Block­chain-Tech­no­lo­gie in der öf­fent­li­chen Ver­wal­tung

Posted by Julia Werner  • 

Digitale Transformation

Wie können und müssen Unternehmen auf die Digitalisierung reagieren? Wie entwickelt man sich zu einem „digitalen Unternehmen“ – und was bedeutet das eigentlich? Dieser Arbeitskreis diskutiert über die branchenübergreifenden Herausforderungen der Digitalisierung. Hierzu zählen neue Anforderungen an die Unternehmenskultur, den Aufbau von agilen Organisationsstrukturen und die Führung von Mitarbeitern. Um von der Digitalisierung nachhaltig zu profitieren, müssen Unternehmen aus verschiedenen Branchen und unabhängig ihrer Größe voneinander lernen. Genau für diesen Austausch bietet der Arbeitskreis Digitale Transformation eine Expertenplattform.

Innovation in Unternehmen wird sehr unterschiedlich organisiert. Wie kann ich Entrepreneurship im Unternehmen verankern? Wie funktioniert die Zusammenarbeit mit Startups? Antworten auf diese Fragen diskutieren wir in diesem Arbeitskreis. Wir sprechen offen über bestehende Digitalstrategien, deren nachhaltige Umsetzung und auch über die Gründe von wieder eingestellten Vorhaben. Best-Practice Beispiele werden in Leitfäden festgehalten, um somit sich digitalisierenden Unternehmen Orientierung zu geben.

Ziele & Aktivitäten

Ziele:

Impulse für die Mitglieder zu den organisatorischen, strategischen und kulturellen Herausforderungen der Digitalisierung generieren

Förderung des branchenübergreifenden Austauschs zur Digitalisierung

Erarbeitung von Leitfäden

Termine

29. Oktober 2020, Sitzung des Arbeitskreises, Websession

Thema: „Machen ist wie wollen, nur krasser – wie werden Digitalisierungsprojekte nachhaltig implementiert?“

Thema: „Machen ist wie wollen, nur krasser – wie werden Digitalisierungsprojekte nachhaltig implementiert?“ 10. Dezember 2020, Sitzung des Arbeitskreises, Websession

Thema: "The Digital Customer – welchen Einfluss hat verändertes Kundenverhalten auf meine Digitalstrategie?"

Thema: "The Digital Customer – welchen Einfluss hat verändertes Kundenverhalten auf meine Digitalstrategie?" 25. Februar 2021, Sitzung des Arbeitskreises, Websession

Thema: Wie verankere ich Entrepreneurship in meinem Unternehmen? Muss jeder Mitarbeiter wie ein Unternehmer denken?

Thema: Wie verankere ich Entrepreneurship in meinem Unternehmen? Muss jeder Mitarbeiter wie ein Unternehmer denken? 20. September 2021, Gemeinsame Sitzung mit dem AK UUX, Websession

Thema: Menschzentrierte Digitale Transformation

Themen

Organisationsstrukturen für die Herausforderungen der Digitalisierung

Unternehmenskultur im Wandel

Intrapreneurship, Entrepreneurship, Innovation Labs

Digitalstrategien

Digitalisierung von bestehenden und Entwicklung von nutzerzentrierten Geschäftsmodellen

Weitere Informationen

Webanwendungen

Webanwendungen

Einführung

Webanwendungen sind über den Browser aufrufbare Dienste, die sowohl im B2B - als auch im B2C -Bereich Anwendung finden. Neben Webanwendungen, die zum Beispiel nur firmenintern über das Intranet bereitgestellt werden, finden sich im Internet häufig auch kostenpflichtige Anwendungen, deren Verfügbarkeit für den Anbieter von existenzieller Bedeutung ist. Anbieter, die diese kostenpflichtigen Dienste bereitstellen, müssen umfassende Sicherheitsmaßnahmen ergreifen, um das Risiko eines Umsatzausfalls zu minimieren. Gleichzeitig verarbeiten und speichern viele Webanwendungen sensible Daten von Nutzern oder ganzen Institutionen. Teilweise handelt es sich bei Web Applikationen auch um sicherheitskritische Schnittstellen vom Internet in Unternehmensnetzwerke.

