E-Partizipation für Europas Jugend - Blogs @ FH
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 Ausgabe Nr. Januar 2014 ISSN 1997-4051 | 1 13 Elektronische Identität E-Partizipation für Europas Jugend | Transparente Gemeindefinanzen 2 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 Titelbild: Bundesministerium für Verkehr, Innovation und Technologie (BMVIT), Wien Copyright: Priwo/CreativeCommons eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 | 3 Editorial Liebe E-Government Interessierte, Seit dem 01.01.2014 dürfen Rechnungen an die öster reichische Bundesverwaltung, nur mehr in strukturierter elektronischer Form eingebracht werden. Die Rechnungen müssen dabei in dem auf XML aufbauenden Format ebInterface oder über die PEPPOL (Pan-European Public Procurement OnLine) Infrastruktur eingebracht werden. Die Bundesverwaltung hat dafür einen PEPPOL Access Point eingerichtet, der insbesondere auch ausländischen Unternehmen das Einbringen von elektronischen Rechnungen erleichtern soll. Damit werden einige der jährlich 800 Millionen in Österreich versendeten Rechnungen in strukturierter elektronischer Form übermittelt werden. Es ist zu hoffen, dass damit auch der elektronische Rechnungsaustausch zwischen Unternehmen einen Aufschwung erleben wird. Das Einsparungspotential ist jedenfalls groß. Das Bundesministerium für Finanzen geht davon aus, dass bei ausschließlicher elektronischer Rechnungslegung im österreichischen Wirtschafts- und Behördenverkehr, ein Einsparungspotential von jährlich 400 Millionen Euro besteht. Am 16. Dezember 2013 wurde die neue österreichische Bundesregierung angelobt. Im Arbeitsprogramm der österreichischen Bundesregierung für die Jahre 2013 bis 2018 wird auch auf E-Government Bezug genommen. Es wird ausdrücklich erwähnt, dass das Amtsgeheimnis in seiner derzeitigen Form überholt sei. Als Maßnahme wird angeführt, dass das Amtsgeheimnis – unter Berücksichtigung des Grundrechts auf Datenschutz – ersetzt werden soll durch eine verfassungsgesetzlich angeordnete Pflicht aller Staatsorgane, Informationen von allgemeinem Inter esse der Öffentlichkeit im Sinne von Open Government zur Verfügung zu stellen. Es bleibt abzuwarten, wie die konkrete Umsetzung dieses doch sehr allgemein gehaltenen Statements aussehen wird. Weiters wird im Arbeitsprogramm auch angeführt, dass durch strategische Nutzung von Informations- und Kommunikationstechnologien die Verwaltung effizienter und bürgernäher gestaltet werden soll. Als Maßnahme wird hier angeführt, dass unter anderem gemeinsame Entwicklungen von Lösungen durch Bund, Länder und Gemeinden durchgeführt werden sollen. Impulse aus sozialen Netzen sollen angenommen und das Thema Open Government Data soll forciert werden. Es sollen auch weitere Anwendungen von Gebietskörperschaften in das Unternehmensserviceportal aufgenommen werden und generell Verwaltungsabläufe beschleunigt werden. FH-Prof. Dr. Wolfgang Eixelsberger Fachhochschule Kärnten Studienbereich Wirtschaft & Management aufruf beiträge Im Interview mit Prof. Posch, zeigt sich dieser mit der Position Österreichs in Bezug auf E-Government in der EU zufrieden. Besonders hebt er die hohe Anzahl an e-ID/Bürgerkarten fähigen Anwendungen hervor, sowie die Tatsache, dass sich das Konzept des Portalverbundes durchgesetzt hat. Er spricht im Interview mehrmals das Thema elektronische Identität an. Auch zwei Fachartikel beschäftigen sich mit diesem Thema. Das zeigt, wie aktuell das Thema ist und zeigt gleichzeitig auch, wie viel noch zu tun ist. Die elektronische Identität ist eine der Grundlagen von E-Government, auf der viele andere Themen aufbauen. Bisher haben 270.000 Österreicher die HandySignatur aktiviert. Damit entwickelt sich dieses Konzept sehr vielversprechend. Es erweist sich aber offenbar als schwierig, große Unternehmen zur Verwendung der Handy-Signatur zu bewegen. eGovernment Review veröffentlicht ausgewählte Artikel zu verschiedensten Aspekten von E-Government. Wenn Sie einen Artikel in eGovernment Review veröffentlichen möchten, dann senden Sie eine Kurzbeschreibung (zwischen 150 und 300 Worte) an w.eixelsberger@fh-kaernten. at. Die Kurzbeschreibung kann sowohl in deutscher als auch in englischer Sprache verfasst sein. Der eGovernment-Review-Beirat bewertet die eingereichten Artikel und gibt ausgewählte Artikel zur Veröffentlichung frei. Einreichungen für die 14. Ausgabe werden bis zum 22. April 2014 angenommen. FH-Prof. Dr. Wolfgang EIXELSBERGER Fachhochschule Kärnten Studienbereich Wirtschaft & Management 4 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 eGovernment-Review-Beirat Der Beirat wählt die zu erscheinenden Artikel aus, schlägt Interviewpartner vor und gibt Input zur generellen Ausrichtung von eGovernment Review. FH-Prof. Dr. Dietmar Brodel Rektor der Fachhochschule Kärnten, Leiter Studienbereich Wirtschaft Fachhochschule Kärnten FH-Prof. Dr. Wolfgang Eixelsberger Professur aus Wirtschaftsinformatik Fachhochschule Kärnten Dr. Peter Parycek, MSc Zentrumsleiter Zentrum für E-Government Donau-Universität Krems Lektor FH Kärnten Prof. Dr. Reinhard Posch Leiter des IAIK (Institute for Applied Information Processing and Communications) TU Graz CIO des Bundes Prof. DI Dr. Reinhard Riedl Leiter Kompetenzzentrum Public Management & E-Government Berner Fachhochschule Prof. Dr. Jürgen Stember Dekan Fachbereich Verwaltungswissenschaften Hochschule Harz DI Manfred Wundara CIO der Stadt Villach Mitglied des Präsidiums des Fachausschusses für Informationstechnologie des Österreichischen Städtebundes Leiter der Arbeitsgruppe Q-SKF der Plattform Digitales Österreich eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 Inhalt „Österreich spielt eine Vorreiterrolle im Europäischen E-Government“ 6 aktuelles Schweizer Standards für elektronische Identität 8 fachartikel Ausgabe Nr. 13 | Januar 2014 Interview mit Reinhard Posch Ronny Bernold I Andreas Spichiger I Reinhard Riedl (Berner Fachhochschule) E-Partizipation für Europas Jugend 10 Michael Sachs (Donau-Universität Krems) Transparente Gemeindefinanzen auf Knopfdruck 12 Bernhard Krabina (KDZ - Zentrum für Verwaltungsforschung) Wartezeiten in den Wiener Bezirksämtern online abrufbar 14 „Digital Divide“ in der kommunalen Verwaltung - 16 IT-gestützte Verwaltungsentwicklung in der Bauaufsicht Gerhard Kainz I Thomas Skerlan-Schuhböck (Stadt Wien) Jürgen Stember (Hochschule Harz) I Matthias Neutzner (Syncwork AG) Identitätsmanagement mit MOA-ID 2.0 18 Thomas Lenz I Bernd Zwattendorfer I Klaus Stranacher I Arne Tauber (E-Government Innovationszentrum) SECOVIA – Interkommunales „Cloud Computing“, die Zukunft der IT in der Gemeinde? 20 Leitfaden des BSI für Beschaffung sicherer Webanwendungen 22 Ursula Polessnig (IT-Kommunal GmbH) E-Government Tagungen, Konferenzen und Messen 24 E-Government Publikationen 26 service Amir Salkic (SEC Consult Unternehmensberatung GmbH) | 5 eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 aktuelle information „Österreich spielt eine Vorreiterrolle im Europäischen E-Government“ interview 6 | Prof. Reinhard Posch ist seit 2001 Chief Information Officer (CIO) des Bundes. Er leitet das IAIK (Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie) an der TU Graz, ist seit 1999 wissenschaftlicher Leiter von A-SIT. Von 2007 bis 2011 war er Vorsitzender von ENISA (European Network and Information Security Agency). Was sind für Sie die wichtigsten Ergebnisse betreffend Wie ist Ihre Einschätzung zu den Ergebnissen der EU Large- E-Government in Österreich in den letzten Jahren? Scale Pilot (LSP) Projekte, wie zum Beispiel PEPPOL? Österreich hat seine Vorreiterrolle im Europäischen E-Government Konzert weiter ausgebaut. Dies war vor allem durch die gelungene partnerschaftliche Kooperation über alle Verwaltungsebenen hinweg möglich. Die Kooperation hat einheitliche gemeinsame Strategien ermöglicht. Die zentralen E-Government Strategien sind mittlerweile weitgehend umgesetzt und auch in den Köpfen der Projektverantwortlichen bekannt. Nicht nur hunderte eID (Bürgerkarten) fähige Anwendungen, sondern auch die Tatsache, dass de facto alle übergreifenden Anwendungen auf das Konzept des Portalverbund zurückgreifen, belegen dies. Diese strukturelle Konvergenz hat für Österreich im Europäischen Umfeld zu beachtlicher Anerkennung und damit auch zu Gestaltungsmöglichkeiten geführt. Mit den neuen Herausforderungen wie Cloud und BYOD wird dies vor allem auch eine verstärkte politische Sichtbarkeit erfordern, um in einer Umgebung, die laufend komplexer und daher unübersichtlicher wird, zu bestehen und vor allem langfristig Change Management zu ermöglichen. Peppol ist einer der zulässigen Einbringungswege der elektronischen Rechnungen an den Bund, die seit 1.1.2014 verpflichtend sind. STORK ist dem Inhalt nach, auch in den neuen gemeinschaftlichen Rechtsrahmen eIDAS eingeflossen. Auf nationaler Ebene ist zudem die österreichische Lösung der Handy-Signatur aus dem STORK LSP hervorgegangen. Diese und weitere Beispiele zeigen die Bedeutung der Teilnahme an den Large-Scale Piloten, die nicht nur ein Werkzeug zur nationalen Umsetzung sind, sondern auch die Plattform zum Einbringen dieser wichtigen Elemente und der Österreichischen Position in die Europäische Diskussion. Ein wesentlicher Beitrag der LSP, wie die eID (elektronische Identität) bereits zeigt, ist das strategische Potential, da die Ergebnisse zu Best Practices oder gar zu gesetzlichen Vorgabe führen. Ein Versäumen der Teilnahme bedeutet dabei, dass die nationalen Konzepte meist mit erheblichen Kosten an die neue Situation angepasst werden müssen. Damit führt eine Nichtteilnahme nicht nur zu einem Nachteil, was das aktuelle information Image betrifft, sondern hat am Ende des Tages sogar noch höhere Kosten, weil die nationalen Erkenntnisse nicht in die Ergebnisse der LSPs eingearbeitet wurden. Welche aktuellen Projekte schätzen Sie als besonders wichtig ein? Die bereits erwähnte Handy-Signatur für Identifikation und Signatur, die elektronische Zustellung etc. sind vitale Punkte um die zunehmende Herausforderung der Cyber Sicherheit zu bewältigen. Als ein wichtiger Punkt ist