40
GOVERNIKUS PORTFOLIO IM ÜBERBLICK Governikus KG
GOVERNIKUSPORTFOLIOIM ÜBERBLICK
Governikus KG
2
Seite 32-33 Seite 34-35 Seite 36-37
Seite 6-9 Seite 10-11 Seite 12-15
Seite 28-31
Seite 4-5
eIDAS-READY
36
Die seit September 2014 in Kraft getretene eIDAS-Verordnung adressiert die Themen-komplexe eID (elektronische Identifizierung) und Vertrauensdienste. Diese können nach vorheriger Anerkennung beziehungsweise Zertifizierung erbracht werden.
Mit der eIDAS-VO werden einheitliche und verbindliche Regelungen für elektronische Geschäftsprozesse in der EU und EFTA geschaffen. Die Anerkennung notifizierter (qualifizierter) Vertrauensdiensteanbieter muss seit dem 01.07.2016 möglich sein, die Anerkennung notifizierter eID/Authentisie-rungsdienste ab dem 18.09.2018. Sämtliche Governikus-Produkte und -Lösungen werden spätestens zu den vorgenannten Terminen in der Lage sein, die Vorgaben der eIDAS-Ver-ordnung zu erfüllen.
eIDASANWENDUNG DES IT-PLANUNGSRATESGOVERNIKUS MULTIMESSENGER
28
Unter Federführung des Landes Rheinland-Pfalz wurde der GMM 2017 zu einer Anwendung des IT-Planungsrates. Die kontinuierliche und konsequente Pflege und Weiterentwicklung erfolgt in Abstimmung mit den dem Vertrag beitrete-den Ländern. Die Entscheidung des IT-Planungsrates im Oktober 2016, den GMM als Anwendung zu führen, unterstreicht die strategische Wichtigkeit einer effezienten und zukunftssicheren Multikanal-Strategie.
Anwendung des IT-Planungsrates
Veränderung durch Digitalisierung
Anwendung des IT-PlanungsratesGovernikus MultiMessenger
Digitale Verwaltung
Governikus LZA
Governikus- Lösungssuiten
eIDAS
Governikus Anwendung des IT-Planungsrates
Elektronischer Rechtsverkehr
3
Seite 16-18
Seite 38-39
Seite 22-25 Seite 26-27Seite 19-21Governikus Service Components (SC)
Governikus Autent Governikus Communicator
Governikus Signer
Über uns
Veränderung durch Digitalisierung
4
Sehr vieles ist in Bewegung rund um E-Government und E-Justice. Und das nicht nur in Deutschland, sondern EU-weit und grenzüberschreitend. Regierungspro-gramme und -strategien sowie rechtliche Rahmenbedingungen bilden einen Hand-lungsrahmen und verfolgen gemeinsam das Ziel des einheitlichen und durchgehenden elektronischen Verwaltungshandelns ohne Medienbrüche.
Die Digitalisierung bietet einerseits zahl- reiche neue Gestaltungsmöglichkeiten, gleichzeitig gilt es, den damit einhergehen-den neuen Herausforderungen zu begegnen.
HANDLUNGSRAHMEN FÜR E-GOVERNMENT UND E-JUSTICE
• Digitale Verwaltung 2020• Nationale E-Government-Strategie• E-Government-Gesetze von Bund und Ländern• E-Justice-Gesetz• eIDAS-Verordnung der EU
DIGITALE VERWALTUNG 2020 – DIE RAHMENBEDINGUNGEN
E-G
over
nmen
t-G
eset
z B
und,
Län
der
E-Ju
stic
e-G
eset
zeI
DA
S-V
eror
dnun
g Digitale A
gendaN
ationale E-Governm
ent-StrategieEuropa-Strategie
Handlungsrahmen
Rechtlicher Rahmen
5
6
Fach
ve
rfahren
Zuga
ngse
röffnung
Vorgangsbearbeitung
Prozesse
Papier
TR-RESISCAN
Kommunikationswege
Ersetzendes Scannen
TR-ESOR
Beweiswerterhaltungdi
gita
lan
alog
Schrift-formersatz
OSCI/EGVP
ArchiSafe
ArchiSig
De-Mail
WebportaleQuittungen
Servicekonto
Filesysteme
Signaturen
Verschlüsselung
XVergabe
Freizeichnungen
z.B. Beschaffung
E-Rechnung
Mitzeichnungen
Signaturen
Sichere Identitäten
Authentisierung
Autorisierung
eID
PA/eAT
Zertifikate
SAFE
DIE PROZESSORIENTIERTE ZUKUNFT IM ÜBERBLICK
Als führender IT-Anbieter für die sicherheitsrelevante Kommunikation mit und zwischen Behörden in Verwal-tung und Justiz sind wir Ihr zentraler Ansprechpartner bei der Digitalisierung Ihrer Verwaltungsvorgänge.
Digitale Verwaltung
6
7
Fach
ve
rfahren
Zuga
ngse
röffnung
Vorgangsbearbeitung
Prozesse
Papier
TR-RESISCAN
Kommunikationswege
Ersetzendes Scannen
TR-ESOR
Beweiswerterhaltung
digi
tal
anal
og
Schrift-formersatz
OSCI/EGVP
ArchiSafe
ArchiSig
De-Mail
WebportaleQuittungen
Servicekonto
Filesysteme
Signaturen
Verschlüsselung
XVergabe
Freizeichnungen
z.B. Beschaffung
E-Rechnung
Mitzeichnungen
Signaturen
Sichere Identitäten
Authentisierung
Autorisierung
eID
PA/eAT
Zertifikate
SAFE
7
>
8
PROZESSOPTIMIERUNG UND MEHR BÜRGERNÄHE
In den kommenden Jahren gilt es, stufen-weise und sukzessive die rechtlichen und strategischen Anforderungen auf dem Weg zur Digitalen Verwaltung umzusetzen. Dabei geht es nicht nur um die Digitalisierung und Prozessoptimierung innerhalb der Verwaltungen, sondern auch um die Schnitt-stellen zu Bürgerinnen und Bürgern sowie zu Unternehmen. Eine Folge der Digitalisierung ist dabei unter anderem, dass der Schutz elektronischer, personenbezogener Daten in allen Facetten der digitalen Prozessketten immer wichtiger wird.
