Wandel der Öffentlichen Verwaltungen Auf dem Weg zur eGovernment-Behörde

Autor / Redakteur: Dr. Johannes Dotterweich / Gerald Viola

Die Steuererklärung online abgeben, ein neues Fahrzeug im Netz anmelden oder rechtsverbindliche Verträge mit Versicherungen abschließen – die digitale Signatur ist eine sichere Basis für viele Aktivitäten. Doch bislang zögern noch viele Verwaltungen, davon Gebrauch zu machen. Ein positives Signal hat die Deutsche Rentenversicherung im vergangenen Jahr gesetzt: Sukzessive hat sie 73 000 Mitarbeiter mit Chipkarten ausgestattet, mit deren Hilfe sie Dokumente rechtsverbindlich elektronisch unterschreiben können. Die passende IT-Infrastruktur fand ihren Ursprung als Teststellung im Siemens eGovernment Lab in Berlin.

Firmen zum Thema

Henne-Ei-Problematik: Der Erwerb einer Chipkarte lohnt sich für den Bürger nur, wenn eine entsprechende Anzahl von Anwendungen zur Verfügung steht (Quelle: Siemens Business Services)
Henne-Ei-Problematik: Der Erwerb einer Chipkarte lohnt sich für den Bürger nur, wenn eine entsprechende Anzahl von Anwendungen zur Verfügung steht (Quelle: Siemens Business Services)
( Archiv: Vogel Business Media )

Es sind 58 Prozent der Deutschen über 14 Jahren, die regelmäßig im Netz unterwegs sind – und sie nutzen diese Zeit nicht nur zum eMailschreiben und Chatten, sondern sie erledigen online auch verstärkt persönliche Angelegenheiten wie Steuererklärungen oder die Beantragung eines neuen Personalausweises. Laut einer Studie von TNS Infratest und der Initiative D21 nutzen 38 Millionen Deutsche das Internet und hieven die Bundesrepublik damit weltweit auf Platz 4.

Elektronische Signatur macht Dokumente rechtsgültig

Eine sichere Basis für Vertragsabschlüsse oder Steuererklärungen im Internet und für die anderen Online-Aktivitäten bildet die digitale Signatur. Bisher wird sie jedoch kaum genutzt. Studien gehen davon aus, dass kaum fünf Prozent der Internetnutzer digital signieren. Dies gilt insbesondere für den Öffentlichen Sektor. Im Rahmen einer Consultingstudie wurde herausgefunden, dass nur jede siebte Behörde die elektronische Unterschrift im Geschäftsverkehr oder elektronischen Aktengang einsetzt. Acht von zehn Ämtern nutzen die Technologie gar nicht. Als Grund nennen sie zum einen, noch nicht vom Kosten-Nutzen-Verhältnis überzeugt zu sein, zum anderen befürchten sie, die Bürger zu überfordern.

Der Gesetzgeber hatte daher bereits 2005 die Bedingungen für die Antragstellung von digitalen Signaturen vereinfacht. Das sogenannte Signaturänderungsgesetz setzt die qualifizierte elektronische Signatur der eigenhändigen Unterschrift rechtlich gleich. Außerdem wurde das Antrags- und Ausgabeverfahren deutlich vereinfacht. So können Anbieter von Chipkarten mit qualifizierten Signaturen diese künftig ohne erneute Identitätsprüfung ausgeben. Eine Folge: Das Bewusstsein für den Nutzen der elektronischen Signatur wächst im Öffentlichen Sektor stetig an – sind doch die Einsparungs-und produktivitätssteigernden Effekte und daraus resultierende reduzierte Bearbeitungskosten nicht von der Hand zu weisen.

Sicherheitslösung mit Zukunft

Um elektronische Unterschriften zu erzeugen, benötigt man ein Schlüsselpaar mit einem Public Key und einem Private Key. Diese bilden die Basis eines asymmetrischen Codierungsverfahrens: Der Besitzer signiert Dokumente mit seinem Private Key und der Eingabe einer PIN, die nur ihm bekannt ist. Der Empfänger kann mit dem Public Key, der allgemein bekannt gemacht wird, die Signatur prüfen. Derzeit ist die Speicherung auf einer Smart Card der einzig gesetzlich gangbare Weg, den privaten Schlüssel aufzubewahren. Diese Smart Card aber bietet die Möglichkeit für Mehrwertfunktionen: Neben der hochsicheren Zugangs- und Zugriffskontrolle lassen sich mit den kreditkartengroßen Karten unter anderem auch die Arbeitszeit automatisch erfassen, Parkschranken öffnen, eMails automatisch verschlüsseln oder bargeldlos in der Kantine zahlen.

Die Zuordnung der öffentlichen Schlüssel zu einer Person erfolgt durch Zertifikate – eine Art elektronisch beglaubigter Ausweis. Das Zertifikat ordnet der digitalen Identität bestimmte Eigenschaften wie eMailadresse, Name oder Anschrift zu und beglaubigt den öffentlichen Schlüssel. In einem Corporate Directory werden die Zertifikate verteilt. Je nach Ausführung lässt sich die Gültigkeit online via OCSP (Online Certificate Service Protocol) oder mittels aktueller Sperrlisten (Certificate Revocation Lists – CRL) steuern – etwa bei Verlust.

