Dokumente als Organisation gesetzeskonform siegeln

Mit dem geregelten Behördenzertifikat stellt das BIT eine Marktleistung zur Verfügung, mit der eine Organisation ihre Dokumente elektronisch siegeln kann. Ein solches «Behördensiegel» dient dazu, die Herkunft (Authentizität) und die Unversehrtheit (Integrität) eines Dokuments überprüfen zu können.

Seit der Antike, aber vor allem im Mittelalter, liessen Könige die Umschläge ihrer Nachrichten mit Wachs und dem königlichen Siegel verschliessen. Somit war die Integrität bis zum Öffnen der Nachricht durch den rechtmässigen Empfänger gewährleistet. Wäre das Siegel gebrochen gewesen, hätte der Empfänger die Unversehrtheit angezweifelt und allfällige Befehle nicht ausgeführt. Ein ähnliches Prinzip verfolgten die Amtsstempel, mit denen in den meisten Fällen das Sekretariat die Dokumente im Auftrag des Direktors gezeichnet hat. Anhand des Stempels konnte der Empfänger erkennen, dass es sich um die angegebene Behörde handelte.

Was im Mittelalter und vor nicht allzu langer Zeit noch physisch zur Verfügung stand, ist nun auch elektronisch möglich. Mit dem geregelten Behördenzertifikat kann das BIT ein Mittel für die Erstellung von elektronischen Amtsstempeln, respektive ein «Behördensiegel» anbieten. Damit komplementiert es sein Zertifikatportfolio: Jeder Bundesmitarbeitende kann bereits neben seinem persönlichen, ­fortgeschrittenen Klasse-B-Zertifikat, das er ­auf seiner Smartcard hat, auch ein persönliches qualifiziertes Klasse-A-Signaturzertifikat beantragen. Neu erhält eine Behörde die Möglichkeit, ein geregeltes Klasse-A-Zertifikat für juristische Personen zu beantragen und damit rechtsgültige elektronische Siegel der Behörde zu erstellen. Kunden haben nun also die Wahl, ob sie ein einzelnes Dokument persönlich mit dem Klasse-B-Zertifikat ihrer Smartcard (für bundesinterne Dokumente geeignet), mit dem persönlichen Klasse-A-Zertifikat (für ausserhalb der Bundesverwaltung – gleichgesetzt einer handschriftlichen Unterschrift) signieren oder mit dem geregelten Behördenzertifikat der Klasse A (als Organisation/Amt) siegeln möchten. Die Zertifikate der Klasse A entsprechen dabei dem Bundesgesetz über die elektronische Signatur (ZertES, siehe Box). «In Zukunft wird es so sein, dass mit dem geregelten Behördenzertifikat rasch und unkompliziert zahlreiche Dokumente gleichzeitig signiert werden können», sagt Nicole Roemmel, Produktmanagerin im BIT.

Die Zukunft: Massensignatur und Unterschriftsmappe

Im Auftrag des Informatiksteuerungsorgans des Bundes (ISB) hat das BIT das geregelte Behördenzertifikat im Hinblick auf die Standard-Signaturdienste des ISB aufbauen lassen. Wie dieses geregelte Behördenzertifikat künftig angewendet werden kann, zeigt ein Beispiel: Die Vollzugsstelle für den Zivildienst (ZIVI) verschickt täglich zahlreiche Verfügungen an Bürger. Sie verschickt diese als die zuständige Behörde des Bundes für alle Belange des Zivildienstes. Administrativ angesiedelt ist sie beim Eidgenössischen Departement für Wirtschaft, Bildung und Forschung. «Mit den Signaturdiensten sind die Zertifikate später ­auf Hardware-Security-Modulen hinterlegt. Und dank des Signaturservers können wir Signaturlösungen in Fachanwendungen integrieren. Der Kunde kann also mehrere Dokumente gleichzeitig in der Anwendung mit geringem Aufwand rechtsgültig signieren», sagt Nicole Roemmel. Im Geschäftsfall von ZIVI sind die Verfügungen in der elektronischen Geschäftsverwaltung GEVER abgelegt. Nun legt der ­ZIVI-Mitarbeiter die zu versendenden Verfügungen in einen Ordner und lässt diese mit dem geregelten Behördenzertifikat des ZIVI gültig unterzeichnen. Auf Knopfdruck lassen sich alle im Ordner liegenden Dokumente elektronisch siegeln. Dafür ist keine Eingabe eines zusätzlichen Passworts notwendig. Die Anwendung wird die Arbeit «über Nacht» erledigen. «Dieser Geschäftsfall der Massensignatur wird zu einem späteren Zeitpunkt mit der Einführung des Signaturservers folgen.»

