Jahresbericht 2006

TNr. 19: Verzeichnisdienst und elektronische Signatur in der Verwaltung

Sicherheitsschloss

Die Verwaltung hat Ministerratsbeschlüsse und entsprechende Handlungszwänge zum Aufbau der Basiskomponenten Zentraler Verzeichnisdienst und elektronische Signatur initiiert, ohne zuvor den Bedarf und die Wirtschaftlichkeit zu untersuchen. Die elektronische Signatur ist kaum im praktischen Einsatz.

19.1    Allgemeines

Die elektronische Signatur, seit 2001 durch Bundesrecht der eigenhändigen Unterschrift gleichgestellt, ist eine der wesentlichen Voraussetzungen für die elektronische, d.h. papierlose Erledigung von Geschäftsprozessen. Mit ihr sollen die Urheberschaft des Autors und die fehlerfreie Übermittlung der Information gewährleistet werden. Technisch wird die elektronische Signatur durch Zertifikate realisiert, deren effiziente Verwaltung eine Public Key Infrastruktur (PKI) voraussetzt. Wesentlicher Bestandteil der PKI ist ein Verzeichnisdienst, in dem die öffentlichen Zertifikate behördenübergreifend gespeichert und abgerufen werden können.

19.2    Public Key Infrastruktur


19.2.1    Ermittlung des Bedarfs

Nach Inkrafttreten des Signaturgesetzes stellte das Staatsministerium in einer Vorlage zur Ministerratssitzung vom 9. Juli 2002 die rechtlichen Vorgaben (einfache, fortgeschrittene, qualifizierte Signaturen und Verschlüsselungsverfahren) sowie die Einsatzmöglichkeiten in der bayerischen Verwaltung dar. Die elektronische Signatur wurde dabei als elementare Voraussetzung der elektronischen Verwaltungstätigkeit angesehen.

Ohne ausreichende Prüfung des Bedarfs in der staatlichen Verwaltung ging das Staatsministerium von dem Ziel einer flächendeckenden Ausstattung von 100 000 IT-Arbeitsplätzen aus (Kosten von 21,8 Mio €). Es hat dabei darauf hingewiesen, dass „die flächendeckende Einführung einer Signaturlösung gegenwärtig technisch riskant“ sei und „die Gefahr von Fehlinvestitionen“ in sich berge.    

Der Ministerrat beschloss daraufhin am 9. Juli 2002 ein Maßnahmenpaket zur Stärkung von eGovernment. Die elektronische Signatur einschließlich entsprechender Verschlüsselungsverfahren sollte spätestens bis 2005 flächendeckend in der Staatsverwaltung eingeführt werden. Im Vollzug dieses Beschlusses wies das Staatsministerium in einem Schreiben vom 7. April 2003 alle Behörden des Freistaats an, flächendeckend die elektronische Signatur und ein Verschlüsselungsverfahren schrittweise einzuführen. Die Allgemeine Geschäftsordnung für die Behörden des Freistaats (AGO) war bereits zum 1. Januar 2001 dahin gehend geändert worden, dass elektronische Kommunikation Vorrang vor der Schriftform habe.   

Allerdings wurden keine ausreichenden Überlegungen angestellt, wie mit der beim Landesamt für Statistik und Datenverarbeitung (LfStaD) vorgesehenen PKI die erwartete Zahl von Zertifikaten realisiert werden kann. Die Nachfrage der Behörden nach einer Ausstattung mit Zertifikaten war dann aber wegen der damit verbundenen technischen Probleme der Installation, die arbeitsaufwendig und kompliziert war, äußerst gering.   

Das Staatsministerium wurde sich erst im Laufe des Jahres 2003 der Probleme bewusst, die bei einer größeren Nachfrage nach Zertifikaten auftreten werden. Zwei daraufhin in Auftrag gegebene Gutachten kamen zum Ergebnis, dass die vorhandene PKI ineffizient ist. Es wurde außerdem ein geringer Nutzungsgrad von 2 000 Zertifikaten festgestellt. Künftig sei von „deutlich mehr als 10 000 Zertifikaten auszugehen“. Daher sei die bestehende PKI „mit vertretbarem personellen Einsatz nicht sicher betreibbar“. Die bestehende PKI müsse deshalb neu konzipiert werden.   