auch eine Umsetzung von Vollmachten, die auch mit einer großen Zahl von Request zurechtkommt, anzusehen. Die Herausforderung besteht dabei sowohl in der technischen Zusammenführung verschiedenster authentischer Quellen und Register, die für derartige Vollmachten eine Begründung darstellen, als auch in der rechtlichen Sicht, die notwendig ist, um diese Informationen auch im betreffenden Umfeld vorarbeiten zu können. Mit einem zentralen Unternehmensregister und dem Unternehmensserviceportal haben wir in Österreich gute Grundlagen für eine elektronische Kommunikation zwischen Wirtschaft und Verwaltung geschaffen, aber auch eine durchgängige eID für Unternehmen zur Anwendung B2G aber auch B2B. Cloud Computing wird dabei aber nicht nur zusätzliche Risiken, die es gilt im Griff zu behalten, bringen, sondern auch zusätzliche Chancen, etwa in den Bereichen Open Data und elektronische Partizipation. Wie sehen Sie die aktuelle Entwicklung von Open Data? Der Begriff Open Data hat unterschiedliche Facetten und wird teilweise mit Big Data vermischt und verwechselt. Es macht daher Sinn von Open Government Data zu sprechen und darunter die Daten, die in der Verwaltung vorhanden sind und unter Einhaltung der Vorgaben des Datenschutzes auch in strukturierter Form verfügbar gemacht werden, zusammen zu fassen. Der überwiegende Teil der Verwaltungsgeschäfte findet nicht auf Bundesebene sondern auf den übrigen Verwaltungsebenen statt. Daher sind die Bemühungen zu Open Government Data auch dem Schwerpunkt nach auf der Ebene der Länder und Städte zu finden. Ob Verkehr, Infrastruktur oder Geodaten – um nur ein paar Beispiel zu erwähnen – die Öffnung der Daten von hoher Qualität bildet eine Basis für Unternehmen, wertvolle Dienste anzubieten. Diese verwaltungsnahen Applikationen haben ein großes Potential und tragen auch zum positiven Image der Verwaltung bei. Es geht dabei um die gläserne Verwaltung, aber es darf keinesfalls zum gläsernen Bürger führen. eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 Welche Erwartungen haben Sie an die Förderungen aus HORIZON 2020 betreffend E-Government? Wichtig und seitens Österreichs immer wieder betont ist es, die Instrumente nicht getrennt zu sehen, sondern Horizon 2020, CEF/ TEN-TELE sowie ISA-Nachfolge Programm als ein Cluster zu betrachten und auch zu steuern, damit bei sinkenden Budgets durch strategische und operationelle Fokussierung die Effizienz deutlich gesteigert werden kann. Ich erwarte mir, dass Horizon 2020 in diesem Konzert die Speerspitze darstellt und auf neue Entwicklungen und deren Bedeutung für das E-Government eingeht. Solche Herausforderungen liegen in besonderem Maße in der nachhaltigen und somit sicheren Nutzung der IKT aber auch in neuen Paradigmen der Verarbeitung - so beobachten wir gerade einen bedeutenden Wandel im Bereich der Dokumentenverarbeitung, hin zur gemeinsamen und interaktiven Nutzung. Aus österreichischer Sicht ist eine breite Beteiligung an diesem Programm nicht nur wünschenswert, um Forschungs- und Entwicklungsgelder nach Österreich zu bringen, sondern auch deswegen, weil zu erwarten ist, dass die Resultate auf die weiteren strategischen und legistischen Vorhaben der Kommission einen nicht zu vernachlässigenden Einfluss haben. Welche weiteren Themen, schätzen Sie als besonders wichtig ein? In der stetigen Entwicklung hin zu firmenübergreifenden Standards sehen wir besondere Herausforderungen in der nächsten Zukunft. Drei wichtige Themenbereiche in der näheren Zukunft sind Mail und Kommunikation, Cloud und BYOD sowie Dokumente (Kollaboration und Prozesse). Die firmenübergreifende Standardisierung in diesen Bereichen könnte die nächste Abstraktionsebene und damit wesentliche Effizienzsteigerung bieten. Strategische Themen können zunehmend nicht rein national und lokal bewältigt werden, da die Produkte und Dienstleister auch nicht lokal und national abgrenzbar sind. Daher ist eine effiziente Kooperation auch auf der Europäischen Ebene wichtig. Wir danken für das Gespräch. Das Interview wurde geführt von Wolfgang Eixelsberger. | 7 8 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel Schweizer Standards für elektronische Identität abstract Ronny Bernold I Andreas Spichiger I Reinhard Riedl eCH ist die Schweizer Public-Private-Partnership zur Entwicklung von E-Government Standards (www.ech.ch). Sie funktioniert nach dem Triple-Helix-Modell: Vertreter der Verwaltung, der Wirtschaft und der Hochschulen erarbeiten die Standards für E-Government gemeinsam. Dabei kommt es zum Wissens- und Erfahrungsaustausch und es entstehen Standards, die von allen Akteuren getragen werden. In diesem Artikel wird auf das Standardisierungsfeld Identitäts- und Zugriffsmanagement (Identity and Access Management, im Folgenden als IAM abgekürzt) eingegangen. Die Schweizer Behördenlandschaft ist durch ihren Föderalismus und ein besonders ausgeprägtes Subsidiaritätsprinzip charakterisiert. Dies spiegelt sich auch im E-Government wieder. Um hier die Kollaboration zu vereinfachen, wurde 2003 die Standardisierungsorganisation eCH als Public-Private-Partnerschaft gegründet und 2007 eine nationale E-Government-Strategie verabschiedet. Letztere benennt als besonderes Potenzial von E-Government u. a. den Punkt „Richtig verstandenen Föderalismus als Chance nutzen“. An diesem Punkt setzt die IAM-Standardisierung von eCH an und spezifiziert Grundlagen und Konzepte, um organisationsübergreifende Behördengänge vertrauenswürdig abzuwickeln. Mit dem Standard „eCH-0107 Gestaltungsprinzipien für die Identitäts- und Zugriffsverwaltung (IAM)“ ist nun die dafür wichtige Grundlage in seiner zweiten Version verabschiedet. Externe partizipieren an der Leistungserbringung. Die zu- nehmende Verbreitung von organisationsübergreifenden E-Government-Prozessen erhöht die Komplexität des elektronischen Behördenverkehrs. Immer öfter gehen Behördenprozesse auch über die Grenze eines Amtes oder sogar der zuständigen Stellen hinaus. So werden externe Behördenpartner und die Bürger immer direkter in den elektronischen Produktionsprozess der Behördenleistung integriert, sei dies bei der Eingabe von Daten, in der Prozesssteuerung oder auch in die direkte Mitarbeit. Daneben werden Dienstleistungen vermehrt von mehreren Behördenstellen zusammen angeboten. Zusätzlich gibt es Versuche, dort wo zwingend mehrere Ämter allenfalls auch un- terschiedlicher Verwaltungsebenen in Geschäftsprozesse involviert werden müssen, diese medienbruchfrei zu gestalten. In der Folge stehen heutige moderne E-Government-Lösungen immer häufiger vor der Herausforderung, organisationsfremden Personen Zugriffe und Berechtigungen auf ihre Ressourcen zu geben. Die Nutzungsgrenzen der Applikationsportale und der IT-Systeme verschwimmen immer mehr. War vor einiger Zeit der Benutzerkreis noch relativ überschaubar klein, müssen nachhaltige Lösungen in Zukunft für einen offenen Benutzerkreis konzipiert werden. Je mehr Akteure beteiligt sind und je mehr Systeme und Datenquellen vernetzt werden, desto wichtiger und zugleich komplexer gestaltet sich die sichere Identifikation und Berechtigungsprüfung der Akteure. Föderierte IAM-Lösungen. In der Vergangenheit pflegte jede Applikation als schützenswerte Ressource aufwändig (und selten aktuell) einen eigenen Stamm der berechtigten Identitäten. Zudem authentifizierte die Applikation den Benutzer auch gleich selber. Die dabei entstehenden Benutzerverwaltungen führten die Identitäten der eigenen Mitarbeitenden und externer Benutzer (z.B. Kunden oder Lieferanten) sowie deren Zugriffsrechte für die jeweiligen Applikationen. Das birgt ein entsprechend hohes Fehlerpotential, führt in der Praxis zu entsprechenden Sicherheitsrisiken und verursacht einen hohen Pflegeaufwand für die Identitäten. Um dies zu beherrschen, verfolgen Unternehmen aktuell für interne Zwecke typischerweise den Ansatz, berechtigungsrelevante Informationen in Verzeichnissen zu replizieren und diese organisati- fachartikel eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 onsweit für alle berechtigenden Systeme zugreifbar zu machen. Die Informationen aktuell zu halten und deren Qualität sicherzustellen, stellt aber weiter eine grosse Herausforderung dar. Die Datenreplikation organisationsübergreifend fortzuführen ist aus Sicht der Informationsqualität, Informationssicherheit wie auch des Datenschutzes nicht vorstellbar. Wirtschaft, Verwaltung und Wissenschaft in eCH erlaubt es, praxisrelevante, breit abgestützte Standards zu realisieren. Alle Standards von eCH werden in einer öffentlichen Konsultation, an welcher jedermann teilnehmen kann, zur Diskussion gestellt. Sie sind nach Verabschiedung auf der Website frei verfügbar und können von allen interessierten Kreisen weiterverwendet werden. In einer idealtypischen Lösungswelt werden die Personeninformationen von der jeweiligen Heimat-Organisation über Organisationsgrenzen hinweg föderiert zur Verfügung gestellt. Bei einer Identity Federation verbleiben die Identitätsinformationen entsprechend dort, wo diese ihre prozessuale Hoheit haben, können aber gleichzeitig für andere Services verwendet werden. Der Standard eCH-0107. eCH-0107 ist ein Referenzmodell und stellt den Grundpfeiler der IAM-Standardisierung in der Schweiz dar. Es definiert die Prinzipien, die Regeln und den Ordnungsrahmen für die IAMSystemgestaltung, welche beim Bereitstellen von föderierten IAM-Lösungen im föderalen Schweizer EGovernment berücksichtigt werden sollen. Dafür wird eine modellhafte IAM-Landschaft für bestehende und neue Anwendungen in organisationsübergreifenden Applikationsszenarien beschrieben. Grundannahme ist, dass IAM-Geschäftsservices durch verschiedenste Akteure verteilt erbracht resp. genutzt werden können. Der Standard spezifiziert die Anforderungen, die Stakeholdergruppen, die Prozesse, die Informationsarchitektur, die Geschäftsservices und mögliche Identity Federation-Modelle. Abbildung 1 stellt schematisch dar, wie Subjekte mit Informationen aus ihrer Heimatdomäne Zugriff auf Ressourcen in einer anderen Domäne erhalten. Einer eIdentity eines Subjekts wird auf der Basis seiner Attribute die Berechtigung