Bullen Und Siegel

2022, Egovernment Podcast
EGovernment Podcast
https://egovernment-podcast.com

In dieser Episode sind wir wieder einmal in einer größeren Runde. Diesmal wird es kryptisch und wir sprechen über Bullen, Siegel, Signaturen und Schlüssel. Zu Gast sind Klaus Wolter (BVA) und Jörg Kremer (FITKO). Kommentare unter: https://egovernment-podcast.com/egov107-bullen-siegel/

Edit Transcript Remove Highlighting Add Audio File
Export... ?

Transcript

Einspieler

Torsten:
[0:36] Hallo und herzlich willkommen zur 1007. Ausgabe des E-Government Podcasts. Ich bin Torsten Frenzel und ich habe heute mal wieder mein Co-Moderator Matthias. Neben mir und zwei Gäste. Hallo Matthias erstmal.

Matthias:
[0:49] Hallo Torsten. Äh schön wieder da zu sein.

Torsten:
[0:52] Das ist sehr gut und wir haben heute uns wieder zwei Gäste eingeladen, weil es wird heute kryptisch würde ich mal so sagen.

Matthias:
[0:59] Wort.

Torsten:
[1:00] Es geht um kryptische Dinge und um Bullen, wenn das nicht reicht als Teaser. Ähm und zwar begrüße ich ganz herzlich äh bei uns im Podcast, einmal den Klaus Wolter vom BVA und den Jörg Krämer von der Fitko. Hallo, ihr beiden.
Klaus, magst du anfangen, um dich ganz kurz vorstellen?

Klaus:
[1:20] Ja äh Klaus Wolter vom Bundesverwaltungsamt in Köln. Ja 19hundert91 im BVA angefangen. Ähm.
Bin seit 2009 Referatsleiter verantwortlich für das Thema Online-Ausweisfunktion des neuen Personalausweises und habe mich in dem Zusammenhang auch mit dem Thema Siegel und Signaturen beschäftigt.

Torsten:
[1:44] Ja, schön, dass du da bist. Jörg.

Jörg:
[1:47] Hallo zusammen, ähm ich bin bei der Fitko verantwortlich für die Themen äh Fatalis IT Architekturmanagement, Projekte und Standards. Alles auf der föderalen Ebene ähm Kryptographie oder Bullen
den Teaser zu bemühen von eben ähm äh sind zwar nicht meine ähm ja meine Hauptaufgabengebiete, aber ich habe auch schon länger äh damit mal zu tun gehabt ähm,
habe mir auch vor zehn Jahren mal mit adhoc Zertifikaten für den neuen Personalausweis beschäftigt ähm ja und seitdem kommt das Thema natürlich immer wieder hoch.

Torsten:
[2:22] Ja, schön, dass ihr beide bei uns seid und äh dann fangen wir doch gleich mal an, vielleicht mit ein paar Basics. Ähm Klaus das BVA, das Bundesverwaltungsamt. Das ist ja immer so ein bisschen näher hin, schaut ein Riesending. Was macht denn das alles?

Klaus:
[2:37] Ja, fangen wir erst mal mit Zahlen an. Sechstausend Mitarbeiter, 150 Fachaufgaben, ähm wesentliche Gesichtspunkte sind äh Aufgaben der öffentlichen Sicherheit.
Ähm wir haben mehrere Millionen Visa-Anträge im Jahr, die wir verarbeiten,
Wir organisieren Zuwendungsmanagement für Sport, Kultur, Jugend und Sozialförderung. Wir vergeben Bildungskredite, wir ziehen BAföG ein, wodurch mancher Zuhörerinnen und mancher Zuhörer vielleicht schon mal mit uns zu tun hatte.
Ähm weitere Arbeitsschwerpunkte sind Digitalisierung der Verwaltung. Ähm Organisationsberatung, Verwaltungsmodernisierung.
Und ja kurzfristige Problemstellung. Wir haben zum Beispiel ähm das Robert-Koch-Institut unterstützt bei der Auswahl, Einstellungen, Betreuung von,
Mitarbeitern und machen Corona-Überbrückungshilfe für Profisport. Also kreuz und quer in der gesamten Verwaltung. Deswegen haben wir auch diesen wohlklingenden Namen Bundesverwaltungsamt.

Torsten:
[3:43] Ja und ein was ganz cooles und ganz großes Buzzword äh die Registermodernisierung macht doch auch.

