Connect with us

Datenschutz & Sicherheit

Arbeitsgruppe empfiehlt Matrix-Protokoll für Behördenkommunikation


Zentrales Bürgerpostfach, BundID, OZG-PLUS-Postfach, MeinJustizpostfach und Elster – um mit Behörden zu kommunizieren, richten sich Bürger*innen, Unternehmen und Organisationen verschiedene Postfächer ein. Denn verschiedene Verwaltungen unterhalten jeweils eigene Kommunikationslösungen.

Die stehen derzeit für sich und sind kaum interoperabel. Denn ob Gerichte, Finanzämter, Gesundheitsämter oder Ausländerbehörden: Alle haben eine eigene IT und IT-Architektur, historisch gewachsen und mit unterschiedlichen technischen und rechtlichen Voraussetzungen.

Das soll sich ändern. Bund und Länder wollen eine „moderne und vertrauenswürdige Kommunikationsinfrastruktur im öffentlichen Sektor, die die bislang isolierten Lösungen schrittweise bündelt und die Interoperabilität stärkt“, so André Göbel, Präsident der Föderalen IT-Kooperation (FITKO).

Die Basiskomponente für die Kommunikation ist Teil der geplanten Deutschland-Architektur (PDF), mit der das Bund-Länder-Gremium IT-Planungsrat neuen Schwung in die Digitalisierung der öffentlichen Verwaltung bringen will. Neben der Basiskomponente Postfächer stehen unter anderem auch Komponenten für Bezahlvorgänge und Authentifizierung an.

Vorteile einer gemeinsamen Infrastruktur

Der Flickenteppich aus verschiedenen Postfach-Lösungen sei sowohl für Bürger*innen und Unternehmen als auch für die Verwaltung selbst unübersichtlich, sagt Dominik Braun gegenüber netzpolitik.org. Er ist Referent für IT-Architekturmanagement bei der FITKO und arbeitet mit Vertreter*innen der Länder Hamburg und Sachsen-Anhalt an der Zielarchitektur für Postfach- und Kommunikationslösungen, kurz ZaPuK.

Das Ziel sei, dass sich die einen besser orientieren können, wo sie welche Post vom Staat bekommen; und die anderen müssten ihre Postfächer nicht getrennt voneinander anbinden und unterschiedliche Schnittstellen, Protokolle und Verschlüsselungsverfahren nutzen.

Das könne finanzielle und personelle Ressourcen einsparen und langfristig auch Vorteile im Bereich IT-Sicherheit bieten. Das sagt Andreas Altmann, Projektmanager beim Ministerium für Infrastruktur und Digitales des Landes Sachsen-Anhalt, und Teil von ZaPuK. Mit einem neuen Beschluss des IT-Planungsrats hat das Team nun das Go für die nächste Phase.

Matrix-Protokoll könnte sich durchsetzen

Die klare Empfehlung der Arbeitsgruppe ist das Matrix-Protokoll. Matrix ist ein Protokoll für die Echtzeitkommunikation, dahinter ein offener Standard für dezentralisierte und interoperable Kommunikation. Damit können Nutzer*innen chatten oder telefonieren, ohne von einem spezifischen Diensteanbieter abhängig zu sein.

Matrix soll den Standard Online Services Computer Interface, kurz OSCI, ablösen, so Altmann gegenüber netzpolitik.org. OSCI gibt es seit dem Jahr 2000. Die „Protokollstandards für den sicheren elektronischen Nachrichtenaustausch über das Internet und andere Netze“ wurden speziell für die öffentliche Verwaltung in Deutschland entwickelt.

Kommunen können entsprechende Standards über das ITZBund beziehen, beispielsweise XMeld für das Ummelden der Wohnungsadresse oder XAusländer für Ausländerbehörden. Laut Bundesmeldedatendigitalisierungs- oder Bundesmeldedatenabruf-Verordnung und Gesetz über das Ausländerzentralregister sind sie sogar dazu verpflichtet, OSCI zu nutzen.

