E-Partizipation für Europas Jugend - Blogs @ FH

eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
Ausgabe Nr.
Januar 2014
ISSN 1997-4051
| 1
13
Elektronische Identität
E-Partizipation für Europas Jugend | Transparente Gemeindefinanzen
2 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
Titelbild: Bundesministerium für Verkehr, Innovation und Technologie (BMVIT), Wien
Copyright: Priwo/CreativeCommons
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
| 3
Editorial
Liebe E-Government Interessierte,
Seit dem 01.01.2014 dürfen Rechnungen an die öster­
reichische Bundesverwaltung, nur mehr in strukturierter
elektronischer Form eingebracht werden. Die Rechnungen müssen dabei in dem auf XML aufbauenden Format
ebInterface oder über die PEPPOL (Pan-European Public
Procurement OnLine) Infrastruktur eingebracht werden.
Die Bundesverwaltung hat dafür einen PEPPOL Access
Point eingerichtet, der insbesondere auch ausländischen
Unternehmen das Einbringen von elektronischen Rechnungen erleichtern soll. Damit werden einige der jährlich
800 Millionen in Österreich versendeten Rechnungen
in strukturierter elektronischer Form übermittelt werden. Es ist zu hoffen, dass damit auch der elektronische
Rechnungsaustausch zwischen Unternehmen einen
Aufschwung erleben wird. Das Einsparungspotential ist
jedenfalls groß. Das Bundesministerium für Finanzen
geht davon aus, dass bei ausschließlicher elektronischer
Rechnungslegung im österreichischen Wirtschafts- und
Behördenverkehr, ein Einsparungspotential von jährlich
400 Millionen Euro besteht.
Am 16. Dezember 2013 wurde die neue österreichische
Bundesregierung angelobt. Im Arbeitsprogramm der
öster­reichischen Bundesregierung für die Jahre 2013 bis
2018 wird auch auf E-Government Bezug genommen. Es
wird ausdrücklich erwähnt, dass das Amtsgeheimnis in
seiner derzeitigen Form überholt sei. Als Maßnahme wird
angeführt, dass das Amtsgeheimnis – unter Berücksichtigung des Grundrechts auf Datenschutz – ersetzt werden
soll durch eine verfassungsgesetzlich angeordnete Pflicht
aller Staatsorgane, Informationen von allgemeinem Inter­
esse der Öffentlichkeit im Sinne von Open Government
zur Verfügung zu stellen. Es bleibt abzuwarten, wie die
konkrete Umsetzung dieses doch sehr allgemein gehaltenen Statements aussehen wird. Weiters wird im Arbeitsprogramm auch angeführt, dass durch strategische
Nutzung von Informations- und Kommunikationstechnologien die Verwaltung effizienter und bürgernäher gestaltet werden soll. Als Maßnahme wird hier angeführt,
dass unter anderem gemeinsame Entwicklungen von
Lösungen durch Bund, Länder und Gemeinden durchgeführt werden sollen. Impulse aus sozialen Netzen sollen
angenommen und das Thema Open Government Data
soll forciert werden. Es sollen auch weitere Anwendungen
von Gebietskörperschaften in das Unternehmensserviceportal aufgenommen werden und generell Verwaltungsabläufe beschleunigt werden.
FH-Prof. Dr. Wolfgang Eixelsberger
Fachhochschule Kärnten
Studienbereich Wirtschaft & Management
aufruf beiträge
Im Interview mit Prof. Posch, zeigt sich dieser mit der
Position Österreichs in Bezug auf E-Government in der
EU zufrieden. Besonders hebt er die hohe Anzahl an
e-ID/Bürgerkarten fähigen Anwendungen hervor, sowie
die Tatsache, dass sich das Konzept des Portalverbundes
durchgesetzt hat. Er spricht im Interview mehrmals das
Thema elektronische Identität an. Auch zwei Fachartikel
beschäftigen sich mit diesem Thema. Das zeigt, wie aktuell
das Thema ist und zeigt gleichzeitig auch, wie viel noch
zu tun ist. Die elektronische Identität ist eine der Grundlagen von E-Government, auf der viele andere Themen
aufbauen. Bisher haben 270.000 Österreicher die HandySignatur aktiviert. Damit entwickelt sich dieses Konzept
sehr vielversprechend. Es erweist sich aber offenbar als
schwierig, große Unternehmen zur Verwendung der Handy-Signatur zu bewegen.
eGovernment Review veröffentlicht ausgewählte Artikel
zu verschiedensten Aspekten von E-Government. Wenn
Sie einen Artikel in eGovernment Review veröffentlichen
möchten, dann senden Sie eine Kurzbeschreibung (zwischen 150 und 300 Worte) an w.eixelsberger@fh-kaernten.
at. Die Kurzbeschreibung kann sowohl in deutscher als
auch in englischer Sprache verfasst sein. Der eGovernment-Review-Beirat bewertet die eingereichten Artikel
und gibt ausgewählte Artikel zur Veröffentlichung frei.
Einreichungen für die 14. Ausgabe werden bis zum
22. April 2014 angenommen.
FH-Prof. Dr. Wolfgang
EIXELSBERGER
Fachhochschule Kärnten
Studienbereich
Wirtschaft & Management
4 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
eGovernment-Review-Beirat
Der Beirat wählt die zu erscheinenden Artikel aus, schlägt
Interviewpartner vor und gibt Input zur generellen Ausrichtung
von eGovernment Review.
FH-Prof. Dr. Dietmar Brodel
Rektor der Fachhochschule Kärnten, Leiter Studienbereich Wirtschaft
Fachhochschule Kärnten
FH-Prof. Dr. Wolfgang Eixelsberger
Professur aus Wirtschaftsinformatik
Fachhochschule Kärnten
Dr. Peter Parycek, MSc
Zentrumsleiter Zentrum für E-Government
Donau-Universität Krems
Lektor FH Kärnten
Prof. Dr. Reinhard Posch
Leiter des IAIK (Institute for Applied Information Processing and Communications)
TU Graz
CIO des Bundes
Prof. DI Dr. Reinhard Riedl
Leiter Kompetenzzentrum Public Management & E-Government
Berner Fachhochschule
Prof. Dr. Jürgen Stember
Dekan Fachbereich Verwaltungswissenschaften
Hochschule Harz
DI Manfred Wundara
CIO der Stadt Villach
Mitglied des Präsidiums des Fachausschusses für Informationstechnologie
des Österreichischen Städtebundes
Leiter der Arbeitsgruppe Q-SKF der Plattform Digitales Österreich
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
Inhalt
„Österreich spielt eine Vorreiterrolle im Europäischen E-Government“ 6
aktuelles
Schweizer Standards für elektronische Identität 8
fachartikel
Ausgabe Nr. 13 | Januar 2014
Interview mit Reinhard Posch
Ronny Bernold I Andreas Spichiger I Reinhard Riedl (Berner Fachhochschule)
E-Partizipation für Europas Jugend 10
Michael Sachs (Donau-Universität Krems)
Transparente Gemeindefinanzen auf Knopfdruck 12
Bernhard Krabina (KDZ - Zentrum für Verwaltungsforschung)
Wartezeiten in den Wiener Bezirksämtern online abrufbar 14
„Digital Divide“ in der kommunalen Verwaltung - 16
IT-gestützte Verwaltungsentwicklung in der Bauaufsicht Gerhard Kainz I Thomas Skerlan-Schuhböck (Stadt Wien)
Jürgen Stember (Hochschule Harz) I Matthias Neutzner (Syncwork AG)
Identitätsmanagement mit MOA-ID 2.0 18
Thomas Lenz I Bernd Zwattendorfer I Klaus Stranacher I Arne Tauber (E-Government Innovationszentrum)
SECOVIA – Interkommunales „Cloud Computing“, die Zukunft der IT in der Gemeinde? 20
Leitfaden des BSI für Beschaffung sicherer Webanwendungen 22
Ursula Polessnig (IT-Kommunal GmbH)
E-Government Tagungen, Konferenzen und Messen 24
E-Government Publikationen 26
service
Amir Salkic (SEC Consult Unternehmensberatung GmbH)
| 5
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
aktuelle information
„Österreich spielt
eine Vorreiterrolle im
Europäischen E-Government“
interview
6 |
Prof. Reinhard Posch ist seit 2001 Chief Information Officer (CIO) des Bundes. Er leitet das
IAIK (Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie)
an der TU Graz, ist seit 1999 wissenschaftlicher Leiter von A-SIT. Von 2007 bis 2011 war
er Vorsitzender von ENISA (European Network and Information Security Agency).
Was sind für Sie die wichtigsten Ergebnisse betreffend
Wie ist Ihre Einschätzung zu den Ergebnissen der EU Large-
E-Government in Österreich in den letzten Jahren?
Scale Pilot (LSP) Projekte, wie zum Beispiel PEPPOL?
Österreich hat seine Vorreiterrolle im Europäischen
E-Government Konzert weiter ausgebaut. Dies war
vor allem durch die gelungene partnerschaftliche Kooperation über alle Verwaltungsebenen hinweg möglich. Die Kooperation hat einheitliche gemeinsame
Strategien ermöglicht. Die zentralen E-Government
Strategien sind mittlerweile weitgehend umgesetzt
und auch in den Köpfen der Projektverantwortlichen
bekannt. Nicht nur hunderte eID (Bürgerkarten) fähige Anwendungen, sondern auch die Tatsache, dass de
facto alle übergreifenden Anwendungen auf das Konzept des Portalverbund zurückgreifen, belegen dies.
Diese strukturelle Konvergenz hat für Österreich im
Europäischen Umfeld zu beachtlicher Anerkennung
und damit auch zu Gestaltungsmöglichkeiten geführt.
Mit den neuen Herausforderungen wie Cloud und
BYOD wird dies vor allem auch eine verstärkte politische Sichtbarkeit erfordern, um in einer Umgebung,
die laufend komplexer und daher unübersichtlicher
wird, zu bestehen und vor allem langfristig Change
Management zu ermöglichen.
Peppol ist einer der zulässigen Einbringungswege
der elektronischen Rechnungen an den Bund, die seit
1.1.2014 verpflichtend sind. STORK ist dem Inhalt nach,
auch in den neuen gemeinschaftlichen Rechtsrahmen
eIDAS eingeflossen. Auf nationaler Ebene ist zudem
die österreichische Lösung der Handy-Signatur aus
dem STORK LSP hervorgegangen. Diese und weitere
Beispiele zeigen die Bedeutung der Teilnahme an den
Large-Scale Piloten, die nicht nur ein Werkzeug zur nationalen Umsetzung sind, sondern auch die Plattform
zum Einbringen dieser wichtigen Elemente und der Österreichischen Position in die Europäische Diskussion.
Ein wesentlicher Beitrag der LSP, wie die eID (elektronische Identität) bereits zeigt, ist das strategische
Potential, da die Ergebnisse zu Best Practices oder
gar zu gesetzlichen Vorgabe führen. Ein Versäumen
der Teilnahme bedeutet dabei, dass die nationalen
Konzepte meist mit erheblichen Kosten an die neue
Situation angepasst werden müssen. Damit führt eine
Nichtteilnahme nicht nur zu einem Nachteil, was das
aktuelle information
Image betrifft, sondern hat am Ende des Tages sogar
noch höhere Kosten, weil die nationalen Erkenntnisse
nicht in die Ergebnisse der LSPs eingearbeitet wurden.
Welche aktuellen Projekte schätzen Sie als besonders wichtig ein?