eines Zugriffs auf eine durch eine eRessource repräsentierte Ressource gewährt. Insbesondere schafft eCH-0107 mit dem ausführlichen Glossar, dem Informationsmodell und der Definition der Prozesse und Geschäftsservices eine einheitliche konzeptionelle Basis, um organisationsübergreifend eine gemeinsame Sprache und modellhafte Architektur zu haben. Abb. 1 : Domänenübergreifende Zugriffskontrolle Standardisierung des E-Goverment-IAM. Eine Identity Fe- deration ist kein eigentlicher Dienst, sondern vielmehr ein gemeinsames Konzept und eine Vorgehensweise. Die Schaffung eines gemeinsamen Verständnisses unter anderem durch die Formulierung von Standards ist dabei auf verschiedenen Ebenen unerlässlich. So müssen sich kooperierende Organisationen erstens über die Semantik und organisatorische Relevanz von Identitätsinformationen verständigen. Zweitens muss eine Einigkeit über die eingesetzten Designprinzipien und technischen Schnittstellen herrschen. Drittens sind standardisierte Qualitätsmodelle eine unerlässliche Grundlage, um organisationsübergreifend festzustellen, ob die angelieferte Identitätsinformation dem Schutzbedarf entspricht. Die Standardisierung bei eCH hat das primäre Ziel, zwischen allen beteiligten Akteuren Konsens zu schaffen. Die Zusammenarbeit zwischen | 9 Ronny Bernold Wissenschaftlicher Mitarbeiter, Berner Fachhochschule, Fachbereich Wirtschaft; [email protected] Prof. Dr. Andreas SPICHIGER Abteilungsleiter Forschung und Dienstleistungen, Berner Fachhochschule, Fachbereich Wirtschaft; [email protected] Fazit. Organisationsübergreifendes, föderiertes IAM bie- tet wirtschaftliche Vorteile, aber auch Vereinfachungen für die teilnehmenden Organisationen und Unternehmen. Die gemeinsame Nutzung von Ressourcen oder Identitätsinformationen führt vor allem langfristig zu einer Kostenersparnis und der Konsolidierung von Prozessen. Nicht zuletzt werden die Endbenutzer davon profitieren, die eine digitale Identität für eine Vielzahl von Anwendungen benutzen können, statt für jede einen eigenen Benutzernamen plus Passwort zu pflegen. Mit dem Standard eCH-0107 ist eine gemeinsame Basis für deren Verankerung gelegt. Als zwei weitere wesentliche Elemente hat eCH die schutzbedarfsgerechte Authentifizierungsqualität und die Konkretisierung der IAM-Dienste identifiziert. Für „eCH-0170 Qualitätsmodell für elektronische Identitäten“ und „eCH-0167 SuisseTrustIAM Rahmenkonzept“ sind die Konsultationen abgeschlossen. Wir erwarten ihre Verabschiedungen im ersten Halbjahr 2014. Prof. Dr. Reinhard RIEDL Leiter Forschung und Dienstleistungen, Berner Fachhochschule, Fachbereich Wirtschaft [email protected] 10 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel E-Partizipation für Europas Jugend abstract Michael Sachs Die Europäische Kommission hat Interesse an der Weiterentwicklung von Mechanismen für E-Partizipation, die länderübergreifend funktionieren und auch Randgruppen eine gemeinsame Stimme geben können. Eine Reihe von Forschungsprojekten, die sich mit der Umsetzung solcher Mechanismen beschäftigen, befindent sich in der Abschlussphase und gewonnene Erkenntnisse fließen in die künftigen Ausschreibungen der Europäischen Kommission ein. „OurSpace – The Virtual Youth Space“ zählt zu den erfolgreichen Projekten und liefert Einblicke in konkrete Probleme und zeigt Lösungen auf. Das von der Europäischen Kommission geförderte Projekt „OurSpace – The Virtual Youth Space“ hat zum Ziel, jungen Menschen eine Diskussionsplattform für ihre politischen Anliegen zu geben und sie in Kontakt mit EntscheidungsträgerInnen zu bringen. Derzeit befindet sich das Projekt in der Abschluss- und Evaluationsphase, konkrete Ergebnisse werden voraussichtlich Ende des zweiten Quartals 2014 veröffentlicht werden. Das Konsortium des Projekts besteht aus neun Partnern aus sieben EU-Ländern. Österreich ist vertreten durch die Donau-Universität Krems, die das Projekt evaluiert, alle Piloten koordiniert und einen davon in Österreich umsetzt. Das Pilotprojekt wird in Österreich, Tschechien, Griechenland und dem Vereinigten Königreich realisiert, wobei die vier Piloten unterschiedliche Umsetzungsstrategien verfolgen. Während in Tschechien und im Vereinigten Königreich politische Jugendorganisationen ihre Netzwerke nutzen um Diskussionen in den online-Foren zu fördern, werden in Griechenland vor allem provokante Kampagnen in Medien geschalten. In Österreich werden insbesondere durch Workshops in Schulen, Jugendliche mit unterschiedlichsten Interessen mit dem Thema der E-Partizipation konfrontiert. Sämtliche Piloten nutzen einen Mix von Kommunikationskanälen, um potenzielle UserInnen anzusprechen. Aus den Datensätzen der Plattform ist ersichtlich, dass reine online-Kampagnen zur Involvierung von Jugendlichen kaum Erfolg haben. Gezielte offline-Aktivitäten zur Bewerbung der E-Part-Plattform bringen die höchsten UserInnenaktivitäten auf der Plattform. Um die bestehende Community wieder anzusprechen sind Internetkanäle allerdings sehr nützlich. Über 3.600 UserInnen haben in den vergangenen 1,5 Jahren zirka 4.800 Postings verfasst, die mit über 6.000 Likes bewertet wurden. Etwas mehr als 10 % der BesucherInnen registrierten sich auf der Plattform. Ein Drittel der österreichischen EuropaparlamentarierInnen hat Themen auf der Plattform zur Diskussion mit Jugendlichen online gestellt, was im Vergleich mit anderen Piloten den Spitzenwert darstellt. Die Involvierung von EntscheidungsträgerInnen ist für drei der Piloten ein Schlüsselelement für die Motivation der UserInnen sich einzubringen. Ausgenommen hiervon ist Griechenland, wo sich keine PolitikerInnen oder VertreterInnen der öffentlichen Verwaltung namentlich auf der Plattform engagiert haben. Die angespannte politische Situation in Griechenland spiegelt sich in kontroversen Diskussionen mit zahlreichen Kommentaren auf OurSpace wieder. Eine Besonderheit der Plattform ist der vierstufige, moderierte, ergebnisorientierte Diskussionsprozess. ModeratorInnen müssen vertiefende Informationen zu den Diskussionsthemen aufbereiten, PolitikerInnen zielgerichtet einbinden, und die Diskussionen individuell durch die verschiedenen Phasen begleiten. In der ersten Phase des Prozesses können Themenvorschläge und Problemstellungen vorgestellt und bewertet werden, in der zweiten Phase können Kommentare oder konkrete Lösungsvorschläge eingebracht und darüber abgestimmt werden, in der dritten Phase werden die best-bewerteten Lösungsvorschläge der finalen Abstimmung zugeführt, deren Ergebnisse in der vierten Phase präsentiert werden. Hier kann noch einmal Feedback, insbesondere von EintscheidungsträgerInnen, gepostet werden. Moderation der Kommentare erfolgt erst bei Bedarf nach deren Veröffentlichung, um Transparenz zu gewährleisten. Die Möglichkeit sich per Facebook-App an der Diskussion zu beteiligen und eine Mobile-App für Android schaffen einen einfachen mobilen Zugang zu den Inhalten der Plattform. Eine integrierte Übersetzungsfunktion dient zum Abbau der Sprachbarrieren und funktioniert gut, sofern die zu übersetzenden Textbausteine sprachlich korrekt sind. Während nationale Debatten in der jeweiligen Landessprache geführt werden, ist die Sprache bei EUDebatten nicht näher definiert, wobei Englisch überwiegt. Eine Registrierung auf der Plattform kann über die klassische Eingabe von Stammdaten oder via FacebookConnect erfolgen, wobei Facebook-Connect aufgrund der Ein-Klick-Anmeldung gut von jungen UserInnen angenommen wird. Die verpflichtende Registrierung ist jedoch eine Hürde für die Beteiligung, zumal die eingegebenen Stammdaten in der Umsetzung von OurSpace nicht geprüft werden, um den Prozess möglichst niederschwellig zu halten. Nicht alle Funktionen der aktiven Beteiligung auf einer E-Part-Plattform sollten jedoch eine Registrierung voraussetzen. Jugendliche stehen Angeboten der elektronischen Beteiligung prinzipiell sehr positiv gegenüber. Qualitative Beteiligungsprozesse sind aber auch online langatmig, was der Web-Geschwindigkeit entgegensteht. Sich sinnvoll in einen qualitativen, politischen Diskussionsprozess einzubringen, benötigt von allen Beteiligten Engagement und vor allem Zeit. Das Verfassen von differenzierten Argumenten muss geübt sein, und nicht alle BürgerInnen sind dazu in der Lage. Die Aktivität der UserInnen über die vier Phasen mehrere Wochen aufrecht zu halten, erfordert sehr aktive Kommunikationsstrategien von Seiten des OurSpace-Konsortiums.Design und Usability sind bei eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 elektronischer Beteiligung ein wichtiger Faktor für nachhaltigen Erfolg. Nur wenn alle Tools an einem Ort integriert sind, werden diese auch angenommen. Nachträglich wurden bei OurSpace Kommunikations- und Informationskanäle wie Blogs und Twitter aufgebaut. Da diese Kanäle aber nicht sonderlich sichtbar auf der Plattform integriert sind, sind die Zugriffszahlen auf diese Werkzeuge viel geringer als auf die Foren der Plattform selbst. Das Projekt OurSpace wurde noch zu Beginn des Facebook-Booms konzipiert, doch die Ansprüche der UserInnen haben sich durch soziale Netzwerke verändert. Diskussionen in Foren werden angenommen, da das Interesse an BürgerInnenbeteiligung gegeben ist. Der Mangel an Netzwerkfunktionen, wie Freunde machen oder Instant Messaging, wurde jedoch kritisiert; ebenso sollten Medieninhalte leicht einzubetten sein und Kommentare editiert werden können. Auch wenn bei Partizipationsprojekten die Inhalte im Vordergrund stehen, sollte bereits die Benutzeroberfläche die Funktionalitäten klar darstellen können. Der Zweck der Plattform, die dahinter liegenden Prozesse und die versprochenen Resultate müssen auf einfache Art und Weise kommuniziert werden. Was von einer Plattform für E-Partizipation versprochen wird, muss auch gehalten und transparent gemacht werden; auf europäischer Ebene in mehreren Sprachen unterschiedlicher Kulturkreise. links fachartikel OurSpace Plattform: www.joinourspace.eu Projektseite: www.ep-ourspace.eu | 11 Mag. Michael SACHS Wissenschaftlicher Mitarbeiter, Zentrum für E-Governance, DonauUniversität Krems; [email protected] 12 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel Transparente Gemeindefinanzen auf Knopfdruck abstract Bernhard Krabina Unter http://offenerhaushalt.praxisplaner.at steht allen Gemeinden Österreichs ein neues Service zur Verfügung: mit wenigen Mausklicks können die Rechnungsabschlüsse der eigenen Gemeinde im Internet veröffentlicht werden. Veröffentlicht werden dabei nicht nur die Daten, sondern auch interaktive Visualisierungen, um den Bürgerinnen und Bürgern eine zeitgemäße Darstellungsform der Gemeindehaushalte bieten zu können. Bereits über 170 Gemeinden haben ihre Gemeindefinanzen transparent dargestellt. Veröffentlichung von Finanzdaten. Die Veröffentlichung der Finanzdaten ist für viele Behörden eine Routineübung: seit Jahren stellen die meisten Länder und Gemeinden ihre Rechnungsabschlüsse in Form von PDF-Dokumenten auf der eigenen Website zur Verfügung. Aus zwei Gründen ist diese aber nicht mehr ausreichend: zum einen ist diese Form technisch keine zeitgemäße Veröffentlichungsform, wie auch der Österreichische Stabilitätspakt 2012 in Artikel 12 (Abs. 1) anerkennt: „Die Haushaltsbeschlüsse […] sind […] in einer Form im Internet zur Verfügung zu stellen, die eine weitere Verwendung ermöglicht (z.B. downloadbar, keine Images oder PDF).