SCHUTZ PERSONEN- BEZOGENER DATEN
Beleuchtet man die rechtlichen und orga-nisatorischen Handlungsfelder näher, geht es um elektronische Kommunikation, die in der Gesamtprozesskette hin zu eAkten über den gesamten Lebenszyklus hinweg abgesichert werden muss.
Im Hinblick auf die aktuellen Umsetzungsvor-haben zu eAkten, Serviceportalen etc. rücken somit die Themenfelder
• Sichere elektronische Identitäten• Sichere Übermittlung elektronischer Daten • Ver- und Entschlüsselung• Signaturen und Siegel sowie ihre Verifikation und • die Beweiswerterhaltung sämtlicher elektronischer Daten über sehr lange Zeiträume hinweg
weiter in den Fokus.
Im Kontext der eIDAS-Verordnung sind dies sogenannte „Vertrauensdienste“, basierend auf nationalen und internationalen Standards, um auch grenzüberschreitend E-Government und E-Justice prozessopti-miert betreiben zu können.
9
DIGITALE VERWALTUNG MIT GOVERNIKUS
Das Governikus-Portfolio liefert zahlreiche Lösungen, Bausteine und Produkte, um die Digitale Verwaltung zu ermöglichen. Viele Komponenten und Produkte stehen dem Bund, den Ländern und den meisten ihrer Kommunen über die Anwendung Governikus des IT-Planungsrates bereits zur Verfügung (weitere Informationen zur Anwendung Governikus auf Seite 12).
Des weiteren hat der IT-Planungsrat 2017 den Governikus MultiMessenger als Anwen-dung aufgenommen (siehe Seite 28).
GOVERNIKUS-PRODUKTPORTFOLIO
BeweiswerteDatentransportAuthentisierung / IdM
Secure Identity Secure Communication Secure Data
Anwendung Governikus des IT-PLR
Anwendung GMM des IT-PLR
Teilkomponenten sind in der Anwendung Governikus enthalten
Governikus-LösungssuitenDAS GOVERNIKUS-PORTFOLIO LÄSST SICH BEDARFSORIENTIERT AUS DEN DREI LÖSUNGSSUITEN
• Secure Identity Suite • Secure Communication Suite • Secure Data Suite
ZU UNTERSCHIEDLICHEN PRODUKTEN UND LÖSUNGEN ZUSAMMENSETZEN.
10
NATIONALE E-GOVERNMENT-STRATEGIE
E-Governm
ent-Gesetze
BeweiswerteLangzeitauf-bewahrung
Signatur undVerifikation
Ver- und Ent-schlüsselung
eID
Sichere Daten-übermittlung
SecureDataSuite
SecureCommunication
Suite
SecureIdentity
Suite
eID
AS-Verordnung
E-Ju
stic
e-G
eset
zDIGITALE VERW
ALTUNG 2020DIG
ITALE
AGEN
DA
Governikus-Lösungssuiten
11
12
GOVERNIKUS ANWENDUNG DES IT-PLANUNGSRATES
12
Der IT-Planungsrat koordiniert die Zusammenarbeit von Bund und Ländern in Fragen der Informationstechnik, beschließt IT-Interoperabilitäts- und IT-Si-cherheitsstandards, steuert E-Government-Projekte und plant bzw. entwickelt das Verbindungsnetz weiter. Zur Verdeutlichung seines Auftrages hat der IT-Planungsrat bereits 2010 eine Nationale E-Government-Strategie (NEGS) beschlossen, die im Jahr 2015 fortgeschrieben wurde. Zur Umsetzung der NEGS sind unter dem Dach des IT-Planungsrates E-Government-Vorhaben verankert, wozu auch die Anwendungen des IT-Planungsrates zählen.
13
Mit der Anwendung Governikus stehen Bund, Ländern und Kommunen wichtige Bausteine für den gesamten Lebenszyklus elektroni-scher Kommunikation, Dokumente und Da-ten zur Verfügung. Das gesamte Leistungs-spektrum der Anwendung wurde im Laufe der Jahre erheblich erweitert. Ursprünglich als Middleware für die Datenübermittlung auf Basis des OSCI-Transportprotokolls konzipiert, bei dem bereits Signaturen und Kryptografie sowie die Authentisierung eine große Rolle spielten, enthält die Anwen-dung Governikus inzwischen Produkte und Bausteine für die bereits zuvor genannten Handlungsfelder: eID, Übermittlung, Krypto-grafie, Signaturen und ihre Verifikation sowie die Beweiswerterhaltung.
ANWENDUNGEN DES IT-PLANUNGSRATES …… sind IT-Lösungen, die aus Projekten oder projekt-
ähnlichen Strukturen des IT-Planungsrates hervorge-
gangen sind und nun gemeinsam genutzt, dauerhaft
betrieben und weiterentwickelt werden.
MODULARER KOMPONENTENAUFBAU
>
Secure Identity Secure Communication Secure Data
Authentication Clients Communication Framework
Communication Justiz EditionAutentApp AusweisApp2Signer Framework
OSCI ServerAuthentication Services
Directory Services Krypto Server
Verification Server
Communication Gateway
GMM Adapter Framework Archive Gateway
GMM Frontend LZA Frontend
Signer Framework
ArchiSig Module
Server-Komponenten
User-Interfaces
Multi Channel Processor
nutzt gemeinsame Basiskomponente für XTA-Funktionalitäten
14
UMSETZUNG NATIONALER UND INTERNATIONALER GESETZE UND STANDARDS
Die konsequente Weiterentwicklung der Anwendung Governikus berücksichtigt nicht nur nationale Anforderungen, die sich aus Regierungsstrategien, -programmen, Gesetzgebungen und Standards ergeben, sondern orientiert sich auch an internatio-nalen Gesetzgebungen und Standards, wie beispielsweise EU-Richtlinien, EU-Verordnun-gen sowie DIN- und ETSI-Standards. Somit gewährleistet die Anwendung Governikus interoperabel den Umgang beispielsweise mit europäischen eIDs, Signaturen/Siegeln und ihrer Verifikation, sonstigen sog. Vertrauens-diensten etc. Viele der aktuellen und künfti-gen Herausforderungen des E-Governments lassen sich durch den Einsatz der Anwen-dung Governikus lösen. Die Anwendung steht zum Abruf über die sog. „Benannten Stellen“ für Landes- und Kommunalverwaltungen zur Verfügung – ohne zusätzliche Kosten für die Lizenzierung und Pflege zu verursachen.
