Schon zu Beginn der Umsetzung des Onlinezugangsgesetzes (OZG) war klar, dass die Verwaltungsdigitalisierung nur erfolgreich sein kann, wenn sie eine wirkliche Verbesserung für Alle mit sich bringt und die konzipierten Onlinedienste auch akzeptiert und genutzt werden. Daher gilt es, das Vertrauen der Bürgerinnen, Bürger und Unternehmen in die Onlinedienste zu stärken. Das BMI hat 2023 hierfür die “OZG-Security-Challenge“ ins Leben gerufen.

Die Challenge im Überblick

Bis zum 31. Oktober 2023 hatten OZG-Dienstverantwortliche die Möglichkeit, an der verwaltungsinternen “OZG-Security-Challenge 2023“ teilzunehmen. Der Kern der Challenge ist der OZG-Security-Challenge-Schnelltest, welcher den Umsetzungsgrad von sechs ausgewählten  IT-Sicherheitsmaßnahmen auf den eingegebenen Webseiten darstellt, Potenziale zur weiteren Stärkung der IT-Sicherheit aufzeigt und Hilfestellung bei deren Umsetzung gibt.

Der Schnelltest war bisher in einem geschützten Bereich exklusiv für die OZG-Umsetzungsverantwortlichen in Bund, Ländern und Kommunen zugänglich. Alle teilnehmenden Behörden erhielten einen individuellen, tokenbasierten Zugang zum Schnelltest, um ihre Onlinedienste auf die ausgewählten IT-Sicherheitsmaßnahmen zu prüfen. Wir zeigen hier auf, welche das sind und geben Hilfestellung, wie man diese umsetzt.

Die sechs IT-Sicherheitsmaßnahmen der OZG-Security-Challenge

Folgende sechs IT-Sicherheitsmaßnahmen standen bei dem Schnelltest im Fokus:

• Responsible Disclosure (PDF, 594KB, Datei ist barrierefrei⁄barrierearm): Responsible Disclosure ist ein Verfahren zur Meldung von Sicherheitslücken bzw. Schwachstellen vor Veröffentlichung.
• Transport Layer Security (TLS) 1.3 (PDF, 475KB, Datei ist barrierefrei⁄barrierearm): Das neueste Sicherheitsprotokoll bietet aktuelle Verschlüsselung der Kommunikation zwischen OZG-Dienst, Bürgerin und Bürger.
• TLS 1.1 & 1.0 deaktivieren (PDF, 737KB, Datei ist barrierefrei⁄barrierearm): Wurden sind als veraltet eingestufte Sicherheitsprotokolle und sollten deaktiviert werden.
• Strict-Transport-Security (HSTS) (PDF, 740KB, Datei ist barrierefrei⁄barrierearm): HSTS lässt für einen angegebenen Zeitraum ausschließlich verschlüsselte und damit sichere Verbindungen zwischen Bürgerinnen, Bürger und Ihrem OZG.Dienst zu.
• DNS Security Extensions (DNSSEC) (PDF, 626KB, Datei ist barrierefrei⁄barrierearm): DNSSEC sorgt durch Signaturen für eine Sichere Verknüpfung von Internetadresse (Domain) und Serveradresse (IP-Adresse).
• Resource Public Key Infrastructure (RPKI) (PDF, 1MB, Datei ist barrierefrei⁄barrierearm): Die Resource Public Key Infrastructure schützt vor einer nicht autorisierten Umleitung von Datenverkehr von Nutzerenden.

Diese sechs IT-Sicherheitsmaßnahmen sind aber nicht abschließend zu betrachten, sondern stellen einen ersten Ansatz zur Standardisierung der IT-Sicherheit im OZG-Kontext dar. Die Umsetzung von IT-Sicherheit ist ein Prozess, der kontinuierlich fortgeführt werden muss.

Hintergrund: Die Bedeutung der IT-Sicherheit in der öffentlichen Verwaltung steigt

Mit der zunehmenden Digitalisierung der öffentlichen Verwaltung steigt die Bedeutung der zugrundeliegenden Informationssicherheit. Bürgerinnen, Bürger und Unternehmen erwarten, dass der Staat vertrauensvoll mit ihren Daten umgeht und diese durch ein besonderes Maß an IT-Sicherheit schützt. Die Relevanz der Informationssicherheit wird im Koalitionsvertrag sowie in der Digitalstrategie der Bundesregierung betont. Entsprechend verpflichtet sich der Staat im Kapitel „Digitale Innovation und Infrastruktur“ des Koalitionsvertrags, die Möglichkeit echter verschlüsselter Kommunikation anzubieten. Zudem werden alle staatlichen Stellen verpflichtet, ihnen bekannte Sicherheitslücken beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen.

Aufgrund der Schnelllebigkeit und Komplexität des Themas wird die IT-Sicherheit der öffentlichen Verwaltung fortlaufend an externe Gegebenheiten angepasst, beispielsweise durch die Aufnahme von "Responsible Disclosure" in die „Einer für Alle“ (EfA)-Mindestanforderungen 2.0 (Stand November 2022). Eine flächendeckende Anwendung der neuesten IT-Sicherheitsmaßnahmen ist derzeit noch nicht gegeben, diese soll daher durch die Challenge weiter gesteigert werden.

Die OZG-Security-Challenge geht zum Jahresbeginn 2024 in eine Evaluierungs- und Planungsphase über. Falls Sie über Neuigkeiten informiert werden möchten, hinterlassen Sie uns gerne eine kurze Nachricht an: ozgsec@bmi.bund.de