Aufgrund dessen sind Webanwendungen ein attraktives Ziel für Cyber-Kriminelle. Immer wieder kommt es zu Angriffen, bei denen es den Tätern gelingt, Informationen abzugreifen, Anbieter durch DDoS-Attacken zu erpressen oder durch Kompromittierung der Anwendung in das Unternehmensnetz einzudringen. Die Angreifer arbeiten dabei mit verschiedenen Methoden. Das Open Web Application Security Project analysiert regelmäßig die Angriffsarten und veröffentlicht die größten Schwachstellen in den OWASP Top 10.

Sicherheitshinweise für Entwickler

Die Sicherheit eines jeden Webangebots resultiert – wie grundsätzlich bei Software – besonders aus der Sorgfalt bei sicherheitsspezifischen Anforderungen im Rahmen der Entwicklung. Hier sind zum einen die Entwickler selbst gefragt, zum anderen sollten Auftraggeber im Rahmen des Projekts besonderen Wert auf die Einhaltung von Sicherheitskriterien legen. Eine Übersicht hat das BSI in zwei Leitfäden zur Entwicklung sicherer Webanwendungen zusammengestellt:

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an Auftraggeber aus der öffentlichen Verwaltung (Zielgruppe öffentliche Verwaltung, viele Aspekte lassen sich jedoch auch auf Unternehmen übertragen)

Projektleiter und Entwickler finden außerdem im Dokument Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices weitere Best Practices.

Auch die Allianz für Cyber-Sicherheit hat zu diesem Thema bereits Empfehlungen veröffentlicht, u.a.:

Entwicklung sicherer Webanwendungen v2.0 für Techniker und

Schützen Sie sich vor professionellen gezielten Cyber-Angriffen v2.0 für Manager.

Neben der Datensicherheit während der Verarbeitung und Speicherung der Daten in der Webanwendung muss auch sichergestellt werden, dass die Daten auf dem Transportweg nicht ausgespäht oder manipuliert werden. Aufgrund dessen empfiehlt sich stets der Einsatz von Transportverschlüsselung. Hinweise liefert zum einen die Cyber-Sicherheits-Veröffentlichung „ TLS/SSL Best Practice v2.0“ sowie die technische Richtlinie des BSI.

Auch Anbieter sind in der Pflicht

Anbieter von Webanwendungen müssen die Sicherheit ihres Dienstes besonders hoch priorisieren, schließlich können Kompromittierungen zu gravierenden Umsatzausfällen und Imageschäden führen.

Die Allianz für Cyber-Sicherheit hat in der Empfehlung „ Bereitstellung von Webangeboten v2.0“ umfangreiche Hinweise und Tipps zum Thema aufgeführt.

Zu den dort genannten Sicherheitsmaßnahmen zählen besonders ein ausreichendes Schwachstellen- bzw. Patchmanagement. Tipps zu diesem Themenbereich gibt die Cyber-Sicherheits-Veröffentlichung „ Management von Schwachstellen und Sicherheitsupdates - Empfehlungen für kleine Unternehmen und Selbstständige v2.0“. In diesem Zusammenhang sind auch die eingesetzten Komponenten regelmäßig auf aktuelle Sicherheitslücken zu prüfen.

Ein umfassendes Maßnahmenpaket finden Interessierte außerdem im IT -Grundschutz des BSI, wo im Baustein APP.3.1 Webanwendungen“ vielfältige Gefahrenquellen erläutert sind.

Zur Überprüfung dieser Maßnahmen bieten sich Webchecks und Penetrationstests an.

Sicherheitsmaßnahmen für Internet Service Provider

Dienstleister, deren Geschäftsmodell darauf beruht, anderen (shared) Server für das Hosting von Webangeboten bereitzustellen, tragen bei der Abwehr von Cyber-Angriffen besonders große Verantwortung – schließlich müssen sie die Dienste und Daten ihrer Kunden schützen. Adäquate Maßnahmen sind daher unabdingbar.

