1 / 93

Die Bürgerkarte Nur ein e-Government-Instrument ?

Die Bürgerkarte Nur ein e-Government-Instrument ?. Arno.Hollosi Gregor.Karlinger Alexander.Leiningen Thomas.Menzel. @cio.gv.at. Übersicht. e-Government allgemein Konzept Bürgerkarte Was bringen Bürgerkarten Rechtsrahmen des e-Government E-Government Gütesiegel. E-Government allgemein.

belva
Download Presentation

Die Bürgerkarte Nur ein e-Government-Instrument ?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Die BürgerkarteNur ein e-Government-Instrument ? Arno.Hollosi Gregor.Karlinger Alexander.Leiningen Thomas.Menzel @cio.gv.at

  2. Übersicht • e-Government allgemein • Konzept Bürgerkarte • Was bringen Bürgerkarten • Rechtsrahmen des e-Government • E-Government Gütesiegel

  3. E-Government allgemein • Conveniance für den Bürger • Amtsbesuch von der Couch • One-Stop-Government • Beschleunigung der Verfahren • Keine (unsicheren) Paßwörter merken • Vorteile für den öffentlichen Sektor • Großes Einsparungspotential • Integrales Element der Verwaltungsreform • Österreich als Vorreiter des europäischen Trends • Strengster Datenschutz • Ziel: gläserne Verwaltung • Nichtziel: gläserner Mensch • Qualitätskontrolle durch • Public Private Partnership • Detaillierte Modelle und ausgereifte Prototypen werden von der öffentlichen Hand entwickelt • Wirtschaft gratis u. inkl. Modifikationsrecht zur Verfügung gestellt • Koordinierte und harmonisierte e-Government-Strategie für den ganzen öffentlichen Sektor

  4. CIO Bund Gemeinde- undStädte-Vertreter Chief Information Officer pro Ministerium (CIO) e-Government Struktur Österreichs IKT-Board Technische Arbeits- gruppe der Länder Arbeits- gruppe Arbeits- gruppe Arbeits- gruppe BKA IKT-Stabsstelle • Berichtswesen- Qualitätsmanagement • Organisation-Strategie • Schnittstellen-Standards

  5. Übersicht • e-Government allgemein • Konzept Bürgerkarte • Was bringen Bürgerkarten • Rechtsrahmen des e-Government • E-Government Gütesiegel

  6. Die Rolle der Bürgerkarten • Bürgerkarten als Key-Element für eine sichere e-Government-Infrastruktur in Österreich • Konzept und nicht spezielle Karte • Offenheit des Konzepts: • nicht exklusiv für Verwaltung, Einsatz auch im e-Commerce (etwa: nächste Generation der Bankkarten) • Bürgerkarten als Initialzündung für die Verbreitung elektronischer Signaturen in Österreich • Aufkommensneutral – Finanzierungsmöglichkeiten • Signaturkarte schon vorhanden (keine Mehrkosten d. Personenbindung) • Sponsoring (etwa: StudentenserviceCards, OCG-Karte) • Öffentliche Förderungsmodelle (wegen massiver Kosteneinsparung´) • Initiale Förderung neuer Technologien durch die öffentliche Hand Sichere Signatur Personenbindung Security Layer Einzige Anforderungen

  7. Konzept Bürgerkarte • Das Konzept Bürgerkarte ist • der Schlüssel zum e-Government • ein logisches Modell • kein konkreter Token als solches • Mindestanforderungen • Sichere elektronische Signatur • Personenbindung • Infoboxen • Security Layer • alle Karten, die das erfüllen sind bürgerkartenfähig • Light Versionen bei Bedarf möglich

  8. Funktion der Bürgerkarte • Ausweis zur Identifikation auf der Reise am Datenhighway • Bürgerkarte als Schlüssel für die Kommunikation mit der Verwaltung • Höherer Sicherheitsbedarf als derzeit im E-Commerce erreicht • Aufbewahrung der Signaturerstellungsdaten (must) • Distribution des Zertifikats (must) • Infoboxen (optional) • Informationen, die zusätzlich vom Karteninhaber benötigt werden • Rechte und Pointer auf andere Informationen (z.B. Vollmachten)

  9. MarktplatzPortal e-GovernmentAnwendung USER PPP VERWALTUNG Technologieneutralität Schnittstellen

  10. Personenbindung • Auf Chipkarte von Behörde abgelegt, besteht aus: • Basisbegriff (ZMR Zahl), • Hinweis auf die Zertifikate • Gültigkeitsdauer • Eindeutige Identifikation des Bürgers im Verfahren durch Beigabe der Personenbindung anhand seiner elektronischen Unterschrift auf dem anzubringenden Dokument. • Vom Datenschutzrat genehmigt - Auflagen: • sicherer Übertragungsweg • Abfrage von Daten nur durch berechtigte Personen • Speicherung des Basisbegriffs hat zu unterbleiben

