Zum Hauptinhalt springen

Sicherheitseigenschaften ggü. Anforderungen aus Gesetzen

Die im Kapitel "Sicherheit > Anforderungen aus den Gesetzen" beschriebenen Gesetze, Verordnungen und Richtlininen bilden den Rahmen für die IT-Sicherheit der OZG-Komponenten. Wie aus dem § 5 des OZG hervor geht, soll das BMI die Standards vorgeben, welche in den Komponenten umgesetzt werden. Das BMI überträgt die Zuständigkeit in vielen Punkten dem BSI, welches über technische Richtlininen entsprechende Sicherheitseigenschaften definiert. In einem Rahmenwerk zur Bewertung der Basisdienste haben wir die Eigenschaften zusammengefasst. Die OZG-Servicestandards beschreiben die Offenheit des Produkts: Veröffentlichung des Quellcodes als Open-Source und Verwendung von offenen Standards. Während unserer Recherche und Kontaktaufnahme mit den Herstellern müssen wir feststellen, dass die Offenheit der Produkte nur bei den wenigsten gegeben sind. Positiv zu nennen sei hierbei das Produkt Fit-Connect, welches seinen Code in einer öffentlich zugänglichen Gitlab-Instanz unterhält und sich der Citizen Developer somit am Entwicklungsprozess beteiligen kann. Viele andere Produkte sind im Punkt Offenheit wesentlich zurückhaltender, was auch die Informationsbeschaffung schwierig macht. Ein Ansatz wie "Sicherheit durch Obskurität" (vgl. engl. "security through obscurity") durch Zurückhalten von Informationen hat bereits oft in der Vergangenheit gezeigt, dass dies eine schlechte Methode ist, um sich vor Angriffen auf die IT-Infrastruktur zu schützen. Angreifer:innen können Informationen über die Infrastruktur auch durch gezielte Abfragen erlangen und so das System kompromittieren. Daher ist es umso wichtiger auf offene Standards zu setzen, die von einem breiten Nutzer:innenkreis profitieren und so mögliche Schwachstellen bereits gefunden und ausgebessert wurden.

Aus dem gesetzlichen Rahmen ergeben sich IT-Sicherheitseigenschaften, die im Optimalfall bei Auslieferung des Produkts erfüllt sind. Es sollten die folgenden Punkte umgesetzt werden:

  • Einführung eines Managementsystems für Informationssicherheit mit Ansprechpersonen und IT-Sicherheitsbeauftragten
  • Durchführen eines IT-Grundschutzchecks nach ISO 27001
  • Durchführen einer Risikomanagement-Analyse nach BSI-Standard 200-3

Für die untersuchten Produkte konnten wir auch hier bei den wenigsten Herstellern einen oder mehrere der Sicherheitseigenschaften als erfüllt betrachten. Dies liegt teilweise daran, dass sich Produkte noch in der Entwicklung befinden, aber auch, dass nicht alle Informationen öffentlich zugänglich gemacht werden. Bereits in frühen Produktstadien sollte Sicherheit eine Rolle spielen und nach dem Prinzip "Sicherheit durch Design" (vgl. engl. "security by design") die IT-Sicherheitsbestimmungen bereits von Anfang an integriert werden. Eine ausführliche Dokumentation der Softwarearchitektur sowie die Funktionsweise der einzelnen Komponenten gehört ebenfalls mit zur guten Entwicklungspraxis. Zum aktuellen Zeitpunkt (10/2022) können wir das für die wenigsten Produkte bestätigen, da die Informationen vorenthalten werden oder eventuell nicht existieren. Weiterhin gehört das Durchführen von regelmäßigen Penetrationstests und Webchecks zu den Anforderungen (mindestens alle 2-3 Jahre). Auch hier sind über deren Einsatz wenige Informationen verfügbar.

Aus den Gesetzen geht weiterhin hervor, dass die Authentifizierung über die Servicekonten (Nutzerkonto Bund bzw. Nutzerkonten der Länder) erfolgen soll. Auch hier ist die Integration nicht ganz einfach, da nicht alle Informationen zur Verfügung stehen. Das Prinzip, eine zentrale Authentifizierungsstelle einzusetzen, ist prinzipiell posititv einzuordnen, da so gewährleistet ist, dass der Authentifizierungsprozess nach gleichen Anforderungen abläuft und über eine zentrale Schnittstelle in alle Komponenten eingebunden werden kann.

Zur vollständigen Absicherung der Kommunikation ist der Einsatz der vom BMI vorgegeben Verschlüsselungsalgorithmen für eine lückenlose verschlüsselte Kommunikation vom Antragsteller-Client bis zum Behörden-Server erforderlich. Auch hier ist die Verwendung von offenen Standards wünschenswert. Bei den uns vorliegenden Informationen wurden diese auch verwendet und umgesetzt, nicht überall sind die Angaben aber gegeben und müssen noch angefragt werden.