Anforderungen aus den Gesetzen

Basierend auf dem Onlinezugangsgetz (OZG) [1] sind weitere Verordnungen, Richtlinien und Standards erlassen worden, die das Thema IT-Sicherheit betreffen. In den folgenden Abschnitten werden die zutreffenden Regelungen einzeln näher beleuchtet.

OZG

Das OZG [1] hat einen eigenen Paragraphen für die Gewährleistung der IT-Sicherheit während der Umsetzung:

§ 5 IT-Sicherheit
Für die im Portalverbund und für die zur Anbindung an den Portalverbund genutzten IT-Komponenten werden die zur Gewährleistung der IT-Sicherheit erforderlichen Standards durch Rechtsverordnung des Bundesministeriums des Innern, für Bau und Heimat ohne Zustimmung des Bundesrates festgelegt. Die Einhaltung der Standards der IT-Sicherheit ist für alle Stellen verbindlich, die entsprechende IT-Komponenten nutzen. Von den in der Rechtsverordnung getroffenen Regelungen kann durch Landesrecht nicht abgewichen werden. § 4 Absatz 2 gilt entsprechend.

Wie aus dem Paragraphen hervorgeht, gibt das BMI die Standards der IT-Sicherheit vor. Ein aktueller Kritikpunkt hierbei ist, dass die entsprechende Rechtsverordnung noch nicht erlassen wurde (Stand 01.09.2020). Außerdem geht aus § 3 "Ziel des Portalverbundes; Nutzerkonten" hervor, dass für die elektronisch verfügbaren Verwaltungsleistungen ein sicheres Verfahren zur Identifizierung und Authentifizierung benötigt wird, die den Anforderungen der Verwaltungsleistung gerecht werden soll. Es soll also ein Nutzerkonto angelegt werden, dass sowohl für natürliche Personen wie auch juristische Personen wie Unternehmen zum Einsatz kommen soll und in Bund und Ländern einheitlich angewendet wird. Weiterhin beschreibt § 8 Absatz 7, dass die eingesetzten Verfahren zum Nachweis der Identität auch im Rahmen des OZG zur Anwendung kommen. Damit ist die eID des Personalausweises gemeint. Diese Regelung ist bis zum 30. Juni 2023 begrenzt. Der vollständige Gesetzestext ist nachzulesen unter: [1]

SDG

Die Single-Digital-Gateway Verordnung [2] beinhaltet auch Aussagen zum Thema Sicherheit. Es seien an dieser Stelle folgende Auszüge aus der SDG-Präambel aufgeführt, die sich mit IT-Sicherheit befassen:

(41) Online-Dienste zuständiger Behörden sind von wesentlicher Bedeutung, um die Qualität und die Sicherheit der Dienste für Bürger sowie Unternehmen zu verbessern. Behörden in Mitgliedstaaten arbeiten zunehmend darauf hin, Daten wiederzuverwenden und dadurch darauf zu verzichten, Bürger sowie Unternehmen mehr als einmal um Vorlage derselben Information zu ersuchen. Die Wiederverwendung von Daten sollte auch für grenzüberschreitende Nutzer vereinfacht werden, um ihnen zusätzlichen Aufwand zu ersparen.

(42) Um den rechtmäßigen grenzüberschreitenden Austausch von Nachweisen und Informationen durch die unionsweite Anwendung des Grundsatzes der einmaligen Erfassung zu ermöglichen, sollten bei der Anwendung dieser Verordnung und des Grundsatzes der einmaligen Erfassung alle anwendbaren Datenschutzvorschriften, einschließlich des Grundsatzes der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit, der Notwendigkeit, der Verhältnismäßigkeit und der Zweckbindung eingehalten werden. Ihre Umsetzung sollte auch vollumfänglich die Grundsätze der eingebauten Sicherheit und des eingebauten Datenschutzes einhalten. und den Grundrechten von Einzelpersonen, einschließlich der Grundrechte, die sich auf Fairness und Transparenz beziehen, Rechnung tragen.

(52) Im Hinblick auf die Gewährleistung eines hohen Sicherheitsniveaus für die grenzüberschreitende Anwendung des Grundsatzes der einmaligen Erfassung durch das technische System sollte die Kommission beim Erlass von Durchführungsrechtsakten zur Festlegung der Spezifikationen für ein solches technisches System den von europäischen und internationalen Normungsorganisationen und -gremien, insbesondere dem Europäischen Komitee für Normung (CEN), dem Europäischen Institut für Telekommunikationsnormen (ETSI), der Internationalen Organisation für Normung (ISO) und der Internationalen Fernmeldeunion (ITU), festgelegten Normen und technischen Spezifikationen sowie den Sicherheitsstandards gemäß Artikel 32 der Verordnung (EU) 2016/679 und Artikel 22 der Verordnung (EU) 2018/1725 umfassend Rechnung tragen.