ENTHALTENE PRODUKTE UND KOMPONENTEN
Zu den enthaltenen Produkten zählen die Middleware- bzw. Serverprodukte Governikus Service Components und Governikus Autent sowie die Clientprodukte Governikus Commu-nicator und Governikus Signer.
Darüber hinaus enthält die Anwendung Teil-komponenten der Produkte Governikus LZA für die beweiswerterhaltende Langzeitauf-bewahrung und Governikus MultiMessenger, der als intelligente Poststelle zur Integration von Multikommunikationskanalstrategien eingesetzt wird.
15
BEDARFSGERECHTE WEITERENTWICKLUNG!
Die kontinuierliche Weiterentwicklung der Anwendung Governikus erfolgt in gemein-samer Absprache mit unseren Kunden aus Bund und Ländern, die Mitglieder in die Entscheidungsgremien entsenden. Im regelmäßigen Erfahrungs- und Abstim-mungsaustausch in den Gremien „Betreiber-ausschuss“ und „Technikausschuss“ werden gesetzliche und technische Neuerungen und Herausforderungen diskutiert und dem „Lenkungsausschuss“ vorgelegt. In diesem Ausschuss wird zwei Mal jährlich über die Mittelverwendung für Pflege und Weiterent-wicklung der Anwendung entschieden.
16
GOVERNIKUS SERVICE COMPONENTS (SC)
Governikus SC wurde speziell für den sicheren und rechtsverbindlichen Aus-tausch via OSCI (Online Services Computer Interface) entwickelt und ist bereits seit 2004 die Basiskomponente der Virtuellen Poststelle (VPS) des Bundes. Governikus SC stellt als zentrale Sicherheitsinfrastruktur Dienste für die gesicherte Kommunikation bereit und gibt Ihnen die Sicherheit, dass Ihre Nachrichten vertraulich und rechtsverbindlich im Internet transportiert werden. Dabei ist Governikus leistungsstark, performant, ausfallsicher und mandantenfähig.
16
1717
IMPLEMENTIERUNG EINES XTA-SERVERS
Um einen vereinfachten Zugang zu OSCI- Transportinfrastrukturen zu ermöglichen, wurde von der KoSIT der XTA-Standard spe-zifiziert. Die aktuelle XTA-Spezifikation 2.1 haben wir in der Governikus SC-Komponente GCG (Governikus Communication Gateway) umgesetzt.
MODULAR UND SOA-ORIENTIERT
Durchweg modular aufgebaut, orientiert sich Governikus am Paradigma von SOA und gewährleistet dadurch eine flexible Einbin-dung in unterschiedlichste Systemlandschaf-ten und –szenarien über Webservices.
Eine starke Verschlüsselung sichert die Vertraulichkeit der übermittelten Daten. Integrität und Authentizität werden durch elektronische Signaturen gewährleistet; eine vollständige OSCI-Architektur kann implementiert und betrieben werden. Als modular aufgebaute Software ist Governikus SC leicht zu administrieren und bietet über die OSCI-Funktionalität hinaus eine Reihe weiterer Funktionen, die die praktische Umsetzung von sicherem und rechtsverbind-lichem Datenaustausch sowie die Aufbewah-rung der Daten erleichtern.
FEATURES (AUSZUG)• Starke Ende-zu-Ende-Verschlüsselung
• Signaturerstellung und -prüfung
• Zeitstempelanforderung und -prüfung
• Laufzettel, Protokollierung, Quittungen,
Monitoring
• Modular und SOA-orientiert
• Parallelbetrieb von OSCI 1.2- und
OSCI 2-Szenarien
• Implementierung eines XTA-Servers
• Integrierte eID-Services
• Enthaltene Module Krypto und ArchiSig
gemäß TR-ESOR
• Common Criteria evaluiert
• eIDAS-ready
EVALUIERUNG, ZERTIFI- ZIERUNGEN UND TECHNISCHE RICHTLINIEN
Governikus ist gemäß Common Criteria Stufe EAL 3+ evaluiert und wurde darüber hinaus als Signaturanwendungskomponente geprüft und nach SigG bestätigt. Die für die Zertifikatsprü-fung benötigte Governikus Komponente wurde nach Common PKI zertifiziert. Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden bei der Entwicklung konsequent berücksichtigt.
>
18
SOFTWARE DEVELOPMENT KIT
Zur Eigenentwicklung von Clients bzw. Anpassung an individuelle Anforderungen stehen mit dem Governikus SDK entspre-chende Tools und Bibliotheken zur Verfügung.
BASISINFORMATIONEN ZU OSCI
Bereits Ende der 1990er Jahre für die vertrauliche, sichere, rechtsverbindliche elektronische Kommuni-kation vor allem im E-Government entwickelt, hat sich OSCI als Infrastruktur im deutschen E-Government und der E-Justice bestens bewährt. Mit der Zielausrichtung Integrität, Authentizität, Vertraulichkeit und Nachvoll-ziehbarkeit bildet OSCI unter Berücksichtigung rechtli-cher Aspekte die technische Basis des E-Government in Deutschland.
INTERNATIONALE STANDARDS
Eines der zentralen Designziele von OSCI SOAP-Services ist, auf etablierte internationale Standards zu setzen und diese im Hinblick auf Interoperabilität zu profilieren. Die OSCI-Webservices basieren auf den vom W3C ko-ordinierten und weltweit anerkannten Standards SOAP, XML-Signatur sowie, XML-Encryption und konkretisieren die Anforderungen der deutschen Legislative (Signatur-gesetz, Teledienstegesetz etc.).
Vor allem seit Einführung von OSCI 1.2 im Jahr 2002 hat sich das Konzept der starken Ende-zu-Ende-Sicherheit mit Ergänzung um Mehrwertdienste – wie beispielsweise der zentralen Zertifikatsprüfung – als Kommunikations-infrastruktur in der öffentlichen Verwaltung und Justiz etabliert.
OSCI KURZ UND BÜNDIG
• Protokollstandard für das deutsche E-Government• Basierend auf den internationalen Standards XML und SOAP• Gewährleistet Integrität, Authentizität, Vertraulichkeit und Nachvollziehbarkeit• Schafft Grundlagen für InteroperabilitätNeben dem Protokollstandard OSCI-Transport wurden in der Zwischenzeit auf Anwendungsebene weitere Proto-kollstandards im Rahmen von XÖV zum Austausch fach-licher Inhaltsdaten entwickelt (wie z.B. XJustiz, XMeld, XPersonenstand etc.), die auf die OSCI-Transport-Infra-struktur zurückgreifen.
