Mit Sicherheit zur digitalen Behörde – Aktuelle Entwicklungen und Trends

Der sukzessive Übergang in die digitale Gesellschaft ist erklärtes Ziel der Bundesregierung. Sie hat es sich zur zentralen Aufgabe gemacht, die Verwaltung so weit wie möglich durch elektronische Prozesse und das Internet zu modernisieren. Dafür hat sie eine Reihe von Strategiepapieren erarbeitet und Gesetze wie das E-Government-Gesetz und das Onlinezugangsgesetz (kurz: OZG) verabschiedet. Trotz vielfältiger Ansätze liegen auf dem Weg jedoch noch einige Stolpersteine. Die elektronische Steuererklärung hat sich mittlerweile durchgesetzt. Informationen zur Rente oder zum Kindergeld abrufen, eine Auskunft über den Punktestand in Flensburg beantragen, das ist mit dem elektronischen Personalausweis bereits jetzt möglich. Andere Bürgerservices, wie zum Beispiel die Beantragung von Briefwahlunterlagen, werden jedoch noch nicht überall angeboten.

Vor dem Hintergrund der Pandemie und ihrer Einflüsse auf viele wichtige Gesellschaftsprozesse und Strukturen wird die Förderung der Digitalisierung von Wirtschaft und Verwaltung noch wesentlich drängender. Die Verlagerung aller möglichen Aktivitäten in die digitale Welt hat auch Auswirkungen auf Behörden und Bürgerservices. Daher wird die Entwicklung des E-Governments in naher Zukunft sicher an Fahrt aufnehmen. Dazu hat die Bundesregierung nun den Entwurf des Smart-eID-Gesetz beschlossen, der die Nutzung des elektronischen Personalausweises (eID) für die Bundesbürger erleichtern soll. Ab September soll es demnach allen Bürgern möglich sein, den eID auf dem Smartphone bzw. iPhone zu speichern und sich damit auszuweisen.

Eine erfolgreiche Digitalisierung ist ohne umfassende und ausreichende Informationssicherheit jedoch nicht zu erreichen. Vor dem Hintergrund, dass die Gefährdungslage in Deutschland vom BSI immer noch als sehr angespannt angesehen wird, ist die Frage interessant, wie es um die Cybersicherheit in der Behörde bestellt ist. Wie sicher sind Bürgerdaten vor Hackerangriffen, und welche Gefahren gehen von ihnen aus? E-Government benötigt ein umfassendes IT-Sicherheitskonzept und wirksame Maßnahmen, um die Verwaltungsarbeit sicherstellen zu können und Daten effektiv zu schützen.

Strategie für die innovative Datennutzung

Bereits 2013 trat das Gesetz für E-Government in Kraft, das der Bundesverwaltung den Weg in die Digitalisierung ebnen soll. Seitdem sind einige Jahre vergangen, aber noch nicht allzu viele Projekte umgesetzt worden. Durch das föderale System ist die Einführung von einheitlichen IT-Systemen in der Bundesverwaltung mit zahlreichen Schwierigkeiten verbunden. Die bestehende Infrastruktur ist großenteils veraltet, und der Aufwand der technischen Modernisierung und Vereinheitlichung ist erheblich unterschätzt worden. Bis zur digitalen Behörde ist daher noch einiger Aufwand nötig.

Grundlegende Probleme sind zu bewältigen, da die Projekte mehr Zeit und finanzielle Ressourcen erfordern als geplant.

Der politische Auftrag ist neben dem Ziel der Standardisierung die effiziente Umsetzung unter Vermeidung von Redundanz. Die Verwaltung muss grundsätzlich neu aufgestellt werden, und die Dateninfrastruktur soll transparent und nachhaltig aufgebaut werden. Allen Bürgern sollen digitale Services und öffentliche Daten online zur Verfügung gestellt werden, und zu diesem Zweck muss auch die Datenkompetenz staatlicher Servicemitarbeiter verbessert werden.

Mit der neuen Strategie der Bundesregierung sollen Daten leichter zur Verfügung gestellt und ausgetauscht werden können. Da damit auch der Schutzbedarf vor allem sensibler, persönlicher Daten steigt, wachsen auch die Anforderungen an die Datensicherheit. Um ein Konzept für die innovative Datennutzung aufzustellen, wurden Bürger über ihre Meinung zum Umgang mit Daten befragt. Daraus entwickelten Fachleute im Anschluss die Datenstrategie der Bundesregierung, die aus 240 Maßnahmen für eine verantwortungsvolle Nutzung der Daten besteht.