  11. Datenschutz und ZMR (1) • Eindeutiger lebenskonstanter Ordnungsbegriff hoher Qualität • Datenschutzproblematik • ZMR-Nummer, SV-Nummer? • Lösung: Verfahrenskennung • Ableitung aus ZMR und Verfahrens(gruppen)name • Erfüllt alle Anforderungen • In den Datenbeständen der Verwaltung wird stets nur die verfahrensabhängige Kennung, nie aber der Basisbegriff gespeichert. Damit wird die Zusammenführbarkeit (Rasterabgleich) von Datenbeständen gegenüber der jetzigen Situation nicht ausgeweitet.

  12. Datenschutz und ZMR (2) Basisbegriff z.B. ZMR, ZVR, ... nicht rückführbare Ableitung (Hash [z.B. SHA-1]) Verfahrenskennung Verfahrenskennung z.B. Steuerverfahren z.B. Führerschein keine Umrechnung möglich

  13. Infobox • Datenspeicher für • Zertifikate • Personenbindung • Nicht näher definierter Bereich f. sonstige Daten • Verweise für Vollmachten oder andere Daten möglich • Steuerberater, Treuhänder etc. (z.B. Pointer auf Datensafe) • Funktionalität: • Lesen • Schreiben Zugriffsschutz • Management durch den Benutzer (Freiwilligkeit!) • z.B. Vergabe von Lese- und Schreib-PIN, Eingabe durch den Benutzer • Vergabe von Rechten je nach Applikation

  14. Security-Layer • Schnittstelle zwischen Applikation und Bürgerkartenumgebung • Kartenhersteller muss nicht auf Applikationen Rücksicht nehmen • Applikationsentwickler sind nicht für Kompatibilität mit verschiedenen Karten verantwortlich • Bietet eine logisch, abstrakte Sicht auf die tatsächliche physikalische Implementation

  15. Funktionen des Security-Layers • Signatur • erstellen (sichere und einfache) • verifizieren • Formate: XML und CMS • Infoboxen • Lesen und Schreiben • Arten: Binärdatei, Assoziatives Feld • Utility-Funktionen • Status (Karte vorhanden?) • Erzeugen von Sessionkeys • Eigenschaften der Umgebung

  16. Applikationen u. Security-Layer • Applikationen greifenausschließlich über Security-Layerauf die Bürgerkartenumgebung zu • Für Applikation sind Art und Handhabung der Zugriffsrechte transparent • Applikation soll sich nicht um Details kümmern müssen • Keine bescheinigungspflichtigen Komponenten in der Applikation

  17. Arten von Zertifikaten • Signaturdienstzertifikate • Serverzertifikate • Emailzertifikate • Authentisierungszertifikate • Verschlüsselungszertifikate • Qualifizierte Zertifikate

  18. Zertifikatsinhalte u. -erweiterungen • Name des Ausstellers (ZDA) • Namen des Signators • Prüfdaten des Signators • Gültigkeitsdauer • Eindeutige Kennung des Zertifikats • Allfällige Beschränkungen • Verwaltungskennzeichen (OID) • Keine Rollen und Berechtigungen abbilden

  19. Verzeichnisdienste • Speicherung und Publikation von Zertifikaten und Widerrufslisten (CRLs) • Öffentlicher Schlüssel muss bekannt sein • LDAP, HTTP • öffentlicher Zugriff per URL (HTTP) oder Distinguished Name (LDAP) • Vollständiger Vorname in Verbindung mit vollständigem Nachnamen • Vollständige Emailadresse • Seriennummer des Zertifikats • Erweiterter Zugriff für besonders vertrauenswürdige Personen • Wildcardsuche • Nachname, Vorname, Emailadresse, Distinguished Name • CRLs sollen allgemein und kostenfrei zugänglich sein

  20. Signaturdienstzertifikate • Zertifikatsverwendung • Automationsgestütztes Signieren von Daten • Sichert Integrität von Daten • Identifizierung ihres Ursprungs • Unterzeichnung von Daten eines Registers • Unterzeichnung von ausgehenden Bescheiden • Zertifikatsinhalte und –erweiterungen • Schlüsselverwendung • Bezeichnung u. Beschreibung des Signaturdienstes • Verwaltungskennzeichen (OID) • CRL Verteilungspunkt • Verweis auf Zertifikatspolicy des ZDA

