1. Navigation
  2. Inhalt
  3. Herausgeber
Inhalt

Elektronische Signatur und Verschlüsselung (BaK ESV)

Beschreibung der Basiskomponente ESV

Die E-Government-Plattform bietet mit der Basiskomponente Elektronische Signatur und Verschlüsselung (BaK ESV) ein Hilfsmittel für die rechtssichere und datenschutzgerechte Abbildung elektronischer Prozesse und Übermittlung von Daten an. Die BaK ESV trägt zur Erfüllung von drei wichtigen Kernaufgaben für die Verwaltungen im Freistaat Sachsen bei:

  • Identitätsmanagement: Prüfung der Identität des Kommunikationspartners
  • Datenschutz: Unterstützung datenschutzgerechter elektronischer Kommunikation z.B. für personenbezogene Daten
  • Informationssicherheit: Sicherstellung, dass informationsverarbeitende Systeme vertraulich, integer und verfügbar konzipiert sind.

Die BaK ESV bietet ihre Dienste zentral für die gesamte Plattform und deren Nutzer sowie zur Unterstützung von anderen Basiskomponenten an.

Teilkomponenten und deren Funktionen

Die BaK ESV besteht aus vier Teilkomponenten:

  • Sichere E-Mail (E-Mail Verschlüsselung und Signatur, De-Mail)
  • OSCI Infrastruktur (Software und Dienste zur Umsetzung der OSCI Kommunikation)
  • Elektronische Signatur (Software und Dienste zur elektronischen Signatur)
  • Vertrauensdienste (PKI, Authentisierung)

Das Zusammenspiel dieser Komponenten unterstützt zum einen die rechtssichere und vertrauliche Kommunikation über die sächsische E-Government-Plattform hinweg, und zum anderen bietet die BaK ESV Hilfsmittel für die Rechtssicherheit beim Austausch von Dokumenten an. Für die Erfüllung dieser zentralen Funktionen kommen die elektronische Signatur und Verschlüsselung auf Basis digitaler Zertifikate und Identitätsdienste (sogenannte Vertrauensdienste) zum Einsatz.

Die vertrauliche Kommunikation (Sichere E-Mail) zwischen Behörden sowie zwischen Behörden und Bürgern / Unternehmen kann per E-Mail Standard (Secure Mail Gateway) und / oder rechtssicher über De-Mail (De-Mail Gateway) erfolgen. Die vertrauliche Kommunikation per E-Mail erfolgt im Bedarfsfall verschlüsselt über SSL und Nutzer / Passwort-Authentifizierung (per Secure Mailgateway Messenger). Behördenmitarbeiter können jeweils eine Integration der Funktionalität in ihren E-Mail Client (Outlook u.a.) nutzen.

Die OSCI Infrastrukturkomponenten und Anwendungssoftware ermöglicht die rechtssichere, Ende-zu-Ende-verschlüsselte OSCI-Kommunikation, zum Beispiel unter Nutzung des Elektronischen Gerichts- und Verwaltungspostfachs EGVP. Der Nachweis der Kommunikation erfolgt dabei jeweils über Prüfprotokolle, Versand- und Empfangsquittungen die auch Informationen zur Prüfung der elektronischen Signaturen der beteiligten Systeme, der Kommunikationspartner und signierter Inhaltsdaten enthalten.

Rechtssicherheit und Integrität beim Austausch von Dokumenten kann durch den Einsatz von Signaturen unterstützt werden. Für diesen Zweck steht zum Beispiel der Governikus Signer zur Verfügung. Mit der Anwendung können Dokumente und Formulare mit einer elektronischen Signatur versehen oder ver- und entschlüsselt werden. Darüber hinaus kann der Signaturzeitpunkt über den qualifizierten Zeitstempel-Dienst (externer Dienst) sichergestellt werden. Neben Diensten zur Signaturprüfung sind Schnittstellen im Kontext der beweiswerterhaltenden Speicherung (TR-ESOR) nutzbar.

Über die Teilkomponente Vertrauensdienste können Zertifikate für verschiedene Einsatzzwecke beantragt und ausgegeben werden. Zentrale Dienste für den Einsatz des neuen Personalausweises und zur Abbildung von Vertrauensbeziehungen zwischen Identitätsmanagementsystemen (Authentisierungs- und Authorisierungsförderation) zählen auch zum Leistungsspektrum der Teilkomponente Vertrauensdienste.

In den folgenden Abschnitten werden die Teilkomponenten mit ihren Funktionen zusammenfassend dargestellt.

OSCI Infrastruktur

  • Unterstützung von datenschutzkonformem und sicherem Fachdatenaustausch mittels OSCI-Protokoll
  • Zentraler sächsischer OSCI-Intermediär, offen für alle OSCI Szenarien
  • Bereitstellung von OSCI Clientsoftware und Administration von OSCI Verzeichnisdiensten (Safe, Regserver)

Sichere E-Mail

  • Integration verschlüsselter und signierter E-Mail in angeschlossene E-Mail Infrastrukturen
  • Verschlüsselter und signierter Versand und Empfang von E-Mail Nachrichten (Secure Mail Gateway)
  • Integration von De-Mails in angeschlossene E-Mail Infrastrukturen
  • IT Service Provider für Nutzer im Freistaat Sachsen für den Versand und Empfang von De-Mail (De-Mail Gateway)

Elektronische Signatur

  • Signaturarbeitsplatz (Clientbasierte Signatur- und Signaturprüfung)
  • Signaturintegration (verfahrens- bzw. webintegrierte Signaturlösung)
  • Signatur- und Prüfdienst (Serverbasierte Signatur und Signaturprüfung)
  • qualifizierte elektronische Signatur nach Signatur Gesetz (SigG)
  • Zertifikatsbasierte Ver- und Entschlüsselung