(54) Die zuständigen Behörden und die Kommission sollten sicherstellen, dass die Informationen, Verfahren und Dienste für die sie verantwortlich sind, den Sicherheitskriterien entsprechen. Die gemäß dieser Verordnung bestellten nationalen Koordinatoren und die Kommission sollten die Einhaltung der Qualitäts- und Sicherheitskriterien auf nationaler Ebene und auf Unionsebene in regelmäßigen Abständen überprüfen und auftretende Probleme angehen. Die nationalen Koordinatoren sollten die Kommission darüber hinaus bei der Überwachung des Funktionierens des technischen Systems, das den grenzüberschreitenden Austausch von Nachweisen ermöglicht, unterstützen. Die vorliegende Verordnung sollte der Kommission verschiedene Mittel an die Hand geben, um einer möglichen Verschlechterung der Qualität der über das Zugangstor angebotenen Dienste entgegenzuwirken; je nachdem, wie schwerwiegend und dauerhaft eine solche Verschlechterung ist, würde auch die Koordinierungsgruppe gegebenenfalls für das Zugangstor mit einbezogen werden. Die Kommission trägt dennoch die Gesamtverantwortung dafür, zu überwachen, dass die Bestimmungen der vorliegenden Verordnung eingehalten werden.

(59) In der vorliegenden Verordnung sollten auch die Zuständigkeiten für die Entwicklung, Verfügbarkeit, Wartung und Sicherheit der IKT-Anwendungen zur Unterstützung des Zugangstors klar zwischen der Kommission und den Mitgliedstaaten aufgeteilt werden. Im Rahmen der Wartungsaufgaben sollten die Kommission und die Mitgliedstaaten regelmäßig prüfen, ob diese IKT-Anwendungen reibungslos funktionieren.

(70) Die Mitgliedstaaten werden darin bestärkt, auf zwischenstaatlicher Ebene ein höheres Maß an Koordinierung, Austausch und Zusammenarbeit zu erreichen, um ihre strategischen, operativen sowie forschungs- und entwicklungsbezogenen Kapazitäten im Bereich der Cybersicherheit zu erhöhen, insbesondere indem sie die in der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (NIS) (27) genannte Sicherheit von Netz- und Informationssystemen umsetzen, und um die Sicherheit und Widerstandskraft ihrer öffentlichen Verwaltung und Dienste zu stärken. Die Mitgliedstaaten werden darin bestärkt, die Sicherheit der Transaktionen zu erhöhen und ein ausreichendes Maß an Vertrauen in elektronische Mittel sicherzustellen, indem sie den eIDAS-Rahmen gemäß Verordnung (EU) Nr. 910/2014 und insbesondere angemessene Sicherheitsniveaus umsetzen. Die Mitgliedstaaten können gemäß dem Unionsrecht Maßnahmen zum Schutz der Cybersicherheit und zur Verhütung von Identitätsbetrug oder anderen Formen von Betrug ergreifen.

Weiterhin sind folgende Auszüge aus der SDG-Verordnung [2] zu nennen:

Art. 1 (3)   Diese Verordnung berührt nicht den Inhalt der Verfahren, die auf der Ebene der Union oder auf nationaler Ebene in irgendeinem der unter diese Verordnung fallenden Bereiche festgelegt sind, oder die Rechte, die im Rahmen dieser Verfahren gewährt werden. Ferner berührt diese Verordnung keine Maßnahmen, die gemäß dem Unionsrecht zur Gewährleistung der Cybersicherheit und zur Verhinderung von missbräuchlichem Verhalten ergriffen werden.

Art. 14 (3)   Das technische System muss insbesondere
a) auf ausdrückliches Ersuchen des Nutzers die Verarbeitung von Anträgen auf Ausstellung von Nachweisen ermöglichen,
b) die Verarbeitung von Anträgen auf Ausstellung von Nachweisen ermöglichen, die zugänglich gemacht oder ausgetauscht werden sollen,
c) die Übermittlung von Nachweisen zwischen den zuständigen Behörden zulassen,
d) die Verarbeitung der Nachweise durch die anfordernde zuständige Behörde zulassen,
e) die Vertraulichkeit und Integrität der Nachweise sicherstellen,
f) dem Nutzer die Möglichkeit bieten, die von der anfordernden zuständigen Behörde zu verwendenden Nachweise vorab einzusehen und zu entscheiden, ob er mit dem Austausch von Nachweisen fortfährt oder nicht,
g) ein angemessenes Maß an Interoperabilität mit anderen einschlägigen Systemen sicherstellen,
h) ein hohes Maß an Sicherheit für die Übermittlung und Verarbeitung von Nachweisen sicherstellen,
i) sicherstellen, dass Nachweise nicht über das für den Austausch von Nachweisen technisch notwendige Maß hinaus und auch dann nur solange verarbeitet werden, wie es der Zweck erfordert.