IT-Sicherheit im Vordergrund

Gegenüber Alternativen wie dem international genutzten Matrix-Protokoll wirkt OSCI etwas verstaubt. Derzeit setzt beispielsweise der elektronische Rechtsverkehr für den Transport und die Zwischenspeicherung von Nachrichten auf OSCI auf. Wesentliche Nachteile des Standards: Er sei nicht auf Echtzeitkommunikation ausgelegt und OSCI basiere auf Technologien, die auf dem Markt und in der öffentlichen Verwaltung zunehmend weniger verbreitet sind, so die IT-Architekten von ZaPuK auf OpenCode. Vor allem aber unterstütze die eingesetzte XML-Encryption „keine modernen kryptografischen Anforderungen“.

Zur Ende-zu-Ende-Verschlüsselung empfiehlt die Gruppe die Sicherheitsschicht Messaging Layer Security, kurz MLS. Das sei besonders wichtig, so Dominik Braun gegenüber netzpolitik.org. „Als Bürger will ich nicht, dass jede Behörde nachvollziehen kann, was ich mit einer anderen Behörde kommuniziere.“ Dabei spielten verfassungsrechtliche und Privatsphäreaspekte eine Rolle. „Einzelne Behörden sollen über mich nicht Informationen bei sich bündeln können.“

In Sachen IT-Sicherheit sei laut Braun zudem eine Zero-Trust-Betriebsumgebung geplant. Das entspricht auch der Föderalen Digitalstrategie des IT-Planungsrats (PDF). Danach soll jede technische Instanz „nur die minimalen, absolut notwendigen Rechte bekommen“, um bei einem Angriff die Risiken eines Datenabflusses zu reduzieren.

Eine Lösung für alles wäre schön

Ideal wäre: Bürger*innen, Unternehmen, Organisationen und Behörden nutzen eine Postfach- und Kommunikations-Lösung für alles, so Braun. Daher ist die Empfehlung „die Frontends der bestehenden Lösungen wie MeinJustizpostfach, BundID und OZG-PLUS-Konto in einen Client zusammenzuziehen, der als ein Produkt weiterentwickelt wird“.

Ob es dazu kommt, hänge aber von weiteren Entscheidungen ab, zum Beispiel davon, ob es ein zentrales Verwaltungsportal geben soll. Technisch seien verschiedene Anwendungen denkbar.

Ein paar Designziele stehen jedoch fest: Ende-zu-Ende-Verschlüsselung, Echtzeitverhalten, Mobilfähigkeit und Standards aus offenen und wachsenden Ökosystemen wie Matrix. Außerdem ein Anspruch und rechtliche Vorgabe: Die Kommunikation muss bidirektional verlaufen können – „alles von der Zustellung von Bescheiden bis zu Rückfragen an Behörden über Chat“.

Wichtig sei, dass es im Backend ein koordiniertes einheitliches Produktmanagement gibt, so Braun.

Eine lange Liste von Anforderungen

Das ZaPuK-Team nahm im September seine Arbeit auf. Seither „haben wir alle Postfächer beleuchtet: elektronisches Gerichts- und Verwaltungspostfach, Telematik-Infrastruktur aus dem öffentlichen Gesundheitswesen, zentrales Bürgerkonto, OZG-Plus, De-Mail. Dabei haben wir rund 900 Anforderungen ermittelt und auf 160 konsolidiert“, so Andreas Altmann gegenüber netzpolitik.org. Eine entsprechende Liste ist auf OpenCode öffentlich einsehbar wie auch eine weitere Dokumentation des Vorhabens.

Dort können Interessierte technische Überlegungen des Teams nachvollziehen, bewerten, kommentieren und diskutieren. „Wir sind da für jede Meinung, für jeden konstruktiven Beitrag echt dankbar“, so Altmann.

Teil der Auswertung waren zudem Best-Practice-Beispiele, Dokumente und Interviews mit den Betreibern der bestehenden Postfach-Lösungen. Was sind Gemeinsamkeiten, wo unterscheiden sich die Ansprüche? Organisationskonten müssen andere Anforderungen erfüllen als Privatkonten. „Zeitstempel sind zum Beispiel für den elektronischen Rechtsverkehr wichtig, aber nicht per se in anderen Verwaltungskontexten“, erklärt Braun.

Auch gut 60 Gesetze und Verordnungen bezog das Team für die Zielarchitektur ein, so Altmann, vor allem die Datenschutzgrundverordnung, die Single-Digital-Gateway-Verordnung, eIDAS unter anderem. Die Idee sei, dass die Anforderungen langfristig als MUSS zu lesen sind, erklärt Braun. Für die nächste Phase sei ein juristisches Gutachten zur Frage angedacht, was möglich ist und was verändert werden müsste.