Vertrauensdienste

  • Ausgabe und Pflege elektronischer Identitäten (Zertifikate)
  • Bereitstellung verschiedener PKI-Dienste für unterschiedliche Anforderungen:
    • Sachsen PKI (Zertifikate innerhalb des Active Directory (AD) der Landesverwaltung ausstellen, verteilen und prüfen)
    • Online-RA (Registrierungs- und Ausgabestelle für Signaturkarten)
    • Sachsen Global CA (Zertifizierungsstelle für weltweit prüfbare Zertifikate)
  • Identifizierungsdienste (eID Server (nPA), temporäres Bürgerkonto (nPA))
  • Authentisierungs- und Autorisierungsföderation (AAI)

Weitere Dienste innerhalb der BaK ESV

Zusätzlich stehen über die BaK ESV Funktionen wie

  • qualifizierter Zeitstempel
  • online Signaturprüfung
  • Testumgebungen für automatisierte Massensignatur-Services,
  • elektronische Langzeitspeicherung nach TR-ESOR und
  • Identitätsmanagement (z. B. Governikus Autent als »Security Token Service - STS« für Webservices)

zur Verfügung.

Nutzer und gegenwärtige Einsatzbereiche

Für Verwaltungskunden und Verwaltungen:

  • Elektronische Identitäten ausgeben und prüfen (Zertifizierungsdienste / PKI-Dienste)
  • Identitäten des Kommunikationspartners klären (Identifizierungsdienste und Authentisierungsfunktionen)
  • Rechtssichere und datenschutzgerechte Kommunikation per OSCI
  • Zeitpunkt der Datenvorlage beglaubigen (Zeitstempeldienst)
  • Sichere Nachrichtenübermittlung per E-Mail weltweit (S/MIME / PGP)
  • Sichere Nachrichtenübermittlung per De-Mail
  • Clientbasierte Signatur und Signaturprüfung (Signaturarbeitsplatz)
  • Serverbasierte Signatur und Signaturprüfung sowie zertifikatbasierte Ver- und Entschlüsselung (Signatur- und Prüfdienst)
  • Verfahrens- bzw. webintegrierte Signaturlösungen (Signaturintegration)

Wesentliche Einsatzgebiete der BaK ESV sind die OSCI Kommunikation im Melde-, Pass- und Personalausweis- oder Personenstands- und Ausländerwesen, im elektronischen Rechtsverkehr und im Gesundheitswesen. Dazu kommen Einsatzgebiete zur Unterstützung elektronischer Verwaltungsprozesse durch Dienste die eine Ersetzung der Schriftform ermöglichen (qualifizierte Signatur, De-Mail, neuer Personalausweis). Die BaK ESV trägt zur Absicherung von Diensten im Sächsischen Verwaltungsnetz (PKI Dienste) bei. Insgesamt werden die Funktionen der BaK ESV von allen Kommunen und Ressorts des Freistaates Sachsen in dem einen oder anderen Teilbereich direkt oder indirekt genutzt

Marginalspalte


Signet ESV

Service-Klasse Produktivbetrieb und Schutzbedarfsfeststellung

Die Basiskomponente Elektronische Signatur und Verschlüsselung ist der Service-Klasse A zugeordnet.

Schutzbedarfsfeststellung für die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit.

Sie haben Fragen oder benötigen Unterstützung?

Anwendungsbetreuung

Staatsbetrieb Sächsische Informatik Dienste

Fragen zu Zertifizierungsanträgen der Sachsen PKI

Fragen zu Zertifizierungsanträgen der SachsenGlobal CA

Zentrale Störungshotline (User-Help-Desk T-Systems)

  • SymbolServicezeiten:
    Montag - Sonntag 8:00 - 24:00 Uhr
  • SymbolTelefon:
    (+49) (0)800 / 2255 742 7868

Basiskomponenten- verantwortung

Herr Terhaag

  • SymbolBesucheradresse:
    Sächsisches Staatsministerium des Innern
    Wilhelm-Buck-Straße 4
    01097 Dresden
  • SymbolE-Mail

Kommunale Mitnutzung

Nutzungseinschränkungen aufgrund von Sicherheits- und Betriebsanforderungen. Verschiedene Dienste der Basiskomponente sind nur für den Einsatz unter bestimmten Netzwerkvoraussetzungen oder organisatorischen Rand- bedingungen geeignet. Dazu zählen:

Vertrauensdienste PKI:

  • Sachsen PKI: nur für AD der Landesverwaltung gemäß CP/CPS
  • SachsenGlobalCA: nur für Webserver / Clients im SVN/KDN nach Vollmacht durch Admin-C
  • Online-RA: nur für MA der Landesverwaltung

Vertrauensdienste temporäres Bürgerkonto (nPA)

  • Mandatierung gegenwärtig nur über SVN/KDN Zugang, aber Softwarebereitstellung für Eigenbetrieb bei berechtigten Nutzern möglich (eigenes nPA-Berechtigungszertifikat)

Sichere E-Mail:

  • Nutzung als aktiver Teilnehmer SecureMailGateway (Einbindung in Mailinfrastruktur) erfordert SVN/KDN Anschluss
  • Nutzung als aktiver Teilnehmer DeMailGateway (Einbindung in Mailinfrastruktur) erfordert SVN/KDN Anschluss (Gateway noch in Planung)

Signatur:

  • Nutzung der WebSignatur- / -prüfung erfordert SVN/KDN Anschluss
Aktualisierungsdatum: 30.03.2017
© Sächsisches Staatsministerium des Innern