Registermodernisierung: So will das BSI die Steuer-ID technisch absichern

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet an der Umsetzung von Vorschriften zur digitalen Verwaltung und Registermodernisierung. Es hat dazu am Montag den Entwurf für eine Technische Richtlinie TR-03176 für die sichere Datenübermittlung innerhalb der neuen Registerlandschaft herausgegeben und zur Konsultation gestellt. Bürger sollen darin Nachweise und Daten bei Behörden für Leistungen aus dem Onlinezugangsgesetz (OZG) nur noch einmal vorlegen müssen. Dies sieht das "Once-only-Prinzip" vor, das Teil der EU-Bemühungen zur Verwaltungsreform ist. Bestimmte Standardinformationen sollen demnach nur noch einmal an Ämter gehen und dann intern ausgetauscht werden.

Die damit verknüpfte Datenübermittlung biete "ein gewisses Angriffspotential insbesondere auf dem Übertragungsweg", schreibt das BSI in dem TR-Entwurf. So bestehe etwa die Gefahr, dass Registerdaten abgefangen beziehungsweise manipuliert oder persönliche Informationen mithilfe der neuen allgemeinen Identifikationsnummer (IDNr) widerrechtlich zusammengeführt werden. Die Crux dabei: Der Bundestag beschloss 2021, dafür die Steuer-ID einzusetzen. Die Kennung kann so als übergreifendes Ordnungsmerkmal und Personenkennzeichen in gut 50 besonders relevanten Datenbanken von Bund und Ländern inklusive der Fahrzeug- und Melderegister genutzt werden. Datenschützer, Forscher, Sachverständige und die Opposition liefen Sturm dagegen. Sie brachten massive verfassungsrechtliche Einwände vor, da der Staat künftig ein Profil auf Knopfdruck abrufen dürfe. Mittlerweile trägt die Ampel-Koalition den Kurs zwar prinzipiell mit. Der Haushaltsausschuss des Bundestags forderte jüngst aber, Alternativen zur Steuer-ID zu suchen.

Angriffe vermeiden

Ziel der BSI-Richtlinie ist es nun, Anforderungen zu definieren, sodass bei korrekter Umsetzung "Angriffe auf die Kommunikation in der Registermodernisierung nur noch mit vernachlässigbarem Risiko möglich sind und ein sicherer sowie nachvollziehbarer Datenaustausch gewährleistet ist". Das BSI setzt dabei voraus, "dass der Betreiber eines IT-Systems bereits notwendige betriebliche Maßnahmen zur Sicherstellung beispielsweise eines hohen Verfügbarkeitsniveaus getroffen hat". Die Vorgaben richten sich an die Anbieter und Nutzer der Register, mit diesen kooperierende Vermittlungsservices und andere Dienstleister sowie die Entwickler und Betreiber der einheitlichen Komponenten eines geplanten "Nationalen Once-Only Technical Systems" (NOOTS).

Die für den Datentransfer genutzten Systeme "müssen nach dem IT-Grundschutz-Kompendium abgesichert werden", stellt das BSI in dem Rahmendokument der TR klar. Werde eine der verbindlichen Anforderungen verletzt, müsse die entsprechende Nachricht abgewiesen werden. Sie dürfe nicht weiterverarbeitet werden. Dem Sendesystem sei eine Fehlermeldung zuzuschicken. Dazu kommen Vorgaben zur Nachrichtenvalidierung und kryptografische Anforderungen. Nötig sind demnach zum Schutz der Inhalte eine Ende-zu-Ende-Verschlüsselung und -Verifikation sowie die Sicherstellung der Vertraulichkeit auf Transportebene. Weitere Punkte sind die Protokollierung, ständige Angriffsdetektion und das Löschen von Daten.

Die BSI-Initiative enthält auch eine Teil-TR 03176-1 mit Zusatzvorschriften für den Umgang mit der Steuer-ID alias IDNr. Das Amt definiert dafür mit XBasisdaten einen Standard zum Abruf von Basisregisterdatensätzen über natürliche Personen nach dem Identifikationsnummerngesetz. Für die Kommunikation mit solchen personenbezogenen Informationen müssten besonders gesicherte verwaltungseigene Netze genutzt oder anderweitig ein hoher Schutzbedarf sichergestellt werden. Zu dessen Gewährleistung stelle die Unterrichtlinie Anforderungen auf, um die Authentizität, Integrität und Vertraulichkeit von Basisdaten sicherzustellen. Im Zentrum steht das vorgesehene System für einen speziellen Identitätsdatenabruf (IDA) und damit verknüpfte, in einem eigenen Kommunikationsmodell ausgeführte Berechtigungen. Kommentare nimmt das BSI bis zum 12. Februar entgegen. Zwei weitere Teil-TRs zum Datenschutzcockpit und zu Basisdaten in Unternehmen sollen folgen.

(olb)