Viele Akteure, viele Gespräche

Dafür hat das Team Zeit bis zur 50. Sitzung des IT-Planungsrats im Sommer 2026. Und auch weitere Fragen soll es bis dahin klären: Wie wird das Vorhaben finanziert? Welche Standardisierungsbedarfe gibt es? Wie wird der Weg für bestehende Lösungen in die gemeinsame Infrastruktur geebnet?

Es gebe riesige IT-Infrastrukturen, so Braun. Da könne man nicht einfach unbedarft an den einzelnen Schrauben drehen. „Unser Ansatz ist maximal konstruktiv. In vielen Domänen funktioniert schon vieles sehr gut.“

Jetzt gelte es, mit den Verantwortlichen der jeweiligen Lösungen zu klären, auszuhandeln, teilweise neu zu erarbeiten, was realistisch möglich sei. Neben vielen anderen sind Gesprächspartner die Betreiber von KONSENS-Verbund (koordinierte neue Softwareentwicklung der Steuerverwaltung), Unternehmenskonto, BundID-Konto, Telematik sowie elektronischem Gerichts- und Verwaltungspostfach.

Braun ist zuversichtlich: „Wir haben mitgedacht, dass die verschiedenen Verwaltungsbereiche ihre eigene Backend-Infrastruktur betreiben können, wenn sie das wollen. Sofern Verwaltungen die Anschlussbedingungen an diese Kommunikations-Infrastruktur erfüllen, kann Behörde X im Land Y sich theoretisch dazu entscheiden, die selbst zu implementieren und sich damit an die Architektur anzuschließen.“

Die Verantwortung für den Betrieb hätten Verwaltungen demnach im eigenen Haus. Für diese dezentral organisierte Infrastruktur seien Matrix, aber auch Mastodon Vorbilder gewesen. Die Hypothese sei: „Wenn jeder für das eigene Backend verantwortlich ist, ist es auch einfacher, diversen rechtlichen Auflagen gerecht zu werden.“



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Überwachungskameras aus China: Kanada ordnet Schließung von Hikvision Canada an


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Kanadas Regierung hat dem dortigen Ableger von Hikvision untersagt, Geschäfte in Kanada zu machen und die Schließung verfügt. Das hat Industrieministerin Mélanie Joly bekannt gegeben. Hintergrund sei eine Überprüfung unter Gesichtspunkten der nationalen Sicherheit. Auf deren Grundlage sei Kanadas Regierung zu dem Schluss gekommen, dass eine Fortführung der Geschäftstätigkeit von Hikvision Canada schädlich wäre. Die Prüfung habe sich aber nur auf den kanadischen Ableger des chinesischen Herstellers von Überwachungskameras bezogen, andere seien nicht betroffen. Hikvision-Produkte aus dem Ausland könnten also weiter gekauft werden – auch wenn davon abgeraten wird. Nur staatlichen Stellen ist das jetzt untersagt.

Kritik von Hikvision

Welche Gefahren für die nationale Sicherheit genau Kanadas Regierung durch die Produkte von Hikvision Canada sieht, geht aus der Mitteilung nicht hervor. Der betroffene Konzern hat die Entscheidung bereits harsch kritisiert. Ihr fehle es an einer Grundlage, einem fairen Prozess und Transparenz. Stattdessen scheine sie auf ungerechtfertigten Vorurteilen gegenüber dem chinesischen Heimatland des Mutterkonzerns zu beruhen. Man fordere die Regierung in Ottawa dringend dazu auf, Entscheidungen auf der Basis von Fakten zu treffen. Die Entscheidung bringe die Menschen und Firmen in Kanada um den Zugang zu bezahlbaren und technisch hochwertigen Überwachungskameras.

Hikvision steht schon längerem im Fokus westlicher Regierungen. In den USA ist die Einfuhr und der Verkauf von Hikvision-Produkten seit Jahren untersagt. In Großbritannien dürfen Geräte des chinesischen Herstellers nicht in bestimmten staatlichen Gebäuden benutzt werden. Hikvision wird unter anderem vorgeworfen, an der Unterdrückung der muslimischen Minderheit der Uiguren in der Provinz Xinjiang beteiligt zu sein. Ende 2023 sorgten Berichte für Aufsehen, laut denen das Unternehmen an einer Hochschule in China Überwachungstechnik installiert haben soll, die Verantwortliche automatisch alarmieren sollte, wenn Studierende beim Fasten ertappt werden.