Die bereits erwähnte Handy-Signatur für Identifikation
und Signatur, die elektronische Zustellung etc. sind vitale Punkte um die zunehmende Herausforderung der
Cyber Sicherheit zu bewältigen. Als ein wichtiger Punkt
ist auch eine Umsetzung von Vollmachten, die auch
mit einer großen Zahl von Request zurechtkommt, anzusehen. Die Herausforderung besteht dabei sowohl
in der technischen Zusammenführung verschiedenster authentischer Quellen und Register, die für derartige Vollmachten eine Begründung darstellen, als auch
in der rechtlichen Sicht, die notwendig ist, um diese
Informationen auch im betreffenden Umfeld vorarbeiten zu können. Mit einem zentralen Unternehmensregister und dem Unternehmensserviceportal haben wir
in Österreich gute Grundlagen für eine elektronische
Kommunikation zwischen Wirtschaft und Verwaltung
geschaffen, aber auch eine durchgängige eID für Unternehmen zur Anwendung B2G aber auch B2B.
Cloud Computing wird dabei aber nicht nur zusätzliche Risiken, die es gilt im Griff zu behalten, bringen,
sondern auch zusätzliche Chancen, etwa in den Bereichen Open Data und elektronische Partizipation.
Wie sehen Sie die aktuelle Entwicklung von Open Data?
Der Begriff Open Data hat unterschiedliche Facetten
und wird teilweise mit Big Data vermischt und verwechselt. Es macht daher Sinn von Open Government
Data zu sprechen und darunter die Daten, die in der
Verwaltung vorhanden sind und unter Einhaltung der
Vorgaben des Datenschutzes auch in strukturierter
Form verfügbar gemacht werden, zusammen zu fassen. Der überwiegende Teil der Verwaltungsgeschäfte
findet nicht auf Bundesebene sondern auf den übrigen Verwaltungsebenen statt. Daher sind die Bemühungen zu Open Government Data auch dem Schwerpunkt nach auf der Ebene der Länder und Städte zu
finden. Ob Verkehr, Infrastruktur oder Geodaten – um
nur ein paar Beispiel zu erwähnen – die Öffnung der
Daten von hoher Qualität bildet eine Basis für Unternehmen, wertvolle Dienste anzubieten. Diese verwaltungsnahen Applikationen haben ein großes Potential
und tragen auch zum positiven Image der Verwaltung
bei. Es geht dabei um die gläserne Verwaltung, aber es
darf keinesfalls zum gläsernen Bürger führen.
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
Welche Erwartungen haben Sie an die Förderungen aus HORIZON 2020 betreffend E-Government?
Wichtig und seitens Österreichs immer wieder betont
ist es, die Instrumente nicht getrennt zu sehen, sondern Horizon 2020, CEF/ TEN-TELE sowie ISA-Nachfolge Programm als ein Cluster zu betrachten und auch
zu steuern, damit bei sinkenden Budgets durch strategische und operationelle Fokussierung die Effizienz
deutlich gesteigert werden kann.
Ich erwarte mir, dass Horizon 2020 in diesem Konzert
die Speerspitze darstellt und auf neue Entwicklungen
und deren Bedeutung für das E-Government eingeht.
Solche Herausforderungen liegen in besonderem
Maße in der nachhaltigen und somit sicheren Nutzung
der IKT aber auch in neuen Paradigmen der Verarbeitung - so beobachten wir gerade einen bedeutenden
Wandel im Bereich der Dokumentenverarbeitung, hin
zur gemeinsamen und interaktiven Nutzung.
Aus österreichischer Sicht ist eine breite Beteiligung an
diesem Programm nicht nur wünschenswert, um Forschungs- und Entwicklungsgelder nach Österreich zu
bringen, sondern auch deswegen, weil zu erwarten ist,
dass die Resultate auf die weiteren strategischen und
legistischen Vorhaben der Kommission einen nicht zu
vernachlässigenden Einfluss haben.
Welche weiteren Themen, schätzen Sie als besonders wichtig ein?
In der stetigen Entwicklung hin zu firmenübergreifenden Standards sehen wir besondere Herausforderungen in der nächsten Zukunft. Drei wichtige Themenbereiche in der näheren Zukunft sind Mail und
Kommunikation, Cloud und BYOD sowie Dokumente
(Kollaboration und Prozesse). Die firmenübergreifende Standardisierung in diesen Bereichen könnte die
nächste Abstraktionsebene und damit wesentliche Effizienzsteigerung bieten.
Strategische Themen können zunehmend nicht rein
national und lokal bewältigt werden, da die Produkte
und Dienstleister auch nicht lokal und national abgrenzbar sind. Daher ist eine effiziente Kooperation
auch auf der Europäischen Ebene wichtig.
Wir danken für das Gespräch.
Das Interview wurde geführt von Wolfgang Eixelsberger.
| 7
8 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
Schweizer Standards für
elektronische Identität
abstract
Ronny Bernold I Andreas Spichiger I Reinhard Riedl
eCH ist die Schweizer Public-Private-Partnership zur Entwicklung von E-Government Standards
(www.ech.ch). Sie funktioniert nach dem Triple-Helix-Modell: Vertreter der Verwaltung, der Wirtschaft
und der Hochschulen erarbeiten die Standards für E-Government gemeinsam. Dabei kommt es zum
Wissens- und Erfahrungsaustausch und es entstehen Standards, die von allen Akteuren getragen
werden. In diesem Artikel wird auf das Standardisierungsfeld Identitäts- und Zugriffsmanagement
(Identity and Access Management, im Folgenden als IAM abgekürzt) eingegangen.
Die Schweizer Behördenlandschaft ist durch ihren Föderalismus und ein besonders ausgeprägtes Subsidiaritätsprinzip charakterisiert. Dies spiegelt sich auch im
E-Government wieder. Um hier die Kollaboration zu
vereinfachen, wurde 2003 die Standardisierungsorganisation eCH als Public-Private-Partnerschaft gegründet
und 2007 eine nationale E-Government-Strategie verabschiedet. Letztere benennt als besonderes Potenzial von
E-Government u. a. den Punkt „Richtig verstandenen
Föderalismus als Chance nutzen“. An diesem Punkt setzt
die IAM-Standardisierung von eCH an und spezifiziert
Grundlagen und Konzepte, um organisationsübergreifende Behördengänge vertrauenswürdig abzuwickeln.
Mit dem Standard „eCH-0107 Gestaltungsprinzipien für
die Identitäts- und Zugriffsverwaltung (IAM)“ ist nun
die dafür wichtige Grundlage in seiner zweiten Version
verabschiedet.
Externe partizipieren an der Leistungserbringung. Die zu-
nehmende Verbreitung von organisationsübergreifenden E-Government-Prozessen erhöht die Komplexität
des elektronischen Behördenverkehrs. Immer öfter
gehen Behördenprozesse auch über die Grenze eines Amtes oder sogar der zuständigen Stellen hinaus.
So werden externe Behördenpartner und die Bürger
immer direkter in den elektronischen Produktionsprozess der Behördenleistung integriert, sei dies bei
der Eingabe von Daten, in der Prozesssteuerung oder
auch in die direkte Mitarbeit. Daneben werden Dienstleistungen vermehrt von mehreren Behördenstellen
zusammen angeboten. Zusätzlich gibt es Versuche,
dort wo zwingend mehrere Ämter allenfalls auch un-
terschiedlicher Verwaltungsebenen in Geschäftsprozesse involviert werden müssen, diese medienbruchfrei zu gestalten. In der Folge stehen heutige moderne
E-Government-Lösungen immer häufiger vor der Herausforderung, organisationsfremden Personen Zugriffe und Berechtigungen auf ihre Ressourcen zu geben.
Die Nutzungsgrenzen der Applikationsportale und
der IT-Systeme verschwimmen immer mehr. War vor
einiger Zeit der Benutzerkreis noch relativ überschaubar klein, müssen nachhaltige Lösungen in Zukunft
für einen offenen Benutzerkreis konzipiert werden. Je
mehr Akteure beteiligt sind und je mehr Systeme und
Datenquellen vernetzt werden, desto wichtiger und
zugleich komplexer gestaltet sich die sichere Identifikation und Berechtigungsprüfung der Akteure.
Föderierte IAM-Lösungen. In der Vergangenheit pflegte
jede Applikation als schützenswerte Ressource aufwändig (und selten aktuell) einen eigenen Stamm der
berechtigten Identitäten. Zudem authentifizierte die
Applikation den Benutzer auch gleich selber. Die dabei entstehenden Benutzerverwaltungen führten die
Identitäten der eigenen Mitarbeitenden und externer
Benutzer (z.B. Kunden oder Lieferanten) sowie deren
Zugriffsrechte für die jeweiligen Applikationen. Das
birgt ein entsprechend hohes Fehlerpotential, führt
in der Praxis zu entsprechenden Sicherheitsrisiken
und verursacht einen hohen Pflegeaufwand für die
Identitäten. Um dies zu beherrschen, verfolgen Unternehmen aktuell für interne Zwecke typischerweise
den Ansatz, berechtigungsrelevante Informationen
in Verzeichnissen zu replizieren und diese organisati-
fachartikel
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
onsweit für alle berechtigenden Systeme zugreifbar
zu machen. Die Informationen aktuell zu halten und
deren Qualität sicherzustellen, stellt aber weiter eine
grosse Herausforderung dar. Die Datenreplikation organisationsübergreifend fortzuführen ist aus Sicht der
Informationsqualität, Informationssicherheit wie auch
des Datenschutzes nicht vorstellbar.
Wirtschaft, Verwaltung und Wissenschaft in eCH erlaubt
es, praxisrelevante, breit abgestützte Standards zu realisieren. Alle Standards von eCH werden in einer öffentlichen Konsultation, an welcher jedermann teilnehmen
kann, zur Diskussion gestellt. Sie sind nach Verabschiedung auf der Website frei verfügbar und können von
allen interessierten Kreisen weiterverwendet werden.
In einer idealtypischen Lösungswelt werden die Personeninformationen von der jeweiligen Heimat-Organisation über Organisationsgrenzen hinweg föderiert zur
Verfügung gestellt. Bei einer Identity Federation verbleiben die Identitätsinformationen entsprechend dort,
wo diese ihre prozessuale Hoheit haben, können aber
gleichzeitig für andere Services verwendet werden.
Der Standard eCH-0107. eCH-0107 ist ein Referenzmodell und stellt den Grundpfeiler der IAM-Standardisierung in der Schweiz dar. Es definiert die Prinzipien,
die Regeln und den Ordnungsrahmen für die IAMSystemgestaltung, welche beim Bereitstellen von
föderierten IAM-Lösungen im föderalen Schweizer EGovernment berücksichtigt werden sollen. Dafür wird
eine modellhafte IAM-Landschaft für bestehende und
neue Anwendungen in organisationsübergreifenden
Applikationsszenarien beschrieben. Grundannahme
ist, dass IAM-Geschäftsservices durch verschiedenste
Akteure verteilt erbracht resp. genutzt werden können. Der Standard spezifiziert die Anforderungen, die
Stakeholdergruppen, die Prozesse, die Informationsarchitektur, die Geschäftsservices und mögliche Identity
Federation-Modelle.
Abbildung 1 stellt schematisch dar, wie Subjekte mit
Informationen aus ihrer Heimatdomäne Zugriff auf
Ressourcen in einer anderen Domäne erhalten. Einer
eIdentity eines Subjekts wird auf der Basis seiner Attribute die Berechtigung eines Zugriffs auf eine durch
eine eRessource repräsentierte Ressource gewährt.
Insbesondere schafft eCH-0107 mit dem ausführlichen
Glossar, dem Informationsmodell und der Definition
der Prozesse und Geschäftsservices eine einheitliche
konzeptionelle Basis, um organisationsübergreifend
eine gemeinsame Sprache und modellhafte Architektur zu haben.
Abb. 1 : Domänenübergreifende Zugriffskontrolle
Standardisierung des E-Goverment-IAM. Eine Identity Fe-
deration ist kein eigentlicher Dienst, sondern vielmehr
ein gemeinsames Konzept und eine Vorgehensweise.