“(1) Zum anderen ist das Durchblättern von oft mehreren hundert Seiten umfassenden PDF-Dokumenten eine recht mühsame Angelegenheit – für Budgets gibt es ansprechendere und interaktivere Darstellungsformen im Internet. Auf dem österreichischen OGD-Portal data.gv.at wird Bund, Ländern und Gemeinden bereits eine Plattform zur Veröffentlichung der Daten angeboten, leider wird diese nur von einigen Gemeinden auch zur Veröffentlichung von Finanzdaten verwendet: von insgesamt 1.119 Datensätzen sind erst 86 aus der Kategorie „Finanzen und Rechnungswesen“(2). Bisher wurden diese Daten auch kaum für Anwendungen und Visualisierungen verwendet, was vor allem daran liegt, dass es keinen einheitlichen Standard dafür gibt, wie diese Daten zu veröffentlichen wären. Daher unterschei- den sich die angebotenen Daten sowohl technisch als auch inhaltlich wesentlich. In diese Lücke stößt Offener Haushalt: die Bürgermeisterinnen und Bürgermeister haben Zugangsdaten zum Portal erhalten, in dem die Rechnungsabschlüsse aller Gemeinden in einem standardisierten Format bereits enthalten sind (Datenquelle: Statistik Austria). Es liegt nun im Ermessen der jeweiligen Gemeinde, ob sie die Visualisierungen der eigenen Budgetdaten nur selbst nutzt, die Zugangsdaten an Verwaltungsbedienstete oder den Gemeinderat weitergibt oder generell freischaltet, wodurch die Visualisierungen und Daten generell im Internet einsehbar sind. Interaktive Visualisierungen. Seit Herbst 2013 stehen allen Gemeinden Österreichs folgende Darstellungsformen ihres Gemeindehaushalts zur Verfügung: • Visualisierung der Rechnungsabschlüsse 2001-2012 inklusive Daten als Tabelle • darunter die korrespondierende Querschnittsrechnung als Tabelle • beides interaktiv: anklick- und navigierbar, bis auf die Ebene der Unterabschnitte (3 Ebenen) • Detailansicht mit der Entwicklung über alle Jahre, auch auf allen Ebenen • Darstellung „Wohin fließt der Steuereuro?“ basierend auf 1.000 EUR bezahlter Steuern. fachartikel eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 | 13 Abb. 1: Funktionelle und Ökonomische Gliederung des Haushalts Abb. 2: Wohin fließen 1.000 Euro an Steuern? Als zusätzliche Darstellungsart ist neben dem Jahresverlauf über alle 12 Jahre in Form von interaktiven Liniendiagrammen, noch eine Darstellung „Wohin fließt der Steuereuro?“ verfügbar, die von der Bezeichnung der Bereiche von der VRV abweicht, um allgemein verständlichere Begriffe zu verwenden. Darüber hinaus werden nur die Themen dargestellt, die einen Abgang von Finanzmitteln bewirken. Kostendeckende oder Überschuss erwirtschaftende Bereiche werden nicht dargestellt, da diese z. B. über Gebühren finan- ziert werden und somit kein Steuergeld dafür ausgegeben werden muss. Dargestellt wird nun, welcher Anteil von statistischen 1.000 EUR (um vorstellbare Größen zu erhalten) in welche Leistungsbereiche einer Gemeinde investiert worden sind. Weiterentwicklungen. Es sind zahlreiche Weiterentwicklungen der Plattform in Planung, doch im ersten Schritt steht im Vordergrund, die Anzahl der Gemeinden zu vergrößern, die die Plattform nicht nur intern nutzen, sondern die auch den Schritt der Freischaltung gehen. Per Februar 2014 wird durch die 170 Gemeinden zwischen 5 und 35 Prozent der Bevölkerung des jeweiligen Bundeslandes ermöglicht, die Finanzdaten der eigenen Gemeinde anzusehen, Tendenz steigend. Die Darstellungsformen der Haushaltsdaten auf Offener Haushalt bieten die Chance auf einen qualifizierteren Diskurs mit besser informierten Bürgerinnen und Bürgern. literatur Als De-facto-Standard für Visualisierungen von Budgets hat sich international die „Treemap“ durchgesetzt, die Budgetzahlen in unterschiedlich großen und verschieden eingefärbten Blöcken darstellt. Da in Österreich die Systematik der Kontenbezeichnungen durch die VRV („Voranschlags- und Rechnungsabschlussverodnung“)(3) normiert ist, ändern sich die Farben nicht nach der Größe der Blöcke, sondern bleiben über alle Gemeinden hinweg in der gleichen Farbe dargestellt, egal, wie groß der Block in der jeweiligen Gemeinde ist. Zur noch besseren Benutzbarkeit ist eine Suchfunktion nach Bezeichnungen der Gruppen/Abschnitte/Unterabschnitte und ein Schalter verfügbar, mit dem auf eine Pro-Kopf-Darstellung umgeschaltet werden kann (siehe Abb. 1). (1) Stabilitätspakt 2012: http://www.ris.bka.gv.at/ Dokument.wxe?Abfrage=Bundesnormen& Dokumentnummer=NOR40147247 (2) Data.gv.at: http://www.data.gv.at/suche/ (3) VRV: http://www.offenerhaushalt.at/kameralistik Mag. Bernhard KRABINA Wissenschaftlicher Mitarbeiter, Berater und Trainer im KDZ – Zentrum für Verwaltungsforschung; [email protected] 14 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel Wartezeiten in den Wiener Bezirksämtern online abrufbar abstract Gerhard Kainz I Thomas Skerlan-Schuhböck Seit September 2013 bieten die Magistratischen Bezirksämter der Stadt Wien ein neues Service an: Die aktuellen Wartezeiten in Meldeangelegenheiten und bei der Passantragsstellung sind online abrufbar. Für die Bürgerinnen und Bürger und für die Verwaltung wurde eine Win-Win Situation geschaffen. Die Auswahl eines Bezirksamts mit kurzen Wartezeiten ist einfach möglich und die Stadt Wien hat die Möglichkeit einer effizienten Lenkung der Kundenströme. Wartezeiten Online. Mehr als 4 Millionen persönliche Kundenkontakte werden in den Bezirksämtern jährlich verzeichnet. Es gibt dabei Zeiten, wie etwa bei Passanträgen vor der Urlaubszeit, bei denen es zu einem verstärkten Andrang kommen kann. Um diesem Trend entgegen zu wirken, bietet die Stadt Wien ein neues Service im Virtuellen Amt(1) des Internetauftritts der Stadt Wien an. Dieses Service zeigt die aktuellen Wartezeiten in allen Wiener Bezirksämtern an. Gibt es etwa längere Wartezeiten im 20. Bezirk, so kann in einen anderen Bezirk mit kürzeren Wartezeiten ausgewichen werden. Melde- und Passangelegenheiten. Dieses Service wurde im 1. Schritt für Verfahren mit besonders hoher Fallzahl freigeschaltet, d. h. für die Verfahren im Bereich Melde- und Passangelegenheiten(2)(3). Da die Verfahren in jedem Bezirksamt – also unabhängig vom Wohnbezirk – durchgeführt werden können, haben die Kundinnen und Kunden mit diesem Service die Möglichkeit, „ihr“ Bezirksamt z. B. für die Beantragung eines Reisepasses auszusuchen. Darüber hinaus nützt die Stadt Wien die Möglichkeit, auf diesen Seiten auf weitere Services hinzuweisen, z. B. die Online-Reservierung von Terminen. Technik und Nutzung. In den Bezirksämtern sind moderne Ticketautomaten im Einsatz, bei denen sich die Kundinnen und Kunden ein Ticket lösen und auf einer übersichtlichen Anzeige sehen, wer als Nächstes aufgerufen wird. Dieses System basiert auf einem zentralen Server, der vom Rechenzentrum der Stadt Wien gehostet wird und auf Clients, die lokal auf den Arbeitsplatzrechnern in den Bezirksämtern installiert wurden. Mit diesen Clients können die Mitarbeiterinnen und Mitarbeiter die Anzeige im Vorzimmer steuern. Die Stadt Wien hat ein neues Service erstellt, das die Informationen über die aktuellen Wartezeiten am Server abfragt, auswertet und im Internet anzeigt. Vom Start Anfang September 2013 bis November 2013 wurde dieses Service mehr als 40.000 Mal aufgerufen. Rund zwei Drittel aller Kundinnen und Kunden haben sich über die Wartezeiten bei Verfahren im Meldewesen informiert, rund ein Drittel für Passangelegenheiten. Responsive Webdesign. Mit stetig weiter steigenden mo- bilen Nutzungszahlen – und da die Information der Wartzeiten auch unterwegs von großer Bedeutung sein kann – wurde die Applikation nach den Grund- fachartikel eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 DI Dr. Gerhard KAINZ Stadt Wien, Magistratsabteilung 14 Automationsunterstützte Datenverarbeitung, Informations- und Kommunikationstechnologie, E-Government; gerhard. [email protected] Abb. 1: Darstellung der Wartezeiten auf Endgeräten wie Laptops oder Desktop-PCs sätzen des „Responsive Webdesign“ erstellt, d. h. die Darstellung richtet sich automatisch am verwendeten Endgerät und der aktuellen Bildschirmgröße aus. Dies war aufgrund der Inhalte – die Wartezeiten werden graphisch dargestellt – eine besondere Herausforderung. Ist der zur Verfügung stehende Platz im Browser für die Darstellung der Zeiten in einem Säulendiagramm nicht ausreichend – typischerweise bei Smartphones – so werden die Zeiten in einem Balkendiagramm dargestellt. Servicecharakter. Die Online-Wartezeiten bieten für Kundinnen und Kunden eine weitere Erleichterung auf dem Behördenweg. Das neue Service stellt für Wien einen weiteren Baustein für eine international vorbildliche Stadtverwaltung dar. Mit diesem Service lenkt die Wiener Stadtverwaltung effizient die Kundenströme zu weniger frequentierten Ämtern. Abb. 2: Darstellung der Wartezeiten auf portablen Endgeräten wie Smartphones Thomas SKERLANSCHUHBÖCK Stadt Wien, Magistratsdirektion der Stadt Wien, Geschäftsbereich Organisation und Sicherheit; [email protected] literatur Open Government Data. Auf dieses Service wurde schnell die lebendige und kreative Open-Government-DataCommunity in Wien aufmerksam. Kurz nach der ersten Anfrage, ob diese Daten auch im OGD-Katalog der Stadt angeboten werden, stellte der Wiener Magistrat sie bereits zur Verfügung. Die erste, von der Community erstellte Web-App “Wann aufs Meldeamt?”