Spezifikationsbericht E-Procurement
Spezifikationsbericht E-Procurement
Spezifikationsbericht E-Procurement
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
SPEZIFIKATION DES VERFAHRENS<br />
„E-PROCUREMENT“<br />
sein, dass es sich bei der Kommunikation mit dem Web-Server tatsächlich um den<br />
Server der ausschreibenden Behörde handelt (Web-Server Authentizität).<br />
In diesem Zusammenhang muss durch den Systemanbieter gewährleistet werden,<br />
dass Sperrinformationen zu Zertifikaten (z. B. bei Kartenverlust oder beim Wegfall<br />
bestimmter Eigenschaften) rechtzeitig vom System erkannt und verarbeitet werden<br />
können.<br />
Über ein personalisiertes Berechtigungs- und Rollenkonzept werden die Pflegeberechtigungen<br />
für die Ausschreibungsdaten sichergestellt. Für die folgenden Anwendergruppen<br />
sind Berechtigungs- und Rollenkonzepte zu realisieren:<br />
• Einkäufer<br />
• Zentrale Vergabestelle<br />
• Bieterfirmen<br />
Es muss die Möglichkeit bestehen, diese Rollen an die spezifischen Anforderungen<br />
der Organisation der jeweiligen Stadt anzupassen. Neue Rollen müssen eingerichtet<br />
bzw. an bestehende Hierarchien angepasst werden können.<br />
Hinsichtlich der Vergabe eines Passwortes sind folgende Kriterien zu erfüllen:<br />
• verdeckte Eingabe<br />
• Mindestlänge<br />
• Sperrung nach einer definierten Anzahl an Fehlversuchen<br />
Vertraulichkeit:<br />
Der Schutzbedarf der ausgetauschten Daten im E-<strong>Procurement</strong>-Verfahren hinsichtlich<br />
Vertraulichkeit ist als hoch bis sehr hoch zu bezeichnen (siehe hierzu auch Abschnitt<br />
4.5.2.1). Deshalb müssen Verschlüsselungssysteme eingesetzt werden, die<br />
eine Ende-zu-Ende-Verschlüsselung der zu übermittelnden Daten ermöglichen.<br />
Bei der Datenübermittlung ist die Vertraulichkeit der Informationen durch Verwendung<br />
von SSL/TLS-verschlüsselten Kanälen unter Nutzung zugehöriger Server-<br />
Zertifikate sicherzustellen. Derzeitiger Standard für eine sichere Kommunikation bei<br />
symmetrischen Verfahren ist eine Schlüssellänge von 128 Bit RC4 oder 112 Bit 3-<br />
DES. Darüber hinaus muss durch geeignete Verschlüsselungsmechanismen für die<br />
Dokumente die Vertraulichkeit der Angebote sichergestellt werden. Bei einer softwarebasierten<br />
Verschlüsselung ist der derzeitige Standard ein RSA-Algorithmus mit<br />
einer Schlüssellänge von mindestens 1024 Bit.<br />
Auf Seiten der digitalen Signatur wird als Verschlüsselungsstandard ein Verfahren<br />
angewendet, das den aktuellen Stand des Signaturgesetzes (SigG) und der Signaturverordnung<br />
(SigV) einhält und somit eine Grundlage zur Schaffung rechtsgültiger<br />
Dokumente in digitaler Form schafft. Die Kommunikation ist bei dem E-<strong>Procurement</strong>-<br />
Verfahren generell mittels SSL-Verschlüsselung durchzuführen.<br />
44 von 64