Im Jahr 2005 wurde in der IuK-Landesstrategie das ursprüngliche Ziel einer flächendeckenden Ausstattung der Staatsverwaltung korrigiert. Nunmehr sollten fortgeschrittene Signaturen nur noch „im erforderlichen Umfang“ bereitgestellt werden, die Zentrale IuK-Leitstelle (ZIL) geht dabei von 30 000 Zertifikaten aus. Als Zieltermin für Aufbau und Betrieb einer landeseigenen PKI wurde in der IuK-Landesstrategie das Jahr 2006 genannt.  

Am 5. Oktober 2005 forderte das LfStaD im Rahmen eines EU-weiten Verhandlungsverfahrens auf, Angebote für eine „PKI-Lösung für die Bayerische Verwaltung“ abzugeben. In den Rahmenbedingungen wurde davon ausgegangen, dass durch die PKI für anfänglich 30 000 und langfristig 100 000 Beschäftigte jeweils eigenständige Schlüsselpaare für Verschlüsselung, Signatur und Authentisierung erzeugt und verwaltet werden müssen. Dies bedeutet, dass 90 000 bis 300 000 gültige Zertifikate im Umlauf sein werden und ‑ bei einer angenommenen Gültigkeit von drei Jahren ‑ jährlich bis zu 100 000 dieser Zertifikate erneuert werden müssen. Im Februar 2006 wurde der Zuschlag erteilt. Für die Realisierung der neuen PKI entstehen allein beim LfStaD Kosten von über 900 000 €, die Gesamtkosten in der Staatsverwaltung wurden nicht ermittelt.   

19.2.2    Auffassung des ORH

Die Frage, wie viele Zertifikate überhaupt notwendig sind, wurde immer noch nicht ausreichend untersucht. Der Bedarf an Zertifikaten hängt von der weiteren Automatisierung von Verwaltungsverfahren ab.2 Die ursprüngliche Annahme für den Aufbau einer verwaltungseigenen PKI, nämlich mit Bürgerinnen und Bürgern sicher kommunizieren zu können, hat sich als unzutreffend herausgestellt. Soweit das Staatsministerium dabei auf das IT-gestützte Haushaltsverfahren 3 sowie die Online-Beantragung von Beihilfe und Reisekosten verweist, handelt es sich um verwaltungsinterne Verfahren, bei denen eine elektronische Signatur jedenfalls aus Rechtsgründen nicht zwingend notwendig erscheint.   

Der Ansatz, von einer flächendeckenden Ausstattung mit Zertifikaten (100 000 Beschäftigte) auszugehen, entsprach nicht den tatsächlichen Erfordernissen. Eine sinnvollere Vorgehensweise wäre gewesen, im Rahmen eines Pilotprojekts Erfahrungen mit Zertifikatserstellung, ‑verteilung und ‑einsatz zu sammeln und so Problembewusstsein und Fachkompetenz aufzubauen.   

Bei Ausschreibung der neuen Verwaltungs-PKI hätte deshalb nicht von einer langfristig flächendeckenden Ausstattung mit Zertifikaten ausgegangen werden dürfen. Diese Zielsetzung könnte bewirken, dass erheblich höhere Kosten entstehen.   

Eine Wirtschaftlichkeitsbetrachtung zum Einsatz dieser Basiskomponente wurde bisher nicht angestellt.   

19.3    Zentraler Verzeichnisdienst

Für die Realisierung eines Zentralen Verzeichnisdienstes (ZVD) wird in der IuK-Landesstrategie als Zieltermin das Jahr 2006 genannt und die Dringlichkeit als hoch eingestuft.4    

Derzeit ist ein ausschließlich auf Microsoft-Benutzer abgestellter Verzeichnisdienst (Active Directory) im Einsatz, ohne dass seine Nutzung bisher die angestrebte Bedeutung erlangt hätte. Angesichts des raschen technologischen Wandels in der IT sollte ein ZVD daher auch erst dann realisiert werden, wenn die Notwendigkeit offensichtlich ist. Jede Übergangslösung wäre mit neuem Aufwand verbunden, ohne möglicherweise langfristig tragfähig zu sein. Der ORH hält einen Ausbau über den gegenwärtigen Stand hinaus aus heutiger Sicht nur dann für notwendig, wenn die PKI in größerem Umfang genutzt wird.   