(mho)



Source link

Weiterlesen

Datenschutz & Sicherheit

Bits & Böses: „Der Kampf gegen Hass ist wie ein Kampf gegen Windmühlen“


„Politikerinnen und Politiker, aber auch alle anderen Menschen, die sich politisch aktiv einbringen, sind kein Freiwild“, sagt die CDU-Politikerin Yvonne Magwas. Ihr eindringlicher Appell spiegelt die Erfahrungen wider, von denen Betroffene im heise-Podcast „Bits & Böses“ berichten. Digitale Gewalt in Form von Hasskommentaren oder KI-generierten Fälschungen, sogenannten Deepfakes, trifft vor allem Frauen und Menschen, die in der Öffentlichkeit stehen. Die Schauspielerin Collien Ulmen-Fernandes, der c’t-Journalist Jan-Keno Janssen und die Politikerin Yvonne Magwas erzählen, wie sie mit Anfeindungen umgehen und warum der Kampf dagegen oft aussichtslos erscheint.

Collien Ulmen-Fernandes kämpft seit Jahren gegen gefälschte Nacktbilder von sich im Netz. Obwohl sie sich bewusst nie für Magazine wie den Playboy auszog, tauchen immer wieder KI-generierte Bilder auf, die genau danach aussehen. Mit anwaltlicher Hilfe ließ sie die Bilder entfernen, doch immer wieder entdeckt sie neue pornografische Deepfakes von sich im Netz. „Es fühlt sich ein bisschen so an wie ein Kampf gegen Windmühlen, weil mich das natürlich auch viel Geld gekostet hat“, erklärt sie. Die psychische Belastung ist enorm. Judith Strieder, Psychologin bei der Hilfsorganisation HateAid, zieht Parallelen zu realem Missbrauch: „Viele betroffene Personen fühlen sich ohnmächtig, fühlen sich hilflos, haben große Schuld- und Schamgefühle.“ Die Folgen reichen von Schlafstörungen bis hin zu Suizidalität.

„Man muss sich ein dickeres Fell zulegen“

Auch der c’t-Journalist und YouTuber Jan-Keno Janssen von „c’t 3003“ kennt den Hass im Netz. Seit er Videos produziert, wird er nicht nur für seine Arbeit, sondern auch für sein Äußeres angegriffen. Den einen ist er mit Brille und Vollbart zu sehr Hipster, den anderen ist er nicht männlich genug, wenn er mal ein rosa Shirt trägt. Seine Strategie: Persönliche Angriffe konsequent löschen. „Sobald da ein Kommentar ist, der uns irgendwie emotional anfasst, in irgendeiner Form, dann hat jeder absolut hundertprozentig das Recht, diesen Kommentar zu löschen“, sagt Janssen. Jede und jeder habe das Recht, seine Arbeit zu kritisieren, aber Kritik an seiner Person und seinem Aussehen findet er deplatziert. Den oft gehörten Ratschlag, sich ein „dickeres Fell“ zuzulegen, hält der Redakteur für problematisch, besonders wenn er von Menschen kommt, die solche Erfahrungen nie machen mussten. Aufgeben kommt für ihn nicht infrage, denn das würde bedeuten, den Pöblern das Feld zu überlassen und damit auch die Vielfalt im Netz zu schwächen.

Wenn der Hass an die Grenzen geht

Die CDU-Politikerin Yvonne Magwas hingegen hat inzwischen ihre Konsequenzen aus den ständigen Anfeindungen im Netz gezogen. Vor allem seit sie Vizepräsidentin des Bundestages war, nahm der Hass massiv zu. Nach Ordnungsrufen gegen AfD-Abgeordnete eskalierte die Situation immer wieder. Sie wurde als „bemerkenswert dumme Vizepräsidentin“ beschimpft und erhielt Morddrohungen wie „Gott segne den Henker dieser Völkermörderin“. Viele dieser Fälle hat sie zwar angezeigt, aber „ich habe leider die Erfahrung gemacht, dass Anzeigen oftmals sehr lange dauern“, so Magwas. Bis zu einem Dreivierteljahr musste sie manchmal auf ein Aktenzeichen warten. Und dann wurden die meisten Ermittlungen auch nach kurzer Zeit wieder eingestellt. Der unaufhörliche Hass, der auch in die analoge Welt überschwappte, zermürbte sie so sehr, dass sie im Juli 2024 bekannt gab, bei der nächsten Bundestagswahl nicht mehr zu kandidieren. Ihr Fazit ist eine Warnung: „Wenn Menschen nicht mehr mitmachen, weil sie Hass und Hetze ausgesetzt sind, egal ob im Netz oder analog, dann ist unsere Demokratie gefährdet.“

