:quality(80)/p7i.vogel.de/wcms/cc/36/cc3644a94efc9b7143706b9bfab9b616/0110660439.jpeg "Der diesjährige Vorsitzende des IT-Planungsrates, Patrick Burghardt, eröffnet den 11. Kongress des Kongress in Halle (©Manfred Klein)")
:quality(80)/p7i.vogel.de/wcms/d3/21/d32115146c91f4d8969d6abed7e1edb9/0110657226.jpeg "Weniger Behördengänge und mehr Sicherheit verspricht der neue Gesetzentwurf für das Pass- und Ausweiswesen (© Stockfotos-MG - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/65/246592e67524af719f36e33ab3ae8033/0110649856.jpeg "Die Zahl der Cybercrime-Fälle stiegen im vergangenen Jahr um 3,7 Prozent im Vergleich zu 2021 und lagen mit 11.144 auf einem Zehnjahreshoch (© matejmo– Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/3b/dc/3bdc06b12f9d51c76c2e76ddbb617c07/0110612161.jpeg "Die FITKO bekommt eine neue Führungsspitze – nur wann, das ist noch nicht klar (©fotogestoeber – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/23/e42366fcc7732fd21cff16c7d2fccf47/0110660371.jpeg "Alexander Häußler (© TÜV SÜD Management Service GmbH)")
:quality(80)/p7i.vogel.de/wcms/5d/3c/5d3c976bc8fc5e84666b7e22eb0f15bc/0110567284.jpeg "Martin Schallbruch, CEO der govdigital eG: „Transformation braucht stabile Rahmenbedingungen“ (©Ole Heinrich)")
:quality(80)/p7i.vogel.de/wcms/5e/19/5e1949667e4fe2019bde340be80a9db9/0110599255.jpeg "EU-Regeln für KI-Einsatz könnten hohen Mehraufwand für Unternehmen bedeuten. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/73/e073c092d080e766fed22921d1160dc1/0110591112.jpeg "Die Steuererklärung auf Papier ist ein Auslaufmodell (© SusanneB, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/1c/471c6cc43ced7fddfcb04f6a48992fe0/0110610945.jpeg "Neben dem Kongressprogramm erwarten die Teilnehmer auch Messestände an den Aussteller ihre IT-Sicherheitslösungen präsentieren (© D3Damon – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/32/a4/32a4f40c1624aef807e497c4c356751f/0110582861.jpeg "Digitale Kompetenzen müssen bereits früh vermittelt werden. Sie sind für den Beruf und das alltägliche Leben unerlässlich (Bild: Robert Kneschke – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/9c/bf9c757c3c870f08846d36186f821ad6/0110465225.jpeg "Atrium ist ein gemeinsames Projekt des GovTech Campus Deutschland mit dem World Economic Forum (©2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/18/c5/18c5faea447c7d7727dc4d52fd671d31/0110586494.jpeg "Patient*innen profitieren von den digitalen Anwendungen am Krankenhausbett (© Siemens Healthineers)")
:quality(80)/p7i.vogel.de/wcms/27/27/2727055a1c7454157366e9970d6a820d/0110585711.jpeg "(© medisign)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/5d/16/5d167b8b98503e86e7b852fc62fa6877/0110581881.jpeg "Die Genossenschaft öffentlicher IT-Dienstleister govdigital koordiniert gemeinsame Projekte ihrer Mitglieder ebenso wie Auftragsprojekte des BMI oder des IT-Planungsrates (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
Datenzentrische Sicherheit Die eAkte vor Missbrauch schützen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/56/6156c5a4f1c43/1280px-kodak-alaris-logo-svg.png "1280px-kodak-alaris-logo-svg (Kodak alaris)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/63400/63401/65.jpg "cit-Logo.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/106800/106874/65.png "pp_h_rgb.png ()")
Die eAkte bedeutet für die deutschen Behörden eine digitale Revolution. Die Einführung ist jedoch mit erheblichem Aufwand verbunden. Insbesondere müssen die Behörden sicherstellen, dass die Daten sowohl rechts- als auch beweissicher verwaltet werden. Die Umrüstung stellt auch besondere Anforderungen an die IT-Sicherheit, damit die sensiblen Daten ausreichend geschützt werden.
Mit der eAkte soll die Öffentliche Verwaltung endgültig in das digitale Zeitalter eintreten. Die Vorteile der eAkte sind vielfältig: Zum einen erhalten Mitarbeiter Informationen unmittelbar nachdem sie im System entstanden sind. Zum anderen finden sie alle benötigten Daten an einem vorher festgelegten Speicherort. Dort sind die Daten orts- und zeitunabhängig verfügbar. Das vermindert Medienbrüche und schafft die Voraussetzung dafür, dass gleichzeitig mehrere Mitarbeiter an einer eAkte arbeiten können. Bearbeitungszeiten können dadurch erheblich verkürzt und Entscheidungen beschleunigt werden. Zudem gehören Papierfluten und aufwändige Papier-Recherchen der Vergangenheit an.
