Sicherheit im elektronischen Geschäfts- und Behördenverkehr (2)
Eine derartige Alternativzustellung bieten auch die meisten SMGWs zusätzlich zu den geschilderten PGP- und S/ MIME-Verfahren an. Die Authentisierung an diesen Webmail-Systemen erfolgt meist mittels Username und Passwort, die Authentisierungsinformationen müssen einmalig auf einem sicheren Weg (per Brief, telefonisch) an den Empfänger übermittelt werden. Ist die Abfrage dieses Webservers ausschließlich über das verschlüsselte https-Protokoll möglich, kann ein Mithören der Nachricht mit hoher Wahrscheinlichkeit ausgeschlossen werden. Da die Abfrage authentisiert erfolgt, kann durch Auswertung der Protokolldateien des Webservers auch das Herunterladen der Nachricht durch einen authentisierten Anwender nachgewiesen werden. Ob dies aber einem Nachweis des Zugangs (oder der Bekanntgabe desselben) entspricht, ist, auch wenn einiges dafür sprechen mag dies als Übergang in den Herrschaftsbereich des Empfängers und der Möglichkeit der Kenntnisnahme durch diesen zu werten, offenbar umstritten (s. Haar, 2009). Eine belastbare Rechtsprechung hierzu gibt es noch nicht.
Ein wesentlicher Nachteil dieser Übermittlungsmethode ist die mangelnde Einbindung in die gewohnten Abläufe des Empfängers: er erhält die Nachricht nicht in seiner normalen Mailbox (dort erscheint allenfalls die Information, das auf dem Webserver Neuigkeiten verfügbar sind), sondern in einem völlig getrennten Medium, zu dem er sich i.A. auch eigene Authentisierungsmethoden merken muss.
Elektronische Steuererklärung – ELSTER
Eine Sonderform des oben beschriebenen Verfahrens ist das von der Deutschen Steuerverwaltung genutzte ELSTER-Verfahren. Hierbei stellt die Steuerverwaltung Server bereit, auf denen die Kommunikationspartner verschlüsselte und signierte Dateien ablegen. Parallel dazu wird der jeweilige Empfänger, abhängig von der verwendeten Signatur, mittels eMail oder Briefpost/Abgabe der vereinfachten Steuererklärung über den Eingang einer solchen Datei informiert. Durch die Verwendung von Kryptografie kann hier ebenfalls die Vertraulichkeit, Integrität und Authentizität der Nachrichten sicher gestellt werden. Der eben geschilderte Nachteil des Medienbruchs wird hier dadurch abgemildert, dass die meisten Steuerpflichtigen die Dateien aus einem Spezialprogramm heraus erzeugen, ein Medienbruch also von der Software verborgen wird.
Virtuelle Poststelle
Speziell für das eGovernment wurde Anfang des Jahrtausends die Virtuelle Poststelle des Bundes entwickelt (Struktur s. Abbildung-2). Hierbei wird wiederum der Gatewayansatz aufgegriffen. Zentrales Element ist die Software Governikus von „bremen online services (bos)“. Diese Software übernimmt zentral die Verwaltung sowohl aller privaten Schlüssel, als auch aller Zertifikate. Sämtliche ein- und ausgehenden Nachrichten werden von Governikus geprüft und kryptografisch bearbeitet. Dabei ist Governikus auch in der Lage qualifizierte (Massen) Signaturen zu erzeugen sowie signierte PDF-Anhänge zentral zu prüfen.
Abbildung-2: Struktur der Virtuellen Poststelle Bildupload
Zur Kommunikation mit anderen Applikationen verwendet Governikus das an SOAP angelehnte OSCIProtokoll. Ein Behördeninterner Nutzer erzeugt also mittels einer Anwendung eine Nachricht. Diese wird unter Verwendung von OSCI an Governikus geleitet, wo eine Signatur, Verschlüsselung usw. erfolgt. Anschließend wird die Nachricht wiederum unter Nutzung von OSCI an ein Auslieferungssystem übermittelt, hierbei kann es sich um einen kompatiblen Mailserver, einen Webserver oder einen angepassten Klienten handeln. Möchte ein externer Nutzer eine Nachricht an Behördenmitarbeiter senden, so kann er diese mittels eMail, Webformular oder einer speziellen Klientensoftware übermitteln. Ein typischer Anwendungsfall ist das automatisierte gerichtliche Mahnverfahren, ein Spezialfall des elektronischen Gerichts- und Verwaltungspostfaches, das sowohl über Webformulare als auch über eine spezielle, in Javageschriebene Governikus-Klientensoftware („Govello“) erreichbar ist. Dabei unterstützt Govello die Nutzung von starker Authentisierung, so dass, anders als beim Webformularverfahren, bei dem noch eine Papier-/BarCode-Version des Antrags eingereicht werden muss, eine vollständig elektronische Abwicklung der Verfahrens ermöglicht wird.
Da derartige Verfahren vor allem dann Vorteile haben, wenn sie komplett elektronisch abgewickelt werden, hierfür aber wiederum eine Signaturkarte benötigt wird, deren Beschaffung mit einem nicht unerheblichen Aufwand verbunden ist, haben sie sich hauptsächlich in Fachkreisen durchgesetzt. Für normale Endverbraucher ist ein gelegentlicher „Papierkrieg“ meist mit weniger Aufwand verbunden, als sich um die notwendigen Ausrüstungsgegenstände für eine elektronische Signatur zu kümmern.
Artikel versenden
Druckversion
-
Datenlecks verhindern
Kaum eine Woche vergeht, in der nicht ein neuer Fall von Datenpannen bekannt wird. Eine... -
Sicherheit in ERP-Systemen
Systeme für die Planung und das Controlling von Einkauf, Warenwirtschaft und Produktion –... -
Zusammenführung von Context & Content Awareness: Mehr Effizienz in der Endpoint-DLP
In der unternehmensinternen Informationssicherheit dominiert in den letzten Jahren der... -
%^ef$g73$5r(@&#!! – Über Verschlüsselung und Algorithmen
Was ist Verschlüsselung? Es gibt viele Definitionen dieses Begriffs. Manche sind detailliert und... -
Sicherheit im elektronischen Geschäfts- und Behördenverkehr (2)
Webmailer - Eine Alternative zum Versand mittels Internetmail ist die Bereitstellung der...