(4) ist bereits abrufbar. Diese zeigt übersichtlich, wann die besten Zeiten sind, um aufs Meldeamt zu gehen. | 15 (1) Virtuelles Amt der Stadt Wien. http://amtshelfer.wien.gv.at. (2) Wartezeit in den Meldeservicestellen http://www.wien.gv.at/wartezeiten/meldeservice. (3) Wartezeit in den Passservicestellen http://www.wien.gv.at/wartezeiten/passservice. (4) OGD Web-App “Wann aufs Meldeamt?“ https://open.wien.at/site/wann-aufs-amt. 16 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel „Digital Divide“ in der kommunalen Verwaltung - IT-gestützte Verwaltungsentwicklung in der Bauaufsicht abstract Jürgen Stember I Matthias Neutzner Unter dem Thema „Stand und Perspektiven der Verwaltungsentwicklung in der Bauaufsicht“ wurde von der Hochschule Harz und der Fa. Syncwork aus Dresden eine repräsentative bundesweite Studie zur IT-orientierten Verwaltungsentwicklung in unteren Bauaufsichtsbehörden durchgeführt. Die Studie untersuchte den Status-Quo und die Perspektiven der Verwaltungsmodernisierung sowie des E-Governments. Dabei zeigte sich, dass zwar einige Verwaltungen schon beachtliches leisten, der digitale Graben zwischen den einzelnen Verwaltungen aber deutlich größer ist als bislang angenommen. Seit gut zwei Jahrzehnten ist Verwaltungsmodernisierung vor allem von zwei Strategien geprägt: Während das „Neue Steuerungsmodell“ auf eine grundlegende Reform von Selbstverständnis und Management der Verwaltungen zielte, beschrieb „E-Government“ das Leitbild einer umfassend technisierten Verwaltungsarbeit. Was ist seither tatsächlich erreicht worden? Wo stehen die Behörden der Bundesrepublik in ihrem Bemühen, den gesellschaftlichen Anforderungen an zeitgemäße Verwaltungsarbeit nachzukommen? Zum ersten Mal ermöglicht es eine repräsentative Studie, diese Fragen beispielhaft an einem konkreten Handlungsfeld der Kommunalverwaltung zu diskutieren: Die Hochschule Harz und die Syncwork AG, unterstützt vom Niedersächsischen Heidekreis als Praxispartner, befragten im Frühjahr 2013 bundesweit untere Bauaufsichtsbehörden. Mehr als einhundert Verwaltungen aus 13 Bundesländern beantworteten den umfangreichen Fragebogen, was einer Rücklaufquote von 26% entsprach. Ergänzt wurden die quantitativen Ergebnisse durch zahlreiche qualitative Interviews mit kommunalen Partnern. Prozesse der Bauaufsicht als geeigneter Gradmesser. Die Autoren der Studie verstehen unter „Verwaltungsentwicklung“ alle jene Aktivitäten, die von den öffentlichen Verwaltungen unternommen werden, um in einem sich verändernden gesellschaftlichen Umfeld die Voraussetzungen für ihre Tätigkeit zielgerichtet und nachhaltig zu verbessern. Angesichts des breiten Leistungsspektrums und vielgestaltiger Organisationsformen ist es schwierig, Verwaltungsentwicklung in ihrer Gesamtheit zu fassen. Die vorliegende Studie geht bewusst einen anderen Weg: Untersucht wurde ein einziger Aufgabenbereich der Kommunalverwaltungen - die untere Bauaufsichts- behörde. Im Sinne einer empirischen „Tiefenbohrung“ konnte so im Detail skizziert werden, in welchem Maße die Modernisierungsstrategien, die in den vergangenen Jahren Schlagzeilen machten, tatsächlich das konkrete Verwaltungshandeln veränderten. Für eine solche Analyse eignet sich die Bauaufsicht in doppelter Hinsicht. Einerseits sind Baubehörden eng mit der sich verändernden Lebenswirklichkeit unseres Landes verbunden. Andererseits bieten die fachlich anspruchsvollen und hochgradig kooperativen baurechtlichen Verwaltungsverfahren Ansatzpunkte für nahezu alle denkbaren Modernisierungsbemühungen – von Mitarbeiterqualifikation bis zur elektronischen Bauakte, vom Service-Center bis zum Online-Bauportal. Wenige Pioniere, manche Absichtserklärungen, breites Abwarten. Der „digitale Bauantrag“ war eine der viel diskutierten Visionen des frühen E-Government. Ende der 1990er Jahre wurden bundesweit Pilotvorhaben mit erheblichem Mitteleinsatz gestartet, um insbesondere das Baugenehmigungsverfahren elektronisch abzubilden. Eineinhalb Jahrzehnte später, so kann man annehmen, müsste die „digitale Bauaufsicht“ längst Standard sein. Die Studie zeichnet ein deutlich anderes Bild. Während E-Government unwidersprochen als eine zentrale Modernisierungsstrategie gilt, ist der Digitalisierungsgrad in den baurechtlichen Verwaltungsverfahren nach wie vor gering. Kaum zwei Prozent der Verwaltungen wickeln beispielsweise das Baugenehmigungsverfahren vollständig elektronisch ab, kommen also von der Antragstellung bis zur Auslieferung der Bescheide weitgehend ohne die klassische Bauakte in Papierform aus. Allerdings müssen fachartikel auch diese Verwaltungen nach wie vor Medienbrüche in der Kommunikation mit ihren Kunden bewältigen: Selbst die „Pionierverwaltungen“ mit teils langjährigen E-Government-Erfahrungen berichten von maximal einem Drittel elektronisch eingereichter Bauanträge. eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 Maße sich einzelne Verantwortliche in den Fachorganisationen engagieren und über welche Durchsetzungskraft sie verfügen. Befragt danach, in welchen Aspekten sich ihre Verwaltung verändern müsse, benennen die „Aktiven“ vor allem die Steuerung der Verwaltungstätigkeit und deuten damit auf problematische Erfahrungen in Entwicklungsprojekten. Dagegen sehen die beim IT-Einsatz eher zögerlichen Verwaltungen mit großem Abstand die Beschaffung von geeignetem Personal als wichtigstes Hindernis für ein eigenes Engagement. Abb. 2: Veränderungsbedarf bei den befragten Kommunalverwaltungen. Quelle: Hochschule Harz / Syncwork AG 2013 Abb. 1: Verwaltungstypisierung der befragten Kommunalverwaltungen. Quelle: Hochschule Harz / Syncwork AG 2013 Weitere zehn Prozent der bundesdeutschen Bauaufsichtsbehörden haben bislang entsprechende Einführungsprojekte gestartet. Diesen „Aktiven“ steht die große Mehrzahl der Verwaltungen gegenüber, die entweder erst in den kommenden Jahren mit der Umstellung auf eine vollständig elektronische Bearbeitung beginnen wollen (46 % „Abwartende“) oder dies bislang gänzlich ausschließen (42 % „Traditionalisten“). In diesem „Digital Divide“ spiegeln die Kommunalverwaltungen einen allgemeinen gesellschaftlichen Trend – mit allerdings deutlich konservativerer Ausprägung als etwa in der Wirtschaft oder selbst bei den Bürgern. Aber auch nicht-technische Rahmenbedingungen erweisen sich oft als problematisch: Beispielsweise bewerten zwei Drittel aller Befragten die Formvorschriften im Baurecht als zu strikt und die Regelungen für deren elektronische Umsetzung als nicht praxisgerecht. Zudem deuten die Kommentare der Befragten an, dass auch nach Jahren juristischer Diskussionen und gesetzgeberischer Initiativen die Verwaltungen noch verunsichert sind, wie die elektronische Bearbeitung von Verwaltungsverfahren rechtskonform umgesetzt werden kann. Dem „Digital Divide“ entsprechen deutliche Unterschiede auch in anderen, nicht-technischen Aspekten der Verwaltungsentwicklung: Wenn Verwaltungen als modern und innovativ eingeschätzt werden, dann sind sie dies nicht nur in Bezug auf den IT-Einsatz, sondern auch in anderen Managementbereichen – etwa bei der Umsetzung des Qualitäts- und Servicemanagements. Hauptproblem: Fehlende Steuerung und problematische Rahmenbedingungen. Die Gründe für diesen Befund sind zunächst im verwaltungsinternen Management der Veränderungsprozesse zu suchen. So wurden als Erfolgsbedingungen für Modernisierungsprojekte vor allem zwei Aspekte betont: Erstens, eine nachhaltige Steuerung durch die Verwaltungsleitung und zweitens, ausreichend qualifiziertes Personal. Gleichzeitig scheinen genau diese Voraussetzungen in vielen Fällen nicht gegeben zu sein. In zwei Dritteln aller befragten Verwaltungen fehlen verbindliche Planungen für Veränderungsprojekte. Damit sind entsprechende Aktivitäten stark davon abhängig, in welchem | 17 Resümee. Die Ergebnisse der Studie haben in erstaunli- cher Deutlichkeit an einem thematischen Beispiel der Bauaufsicht gezeigt, wie weit die kommunale Landschaft flächendeckend noch vom Leitbild der „IT-orientierten Verwaltung“ entfernt ist. Dass dieser Weg sich lohnt und vor allem aber auch praktikabel und machbar ist, zeigen die „Leuchttürme“, die es zweifelsohne auch gibt. Die Studie ist unter www.hs-harz.de/fbvw kostenlos zum Download bereitgestellt. Prof. Dr. Jürgen STEMBER Dekan des Fachbereichs Verwaltungswissenschaften der Hochschule Harz; [email protected] Matthias NEUTZNER Management Consultant, Syncwork AG; [email protected] 18 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel Identitätsmanagement in Österreich mit MOA-ID 2.0 abstract Thomas Lenz I Bernd Zwattendorfer I Klaus Stranacher I Arne Tauber Mit der neuen Version 2.0 von MOA-ID wurde eine umfassende Modularisierung und Erweiterung vorgenommen. Neben vereinfachten Möglichkeiten zur Integration von MOA-ID, wie eine web-basierte Konfiguration, stehen Service Providern nun viele moderne Funktionen eines Identity Providers zur Verfügung. So wurden neue Authentifizierungsprotokolle integriert, Single Sign-On wird unterstützt und die Möglichkeit des Clusterbetriebs geschaffen. Neben der Anmeldung in Vertretung ist nun auch eine Anmeldung ausländischer Personen möglich. Abgerundet werden die neuen Funktionen über ein internes Monitoring und ein zusätzliches Logging für statistische Zwecke. Die österreichische Bürgerkarte in Form von Chipkarte oder Handy-Signatur ist schon seit Jahren ein wesentlicher Bestandteil im österreichischen E-Government, speziell für die elektronische Kommunikation zwischen Bürgerin bzw. Bürger und Behörde. Neben der Möglichkeit zur Erstellung von elektronischen Signaturen, welche rechtlich handschriftlichen Unterschriften gleichgestellt sind, findet die Bürgerkarte vor