Bis Ende 2022 sollen die BürgerInnen und Unternehmen in Deutschland laut Onlinezugangsgesetz (OZG) mehr als 500 Verwaltungsleistungen auch online komplett durchführen können. Bis dahin bleibt noch viel Arbeit für die öffentlichen Verwaltungen zwischen Nutzerfreundlichkeit und Sicherheit. Auch für Christian Neumann, der bei d-NRW für die Umsetzung des OZG in Nordrhein-Westfalen verantwortlich ist.
d-NRW hat im März 2019 die Aufgabe als OZG-Koordinierungsstelle für Nordrhein-Westfalen übernommen. Welche Aufgaben sind damit konkret verbunden?
Christian Neumann: Die Umsetzung des OZG erfordert ein hohes Maß an Koordination und Kommunikation zwischen den beteiligten Behörden auf Bundes-, Landes- und kommunaler Ebene. Eine ganz wesentliche Aufgabe ist dabei die Kommunikation untereinander, damit alle auf dem gleichen Informationsstand sind und das Gesamtprojekt möglichst reibungslos ablaufen kann. Unter anderem regelt ein Koordinationskonzept die einzelnen Verantwortlichkeiten der Beteiligten und wir übernehmen die Koordination und Erstellung eines Gesamtplans. Zum Beispiel unterstützen wir das Wirtschaftsministerium, die zentral bereitgestellten OZG-Mittel zu verteilen. Wir begleiten aber auch als ein Anbieter unter mehreren konkrete Umsetzungsprojekte. Auf der Landesebene realisieren wir unter anderem wesentliche Portale wie die Service-, Bau- oder Wirtschafts- und Gewerbeservice-Portale.
Die IT spielt bei der Umsetzung eine zentrale Rolle. Ist d-NRW auch hier involviert?
Technik und Standardisierung sind neben Planung, Koordination und Kommunikation eine wesentliche Aufgabe für uns. Gemeinsam mit dem Wirtschaftsministerium, IT.NRW und dem Dachverband kommunaler IT-Dienstleister KDN, definieren wir, wie sich das Prinzip von „Einer für Alle“ umsetzen lässt. Es werden also Standards definiert, die die Verwendung gleicher Basisdienste wie etwa den Formularmanagementdienst in allen Portalen vereinheitlichen.
In NRW gibt es 427 Kommunen mit ihren einzelnen Behörden. Dazu kommen die Landesbehörden. Besteht nicht die Gefahr, dass jeder sein eigenes Süppchen kocht?
Genau das soll d-NRW verhindern und nach fast zwei Jahren Arbeit an der OZG-Umsetzung kann ich sagen, dass das hervorragend funktioniert. Das OZG hat zu einem Umdenken geführt – auch bundesweit. Das Saarland, Rheinland-Pfalz und Hessen haben im November 2020 sogar einen länderübergreifenden OZG-Verbund gegründet. Die Bereitschaft, sich auf gemeinsame Lösungen zu verständigen, ist deutlich gewachsen. Deswegen wird es zum Beispiel in NRW ein zentrales kommunales Portal mit allen wesentlichen Online-Diensten geben. Hier kann sich jede Kommune überlegen, ob sie bestimmte Online-Dienste dort nutzen will oder selbst einen neuen Service aufbaut. Es zeigt sich, dass dieses Angebot von den Kommunen sehr gut angenommen wird.
Digitale Services locken Hacker auf den Plan. Cyberangriffe auf öffentliche Institutionen gehören auch dazu. Stellt dies die OZG-Umsetzung vor besondere Herausforderungen?
Wir haben es bei den digitalen Verwaltungsservices meist mit personenbezogenen Daten zu tun. Insofern müssen wir allein aus Gründen des Datenschutzes alles daransetzen, die OZG-Services sicher zu machen. Das gilt sowohl für die Zugangssicherheit als auch für die Gesamtarchitektur der Systeme. Wir trennen das Frontend von den Backendsystemen. Das heißt also, dass zum Beispiel das Eingabeformular, in das die BürgerInnen ihre Daten eingeben, getrennt ist von den eigentlichen Fachverfahren im Backend, dort wo die Daten verarbeitet werden. Man kann sich also nach Allem was wir momentan an Risiken kennen, über das Frontend keinen Zugang zu den Backendsystemen verschaffen.
Und wie sind die Daten geschützt, beziehungsweise kommen sie sicher aus dem Frontend in das Backend?
Das Backend befindet sich im geschützten internen Netzbereich unseres Service Providers. Das Frontend ist nur über eine gesicherte Verbindung und nur für die Datenübertragung mit diesem Backend verbunden. Diese Trennung der Netzbereiche ist relativ aufwändig und teuer, erfüllt aber eine der wesentlichen Sicherheitsanforderungen an das System. In den eigentlichen Serviceportalen findet so gut wie keine Datenspeicherung statt. Eigentlich nur in der Zeit, in der ein Nutzer dort Daten für einen Antrag einstellt. Unterbricht er die Eingabe und will seinen Antrag bis zum nächsten Tag zwischenspeichern, bleiben die Daten zwar im Frontend, sind aber verschlüsselt abgelegt. Erst wenn der Antrag abgeschickt wird, gehen die Daten über die gesicherten Netze des Landes NRW an die entsprechende Behörde und werden dort im Fachverfahren verarbeitet.
Ein Angreifer würde also, wenn überhaupt, nur auf wenige Daten Zugriff bekommen?