Behörden kommen an Cloud-Computing nicht vorbei
Die Digitalisierung der Aktenführung in deutschen Behörden gleicht allerdings einer Mammutaufgabe. Damit die Einführung gelingt, müssen die IT-Systeme in einer Weise gestaltet sein, dass sie dem Grundsatz der Aktenmäßigkeit gerecht werden. Das heißt, die Mitarbeiter müssen Daten rechts- und beweissicher verwalten und in den Systemen über zehn Jahre aufbewahren können. Die IT-Infrastruktur muss die sensiblen Daten währenddessen besonders vor unbefugten Zugriffen schützen. Nur dann entspricht die elektronische Verwaltung den gesetzlichen Vorgaben.
Die Anforderungen an die IT-Systeme sind deshalb besonders hoch. Es ist die strukturierte Ablage der Daten in den IT-Systemen gefordert. Dafür konzipierten die IT-Dienstleister Materna, Infora und Microsoft im Auftrag des Bundesinnenministeriums (BMI) die „eAkte Bund“. Diese Software fügt sich in die vorhandene IT-Infrastruktur einer Behörde ein. Hier bildet sie die Schnittstelle zwischen gewohnten Arbeitsumgebungen wie den Microsoft-Office-Produkten und den vorhandenen Speicher- und Archivlösungen. Die Dokumentenablage wird mit Microsofts SharePoint Server 2010 realisiert. Arbeiten die Mitarbeiter beispielsweise mit einem eMail-Programm oder an Dokumenten im digitalen Speicher, informiert sie das System automatisch, sobald neue Eingänge eintreffen. Die aktualisierten Dokumente können die Mitarbeiter dann über die eMail-Benachrichtigung einsehen und bearbeiten.
Diese neue Transparenz erfordert besondere Anstrengungen bei der IT-Sicherheit. Die Daten müssen wirksam vor Cyberangriffen und unbefugten Zugriffen geschützt werden. Das gilt insbesondere dann, wenn die sensiblen Daten mit Cloud-Lösungen und Collaborations-Werkzeugen wie z.B. Microsoft Office 365 oder SharePoint verarbeitet werden sollen. Diese Anwendungen genügen häufig nicht den europäischen Datenschutzstandards wie der DSGVO, oder unterliegen sogar gegensätzlichen Bestimmungen aufgrund der gesetzlichen Regelungen in den Herkunftsländern der führenden Anbieter.
Herkömmliche Sicherheitsmaßnahmen reichen nicht aus
Cloud-basierte Dienste wie etwa Microsoft SharePoint bieten viele Vorteile. Kritische Datenlecks stellen jedoch eine enorme Gefahr für die Aktenführung und den Austausch von Daten zwischen kooperierenden Behörden bzw. zwischen Behörden und den Bürgern dar. Hinzu kommt, dass Datenverlust zu Rechtsverletzungen und kostenintensiven Nachbesserungen der IT-Systeme führen kann.
File-Sharing- und Collaboration-Dienste erfordern daher zusätzliche Sicherheitsmaßnahmen, um Cyberangriffe oder Datenlecks zu verhindern. Die bisher eingesetzten Sicherheitsmaßnahmen greifen für die Datensicherheit im Cloud-Zeitalter viel zu kurz. Denn hier verlagert sich die Verarbeitung und Speicherung der Daten aus den eigenen Netzwerken auf externe Systeme. Wenn die Daten ungeschützt und unverschlüsselt dort abliegen, können sich Hacker sehr leicht Zugriff verschaffen oder die Cloud-Anbieter die Daten unbefugt einsehen. Aber auch die klassische Verschlüsselung reicht nicht aus und ist sogar mit modernen Arbeitsabläufen in Cloud-Umgebungen unvereinbar: Komplett verschlüsselte Dokumente lassen sich nicht durchsuchen und sind daher kaum in alltägliche Arbeitsabläufe integrierbar.
Datenzentrische Sicherheit
Die Lösung liegt im neuartigen Konzept der „datenzentrischen Sicherheit“: Dieser Ansatz konzentriert sich auf die Daten selbst und schreibt die Datensicherung direkt in diese ein, anstatt sie nur von außen zu schützen. Ob die Daten in einem Unternehmensnetzwerk oder in einer Cloud abliegen, spielt dann keine Rolle mehr. Das verschafft Behörden maximale Flexibilität für die digitale Verwaltung sensibler Daten bei gleichzeitig bestmöglicher Sicherheit.