  21. Serverzertifikate • Ermöglichen digitale Identifizierung eines Servers • Informationen über Webserver u. verantwortliche Organisation • Für SSL Aufbau notwendig • Erlauben beidseitige Authentifizierung • Zertifikatsinhalte u. –erweiterungen • ähnlich Signaturdienstzertifikaten • Distinguished Name • Country • State • Locality • Organisation • Organizational Unit • Common Name (vollqualifizierter Name des Servers) • Email (des Verantwortlichen)

  22. Emailzertifikate • Zertifikatsinhalt u.-erweiterung • Bezeichnung des Bediensteten • Emailadresse • Verwaltungskennzeichen (OID) • Schlüsselverwendung • Ausschließlicher Verwendungszweck: signieren elektronischer Post • Datenintegrität • Authentisierung des Ursprungs • CRL Verteilungspunkt • Verweis auf Zertifikatspolicy des ZDA

  23. Authentisierungszertifikate • Ausschliesslich zur Authentifizierung • Webaccess • Tunnelverbindungen • Zu behandeln wie Emailzertifkate

  24. Verschlüsselungszertifikate • Stellen Vertraulichkeit sicher • Zertifikat für digitale Signatur soll nicht für Verschlüsselung verwendet werden (OECD) • Einige Mailclients benötigen sowohl Signatur- als auch Verschlüsselungszertifikat für S/Mime • Besonderes Augenmerk muss auf Schlüsselverwahrung gelegt werden • Möglicher Ansatz: Mehrere User nützen gleiches Schlüsselpaar

  25. Lebenszyklus eines Zertifikates • Regelt Erwerb, Installation, Verlängerung u. Widerruf • Technischer Verantwortlicher • Liefert techn. Angaben für ZDA • Techn. Ansprechpartner für Implementierung • Organisatorischer Verantwortlicher • Prüft Berechtigungen • Widerruf • Berechtigungsnachweis

  26. Belehrung • Benutzer muss verantwortlich handeln • Nutzen und Zweck eines Zertifikats • Stellt keine Ermächtigung dar • Passwortregelungen • Widerrufsgründe • Vorgehen bei Verlängerung • Konsequenzen bei unsachgemäßer Verwendung

  27. Übersicht • e-Government allgemein • Konzept Bürgerkarte • Was bringen Bürgerkarten • Rechtsrahmen des e-Government • E-Government Gütesiegel

  28. Was bringt die Bürgerkarte? • Sicherheit • Zweifelsfreie Identifikation d. Users (Authentizität) • Unverfälschtheit der Daten (Integrität) • Verschlüsselung • Unabhängigkeit von Ort und Zeit • 7 Tage die Woche, 24 Stunden • Bits sollen Laufen – keine Bürger • Verkürzte Wartezeiten • Online statt Inline • One Stop Government • Lebenssituationsprinzip • Eine Anlaufstelle für alle Anliegen

  29. Anbringen - Sicht des Bürgers • Signiertes Dokument (Formular) • XML • automatisch verarbeitbar, gute Anbindung an Applikationen • gute Darstellbarkeit mittels Stylesheets • zahlreiche Werkzeuge vorhanden • signaturfähig mit W3C XMLDSig • unabhängig von System und Plattform • Erlaubt Mehrsprachigkeit • Beilagen (getrennt signiert) • Andere Dokumente, • Zahlungsbestätigungen (Stuzza) • Personenbindung • Vollmacht • Information über Art der Zustellung des Bescheides

  30. optionale Applikationen des Portals • Hilfestellung beim Anbringen • Kommunikation mit der Verfahrensapplikation • Postfach zur Hinterlegung eines Bescheides • Persönliches Dokumentenarchiv • Überblick über laufende Verfahren

  31. Anbringen - Sicht der Applikation • Einlauf • Security Entrance überprüft • Signatur • Zertifikat • Identität (=Personenbindung) • Vollmachtskette • Security Entrance leitet verfahrensabhängige Kennung (VPK) ab • Applikation • Verarbeitet das Anbringen • Proxy/Middleware • Zur Einbindung bestehender Anwendungen

  32. Elektr. Verfahren – Designphilosophie • Universelle Einsetzbarkeit • Felder optional wo möglich • Einfache Erweiterung • Organisationsübergreifend • Modularer Aufbau • Wiederverwendbarkeit • Verwenden von vorhandenen Standards • Rad nicht neu erfinden • Hersteller-neutral • Abhängigkeiten und Monopole vermeiden