OSCI 2: AKTUELLE INTERNATIONALE STANDARDS, NOCH EINFACHERES HANDLING
Mit der konsequenten Weiterentwicklung bildet OSCI 2 eine Profilierung aktueller Spezifikationen, die in aktu-ellen Entwicklungswerkzeugen und Produkten der am Markt aktiven und etablierten Hersteller Verwendung fin-den. International ausgerichtet, erweitert OSCI 2 vorhan-dene Standards an den Stellen, wo noch keine adäquaten Spezifikationen zur Verfügung stehen. Dadurch ist die Umsetzung von OSCI 2 ebenso einfach wie bereits OSCI 1.2, wobei die Integration in Fachverfahren durch die von der OSCI-Leitstelle kostenfrei zur Verfügung gestellten OSCI-Bibliotheken nochmals erleichtert wurde.
ANWENDUNG GOVERNIKUS
Governikus SC ist Bestandteil der Anwen-dung Governikus des IT-Planungsrates (mehr zur Anwendung siehe Seite 12).
19
GOVERNIKUS AUTENT
Im Zuge der Digitalisierung sind elektronische Identitäten nicht mehr wegzudenken. Gleichzeitig steigen die Anforderungen an den Schutz, das Handling im Hinblick auf Rechtssicherheit sowie die Föderation elek- tronischer Identitäten. Mit Governikus Autent stehen Ihnen Server- und Client-Komponenten zur Verfügung, um Authentisierungen mittels elek-tronischer Identitäten sicherzustellen. Governikus Autent erfüllt alle Anforderungen an eine moderne Identitätsmanagementlösung. Je nach sicherheitskritischem Einsatzszenario kann Governikus Autent sowohl mit der Online-Ausweisfunktion des Personalausweises bzw. elektronischen Aufenthaltstitels umgehen als auch zertifikatsbasierte oder Benutzername / Passwort-basierte Authentisierungen vornehmen.
>
19
20
IDENTITÄTSMANAGEMENT, SAFE-KONFORMITÄT UND INTEROPERABILITÄT
Um die Verwaltung von und den Zugriff auf digitale Identitäten zu zentralisieren, kann der Autent-Server als SAFE-konformer Registrierungsserver eingesetzt werden und bietet somit alle Funktionalitäten, die eine moderne, webbasierte Identitätsmanage-mentlösung benötigt. Der Zugriff erfolgt authentisiert, ein umfangreiches Rollen-konzept schützt die hinterlegten Daten vor unberechtigter Einsicht und Manipulation. Die sichere Nutzung der Schnittstellen zur Verzeichnisabfrage und zur Registrierung ist über standardisierte Webservice- Schnittstellen und über eine HTML-basierte Webanwendung möglich. Darüber hinaus ermöglicht Governikus Autent im Kontext der eIDAS-Verordnung den Umgang mit europäi-schen Identitäten.
AUTENT ID CONNECT
Zur vereinfachten Anbindung mehrerer Fachverfahren an den Autent-Server steht Ihnen Autent ID Connect zur Verfügung. Von der einfachen Anbindung abgesehen, bietet Autent ID Connect zwei weitere Vorteile: Erstens können Organisationen der Öffent-lichen Verwaltung mehrere Verfahren über ein Berechtigungszertifikat anbinden und zweitens kann Autent ID Connect eine Pro-tokollierung im Zuge der Schriftformwahrung liefern. Der Autent-Server in Kombination mit Autent ID Connect ist somit hervorra-gend geeignet, um das Identitätsmanage-ment bei Servicekonten zu übernehmen.
AUTENTAPP
Mit der AutentApp steht ein Java-basiertes User Interface zur Verfügung, das sich problemlos in vorhandene Anwendungen integrieren lässt. Die Autent-App kann in Authentisierungsszenarien je nach Bedarf mittels eID des Personalausweises oder Zertifikaten oder Benutzername/Passwort eingesetzt werden.
Komponente
Funktionale Anforderungen
EVA
ID Schnittstellen
Eingabe / Ausgabe
Protokolle, z.B. • Für Transport per
Browser• Zum Verschlüsseln• Zum Signieren • Als Schriftformersatz
Allgemeiner Workflow der Authentisierung,
Konfiguration
Spezieller Workflow der Authentisierung,
Aufruf konkreter Services
Benutzerverwaltung für fachspezifische Nutzerdaten,
z.B. im Kontext Service-konten
Kernmodul
Verarbeitung
Validatoren Datenbank
Persistenz
Erläuterungen
Implementierungen
WS (Sec Token Service)
WS (TR-03130)
SAML
ID Connect
Autent Server
Lokal:• Benutzername /
Passwort• Zertifikate• Onlineausweise
Vermittelt:• IdP-Proxy
Unterstützungunterschiedlicher
Datenbanksysteme
Id.-Datenübertragung Identitätsfeststellung Identitätsdatenbank
21
>
Föderation
Integration
Schrift-formersatz
Interoperabilität> National / International eIDs
Vereinfachung gemäß EGovG> Personalausweis / eAT
Offene Industriestandards> SAML> WS-Trust
Bestehende IT-Landschaften> Antragsverfahren> Auskunftsverfahren> Portal-Login
AUSWEISAPP2
Im Auftrag des Bundesministeriums des Innern (BMI) haben wir die Anwendung zur Nutzung der Online-Ausweisfunktion des Personalausweises bzw. elektronischen Aufenthaltstitels entwickelt. Aktuell steht die AusweisApp2 für die stationären Be-triebssysteme Windows 7, 8 und 10 sowie OS X ab 10.9 zur Verfügung. Für das mobile Betriebssystem Android gibt es ebenfalls eine BSI-zertifizierte Version. Die Ausweis- App2 steht kostenfrei zum Download unter www.ausweisapp.bund.de und im Google Playstore zur Verfügung. Weitere Informatio-nen rund um die AusweisApp2 sind ebenfalls dort zu finden.
ANWENDUNG GOVERNIKUS
Governikus Autent ist Bestandteil der Anwendung Governikus des IT-Planungsrates (nähere Informationen zur Anwendung siehe Seite 12).
