Spezifikationsbericht E-Procurement

Weitere Magazine

Empfehlungen

Info

SPEZIFIKATION DES VERFAHRENS „E-PROCUREMENT“ Nutzer und der Behörde nach sich zieht. 10 Die zu betrachtenden Sicherheitsziele sind Vertraulichkeit und Verbindlichkeit (Integrität, Authentizität und Nicht-Abstreitbarkeit, Authentizität der Kommunikationspartner). Unverzichtbare Voraussetzung für das Funktionieren der Lösung ist ferner die Verfügbarkeit der technischen Systeme auf Behördenseite (z. B. Web-Server). Für rechtsverbindliche Transaktionen ist grundsätzlich der Aspekt des Schriftformerfordernisses zu berücksichtigen (für eine umfangreiche Beschreibung der Schutzbedarfe siehe Anhang). 11 Für eine kommunale Vergabelösung, wie im vorliegenden <strong>Spezifikationsbericht</strong> vorgestellt, wurde insgesamt die Schutzbedarfsklasse „hoch“ ermittelt (siehe Anhang 1 – Schutzbedarfsfeststellung). 4.5.2.2 Maßnahmen zur Gewährleistung von Daten- bzw. IT-Sicherheit Auf Basis der ermittelten „hohen“ Schutzbedarfsklasse sind technisch-organisatorische Anforderungen zur Gewährleistung der Daten- bzw. IT-Sicherheit zu formulieren. Bei der elektronischen Angebotserstellung ist die Vertraulichkeit der Daten durch Verschlüsselungsalgorithmen der Bieterdaten zu sichern. Nach der elektronischen Angebotsabgabe sind die Angebote nur nach Verstreichen des Eröffnungstermins nach dem Vier-Augenprinzip durch zwei Mitarbeiter der Vergabestelle zu entschlüsseln. Folgende Punkte müssen gewährleistet sein: • SSL-verschlüsselter, gesicherter Online-Zugriff auf die Ausschreibungsunterlagen durch die Bieter • Hoch vertrauliche Online-Angebotserstellung durch hochgradige Verschlüsselung der Bieterdarten • Rechtssichere Online-Abgabe von Angeboten mit qualifizierter elektronischer Signatur nach Signatur-Gesetz • Kompatibilität zu allen X509 Signaturstandards • Rechtssichere Online-Angebotsabgabe mittels Hashwert-Generierung und Erzeugung eines papiernen Mantelbogens (ähnlich dem ELSTER – Verfahren) • Hoch sichere Verschlüsselung bei Online-Abgabe • Integrität und Authentizität der Angebote durch hochsichere kryptographische Mechanismen • Verschluss der Angebote bis zur Öffnung durch die Vergabestelle mit der Möglichkeit des Rückzugs bis zur Submission 10 Quelle: IT-Grundschutzhandbuch: 2.2. Schutzbedarfsfeststellung (http://www.bsi.de/gshb/deutsch/baust/02002.html am 25.09.2006). 11 Quelle: E-Government-Handbuch: Phasenplan E-Government „Phase 3 Analyse”; (http://www.bsi.bund.de/fachthem/egov/download/3_Phase3.pdf am 25.09.2006). 42 von 64
SPEZIFIKATION DES VERFAHRENS „E-PROCUREMENT“ • Öffnung nach Vier-Augenprinzip unter Berücksichtigung der Stellvertreter- Regelung Um die sichere Abwicklung der Vergabeprozesse gewährleisten zu können, muss die E-<strong>Procurement</strong>-Anwendung eine Reihe von Sicherheitsanforderungen erfüllen. Diese Anforderungen können thematisch in folgende Aspekte gegliedert werden: • Rechtsverbindlichkeit • Authentizität • Vertraulichkeit • Verbindlichkeit • Verfügbarkeit • Integrität • Nichtabstreitbarkeit • Vertrauenswürdigkeit der Software • Rechte-Rollen-Konzept Im Folgenden werden die Anforderungen im Einzelnen beschrieben: Rechtsverbindlichkeit: Die Sicherstellung der Rechtsverbindlichkeit ist durch die Verwendung der „qualifizierten elektronischen Signatur“ zu erreichen, die per Gesetz der eigenhändigen Unterschrift gleichgestellt ist und diese ersetzen kann. Die qualifizierte elektronische Signatur wird auf Basis eines mathematischen Verfahrens und mit Hilfe eines privaten kryptographischen Schlüssels (Private Key) beim Absender erzeugt. Durch einen dazugehörigen, öffentlichen kryptographischen Schlüssel (Public Key) kann die Signatur jederzeit überprüft und gleichzeitig der Schlüsselinhaber und die Unverfälschtheit (Integrität) der Daten festgestellt werden. Die jeweils einmaligen Schlüsselpaare (privater und öffentlicher Schlüssel) werden durch staatlich überwachte Stellen (Zertifizierungsstellen, Trust Center) natürlichen Personen auf Antrag fest zugeordnet. Diese Zuordnung wird durch ein qualifiziertes Signaturschlüssel-Zertifikat beglaubigt. Die Bindung des Signaturschlüssels an den Inhaber erfolgt durch den zusätzlichen Besitz einer Chipkarte (Signaturkarte) mit PIN. Somit ist für den Einsatz der qualifizierten elektronischen Signatur immer die gleichzeitige Verwendung eines zertifizierten Schlüsselpaares und der Chipkarte mit PIN erforderlich. Für die elektronische Angebotsabgabe sind andere Signaturverfahren als die qualifizierte Signatur (z. B. fortgeschrittene Signaturverfahren nach PGP) nicht zugelassen. Authentizität: Im Vergabeprozess ist es erforderlich, sich zuverlässig von der Identität seines Partners zu überzeugen. Dies gilt insbesondere für die Zurechenbarkeit von Aktivitäten zu Personen und den Austausch sensibler Daten. Andererseits muss sichergestellt 43 von 64
Seite 1 und 2: Spezifikationsbericht „E-Procurem
Seite 3 und 4: VORWORT Vorwort An der Nahtstelle v
Seite 5 und 6: INHALTSVERZEICHNIS Inhaltsverzeichn
Seite 7 und 8: ABBILDUNGSVERZEICHNIS Abbildungsver
Seite 9 und 10: ABKÜRZUNGSVERZEICHNIS Abkürzungsv
Seite 11 und 12: EINLEITUNG 1 Einleitung Die Initiat
Seite 13 und 14: EINLEITUNG zu stellen, wurden diese
Seite 15 und 16: HARMONISIERUNG IM RAHMEN DER INITIA
Seite 17 und 18: HARMONISIERUNG IM RAHMEN DER INITIA
Seite 19 und 20: BESCHREIBUNG DES VERFAHRENS „E-PR
Seite 25 und 26: SPEZIFIKATION DES VERFAHRENS „E-P
Seite 41: SPEZIFIKATION DES VERFAHRENS „E-P
Seite 47 und 48: PRAXISBEISPIELE AUS DEN TRANSFER-KO
Seite 55 und 56: LITERATURVERZEICHNIS Literaturverze
Seite 57 und 58: ANHANG 1 - SCHUTZBEDARFSFESTSTELLUN
Seite 59 und 60: ANHANG 1 - SCHUTZBEDARFSFESTSTELLUN
Seite 61 und 62: ANHANG 2 - KRITERIENKATALOG FÜR SO
Seite 63 und 64: ANHANG 2 - KRITERIENKATALOG FÜR SO

Spezifikationsbericht E-Procurement

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?