichnis- und Widerrufsdienste Schnell, unverzüglich Qualifizierte Zeitangaben (Zeitstempel)
Registrierung Registrierungsstelle im Auftrag des ZDA (§ 8 SigG) Identitätsüberprüfung
Zuverlässiges Personal und finanzielle Absicherung
Empfehlung sicherer Komponenten für die Signatoren
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
ZMR (MeldeG + MeldeVO)
Öffentliches Register, in dem alle gemeldeten Personen einmal erfasst sind (inkl. Obdachlose u. Strafgefangene)
Abfrageberechtigt (Kosten laut MeldeVO) Behörden, soweit dies zur Besorgung einer ihnen gesetzlich
übertragenen Aufgabe erforderlich ist Personen, die regelmäßig Meldeauskünfte zur erwerbsmäßigen
Geltendmachung oder Durchsetzung von Rechten oder Ansprüchen benötigen
Meldedaten: Vorname, Name, Geburtsdatum, wahlweise Geburtsort, letzter Wohnort, Vornamen der Eltern bzw. ZMR Zahl
Aufbewahrungsfrist: 30 Jahre nach Abmeldung zahlr. Datenschutzauflagen (Aufzeichnungen über
Verwendungsvorgänge, Schutz vor unberecht. Zugriff etc.) Auskünfte:
Person ist gemeldet Es liegen keine Daten vor (Auskunftssperre) nicht eindeutig bestimmbar.
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
RV: VerwaltungsreformG 2001
Verfahrenskonzentration – One Stop Prinzip
eGovernment als wesentlicher Bestandteil
Ziel einer papierlosen Aktenführung Rechtliche und organisatorische
Rahmenbedingungen für ELAK Situation de lege lata: erste Ansätze
für eGov, erweitert durch VwRefG
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Vor RV: VerwaltungsreformG 2001
SigG gilt auch für öffentlichen Bereich Non denial, Schriftform, Beweiswert
Nur fristgebundene Anbringen schriftlich Keine besonderen gesetzlichen
Regelungen für Schriftform und Beweiswert im Verwaltungsrecht
Automatisierte Ausfertigung möglich Langsame Änderung hin zu
eGovernment SV publiziert authentisch im Internet Verhandlungsschriften im Internet
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Nach RV: VerwaltungsreformG 2001
Einzelgesetzliche Ermächtigung für SV-Karte im eGovernment Normierung von ZMR-Zahl und Personenbindung
Speicherung am Chip nur bei Signaturanwendungen Ausgangszahl für Identifikation Nur Hash-Wert übermittelt Darf nicht gespeichert werden
Anbringen können durch die Behörde elektronisch verarbeitet werden
Bürger kann aber weiter konventionell einbringen Selbe Beweiskraft, wenn nicht veränderbar
Niederschriften bedürfen keiner Unterschrift, wenn Leiter der Amtshandlung anders identifizierbar
Elektronische Akteneinsicht Elektronische Bereithaltung
Bei Aufforderung: Erledigung am Server der Behörde abzuholen Gilt nicht bei Kenntnis der Behörde über elektronische
Nichterreichbarkeit Oder, wenn Empfänger fristgerecht glaubhaft macht, daß Abholung
aus technischen Gründen unmöglich oder unzumutbar ist
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Integration in einzelne Gesetze
BGBlG Elektronische Publikation (BGBl im RIS) derzeit nicht authentisch eRecht: Novelle für 2003 geplant
eVoting Für allgemeine Vertretungskörper Verfassungsänderung nötig
(Unmittelbarkeit) ÖH gesetzliche Grundlage in HSG HWO in Arbeit Erste e-Wahl Mai 2003 geplant
UniStG + Studienevidenzverordnung Studentenausweis als Chipkarte
GOG + ERV Novelle der eischlägigen Bestimmungen des ERV Bis jetzt nur in geschlossenen Netzwerken Auf Grundlage der elektronischen Signaturen auch über Internet
möglich NO
Erweiterung des notariellen Instrumentariums um sichere elektronische Signaturen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Was bringt die SSC
Sicherheit Zweifelsfreie Identifikation d. Users (Authentizität) Unverfälschtheit der Daten (Integrität) Verschlüsselung
Unabhängigkeit von Ort und Zeit 7 Tage die Woche, 24 Stunden Bits sollen Laufen – keine Studierenden
Verkürzte Wartezeiten Online statt Inline
One Stop Government Lebenssituationsprinzip Eine Anlaufstelle für alle Anliegen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