Die Schaffung eines gemeinsamen Verständnisses unter anderem durch die Formulierung von Standards
ist dabei auf verschiedenen Ebenen unerlässlich. So
müssen sich kooperierende Organisationen erstens
über die Semantik und organisatorische Relevanz von
Identitätsinformationen verständigen. Zweitens muss
eine Einigkeit über die eingesetzten Designprinzipien und technischen Schnittstellen herrschen. Drittens
sind standardisierte Qualitätsmodelle eine unerlässliche Grundlage, um organisationsübergreifend festzustellen, ob die angelieferte Identitätsinformation dem
Schutzbedarf entspricht. Die Standardisierung bei eCH
hat das primäre Ziel, zwischen allen beteiligten Akteuren Konsens zu schaffen. Die Zusammenarbeit zwischen
| 9
Ronny Bernold
Wissenschaftlicher
Mitarbeiter, Berner Fachhochschule, Fachbereich
Wirtschaft;
ronny.bernold@bfh.ch
Prof. Dr. Andreas
SPICHIGER
Abteilungsleiter Forschung und Dienstleistungen, Berner Fachhochschule, Fachbereich
Wirtschaft;
andreas.spichiger@bfh.ch
Fazit. Organisationsübergreifendes, föderiertes IAM bie-
tet wirtschaftliche Vorteile, aber auch Vereinfachungen
für die teilnehmenden Organisationen und Unternehmen. Die gemeinsame Nutzung von Ressourcen oder
Identitätsinformationen führt vor allem langfristig zu
einer Kostenersparnis und der Konsolidierung von Prozessen. Nicht zuletzt werden die Endbenutzer davon
profitieren, die eine digitale Identität für eine Vielzahl
von Anwendungen benutzen können, statt für jede einen eigenen Benutzernamen plus Passwort zu pflegen.
Mit dem Standard eCH-0107 ist eine gemeinsame Basis für deren Verankerung gelegt. Als zwei weitere wesentliche Elemente hat eCH die schutzbedarfsgerechte
Authentifizierungsqualität und die Konkretisierung der
IAM-Dienste identifiziert. Für „eCH-0170 Qualitätsmodell für elektronische Identitäten“ und „eCH-0167 SuisseTrustIAM Rahmenkonzept“ sind die Konsultationen
abgeschlossen. Wir erwarten ihre Verabschiedungen
im ersten Halbjahr 2014.
Prof. Dr. Reinhard RIEDL
Leiter Forschung und
Dienstleistungen, Berner
Fachhochschule, Fachbereich Wirtschaft
reinhard.riedl@bfh.ch
10 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
E-Partizipation für
Europas Jugend
abstract
Michael Sachs
Die Europäische Kommission hat Interesse an der Weiterentwicklung von Mechanismen für E-Partizipation, die
länderübergreifend funktionieren und auch Randgruppen eine gemeinsame Stimme geben können. Eine Reihe
von Forschungsprojekten, die sich mit der Umsetzung solcher Mechanismen beschäftigen, befindent sich in
der Abschlussphase und gewonnene Erkenntnisse fließen in die künftigen Ausschreibungen der Europäischen
Kommission ein. „OurSpace – The Virtual Youth Space“ zählt zu den erfolgreichen Projekten und liefert Einblicke
in konkrete Probleme und zeigt Lösungen auf.
Das von der Europäischen Kommission geförderte Projekt
„OurSpace – The Virtual Youth Space“ hat zum Ziel,
jungen Menschen eine Diskussionsplattform für ihre politischen Anliegen zu geben und sie in Kontakt mit EntscheidungsträgerInnen zu bringen. Derzeit befindet sich
das Projekt in der Abschluss- und Evaluationsphase, konkrete Ergebnisse werden voraussichtlich Ende des zweiten
Quartals 2014 veröffentlicht werden.
Das Konsortium des Projekts besteht aus neun Partnern
aus sieben EU-Ländern. Österreich ist vertreten durch
die Donau-Universität Krems, die das Projekt evaluiert,
alle Piloten koordiniert und einen davon in Österreich
umsetzt. Das Pilotprojekt wird in Österreich, Tschechien, Griechenland und dem Vereinigten Königreich realisiert, wobei die vier Piloten unterschiedliche Umsetzungsstrategien verfolgen. Während in Tschechien und
im Vereinigten Königreich politische Jugendorganisationen ihre Netzwerke nutzen um Diskussionen in den
online-Foren zu fördern, werden in Griechenland vor
allem provokante Kampagnen in Medien geschalten.
In Österreich werden insbesondere durch Workshops
in Schulen, Jugendliche mit unterschiedlichsten Interessen mit dem Thema der E-Partizipation konfrontiert.
Sämtliche Piloten nutzen einen Mix von Kommunikationskanälen, um potenzielle UserInnen anzusprechen.
Aus den Datensätzen der Plattform ist ersichtlich, dass
reine online-Kampagnen zur Involvierung von Jugendlichen kaum Erfolg haben. Gezielte offline-Aktivitäten
zur Bewerbung der E-Part-Plattform bringen die höchsten UserInnenaktivitäten auf der Plattform. Um die bestehende Community wieder anzusprechen sind Internetkanäle allerdings sehr nützlich.
Über 3.600 UserInnen haben in den vergangenen 1,5
Jahren zirka 4.800 Postings verfasst, die mit über 6.000
Likes bewertet wurden. Etwas mehr als 10 % der BesucherInnen registrierten sich auf der Plattform. Ein Drittel
der österreichischen EuropaparlamentarierInnen hat
Themen auf der Plattform zur Diskussion mit Jugendlichen online gestellt, was im Vergleich mit anderen
Piloten den Spitzenwert darstellt. Die Involvierung von
EntscheidungsträgerInnen ist für drei der Piloten ein
Schlüsselelement für die Motivation der UserInnen sich
einzubringen. Ausgenommen hiervon ist Griechenland,
wo sich keine PolitikerInnen oder VertreterInnen der öffentlichen Verwaltung namentlich auf der Plattform engagiert haben. Die angespannte politische Situation in
Griechenland spiegelt sich in kontroversen Diskussionen
mit zahlreichen Kommentaren auf OurSpace wieder.
Eine Besonderheit der Plattform ist der vierstufige, moderierte, ergebnisorientierte Diskussionsprozess. ModeratorInnen müssen vertiefende Informationen zu
den Diskussionsthemen aufbereiten, PolitikerInnen zielgerichtet einbinden, und die Diskussionen individuell
durch die verschiedenen Phasen begleiten. In der ersten
Phase des Prozesses können Themenvorschläge und Problemstellungen vorgestellt und bewertet werden, in der
zweiten Phase können Kommentare oder konkrete Lösungsvorschläge eingebracht und darüber abgestimmt
werden, in der dritten Phase werden die best-bewerteten
Lösungsvorschläge der finalen Abstimmung zugeführt,
deren Ergebnisse in der vierten Phase präsentiert werden. Hier kann noch einmal Feedback, insbesondere von
EintscheidungsträgerInnen, gepostet werden. Moderation der Kommentare erfolgt erst bei Bedarf nach deren
Veröffentlichung, um Transparenz zu gewährleisten.
Die Möglichkeit sich per Facebook-App an der Diskussion zu beteiligen und eine Mobile-App für Android schaffen einen einfachen mobilen Zugang zu den Inhalten der
Plattform. Eine integrierte Übersetzungsfunktion dient
zum Abbau der Sprachbarrieren und funktioniert gut, sofern die zu übersetzenden Textbausteine sprachlich korrekt sind. Während nationale Debatten in der jeweiligen
Landessprache geführt werden, ist die Sprache bei EUDebatten nicht näher definiert, wobei Englisch überwiegt.
Eine Registrierung auf der Plattform kann über die klassische Eingabe von Stammdaten oder via FacebookConnect erfolgen, wobei Facebook-Connect aufgrund
der Ein-Klick-Anmeldung gut von jungen UserInnen
angenommen wird. Die verpflichtende Registrierung ist
jedoch eine Hürde für die Beteiligung, zumal die eingegebenen Stammdaten in der Umsetzung von OurSpace
nicht geprüft werden, um den Prozess möglichst niederschwellig zu halten. Nicht alle Funktionen der aktiven
Beteiligung auf einer E-Part-Plattform sollten jedoch eine
Registrierung voraussetzen.
Jugendliche stehen Angeboten der elektronischen Beteiligung prinzipiell sehr positiv gegenüber. Qualitative Beteiligungsprozesse sind aber auch online langatmig, was
der Web-Geschwindigkeit entgegensteht. Sich sinnvoll in
einen qualitativen, politischen Diskussionsprozess einzubringen, benötigt von allen Beteiligten Engagement und
vor allem Zeit. Das Verfassen von differenzierten Argumenten muss geübt sein, und nicht alle BürgerInnen sind
dazu in der Lage. Die Aktivität der UserInnen über die
vier Phasen mehrere Wochen aufrecht zu halten, erfordert sehr aktive Kommunikationsstrategien von Seiten
des OurSpace-Konsortiums.Design und Usability sind bei
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
elektronischer Beteiligung ein wichtiger Faktor für nachhaltigen Erfolg. Nur wenn alle Tools an einem Ort integriert sind, werden diese auch angenommen. Nachträglich
wurden bei OurSpace Kommunikations- und Informationskanäle wie Blogs und Twitter aufgebaut. Da diese Kanäle aber nicht sonderlich sichtbar auf der Plattform integriert sind, sind die Zugriffszahlen auf diese Werkzeuge
viel geringer als auf die Foren der Plattform selbst.
Das Projekt OurSpace wurde noch zu Beginn des Facebook-Booms konzipiert, doch die Ansprüche der UserInnen haben sich durch soziale Netzwerke verändert.
Diskussionen in Foren werden angenommen, da das
Interesse an BürgerInnenbeteiligung gegeben ist. Der
Mangel an Netzwerkfunktionen, wie Freunde machen
oder Instant Messaging, wurde jedoch kritisiert; ebenso
sollten Medieninhalte leicht einzubetten sein und Kommentare editiert werden können. Auch wenn bei Partizipationsprojekten die Inhalte im Vordergrund stehen,
sollte bereits die Benutzeroberfläche die Funktionalitäten klar darstellen können. Der Zweck der Plattform,
die dahinter liegenden Prozesse und die versprochenen
Resultate müssen auf einfache Art und Weise kommuniziert werden. Was von einer Plattform für E-Partizipation
versprochen wird, muss auch gehalten und transparent
gemacht werden; auf europäischer Ebene in mehreren
Sprachen unterschiedlicher Kulturkreise.
links
fachartikel
OurSpace Plattform: www.joinourspace.eu
Projektseite: www.ep-ourspace.eu
| 11
Mag. Michael SACHS
Wissenschaftlicher
Mitarbeiter, Zentrum für
E-Governance, DonauUniversität Krems;
michael.sachs@donauuni.ac.at
12 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
Transparente Gemeindefinanzen
auf Knopfdruck
abstract
Bernhard Krabina
Unter http://offenerhaushalt.praxisplaner.at steht allen Gemeinden Österreichs ein neues Service zur Verfügung:
mit wenigen Mausklicks können die Rechnungsabschlüsse der eigenen Gemeinde im Internet veröffentlicht
werden. Veröffentlicht werden dabei nicht nur die Daten, sondern auch interaktive Visualisierungen, um den
Bürgerinnen und Bürgern eine zeitgemäße Darstellungsform der Gemeindehaushalte bieten zu können.
Bereits über 170 Gemeinden haben ihre Gemeindefinanzen transparent dargestellt.