Art. 14 (11) Die Kommission und jeder Mitgliedstaat sind für die Entwicklung, die Verfügbarkeit, die Wartung, die Kontrolle, die Überwachung und das Sicherheitsmanagement ihrer jeweiligen Teile des technischen Systems verantwortlich.

Art. 30 (1) Die Koordinierungsgruppe für das Zugangstor unterstützt die Ausführung dieser Verordnung. Insbesondere [...] l) erörtert sie die Umsetzung der Grundsätze der eingebauten Sicherheit und des eingebauten Datenschutzes im Rahmen dieser Verordnung,

Im Wesentlichen beschreibt die Verordnung den Wunsch, grenzübergreifende Anträge möglich zu machen und dabei auf die eingebaute Sicherheit und den Datenschutz zu achten. Die Mitgliedsstaaten sollen weitgehend unabhängig ihre Schnittstellen entwickeln, wobei die Kommission die Überwachungsfunktion übernimmt. Der vollständige Gesetzestext ist nachzulesen unter: [2]

IT-Sicherheitsverordnung Portalverbund

Die IT-Sicherheitsverordnung Portalverbund wurde aufgrund des §5 OZG [1] über die IT-Sicherheit vom BMI erlassen. Sie gliedert sich in technische Richtlinien sowie Vorgaben für Penetrationstests und Webchecks. Weiterhin gelten hierfür die BSI-Standards 200-1, 200-2, 200-3 sowie die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung. Diese werden in den folgenden Abschnitten aufgeführt. Außerdem findet das IT-Sicherheitsgesetz 2.0 in diesem Kontext seine Anwendung: [3]

Eine Rechtsverordnung, die die IT-Sicherheitsstandards der Systeme im Portalverbund sowie die zur Anbindung an den Portalverbund genutzten IT-Komponenten festlegt ist zum aktellen Stand noch nicht erlassen [4], sodass die technischen Richtlinien noch nicht rechtsverbindlich sind.

Technische Richtlinien

Die technischen Richtlinien gliedern sich in:

1. Vertrauensniveaus und Mechanismen
   • Bewertung von Authentisierungslösungen
   • Prüfberichtsvorlage
2. Schriftformersatz mit elektronischem Identitätsnachweis
3. Kryptografische Vorgaben für Projekte der Bundesregierung
   1. Telematikinfrastruktur
   2. Hoheitliche und eID-Dokumente
   3. Intelligente Messsysteme
   4. Kommunikationsverfahren in Anwendungen
      • Checkliste für Diensteanbieter
   5. Anwendungen der Secure Element API
   6. Kooperative intelligente Verkehrssysteme (C-ITS)
4. Vertrauensniveaubewertung von Verfahren zur Identifierung von natrlichen Personen
   • Anforderungskatalog zur Prüfung von Identifikationsverfahren
   • Prüfberichtsvorlage zur Prüfung von Identifikationsverfahren
5. Servicekonten
   1. Identifierung und Authentifizierung
   2. Interoperables Identitätsmanagement für Bürgerkonten

Vorgaben für Penetrationstests und Webchecks

Das BSI stellt einen Leitfaden [5] mit Checklisten zur Durchführung von Penetrationstests zur Verfügung. Daraus lassen sich Empfehlungen ableiten. Grundsätzlich soll nach der Umsetzung der IT-Grundschutzmaßnahmen über eine Kurzrevision der IT-Sicherheit die Basisabsicherung nach IT-Grundschutz überprüft werden. Nach eine Webcheck wird der Penetrationstest ausgeführt. Webchecks sind eine Unterkategorie des Penetrationstests bei dem die Funktionalität einer Website überprüft wird. Ein Leitfaden [6] zur Durchführung eines Webchecks steht zur Verfügung. Penetrationstests sollten grundsätzlich unter dem 4-Augen-Prinzip mit anschließenden Wiederholungsprüfungen alle zwei bis drei Jahre durchgeführt werden. Es sollen dabei nur bekannte Exploits eingesetzt werden, deren Wirkungsweise schon bekannt ist. Das Schadenspotential einer Schwachstelle bemisst sich in diesem Kontext über den Sicherheitsbedarf der verarbeiteten Daten. Penetrationstests müssen bestimmte Eigenschaften erfüllen und entsprechend zertifiziert sein. Die Vorgaben sind hier [7] zu finden.