Onlinezugang zur Verwaltung über zentrales Portal

Parallel wurde 2017 das Onlinezugangsgesetz (OZG) erlassen, das den Onlinezugang zu Verwaltungsleistungen verbessern soll. Hierzu soll ein „Portalverbund“ zur Verfügung gestellt werden, der den Bürgern durch die Bündelung des Verwaltungsangebots einen erleichterten elektronischen Zugang zu Dienstleistungen der Behörden bietet. Das OZG verpflichtet Bund und Länder zur digitalen Bereitstellung ihrer Dienste über Online-Portale bis 2022.

Mit dieser Frist hat der Gesetzgeber den Druck auf die Behörden und die Projektverantwortlichen erhöht. Doch nicht nur die technische Umsetzung ist dabei im Blick zu behalten. Auch die Sicherheit der elektronischen Zugänge für Bürger und für Unternehmen hat hohe Priorität. Die Projektsteuerung liegt in der Verantwortung des Bundesinnenministeriums. Darüber hinaus muss die Verwaltung sämtlicher Bundesbehörden digitalisiert werden. Die Umsetzung der digitalen Behörde ist daher ein anspruchsvolles Vorhaben.

Der elektronische Portalverbund der Verwaltungen soll spätestens 2022 starten. Dann sollen Verwaltungsdienste in großem Umfang online für Bürger und Unternehmen in Deutschland verfügbar sein. Alles wird vom Verwaltungsportal des Bundesinnenministeriums aus zentral erreichbar sein. Die Anforderungen an IT-Sicherheit und Datenschutz sind daher hoch. Einerseits muss das Portal selbst mit geeigneten Maßnahmen gegen Cyberangriffe geschützt werden, andererseits ist die Sicherheit der personenbezogenen Daten der Bürger ein hohes Gut.

Anwendungsmöglichkeiten für die elektronische Verwaltung

Die digitale Behörde erspart den Bürgern viele Behördengänge und lange Wartezeiten in den Ämtern. Die Anwendungsmöglichkeiten im elektronischen Verwaltungsportal sind vielfältig. Allein die Anzahl behördlicher Formulare stellt jedoch neben dem organisatorischen Aufwand auch eine große Herausforderung für die Sicherheit der Digitalisierung dar. Andererseits bedeutet es für den Bürger eine enorme Erleichterung und Zeitersparnis, viele Vorgänge online und in einem zentralen Verwaltungsportal der digitalen Behörde erledigen zu können. Formulare können elektronisch ausgefüllt und vom heimischen Rechner versandt werden. Das spart Porto, und auch die Übermittlung von Rechnungen und Quittungen erfolgt digital.

Die Steuererklärung online abzugeben ist für die meisten Deutschen bereits Routine. Wer den elektronischen Personalausweis nutzt, kann ihn auch für die Punkteabfrage in Flensburg nutzen oder sein Kraftfahrzeug am PC abmelden. Auch um sich bei Elster-Online anzumelden, ist die eID nützlich. Der Abruf von Renteninformationen ist über die digitale Behörde jetzt bereits möglich. Einen Kita-Platz für das eigene Kind zu beantragen, könnte in naher Zukunft über das Verwaltungsportal ebenfalls schnell und einfach erledigt sein.

Datensicherheit für die Behörde

Da die Anforderungen an Datenschutz und Datensicherheit beim E-Government ausnehmend hoch sind, ist ein tragfähiges, strukturiertes IT-Sicherheitskonzept nach dem Stand der Technik unabdingbar. Nicht nur zum Schutz von Bürgerdaten, auch für die eigene Sicherheit muss die Behörde sorgen, indem alle Maßnahmen getroffen werden, die notwendig sind, um Cyberangriffe zu vermeiden oder deren Auswirkungen zu begrenzen.

Um systematisch für umfassende Cybersicherheit in der Behörde zu sorgen, ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) geraten. Nur mit einem systematischen Konzept und einer ganzheitlichen Struktur wird der größtmögliche Schutz erreicht, um das Risiko für die sensiblen Daten, die die digitale Behörde verarbeitet, zu minimieren. Ein ISMS kann auf Grundlage der internationalen Norm ISO27001 oder des ebenfalls darauf basierenden IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) betrieben werden.

Sicherheit systematisch managen

Die Norm ISO27001 enthält Anforderungen an die Umsetzung eines ISMS, um die Verfügbarkeit der Systeme und Prozesse sicherzustellen und die Vertraulichkeit der Daten zu gewährleisten. Das dritte Schutzziel, die Integrität, verlangt, dass Daten nicht von unbefugter Seite geändert werden dürfen. IT-Risiken werden mit geeigneten Maßnahmen behandelt und unter Kontrolle gehalten, um Schäden durch Cyberangriffe und die resultierenden Kosten zu minimieren.