„Bits & Böses“ erscheint alle zwei Wochen überall, wo es Podcasts gibt. Wenn Sie keine Folge verpassen wollen, können Sie „Bits & Böses“ hier abonnieren.


(igr)



Source link

Weiterlesen

Datenschutz & Sicherheit

Let’s Encrypt: Nachrichten zu abgelaufenen Zertifikaten eingestellt


Bereits Anfang des Jahres hatte Let’s Encrypt angekündigt, keine Benachrichtigungsmails mehr verschicken zu wollen, wenn alte Zertifikate ablaufen. Nun erinnert das Projekt daran, dass es die Funktion zum 4. Juni eingestellt hat.

Das schreiben Let’s-Encrypt-Beteiligte in einem News-Beitrag. Dort erörtern sie nochmals die Gründe, weshalb sie diesen Dienst nicht mehr anbieten. In den vergangenen zehn Jahren habe demnach eine zunehmende Zahl an Nutzern verlässliche Automatisierung für die Zertifikatserneuerung eingerichtet. Das Bereitstellen von Auslauf-Benachrichtigungen bedeute, dass Let’s Encrypt Millionen an E-Mail-Adressen in Verbindung mit den Ausgabedaten vorhalten müssten; da die Organisation Privatsphäre wichtig nehme, sei ihr das Auflösen dieser Anforderung wichtig.

Zudem koste das Ausliefern von Zertifikatsablaufmails tausende US-Dollar jedes Jahr. Geld, das Let’s Encrypt lieber für andere Aspekte der Infrastruktur aufwenden würde. Als letztes Argument nennt Let’s Encrypt, dass der Mailversand der IT-Infrastruktur zusätzliche Komplexität hinzufüge, was Zeit und Aufmerksamkeit für die Verwaltung beanspruche und die Wahrscheinlichkeit erhöhe, dass Fehler passieren. Auf lange Sicht müsse die Organisation die allgemeine Komplexität einhegen. Insbesondere mit Hinblick auf das Hinzufügen neuer Dienst-Komponenten müssten daher alte Systemkomponenten gehen, die sich nicht länger rechtfertigen lassen.

Alternative Angebote nutzen

Let’s Encrypt weist zudem wieder darauf hin, dass es Drittanbieterdienste gebe, die die Organisation empfehle. Etwa Red Sift Certificates Lite, ehemals unter dem Namen Hardenize bekannt, liefere einen Überwachungsdienst, der kostenlos Ablaufmails für bis zu 250 Zertifikate umfasse.

Der Zertifikatsdienst Let’s Encrpyt hat nun die E-Mai-Adressen gelöscht, die in der CA-Datenbank (Certificate Authority) in Verbindung mit den Ausgabe-Daten stehen. E-Mail-Adressen, die zum Abonnieren von Mailinglisten und anderen Systemen dienen, sind davon ausgenommen. Künftig speichert Let’s Encrypt E-Mail-Adressen nicht mehr, die über die ACME API eintreffen; stattdessen landen die auf der Internet Security Research Group (ISRG)-Mailingliste, ohne mit etwaigen Kontodaten verknüpft zu sein. Sofern die E-Mail-Adresse bislang unbekannt ist, versendet der Dienst eine Onboarding-Mail. ISRG ist die Non-Profit-Mutter-Organisation von Let’s Encrypt.

Angekündigt hatte das Projekt bereits im Februar dieses Jahres, die Funktion zum 4. Juni nicht mehr bereitstellen zu wollen. Nutzerinnen und Nutzer des Dienstes wurden darüber unter anderem mittels E-Mail informiert.


(dmk)



Source link

Weiterlesen

Beliebt