Veröffentlichung von Finanzdaten. Die Veröffentlichung
der Finanzdaten ist für viele Behörden eine Routineübung: seit Jahren stellen die meisten Länder und
Gemeinden ihre Rechnungsabschlüsse in Form von
PDF-Dokumenten auf der eigenen Website zur Verfügung. Aus zwei Gründen ist diese aber nicht mehr
ausreichend: zum einen ist diese Form technisch keine zeitgemäße Veröffentlichungsform, wie auch der
Österreichische Stabilitätspakt 2012 in Artikel 12 (Abs.
1) anerkennt: „Die Haushaltsbeschlüsse […] sind […]
in einer Form im Internet zur Verfügung zu stellen,
die eine weitere Verwendung ermöglicht (z.B. downloadbar, keine Images oder PDF).“(1) Zum anderen ist
das Durchblättern von oft mehreren hundert Seiten
umfassenden PDF-Dokumenten eine recht mühsame
Angelegenheit – für Budgets gibt es ansprechendere
und interaktivere Darstellungsformen im Internet.
Auf dem österreichischen OGD-Portal data.gv.at wird
Bund, Ländern und Gemeinden bereits eine Plattform
zur Veröffentlichung der Daten angeboten, leider wird
diese nur von einigen Gemeinden auch zur Veröffentlichung von Finanzdaten verwendet: von insgesamt
1.119 Datensätzen sind erst 86 aus der Kategorie „Finanzen und Rechnungswesen“(2). Bisher wurden diese
Daten auch kaum für Anwendungen und Visualisierungen verwendet, was vor allem daran liegt, dass es
keinen einheitlichen Standard dafür gibt, wie diese
Daten zu veröffentlichen wären. Daher unterschei-
den sich die angebotenen Daten sowohl technisch als
auch inhaltlich wesentlich.
In diese Lücke stößt Offener Haushalt: die Bürgermeisterinnen und Bürgermeister haben Zugangsdaten zum Portal erhalten, in dem die Rechnungsabschlüsse aller Gemeinden in einem standardisierten
Format bereits enthalten sind (Datenquelle: Statistik
Austria). Es liegt nun im Ermessen der jeweiligen
Gemeinde, ob sie die Visualisierungen der eigenen
Budgetdaten nur selbst nutzt, die Zugangsdaten an
Verwaltungsbedienstete oder den Gemeinderat weitergibt oder generell freischaltet, wodurch die Visualisierungen und Daten generell im Internet einsehbar
sind.
Interaktive Visualisierungen. Seit Herbst 2013 stehen allen Gemeinden Österreichs folgende Darstellungsformen ihres Gemeindehaushalts zur Verfügung:
• Visualisierung der Rechnungsabschlüsse
2001-2012 inklusive Daten als Tabelle
• darunter die korrespondierende
Querschnittsrechnung als Tabelle
• beides interaktiv: anklick- und navigierbar,
bis auf die Ebene der Unterabschnitte (3 Ebenen)
• Detailansicht mit der Entwicklung über alle Jahre,
auch auf allen Ebenen
• Darstellung „Wohin fließt der Steuereuro?“
basierend auf 1.000 EUR bezahlter Steuern.
fachartikel
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
| 13
Abb. 1: Funktionelle und Ökonomische Gliederung des Haushalts
Abb. 2: Wohin fließen 1.000 Euro an Steuern?
Als zusätzliche Darstellungsart ist neben dem Jahresverlauf über alle 12 Jahre in Form von interaktiven Liniendiagrammen, noch eine Darstellung „Wohin fließt
der Steuereuro?“ verfügbar, die von der Bezeichnung
der Bereiche von der VRV abweicht, um allgemein
verständlichere Begriffe zu verwenden. Darüber hinaus werden nur die Themen dargestellt, die einen Abgang von Finanzmitteln bewirken. Kostendeckende
oder Überschuss erwirtschaftende Bereiche werden
nicht dargestellt, da diese z. B. über Gebühren finan-
ziert werden und somit kein Steuergeld dafür ausgegeben werden muss. Dargestellt wird nun, welcher
Anteil von statistischen 1.000 EUR (um vorstellbare
Größen zu erhalten) in welche Leistungsbereiche einer Gemeinde investiert worden sind.
Weiterentwicklungen. Es sind zahlreiche Weiterentwicklungen der Plattform in Planung, doch im ersten Schritt
steht im Vordergrund, die Anzahl der Gemeinden zu
vergrößern, die die Plattform nicht nur intern nutzen,
sondern die auch den Schritt der Freischaltung gehen.
Per Februar 2014 wird durch die 170 Gemeinden zwischen 5 und 35 Prozent der Bevölkerung des jeweiligen
Bundeslandes ermöglicht, die Finanzdaten der eigenen
Gemeinde anzusehen, Tendenz steigend. Die Darstellungsformen der Haushaltsdaten auf Offener Haushalt
bieten die Chance auf einen qualifizierteren Diskurs mit
besser informierten Bürgerinnen und Bürgern.
literatur
Als De-facto-Standard für Visualisierungen von Budgets hat sich international die „Treemap“ durchgesetzt, die Budgetzahlen in unterschiedlich großen
und verschieden eingefärbten Blöcken darstellt. Da
in Österreich die Systematik der Kontenbezeichnungen durch die VRV („Voranschlags- und Rechnungsabschlussverodnung“)(3) normiert ist, ändern sich die
Farben nicht nach der Größe der Blöcke, sondern
bleiben über alle Gemeinden hinweg in der gleichen
Farbe dargestellt, egal, wie groß der Block in der jeweiligen Gemeinde ist. Zur noch besseren Benutzbarkeit ist eine Suchfunktion nach Bezeichnungen der
Gruppen/Abschnitte/Unterabschnitte und ein Schalter verfügbar, mit dem auf eine Pro-Kopf-Darstellung
umgeschaltet werden kann (siehe Abb. 1).
(1)
Stabilitätspakt 2012: http://www.ris.bka.gv.at/
Dokument.wxe?Abfrage=Bundesnormen&
Dokumentnummer=NOR40147247
(2)
Data.gv.at: http://www.data.gv.at/suche/
(3)
VRV: http://www.offenerhaushalt.at/kameralistik
Mag. Bernhard
KRABINA
Wissenschaftlicher
Mitarbeiter, Berater und
Trainer im KDZ –
Zentrum für Verwaltungsforschung;
krabina@kdz.or.at
14 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
Wartezeiten in den Wiener
Bezirksämtern online abrufbar
abstract
Gerhard Kainz I Thomas Skerlan-Schuhböck
Seit September 2013 bieten die Magistratischen Bezirksämter der Stadt Wien ein neues Service
an: Die aktuellen Wartezeiten in Meldeangelegenheiten und bei der Passantragsstellung sind
online abrufbar. Für die Bürgerinnen und Bürger und für die Verwaltung wurde eine Win-Win
Situation geschaffen. Die Auswahl eines Bezirksamts mit kurzen Wartezeiten ist einfach möglich
und die Stadt Wien hat die Möglichkeit einer effizienten Lenkung der Kundenströme.
Wartezeiten Online. Mehr als 4 Millionen persönliche
Kundenkontakte werden in den Bezirksämtern jährlich
verzeichnet. Es gibt dabei Zeiten, wie etwa bei Passanträgen vor der Urlaubszeit, bei denen es zu einem
verstärkten Andrang kommen kann. Um diesem Trend
entgegen zu wirken, bietet die Stadt Wien ein neues
Service im Virtuellen Amt(1) des Internetauftritts der
Stadt Wien an. Dieses Service zeigt die aktuellen Wartezeiten in allen Wiener Bezirksämtern an. Gibt es etwa
längere Wartezeiten im 20. Bezirk, so kann in einen
anderen Bezirk mit kürzeren Wartezeiten ausgewichen
werden.
Melde- und Passangelegenheiten. Dieses Service wurde im
1. Schritt für Verfahren mit besonders hoher Fallzahl
freigeschaltet, d. h. für die Verfahren im Bereich Melde- und Passangelegenheiten(2)(3). Da die Verfahren in
jedem Bezirksamt – also unabhängig vom Wohnbezirk
– durchgeführt werden können, haben die Kundinnen
und Kunden mit diesem Service die Möglichkeit, „ihr“
Bezirksamt z. B. für die Beantragung eines Reisepasses
auszusuchen. Darüber hinaus nützt die Stadt Wien die
Möglichkeit, auf diesen Seiten auf weitere Services hinzuweisen, z. B. die Online-Reservierung von Terminen.
Technik und Nutzung. In den Bezirksämtern sind moderne Ticketautomaten im Einsatz, bei denen sich
die Kundinnen und Kunden ein Ticket lösen und auf
einer übersichtlichen Anzeige sehen, wer als Nächstes aufgerufen wird. Dieses System basiert auf einem
zentralen Server, der vom Rechenzentrum der Stadt
Wien gehostet wird und auf Clients, die lokal auf den
Arbeitsplatzrechnern in den Bezirksämtern installiert
wurden. Mit diesen Clients können die Mitarbeiterinnen und Mitarbeiter die Anzeige im Vorzimmer steuern. Die Stadt Wien hat ein neues Service erstellt, das
die Informationen über die aktuellen Wartezeiten am
Server abfragt, auswertet und im Internet anzeigt.
Vom Start Anfang September 2013 bis November 2013
wurde dieses Service mehr als 40.000 Mal aufgerufen.
Rund zwei Drittel aller Kundinnen und Kunden haben
sich über die Wartezeiten bei Verfahren im Meldewesen informiert, rund ein Drittel für Passangelegenheiten.
Responsive Webdesign. Mit stetig weiter steigenden mo-
bilen Nutzungszahlen – und da die Information der
Wartzeiten auch unterwegs von großer Bedeutung
sein kann – wurde die Applikation nach den Grund-
fachartikel
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
DI Dr. Gerhard KAINZ
Stadt Wien, Magistratsabteilung 14 Automationsunterstützte
Datenverarbeitung,
Informations- und Kommunikationstechnologie,
E-Government; gerhard.
kainz@wien.gv.at
Abb. 1: Darstellung der Wartezeiten auf Endgeräten wie Laptops oder Desktop-PCs
sätzen des „Responsive Webdesign“ erstellt, d. h. die
Darstellung richtet sich automatisch am verwendeten Endgerät und der aktuellen Bildschirmgröße aus.
Dies war aufgrund der Inhalte – die Wartezeiten werden graphisch dargestellt – eine besondere Herausforderung. Ist der zur Verfügung stehende Platz im
Browser für die Darstellung der Zeiten in einem Säulendiagramm nicht ausreichend – typischerweise bei
Smartphones – so werden die Zeiten in einem Balkendiagramm dargestellt.
Servicecharakter. Die Online-Wartezeiten bieten für
Kundinnen und Kunden eine weitere Erleichterung auf
dem Behördenweg. Das neue Service stellt für Wien einen weiteren Baustein für eine international vorbildliche Stadtverwaltung dar. Mit diesem Service lenkt die
Wiener Stadtverwaltung effizient die Kundenströme
zu weniger frequentierten Ämtern.
Abb. 2: Darstellung der Wartezeiten auf portablen Endgeräten
wie Smartphones
Thomas SKERLANSCHUHBÖCK
Stadt Wien, Magistratsdirektion der Stadt Wien,
Geschäftsbereich Organisation und Sicherheit;
thomas.skerlanschuhboeck@wien.gv.at
literatur
Open Government Data. Auf dieses Service wurde schnell
die lebendige und kreative Open-Government-DataCommunity in Wien aufmerksam. Kurz nach der ersten Anfrage, ob diese Daten auch im OGD-Katalog der
Stadt angeboten werden, stellte der Wiener Magistrat
sie bereits zur Verfügung. Die erste, von der Community erstellte Web-App “Wann aufs Meldeamt?”(4) ist
bereits abrufbar. Diese zeigt übersichtlich, wann die
besten Zeiten sind, um aufs Meldeamt zu gehen.
| 15
(1)
Virtuelles Amt der Stadt Wien. http://amtshelfer.wien.gv.at.