Auf der Webseite der Allianz für Cyber-Sicherheit stehen daher unterschiedliche Cyber-Sicherheits-Veröffentlichungen für Internet Service Provider ( ISP ) zur Verfügung. Informationen zu technischen und organisatorischen Aspekten finden Hosting-Anbieter in der Veröffentlichung „ Sicheres Webhosting v2.0“.

Des weiteren sollte die Umsetzung grundlegender technischer Maßnahmen selbstverständlich sein. Hierzu zählt zum Beispiel der Einsatz von Firewalls sowie entsprechender DDoS-Mitigation-Maßnahmen.

Weitere Informationen zur Absicherung eines Servers finden Interessierte außerdem in der ISi-Reihe des BSI.

Block­chain-Tech­no­lo­gie in der öf­fent­li­chen Ver­wal­tung

Die Blockchain-Technologie kann auch in der öffentlichen Verwaltung eine Reihe von Mehrwerten bieten. Sie kann vor allem dazu beitragen, die IT -Infrastruktur der öffentlichen Verwaltung dezentraler und föderaler zu organisieren. Damit bietet sie das Potenzial, die Datensouveränität von Bürgern und Unternehmen zu erhöhen und zugleich das Überwachungspotenzial des Staates gegenüber Bürgern und Unternehmen zu reduzieren. Dies beruht auf der Tatsache, dass Daten in Blockchains in der Regel nicht zentral an einem Ort abgespeichert werden. Aus diesem Grund kann die Blockchain-Technologie auch dazu beitragen, dass Datendiebstähle durch IT -Angriffe auf sensible Daten, die die öffentliche Verwaltung von Bürgern und Unternehmen zu verschiedensten Zwecken erhebt, erschwert werden.

Die Bundesnetzagentur befasst sich bereits seit Längerem mit den Potenzialen und Herausforderungen der Blockchain-Technologie in der öffentlichen Verwaltung und steht dazu in regelmäßigem Austausch mit anderen Behörden. Die Bundesnetzagentur ist unter anderem auch in verschiedenen Arbeitsgruppen des europäischen Blockchain-Projekts European Blockchain Partnership tätig und beteiligt sich durch die Bereitstellung eines Blockchain-Knotens in ihrem Rechenzentrum in Mainz auch am Aufbau der dafür notwendigen europäischen Blockchain-Infrastruktur EBSI.

Selbstsouveräne Digitale Identitäten

Die Grundlage vieler potenzieller blockchainbasierter Verwaltungsdienste könnten zukünftig sog. Selbstsouveräne Digitale Identitäten („Self-Sovereign-Identities“, kurz SSI) bilden. Bei diesem Identitätskonzept werden wesentliche Identitätsdaten der Bürger dezentral in einer Software auf dem jeweiligen Endgerät (in der Regel auf dem Smartphone) abgespeichert. Eine solche Software wird häufig als Identity Wallet bezeichnet. Mit Hilfe dieser Identity Wallet können die Bürger ihre Identitätsdaten verwalten, d.h. sie können neue Daten aufnehmen und diese Daten Dritten zugänglich machen. Ohne die ausdrückliche Zustimmung des Bürgers kann keine Drittpartei diese Daten einsehen. Bei den in der Identity Wallet abgespeicherten Daten kann es sich sowohl um Stammdaten der Bürger wie Name, Anschrift, Geburtsdatum oder Steuernummer handeln als auch um beliebige zusätzliche Informationen und Berechtigungen wie E-Mail-Adressen, Parkausweise oder ÖPNV-Tickets. Eine dezentrale IT -Infrastruktur wie die Blockchain-Technologie wird beim Self-Sovereign-Identity-Konzept als Verifikationsschicht genutzt, um die Herkunft, die Authentizität und die Gültigkeit der Identitätsdaten zu überprüfen.

Im Gegensatz zu heute verbreiteten Identitätslösungen zum Beispiel von international tätigen Plattformanbietern, deren Geschäftsmodelle in erster Linie auf der umfangreichen Sammlung und Auswertung personenbezogener Daten bestehen, haben Identitätsanbieter beim SSI-Konzept aufgrund der dezentralen Speicherung der Informationen weder einen Einblick in die Daten noch können sie nachvollziehen, zu welchen Zwecken diese Daten genutzt werden. Mit dem Konzept Selbstsouveräner Digitaler Identitäten wird deshalb vor allem das Ziel verfolgt, die Datensouveränität der Identitätsinhaber in der digitalen Welt zu erhöhen.

