Elektronische Signatur und Verschlüsselung
Beschreibung der Basiskomponente ESV
Die E-Government-Plattform bietet mit der Basiskomponente Elektronische Signatur und Verschlüsselung (BaK ESV) ein Hilfsmittel für die rechtssichere und datenschutzgerechte Abbildung elektronischer Prozesse und Übermittlung von Daten an. Die BaK ESV trägt zur Erfüllung von drei wichtigen Kernaufgaben für die Verwaltungen im Freistaat Sachsen bei:
- Identitätsmanagement: Prüfung der Identität des Kommunikationspartners
- Datenschutz: Unterstützung datenschutzgerechter elektronischer Kommunikation z.B. für personenbezogene Daten
- Informationssicherheit: Sicherstellung, dass informationsverarbeitende Systeme vertraulich, integer und verfügbar konzipiert sind.
Die BaK ESV bietet ihre Dienste zentral für die gesamte Plattform und deren Nutzer sowie zur Unterstützung von anderen Basiskomponenten an.
Teilkomponenten und deren Funktionen
Die BaK ESV besteht aus vier Teilkomponenten:
- Sichere E-Mail (E-Mail Verschlüsselung und Signatur)
- OSCI Infrastruktur (Software und Dienste zur Umsetzung der OSCI Kommunikation)
- Elektronische Signatur (Software und Dienste zur elektronischen Signatur)
- Vertrauensdienste (PKI, Authentisierung)
Das Zusammenspiel dieser Komponenten unterstützt zum einen die rechtssichere und vertrauliche Kommunikation über die sächsische E-Government-Plattform hinweg, und zum anderen bietet die BaK ESV Hilfsmittel für die Rechtssicherheit beim Austausch von Dokumenten an. Für die Erfüllung dieser zentralen Funktionen kommen die elektronische Signatur und Verschlüsselung auf Basis digitaler Zertifikate und Identitätsdienste (sogenannte Vertrauensdienste) zum Einsatz.
Die vertrauliche Kommunikation (Sichere E-Mail) zwischen Behörden sowie zwischen Behörden und Bürgern / Unternehmen kann per E-Mail Standard (SecureMail Gateway) erfolgen. Die vertrauliche Kommunikation per E-Mail erfolgt im Bedarfsfall verschlüsselt über SSL und Nutzer / Passwort-Authentifizierung (per SecureMail Gateway Messenger). Behördenmitarbeiter können jeweils eine Integration der Funktionalität in ihren E-Mail Client (Outlook u.a.) nutzen.
Die OSCI Infrastrukturkomponenten und Anwendungssoftware ermöglicht die rechtssichere, Ende-zu-Ende-verschlüsselte OSCI-Kommunikation, zum Beispiel unter Nutzung des Elektronischen Gerichts- und Verwaltungspostfachs EGVP. Der Nachweis der Kommunikation erfolgt dabei jeweils über Prüfprotokolle, Versand- und Empfangsquittungen die auch Informationen zur Prüfung der elektronischen Signaturen der beteiligten Systeme, der Kommunikationspartner und signierter Inhaltsdaten enthalten.
Rechtssicherheit und Integrität beim Austausch von Dokumenten kann durch den Einsatz von Signaturen unterstützt werden. Für diesen Zweck steht zum Beispiel der Governikus Signer zur Verfügung. Mit der Anwendung können Dokumente und Formulare mit einer elektronischen Signatur versehen oder ver- und entschlüsselt werden. Darüber hinaus kann der Signaturzeitpunkt über den qualifizierten Zeitstempel-Dienst (externer Dienst) sichergestellt werden. Neben Diensten zur Signaturprüfung sind Schnittstellen im Kontext der beweiswerterhaltenden Speicherung (TR-ESOR) nutzbar.
Über die Teilkomponente Vertrauensdienste können Zertifikate für verschiedene Einsatzzwecke beantragt und ausgegeben werden. Zentrale Dienste für den Einsatz des neuen Personalausweises und zur Abbildung von Vertrauensbeziehungen zwischen Identitätsmanagementsystemen (Authentisierungs- und Authorisierungsförderation) zählen auch zum Leistungsspektrum der Teilkomponente Vertrauensdienste.