(2)
Wartezeit in den Meldeservicestellen
http://www.wien.gv.at/wartezeiten/meldeservice.
(3)
Wartezeit in den Passservicestellen
http://www.wien.gv.at/wartezeiten/passservice.
(4)
OGD Web-App “Wann aufs Meldeamt?“
https://open.wien.at/site/wann-aufs-amt.
16 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
„Digital Divide“ in der kommunalen
Verwaltung - IT-gestützte Verwaltungsentwicklung in der Bauaufsicht
abstract
Jürgen Stember I Matthias Neutzner
Unter dem Thema „Stand und Perspektiven der Verwaltungsentwicklung in der Bauaufsicht“ wurde
von der Hochschule Harz und der Fa. Syncwork aus Dresden eine repräsentative bundesweite Studie
zur IT-orientierten Verwaltungsentwicklung in unteren Bauaufsichtsbehörden durchgeführt. Die Studie
untersuchte den Status-Quo und die Perspektiven der Verwaltungsmodernisierung sowie des E-Governments. Dabei zeigte sich, dass zwar einige Verwaltungen schon beachtliches leisten, der digitale Graben
zwischen den einzelnen Verwaltungen aber deutlich größer ist als bislang angenommen.
Seit gut zwei Jahrzehnten ist Verwaltungsmodernisierung
vor allem von zwei Strategien geprägt: Während das „Neue
Steuerungsmodell“ auf eine grundlegende Reform von
Selbstverständnis und Management der Verwaltungen
zielte, beschrieb „E-­Government“ das Leitbild einer umfassend technisierten Verwaltungsarbeit. Was ist seither
tatsächlich erreicht worden? Wo stehen die Behörden der
Bundesrepublik in ihrem Bemühen, den gesellschaftlichen Anforderungen an zeitgemäße Verwaltungsarbeit
nachzukommen? Zum ersten Mal ermöglicht es eine repräsentative Studie, diese Fragen beispielhaft an einem
konkreten Handlungsfeld der Kommunalverwaltung zu
diskutieren: Die Hochschule Harz und die Syncwork AG,
unterstützt vom Niedersächsischen Heidekreis als Praxispartner, befragten im Frühjahr 2013 bundesweit untere
Bauaufsichtsbehörden. Mehr als einhundert Verwaltungen
aus 13 Bundesländern beantworteten den umfangreichen
Fragebogen, was einer Rücklaufquote von 26% entsprach.
Ergänzt wurden die quantitativen Ergebnisse durch zahlreiche qualitative Interviews mit kommunalen Partnern.
Prozesse der Bauaufsicht als geeigneter Gradmesser. Die
Autoren der Studie verstehen unter „Verwaltungsentwicklung“ alle jene Aktivitäten, die von den öffentlichen
Verwaltungen unternommen werden, um in einem sich
verändernden gesellschaftlichen Umfeld die Voraussetzungen für ihre Tätigkeit zielgerichtet und nachhaltig zu
verbessern. Angesichts des breiten Leistungsspektrums
und vielgestaltiger Organisationsformen ist es schwierig, Verwaltungsentwicklung in ihrer Gesamtheit zu fassen. Die vorliegende Studie geht bewusst einen anderen
Weg: Untersucht wurde ein einziger Aufgabenbereich
der Kommunalverwaltungen - die untere Bauaufsichts-
behörde. Im Sinne einer empirischen „Tiefenbohrung“
konnte so im Detail skizziert werden, in welchem Maße
die Modernisierungsstrategien, die in den vergangenen
Jahren Schlagzeilen machten, tatsächlich das konkrete
Verwaltungshandeln veränderten.
Für eine solche Analyse eignet sich die Bauaufsicht in
doppelter Hinsicht. Einerseits sind Baubehörden eng
mit der sich verändernden Lebenswirklichkeit unseres
Landes verbunden. Andererseits bieten die fachlich anspruchsvollen und hochgradig kooperativen baurechtlichen Verwaltungsverfahren Ansatzpunkte für nahezu
alle denkbaren Modernisierungsbemühungen – von
Mitarbeiterqualifikation bis zur elektronischen Bauakte,
vom Service-Center bis zum Online-Bauportal.
Wenige Pioniere, manche Absichtserklärungen, breites Abwarten.
Der „digitale Bauantrag“ war eine der viel diskutierten Visionen des frühen E-Government. Ende der 1990er Jahre wurden bundesweit Pilotvorhaben mit erheblichem
Mitteleinsatz gestartet, um insbesondere das Baugenehmigungsverfahren elektronisch abzubilden. Eineinhalb
Jahrzehnte später, so kann man annehmen, müsste die
„digitale Bauaufsicht“ längst Standard sein. Die Studie
zeichnet ein deutlich anderes Bild. Während E-Government unwidersprochen als eine zentrale Modernisierungsstrategie gilt, ist der Digitalisierungsgrad in den
baurechtlichen Verwaltungsverfahren nach wie vor gering. Kaum zwei Prozent der Verwaltungen wickeln beispielsweise das Baugenehmigungsverfahren vollständig
elektronisch ab, kommen also von der Antragstellung
bis zur Auslieferung der Bescheide weitgehend ohne die
klassische Bauakte in Papierform aus. Allerdings müssen
fachartikel
auch diese Verwaltungen nach wie vor Medienbrüche
in der Kommunikation mit ihren Kunden bewältigen:
Selbst die „Pionierverwaltungen“ mit teils langjährigen
E-Government-Erfahrungen berichten von maximal einem Drittel elektronisch eingereichter Bauanträge.
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
Maße sich einzelne Verantwortliche in den Fachorganisationen engagieren und über welche Durchsetzungskraft
sie verfügen. Befragt danach, in welchen Aspekten sich
ihre Verwaltung verändern müsse, benennen die „Aktiven“ vor allem die Steuerung der Verwaltungstätigkeit und
deuten damit auf problematische Erfahrungen in Entwicklungsprojekten. Dagegen sehen die beim IT-Einsatz
eher zögerlichen Verwaltungen mit großem Abstand die
Beschaffung von geeignetem Personal als wichtigstes Hindernis für ein eigenes Engagement.
Abb. 2: Veränderungsbedarf bei den befragten Kommunalverwaltungen. Quelle: Hochschule Harz / Syncwork AG 2013
Abb. 1: Verwaltungstypisierung der befragten Kommunalverwaltungen.
Quelle: Hochschule Harz / Syncwork AG 2013
Weitere zehn Prozent der bundesdeutschen Bauaufsichtsbehörden haben bislang entsprechende Einführungsprojekte gestartet. Diesen „Aktiven“ steht die große Mehrzahl
der Verwaltungen gegenüber, die entweder erst in den
kommenden Jahren mit der Umstellung auf eine vollständig elektronische Bearbeitung beginnen wollen (46 % „Abwartende“) oder dies bislang gänzlich ausschließen (42 %
„Traditionalisten“). In diesem „Digital Divide“ spiegeln die
Kommunalverwaltungen einen allgemeinen gesellschaftlichen Trend – mit allerdings deutlich konservativerer
Ausprägung als etwa in der Wirtschaft oder selbst bei den
Bürgern.
Aber auch nicht-technische Rahmenbedingungen erweisen sich oft als problematisch: Beispielsweise bewerten zwei Drittel aller Befragten die Formvorschriften
im Baurecht als zu strikt und die Regelungen für deren
elektronische Umsetzung als nicht praxisgerecht. Zudem
deuten die Kommentare der Befragten an, dass auch nach
Jahren juristischer Diskussionen und gesetzgeberischer
Initiativen die Verwaltungen noch verunsichert sind, wie
die elektronische Bearbeitung von Verwaltungsverfahren
rechtskonform umgesetzt werden kann. Dem „Digital
Divide“ entsprechen deutliche Unterschiede auch in anderen, nicht-technischen Aspekten der Verwaltungsentwicklung: Wenn Verwaltungen als modern und innovativ eingeschätzt werden, dann sind sie dies nicht nur in
Bezug auf den IT-Einsatz, sondern auch in anderen Managementbereichen – etwa bei der Umsetzung des Qualitäts- und Servicemanagements.
Hauptproblem: Fehlende Steuerung und problematische Rahmenbedingungen. Die Gründe für diesen Befund sind
zunächst im verwaltungsinternen Management der Veränderungsprozesse zu suchen. So wurden als Erfolgsbedingungen für Modernisierungsprojekte vor allem zwei
Aspekte betont: Erstens, eine nachhaltige Steuerung durch
die Verwaltungsleitung und zweitens, ausreichend qualifiziertes Personal. Gleichzeitig scheinen genau diese Voraussetzungen in vielen Fällen nicht gegeben zu sein. In zwei
Dritteln aller befragten Verwaltungen fehlen verbindliche
Planungen für Veränderungsprojekte. Damit sind entsprechende Aktivitäten stark davon abhängig, in welchem
| 17
Resümee. Die Ergebnisse der Studie haben in erstaunli-
cher Deutlichkeit an einem thematischen Beispiel der
Bauaufsicht gezeigt, wie weit die kommunale Landschaft
flächendeckend noch vom Leitbild der „IT-orientierten
Verwaltung“ entfernt ist. Dass dieser Weg sich lohnt und
vor allem aber auch praktikabel und machbar ist, zeigen
die „Leuchttürme“, die es zweifelsohne auch gibt.
Die Studie ist unter www.hs-harz.de/fbvw kostenlos zum
Download bereitgestellt.
Prof. Dr. Jürgen
STEMBER
Dekan des Fachbereichs
Verwaltungswissenschaften der Hochschule Harz;
jstember@hs-harz.de
Matthias NEUTZNER
Management Consultant,
Syncwork AG;
neutzner@syncwork.de
18 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
Identitätsmanagement in
Österreich mit MOA-ID 2.0
abstract
Thomas Lenz I Bernd Zwattendorfer I Klaus Stranacher I Arne Tauber
Mit der neuen Version 2.0 von MOA-ID wurde eine umfassende Modularisierung und Erweiterung vorgenommen.
Neben vereinfachten Möglichkeiten zur Integration von MOA-ID, wie eine web-basierte Konfiguration, stehen Service Providern nun viele moderne Funktionen eines Identity Providers zur Verfügung. So wurden neue Authentifizierungsprotokolle integriert, Single Sign-On wird unterstützt und die Möglichkeit des Clusterbetriebs geschaffen.
Neben der Anmeldung in Vertretung ist nun auch eine Anmeldung ausländischer Personen möglich. Abgerundet
werden die neuen Funktionen über ein internes Monitoring und ein zusätzliches Logging für statistische Zwecke.
Die österreichische Bürgerkarte in Form von Chipkarte
oder Handy-Signatur ist schon seit Jahren ein wesentlicher
Bestandteil im österreichischen E-Government, speziell
für die elektronische Kommunikation zwischen Bürgerin
bzw. Bürger und Behörde. Neben der Möglichkeit zur Erstellung von elektronischen Signaturen, welche rechtlich
handschriftlichen Unterschriften gleichgestellt sind, findet die Bürgerkarte vor allem Einsatz für die sichere und
eindeutige Identifizierung und Authentifizierung von Bürgerinnen bzw. Bürgern bei behördlichen oder privatwirtschaftlichen Online-Anwendungen. Um diesen erhöhten
Mehrwehrt einer sicheren Identifizierung und Authentifizierung mittels Bürgerkarte auch einfach bei OnlineAnwendungen einbinden zu können, bietet das Bundeskanzleramt das Open Source Softwaremodul MOA-ID
(Module für Online Applikationen – Identifikation) an.