Bei der Realisierung der Basiskomponenten muss darauf geachtet werden, dass die Unabhängigkeit der Verwaltung von bestimmten Produkten in jedem Fall gewährleistet ist. Insbesondere kommt es entscheidend darauf an, dass die Verwaltung nicht dazu gezwungen ist, ausschließlich Microsoft-Produkte einzusetzen.   

Darüber hinaus hält es der ORH auf jeden Fall für notwendig, vor der Realisierung eines ZVD eine Wirtschaftlichkeitsbetrachtung zu erstellen.   

19.4    Stellungnahme der Verwaltung

Das federführende Staatsministerium weist darauf hin, dass es sich sowohl beim Aufbau einer PKI mit Einführung von Signatur-, Verschlüsselungs- und Authentifizierungszertifikaten als auch beim Aufbau eines ZVD um hochkomplexe Vorhaben handle, mit denen es damals Neuland betreten habe. Man sei weitgehend auf Prognosen und Annahmen angewiesen gewesen.    

Das Staatsministerium teilt die Auffassung des ORH, dass vor Realisierung eines ZVD eine geeignete Wirtschaftlichkeitsbetrachtung durchzuführen sei. Das LfStaD sei bereits mit der Durchführung der geeigneten Maßnahmen beauftragt.   

Die Feststellungen des ORH, das Staatsministerium habe ohne sachliche Notwendigkeit und auf einer unzureichenden Grundlage Entscheidungen des Ministerrats herbeigeführt, würden als sachlich nicht begründet angesehen. Das Signaturkonzept und der darauf beruhende Beschluss des Ministerrats würden sich u.a. auf eine langjährige Forderung des Landesbeauftragten für den Datenschutz stützen, flächendeckend die elektronische Kommunikation sowohl über das Internet als auch über das Behördennetz zu verschlüsseln. Seit dem 1. Januar 2001 gelte entsprechend der AGO außerdem der Vorrang der elektronischen Vorgangsbearbeitung in Verbindung mit geeigneten Sicherheitsmechanismen.   

Das Staatsministerium habe den Bedarf an elektronischen Signaturen in der staatlichen Verwaltung sehr wohl konkret geprüft. Bei der Festlegung des Ausstattungsumfangs sei eine Orientierung an den fachlichen Anforderungen erfolgt. Vordringlich sei gewesen, einen umfassenden Grundschutz für die rasch zunehmende verwaltungsinterne elektronische Kommunikation sicherzustellen.   

19.5    Bewertung durch den ORH

Die Forderung des Landesbeauftragten für den Datenschutz nach einer sicheren elektronischen Kommunikation hätte auch mit deutlich weniger aufwendigen technischen Möglichkeiten realisiert werden können, die nur einen Bruchteil an Zertifikaten erfordern würden (virtuelle Poststelle 5 und Leitungsverschlüsselung im Bayerischen Behördennetz). Die Verwaltung hat die notwendige Fachkompetenz nicht in ausreichendem Umfang aufgebaut. Ohne gesichertes Wissen um die technischen und organisatorischen Probleme wurden Handlungszwänge von der Verwaltung selbst geschaffen. Hier ist insbesondere die AGO mit ihrer Festlegung des Vorrangs der elektronischen Vorgangsbearbeitung und den dann dazu nötigen Sicherheitsmechanismen zu nennen. Ohne belastbare Feststellung des Bedarfs wurden Beschlüsse des Ministerrats herbeigeführt.    

Eine aussagekräftige Wirtschaftlichkeitsbetrachtung wurde erst aufgrund der Prüfung des ORH veranlasst. Ihr Ergebnis wurde dem ORH bisher nicht zugänglich gemacht.


1) IuK-Landesstrategie für die bayerische Staatsverwaltung vom 14. Oktober 2005, S. 43 ff

2) Gesetzesentwurf der Staatsregierung eines Zweiten Gesetzes zur Modernisierung der Verwaltung (2. VerwModG) vom 26. April 2005

3) vgl. Projekt "Integriertes Haushaltsverfahren" (IHV)

4) IuK-Landesstrategie für die bayerische Staatsverwaltung vom 14. Oktober 2005, S. 42 f.