Erstellung entsprechender IT-Sicherheitsstandards
Das Onlinezugangsgesetz - Verpasste Chance für mehr IT-Sicherheit?
Was bei der Einführung des OZG in puncto Sicherheit versäumt wurde und wie Kommunen und Länder sich trotzdem schützen können
Von Ari Albertini, Chief Operating Officer, FTAPI Software GmbH, Spezialistin für sichere Datenflows
Das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (OZG) verpflichtet Bund, Länder und Kommunen bis Ende 2022 ihre Verwaltungsleistungen über Verwaltungsportale auch digital anzubieten. Eine flächendeckende Digitalisierung garantiert jedoch nicht zwingend auch mehr Sicherheit. Noch knapp sechs Monate, bis Ende 2022, haben deutsche Behörden Zeit, die Anforderungen des Onlinezugangsgesetzes (OZG) umzusetzen. Sechs Monate, um quasi alle Verwaltungsleistungen zu digitalisieren. Bereits im Jahr 2017 wurde das Gesetz erlassen und die rund 600 Leistungen definiert, die Bürgerinnen und Bürgern zukünftig digital angeboten werden sollen.
Das ehrgeizige Ziel ist es, eine moderne Verwaltung zu schaffen, die nicht nur die deutsche Verwaltung durchgängig digitalisiert, sondern sie auch nutzerfreundlich im Sinne der Bürgerinnen und Bürger gestaltet.
Allerdings ist eine moderne Verwaltung nicht auch automatisch gleichzeitig eine sichere Verwaltung. Denn was Bund und Länder bei dem ganzen Digitalisierungsvorhaben zwar bedacht, aber nicht in den Mittelpunkt gestellt haben, ist das Thema Sicherheit. Dabei wäre die Einführung des OZG, die einen massiven Sprung für die Digitalisierung von Behörden bedeutet, ein idealer Zeitpunkt gewesen, um mit einer flächendeckenden Verschlüsselungspflicht Cyberkriminellen eines der größten Einfallstore zu versperren.
Während das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen bereits 2017 erlassen wurde, ließ man sich für die Erstellung entsprechender IT-Sicherheitsstandards Zeit. Eine entsprechende Verordnung zur Sicherheit der eingesetzten IT-Komponenten trat erst im Januar 2022 in Kraft. Zu diesem Zeitpunkt war die Entwicklung zahlreicher Lösungen allerdings bereits in vollem Gange - eine nachträgliche Verordnung bedeutete für verschiedene Technologieanbieter und deren Produkte, die Sicherheit im Nachhinein noch nachzurüsten.
In Expertenkreisen wird diese Entscheidung teilweise stark kritisiert. Ansätze wie "Security by Design” - also das Mitdenken der Sicherheit schon bei der Entwicklung von Lösungen - wurde in diesem Fall nicht berücksichtigt. Das verwundert nicht nur vor dem Hintergrund, dass auch das BSI im jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland empfiehlt, Anforderungen an die Informationssicherheit bereits bei der Entwicklung eines Produktes zu berücksichtigen. Besonders in Bereichen, in denen personenbezogene und damit äußerst sensible Daten übermittelt und verarbeitet werden und ein entsprechender Schutz dieser Daten einen besonderen Stellenwert hat.
Doch auch wenn das Thema Verschlüsselung nicht unbedingt gesetzlich gefordert wird und dabei nicht obligatorisch in neue Lösungen integriert werden muss, haben Behörden, Kommunen und Landkreise immer noch die Chance, die Bürgerkommunikation abzusichern. Denn die personenbezogenen und sensiblen Daten, die durch die nun digitalisierten Verwaltungsleistungen verarbeitet werden, sind besonders schützenswert: Personalausweise, Geburtsurkunden, Führungszeugnisse - alles Unterlagen, die in den falschen Händen großen Schaden verursachen können.
Aus diesem Grund ist es für Kommunen und Länder empfehlenswert, bei der Wahl der Lösungen, die im Rahmen des OZG angeboten werden, darauf achten, dass bei allen Kanälen, die für die Kommunikation mit Bürgerinnen und Bürger wichtig sind, eine durchgängige Verschlüsselung möglich ist - sowohl bei der Übertragung von Daten und Dokumenten, aber auch bei der alltäglichen Behördenkommunikation. Bürgerinnen und Bürger können sich damit sicher sein, dass Behörden den Schutz ihrer Daten ernst nehmen - ohne dabei auf den Komfort verzichten zu müssen, die ein digitales Amt zukünftig bietet.
Über den Autor:
Ari Albertini ist Chief Operating Officer des Spezialisten für sichere Datenflows FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI. Als Wirtschaftsinformatiker (M.Sc.) und Alumnus der TU München verfügt er über mehr als zehn Jahre Erfahrung im Bereich der Strategieentwicklung, IT-Beratung, Software-Development sowie Produktkonzipierungen. Bei FTAPI kümmert er sich zudem um Themen wie agiles Arbeiten und Innovationen und ist regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.
(FTAPI Software: ra)
eingetragen: 17.06.22
Newsletterlauf: 27.07.22
FTAPI Software: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.