  33. ? FORMULAR Styleguide-konform Webbasiert Security Layer Bürgerkarte Security Entrance A P P L I K A T I O N E N E I n L A U F Elektronisches Verfahren Hilfe Formular Beilagen Zustellungs- info + Signatur Signatur BürgerIn Zustellservice Gemeinde Help.gv Signatur, Zertifikat, Personenbindung Überpüfung Verfahrenskennung Nicht umkehrbar Dokumentensafe Statusmeldung ZDA

  34. Lebenssituationen Portal Lebenssituationen Geburt Umzug Heirat Steuer Unternehmensgründung Meldezettel Pass Führerschein Steuer Kirchensteuer

  35. Ausprägungen der Bürgerkarte • SV-Karte (e-card) • Personalausweis • Studentenausweis • Mitgliedskarten • Dienstausweis • USB-Token • PDA • Handy-SIM • .....

  36. StudentenServiceCard sonstige eCard Bürgerkarten ElektronischeSignatur in Österreich Personalausweis Kammerkarte Schülerkarte BMI Dienstkarte Bundesamtsgebäude Bankkarten Schülerkarte e-Commerce Signaturtechnologie: RSA 1024 ECC 160

  37. OCG-Karte als Bürgerkarte • Größere Rollouts bedürfen des Tests durch Pilotprojekte • Warum die Österreichische Computergesellschaft als erste Institution, die eine Bürgerkarte ausgibt: • Als Dachgesellschaft für Informatik in Österreich integrierende Funktion für Forschung, Privatwirtschaft und Verwaltung • Wunsch zur Ausgabe einer Signaturkarte bestand schon bei OCG • Ideale zeitliche Übereinstimmung zwischen Ausgabe der Mitgliedskarte und Realisierung des Konzepts Bürgerkarte • Überschaubarer Benutzerkreis (ca. 1300 Mitglieder) • Gute Voraussetzungen zum Feldtest aller Komponenten des Konzepts Bürgerkarte • Win-Win-Situation für beide Partner Erster Prototyp umgesetzt Referenzprojekt Lerneffekt bei der Realisierung innovatives Projekt Konkreter Nutzen für die Mitglieder Einsatz neuester Technologie OCG - CIO

  38. Universitäten Westverbund (+ Montan) – KeplerCard Ausweisfunktion Fortsetzungsbestätigung Zeugnisausdruck Kopierzähler Mensa-Zutrittskarte Parkplatzbewirtschaftung Elektronische Geldbörse (Quick) Einfache Signatur bm:bwk Bildung.at

  39. Bildung.at WU-Wien und Universitäten Südverbund (ohne Montan) Ausweisfunktion Authentisierungsverfahren Raumzutrittsfunktion Sichere elektronische Signatur bm:bwk

  40. Übersicht • e-Government allgemein • Konzept Bürgerkarte • Was bringen Bürgerkarten • Rechtsrahmen des e-Government • E-Government Gütesiegel

  41. Wechselwirkung zwischen Recht und Technik • Recht bedingt Technik • verfassungsverträgliche Technikgestaltung • Anpassung an traditionelle Rechtsinstitute • Schriftform • Nichtabstreitbarkeit von Willenserklärungen • Technik bedingt Recht • Technik als Vorreiter • Prägung der Gesellschaft (Info-Society) • Recht reagiert mit Verzögerung auf die durch Technik neu gestaltete faktische Situation • wechselseitige Bedingtheit

  42. Grundsätze eines Rechtsrahmens • Gesetzliche Determinierung • etwa: Datenschutz • Technologieneutral - neutrale Begriffe • laufende Technologiebeobachtung • Unterscheidung: • IT-Einsatz nur innerhalb der Verwaltung • Schnittstellen (Außenwirkung zum Bürger) • Berücksichtigung des Stufenbaus: • Gesetzliche Grundlagen • Konkretisierung durch Verordnung • Intern: Verwaltungsverordnung

  43. e-Government de lege lata • SigG+SigVO • Abgestuftes System • Anforderungen an Karte, ZDAs, technische Formate • Rechtswirkung der elektronischen Signatur (Schriftform und Beweiskraft) • Rechte und Pflichten von Signator und ZDA • DSG 2000 – Datensicherheit • MeldeG, MeldeVO – ZMR-Abfrage • Verwaltungsverfahrensnovelle 2000 • VerwaltungsreformG 2001 • Div. Regelungen in Materiengesetzen (GewO, HSG etc)