In den folgenden Abschnitten werden die Teilkomponenten mit ihren Funktionen zusammenfassend dargestellt.
OSCI Infrastruktur
- Unterstützung von datenschutzkonformem und sicherem Fachdatenaustausch mittels OSCI-Protokoll
- Zentraler sächsischer OSCI-Intermediär, offen für alle OSCI Szenarien
- Bereitstellung von OSCI Clientsoftware und Administration von OSCI Verzeichnisdiensten (Safe, Regserver)
Sichere E-Mail
- Integration verschlüsselter und signierter E-Mail in angeschlossene E-Mail Infrastrukturen
- Verschlüsselter und signierter Versand und Empfang von E-Mail Nachrichten (SecureMail Gateway)
Elektronische Signatur
- Signaturarbeitsplatz (Clientbasierte Signatur- und Signaturprüfung)
- Signaturintegration (verfahrens- bzw. webintegrierte Signaturlösung)
- Signatur- und Prüfdienst (Serverbasierte Signatur und Signaturprüfung)
- qualifizierte elektronische Signatur
- Zertifikatsbasierte Ver- und Entschlüsselung
Vertrauensdienste
- Ausgabe und Pflege elektronischer Identitäten (Zertifikate)
- Bereitstellung verschiedener PKI-Dienste für unterschiedliche Anforderungen:
- Sachsen PKI (Zertifikate innerhalb des Active Directory (AD) der Landesverwaltung ausstellen, verteilen und prüfen)
- Online-RA (Registrierungs- und Ausgabestelle für Signaturkarten)
- Sachsen Global CA (Zertifizierungsstelle für weltweit prüfbare Zertifikate)
- Identifizierungsdienste (eID Server (nPA), temporäres Bürgerkonto (nPA))
- Authentisierungs- und Autorisierungsföderation (AAI)
Weitere Dienste innerhalb der BaK ESV
Zusätzlich stehen über die BaK ESV Funktionen wie
- qualifizierter Zeitstempel
- online Signaturprüfung
- Testumgebungen für automatisierte Massensignatur-Services,
- elektronische Langzeitspeicherung nach TR-ESOR und
- Identitätsmanagement (z. B. Governikus Autent als »Security Token Service - STS« für Webservices)
zur Verfügung.
Nutzer und gegenwärtige Einsatzbereiche
Für Verwaltungskunden und Verwaltungen:
- Elektronische Identitäten ausgeben und prüfen (Zertifizierungsdienste / PKI-Dienste)
- Identitäten des Kommunikationspartners klären (Identifizierungsdienste und Authentisierungsfunktionen)
- Rechtssichere und datenschutzgerechte Kommunikation per OSCI
- Zeitpunkt der Datenvorlage beglaubigen (Zeitstempeldienst)
- Sichere Nachrichtenübermittlung per E-Mail weltweit (S/MIME / PGP)
- Clientbasierte Signatur und Signaturprüfung (Signaturarbeitsplatz)
- Serverbasierte Signatur und Signaturprüfung sowie zertifikatbasierte Ver- und Entschlüsselung (Signatur- und Prüfdienst)
- Verfahrens- bzw. webintegrierte Signaturlösungen (Signaturintegration)
Wesentliche Einsatzgebiete der BaK ESV sind die OSCI Kommunikation im Melde-, Pass- und Personalausweis- oder Personenstands- und Ausländerwesen, im elektronischen Rechtsverkehr und im Gesundheitswesen. Dazu kommen Einsatzgebiete zur Unterstützung elektronischer Verwaltungsprozesse durch Dienste die eine Ersetzung der Schriftform ermöglichen (qualifizierte Signatur, De-Mail, neuer Personalausweis). Die BaK ESV trägt zur Absicherung von Diensten im Sächsischen Verwaltungsnetz (PKI Dienste) bei. Insgesamt werden die Funktionen der BaK ESV von allen Kommunen und Ressorts des Freistaates Sachsen in dem einen oder anderen Teilbereich direkt oder indirekt genutzt