Auch der IT-Grundschutz, der schwerpunktmäßig in Behörden verwendet wird, hat dieses Ziel. Hier werden in unterschiedlichen Bausteinen standardisierte Anforderungen für die Sicherheit von Prozessen und Anwendungen, Systemen und Räumen beschrieben. Dabei kommen technische, organisatorische und personelle Aspekte ganzheitlich zum Tragen, um nach dem Baukastenprinzip verschiedene Bereiche und Prozesse zu analysieren und zu verbessern.

Für die im IT-Grundschutz-Kompendium beschriebenen Bausteine können IT-Sicherheitskonzepte leicht und effektiv erstellt und geeignete Maßnahmen nach dem Stand der Technik umgesetzt werden. Um den Analyseaufwand zu begrenzen, beruht die Methodik des IT-Grundschutzes auf einem reduzierten Risikobeurteilungsschema, das die umgesetzten Anforderungen an IT-Sicherheit mit den fehlenden abgleicht. Die Sicherheitsdefizite, die beim Soll-Ist-Vergleich ermittelt werden, sind Gegenstand weiterer Maßnahmen.

Entwicklungen und Trends

E-Government erfordert effektive Maßnahmen für die Cybersicherheit und den Datenschutz der Bürger, bietet im Gegenzug aber durch die Möglichkeit des Onlinezugangs zur digitalen Behörde einige Erleichterungen für Bürger. Dabei ist es nicht nur von Vorteil, Verwaltungsangelegenheiten bequem am heimischen PC zu erledigen, der Einzelne erlangt durch diesen Service auch mehr Autonomie über die eigenen Daten.

Die Idee des E-Governments beinhaltet, dass die Personendaten der Bürger zentral gespeichert vorliegen, um von diesen selbst verwaltet zu werden. Der elektronische Personalausweis (eID) ist dabei zweckmäßig, jedoch nicht für alle Dienste der digitalen Behörde notwendig. Praktisch ist die Option, den eID sogar auf dem Smartphone speichern zu können. Mittlerweile ist die Anzahl der Nutzer der digitalen Behörde angestiegen. Laut dem „E-Government-Monitor“ der Initiative D21 e.V haben über 50 Prozent der Befragten bereits die elektronischen Angebote der Verwaltung genutzt.

Die Anwendungsmöglichkeiten des eID reichen von der Punkteauskunft beim Kraftfahrt-Bundesamt über die Renteninformation bis zur automatischen Befüllung von Formularen in Hotels. Auch Mobilfunkanbieter, Banken und andere können mit einem entsprechenden Lesegerät die eID-Daten nutzen, beispielsweise, um Kunden zu identifizieren. So können schnell und einfach Konten eröffnet werden oder die Beantragung eines Kredits erfolgen.

Allerdings ist dabei die Datensicherheit besonders wichtig. Essentiell ist eine sichere Authentisierung, um die Echtheit des E-Ausweises zu verifizieren. Dazu werden PINs oder elektronische Sperrschlüssel verwendet. Ist das Verfahren zu kompliziert, dann wird allerdings die Nutzerfreundlichkeit stark eingeschränkt. Es muss daher ein akzeptabler Mittelweg zwischen angemessener IT-Sicherheit und nutzerfreundlicher Bedienung gefunden werden.

Fazit

Die Digitalisierung von Wirtschaft und Verwaltung ist in Deutschland bereits ein großes Stück vorangekommen. Die Bundesregierung hat die Voraussetzungen geschaffen, um die organisatorische Bündelung von Zugängen zu Verwaltungsprozessen in einem zentralen digitalen Portal zu schaffen. So werden viele Behördendienste für die Bürger durch technische Unterstützung vereinfacht und beschleunigt. Die Autonomie über die Daten wird für den Einzelnen erhöht.

Durch die neuen und ungewohnten Anforderungen, die im Verlauf der Covid19-Pandemie entstanden, sind Umstellungen auf digitale Formen der Zusammenarbeit umso drängender geworden. Die Verlagerung von Prozessen in das Internet hat die Arbeitswelt in der Wirtschaft, aber auch in Behörden verändert und die Vernetzung von Wissen und Kommunikation gefördert.

Ein wichtiger Aspekt ist jedoch die Datensicherheit, besonders in Hinsicht auf die ständige Zunahme der Cyberkriminalität. Sowohl Unternehmen und Behörden als auch Privatleute müssen dafür sorgen, dass die größtmögliche Sorgfalt für den Schutz der Daten aufgewandt wird. Hier werden in Zukunft noch wachsende Anstrengungen nötig sein, um die Digitalisierung sicher und anwenderfreundlich umsetzen zu können.