  44. Verwaltungsverfahrensnovelle 2000VerwaltungsreformG 2001 • Einzelgesetzliche Ermächtigung für Bürgerkarten im eGovernment • Normierung von ZMR-Zahl und Personenbindung • Speicherung am Chip nur bei Signaturanwendungen • Ausgangszahl für Identifikation • Nur Hash-Wert übermittelt • Darf nicht gespeichert werden • Anbringen können durch die Behörde elektronisch verarbeitet werden • Bürger kann aber weiter konventionell einbringen • Selbe Beweiskraft, wenn nicht veränderbar • Niederschriften bedürfen keiner Unterschrift, wenn Leiter der Amtshandlung anders identifizierbar • Elektronische Akteneinsicht • Elektronische Bereithaltung (E-Zustellung) • Bei Aufforderung: Erledigung am Server der Behörde abzuholen • Gilt nicht bei Kenntnis der Behörde über elektronische Nichterreichbarkeit • Oder, wenn Empfänger fristgerecht glaubhaft macht, daß Abholung aus technischen Gründen unmöglich oder unzumutbar ist

  45. Überlegungen: de lege ferenda • Zentrale Normierung (vgl SigG, E-C-G) • Klare Rechtsgrundlage für die einzusetzende Technik • Technologieneutrale normative Vorgaben • Konkretere Spezifikation durch VO unter Einbindung und Verweis auf offene, internationale Standards (zB: W3C) • Problem: Welchen Rechtscharakter haben unsere Spezifikationen • Besondere Berücksichtigung des Datenschutzes • Vereinheitlichung und Standardisierung der einzusetzenden Verfahren • Abrundung und Ergänzung des rechtlichen Rahmens für e-Government • Schließung bestehender Rechtsdefizite

  46. Der rechtliche Rahmen • SigG+SigVO • Abgestuftes System • Anforderungen an Karte, ZDAs, technische Formate • Rechtswirkung der elektronischen Signatur (Schriftform und Beweiskraft) • Rechte und Pflichten von Signator und ZDA • VerwaltungsreformG 2001 (Bürgerkarte) • Rechtliche Anerkennung des ELAK • Elektronische Niederschriften • Elektronische Bereithaltung als Hinterlegung • ASVG – Novelle (Grundlage für SV-Karte) • DSG 2000 – Datensicherheit • MeldeG, MeldeVO – ZMR-Abfrage • BGBlG, GOG + ERV, NO, HSG, Studienevidenzverordnung • E-Government Gesetz

  47. Rechtliche Funktion der Unterschrift • Abschlussfunktion • Willenserklärung ist mit dem Vorgang des Unterschreibens abgeschlossen • Echtheitsfunktion • Garantiert, dass der unterschriebene Text vom Aussteller stammt • Warnfunktion • Schutz des Unterzeichners vor Übereilung • Identitätsfunktion • Sicherung der Identität des Ausstellers • Beweisfunktion • Beweis, dass die unterschriebenen Erklärungen vom Aussteller stammen

  48. Voraussetzungen für die Eignung I • Identitätsfunktion (Identität des Ausstellers feststellbar) • private Schlüssel nicht weitergeben • Schutz des Schlüssels durch Speicherung auf SmartCard • Biometrische Verifikation der Identität vor jedem Schlüsselzugriff wie bei analog aufgebauter Unterschrift • Verpflichtung der Nutzer die Weitergabe zu unterlassen • Aufklärung über die Folgen einer Weitergabe (ununterscheidbares Handeln von Dritten) • geeignete Schlüssellängen • Vermeidung der Doppelvergabe von Schlüsseln

  49. Voraussetzungen für die Eignung II Echtheitsfunktion (Fälschungssicherheit) • Anzeige des gleichen Inhalts bei Verwendung unterschiedlicher Viewer • oder digital signierte Angaben über den zu verwendenden Viewer • „Viertel Problem“ • Vermeidung von verdecktem Text • genaue Kenntnis, was alles von der Signatur umfasst wird • geeignete Hash-Routinen • ausreichend lange Schlüssel

  50. Voraussetzungen für die Eignung III • Beweisfunktion • Beweiswert von der Rechtsordnung selbst vorgegeben • Keine technische Funktion • Abschluss- und Warnfunktion • Option der automatischen Signatur • E-Mail wird automatisch beim Versenden signiert • Aufforderung zur Eingabe eines Passwort, um den Signiervorgang manuell zu starten • über Rechtswirkung der Signatur bei der Zertifizierung aufklären • Nicht-Abstreitbarkeit • von Ursprung, Empfang, Entgegennahme und Zustellung • keine „klassische“ Funktion der Unterschrift • unverzichtbar bei Übermittlung von rechtsverbindlichen Inhalten • vertrauenswürdige Zeitstempelvergabe

More Related