e-Voting: Rahmenbedingungen
Wahlbeteiligung bei ca 33 % 80 % der Studierenden wollen elektronisch wählen Initiative der ÖH zur Novellierung StudentenserviceCards an den Universitäten Elektronisches Wählerverzeichnis Rechtlicher Rahmen
Signaturgesetz und Verordnung Datenschutzgesetz 2000 Gesetzliche Normierung der Briefwahl Studienevidenzverordnung Novelle des Hochschülerschaftsgesetz
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Wahlgrundsätze
Abstufung: eVote – iVote Einhaltung der Wahlgrundsätze:
Geheim Gleich Allgemein Unmittelbarkeit nicht von Verfassung gefordert
• VfGH Erkenntnis 29. 2. 1996
• § 22 Bundes-Personalvertretungs-Wahlordnung
• Arbeiterkammer-Wahlordnung
• Überlegungen der WKÖ
Einhaltung teils technisch erzwungen teils rechtlich verpflichtend
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
technische Normierung I
Technologieneutralität Split: Gesetz – Verordnung (Vorbild: SigG – SigVO) Keine genaue Determinierung der technischen
Komponenten durch das Gesetz Hinreichend determinierte Verordnungsermächtigung Beispiele in den Erläuterungen Gleich und geheim = Identifizierung und Anonymität Kryptographie: Signatur und Inhaltsverschlüsselung Strikte Trennung von:
• Wählerdaten (zur Identifizierung und Vermeidung von mehrmaliger Stimmabgabe)
• Wahldaten (anonym abgegebenes Stimmverhalten)• Unterschiedliche Speichermedien• Ausschluß von Cookies etc• Mischvorgang
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
technische Normierung II
Prüfung nach dem Stand der Technik Ziel: hohes Sicherheitsniveau
Bestätigungsstelle nach Signaturgesetz
Ähnliche Komponenten wie bei Signaturerstellung
Server – Wahlzellen – Wahlkomponenten – sonstige SW
Bestätigung vorher und Beiziehung während der Wahl
Laufende Prüfung nach dem Stand der Technik
Keine Bescheinigung aber Gutachten
ITSEC oder Common Criteria
Empfehlungen für sonstige verwendete Komponenten
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
berücksichtigte Normen
Signaturgesetz: Anforderungen an sichere elektronische Signaturen Bestätigungsstellen Gleiche Sicherheitsanforderungen und nicht gleiche
Anforderungen, damit blinde Signatur möglich bleibt• Ausnahme nur: Anzeigen der Daten im Klartext vor
Signaturvorgang nicht nötig, auch Verschlüsseltes kann signiert werden
• Ansonst alle Anforderungen des SigG berücksichtigt Datenschutzgesetz 2000
Enger Link zwischen Datenschutz und Wahlgeheimnis
Anforderungen an die Datensicherheit AVG idF Verwaltungsreformgesetz 2001
Rechtsgrundlage für die Verwendung der Bürgerkarte in der Verwaltung
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
weitere Randbedingungen
Verlautbarung der Wahl auf Internetseiten der ÖH Keine Sicherheitsbestätigung Nicht authentisch
Elektronisches Wahllokal schließt früher Abbruch der eWahl bei Beeinträchtigung der
Sicherheit (zB DoS-Attacken) Bei Einsprüchen: technische Beratung durch
Bestätigungsstelle (analog Sachverständiger) Zustimmung des Datenschutzrates zum Gesetz
ist erfolgt Anhörung des Datenschutzrates vor Erlaß der
Verordnung Teilnahme freiwillig
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Schlußfolgerungen
Erste Normierung für Wahl zu einer Körperschaft des öffentlichen Rechts
Hohe Sicherheitsanforderungen mangels Erfahrungswerten
Herausforderung für eGovernment Österreichisches Umsetzungsmodell Wirtschaftsuniversität Wien
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Authentizität und Identifikation
zentrales Tool der IKT-Strategie zur Identifikation Verfahrensbeteiligter Vermeidung des Merkens unterschiedlichster Verfahrensnummern Unterschiedliche VPKs werden aus einheitlicher Personenbindung
automatisch generiert Datenschutz:
Personenbindung (Privat) nicht rückführbare Ableitung (VPK) bei Behörde „Rasterfandung“ faktisch-technisch unmöglich und nicht nur legal verboten
