Das Onlinezugangsgesetz – Verpasste Chance für mehr IT-Sicherheit?

Noch knapp sechs Monate, bis Ende 2022, haben deutsche Behörden Zeit, die Anforderungen des Onlinezugangsgesetzes (OZG) umzusetzen. Sechs Monate, um quasi alle Verwaltungsleistungen zu digitalisieren. Bereits im Jahr 2017 wurde das Gesetz erlassen und die rund 600 Leistungen definiert, die Bürgerinnen und Bürgern zukünftig digital angeboten werden sollen.

Das ehrgeizige Ziel ist es, eine moderne Verwaltung zu schaffen, die nicht nur die deutsche Verwaltung durchgängig digitalisiert, sondern sie auch nutzerfreundlich im Sinne der Bürgerinnen und Bürger gestaltet.

Allerdings ist eine moderne Verwaltung nicht auch automatisch gleichzeitig eine sichere Verwaltung. Denn was Bund und Länder bei dem ganzen Digitalisierungsvorhaben zwar bedacht, aber nicht in den Mittelpunkt gestellt haben, ist das Thema Sicherheit. Dabei wäre die Einführung des OZG, die einen massiven Sprung für die Digitalisierung von Behörden bedeutet, ein idealer Zeitpunkt gewesen, um mit einer flächendeckenden Verschlüsselungspflicht Cyberkriminellen eines der größten Einfallstore zu versperren.

Während das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen bereits 2017 erlassen wurde, ließ man sich für die Erstellung entsprechender IT-Sicherheitsstandards Zeit. Eine entsprechende Verordnung zur Sicherheit der eingesetzten IT-Komponenten trat erst im Januar 2022 in Kraft. Zu diesem Zeitpunkt war die Entwicklung zahlreicher Lösungen allerdings bereits in vollem Gange – eine nachträgliche Verordnung bedeutete für verschiedene Technologieanbieter und deren Produkte, die Sicherheit im Nachhinein noch nachzurüsten.

In Expertenkreisen wird diese Entscheidung teilweise stark kritisiert. Ansätze wie “Security by Design” – also das Mitdenken der Sicherheit schon bei der Entwicklung von Lösungen – wurde in diesem Fall nicht berücksichtigt. Das verwundert nicht nur vor dem Hintergrund, dass auch das BSI im jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland empfiehlt, Anforderungen an die Informationssicherheit bereits bei der Entwicklung eines Produktes zu berücksichtigen. Besonders in Bereichen, in denen personenbezogene und damit äußerst sensible Daten übermittelt und verarbeitet werden und ein entsprechender Schutz dieser Daten einen besonderen Stellenwert hat.

Doch auch wenn das Thema Verschlüsselung nicht unbedingt gesetzlich gefordert wird und dabei nicht obligatorisch in neue Lösungen integriert werden muss, haben Behörden, Kommunen und Landkreise immer noch die Chance, die Bürgerkommunikation abzusichern.
Denn die personenbezogenen und sensiblen Daten, die durch die nun digitalisierten Verwaltungsleistungen verarbeitet werden, sind besonders schützenswert: Personalausweise, Geburtsurkunden, Führungszeugnisse – alles Unterlagen, die in den falschen Händen großen Schaden verursachen können.

Aus diesem Grund ist es für Kommunen und Länder empfehlenswert, bei der Wahl der Lösungen, die im Rahmen des OZG angeboten werden, darauf achten, dass bei allen Kanälen, die für die Kommunikation mit Bürgerinnen und Bürger wichtig sind, eine durchgängige Verschlüsselung möglich ist – sowohl bei der Übertragung von Daten und Dokumenten, aber auch bei der alltäglichen Behördenkommunikation. Bürgerinnen und Bürger können sich damit sicher sein, dass Behörden den Schutz ihrer Daten ernst nehmen – ohne dabei auf den Komfort verzichten zu müssen, die ein digitales Amt zukünftig bietet.

Kommentar von Ari Albertini, Chief Operating Officer, FTAPI Software GmbH, Spezialist für sichere Datenflows