Ausgestellt werden die Zertifikate und Schlüssel von sogenannten Trustcentern, die etwa mit einem Passamt vergleichbar sind. Entscheidend für die sichere Verteilung der Schlüssel und damit der digitalen Identitäten ist die Public Key Infrastructure (PKI). Im Siemens eGovernment Lab in Berlin entwickelt Siemens Business Services (SBS) mit Fujitsu Siemens Computers und dem Siemens Enterprise Communications sowie einer Vielzahl von etablierten Partnern entsprechende Lösungen. Zudem betreibt SBS das Siemens-Trustcenter, das zu den größten der Welt zählt.

Bisher dauerte es mehrere Tage, eine neue Karte durch ein Trustcenter ausstellen zu lassen. Um den Zeitaufwand zu reduzieren, hat das Siemens eGovernment Lab eine Lösung entwickelt, mit der Behörden die Signaturkarten für ihre Mitarbeiter dezentral in ihren Dienststellen in nur 15 Minuten produzieren können. Bevor es allerdings so weit war, wurde im Siemens eGovernment Lab zunächst ein auf die Behörde abgestimmtes Sicherheitskonzept erarbeitet, auf dem das Organisations- und Betriebskonzept aufbaute. Anschließend wurden alle Komponenten unter praxiskonformen Verhältnissen getestet. Dieser dezentrale Ansatz erlaubt auch im Rahmen der Mandantenfähigkeit (Amtshilfe) die grundsätzliche Anbindung weiterer Institutionen der Öffentlichen Verwaltung, ohne dass diese ein eigenes (zentrales) Trustcenter aufbauen müssen.

Deutsche Rentenversicherung als Vorreiter

Die Einführung einer PKI in einer Behörde will gut geplant sein. Zunächst geht es darum, die PKI auf die vorhandenen Geschäftsprozesse abzustimmen und einen behördenweiten, strategischen Masterplan zu entwickeln. Besonders erfolgreich haben sich skalierbare Ansätze erwiesen, die schnelle Erfolge in Teilbereichen bringen und dann Schritt für Schritt ausgebaut werden. Entscheidend für eine effektive Integration ist die vorhandene Infrastruktur: Die Anzahl der PKI-fähigen Applikationen bestimmt den Return on Investment (ROI) in die PKI-Infrastruktur. Bereits im ersten Schritt sollte zumindest eine Anwendung auf einer PKI basieren. Für diesen „sanften“ Weg der Einführung eignen sich besonders Multifunktions-Chipkarten, da die Kartentechnologie eine Koexistenz verschiedener Systeme ermöglicht.

Diese Erfahrungen sind in den Aufbau des Trustcenter bei der Deutschen Rentenversicherung eingeflossen, das im November 2005 offiziell in Betrieb genommen wurde. Insgesamt 73 000 Mitarbeiter erhielten dort Chipkarten, mit denen sie sich im Netz authentifizieren und Dokumente rechtsverbindlich elektronisch unterschreiben. Vorgänge lassen sich so ohne Medienbrüche abwickeln, Zahlungen können elektronisch angeordnet und bearbeitet werden. Zusätzlich dient die Chipkarte zur Arbeitszeiterfassung, als Zutrittsberechtigung und für das PC-Log-in.

Die Rentenversicherung ist damit die erste Behörde der Bundesrepublik, die ihre Mitarbeiter selbst mit Chipkarten und Zertifikaten ausstattet und dafür ein eigenes Trustcenter betreibt. Der Grund dafür: Es ist in diesem Fall wirtschaftlicher, die Karten selbst zu produzieren. Denn die benötigten Personaldaten können direkt aus den bestehenden Datenbanken übernommen und die Karten können ohne zusätzliches Personal produziert und ausgegeben werden. Ist die Karte verloren oder defekt, bekommen die Mitarbeiter der Deutschen Rentenversicherung Bund in Berlin-Wilmersdorf in 30 Minuten einen neuen Ausweis.

Trend erkannt und mit der Umsetzung begonnen

Im Gegensatz zum Öffentlichen Sektor setzt die Wirtschaft die elektronische Signatur bereits umfassender ein – insbesondere überall dort, wo mit vertraulichen Informationen gehandelt wird. So lässt sich mit einer digitalen Signatur jeder Geschäftsverkehr verbindlich signieren. Auch jede Art von Vertragsabschluss und alle bankbezogenen Aktionen, die bisher die umständliche Eingabe von Transaktionsnummern erforderlich machten, können damit einfacher und sicherer gestaltet werden.

Gerade im Gesundheitswesen öffnet sich hier ein weites Handlungsfeld: vertrauliche Informationen auszutauschen, die nicht in falsche Hände gehören. Bei Kranken- und Laborberichten, Diagnosen, Rezepten sowie Notfall- oder Dialyseausweisen kann und wird die elektronische Signatur eine Alternative zur Unterschrift bilden.

Artikelfiles und Artikellinks

(ID:2007301)