BMI veröffentlicht Security Scanner als Open Source

Durch die Veröffentlichung eines Security Scanners als Open-Source-Software möchte das Bundesinnenministerium (BMI) Dienstleistungen nach dem Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz, OZG) in Zukunft sicherer machen.

Mit dem „Best Practice Scanner“ zielt das BMI auch darauf ab, für das Thema Sicherheit in der Verwaltung insgesamt die Werbetrommel zu rühren, etwa durch „Self Checks“ der teilnehmenden Behörden.

Hervorgegangen ist der Scanner aus der verwaltungsinternen „OZG-Security-Challenge 2023“ für OZG-Dienstverantwortliche. Im Mittelpunkt stand dabei ein Schnelltest, der den Umsetzungsgrad von sechs ausgewählten IT-Sicherheitsmaßnahmen auf den eingegebenen Webseiten analysierte.

Der Test sollte Potenziale zur Stärkung der IT-Sicherheit aufzeigen und bot Hilfestellungen zur Umsetzung an. Leicht zugängliche Angebote sowie begleitende Workshops und Sprechstunden zur Implementierung von sechs besonders relevanten IT-Sicherheitsmaßnahmen waren ebenfalls Schwerpunkt der Challenge, die die IT-Sicherheit der OZG-Dienste nachhaltig verbessern sollen.

Der Schnelltest kann einen vollständigen Web-Check und tiefgründige Audits nicht ersetzen, aber gut als erster Indikator für leicht zu lösende Themen dienen.

OZG-Scanner: https://gitlab.opencode.de/bmi/ozg-rahmenarchitektur/ozgsec/ozgsec-best-practice-scanner

Mehr zu der Challenge: https://www.digitale-verwaltung.de/SharedDocs/kurzmeldungen/Webs/DV/DE/2024/05_ozg_security_challenge.html

Zugelassene Sicherheit für die Zulassung

Die internetbasierte Fahrzeugzulassung (i-Kfz) wird häufig als Erstes genannt, wenn es um E-Government-Projekte in Kreisen und Kommunen geht. Das ist auch kein Wunder: Nach Vorprojekten ging bereits 2015 die erste Stufe von i-Kfz in den Produktivbetrieb. Da in diesem Jahr die Stufe 4 startet, wurden nun auch die Mindestsicherheitsanforderungen (MSA) auf die Version 1.5 aktualisiert.

Diese Mindestsicherheitsanforderungen werden vom Kraftfahrt-Bundesamt (KBA) definiert, da aus der zentralen Webanwendung im Vorprojekt nach dem „Hamburger Kompromiss“ viele dezentrale Portale wurden, die alle sehr eng mit dem Kraftfahrt-Bundesamt (KBA) kommunizieren müssen. Die Anforderungen gelten aber nicht nur für die dezentralen Portale, die häufig von kommunalen Rechenzentren betrieben werden, sondern auch für die Fachverfahren in den Zulassungsstellen vor Ort. Unsere Prüfer sehen die Herausforderungen, vor denen insbesondere kleine Kreis- und Kommunalverwaltungen stehen, in den ebenfalls geforderten regelmäßigen Audits und Penetrationstests.

Mit den neuen MSA wurden nicht nur einige konkrete Anforderungen für das Verfahren selbst geschärft und weitere zulässige Anbindungsvarianten definiert. Es wird auch verstärkt IT-Grundschutz gefordert. Auf eine IS-Kurzrevision kann jetzt nur noch verzichtet werden, wenn die Verfahren Teil eines nach IT-Grundschutz zertifizierten Verbundes sind. Nach unserer Erfahrung ist das nur bei wenigen Kreisen und Kommunen der Fall. Die i-Kfz-Audits dürfen jetzt nur noch Grundschutzauditoren durchführen.

Mit dem Onlinezugangsgesetz (OZG) kommen bereits die nächsten Sicherheitsanforderungen auf die Verwaltungen zu. In der IT-Sicherheitsverordnung Portalverbund (ITSiV-PV) werden ähnliche Verpflichtungen zu Sicherheitskonzepten nach Grundschutz und regelmäßigen Pentests für Systeme des Bundes und der Länder definiert. Aber auch für die mittelbar angebundenen Systeme wird zumindest noch ein Sicherheitskonzept gefordert, das nicht in allen Verwaltungen bereits in der Schublade liegt.