Kommentar zur eID-Strategie der Bundesregierung, Teil 2

eAkten als Alternative zur Online-Durchsuchung?

| Autor / Redakteur: Joachim Jakobs / Stephan Augsten

Wo bleibt die Sicherheit?

Und was ist mit der Sicherheit? Die Vitako, die Bundesarbeitsgemeinschaft der Kommunalen IT-Dienstleister, weist in einer Broschüre zur „Einführung der eAkte“ darauf hin: „Der IT-Sicherheitsbeauftragte unterstützt bei der Schutzbedarfsfeststellung, einem Basis-Sicherheitscheck, einer Risikoanalyse sowie der Identifikation geeigneter Maßnahmen.“

Die eAkten enthielten Informationen zur Handlungsweise und den Entscheidungswegen der Verwaltung. Die Einführung der elektronischen Aktenführung erfordere daher in verstärktem Maße die Absicherung der erforderlichen IT-Systeme gegen Ausfall, Datenmanipulation, unberechtigten Zugriff oder Datenverlust.

„Erstellen Sie zum Schutz Ihrer Daten nach den Vorgaben der IT-Sicherheitsbeauftragten ein Sicherheitskonzept für die elektronische Akte, in dem die abzusichernden Ziele und hierzu ergriffenen Maßnahmen dokumentiert werden“, empfiehlt die Vitako Im Anhang nennt das Dokument zahlreiche weitere Informationsquellen mit vielen hundert Seiten Empfehlungen des BSI zur Informationssicherheit – etwa die Technische Richtlinie zur „Beweiswerterhaltung kryptographisch signierter Dokumente“ oder das IT-Grundschutzhandbuch.

Ein wenig nebulös formuliert das eGovernment-Gesetz im Vergleich dazu: „Wird eine Akte elektronisch geführt, ist durch geeignete technisch-organisatorische Maßnahmen nach dem Stand der Technik sicherzustellen, dass die Grundsätze ordnungsgemäßer Aktenführung eingehalten werden.“

Nicht viel aufschlussreicher ist die „Digitale Verwaltung 2020“: „Daten, die von eGovernment-Diensten verarbeitet werden, müssen authentisch und zugriffsgeschützt sein. Ferner sind nur so viele Daten zu erheben, wie für den Dienst wirklich benötigt werden. Diese und weitere Sicherheitsaspekte müssen von Anfang an bei der Entwicklung von eGovernment-Angeboten berücksichtigt werden.“

Blick auf den neuen Personalausweis

eID-Strategie der Bundesregierung

Blick auf den neuen Personalausweis

26.11.14 - eMail, eCommerce, eGovernment: Elektronische Dienste und Vorgänge haben durchaus ihren Reiz, doch mit der Rechtssicherheit ist es nicht immer allzu weit her. Vor diesem Hintergrund will die Bundesregierung mit dem neuen Personalausweis einen digitalen Identitätsnachweis etablieren. Doch hält der nPA, was die Regierung verspricht? lesen

Die Pressestelle des Innenministeriums bestätigt auf die Frage nach der technischen Umsetzung und den Verschlüsselungsmechanismen: „Im Gesetz sind explizite Regelungen zur Art der Verschlüsselung nicht enthalten. Ob und ggf. wie Akteninhalte, Formulare oder Nachweise bei der Speicherung und/oder Übermittlung durch eine Behörde zu verschlüsseln sind, ergibt sich aus den allgemeinen Regeln, z. B. den einschlägigen Datenschutzvorschriften und hängt damit nicht zuletzt vom Inhalt dieser Dokumente ab.“

Mit „allgemeinen Regeln“ könnte etwa das IT-Sicherheitsgesetz gemeint sein. Dazu heißt es allerdings auch im aktualisierten Gesetzesentwurf: „Die Kommunikationstechnik von Regierung, Parlament und öffentlicher Bundesverwaltung ist nach Satz 3 von den Kritischen Infrastrukturen im Sinne des BSI-Gesetzes ausgenommen. Als Spezialregelung gelten hier die §§ 4, 5 und 8 des BSI-Gesetzes. Die Verwaltungen der Länder und Kommunen sind ebenfalls ausgenommen, da der Bund für sie keine Gesetzgebungskompetenz besitzt.“

Karsten Nohl, Krypto-Experte und Geschäftsführer der Security Research Labs in Berlin stellt dazu fest: „Der De-Mail-Datenstrom stellt alle bisherigen Datenquellen in den Schatten und kreiert entsprechend nie dagewesene kriminelle Anreize“. Wert legt der Innenminister stattdessen auf die Kompetenz seines Personals – in der Mail seiner Pressestelle heißt es weiter: „Maßnahmen zur Kompetenzentwicklung der Mitarbeiter halten wir für wichtig.“

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43132458 / System & Services)