Solche SSI-Identitätskonzepte werden auf Basis von offenen Standards und interoperablen Protokollen bereits von einer Vielzahl von öffentlichen und privatwirtschaftlichen Akteuren entwickelt. Ziel verschiedener politischer und privatwirtschaftlicher Initiativen ist es, ein europaweites bzw. im besten Fall internationales interoperables Identitäts-Ökosystem aufzubauen, das dem Einzelnen auf Basis Selbstsouveräner Digitaler Identitäten eine hohe Datensouveränität in der digitalen Welt ermöglicht. Abhängigkeiten von einzelnen Identitätsanbietern sollen dabei aufgrund der Nutzung offener Standards und interoperabler Protokolle nicht entstehen. Das Konzept Selbstsouveräner Digitaler Identitäten ist darüber hinaus nicht beschränkt auf Privatpersonen. Zukünftig sollen auch Unternehmen und über das Internet miteinander vernetzten Maschinen und Geräten digitale Identitäten auf Basis des Self-Sovereign-Identity-Ansatzes zugewiesen werden können, um in der digitalen Welt sicher miteinander interagieren zu können.

Weiterführende Informationen zu Selbstsouveränen Digitalen Identitäten

Eine Vielzahl von öffentlichen und privatwirtschaftlichen Akteuren befasst sich auch international mittlerweile intensiv mit dem Konzept sicherer digitaler Identitäten. Auch auf höchster politischer Ebene wird dieses Thema diskutiert. So hat das Bundeskanzleramt im März 2021 ein Whitepaper zu Digitalen Identitäten veröffentlicht.

Weiterführende Informationen zum Konzept Selbstsouveräner Digitaler Identitäten finden sich auch zum Beispiel:

Das Bundesministerium für Wirtschaft und Klimaschutz hat im Zusammenhang mit der Entwicklung sicherer digitaler Identitäten den Innovationswettbewerb „Schaufenster Sichere Digitale Identitäten“ ins Leben gerufen, mit dem innovative Ansätze für neue, offene, interoperable und einfach nutzbare ID -Ökosysteme gefördert werden.

Blockchainbasierte Verwaltungsdienste

In der öffentlichen Verwaltung kann die Blockchain-Technologie zum einen dazu genutzt werden, um auf Basis der oben beschriebenen Selbstsouveränen Digitalen Identitäten eine direkte Interaktion zwischen der Verwaltung und Bürgern ( bzw. Unternehmen) zu ermöglichen und so eine Reihe von Verwaltungsdiensten digital abzubilden. Denkbar und zum Teil auch bereits in der Entwicklung sind Blockchain-Anwendungen, mit deren Hilfe offizielle Dokumente wie Ausweise, Führerscheine oder Bildungsabschlüsse verwaltet werden. Der wesentliche Mehrwert der Blockchain-Technologie besteht hier darin, dass die jeweiligen Aussteller, die Authentizität und die Gültigkeit der Dokumente zweifelsfrei nachgewiesen werden können. Auch ein späterer Widerruf, ein Ablaufdatum oder eine Korrektur von Dokumenten können in der Blockchain manipulationssicher hinterlegt werden.

Ein weiterer denkbarer Anwendungsbereich für die Blockchain-Technologie in der öffentlichen Verwaltung besteht darin, öffentliche Register (Handelsregister, Genossenschaftsregister, Grundbuch etc. ) blockchainbasiert zu verwalten. Diese Überlegungen sind deshalb naheliegend, weil die Blockchain-Technologie aufgrund ihrer transparenten und nachvollziehbaren Dokumentation von Transaktionen und ihrer hohen Manipulationssicherheit einer öffentlichen Registerführung ähnelt. Blockchain-Lösungen kommen hier sowohl für gänzlich neue als auch für bereits bestehende, aber noch nicht digitalisierte Register in Betracht.