allem Einsatz für die sichere und eindeutige Identifizierung und Authentifizierung von Bürgerinnen bzw. Bürgern bei behördlichen oder privatwirtschaftlichen Online-Anwendungen. Um diesen erhöhten Mehrwehrt einer sicheren Identifizierung und Authentifizierung mittels Bürgerkarte auch einfach bei OnlineAnwendungen einbinden zu können, bietet das Bundeskanzleramt das Open Source Softwaremodul MOA-ID (Module für Online Applikationen – Identifikation) an. Dieses Modul übernimmt bzw. vereinfacht den Verifikationsprozess bei einer Bürgerkarten-Anmeldung. Weiters stellt es die Identifikations- und Authentifizierungsdaten der jeweiligen Bürgerin bzw. des jeweiligen Bürgers der Online-Anwendung in strukturierter Form zur Verfügung. Nachdem E-Government zur Effizienzsteigerung von Behördenwegen immer wieder neuen Anforderungen ausgesetzt ist, bedarf es auch entsprechender Anpassungen in einzelnen Modulen wie MOA-ID, um diesen Anforderungen gerecht zu werden. Neue Anforderungen im Identifizierungs- und Authentifizierungsbereich sind beispielsweise eine Authentifizierung in Vertretung mittels elektronischer Vollmachten, die Authentifizierung ausländischer Bürgerinnen und Bürger aufgrund der Dienstleistungsrichtlinie oder neue moderne Authentifizierungsprotokolle, welche zusätzliche Sicherheit bringen. Um diesen neuen Anforderungen im EGovernment gerecht zu werden wurde MOA-ID in Bezug auf Sicherheit, Modularität und Vollmachtenunterstützung vollständig überarbeitet. Die Version 2.0 von MOA-ID (derzeit im Testbetrieb, die öffentliche Release ist für das Quartal 1 2014 geplant(1)) unterstützt unterschiedliche Anwendungsfälle, wie z.B. reine Bürgerkartenanmeldung, Authentifizierung in Vertretung mittels elektronischer Vollmachten oder auch die Authentifizierung ausländischer Bürgerinnen und Bürgern. Alle Authentifizierungsvorgänge können von MOA-ID 2.0 auch als Single Sign-On Anmeldung durchgeführt werden, wodurch eine Anmeldung an unterschiedlichen Applikationen nach einmaliger erfolgreicher Authentifizierung ohne erneute Eingabe von Anmeldedaten möglich wird. Eine für Provider von Online-Applikationen interessante Neuerung ist die überarbeitete und vereinfachte Konfiguration, welche die Integration einer Bürgerkarten-Anmeldung in eine bestehende Web-Applikation deutlich vereinfacht. Hierfür wurde MOA-ID 2.0 um ein Konfigurationstool ergänzt, mit dessen Hilfe die MOA-ID Instanz komfortabel über ein HTML Interface verwaltet werden kann. Mit zusätzlichen Funktionen wie ein erweitertes Monitoring der internen Funktionsabläufe oder eine Statistikfunktion für anonymisierte Zugriffsstatistiken bietet MOA-ID 2.0 viele Funktionen eines modernen Identity Providers. In Abbildung 1 ist die Architektur von MOA-ID 2.0 dargestellt. Ein markanter Unterschied zur vorhergehenden Version ist die Modularität der neuen Version. Alle Hauptkomponenten (Auth Sources, Protocol Adapter, Zusatzmodule) weisen nun ein modernes und modulares Design auf, wodurch die Integration zusätzlicher Authentifizierungsmechanismen oder die Unterstützung neuer Authentifizierungsprotokolle einfach möglich ist. Abb. 1: Modulare Architektur von MOA-ID 2.0 Es müssen nur die dafür vorgesehenen Schnittstellen entsprechend implementiert werden. Bisher wurde von MOA-ID ausschließlich SAML1(2) als Identitäts- und Authentifizierungsprotokoll unterstützt. Da SAML1 jedoch nicht mehr den aktuellen Sicherheitsanforderungen an einen modernen Identity Provider entspricht, stehen ab der MOA-ID Version 2.0 zusätzliche Authentifizierungsprotokolle zur Verfügung. Diese zusätzlichen Protokolle sind das Portalverbundprotokoll 2.1(3) (PVP2), welches auf SAML2(4) basiert, und OpenID Connect(5), ein leichtgewichtiges Identitätsprotokoll, welches auf dem OAuth2(6)-Standard aufbaut. Die zur Verfügung stehenden Protokolle werden im Laufe der Zeit erweitert. So wird aktuell eine Integration von OpenID(7) analysiert und evaluiert. Die Auswahl an Protokollen soll Betreibern von öffentlichen Applikationen den Umstieg von SAML1 auf aktuellere und sicherere Protokolle erleichtern. Neben der Identifizierung und Authentifizierung mittels Bürgerkarte oder Handy-Signatur steht ab MOA-ID 2.0 auch eine Anmeldung von Bürgerinnen und Bürgern aus anderen EU Mitgliedsländern über das STORK(8)Framework zur Verfügung. Die Architektur in Abbildung 1 zeigt jedoch auch weitere Neuerungen, welche für Betreiber einer MOA-ID Instanz interessant sind. Der Hauptteil der Konfiguration wird ab Version 2.0 in eine Konfigurationsdatenbank ausgelagert, welche über ein mitgeliefertes Konfigurationstool verwaltet werden kann. Dies hat nicht nur den Vorteil, dass die Verwaltung über ein grafisches Interface erfolgt, sondern auch dass im Falle von MOA-ID im Clusterbetrieb allen Instanzen zentral konfiguriert werden können. Für Servicebetreiber, für welche eine hohe Verfügbarkeit wichtig ist, bietet MOA-ID 2.0 ein internes Monitoring- und Testmodul, mit deren Hilfe es möglich ist, den internen Status und die Verfügbarkeit der Anmeldefunktionalität zu prüfen, wobei alle relevanten internen Teile wie z.B. die Kommunikation mit dem Signatur-Prüfservice überprüft werden. Zusätzlich steht ein erweitertes anonymisiertes Logging von Zugriffsdaten oder aufgetretenen Anmeldefehlern zur eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 Verfügung. Hiermit ist Service Providern eine zusätzliche Möglichkeit zur Service- und Auslastungskontrolle zugänglich. Zusammenfassend unterstützt MOA-ID 2.0 folgende Anwendungsfälle: •Sichere Identifizierung und Authentifizierung österreichischer Bürgerinnen und Bürger mittels Bürgerkarte oder Handy-Signatur • Anmeldung in Vertretung von natürlichen oder juristischen Personen •Sichere Identifizierung und Authentifizierung von Bürgerinnen und Bürger aus anderen EU Mitgliedsländern Im Vergleich zur Vorgänger-Version von MOA-ID besitzt die Version 2.0 die folgenden Neuerungen bzw. Features: • Modulares und einfach erweiterbares Design • Unterstützung unterschiedlicher Identitätsprotokolle wie PVP2 (auf Basis von SAML2) oder OpendID Connect • Vereinfachter und komfortabler Anmeldeprozess mittels Single Sign-On • Administrationsfreundliches Web-Interface zur Konfiguration • Möglichkeit des Clusterbetriebs • Internes Monitoring- und Testmodul zur Überprüfung des internen Status und der Verfügbarkeit von Services •Erweiterte Logging-Möglichkeiten für statistische Zwecke • Einbinden des STORK-Frameworks zur Unterstützung der Anmeldung ausländischer EU Bürgerinnen und Bürger. literatur fachartikel (1) V eröffentlicht unter: https://joinup.ec.europa.eu/software/ moa-idspss/description. (2) P . Hallam-Baker et al.: “Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML)”, OASIS Standard, September 2003, http://www.oasis-open.org/ committees/download.php/2290/oasis-sstc-saml-1.0.zip. (3) M. Pellmann et al.: „Portalverbundprotokoll Version 2 S-Profil“, AG Integration und Zugänge, August 2013, http://reference.e-government.gv.at/uploads/media/ PVP2_S-Profil_2-1-0_20130823.pdf. (4) S. Cantor et al.: “Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0”, OASIS Standard, March 2005, http://docs.oasis-open. org/security/saml/v2.0/saml-core-2.0-os.pdf. (5) OpenID Connect, http://openid.net/connect. (6) OAuth 2.0, http://oauth.net/2. (7) B. Fitzpatrick et al: “OpenID Authentication 2.0”, OpenID Foundation, Dezember 2007, http://openid.net/specs/ openid-authentication-2_0.html. (8) Secure Identity Across Borders Linked (STORK), https://www.eid-stork.eu/. | 19 DI Thomas LENZ E-Government Innovationszentrum (EGIZ); [email protected] DI Bernd ZWATTENDORFER E-Government Innovationszentrum (EGIZ); bernd.zwattendorfer@ egiz.gv.at DI Klaus STRANACHER E-Government Innovationszentrum (EGIZ); klaus.stranacher@egiz. gv.at Dr. Arne TAUBER E-Government Innovationszentrum (EGIZ); [email protected] 20 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel SECOVIA – Interkommunales „Cloud Computing“, die Zukunft der IT in der Gemeinde? abstract Ursula Polessnig „Cloud Computing“, eine weitgehend standardisierte, zentrale Bereitstellung von IT-Ressourcen (IaaS – Infrastructure as a Service), Diensten (SaaS – Software as a Service) oder Plattformen (PaaS – Platform as a Service) stellt eine Weiterentwicklung des auch bereits in den Gemeinden etablierten Rechenzentrumsbetriebs von Fachanwendungen dar. „Cloud Computing“ hat überdies das Potential, positive Aspekte wie Standardisierung, Datensicherheit, professionelle Softwarelizenzierung und –wartung mit volumensbedingt niedrigen Kosten in Einklang zu bringen. Das Zentrum für Verwaltungskooperation (ZVK) ist als österreichischer Projektpartner an dem EU Projekt SECOVIA (South East Europe jointly developed COmmon advanced VIrtual Accessibility solutions to support public services) beteiligt, welches sich schwerpunktmäßig mit dem Themenfeld „Cloud Computing“ im Bereich der öffentlichen Verwaltung auf kommunaler und regionaler Ebene beschäftigt. Konkret geht es um die Erarbeitung von Empfehlungen und Handlungsanleitungen für den Aufbau von Cloud-Services auf Grundlage bereits bestehender Good Practices. Das Projekt hat im Spätherbst 2012 begonnen und eine Laufzeit von zwei Jahren. Das Projektkonsortium umfasst 13 Partner aus dem Nahbereich der lokalen und regionalen Verwaltung in 10 Ländern. Das globale Ziel von SECOVIA ist die Schaffung von Grundlagen für eine Ausweitung gemeinsam entwickelter, zentral betriebener IT-Lösungen (Cloud Services) auf kommunaler und regionaler Verwaltungsebene. Kooperativ abgewickelte IT-Projekte, die in Österreich im kommunalen Bereich bereits seit vielen Jahren Gang und Gäbe sind, bringen eine Reihe von Vorteilen mit sich. Diese sollen im Projekt SECOVIA insbesondere unter Berücksichtigung der geografischen als auch sozio-ökonomischen Besonderheiten der süd- und südosteuropäischen Länder adressiert werden. Im Vordergrund steht aber nicht nur die interkommunale Kooperation bei der Entwicklung gemeinsamer Services, sondern auch die Nutzung der Vorteile von „Cloud Computing“, um den Zugang zu gemeinsamen IT Services, Ressourcen und Infrastrukturen (nicht zuletzt