FEATURES (AUSZUG)• Server- und Client-Komponenten
• Einfache Erweiterbarkeit (Business Delegates
und eigene Authentisierungsverfahren)
• Umsetzungsmöglichkeiten von föderierten
Szenarien (SAFE, Servicekonten)
• Umfangreiche Benutzerverwaltung
• Vermittelte Identitäten über IdP-Proxy /
Unterstützung von Active Directories
• Laufzettel zum Nachweis der Schriftformwahrung
• Vereinfachte Anbindung mit einem Berechti-
gungszertifikat für mehrere Fachverfahren
• Mandantenfähigkeit
• Hochverfügbarkeit, auch für das HSM
• eIDAS-ready
22
GOVERNIKUSCOMMUNICATOR
Governikus Communicator ist die Client-Anwendung zum Versand und Emp-fang von OSCI-Nachrichten. Durch die Verwendung des OSCI-Transportpro-tokolls werden Nachrichten stark Ende-zu-Ende-verschlüsselt, das Handling elektronischer Signaturen wird ermöglicht und somit Authentizität, Integrität und Vertraulichkeit gewährleistet. Durch den Einsatz von elektronischen Sig-naturen und Zeitstempeln und dem OSCI-Laufzettel als Protokollierung kön-nen gesetzlich vorgeschriebene Schriftformerfordernisse eingehalten und der rechtzeitige Versand bzw. Eingang bei Fristsetzungen nachgewiesen werden.
>
22
23
FUNKTIONEN
• Eröffnen, Ändern, Schließen und Löschen eines Postfachs • Senden und Empfangen von OSCI- Nachrichten• Einfaches oder mehrfaches Signieren von Nachrichten• Ver- und Entschlüsselung• Zertifikatserzeugung• Zertifikatsprüfung• Laufzettel• Erstellung von Prüfprotokollen• Anbindung an Verzeichnisdienste (Registrierungsserver, SAFE, DVDV, feste Adressliste)• Anbindung an den Intermediär Governikus• Anbindung an Fachanwendungen
EINSATZSZENARIO DVDV
Die generische Ausgestaltung des Governikus Communicator ermöglicht auch den Einsatz in XÖV-Szenarien und die Anbindung an das Deutsche Verwaltungsdiensteverzeichnis (DVDV). Der Communicator ergänzt die in den Kommunen eingesetzte Software zur Ver-waltung von XÖV-spezifischen Inhaltsdaten (Inhaltsdaten der öffentlichen Verwaltung) um die Funktionalitäten, die für die sichere und rechtsverbindliche OSCI-Kommunikation über das Internet erforderlich sind.
EINSATZSZENARIO IN DER JUSTIZ
Als Justiz Edition steht der Governikus Communicator als 1:1-Alternative für den EGVP-Classic-Bürgerclient zur Verfügung.
Rechtssicherheit
Integrität undAuthentizität
Vertraulichkeit
>
ANWENDUNG GOVERNIKUS
Governikus Communicator ist Bestandteil der Anwendung Governikus des IT-Planungsrates (mehr zur Anwendung siehe Seite 12).
24
FEATURES DVDV-EDITION• Versand von XÖV-spezifischen Inhaltsdaten
• Automatische Adressierung mit dem Deutschen
Verwaltungsdiensteverzeichnis (DVDV)
• Aufbau der benötigten OSCI-Strukturen
• Verschlüsselung für Empfängerbehörden
• Erstellung von elektronischen Signaturen
• Sammelversand der Inhaltsdaten
• Empfang von XÖV-spezifischen Inhaltsdaten
• Automatische Überprüfung der benutzten
Zertifikate der Absenderbehörde
• Mathematische Überprüfung der von der
Absenderbehörde erstellten Signaturen
OSCI-Manager
OCSP/CRL-Relay
Client Server Backend
OSCI / HTTP
HTTPS / HTTP
HTTP Download-Server
Directory Service
Trust Center
OSCI / HTTP
HTTPS / HTTP
HTTP
GOVERNIKUS COMMUNICATOR
• Unterstützung des Einlesevorgangs durch
Software zur Verwaltung der Inhaltsdaten
• E-Mail-Benachrichtigung beim Eingang von
OSCI-Nachrichten
• Verwaltung von OSCI-Transport-Nachrichten
• Sendeprotokolle und Eingangsbestätigungen
für gesendete Daten
• Prüfprotokolle für empfangene Daten
• Möglichkeit der Automatisierung: Empfangen,
Versenden, Importieren, Exportieren und Löschen
25
GOVERNIKUS SKA
Unter dem Projektnamen Governikus SKA (Sichere Kommunikation im Asylbewer-berverfahren) wird der vom IT-Planungsrat lizenzierte Governikus Communicator durch uns kostenfrei für alle zuständigen Flüchtlingsstellen in Deutschland betrieben. Die Lizenz von Bund und Ländern erstreckt sich auf alle öffentlichen Stellen (Bundes-, Landes- und Kommunalverwaltungen) und deren Kommunikationspartner.
Nutzen
Authentizität, Integrität, Vertraulichkeit
Einhaltung von Schriftform und Nachweis bei Fristsetzungen
Starke Ende-zu-Ende-Verschlüsselung durch Verwendung des
OSCI-Transportprotokolls
Handling elektronischer Signaturen und Zeitstempel
OSCI-Quittungen (Laufzettel)
Der im Projekt Governikus SKA verwendete Governikus Communicator ist ein Java-Client, der nach dem Download der Software instal-liert wird (hierzu werden Administratorrechte benötigt). Der Client generiert automatisch ein Verschlüsselungszertifikat. Mit diesem Zertifikat wird die Software personalisiert und sendet und empfängt zwingend stark verschlüs-selte Daten. Natürlich können auch bereits vorhandene Zertifikate verwendet werden.