Behördenübergreifender Informationsaustausch auf Basis der Blockchain-Technologie

Ein weiterer potenzieller Anwendungsbereich der Blockchain-Technologie in der öffentlichen Verwaltung ist die Koordination behördenübergreifender Verwaltungsvorgänge. Die wesentlichen Mehrwerte der Blockchain-Technologie sind auch hier, dass manipulationssicher und zeitnah Informationen zwischen den jeweils an einem Verwaltungsvorgang beteiligten Behörden ausgetauscht werden können und so ein einheitlicher Informationsstand der beteiligten Behörden erreicht werden kann. Darüber hinaus können die jeweiligen Einsichtsrechte an Dokumenten oder Daten individuell konfiguriert werden, sodass jede Behörde nur Einblick in die Informationen erhält, die zu ihrer Aufgabenerledigung erforderlich sind.

Die Tatsache, dass bei der behördenübergreifenden Koordination von Verwaltungsvorgängen über die Blockchain-Technologie eine Vielzahl von Daten nicht in die Blockchain eingespeist werden müssen, sondern in ihren Bestandssystemen verbleiben können, trägt dazu bei, den Schutz sensibler Informationen wie personenbezogener Daten gewährleisten zu können. Durch die Automatisierung von Verwaltungsprozessen könnten außerdem Effizienzgewinne in der Verwaltung erzielt werden. Auf Basis von Smart Contracts könnten zum Beispiel automatisiert Zahlungen veranlasst oder Folgeprozesse bei anderen Behörden, die an Verwaltungsvorgängen beteiligt sind, initiiert werden, sobald die jeweiligen Voraussetzungen dafür erfüllt sind. Durch die automatisierte und damit weniger fehleranfällige Übertragung von Informationen könnten zudem die Prozessintegrität erhöht und Prozessabläufe beschleunigt werden, weil ineffiziente Wartezeiten zwischen einzelnen Teilprozessen, an denen verschiedene Behörden beteiligt sind, wegfallen oder verkürzt werden.

Ein Beispiel einer solchen behördenübergreifenden Blockchain-Kooperation ist das Projekt FLORA des Bundesamts für Migration und Flüchtlinge, bei dem Informationen zwischen verschiedenen am Asylprozess beteiligten Behörden über eine Blockchain-Lösung ausgetauscht werden.

Bereitstellung Öffentlicher Blockchain-Infrastrukturen

Ein wesentlicher Ansatz, um die Mehrwerte der Blockchain-Technologie für die öffentliche Verwaltung auch flächendeckend zu realisieren, besteht im Aufbau öffentlicher Blockchain-Infrastrukturen. Die Idee hinter diesem Ansatz ist, dass die öffentliche Hand standardisierte Blockchain-Infrastrukturen entwickelt, auf deren Basis öffentliche Einrichtungen konkrete Blockchain-Anwendungen implementieren können. Öffentliche Einrichtungen brauchen dann nicht selbst in den Aufbau, den Betrieb und die Weiterentwicklung von Blockchain-Infrastrukturen zu investieren und können ihre Blockchain-Anwendungen relativ schnell über die zur Verfügung gestellte Infrastruktur implementieren. Allerdings sind mit dem Aufbau solcher öffentlichen Blockchain-Infrastrukturen in rechtlicher, technischer und organisatorischer Hinsicht auch eine Vielzahl von komplexen Herausforderungen verbunden.

Mit dem Themenbereich Blockchain in der Verwaltung hat sich in Deutschland zum Beispiel das NExT-Netzwerk („NExT“ = "Netzwerk: Experten für die digitale Transformation der Verwaltung") in Zusammenarbeit mit der Initiative „Blockchain in der Verwaltung Deutschland“, der u. a. die Bundesnotarkammer, das Bundesamt für Migration und Flüchtlinge und das Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen angehören, beschäftigt.

In diesem Whitepaper des NExT-Netzwerks werden Anwendungsbereiche und Herausforderungen der Blockchain-Technologie in der Verwaltung erläutert.

Weitere Informationen zur Blockchain-Technologie im öffentlichen Sektor finden sich im Dokument „Mythos Blockchain - Herausforderung für den öffentlichen Sektor", das vom Kompetenzzentrum Öffentliche IT (ÖFIT) in Zusammenarbeit mit dem Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) erarbeitet wurde.