Wann darf ZMR für andere Behörde VPK bilden oder aus VPK wieder die ZMR-Zahl rückermitteln
Verknüpfung persönlicher Attribute mit Signaturschlüsseln Festlegung geeigneter Attribute zur sicheren Identifikation im
Behördenverkehr (Verknüpfung durch behördliche Signatur) Hauptattribut im Behördenverkehr:
Natürliche Personen: ZMR-Zahl Juristische Person: noch zu definieren (etwa:FBN, VR) Organwalter der Behörde: VPK „Personalwesen“
Vollmachten VPK für die Privatwirtschaft Regelungsbedarf: Einzelgebühr bei ZMR-Abfrage Quasi-ZMR
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Sichere elektronische Übertragung
Konkretisierung des bisher verwendeten Ausdrucks: „im Wege automationsunterstützter Datenübertragung oder in jeder anderen technisch möglichen Weise“
Rahmen für sichere Kommunikation im e-Government Nachweis der Echtheit durch
Signatur des Einbringers Verwaltungssignatur der ausfertigenden Stelle Bezweckt Echtheit der Unterschrift und des Textes
Integrität der Daten durch end-to-end-Security Inhaltsverschlüsselung für Anbringen und Transport keine Speicherung verschlüsselter Dokumente bei
Behörden Keine Schlüsselhinterlegung Konkretisierung durch VO HBK
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Konzept Bürgerkarteelektronische Standarddokumente
Normierung der Grundlage für ein Konzept Bürgerkarte
Zweck der Bürgerkarte: Identifikation und Authentizität
Definition durch: Konformität zum Security Layer
Signaturfähig
Grundlage für nähere technische Spezifikation der Schnittstelle
Elektronische Dienste, die eindeutige Identifikation und hohe Authentizität erfordern bedingen Einsatz der BK
Rechtsgrundlage für Verwaltungssignatur Rechtsgrundlage für die Form von Beilagen in einem elektronischen
Verfahren Geburtsurkunde, Staatsbürgerschaftsnachweis,
Familienstandsurkunden elektronisch verfügbar Ermächtigung der Personenstandsbehörden, diese Attribute nach
Prüfung der Originalurkunden ins ZMR einzutragen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Portale und Verzeichnis
erleichterte Heranführung, Komfortsteigerung Help.gv als Portal der Bundesverwaltung Definition der Rolle der Portale im e-Government Datenschutzkonforme Identifikation
Identifikation an Portal oder Anwendung ist zulässig Sobald und dort wo rechtsrelevante Handlungen gesetzt werden (erst bei
Anwendung) keine Speicherung von ID-Daten
„Erweiterter Amtskalender Online“ Verzeichnisdienste zur Abbildung der Zuständigkeiten
und Erreichbarkeit von Organwaltern in standardisierter Form
Verzeichnis für Behördenadressen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Weitere mögliche Inhalte
Elektronischer Datenaustausch zwischen staatlichen
Stellen (Rechtsgrundlage für Behördenkommunikation,
Kanzleiordnung)
Archivierung (ELAK als Original, Regelung für Abschriften,
Skartierung)
Gebühren (elektronische Zahlungsbestätigung)
Zugang zu Methoden und Verfahren
(offene Standards, Spezifikationen sind zu publizieren)
Sicherheitsvorgaben und Sicherheitsprüfung (Integration
technischer Normen in den Rechtsbestand, Gütesiegel)
E-Voting (Volksabstimmung, Volksbefragung, Wahl ieS,)
Biometrie
Elektronische Veröffentlichungen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Übersicht
e-Government allgemein
Konzept Bürgerkarte
Was bringen Bürgerkarten
Rechtsrahmen des e-Government
E-Government Gütesiegel
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Österreichisches e-Government Gütesiegel
Qualitätsauszeichnung für sicheres vertrauenswürdiges e-Government
Für Behörden, Unternehmen, Organisationen kostenfrei
Ziel Einheitliche Qualitätskriterien Vertrauen der Bürger in e-Government
stärken
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Technische Auszeichnung
Gütesiegel regelt ausschließlich technische Aspekte
Selbstverpflichtung der Träger zur Einhaltung der technischen e-Government Kriterien u.
