Die OZG-Security-Challenge 2023: Erfolgreicher Abschluss unter dem Motto: Gemeinsam zu mehr IT-Sicherheit

Typ: Meldung , Schwerpunktthema: Onlinezugangsgesetz , Datum: 20.12.2023

Das BMI hat es sich zum Ziel gesetzt, die IT-Sicherheit bei der OZG-Umsetzung zu stärken und initiierte gemeinsam mit dem BSI die "OZG-Security-Challenge 2023".

Bis zum 31. Oktober 2023 hatten OZG-Dienstverantwortliche die Möglichkeit an der verwaltungsinternen OZG-Security-Challenge 2023 teilzunehmen. Der Kern der Challenge war der OZG-Security-Challenge-Schnelltest, welcher den Umsetzungsgrad von sechs ausgewählten IT-Sicherheitsmaßnahmen auf den eingegebenen Webseiten dargestellt hat, Potenziale zur weiteren Stärkung der IT-Sicherheit aufzeigte und Hilfestellung bei deren Umsetzung gab.

Ziel der Challenge ist es, mit leicht zugänglichen Angeboten in Form des Schnelltests sowie begleitenden Workshops und Sprechstunden die sechs besonders relevante IT-Sicherheitsmaßnahmen zu veranschaulichen und deren Implementierung zu begleiten.

Einblick in die Challenge: Die Maßnahmen zur IT-Sicherheit auf einen Blick

Folgende sechs IT-Sicherheitsmaßnahmen wurden bei dem Schnelltest bewertet:

  • Responsible Disclosure: Responsible Disclosure ist ein Verfahren zur Sichtbarmachung und Meldung von erkannten Sicherheitslücken bzw. Schwachstellen in der Informationstechnik.
  • Transport Layer Security (TLS) 1.3: Die Transport Layer Security stellt ein Sicherheitsprotokoll zur Verschlüsselung von Daten für eine sichere Datenübertragung im Internet dar.
  • Transport Layer Security (TLS) 1.1: Durch die Deaktivierung von veralteten TLS bzw. SSL-Versionen wird sichergestellt, dass ausschließlich moderne Transportverschlüsselungsverfahren verwendet werden können.
  • HTTP Strict Transport Security (HSTS): HSTS lässt für einen angegebenen Zeitraum ausschließlich verschlüsselte und damit sichere Verbindungen zwischen Bürgerinnen, Bürgern und Ihrem OZG-Dienst zu.
  • Domain Name System Security Extensions (DNSSEC): Das Domaine Name System (DNS) stellt eine Art Telefonauskunft oder Übersetzer dar, in dem Homepage-Namen (z. B. domain.de) in IP-Adressen (z. B. 183.0.3.12) übersetzt werden.
  • Resource Public Key Infrastructure (RPKI): Die Resource Public Key Infrastructure verhindert, dass Nutzerinnen und Nutzer auf falsche Server gelangen. Dies geschieht durch die Zuordnung von spezifischen Nummern (Internetnummernressourcen wie IP-Adressen) zu dem dazugehörigen Ressourceninhaber.

Ein kurzer Check mit dem Schnellstest zeigt: Die Webseite digitale-verwaltung.de hat alle sechs Sicherheitsmaßnahmen erfüllt. Quelle: BMI Ein kurzer Check mit dem Schnellstest zeigt: Die Webseite digitale-verwaltung.de hat alle sechs Sicherheitsmaßnahmen erfüllt.

Die Erfolge in Zahlen

Zusammenfassend kann die OZG-Security-Challenge 2023 als ein erfolgreiches, innovatives Format zur Aufklärung und Steigerung der IT-Sicherheit von OZG-Onlinediensten betrachtet werden. Es wurden insgesamt 8706 Einzelverbesserungen in Bezug auf die sechs vorgestellten IT-Sicherheitsmaßnahmen der Challenge erzielt.

Im Jahr 2023 wurden für Behörden und IT-Dienstleister 155 Zugänge zum Schnelltest eingerichtet, davon 117 mit und 38 ohne einen Zugang zum OZGSec-Dashboard für Organisationen, welche den individuellen Fortschritt mehrerer Domains im Blick haben wollen, davon:

  • Bund: 17, davon u. a. BMI, BMZ, AA, BMDV
  • Land: 44
  • Kommune: 67
  • Sonstige: 27

141 Dienste haben 6 von 6 Kriterien erfüllt. Diese verteilen sich auf 12 Organisationen:

  • Bund: 4 Organisationen
  • Land: 5 Organisationen
  • sonstige: 3 Organisationen

Insgesamt konnten 8706 Einzelverbesserungen erzielt werden, davon:

  • Responsible Disclosure: 816
  • TLS 1.3: 959
  • TLS 1.0 und 1.1 deaktiviert: 3823
  • HSTS: 677
  • DNSSEC: 749
  • RPKI: 1682

Screenshot vom OZGSec-Dashboard, welches sich Organisationen für die von ihnen überwachten Domains einrichten lassen konnten. Quelle: BMI Screenshot vom OZGSec-Dashboard, welches sich Organisationen für die von ihnen überwachten Domains einrichten lassen konnten.

Fazit zur OZG-Security-Challenge 2023

Die OZG-Security-Challenge 2023 stellte insgesamt eine wertvolle und innovative Methode für OZG-Dienstverantwortliche dar. Der charakteristische Challenge-Ansatz trug spielerisch dazu bei, das Bewusstsein für die relevanten IT-Sicherheitsmaßnahmen zu schärfen und zu deren Bekannt-heitsgrad zu erhöhen. Eine kontinuierliche Weiterentwicklung der OZG-Angebote hinsichtlich der IT-Sicherheit kann das Vertrauen der Nutzenden in staatliche Onlineangebote stärken.

Hintergrund: Bedeutung der Informationssicherheit in der öffentlichen Verwaltung

Mit der zunehmenden Digitalisierung der öffentlichen Verwaltung steigt die Bedeutung der zugrundeliegenden Informationssicherheit. Bürgerinnen, Bürger und Unternehmen erwarten, dass der Staat vertrauensvoll mit ihren Daten umgeht und diese durch ein besonderes Maß an IT-Sicherheit schützt. Die Relevanz der Informationssicherheit wird daher durch den Bund im Koalitionsvertrag sowie in der Digitalstrategie der Bundesregierung betont. Entsprechend verpflichtet sich der Staat im Kapitel "Digitale Innovation und Infrastruktur" des Koalitionsvertrags, die Möglichkeit echter verschlüsselter Kommunikation anzubieten. Zudem werden alle staatlichen Stellen verpflichtet, ihnen bekannte Sicherheitslücken beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen.

Aufgrund der Schnelllebigkeit des Themenkomplexes wird die IT-Sicherheit der öffentlichen Verwaltung fortlaufend an externe Gegebenheiten angepasst, beispielsweise durch die Aufnahme von "Responsible Disclosure" in die "Einer für Alle" (EfA)-Mindestanforderungen 2.0 (Stand November 2022). Eine flächendeckende Verbreitung der neuesten IT-Sicherheitsmaßnahmen ist der-zeit noch nicht gegeben, diese soll daher weiter gesteigert werden.

Die OZG Security Challenge geht nun in eine Evaluierungs- und Planungsphase über. Falls Sie über Neuigkeiten informiert werden möchten, hinterlassen Sie uns gerne eine kurze Nachricht an: ozgsec@bmi.bund.de