Spezifikationsbericht E-Procurement
Spezifikationsbericht E-Procurement
Spezifikationsbericht E-Procurement
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
SPEZIFIKATION DES VERFAHRENS<br />
„E-PROCUREMENT“<br />
• Öffnung nach Vier-Augenprinzip unter Berücksichtigung der Stellvertreter-<br />
Regelung<br />
Um die sichere Abwicklung der Vergabeprozesse gewährleisten zu können, muss die<br />
E-<strong>Procurement</strong>-Anwendung eine Reihe von Sicherheitsanforderungen erfüllen. Diese<br />
Anforderungen können thematisch in folgende Aspekte gegliedert werden:<br />
• Rechtsverbindlichkeit<br />
• Authentizität<br />
• Vertraulichkeit<br />
• Verbindlichkeit<br />
• Verfügbarkeit<br />
• Integrität<br />
• Nichtabstreitbarkeit<br />
• Vertrauenswürdigkeit der Software<br />
• Rechte-Rollen-Konzept<br />
Im Folgenden werden die Anforderungen im Einzelnen beschrieben:<br />
Rechtsverbindlichkeit:<br />
Die Sicherstellung der Rechtsverbindlichkeit ist durch die Verwendung der „qualifizierten<br />
elektronischen Signatur“ zu erreichen, die per Gesetz der eigenhändigen Unterschrift<br />
gleichgestellt ist und diese ersetzen kann. Die qualifizierte elektronische Signatur<br />
wird auf Basis eines mathematischen Verfahrens und mit Hilfe eines privaten<br />
kryptographischen Schlüssels (Private Key) beim Absender erzeugt. Durch einen dazugehörigen,<br />
öffentlichen kryptographischen Schlüssel (Public Key) kann die Signatur<br />
jederzeit überprüft und gleichzeitig der Schlüsselinhaber und die Unverfälschtheit<br />
(Integrität) der Daten festgestellt werden. Die jeweils einmaligen Schlüsselpaare (privater<br />
und öffentlicher Schlüssel) werden durch staatlich überwachte Stellen (Zertifizierungsstellen,<br />
Trust Center) natürlichen Personen auf Antrag fest zugeordnet. Diese<br />
Zuordnung wird durch ein qualifiziertes Signaturschlüssel-Zertifikat beglaubigt.<br />
Die Bindung des Signaturschlüssels an den Inhaber erfolgt durch den zusätzlichen<br />
Besitz einer Chipkarte (Signaturkarte) mit PIN. Somit ist für den Einsatz der qualifizierten<br />
elektronischen Signatur immer die gleichzeitige Verwendung eines zertifizierten<br />
Schlüsselpaares und der Chipkarte mit PIN erforderlich.<br />
Für die elektronische Angebotsabgabe sind andere Signaturverfahren als die qualifizierte<br />
Signatur (z. B. fortgeschrittene Signaturverfahren nach PGP) nicht zugelassen.<br />
Authentizität:<br />
Im Vergabeprozess ist es erforderlich, sich zuverlässig von der Identität seines Partners<br />
zu überzeugen. Dies gilt insbesondere für die Zurechenbarkeit von Aktivitäten<br />
zu Personen und den Austausch sensibler Daten. Andererseits muss sichergestellt<br />
43 von 64