Authentizität, Integrität, Vertraulichkeit
Einhaltung von Schriftform und Nachweis bei Fristsetzungen
Starke Ende-zu-Ende-Verschlüsselung durch Verwendung des
OSCI-Transportprotokolls
Handling elektronischer Signaturen und Zeitstempel
OSCI-Quittungen (Laufzettel)
26
GOVERNIKUS SIGNER
26
Governikus Signer bündelt sämtliche Funktionalitäten, um sowohl eine gesetzeskonforme Verarbeitung als auch eine vertrauliche Übertragung von Dokumenten und Daten im Internet zu ermöglichen:
• Erstellen von Signaturen (in allen Signaturklassen), Einsatz elektronischer Siegel• Verifizieren (auch internationaler Formate/Standards gemäß eIDAS-Verordnung)• Ver- und Entschlüsseln
27
EINE ANWENDUNG – MEHRERE EDITIONEN
BASIC EDITION
INTEGRATION EDITION • Integration in Fachanwendungen
Bestandteil der Anwendung Governikus
PROFESSIONAL EDITION
WEB EDITION • Integration in webbasierte Anwendungen und Online-Formulare
• Signaturerstellung in allen Signaturniveaus mit allen marktüblichen• Einzel-, Stapel-, Multisignaturkarten, PA sowie Softwarezertifikaten• Erstellung elektronischer Siegel (eIDAS)• Verifikation nationaler und internationaler Signaturen (eIDAS) und Siegel• Ver- und Entschlüsselung (zertifikatsbasiert und über Passwort)• Zertifikate ansehen und exportieren• Nachfolgeprozesse starten (z.B. Versand)
Je nach Anforderungsszenario steht Ihnen Governikus Signer in verschiedenen Editionen zur Verfügung:
• Basic Edition• Professional Edition• Integration Edition• Web Edition
RECHTSSICHERHEIT UND VS-NFD
Governikus Signer entspricht sämtlichen gesetzlichen Anforderungen (national und gemäß eIDAS) und verfügt über eine VS-NfD-Freigabeempfehlung des Bundes- amtes für Sicherheit in der Informations-technik (BSI).
Zur Zertifikatsprüfung (Authentizität) greift Governikus Signer auf die nach Common Criteria EAL 3+ evaluierte Governikus Komponente Verification Server zurück.
Zur Anbringung qualifizierter Zeitstempel, um über einen akkreditierten Zeitstempel-dienstanbieter den Erstellungszeitpunkt der Signaturdatei rechtsgültig zu bestätigen, kann auf die Governikus Komponente Krypto Server zugegriffen werden. Dies kann erforderlich sein, wenn Sie beispielsweise die Einhaltung einer Abgabefrist dokumentieren bzw. nachweisen möchten. Der Krypto Server ist ebenfalls gemäß Common Criteria EAL 3+ evaluiert.
ANWENDUNG GOVERNIKUS
Die Editionen Governikus Signer Basic und Professional sind Bestandteil der Anwendung Governikus des IT-Planungsrates (mehr zur Anwendung siehe Seite 12).
ANWENDUNG DES IT-PLANUNGSRATESGOVERNIKUS MULTIMESSENGER
28
Unter Federführung des Landes Rheinland-Pfalz wurde der GMM 2017 zu einer Anwendung des IT-Planungsrates. Die kontinuierliche und konsequente Pflege und Weiterentwicklung erfolgt in Abstimmung mit den dem Vertrag beitrete-den Ländern. Die Entscheidung des IT-Planungsrates im Oktober 2016, den GMM als Anwendung zu führen, unterstreicht die strategische Wichtigkeit einer effizienten und zukunftssicheren Multikanal-Strategie.
Anwendung des IT-Planungsrates
29
FUNKTION SAMMELN
Über die unterschiedlichen Eingangskanäle nimmt der GMM sämtliche eingehenden elektronischen Nachrichtenformate entge-gen – wie E-Mails, De-Mails, EGVP/OSCI- Nachrichten, Nachrichten aus Web-Portalen oder Filesystemen – und validiert zunächst den Empfänger. Optional kann an dieser Stelle bereits die Annahme der Nachricht durch den GMM quittiert werden. Im nächs-ten Schritt wird eine formatspezifische Prüfung für die Vereinheitlichung durch- geführt.
FUNKTION PRÜFEN
Diese Funktion dient zur Einhaltung des Regelwerks des Virtuellen Postfachs der Empfängereinheit (beispielsweise Abtei- lung) oder des einzelnen Empfängers. Die entgegengenommene Nachricht wird zu-nächst dem Virtuellen Postfach zugeordnet, um im folgenden Schritt die Nachrichten-bestandteile und Dokumente zu entpacken, zu entschlüsseln, elektronische Signaturen zu verifizieren, auf Viren zu prüfen und eine Formatprüfung vorzunehmen. Darüber hinaus wird festgestellt, in welches Zielsystem die dem Virtuellen Postfach zugeordneten Nachrichten weitergeleitet werden sollen.
Mit der Middleware Governikus MultiMes-senger (GMM) können Sie eine intelligente, elektronische Poststelle implementieren, die sämtliche elektronischen Nachrichten gesichert empfängt und an die internen Empfänger in das jeweils genutzte Vor-gangsbearbeitungssystem weiterleitet. Die eindeutige Zuordnung der internen Emp-fänger wird dabei über virtuelle Postfächer festgelegt. Für die ausgehende elektronische Post bietet der Governikus MultiMessenger eine differenzierte Nutzung verschiedener Kommunikationssysteme – je nach Wunsch des externen Kommunikationspartners. Dabei wird eine explizite Zugangseröffnung durch den externen Kommunikationspartner unterstützt. Möchte Ihr Kommunikations- partner von Ihnen lediglich via De-Mail kon-taktiert werden, sorgt der Governikus Multi-Messenger dafür, dass – egal aus welchem Ihrer Systeme Sie Ihrem Kommunikations-partner eine Nachricht zukommen lassen – dieser die Nachricht auch via De-Mail erhält.
FUNKTIONSÜBERSICHT
Vereinfacht lässt sich der Governikus MultiMessenger in vier Grundfunktionen für den Ein- und Ausgang elektronischer Nachrichten aufteilen:
• Sammeln• Prüfen• Weiterleiten und Verteilen• Protokollieren
>
30
FUNKTION WEITERLEITEN UND VERTEILEN
Nach Prüfung aller Regeln des Virtuellen Postfachs wird aus dem einheitlichen GMM-Format der Nachricht das für das gewünschte Zielsystem erforderliche Format aufgebaut. Die erstellte Nachricht wird gemeinsam mit dem Laufzettel/Protokoll in das Zielsystem übergeben sowie optional eine Quittung an den Absender versandt.