auch finanziell) zu begünstigen. Damit sollte mittelfristig erreicht werden, dass die Kluft in den Bereichen IKT-Infrastruktur und -Services sowie Zugang zu digital verfügbaren Services der Öffentlichen Hand auf regionaler und lokaler Ebene in Süd-Ost Europa gegenüber anderen EU-Staaten wie beispielsweise Österreich ausgeglichen wird. Österreich nimmt in diesem Projekt als E-GovernmentVorreiter innerhalb der Europäischen Union einen besonderen Stellenwert als Ideengeber, als Know-HowTräger und als Bereitsteller einer beachtlichen Reihe von Good Practices und daraus resultierenden Erfahrungswerten ein. Die Rolle des Österreichischen Projektpartners liegt somit Schwerpunktmäßig im Wissenstransfer zu den Süd-Ost-Europäischen Partnern. Im speziellen verfolgt SECOVIA folgende Zielsetzungen: • Bewertung des aktuellen Status von Cloud-Services in Hinblick auf Bedarf, gegebene Infrastruktur, vorhandene öffentliche Dienstleistungen (im Sinne fachartikel • • • von gesetzlichen und freiwilligen Aufgaben der regionalen und lokalen Ebene) in Österreich und im Vergleich dazu in süd- und südosteuropäischen Ländern. Identifikation, Analyse und Austausch von Good Practice Beispielen sowie die Bewertung des Bedarfs und der Sichtweise von Projekt-Stakeholdern (aus den teilnehmenden Ländern) betreffend gemeinsamer Cloud Services für die öffentliche Verwaltung (Ressourcen, Infrastruktur, Verfahren etc.). Machbarkeitsanalyse, Schaffung der Voraussetzungen und Ausarbeiten eines theoretischen RolloutPlans für einen „kooperativen Cloud Service Provider“ – für gemeinsam genützte Infrastruktur (IaaS) sowie kooperative internetbasierte Plattformen und Applikationen für digitale öffentliche Dienstleitungen (PaaS/SaaS). Österreich kann hier ebenfalls bereits einige Langzeit-Erfahrungswerte, z.B. auf Basis des Gemeindeinformatikzentrums Kärnten (GIZ-K) aufweisen. Überlegungen zur Verbesserung der öffentlichen und privaten Investitionspolitik in den süd- und südosteuropäischen Ländern. Verbesserung des Wissensstandes von Entscheidungsträgern und öffentlich Bediensteten im regionalen und kommunalen Bereich in den Zielstaaten. eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 ihre Lösungen auch als zentral betriebene Anwendungen anbieten und es wichtig ist für IT-Verantwortliche beurteilen zu können, ob und um welche Form von Cloud Computing es sich handelt und welche rechtlichen, organisatorischen und schlussendlich auch (sicherheits)technischen Überlegungen angestellt werden sollten. Im Rahmen des EU-Projekts SECOVIA werden daher auch „Info-Days“ organisiert, welches sich mit einer qualifizierten Aufarbeitung des Themengebiets „Cloud Computing“ im kommunalen und regionalen Kontext auseinandersetzt. Der erste Info Day, welcher Anfang Dezember 2013 stattfand, widmete sich den allgemeinen Grundlagen des Cloud Computings und einer strategischen Herangehensweise an das Thema. Dabei wurde Cloud Computing anhand konkreter Beispiele aus drei Perspektiven beleuchtet: Bund – Kommune – Provider. Auf Bundesebene wurde ein Strategiepapier als Orientierungshilfe ausgearbeitet, die Stadt Wien arbeitet an der Erstellung einer kommunalen Cloud Strategie und das Gemeindeinformatikzentrum Kärnten liefert seinen Eigentümer-Gemeinden Cloud-Services als Provider. tiges Thema. Eine Auseinandersetzung mit „Cloud Com- Der nächste Info-Day wird sich rechtlichen, sicherheitstechnischen und organisatorischen Aspekten des Cloud Computings widmen und im ersten Halbjahr 2014 stattfinden. Details zum EU-Projekt SECOVIA und den Info-Days finden sich auf der Projektwebsite unter www.secovia.eu. puting“ wird auch für Kommunen vor dem Hintergrund oftmals von der Führungsebene gekürzter, ohnehin knapper IT-Budgets immer wichtiger. Hinzu kommt, dass mittlerweile die meisten kommunalen Softwareanbieter Die Autorin ist vom ZVK beauftragte Projektleiterin für den österreichischen Teil von SECOVIA. • „Cloud Computing“ zusehends auch für Gemeinden ein wich- | 21 Mag. (FH) Ursula POLESSNIG IT-Kommunal GmbH; [email protected] 22 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel Leitfaden des BSI für Beschaffung sicherer Webanwendungen abstract Amir Salkic Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI)(1) ist die nationale Sicherheitsbehörde in Deutschland mit dem Ziel die IT-Sicherheit voran zu bringen. Um die Sicherheit auch in Webanwendungen zu adressieren, hat das BSI im September 2013 in Zusammenarbeit mit SEC Consult einen neuen Leitfaden veröffentlicht. Der Leitfaden beschreibt wie ein adäquates Sicherheitsniveau in Abhängigkeit des Schutzbedarfs erreicht werden kann und gibt somit wertvolle Orientierungshilfe. Toxische Software. Den größten Vorteil von E-Government versprechen die vereinfachten Kontakt- und Kommunikationsmöglichkeiten zwischen dem Bürger und der Behörde. Der Bürger kann bequem über das Internet seine Behördengänge erledigen. Datenschützer befürchten jedoch, dass die Privatsphäre der Bürger nicht ausreichend geschützt wird. Durch die Verlagerung der Behörde in das Web sind sensible Informationen über den Bürger online einsehbar. Der sichere Umgang mit diesen Informationen ist Pflicht und muss von Anfang an als fundamentales Element des E-Governments betrachtet werden. In diesem Zusammenhang müssen Sicherheitsmaßnahmen rechtzeitig adressiert werden, um sogenannte „toxische Software“ vorzubeugen. sche Behörden dabei, sichere Software zu beschaffen, indem der Leitfaden den Stand der Technik beschreibt, den die Behörden fordern sollen. Andererseits richtet er sich an Softwarehersteller, die Behörden mit sicherer Software versorgen möchten. Daneben ist der Leitfaden aber auch für alle anderen Unternehmen und Organisationen, unabhängig ihrer Größe und ihres Tätigkeitsfeldes, geeignet. Der Leitfaden wurde zwar in erster Linie für den Einsatz in deutschen Behörden entwickelt, definiert jedoch allgemeine Anforderungen an die sichere Softwareentwicklung, sodass dieser auch außerhalb von Deutschland verwendet werden kann. Diese Tatsache macht den Leitfaden auch besonders attraktiv für den Einsatz in Österreich. Der Leitfaden bestehend aus zwei Dokumenten. Der BSI- „Toxische Software“ entsteht in der Regel schon bei der Entwicklung von Webanwendungen. Oftmals werden Sicherheitsschwachstellen in Software erst im Zuge von Hacker-Angriffen aufgedeckt, also erst dann, wenn es bereits zu spät ist. Um jedoch Qualitätsmängel von Webanwendungen rechtzeitig entgegenzusteuern, gilt es, gefährliche Sicherheitslücken bereits in der frühen Entwicklungsphase vorzubeugen. Der Leitfaden zur Entwicklung sicherer Webanwendungen betrachtet deshalb den gesamten Lebenszyklus einer Webanwendung und definiert zu jeder Entwicklungsphase sicherheitsrelevante Aktivitäten. Damit wird sichergestellt, dass von Anfang an die Sicherheit ausreichend berücksichtigt wird. Die Phasen des Entwicklungsprozesses werden in Abbildung 1 dargestellt. Insbesondere im Beschaffungswesen deutscher Behörden leistet der Leitfaden bereits jetzt schon wichtige Orientierungshilfe. Einerseits unterstützt er deut- Leitfaden zur Entwicklung sicherer Webanwendungen besteht aus zwei Dokumenten(2). Beide Dokumente sind auf das gleiche Ziel fokussiert – die Erhöhung der Softwaresicherheit – berücksichtigen jedoch zwei unterschiedliche Perspektiven. Jener Akteur, der die Software in Auftrag gibt (der Auftraggeber) und jener Akteur, der die Software erstellt und/oder zur Verfügung stellt (der Auftragnehmer). Der Auftragnehmer muss sicherstellen, dass die Software die Anforderungen des Auftraggebers erfüllt und das notwendige Sicherheitsniveau erreicht. Der „Leitfaden zur Entwicklung sicherer Webanwendungen – Empfehlungen und Anforderungen an die Auftragnehmer“ ist die Orientierungshilfe für den Auftragnehmer und definiert die notwendigen Sicherheitsanforderungen an den Entwicklungsprozess sowie Vorgaben an die Implementierung. Hierzu stehen dem Auftragnehmer nicht nur ein umfangreiches Dokument zur Verfügung, sondern auch umfangreiche Checklisten, die bei der Umsetzung unterstützen sol- eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 fachartikel Initiale Planung & Vergabephase Konzeptions- & Planungsphase Implementierung Testen | 23 Auslieferung & Betrieb Abb. 1 : Phasen des Entwicklungsprozesses Abb. 2 : Checkliste für den Entwicklungsprozess Der Auftraggeber muss sicherstellen, dass die Anforderungen vom Auftragnehmer korrekt umgesetzt werden. Dem Auftraggeber fehlt jedoch oft das notwendige Fachwissen dazu. Hier unterstützt der „Leitfaden zur Entwicklung sicherer Webanwendungen – Empfehlungen und Anforderungen an Auftraggeber aus der öffentlichen Verwaltung“ den Auftraggeber. Dies ist vielleicht auch der größte Mehrwert der Leitfäden. Es wird nämlich nicht nur gezeigt, welche Aktivitäten vorhanden sein müssen, sondern dem Auftraggeber wird gezeigt, wie er die Umsetzung der Aktivitäten überprüfen kann. Der Auftraggeber wird also nicht alleine gelassen, sondern ihm wird unterstützend unter die Arme gegriffen. Zur Überprüfung und Bewertung der Auftragnehmer bzw. deren Leistung, werden dem Auftraggeber folgende Bewertungskriterien zur Verfügung gestellt. Bewertungskriterien der Auftragnehmer als Unterstützung für den Auftraggeber. Der Auftraggeber kann Reifegrade, Leistungskriterien und Quality Gates zur Bewertung der Auftragnehmer heranziehen: Der Reifegrad ist eine Kennzahl, die besagt ob alle notwendigen Aktivitäten umgesetzt werden können. Die Skala reicht von 0 (Nicht vorhanden) – 4 (Best in Class). „Best in Class“ bedeutet hierbei, dass der Auftragnehmer sogar mehr Aktivitäten umsetzen kann als notwendig sind. Der Zielreifegrad soll jedoch stets 3 (Vollständig) sein. Leistungskriterien ermöglichen eine Bewertung des Auftragnehmers noch vor Projektstart. Der Leitfaden verlangt zum Beispiel für die Phase „Konzeption & Planung“ die Nennung von allen Dokumenten, die im Zuge der Phase erstellt werden, oder zum Beispiel die Offenlegung der Vorgehensweise bei der Bedrohungs- modellierung. Anhand der Leistungskriterien kann der Auftraggeber die Auftragnehmer noch vor der Vergabe auf Eignung überprüfen. Quality