Auch das Einhalten von Löschfristen stellt gängige Cloud-Lösungen vor eine Herausforderung: Behörden können Daten nur dann löschen, wenn sie wissen, wo die Daten gespeichert sind. Sobald Daten durch Backups der Cloud-Provider an teilweise außereuropäischen Standorten abgelegt wurden, haben Behörden die Hoheit über ihre Daten verloren. Die „datenzentrische Sicherheit“ gibt ihnen die Kontrolle über ihre sensitiven Daten zurück, auch wenn ein Cloud-Dienst genutzt wird. Damit Behörden schnellen Zugriff auf die sensiblen Daten haben, kann ein datenzentrischer Sicherheitsmechanismus wie beispielsweise „R&STrusted Gate“ in der gewohnten Arbeitsumgebung wie Office 365 oder SharePoint integriert werden. Dort arbeitet das Verfahren unbemerkt im Hintergrund. Auf diese Weise wird vom ersten Tag an der gesamte Lebenszyklus einer eAkte gesichert – von der Bearbeitung über die Archivierung bis zur Aussonderung.
Die Mitarbeiter können dann ohne Behinderung die Cloud-basierten Office-Anwendungen oder Collaboration-Tools öffnen, und anschließend die Inhalte einer eAkte bearbeiten oder neue Dokumente hinzufügen.
Zugriff auf Daten geregelt
Beim Hochladen in die Cloud wird das Originaldokument in einem sogenannten Streaming-Verfahren verschlüsselt und fragmentiert. Der Nutzer kann dann unabhängig von der benutzten Cloud-Lösung entscheiden, wo er seine schützenswerten Daten speichert. Die Daten müssen Deutschland also nicht verlassen. Zugleich entspricht ihre Speicherung dem aktuellen Stand der Technik und den strengen Datenschutz- und Sicherheitsvorgaben der EU-DSGVO.
Erfolgt nach der Speicherung ein erneuter Zugriff auf die Daten in der Cloud, regelt ein Anmeldesystem diesen über verschiedene Sicherheitsabfragen und überprüft den Benutzer. Nur Mitarbeiter mit autorisierten Zugriffsrechten können das Dokument herunterladen. Erst beim Download setzt sich das Dokument aus seinen Einzelteilen wieder zusammen und wird entschlüsselt. Überdies erkennt das System von den Behörden festgelegte Sicherheitsregeln wie etwa „streng vertraulich“ und verhindert dadurch, dass unbefugte Personen diese Informationen lesen, bearbeiten oder sogar löschen können. Auch Löschfristen werden dabei ohne weiteres eingehalten.
Zusammenarbeit absichern
Besondere Anforderungen an die IT-Sicherheit entstehen, wenn Behörden mit anderen Behörden oder Bürgern gemeinsam an einer eAkte arbeiten oder diese einsehbar machen wollen. Denn dann werden weitere Sicherheitssysteme benötigt, um Sicherheitsstandards wie Vertraulichkeitsstufen aufrechtzuerhalten und den Zugriff auf Dokumente zu regulieren. Auch hierfür gibt es beim datenzentrischen Ansatz eine Lösung: Die aktenführende Behörde legt dabei die Zugriffsrechte mit Rechte- und Rollenprofilen für Gruppen und einzelne Benutzer auf eine Weise fest, dass beispielweise andere Behörden nur eingeschränkt auf die Inhalte einer eAkte zugreifen können. Hierbei werden die Daten durch die Vergabe von symmetrischen und asymmetrischen Schlüsseln gesichert. Dokumente mit einer erhöhten Vertraulichkeitsstufe bleiben den externen Partnern somit verschlossen. Dafür sind keine zusätzliche Client-Software oder ein manueller Schlüsselaustausch notwendig.
Um die Zusammenarbeit zwischen Bürgern und Behörden abzusichern, können eAkten oder einzelne Dokumente aus der digitalen Datenbank extrahiert, verschlüsselt gespeichert und in einer Mail durch einen Link ersetzt werden. Der Bürger kann dann über den Link auf seine persönliche eAkte zugreifen und diese herunterladen. Die Übermittlung von Dokumenten durch Bürger an Behörden wird über ein Anmeldesystem geregelt. Dabei interagiert der Bürger mit einer Benutzer-Oberfläche und meldet sich mit einem separat zugestellten Benutzernamen samt Passwort an. Mit dieser serverbasierten Anwendung können einzelne Dokumente sicher an die Behörde übermitteln werden.
Fazit
Bei der Umstellung der papierbasierten Prozesse auf eine digitale Aktenführung müssen die deutschen Behörden die Datensicherheit von Anfang an konsequent berücksichtigen. Nur wenn Behörden die gigantischen Datensätze in der Cloud rechts- und beweissicher verwalten können und die Bürger von der Sicherheit und Integrität ihrer Daten überzeugt sind, wird das Projekt eAkte ein Erfolg werden.
*Der Autor: Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity
(ID:46956315)
:quality(80)/images.vogel.de/vogelonline/bdb/1963600/1963691/original.jpg "Landtagswahlen 2022: IT-Sicherheit auf dem Prüfstand (weerapat1003 – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933300/1933308/original.jpg "API stellen ein Werkzeug in der Digitalisierung von Verwaltungsvorgängen dar (photon_photo – stock.adobe.com)")