Weitere BSI-Standards

Weitere BSI-Standards in Zusammenhang mit der OZG-Umsetzung sind:

• BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
• BSI-Standard 200-2: IT-Grundschutz-Methodik
• BSI-Standard 200-3: Risikomanagement
• Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates
• IT-Grundschutz-Profil Basis-Absicherung Kommunalverwaltung

Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung

Die Leitlinien für die Informationssicherheit [8] untergliedern sich in fünf Handlungsfelder:

1. Informationssicherheitsmanagement
2. Absicherung der IT-Netzinfrastrukturen der öffentlichen Verwaltung
3. Einheitliche Sicherheitsstandards für ebenenübergreifende IT-Verfahren
4. Gemeinsame Abwehr von IT-Angriffen
5. IT-Notfallmanagement

eIDAS Verordnung über die elektr. Identifizierung und Vertrauensdienste

Die eIDAS Verordnung [9][10] ist eine Verordnung auf EU-Ebene. Auf nationaler Ebene wird sie in Deutschland durch das eIDAS-Durchführungsgesetz eingebunden. Durch die Verordnung werden folgende Instanzen geregelt:

- Vertrauensdienste
- elektronische Signaturen
- elektronische Siegel
- elektronische Zeitstempel
- Dienste für Zustellung elektronischer Einschreiben
- Zertifikate für die Website-Authentifizierung

Die eIDAS Verordnung in Text-Form ist hier zu finden: [9].

Ein Projekt in Verbindung mit EIDAS ist e-SENS, http://www.esens.eu/. In diesem existiert ein Verbund aus öffentlichen und privaten Akteuren, um die öffentlichen Dienste grenzübergreifend zu ermöglichen. Dieses Projekt wurde inzwischen eingestellt. Weitere Informationen zu den eIDAS Nodes und deren technische Funktionsweise sind im Kapitel eIDAS Nodes zu finden.

Anmerkung: Es soll eine FAQ-Seite des BMI zu eIDAS geben, zum Zeitpunkt der Erstellung dieses Textes ist diese Seite allerdings nicht erreichbar: https://www.bmi.bund.de/DE/Verwaltung/eIDAS_Verordnung_EU/eIDAS_verordnung_haeufige_fragen/eIDAS_verordnung_haeufige_fragen_node.html

Quellen

[1]

Bundesministerium der Justiz: Onlinezugangsgesetz vom 14. August 2017 (BGBl. I S. 3122, 3138), das zuletzt durch Artikel 16 des Gesetzes vom 28. Juni 2021 (BGBl. I S. 2250) geändert worden ist. URL https://www.gesetze-im-internet.de/ozg/BJNR313800017.html. - abgerufen am 2022-10-28

[2]

Europäische Union: Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates vom 2. Oktober 2018 Über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012. URL https://www.gesetze-im-internet.de/ozg/BJNR313800017.html. - abgerufen am 2022-10-28

[3]

Bundesamt für Sicherheit in der Informationstechnik: Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) - Neues IT-Sicherheitsgesetz für eine moderne Cyber-Sicherheit. URL https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html. - abgerufen am 2022-10-28

[4]

FragDenStaat: Rechtsverordnung IT-Sicherheit im OZG. URL https://fragdenstaat.de/anfrage/rechtsverordnung-it-sicherheit-im-ozg/#nachricht-517580. - abgerufen am 2022-11-01

[5]

Bundesamt für Sicherheit in der Informationstechnik: Praxis-Leitfaden: IT-Sicherheits-Penetrationstest. URL https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.html?nn=985602. - abgerufen am 2022-11-01

[6]

Bundesamt für Sicherheit in der Informationstechnik: Praxis-Leitfaden: IT-Sicherheits-Webcheck. URL https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Webcheck.html?nn=985602. - abgerufen am 2022-11-01

[7]

Bundesamt für Sicherheit in der Informationstechnik: Personenzertifizierung: Programm IS-Penetrationstester 1.2. URL https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/IS-Penetrationstester.html. - abgerufen am 2022-11-01

[8]

Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung. URL https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Basis_Absicherung_Kommunalverwaltung.pdf. - abgerufen am 2022-11-01

[9]

Europäische Union: Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG. URL https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0910. - abgerufen am 2022-10-28

[10]

Bundesamt für Sicherheit in der Informationstechnik: eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste. URL https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/eIDAS-Verordnung/eidas-verordnung_node.html. - abgerufen am 2022-11-01