Ein weiterer Geschäftsfall wird die Unterschriftsmappe sein – analog der Unterschriftsmappe, die früher die Sekretärin im Papierformat dem Chef zur Unterzeichnung übergeben hat. Wieder über den Signaturserver und eine Anwendung hat der Benutzer dieser Unterschriftsmappe also beim «Durchblättern» noch die Möglichkeit, einzelne Dokumente nicht signieren/siegeln zu lassen.

Ausstellung bei Swiss Government PKI

Wenn sich nun ein Amt oder eine Behörde ein geregeltes Behördenzertifikat ausstellen lässt, muss eine handlungsbevollmächtigte Person – in den meisten Fällen die Direktorin oder der Direktor – definieren, wer dieses Zertifikat beantragen darf und einsetzen kann. Die Ausstellung des geregelten Behördenzertifikats erfolgt ausschliesslich bei der Swiss Government PKI (SG PKI) in der Titanic II an der Monbijoustrasse 74 in Bern. Der Ausstellungsprozess ist analog dem Prozess für das Klasse-A-Zertifikat. Das Vieraugenprinzip muss gewährleistet sein. Zwei Mitarbeitende der SG PKI kontrollieren die Ausstellung. «Sicherheit hat beim geregelten Behördenzertifikat oberste Priorität und ist durch die Vorgaben des ZertES geregelt», sagt Nicole Roemmel.

Für das Siegeln ist bis auf Weiteres ein externer Card-Reader notwendig, da das Zertifikat auf eine Smartcard ausgestellt wird. Alternativ bietet das BIT eine kompaktere Lösung mit einem ausbrechbaren Chip (analog einer SIM-Karte) und einem entsprechenden USB-­Lesegerät an. Der Token (Smartcard/Chip) ist über eine PIN geschützt. Der Empfänger kann das Siegel über den Signaturvalidator (www.validator.ch) überprüfen und sieht, dass die Behörde dieses Dokument gesiegelt hat. Es hat also den Vorteil, dass er die Authentizität und Integrität des Dokuments prüfen kann. Das geregelte Behördenzertifikat ist nur in der Schweiz gültig und kann für Dokumente, nicht aber für E-Mails verwendet werden. Mehr Informationen finden Sie auf der Kundenplattform BIT.

System wohl bis Ende Jahr bereit

Im Projekt Signaturdienste V1.5 wird nun die Infrastruktur für das serverbasierte Signieren und Siegeln von PDF/A-Dokumenten aufgebaut. «Ziel ist, bis Ende Jahr das System bereitzustellen, damit ab dem 1. Quartal 2019 Fachanwendungen unserer Kunden angebunden werden können», sagt Stéphane Habegger, Projektleiter im BIT. Dann steht der Massensignatur sowie der Unterschriftsmappe nichts mehr im Weg und BIT-Kunden können mit wenigen Klicks und einer einmaligen PIN-Eingabe mehrere PDF/A-Dokumente signieren oder siegeln.

Cover

Bundesgesetz vom 18. März 2016 über die elektronische Signatur (ZertES)

Das ZertES regelt die Anforderungen an die Qualität bestimmter digitaler Zertifikate und an deren Verwendung. Ebenso regelt es die Voraussetzungen, unter denen sich Anbieterinnen von Zertifizierungsdiensten im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate (Zertifizierungsdienste) anerkennen lassen können. Ebenfalls beinhaltet es die Rechte und Pflichten der anerkannten Anbieterinnen von Zertifizierungsdiensten. Das ZertES bezweckt die Verwendung digitaler Zertifikate, elektronischer Signaturen und elektronischer Siegel zu begünstigen.
 


Autor: Rinaldo Tibolla

Abonnieren Sie den «Eisbrecher» kostenlos

Erhalten Sie alle drei Monate Neuigkeiten zu IT-Themen in der Bundesverwaltung und aktuellen Projekten des BIT.

https://www.bit.admin.ch/content/bit/de/home/dokumentation/kundenzeitschrift-eisbrecher/eisbrecher-archiv/kundenzeitschrift-eisbrecher-ausgabe-70/behoerdenzertifikat.html