Gates hingegen ermöglichen dem Auftraggeber eine Überwachung und Überprüfung der Einhaltung der Sicherheitsaktivitäten während den Phasen des Entwicklungsprozesses. Für jede Phase des Entwicklungsprozesses sind Quality Gates definiert. Das Quality Gate der „Initiale Planung & Vergabephase“ verlangt zum Beispiel, dass das Spezifikationsdokument sämtliche Anforderungen an die Software abdeckt oder zum Beispiel, dass alle relevanten gesetzlichen Vorgaben eingehalten werden. Die Erfahrung zeigt, dass nur wenn die Sicherheitsanforderungen an die Softwareentwicklung klar definiert und überprüft werden, das angestrebte Sicherheitsniveau auch erreicht wird. Für Software-Hersteller als Auftragnehmer schafft der Leitfaden ein klares Bild über die Anforderungen und Erwartungshaltung für Anwendungssicherheit der Behörden in und außerhalb von Deutschland. Zukünftigen Auftragnehmern ist zu empfehlen, zeitnah Qualitätsdefizite in der eigenen Software-Entwicklung auf Basis des Leitfadens zu identifizieren und nachhaltig zu beheben. Qualitätsverbesserungen der Anwendungssicherheit in der Software-Entwicklung geschehen nicht von heute auf morgen, sondern erfordern Zeit, Expertise, Personal und entsprechendes Budget. literatur len. Abbildung 2 zeigt einen Auszug aus der Checkliste für den Entwicklungsprozess. (1) Bundesamt für Sicherheit in der Informationstechnik [Online] https://www.bsi.bund.de/DE/Home/home_ node.html. (2) BSI-Leitfäden zur Entwicklung sicherer Webanwendungen [Online] https://www.bsi.bund.de/DE/Publikationen/ Studien/Webanwendungen/index_htm.html. Amir SALKIC, MSc Security Consultant, SEC Consult Unternehmensberatung GmbH; [email protected] 24 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 service 17. Internationales Rechtsinformatik Symposion (IRIS) märz 20.-22. Februar 2014 Salzburg, Österreich OGD D-A-CH-LI 4. März Bern, Schweiz Swiss eHealth Forum 6.-7. März Bern, Schweiz FTVI & FTRI 2014 april 20.-21. März Berlin, Deutschland 17. Effizienter Staat 2014 1.-2. April Berlin, Deutschland BPM@ÖV2014 Swiss Day 9. April Bern, Schweiz Tagung mit Schwerpunkt Rechtsinformatik und starkem Bezug zu E-Government. Es finden wieder Workshops zu u.a. E-Government, E-Democracy, E-Justiz, Open Government und E-Commerce statt. http://www.univie.ac.at/RI/IRIS14/ Größtes deutschsprachiges Open Government-Treffen mit Vertretern aus Deutschland, der Schweiz, Österreich und Liechtenstein. http://www.egovernment.ch/aktuell/00878/01062/index.html?lang=de eGov Fokus 1/2014: Datenzentriertes EGovernment 16. Mai Bern, Schweiz Informationsaustausch, sowie Chancen und Herausforderungen von mobilen Gesundheitsinformationen im stationären und ambulanten Bereich. http://www.infosocietydays.ch/de/ eHealth/Home CeDEM14: International Conference for EDemocracy and Open Government 2014 Fachtagung Verwaltungsinformatik und Fachtagung Rechtsinformatik, mit der Zielsetzung den Dialog zwischen Wissenschaft, Verwaltungspraktiken und Juristen sowie Beratern zu intensivieren. http://www.ftvi.de/ 21.-23. Mai 2014 Krems, Österreich eHealth2014 - Health Informatics meets eHealth Agenda 2020 – digital, effizient, gemeinsam. Inklusive der Tagung 4.0: Industrie und Verwaltung. http://www.effizienterstaat.eu/Kongress/ Geschäftsprozessmanagement für Verwaltungsmitarbeiter, die mit Prozessmanagement in der Öffentlichen Verwaltung zu tun haben. http://www.wirtschaft.bfh.ch/de/forschung/veranstaltungen/bpmoev2014_ swiss_day.html Central and Eastern European eGov Days 2014 8.-9. Mai Budapest, Ungarn 22.-23. Mai 2014 Wien, Österreich eGovernment: Driver or Stumbling Block for European Integration? http://www.andrassyuni.eu/aktuelles/ veranstaltungen/central-and-easterneuropean-egov-days-2014-egovernmentdriver-or-stumbling-block-for-europeanintegration.html Es werden Herausforderungen im datenfokussierten E-Government und Lösungen, die sich in der Praxis bewährt haben und einen konkreten Nutzen schaffen vorgestellt. http://www.wirtschaft.bfh.ch/de/ forschung/veranstaltungen/egov_fokus_12014.html International anerkannte Konferenz zu den Themen E-Demokratie, E-Partizipation und Open Government. http://www.donau-uni.ac.at/en/department/gpa/telematik/edemocracy-conference/edem/vid/19486/ Health Informatics meets eHealth. Der Nutzen von Gesundheits-IT. http://www.ehealth20xx.at/eHealth2014/ index.html Das Motto der heurigen Konferenz ist “Digital eDomocracy & eGovernment Seminar Government Innovation in Challenging Times“. and Conference Series http://dgo2011.dgsna.org/ 24.-26. Mai 2014 Quito, Ecuador juni februar 2014 mai E-Government Tagungen, Konferenzen und Messen ECEG 2011 16.-17. Juni 2011 Ljubljana, Slowenien Schwerpunkte: Targeted application of Internet technologies, exchanging the democratic processes (eDemocracy), Digital public services. http://edem-egov.org eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 service 14th European Confe- Schwerpunkt: Beneficiary of the modern rence on EGovernment communication technologies. http://academic-conferences.org/eceg/ – ECEG 2014 12.-13. Juni Brasow, Rumänien 15th Annual International Conference on Digital Government Research eceg2014/eceg14-home.htm august 26. Juni Bern, Schweiz Konferenz zur elektronischen Geschäftsverwaltung in der Öffentlichen Verwaltung mit Ausrichtung auf das Records Management (RM) und Records Management Systeme (RMS) als zentrale Bausteine des Informationsmanagements der Verwaltung. http://www.wirtschaft.bfh.ch/de/forschung/ veranstaltungen/geveroev2014.html Schwerpunkte: Open Innovation, smart 13th IFIP Electronic government and smart governance, transforGovernment Conference (IFIP EGOV) 2014 mative government, e-government architectures, e-government related policy issues. 31. August - 4. September http://www.egov-conference.org Dublin, Irland EGOVIS 2014 1.-5. September München, Deutschlandt MeTTeG 2014 Open Innovations and Sustainable Development in Government: Experiences from around the World. http://dgsociety.org/conference/2014 18.-21. Juni Aguascalientes, Mexico GEVER@ÖV2014 Konferenz zur elektronischen Geschäftsverwaltung in der öffentlichen Verwaltung Schwerpunkte: The role of social media, advances in eParticipation Domains, impact assessment and public value considerations. 31. August - 4. September http://www.epart-conference.org/ Dublin, Irland september 9.-11. Juni Tel Aviv, Israel 6th IFIP ePart Conference 2014 Themen: Digital innovation and design, mobility and locationbased business models, big data analytics, new forms of conferencing and interacting. http://ecis2014.eu/welcome 18.-19. September Udine, Italien oktober European Conference on Information Systems (ECIS) 2014 ICEGOV 2014 – 8th International Conference on Theory and Practice of Electronic Governance 27.-30. Oktober Guimarães, Portugal 3rd International Conference on Electronic Government and the Information Systems Perspective. Technology-Enabled Innovation for Democracy, Government and Governance. http://www.dexa.org/egovis2014 8th International Conference on Methodologies, Technologies and Tools enabling e-Government. http://conferences.cs.unicam.it/metteg14/ Konferenzthema: The Rise of Data Post2015 - Empowered Citizens, Accountable Institutions. http://icegov.org/ | 25 26 | eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 service bücher E-Government Publikationen Sandra Dorobek Leonidas G. Anthopoulos, Christopher G. Reddick (Eds.) Public Supply Chain Management: Steuerung öffentlicher Wertschöpfungsketten nach privatwirtschaftlichem Vorbild Government e-Strategic Planning and Management: Practices, Patterns and Roadmaps (Public Administration and Information Technology) Springer Gabler, ISBN: 978-3658024680, Juli 2013 Springer, ISBN: 978-1461484615, Oktober 2013 Andrea Kö, Christine Leitner, Herbert Leitold, Alexander Prosser (Eds.) Technology-Enabled Innovation for Democracy, Government and Governance: 2nd Joint International Conference David Wood Linking Government Data Springer, ISBN: 978-1489993502, Januar 2014 Springer, ISBN: 978-3642401596, August 2013 Kathrin Voss (Hrsg.) Maria A- Wimmer, Marijn Janssen, Hans J. Scholl (Eds.) Electronic Government: 12th International Conference, EGOV 2013 Internet und Partizipation: Bottom-up oder Top-down? Politische Beteiligungsmöglichkeiten im Internet Springer, ISBN: 978-3-642-40358-3, September 2013 Springer VS, ISBN: 978-3658010270, Januar 2014 Maria A. Wimmer, Efthimios Tambouris, Ann Macintosh (Eds.) Electronic Participation: 5th International Conference, ePart 2013 Springer, ISBN: 978-3-642-40346-0, September 2013 Daniel Veit, Jan Huntgeburth Foundations of Digital Government: Leading and Managing in the Digital Era Springer, ISBN: 978-3-642-38511-7, September 2013 Ines Mergel, Philipp S.Müller, Peter Parycek, Sönke E. Schulz Praxishandbuch Soziale Medien in der öffentlichen Verwaltung Springer VS, ISBN: 978-3658007454, September 2013 Enrico Nardelli, Sabina Posadziejewski, Maurizio Talamo Certification and Security in E-Services Springer, ISBN: 978-1475747379, Oktober 2013 eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014 | 27 eGovernment Review Fachhochschule Kärnten Studienbereich Wirtschaft & Management Europastraße 4 A - 9524 Villach Tel.: +43 (0)5 90500-1201 Fax: +43 (0)5 90500-1210 E-Mail: [email protected] www.fh-kaernten.at Fachzeitschrift des Studienbereichs Wirtschaft & Management der Fachhochschule Kärnten Herausgeber: FH-Prof. Dr. Wolfgang Eixelsberger 7. Jahrgang Redaktion: Rita Marak, MA erscheint halbjährlich in einer Auflage von 1000 Exemplaren ISSN 1997-4051 (gedruckte Ausgabe) Design: designation - Strategie | Kommunikation | Design, www.designation.at Druck: KREINER DRUCK, Druck- und Verlagsgesellschaft m.b.H. & CO. KG, Villach Diese Zeitschrift und alle in ihr enthaltenen einzelnen Beiträge sind urheberrechtlich geschützt. Jede Verwertung außerhalb der Grenzen des Urheberrechtsgesetzes bedarf der Zustimmung des Herausgebers. Namentlich gekennzeichnete Beiträge geben die Meinung der Autoren wieder. Für Satz- und Druckfehler kann keine Haftung übernommen werden. Sämtliche Rechte vorbehalten.
© Copyright 2024