Qualitätsmerkmale• Applikationen• Hard- u. Software im e-Government• Rechtsverbindliche, klare unmissverständliche
Umsetzung Aktive Mitwirkung bei Überprüfung
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Kriterien - Allgemein
Name und Anschrift (kein Postfach) des Anbieters, der Firma oder der Organisation
e-Mail-Adresse einer Kontaktperson bzw. -stelle
Firmenbuchnummer und das Firmenbuchgericht
etwaige gewerbe- oder berufsrechtlichen Vorschriften Kammer, Berufsverband
Allgemeine gesetzliche Vorschriften (SigG, SigV, TKG, DSG 2000, e-CommerceG etc.)
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Technische Kriterien
Anforderung an die Bürgerkarten – Umgebung Styleguide für e-Government-Formulare E-Government Verfahrens- und Leistungsbereiche LDAP Schema und Verzeichnisdienst der öffentlichen
Verwaltung MOA, Identifikation und Authentifikation MOA, Signaturprüfung und Signaturerstellung XML Personendatenstruktur Verwaltungskennzeichen Ableitung für die verfahrensspezifische
Personenkennzahl Portalverbundprotokoll Personenbindung Spezifikation Security Layer Spezifikation WAI Richtlinien Aktuell auf www.guetesiegel.gv.at
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Mögliche Gütesiegelträger
Sicherheitstoken nach Konzept Bürgerkarte
Teile von Internetauftritten Verwaltungsinformationen oder
Transaktionen Serveranwendungen
Verwaltungsinformationen oder Transaktionen
Portale Verwaltungsinformationen oder
Transaktionen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Vergabe und Entzug
Durch Bundesministerium für öffentliche Leistungen und Sport (BMöLS) Bestätigungsstelle nach SigG zur Technischen
Unterstützung Kann aber muss nicht prüfen
befristet auf 3 Jahre Verlängerung möglich
Nutzer muss PrüferInnen Zugang gewähren Bei Nichtkonformität nach Vergabe
Gemeinsam vereinbarter Nachbesserungszeitraum Entzug bei Verstoß gegen Kriterien
Wird auf www.guetesiegel.gv.at veröffentlicht
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Streitbeilegungsverfahren
Schlichtungsstelle im BMöLS Ziel: Vermittlung zw. Nutzern u.
Benutzern des Gütesiegels Gütesiegelträger unterwirft sich d.
Verfahrensordnung Veröffentlichung im Internet
Verfahrensgegenstand Wortlaut d. Klage Name des Schiedsrichters Ergebnis des Verfahrens Ausgenommen Verfahren ohne Einigung
auf gemeinsamen Schiedsrichter
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Schiedsrichter
Personen m. besonderen techn., wirtschaftl. oder jurist. Kenntnissen
Schiedsrichterliste A-SIT Streitparteien
Ablehnung unter Angabe von Gründen auch im laufenden Verfahren möglich Rechtsweg bei Ablehnung aller
Schiedsrichter
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Klage
Einreichung bei A-SIT oder www.guetesiegel.gv.at
Inhalt Bezeichnung der Parteien und ihrer Anschrift Unterlagen über Zuständigkeit der
Schlichtungsstelle Allfällige Schiedsrichtervorschläge Klagebegehren, dass konkrete Gütesiegelkriterien
nicht eingehalten wurden Zustellung
an beklagte Partei elektronisch• 30 Tage Beantwortungsfrist elektronisch signiert
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Verfahren
Mündlich, fernmündlich, schriftlich in Amtssprache der EU
Übersetzungskosten trägt Verursacher Elektronische Durchführung möglich Verfahren sollten innerhalb von 12
Monaten abgeschlossen werden Kommt kein Verfahren zustande kann
BMöLS trotzdem prüfen
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Kosten
Stundensätze der Schiedsrichter werden von A-SIT festgelegt und
veröffentlicht Verwaltungsaufwand der A-SIT Gütesiegelträger trägt
Verfahrenskosten Keine Kosten auf Seiten des Bürgers
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Verfahrensende
Gemeinsames Protokoll Signiert v. Schiedsrichter u. Parteien
Veröffentlichung im Internet
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Sicherheit & Zukunft
J AVA
TCP/IPhttp//
OPENSYSTEMS
XML
Sicherheit durch zukunftsorientierte Konzepte
www.cio.gv.at OCG Informatik Akademiewww.buergerkarte.at
Vielen Dankfür die Aufmerksamkeit
QuestionsQuestions
Questions
AND
Discussion
Discussion
Discussion