Dieses Modul übernimmt bzw. vereinfacht den Verifikationsprozess bei einer Bürgerkarten-Anmeldung. Weiters
stellt es die Identifikations- und Authentifizierungsdaten
der jeweiligen Bürgerin bzw. des jeweiligen Bürgers der
Online-Anwendung in strukturierter Form zur Verfügung.
Nachdem E-Government zur Effizienzsteigerung von
Behördenwegen immer wieder neuen Anforderungen
ausgesetzt ist, bedarf es auch entsprechender Anpassungen in einzelnen Modulen wie MOA-ID, um diesen
Anforderungen gerecht zu werden. Neue Anforderungen im Identifizierungs- und Authentifizierungsbereich
sind beispielsweise eine Authentifizierung in Vertretung
mittels elektronischer Vollmachten, die Authentifizierung ausländischer Bürgerinnen und Bürger aufgrund
der Dienstleistungsrichtlinie oder neue moderne Authentifizierungsprotokolle, welche zusätzliche Sicherheit bringen. Um diesen neuen Anforderungen im EGovernment gerecht zu werden wurde MOA-ID in Bezug
auf Sicherheit, Modularität und Vollmachtenunterstützung vollständig überarbeitet.
Die Version 2.0 von MOA-ID (derzeit im Testbetrieb, die
öffentliche Release ist für das Quartal 1 2014 geplant(1))
unterstützt unterschiedliche Anwendungsfälle, wie
z.B. reine Bürgerkartenanmeldung, Authentifizierung
in Vertretung mittels elektronischer Vollmachten oder
auch die Authentifizierung ausländischer Bürgerinnen
und Bürgern. Alle Authentifizierungsvorgänge können
von MOA-ID 2.0 auch als Single Sign-On Anmeldung
durchgeführt werden, wodurch eine Anmeldung an
unterschiedlichen Applikationen nach einmaliger erfolgreicher Authentifizierung ohne erneute Eingabe von
Anmeldedaten möglich wird. Eine für Provider von Online-Applikationen interessante Neuerung ist die überarbeitete und vereinfachte Konfiguration, welche die
Integration einer Bürgerkarten-Anmeldung in eine bestehende Web-Applikation deutlich vereinfacht. Hierfür
wurde MOA-ID 2.0 um ein Konfigurationstool ergänzt,
mit dessen Hilfe die MOA-ID Instanz komfortabel über
ein HTML Interface verwaltet werden kann. Mit zusätzlichen Funktionen wie ein erweitertes Monitoring der internen Funktionsabläufe oder eine Statistikfunktion für
anonymisierte Zugriffsstatistiken bietet MOA-ID 2.0 viele
Funktionen eines modernen Identity Providers.
In Abbildung 1 ist die Architektur von MOA-ID 2.0 dargestellt. Ein markanter Unterschied zur vorhergehenden Version ist die Modularität der neuen Version. Alle
Hauptkomponenten (Auth Sources, Protocol Adapter,
Zusatzmodule) weisen nun ein modernes und modulares Design auf, wodurch die Integration zusätzlicher Authentifizierungsmechanismen oder die Unterstützung
neuer Authentifizierungsprotokolle einfach möglich ist.
Abb. 1: Modulare Architektur von MOA-ID 2.0
Es müssen nur die dafür vorgesehenen Schnittstellen
entsprechend implementiert werden.
Bisher wurde von MOA-ID ausschließlich SAML1(2) als
Identitäts- und Authentifizierungsprotokoll unterstützt.
Da SAML1 jedoch nicht mehr den aktuellen Sicherheitsanforderungen an einen modernen Identity Provider
entspricht, stehen ab der MOA-ID Version 2.0 zusätzliche Authentifizierungsprotokolle zur Verfügung. Diese
zusätzlichen Protokolle sind das Portalverbundprotokoll
2.1(3) (PVP2), welches auf SAML2(4) basiert, und OpenID
Connect(5), ein leichtgewichtiges Identitätsprotokoll, welches auf dem OAuth2(6)-Standard aufbaut. Die zur Verfügung stehenden Protokolle werden im Laufe der Zeit
erweitert. So wird aktuell eine Integration von OpenID(7)
analysiert und evaluiert. Die Auswahl an Protokollen soll
Betreibern von öffentlichen Applikationen den Umstieg
von SAML1 auf aktuellere und sicherere Protokolle erleichtern.
Neben der Identifizierung und Authentifizierung mittels
Bürgerkarte oder Handy-Signatur steht ab MOA-ID 2.0
auch eine Anmeldung von Bürgerinnen und Bürgern
aus anderen EU Mitgliedsländern über das STORK(8)Framework zur Verfügung.
Die Architektur in Abbildung 1 zeigt jedoch auch weitere
Neuerungen, welche für Betreiber einer MOA-ID Instanz
interessant sind. Der Hauptteil der Konfiguration wird ab
Version 2.0 in eine Konfigurationsdatenbank ausgelagert,
welche über ein mitgeliefertes Konfigurationstool verwaltet werden kann. Dies hat nicht nur den Vorteil, dass die
Verwaltung über ein grafisches Interface erfolgt, sondern
auch dass im Falle von MOA-ID im Clusterbetrieb allen
Instanzen zentral konfiguriert werden können. Für Servicebetreiber, für welche eine hohe Verfügbarkeit wichtig ist,
bietet MOA-ID 2.0 ein internes Monitoring- und Testmodul, mit deren Hilfe es möglich ist, den internen Status und
die Verfügbarkeit der Anmeldefunktionalität zu prüfen,
wobei alle relevanten internen Teile wie z.B. die Kommunikation mit dem Signatur-Prüfservice überprüft werden.
Zusätzlich steht ein erweitertes anonymisiertes Logging
von Zugriffsdaten oder aufgetretenen Anmeldefehlern zur
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
Verfügung. Hiermit ist Service Providern eine zusätzliche
Möglichkeit zur Service- und Auslastungskontrolle zugänglich.
Zusammenfassend unterstützt MOA-ID 2.0 folgende
Anwendungsfälle:
•Sichere Identifizierung und Authentifizierung österreichischer Bürgerinnen und Bürger mittels Bürgerkarte oder Handy-Signatur
• Anmeldung in Vertretung von natürlichen oder juristischen Personen
•Sichere Identifizierung und Authentifizierung von
Bürgerinnen und Bürger aus anderen EU Mitgliedsländern
Im Vergleich zur Vorgänger-Version von MOA-ID besitzt
die Version 2.0 die folgenden Neuerungen bzw. Features:
• Modulares und einfach erweiterbares Design
•
Unterstützung unterschiedlicher Identitätsprotokolle
wie PVP2 (auf Basis von SAML2) oder OpendID Connect
• Vereinfachter und komfortabler Anmeldeprozess mittels Single Sign-On
• Administrationsfreundliches Web-Interface zur Konfiguration
• Möglichkeit des Clusterbetriebs
• Internes Monitoring- und Testmodul zur Überprüfung
des internen Status und der Verfügbarkeit von Services
•Erweiterte Logging-Möglichkeiten für statistische
Zwecke
• Einbinden des STORK-Frameworks zur Unterstützung
der Anmeldung ausländischer EU Bürgerinnen und
Bürger.
literatur
fachartikel
(1)
V eröffentlicht unter: https://joinup.ec.europa.eu/software/
moa-idspss/description.
(2)
P . Hallam-Baker et al.: “Assertions and Protocols for the
OASIS Security Assertion Markup Language (SAML)”, OASIS
Standard, September 2003, http://www.oasis-open.org/
committees/download.php/2290/oasis-sstc-saml-1.0.zip.
(3)
M. Pellmann et al.: „Portalverbundprotokoll Version 2
S-Profil“, AG Integration und Zugänge, August 2013,
http://reference.e-government.gv.at/uploads/media/
PVP2_S-Profil_2-1-0_20130823.pdf.
(4)
S. Cantor et al.: “Assertions and Protocols for the OASIS
Security Assertion Markup Language (SAML) V2.0”,
OASIS Standard, March 2005, http://docs.oasis-open.
org/security/saml/v2.0/saml-core-2.0-os.pdf.
(5)
OpenID Connect, http://openid.net/connect.
(6)
OAuth 2.0, http://oauth.net/2.
(7)
B. Fitzpatrick et al: “OpenID Authentication 2.0”, OpenID
Foundation, Dezember 2007, http://openid.net/specs/
openid-authentication-2_0.html.
(8)
Secure Identity Across Borders Linked (STORK),
https://www.eid-stork.eu/.
| 19
DI Thomas LENZ
E-Government Innovationszentrum (EGIZ);
thomas.lenz@egiz.gv.at
DI Bernd
ZWATTENDORFER
E-Government Innovationszentrum (EGIZ);
bernd.zwattendorfer@
egiz.gv.at
DI Klaus STRANACHER
E-Government Innovationszentrum (EGIZ);
klaus.stranacher@egiz.
gv.at
Dr. Arne TAUBER
E-Government Innovationszentrum (EGIZ);
arne.tauber@egiz.gv.at
20 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
SECOVIA – Interkommunales
„Cloud Computing“, die Zukunft
der IT in der Gemeinde?
abstract
Ursula Polessnig
„Cloud Computing“, eine weitgehend standardisierte, zentrale Bereitstellung von IT-Ressourcen
(IaaS – Infrastructure as a Service), Diensten (SaaS – Software as a Service) oder Plattformen
(PaaS – Platform as a Service) stellt eine Weiterentwicklung des auch bereits in den Gemeinden
etablierten Rechenzentrumsbetriebs von Fachanwendungen dar. „Cloud Computing“ hat überdies
das Potential, positive Aspekte wie Standardisierung, Datensicherheit, professionelle Softwarelizenzierung und –wartung mit volumensbedingt niedrigen Kosten in Einklang zu bringen.
Das Zentrum für Verwaltungskooperation (ZVK) ist
als österreichischer Projektpartner an dem EU Projekt
SECOVIA (South East Europe jointly developed COmmon advanced VIrtual Accessibility solutions to support public services) beteiligt, welches sich schwerpunktmäßig mit dem Themenfeld „Cloud Computing“
im Bereich der öffentlichen Verwaltung auf kommunaler und regionaler Ebene beschäftigt. Konkret geht
es um die Erarbeitung von Empfehlungen und Handlungsanleitungen für den Aufbau von Cloud-Services
auf Grundlage bereits bestehender Good Practices.
Das Projekt hat im Spätherbst 2012 begonnen und eine
Laufzeit von zwei Jahren. Das Projektkonsortium umfasst 13 Partner aus dem Nahbereich der lokalen und
regionalen Verwaltung in 10 Ländern.
Das globale Ziel von SECOVIA ist die Schaffung von
Grundlagen für eine Ausweitung gemeinsam entwickelter, zentral betriebener IT-Lösungen (Cloud Services) auf kommunaler und regionaler Verwaltungsebene. Kooperativ abgewickelte IT-Projekte, die in
Österreich im kommunalen Bereich bereits seit vielen
Jahren Gang und Gäbe sind, bringen eine Reihe von
Vorteilen mit sich. Diese sollen im Projekt SECOVIA insbesondere unter Berücksichtigung der geografischen
als auch sozio-ökonomischen Besonderheiten der süd-
und südosteuropäischen Länder adressiert werden. Im
Vordergrund steht aber nicht nur die interkommunale
Kooperation bei der Entwicklung gemeinsamer Services, sondern auch die Nutzung der Vorteile von „Cloud
Computing“, um den Zugang zu gemeinsamen IT Services, Ressourcen und Infrastrukturen (nicht zuletzt
auch finanziell) zu begünstigen. Damit sollte mittelfristig erreicht werden, dass die Kluft in den Bereichen
IKT-Infrastruktur und -Services sowie Zugang zu digital
verfügbaren Services der Öffentlichen Hand auf regionaler und lokaler Ebene in Süd-Ost Europa gegenüber
anderen EU-Staaten wie beispielsweise Österreich ausgeglichen wird.