Genau dies ist der Grund für die Trennung der Systeme. Wenn ein Angreifer es schaffen sollte, Zugang ins Frontend des Serviceportals zu bekommen, würde er dort keine Daten finden. Maximal ein paar zwischengespeicherte Anträge, die aber auch verschlüsselt wären. Unser Ziel ist es also, so wenig wie möglich Daten im Antragsformular vorzuhalten. Mit der Verschlüsselung der zwischengespeicherten Daten und des Versands erreichen wir eine Ende-zu-Ende-Verschlüsselung. Nur für die Bearbeitung der Daten im Fachverfahren werden die Daten entschlüsselt.
Und wie prüfen Sie die Sicherheit der Systeme?
Um zu prüfen, ob die Systeme sicher sind, lässt die IT.NRW Penetrationstests durchführen. Sowohl anfänglich für die Dienste des Serviceportals als auch später bei jedem Update. Mit dieser Angriffssimulation lassen sich Lücken und Schwachstellen identifizieren und, falls vorhanden, anschließend gezielt schließen. Mit diesem Verfahren lassen sich zumindest die uns bekannten Angriffstypen abwehren.
Gibt es weitere Sicherheitsmaßnahmen für die Systeme?
Zusätzlich werden die einzelnen Services aufgesplittet in eine Art Microservice-Architektur. Sie sind also voneinander abgekapselt. Das verhindert, dass ein erfolgreicher Angreifer nicht direkt auf sämtliche Daten einer BürgerIn zugreifen kann.
Ist das Risiko von Missbrauch, wie etwas bei den Corona-Hilfen, ein weiteres Sicherheitsthema für Online-Services?
Im Grunde geht es hier um die Abwägung zwischen Nutzerfreundlichkeit und Sicherheitsniveau. Der Missbrauch der Corona-Hilfen war erstens längst nicht so groß wie anfänglich behauptet wurde und zweitens waren es weniger Lücken im NRW-Portal als Fake-Webseiten, in die Antragsteller getappt sind. Trotzdem zeigt dieses Beispiel gut, um was es bei Online-Services geht: Wie können wir sicherstellen, dass Antragsteller tatsächlich einen Antrag selbst stellen. Das hat viel mit dem Kritikalitätsniveau eines Online-Verfahrens zu tun und mit dem dazu passenden Vertrauensniveau. Davon hängt es dann ab, wie Nutzer sich am System authentifizieren müssen.
Heißt das: Je höher das Vertrauensniveau ist, desto strenger muss das Authentifizierungsverfahren sein?
Genau das. Und je genauer das Prüfverfahren ist, desto weniger nutzerfreundlich ist es. Wenn jemand online einen Termin für eine Fake-Sperrmüllabholung vereinbart, ist das noch zu verkraften, wenn dafür jemand eine falsche Identität nutzt. Wenn aber jemand illegal Fördergelder beantragt und erhält, ist das deutlich kritischer. Wir gehen daher standardisiert so vor, dass wir uns fragen, wie hoch das Vertrauensniveau für die Bearbeitung eines Online-Antrags sein muss. Wieviel Schaden kann jemand anrichten, wenn er mit einer falschen Identität Online-Anträge stellt. Wäre der Schaden hoch, muss das Vertrauensniveau auch höher sein. Dann kann ich mich nicht mit Servicenummer, Passwort und Benutzername anmelden, sondern muss mein Personalausweis auf ein Lesegerät legen. Das führt bei vielen Nutzer nicht unbedingt zu Akzeptanzstürmen.
Weil die Nutzer dann ein Lesegerät brauchen?
Im Moment ist das in der Regel noch so. Moderne Smartphones bieten solche Funktionen für das Auslesen von Personalausweisen inzwischen aber als App an. Das müssen die Benutzer allerdings auch einrichten. Aber am Ende muss ich nun mal sicherstellen, dass derjenige, der den Antrag stellt, auch tatsächlich am Bildschirm sitzt. Wir machen uns besonders über das mittlere, also substanzielle Vertrauensniveau Gedanken. Gibt es Zwischenschritte zwischen den Niveaus, also der einfachen Anmeldung über Benutzername und Passwort auf der einen Seite und Personalausweisscan auf der anderen Seite. Eine Lösung haben wir dafür noch nicht. Daher werden wir an der Lesefunktion für den Personalausweis derzeit noch nicht vorbeikommen. Bisher hat sich für die BürgerInnen ein Lesegerät für Online-Verfahren noch nicht gelohnt, da es kaum Verfahren gibt, die wirklich komplett online abgewickelt werden können. Dies wird sich mit Umsetzung des OZG jedoch ändern.
Wie geht es für Sie 2021 mit dem OZG weiter?
Wir kommen jetzt massiv in die Umsetzungsphase. Während wir bisher viele Konzepte, Grundlagen und Standards geschaffen und gesetzt haben, werden wir uns nun Gedanken über Umsetzungssteuerung und die richtigen Ressourcen an den richtigen Stellen machen. Aber ich bin sehr optimistisch, dass wir bis Ende 2022 mit den entscheidenden Services in NRW durch sind.
Christian Neumann verantwortet bei der d-NRW AöR den Themenbereich OZG und Online-Anträge. Im Themenfeld OZG betreibt die d-NRW AöR u.a. die OZG-Koordinierungsstelle NRW, koordiniert die Umsetzung des Portalverbund.NRW, entwickelt das Serviceportal.NRW und stellt mit der Verwaltungssuchmaschine NRW den zentralen Datenzugriffsknoten für den Portalverbund bereit. Vor seiner Tätigkeit für die d-NRW AöR war er als IT- und Projektmanagementberater für namhafte Beratungsunternehmen tätig.