FUNKTION PROTOKOLLIEREN
Protokollierung wird bei uns „GROSS“ geschrieben. Sämtliche Schritte – von der Entgegennahme der Nachricht bis hin zur Übergabe an den Empfänger – werden de-tailliert protokolliert und in einem Poststel-lenbuch eingetragen. Dieses Poststellenbuch ermöglicht Ihnen eine mandantengenaue Zuordnung und bietet Abrechnungsmecha-nismen für die unterschiedlichen Kommuni-kationskanäle.
GUTE GRÜNDE FÜR DEN EINSATZ DES GOVERNIKUS MULTIMESSENGER
1. Mit dem GMM verfügen Sie über eine zentrale, intelligente Kommunikationsplattform.2. Mit dem GMM sind Sie dem stetigen Wandel neuer Kommunikationskanäle gewachsen.3. Der GMM ermöglicht eine dezentrale Verwaltung sämtlicher Kommunikationsteilnehmer und orchestriert somit Ihre Zugangseröffnung.4. Der GMM ist mandantenfähig und ermöglicht jegliche Art von Abrechnungsmechanismen.5. Über das GMM-Dashboard behalten Sie jederzeit einfach den Überblick über Ihre Kommunikation.6. Der GMM lässt sich einfach administrieren.7. Der GMM ermöglicht eine effiziente Einbindung in Ihre bestehende IT-Infrastruktur.8. Der GMM gewährleistet Zukunftssicherheit und damit Investitionsschutz.9. Zur Signaturprüfung (auch eIDAS-konformer Signaturen und Siegel) greift der GMM auf die Anwendung Governikus des IT-Planungsrates zurück.10. Erweiterbar um die zentrale und einheitliche Langzeitspeicherung für elektronische, krypto- grafisch behandelte und signierte Nachrichten gemäß Technischer Richtlinie des BSI – TR-ESOR mit Governikus LZA.
31
TECHNOLOGIE
Der Governikus MultiMessenger basiert auf Microsoft-Technologien, wie .NET und MS-SQL-Server. Über offene Standards sowie SOA- und SOAP-modellierte Schnittstellen lässt sich der GMM einfach und unkompliziert in bestehende IT-Landschaften integrieren.
31
Sammeln Prüfen WeiterleitenPROTOKOLLIEREN
KundenNutzer
OrganisationVerwaltung
Vorgangsbearbeitung
Browser E-MailPGP/S-MIME
De-Mail eDeliveryEGVP
Virtuelles Postfach
Fachverfahren
Dokumentenmanagement Digitale Akte
Langzeit- speicher
●●●
●●●
32
GOVERNIKUSLZA
32
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in der Technischen Richtlinie 03125 (TR-ESOR) mehrere rechtliche Grundlagen zu-sammengefasst, um elektronische Daten beweiswerterhaltend für sehr lange Zeiträume aufzubewahren unter Berücksichtigung der Auswahl und des ad-äquaten Einsatzes geeigneter Sicherungsmittel.
33
Kommunikation(E-Mail, De-Mail,
OSCI etc.)
Unternehmens-software
(ERP, CRM etc.)
Export-möglichkeit
§§
Standardisiertesselbsttragendes Archivpaket
Metadaten + Inhalt + Beweisdaten
Scanner Datenbanken
INTEGRATION
TR-ESORMIDDLEWAREECM / DMS / BLACKBOX
STORAGE
File CloudDMS SANECM etc.Datenbank
XA
IPFEATURES (AUSZUG)Governikus LZA ist die skalierbare und durch das
BSI zertifizierte Lösung zur beweiswerterhaltenden
Langzeitaufbewahrung auf Basis offener Standards,
wobei PKI-basierte Kryptografieverfahren und
Zeitstempeldienste genutzt werden, um den nicht
abstreitbaren Integritäts- und Authentizitätsnach-
weis über Evidence Records nach RFC-4998 zu
gewährleisten. Governikus LZA funktioniert dabei
hochautomatisiert und weitgehend bedienerlos.
• Vertrauenswürdigkeit durch BSI-Zertifizierung
• Hoher Investitionsschutz dank offener Standards
• Als lokale Instanz, SaaS und Appliance verfügbar
• Cloud-fähig durch sichere Datenverschlüsselung
nach AES 256-bit
• Geschützte Kommunikation und Authentisierung
über HTTPS
• Redundante Beweiswerterhaltung durch
mehrere Hash-Algorithmen
• Parallele Anbindung diverser Anwendungen und
Storage-Lösungen
• Evidence Records nach RFC-4998 gemäß
ArchiSafe und TR-03125
• Umfangreiche Volltextsuche über Metadaten
und Archivobjekte
• Authentische Anzeige mit Trusted Viewer
• Optimiert für Big Data und Archivobjekte > 1 GB
• Automatisierte Signaturerstellung und -prüfung
• Bedienerloses Nachsignieren nach ArchiSig
• Verwaltung von Aufbewahrungsfristen und
sicheres Löschen
• Mandantenfähigkeit
• Optimale Integration in die Governikus
Lösungssuiten
• Anbindung an alle führenden ECM- und
Storage-Systeme
ANWENDUNG GOVERNIKUS
Zwei von drei TR-ESOR-Modulen (Krypto- Modul und ArchiSig-Modul) sind bereits Bestandteil der Anwendung Governikus des IT-Planungsrates (mehr zur Anwendung siehe Seite 12).
Das Ziel und die Herausforderung der rechts- und revisionssicheren Ablage elektronischer Unterlagen ist es, sowohl für die digitalen Inhalte als auch deren Metadatensätze die folgenden Punkte für lange Zeiträume (meh-rere Jahrzehnte) zu gewährleisten:
• Verfügbarkeit und Lesbarkeit• Integrität (Unversehrtheit)• Beweiswerterhaltung von Signaturen und Zeitstempeln, Authentizität (daraus folgt auch die Nichtabstreitbarkeit) sowie Daten- schutz, Datensicherheit und Vertraulichkeit
ELEKTRONISCHER RECHTSVERKEHR
34
Für den elektronischen Rechtsverkehr steht der Justiz mit dem elektroni-schen Gerichts- und Verwaltungspostfach (EGVP) ein umfassendes System zur Verfügung, das auf dem OSCI-Protokollstandard basiert und an das Iden-titätsmanagementsystem SAFE angebunden ist (weitere Informationen zum EGVP unter www.egvp.de). Mit dem Gesetz zur Förderung des elektronischen Rechtsverkehrs (E-Justice-Gesetz) wurde beschlossen, dass die Kommunikati-on zwischen Justiz und Rechtsanwälten ab 2016 über das besondere Anwalts-postfach (beA) erfolgen soll. Notaren wird das besondere Notarpostfach (beN) zur Verfügung gestellt.