Österreich nimmt in diesem Projekt als E-GovernmentVorreiter innerhalb der Europäischen Union einen besonderen Stellenwert als Ideengeber, als Know-HowTräger und als Bereitsteller einer beachtlichen Reihe
von Good Practices und daraus resultierenden Erfahrungswerten ein. Die Rolle des Österreichischen Projektpartners liegt somit Schwerpunktmäßig im Wissenstransfer zu den Süd-Ost-Europäischen Partnern.
Im speziellen verfolgt SECOVIA folgende Zielsetzungen:
• Bewertung des aktuellen Status von Cloud-Services
in Hinblick auf Bedarf, gegebene Infrastruktur, vorhandene öffentliche Dienstleistungen (im Sinne
fachartikel
•
•
•
von gesetzlichen und freiwilligen Aufgaben der
regionalen und lokalen Ebene) in Österreich und
im Vergleich dazu in süd- und südosteuropäischen
Ländern.
Identifikation, Analyse und Austausch von Good
Practice Beispielen sowie die Bewertung des Bedarfs
und der Sichtweise von Projekt-Stakeholdern (aus
den teilnehmenden Ländern) betreffend gemeinsamer Cloud Services für die öffentliche Verwaltung
(Ressourcen, Infrastruktur, Verfahren etc.).
Machbarkeitsanalyse, Schaffung der Voraussetzungen und Ausarbeiten eines theoretischen RolloutPlans für einen „kooperativen Cloud Service Provider“ – für gemeinsam genützte Infrastruktur (IaaS)
sowie kooperative internetbasierte Plattformen und
Applikationen für digitale öffentliche Dienstleitungen (PaaS/SaaS). Österreich kann hier ebenfalls bereits einige Langzeit-Erfahrungswerte, z.B. auf Basis
des Gemeindeinformatikzentrums Kärnten (GIZ-K)
aufweisen.
Überlegungen zur Verbesserung der öffentlichen
und privaten Investitionspolitik in den süd- und südosteuropäischen Ländern.
Verbesserung des Wissensstandes von Entscheidungsträgern und öffentlich Bediensteten im regionalen und kommunalen Bereich in den Zielstaaten.
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
ihre Lösungen auch als zentral betriebene Anwendungen
anbieten und es wichtig ist für IT-Verantwortliche beurteilen zu können, ob und um welche Form von Cloud
Computing es sich handelt und welche rechtlichen, organisatorischen und schlussendlich auch (sicherheits)technischen Überlegungen angestellt werden sollten.
Im Rahmen des EU-Projekts SECOVIA werden daher
auch „Info-Days“ organisiert, welches sich mit einer
qualifizierten Aufarbeitung des Themengebiets „Cloud
Computing“ im kommunalen und regionalen Kontext
auseinandersetzt. Der erste Info Day, welcher Anfang
Dezember 2013 stattfand, widmete sich den allgemeinen Grundlagen des Cloud Computings und einer
strategischen Herangehensweise an das Thema. Dabei
wurde Cloud Computing anhand konkreter Beispiele
aus drei Perspektiven beleuchtet: Bund – Kommune –
Provider. Auf Bundesebene wurde ein Strategiepapier
als Orientierungshilfe ausgearbeitet, die Stadt Wien arbeitet an der Erstellung einer kommunalen Cloud Strategie und das Gemeindeinformatikzentrum Kärnten
liefert seinen Eigentümer-Gemeinden Cloud-Services
als Provider.
tiges Thema. Eine Auseinandersetzung mit „Cloud Com-
Der nächste Info-Day wird sich rechtlichen, sicherheitstechnischen und organisatorischen Aspekten des Cloud
Computings widmen und im ersten Halbjahr 2014
stattfinden. Details zum EU-Projekt SECOVIA und
den Info-Days finden sich auf der Projektwebsite unter
www.secovia.eu.
puting“ wird auch für Kommunen vor dem Hintergrund
oftmals von der Führungsebene gekürzter, ohnehin knapper IT-Budgets immer wichtiger. Hinzu kommt, dass
mittlerweile die meisten kommunalen Softwareanbieter
Die Autorin ist vom ZVK beauftragte Projektleiterin für
den österreichischen Teil von SECOVIA.
•
„Cloud Computing“ zusehends auch für Gemeinden ein wich-
| 21
Mag. (FH) Ursula
POLESSNIG
IT-Kommunal GmbH;
ursula.polessnig@itkommunal.at
22 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
Leitfaden des BSI für Beschaffung
sicherer Webanwendungen
abstract
Amir Salkic
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI)(1) ist die nationale Sicherheitsbehörde in Deutschland mit dem Ziel die IT-Sicherheit voran zu bringen. Um die Sicherheit auch in Webanwendungen zu adressieren, hat das BSI im September 2013 in Zusammenarbeit mit SEC Consult einen neuen
Leitfaden veröffentlicht. Der Leitfaden beschreibt wie ein adäquates Sicherheitsniveau in Abhängigkeit des
Schutzbedarfs erreicht werden kann und gibt somit wertvolle Orientierungshilfe.
Toxische Software. Den größten Vorteil von E-Government versprechen die vereinfachten Kontakt- und
Kommunikationsmöglichkeiten zwischen dem Bürger und der Behörde. Der Bürger kann bequem über
das Internet seine Behördengänge erledigen. Datenschützer befürchten jedoch, dass die Privatsphäre der
Bürger nicht ausreichend geschützt wird. Durch die
Verlagerung der Behörde in das Web sind sensible
Informationen über den Bürger online einsehbar. Der
sichere Umgang mit diesen Informationen ist Pflicht
und muss von Anfang an als fundamentales Element
des E-Governments betrachtet werden. In diesem Zusammenhang müssen Sicherheitsmaßnahmen rechtzeitig adressiert werden, um sogenannte „toxische
Software“ vorzubeugen.
sche Behörden dabei, sichere Software zu beschaffen,
indem der Leitfaden den Stand der Technik beschreibt,
den die Behörden fordern sollen. Andererseits richtet
er sich an Softwarehersteller, die Behörden mit sicherer Software versorgen möchten. Daneben ist der Leitfaden aber auch für alle anderen Unternehmen und
Organisationen, unabhängig ihrer Größe und ihres
Tätigkeitsfeldes, geeignet. Der Leitfaden wurde zwar
in erster Linie für den Einsatz in deutschen Behörden
entwickelt, definiert jedoch allgemeine Anforderungen an die sichere Softwareentwicklung, sodass dieser
auch außerhalb von Deutschland verwendet werden
kann. Diese Tatsache macht den Leitfaden auch besonders attraktiv für den Einsatz in Österreich.
Der Leitfaden bestehend aus zwei Dokumenten. Der BSI-
„Toxische Software“ entsteht in der Regel schon bei
der Entwicklung von Webanwendungen. Oftmals
werden Sicherheitsschwachstellen in Software erst im
Zuge von Hacker-Angriffen aufgedeckt, also erst dann,
wenn es bereits zu spät ist. Um jedoch Qualitätsmängel von Webanwendungen rechtzeitig entgegenzusteuern, gilt es, gefährliche Sicherheitslücken bereits
in der frühen Entwicklungsphase vorzubeugen. Der
Leitfaden zur Entwicklung sicherer Webanwendungen
betrachtet deshalb den gesamten Lebenszyklus einer
Webanwendung und definiert zu jeder Entwicklungsphase sicherheitsrelevante Aktivitäten. Damit wird
sichergestellt, dass von Anfang an die Sicherheit ausreichend berücksichtigt wird. Die Phasen des Entwicklungsprozesses werden in Abbildung 1 dargestellt.
Insbesondere im Beschaffungswesen deutscher Behörden leistet der Leitfaden bereits jetzt schon wichtige Orientierungshilfe. Einerseits unterstützt er deut-
Leitfaden zur Entwicklung sicherer Webanwendungen
besteht aus zwei Dokumenten(2). Beide Dokumente
sind auf das gleiche Ziel fokussiert – die Erhöhung der
Softwaresicherheit – berücksichtigen jedoch zwei unterschiedliche Perspektiven. Jener Akteur, der die Software in Auftrag gibt (der Auftraggeber) und jener Akteur, der die Software erstellt und/oder zur Verfügung
stellt (der Auftragnehmer). Der Auftragnehmer muss
sicherstellen, dass die Software die Anforderungen des
Auftraggebers erfüllt und das notwendige Sicherheitsniveau erreicht. Der „Leitfaden zur Entwicklung sicherer
Webanwendungen – Empfehlungen und Anforderungen an die Auftragnehmer“ ist die Orientierungshilfe
für den Auftragnehmer und definiert die notwendigen
Sicherheitsanforderungen an den Entwicklungsprozess
sowie Vorgaben an die Implementierung. Hierzu stehen dem Auftragnehmer nicht nur ein umfangreiches
Dokument zur Verfügung, sondern auch umfangreiche
Checklisten, die bei der Umsetzung unterstützen sol-
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
fachartikel
Initiale Planung &
Vergabephase
Konzeptions- &
Planungsphase
Implementierung
Testen
| 23
Auslieferung &
Betrieb
Abb. 1 : Phasen des Entwicklungsprozesses
Abb. 2 : Checkliste für den Entwicklungsprozess
Der Auftraggeber muss sicherstellen, dass die Anforderungen vom Auftragnehmer korrekt umgesetzt werden. Dem Auftraggeber fehlt jedoch oft das notwendige Fachwissen dazu. Hier unterstützt der „Leitfaden
zur Entwicklung sicherer Webanwendungen – Empfehlungen und Anforderungen an Auftraggeber aus
der öffentlichen Verwaltung“ den Auftraggeber. Dies
ist vielleicht auch der größte Mehrwert der Leitfäden.
Es wird nämlich nicht nur gezeigt, welche Aktivitäten
vorhanden sein müssen, sondern dem Auftraggeber
wird gezeigt, wie er die Umsetzung der Aktivitäten
überprüfen kann. Der Auftraggeber wird also nicht alleine gelassen, sondern ihm wird unterstützend unter
die Arme gegriffen. Zur Überprüfung und Bewertung
der Auftragnehmer bzw. deren Leistung, werden dem
Auftraggeber folgende Bewertungskriterien zur Verfügung gestellt.
Bewertungskriterien der Auftragnehmer als Unterstützung
für den Auftraggeber. Der Auftraggeber kann Reifegrade,
Leistungskriterien und Quality Gates zur Bewertung
der Auftragnehmer heranziehen: Der Reifegrad ist
eine Kennzahl, die besagt ob alle notwendigen Aktivitäten umgesetzt werden können. Die Skala reicht von
0 (Nicht vorhanden) – 4 (Best in Class). „Best in Class“
bedeutet hierbei, dass der Auftragnehmer sogar mehr
Aktivitäten umsetzen kann als notwendig sind. Der
Zielreifegrad soll jedoch stets 3 (Vollständig) sein.
Leistungskriterien ermöglichen eine Bewertung des
Auftragnehmers noch vor Projektstart. Der Leitfaden
verlangt zum Beispiel für die Phase „Konzeption &
Planung“ die Nennung von allen Dokumenten, die im
Zuge der Phase erstellt werden, oder zum Beispiel die
Offenlegung der Vorgehensweise bei der Bedrohungs-
modellierung. Anhand der Leistungskriterien kann der
Auftraggeber die Auftragnehmer noch vor der Vergabe auf Eignung überprüfen.