Von der govdigital e.G. , einer Ende 2019 gegründeten Genossenschaft zur Integration innovativer IT -Lösungen im öffentlichen Sektor, wird bereits eine öffentliche Blockchain-Infrastruktur in Deutschland betrieben. Sie kann sowohl von kommunalen als auch von Landes- und Bundesbehörden für eigene Blockchain-Anwendungen genutzt werden.

Im Rahmen der European Blockchain Partnership wird derzeit auf europäischer Ebene eine europaweite Blockchain-Infrastruktur entwickelt (die sog. „European Blockchain Services Infrastructure“, kurz EBSI), auf deren Basis zukünftig eine Vielzahl von Verwaltungsdiensten sowohl für Bürger und Unternehmen als auch für die Koordination von Verwaltungsvorgängen zwischen Behörden angeboten werden sollen. Im Rahmen dieses Projekts werden u. a. auch standardisierte, interoperable Identitätslösungen auf Blockchain-Basis im Rahmen des „European Self-Sovereign Identity Framework" (ESSIF) entwickelt.

Besonderheiten der Blockchain-Technologie in der öffentlichen Verwaltung

In der öffentlichen Verwaltung in Deutschland sind gemeinsame Datenschnittstellen und die digitale Koordination von behördenübergreifenden Verwaltungsvorgängen bisher noch recht wenig ausgeprägt. An dieser Stelle setzt die Blockchain-Technologie an. Sie kann einen Beitrag dazu leisten, dezentrale IT -Infrastrukturen aufzubauen, die den Betroffenen eine hohe Souveränität über ihre Daten einräumen und die zugleich eine effiziente behördenübergreifende Koordination von Verwaltungsprozessen ermöglichen.

Im Bereich der öffentlichen Verwaltung muss besonderer Wert auf die Authentizität und die Sicherheit der zu verarbeitenden Daten gelegt werden. Betroffene müssen hier in besondere Weise darauf vertrauen können, dass ihre Daten nur von den jeweils Berechtigten eingesehen und nur für die jeweils vorgesehenen Verwendungszwecke verarbeitet werden können. Der oben beschriebene Self-Sovereign-Identity-Ansatz kann einen wichtigen Beitrag dazu leisten. Die relevanten Stammdaten von Bürgern und Unternehmen müssen nach diesem Konzept nur noch einmal erhoben werden und können anschließend von den Datenberechtigten sicher und transparent nur denjenigen Behörden zur Verfügung gestellt werden, die sie für ihre konkrete Aufgabenerledigung benötigen. Die häufige Neuerfassung dieser Stammdaten und deren parallele Speicherung bei unterschiedlichen Behörden entfällt. Die behördenübergreifende Koordination von Verwaltungsprozessen kann zugleich verbessert werden, weil auf Basis der Blockchain-Technologie ein standardisierter und sicherer Austausch von Daten ermöglicht werden kann. Die jeweiligen Zugriffsrechte auf diese Daten können hierbei individuell konfiguriert und deren Einsichtnahme bzw. Verarbeitung manipulationssicher festgehalten werden. Um eine hohe Akzeptanz blockchainbasierter Verwaltungsdienste zu erreichen ist es außerdem wichtig, dass diese Dienste einfach und intuitiv zu bedienen sind und keine Blockchain-Kenntnisse des Anwenders voraussetzen.

Im Vergleich zu anderen potenziellen Anwendungsbereichen der Blockchain-Technologie ( z. B. in kritischen Infrastrukturen wie dem Energie-, dem Telekommunikations- oder dem Finanzsektor) sind Anwendungen in der öffentlichen Verwaltung vermutlich in der Regel deutlich weniger zeitkritisch. Insofern besteht die Herausforderung bei der Entwicklung konkreter Anwendungen in der öffentlichen Verwaltung weniger in der Erhöhung der Transaktionsgeschwindigkeit, sondern eher in der Verbesserung behördenübergreifender Datenaustausche sowie der Schaffung von Vertrauen durch Transparenz und Sicherheit der verarbeiteten Informationen.

Tagged:

  • Blockchain-Kenntnisse
  • Leave a Reply