35
Für eine Übergangsphase stellt die Justiz bis Januar 2018 allen Nutzern (Rechtsanwälte, Notare, Justiz) weiterhin den EGVP Classic Bürger-Client zur Verfügung. Der Support für das Produkt war jedoch nur bis zum 31.12.2016 beauftragt.
Vor allem Bürger und Unternehmen, die mit der Justiz kommunizieren, müssen künftig andere EGVP Sende- und Empfangskom-ponenten benutzen. Dies können EGVP Drittprodukte, wie auch Eigenentwicklungen sein oder etwa die Integration von EGVP Enterprise in Fachanwendungen. Darüber hinaus haben Unternehmen, Behörden und Bürger die Möglichkeit, auf die von der Justiz geprüften und zugelassenen „Drittprodukte“ zurückzugreifen.
ZUGELASSENE DRITTPRODUKTE IM EGVP-SYSTEM AUS DEM GOVERNIKUS-PORTFOLIO
GOVERNIKUS COMMUNICATOR JUSTIZ EDITIONAls 1:1-Alternative für den EGVP Classic- Bürger-Client steht Ihnen die Justiz Edition des Governikus Communicator zur Verfügung.
Für Nutzer aus den Bundesländern, die dem Vertrag zur Pflege der Anwendung Governikus des IT-Planungsrates beigetreten sind, steht diese kostenfrei zur Verfügung und kann unter www.governikus.de heruntergeladen werden (weitere Informationen zum Governikus Communicator siehe Seite 21).
GOVERNIKUS MULTIMESSENGERVor allem für Behörden und große Unterneh-men ist die Implementierung einer intelligen-ten, elektronischen Poststelle sinnvoll. Der Governikus MultiMessenger behandelt nicht nur OSCI/EGVP-Nachrichten, sondern „küm-mert“ sich um Ihre gesamten elektronischen Nachrichten. Der GMM ist von der Justiz als Drittprodukt im EGVP-Verbund zugelassen (weitere Informationen zum GMM siehe Seite 28).
Kommunikationsanwendungen im EGVP-Verbund
EGVP-System
beN / beBPoEGVP EnterpriseServerbasierte Lösung der Justiz
EGVP ClassicClient-Anwendung der Justiz
Governikus MultiMessengerServerbasierte Lösung für Multikanalkommunikation
Anwendung des IT-Planungsrats
Governikus Communicator Justiz Edition
Client-Anwendung
beAClient-Anwendung
der BRAK
Sonstige Drittprodukte
eIDAS-READY
36
Die seit September 2014 in Kraft getretene eIDAS-Verordnung adressiert die Themen-komplexe eID (elektronische Identifizierung) und Vertrauensdienste. Diese können nach vorheriger Anerkennung beziehungsweise Zertifizierung erbracht werden.
Mit der eIDAS-VO werden einheitliche und verbindliche Regelungen für elektronische Geschäftsprozesse in der EU und EFTA geschaffen. Die Anerkennung notifizierter (qualifizierter) Vertrauensdiensteanbieter muss seit dem 01.07.2016 möglich sein, die Anerkennung notifizierter eID/Authentisie-rungsdienste ab dem 18.09.2018. Sämtliche Governikus-Produkte und -Lösungen werden spätestens zu den vorgenannten Terminen in der Lage sein, die Vorgaben der eIDAS-Ver-ordnung zu erfüllen.
eIDAS
37
ELEKTRONISCHE IDENTIFIZIERUNG
• In Deutschland insbesondere mit dem Personalausweis
... aber nicht nur
• Die eIDs anderer Staaten müssen anerkannt
werden/Notifizierung
VERTRAUENSWÜRDIGE DIENSTE
• Elektronische Signaturen/
Zertifizierungsdiensteanbieter
• Qualifizierte Validierungsdienste
• Elektronische Siegel, elektronische Zeitstempel
• Elektronische Einschreib-Zustelldienste
• Elektronische Bewahrungsdienste
• Website-Authentifizierung
38
39
Die Governikus GmbH & Co. KG ist ein etablierter IT-Lösungs- anbieter für Sicherheit und Rechtsverbindlichkeit elektronischer Kommunikation und elektronischer Dokumente. Im Jahr 1999 als bremen online services gegründet, beschäftigen wir uns in- tensiv mit dem Schutz personenbezogener Daten. Als Pionier im E-Government- und E-Justice-Bereich liegt der Fokus unseres Portfolios auf der Unterstützung zur Digitalisierung der Verwal- tungsprozesse, die auch im Rahmen der Digitalen Agenda der Bundesregierung gefordert wird.
Das Governikus-Portfolio liefert wichtige Bausteine für den gesam-ten Lebenszyklus elektronischer Dokumente und für eine sichere elektronische Kommunikation. Die Lösungen der Governikus KG gliedern sich in die Themenschwerpunkte „Sichere Identitäten“, „Sichere Kommunikation“ sowie „Sichere Daten“. Innerhalb der Suiten stehen beispielsweise Komponenten, Produkte und Lösun- gen für die Authentisierung mit dem Personalausweis, dem im E-Government etablierten OSCI-Protokollstandard für eine starke Ende-zu-Ende-Verschlüsselung in und mit der Verwaltung bzw. im EGVP-Verbund der Justiz, intelligente De-Mail-Integration und Poststellenfunktionalitäten, Signaturanwendungskomponenten sowie die beweiswerterhaltende Langzeitaufbewahrung gemäß TR-ESOR zur Verfügung.
Zahlreiche Komponenten aus unserem Gesamtportfolio stehen als Anwendungen des IT-Planungsrates Governikus und Governikus Multimessenger dem Bund, den Ländern sowie ihren Kommunen u.a. zur Umsetzung der Nationalen E-Government-Strategie zur Verfügung. Die Anwendung Governikus ist gemäß Common Criteria evaluiert sowie SigG-bestätigt, eIDAS-konform und wird ständig gemäß aktueller nationaler und internationaler Gesetzeslagen und Strategien weiterentwickelt.
ÜBER UNS
Governikus GmbH & Co. KGAm Fallturm 928359 Bremen, Germany
Tel: +49 421 204 95-0Fax: +49 421 204 [email protected] Juni 2017