Quality Gates hingegen ermöglichen dem Auftraggeber eine Überwachung und Überprüfung der Einhaltung der Sicherheitsaktivitäten während den Phasen
des Entwicklungsprozesses. Für jede Phase des Entwicklungsprozesses sind Quality Gates definiert. Das
Quality Gate der „Initiale Planung & Vergabephase“
verlangt zum Beispiel, dass das Spezifikationsdokument sämtliche Anforderungen an die Software abdeckt oder zum Beispiel, dass alle relevanten gesetzlichen Vorgaben eingehalten werden.
Die Erfahrung zeigt, dass nur wenn die Sicherheitsanforderungen an die Softwareentwicklung klar definiert
und überprüft werden, das angestrebte Sicherheitsniveau auch erreicht wird. Für Software-Hersteller als
Auftragnehmer schafft der Leitfaden ein klares Bild
über die Anforderungen und Erwartungshaltung für
Anwendungssicherheit der Behörden in und außerhalb von Deutschland. Zukünftigen Auftragnehmern
ist zu empfehlen, zeitnah Qualitätsdefizite in der eigenen Software-Entwicklung auf Basis des Leitfadens
zu identifizieren und nachhaltig zu beheben. Qualitätsverbesserungen der Anwendungssicherheit in der
Software-Entwicklung geschehen nicht von heute auf
morgen, sondern erfordern Zeit, Expertise, Personal
und entsprechendes Budget.
literatur
len. Abbildung 2 zeigt einen Auszug aus der Checkliste
für den Entwicklungsprozess.
(1)
Bundesamt für Sicherheit in der Informationstechnik
[Online] https://www.bsi.bund.de/DE/Home/home_
node.html.
(2)
BSI-Leitfäden zur Entwicklung sicherer Webanwendungen [Online] https://www.bsi.bund.de/DE/Publikationen/
Studien/Webanwendungen/index_htm.html.
Amir SALKIC, MSc
Security Consultant,
SEC Consult Unternehmensberatung GmbH;
office@sec-consult.com
24 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
service
17. Internationales
Rechtsinformatik
Symposion (IRIS)
märz
20.-22. Februar 2014
Salzburg, Österreich
OGD D-A-CH-LI
4. März
Bern, Schweiz
Swiss eHealth Forum
6.-7. März
Bern, Schweiz
FTVI & FTRI 2014
april
20.-21. März
Berlin, Deutschland
17. Effizienter Staat
2014
1.-2. April
Berlin, Deutschland
BPM@ÖV2014 Swiss
Day
9. April
Bern, Schweiz
Tagung mit Schwerpunkt Rechtsinformatik
und starkem Bezug zu E-Government. Es finden wieder Workshops zu u.a. E-Government,
E-Democracy, E-Justiz, Open Government
und E-Commerce statt.
http://www.univie.ac.at/RI/IRIS14/
Größtes deutschsprachiges Open Government-Treffen mit Vertretern aus Deutschland,
der Schweiz, Österreich und Liechtenstein.
http://www.egovernment.ch/aktuell/00878/01062/index.html?lang=de
eGov Fokus 1/2014:
Datenzentriertes EGovernment
16. Mai
Bern, Schweiz
Informationsaustausch, sowie Chancen und
Herausforderungen von mobilen Gesundheitsinformationen im stationären und ambulanten
Bereich.
http://www.infosocietydays.ch/de/
eHealth/Home
CeDEM14: International Conference for EDemocracy and Open
Government 2014
Fachtagung Verwaltungsinformatik und Fachtagung Rechtsinformatik, mit der Zielsetzung
den Dialog zwischen Wissenschaft, Verwaltungspraktiken und Juristen sowie Beratern
zu intensivieren.
http://www.ftvi.de/
21.-23. Mai 2014
Krems, Österreich
eHealth2014 - Health
Informatics meets
eHealth
Agenda 2020 – digital, effizient, gemeinsam.
Inklusive der Tagung 4.0: Industrie und
Verwaltung.
http://www.effizienterstaat.eu/Kongress/
Geschäftsprozessmanagement für Verwaltungsmitarbeiter, die mit Prozessmanagement
in der Öffentlichen Verwaltung zu tun haben.
http://www.wirtschaft.bfh.ch/de/forschung/veranstaltungen/bpmoev2014_
swiss_day.html
Central and Eastern
European eGov Days
2014
8.-9. Mai
Budapest, Ungarn
22.-23. Mai 2014
Wien, Österreich
eGovernment: Driver or Stumbling Block for
European Integration?
http://www.andrassyuni.eu/aktuelles/
veranstaltungen/central-and-easterneuropean-egov-days-2014-egovernmentdriver-or-stumbling-block-for-europeanintegration.html
Es werden Herausforderungen im datenfokussierten E-Government und Lösungen, die
sich in der Praxis bewährt haben und einen
konkreten Nutzen schaffen vorgestellt.
http://www.wirtschaft.bfh.ch/de/
forschung/veranstaltungen/egov_fokus_12014.html
International anerkannte Konferenz zu den
Themen E-Demokratie, E-Partizipation und
Open Government.
http://www.donau-uni.ac.at/en/department/gpa/telematik/edemocracy-conference/edem/vid/19486/
Health Informatics meets eHealth. Der Nutzen
von Gesundheits-IT.
http://www.ehealth20xx.at/eHealth2014/
index.html
Das Motto der heurigen Konferenz ist “Digital
eDomocracy &
eGovernment Seminar Government Innovation in Challenging Times“.
and Conference Series http://dgo2011.dgsna.org/
24.-26. Mai 2014
Quito, Ecuador
juni
februar
2014
mai
E-Government
Tagungen, Konferenzen und Messen
ECEG 2011
16.-17. Juni 2011
Ljubljana, Slowenien
Schwerpunkte: Targeted application of Internet technologies, exchanging the democratic
processes (eDemocracy), Digital public
services.
http://edem-egov.org
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
service
14th European Confe- Schwerpunkt: Beneficiary of the modern
rence on EGovernment communication technologies.
http://academic-conferences.org/eceg/
– ECEG 2014
12.-13. Juni
Brasow, Rumänien
15th Annual International Conference on
Digital Government
Research eceg2014/eceg14-home.htm
august
26. Juni
Bern, Schweiz
Konferenz zur elektronischen Geschäftsverwaltung in der Öffentlichen Verwaltung mit
Ausrichtung auf das Records Management
(RM) und Records Management Systeme
(RMS) als zentrale Bausteine des Informationsmanagements der Verwaltung.
http://www.wirtschaft.bfh.ch/de/forschung/
veranstaltungen/geveroev2014.html
Schwerpunkte: Open Innovation, smart
13th IFIP Electronic
government and smart governance, transforGovernment Conference (IFIP EGOV) 2014 mative government, e-government architectures, e-government related policy issues.
31. August - 4. September http://www.egov-conference.org
Dublin, Irland
EGOVIS 2014
1.-5. September
München, Deutschlandt
MeTTeG 2014
Open Innovations and Sustainable Development in Government: Experiences from
around the World.
http://dgsociety.org/conference/2014 18.-21. Juni
Aguascalientes, Mexico
GEVER@ÖV2014
Konferenz zur elektronischen Geschäftsverwaltung in der öffentlichen Verwaltung
Schwerpunkte: The role of social media,
advances in eParticipation Domains, impact
assessment and public value considerations.
31. August - 4. September http://www.epart-conference.org/
Dublin, Irland
september
9.-11. Juni
Tel Aviv, Israel
6th IFIP ePart Conference 2014
Themen: Digital innovation and design,
mobility and locationbased business models,
big data analytics, new forms of conferencing
and interacting.
http://ecis2014.eu/welcome
18.-19. September
Udine, Italien
oktober
European Conference
on Information Systems (ECIS) 2014
ICEGOV 2014 – 8th
International Conference on Theory and
Practice of Electronic
Governance
27.-30. Oktober
Guimarães, Portugal
3rd International Conference on Electronic
Government and the Information Systems
Perspective. Technology-Enabled Innovation
for Democracy, Government and Governance.
http://www.dexa.org/egovis2014
8th International Conference on Methodologies, Technologies and Tools enabling
e-Government.
http://conferences.cs.unicam.it/metteg14/
Konferenzthema: The Rise of Data Post2015 - Empowered Citizens, Accountable
Institutions.
http://icegov.org/
| 25
26 |
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
service
bücher
E-Government Publikationen
Sandra Dorobek
Leonidas G. Anthopoulos, Christopher G. Reddick (Eds.)
Public Supply Chain Management: Steuerung öffentlicher Wertschöpfungsketten nach privatwirtschaftlichem Vorbild
Government e-Strategic Planning and Management: Practices,
Patterns and Roadmaps (Public Administration and Information
Technology)
Springer Gabler, ISBN: 978-3658024680, Juli 2013
Springer, ISBN: 978-1461484615, Oktober 2013
Andrea Kö, Christine Leitner, Herbert Leitold, Alexander
Prosser (Eds.)
Technology-Enabled Innovation for Democracy, Government and
Governance: 2nd Joint International Conference
David Wood
Linking Government Data
Springer, ISBN: 978-1489993502, Januar 2014
Springer, ISBN: 978-3642401596, August 2013
Kathrin Voss (Hrsg.)
Maria A- Wimmer, Marijn Janssen, Hans J. Scholl (Eds.)
Electronic Government: 12th International Conference, EGOV 2013
Internet und Partizipation: Bottom-up oder Top-down? Politische
Beteiligungsmöglichkeiten im Internet
Springer, ISBN: 978-3-642-40358-3, September 2013
Springer VS, ISBN: 978-3658010270, Januar 2014
Maria A. Wimmer, Efthimios Tambouris, Ann Macintosh (Eds.)
Electronic Participation: 5th International Conference, ePart 2013
Springer, ISBN: 978-3-642-40346-0, September 2013
Daniel Veit, Jan Huntgeburth
Foundations of Digital Government: Leading and Managing in the
Digital Era
Springer, ISBN: 978-3-642-38511-7, September 2013
Ines Mergel, Philipp S.Müller, Peter Parycek, Sönke E. Schulz
Praxishandbuch Soziale Medien in der öffentlichen Verwaltung
Springer VS, ISBN: 978-3658007454, September 2013
Enrico Nardelli, Sabina Posadziejewski, Maurizio Talamo
Certification and Security in E-Services
Springer, ISBN: 978-1475747379, Oktober 2013
eGovernment Review | www.egovernment-review.org | Nr. 13 | Januar 2014
| 27
eGovernment Review
Fachhochschule Kärnten
Studienbereich Wirtschaft & Management
Europastraße 4
A - 9524 Villach
Tel.: +43 (0)5 90500-1201
Fax: +43 (0)5 90500-1210
E-Mail: wirtschaft@fh-kaernten.at
www.fh-kaernten.at
Fachzeitschrift des Studienbereichs Wirtschaft & Management
der Fachhochschule Kärnten
Herausgeber: FH-Prof. Dr. Wolfgang Eixelsberger
7. Jahrgang
Redaktion: Rita Marak, MA
erscheint halbjährlich
in einer Auflage von 1000 Exemplaren
ISSN 1997-4051 (gedruckte Ausgabe)
Design:
designation - Strategie | Kommunikation | Design,
www.designation.at
Druck: KREINER DRUCK, Druck- und Verlagsgesellschaft m.b.H. & CO. KG, Villach
Diese Zeitschrift und alle in ihr enthaltenen einzelnen Beiträge sind urheberrechtlich geschützt.
Jede Verwertung außerhalb der Grenzen des Urheberrechtsgesetzes bedarf der Zustimmung des
Herausgebers. Namentlich gekennzeichnete Beiträge geben die Meinung der Autoren wieder. Für
Satz- und Druckfehler kann keine Haftung übernommen werden. Sämtliche Rechte vorbehalten.