Klaus:
[3:49] Ja, die machen wir auch. Das hängt damit zusammen, dass wir ähm im Ausländerzentralregister schon seit Jahrzehnten Erfahrung haben mit äh großen IT-Registern,
Und Regio Sommerisierung hat die Aufgabe in Zukunft ähm unter dem Stichwort äh Sachen zusammenzuführen, die bisher auf verschiedenen Registern unverbunden nebeneinander liegen,
Bedeutet nichts anderes als dass der ähm derjenige, der angesprochen wird, nicht seine Daten immer wieder neu eingeben muss, sondern dass das nur einmal passiert.
Ist ein riesiges Projekt, wird uns über mehrere Jahre beschäftigen und das Spannende dabei, es geht also über Bund, Länder und Kommunalgrenzen hinweg.

Matthias:
[4:34] Zimmer mit der BVA als die Vorstellung durch. Was was ist eigentlich die FitGroup? Was macht denn die FitGo? Wir haben schon oft über euch äh gesprochen. Jetzt äh stell doch mal vor, was ihr alles so macht. Wer ihr seid, was ihr tut, äh.

Jörg:
[4:48] Also da kann ich äh können wir mit dem BVA nicht so ganz mithalten. Die haben viel mehr Personal, äh aber auch viel mehr Aufgaben als wir. Also die Fitcode, die föderale IT-Kooperation ist äh.
Also man sagt immer, wir werden der Arbeitsmuskel, des IT-Planungsradels, ich mag das Wort Arbeitsmuskel aber nicht, aber ähm wie dem auch sei. Also ähm kurz gesagt.
Ähm wir sind äh die Einheit, das ist halt die Planungsrate, ist das, was auf sage ich mal ähm politisch strategischer Ebene entschieden wird, ähm das setzen wir dann,
um ähm im Sinne von wir steuern Projekte, wir injizieren Projekte
wir machen das Produktmanagement des IT-Planungsrates also wer ich sag mal so
kennt wie DVDV als Deutsche Verwaltungsdienste verzeichnen ist ähm oder auch die D eins eins fünf, die Behördenrufnummer ähm oder Föderal Informationsmanagement, um mal so als Beispiel ähm drei Produkte zu nennen,
Bei uns, dann machen wir das Produktmanagement für. Ähm manches haben wir schon ein bisschen länger, ähm manches kommen
auch ganz frisch zu uns und müssen halt eben erstmal für die Strukturen sorgen. Genau ähm da sind wir jetzt dabei, ein Anforderungsmanagement aufzubauen, einfach,
die Produkte halt eben auch zielgerichtet weiterentwickeln zu können.

[6:05] Ähm dann haben wir das faterale Architekturmanagement. Das ist ein Bereich, den wir tatsächlich ganz neu aufbauen. Ähm also das sind halt eben so Punkte ähm,
Was haben wir eigentlich auf der föderalen Ebene? Also was der Bund äh sage ich mal in seinem Serverkeller stehen hat, weiß er, was die Länder auch, aber was wir jetzt genau auf der föderalen Ebene eigentlich alles haben, was da auch benötigt wird. Ähm.

[6:30] Das versuchen wir jetzt gerade mal systematisch zu erfassen und auch dafür ein echtes Management einzurichten
So, dann haben wir noch sowas wie Projekte für den Planungsrat, aber so oder da haben wir jetzt ein ein so ein Vorgehensmodell beispielsweise, ähm erarbeitet ähm schon vor zwei Jahren und ähm machen das Projekt Controlling für den Planungsrat und ähm er hat dann natürlich noch ein großer Bereich, Standardisierung.
Jetzt im Zuge OZG-Umsetzung, ähm aber natürlich auch Registerworternisierung, alles, was da jetzt so kommt. Ähm
Wir wir haben noch viel zu viel zu viele poriertäre Dinge ähm glaube ich und von daher tut Standard des Jungen Not.
Daneben waren wir auch so klassische,
Sitzungsvorbereitung für den Planungsrat oder für die Abteilungsleiterrunde, Sitzungsmanagement, Unterlagen vorbereiten. Ähm also so klassische Geschichten, genauso wie Öffentlichkeitsarbeit und.

[7:23] Natürlich auch ähm ein Stück weit rechtliche Dinge. Ich weiß nicht, einen Shitstorm ähm habt ihr bestimmt auch schon mal was von gehört, ähm dass da eher kein technisches Gebilde ist, sondern eher ähm ähm
ja
Eher etwas juristisch geprägtes Produkt, ähm wo es einfach da drum geht, eine Nachnutzung schnell und effektiv und effizient zu ermöglichen. Genau, das ist mal so ein so ein kleineren Umschlag äh von den Aufgaben, die wir machen. Wir sind,
Aufbaustab Ende 2017 angefangen, offiziell gegründet als Anstalt öffentlichen Recht, sind wir seit dem ersten Ersten .zweitausend20.
Immer noch so bisschen im Aufbau. Ähm ja, suchen immer noch ein bisschen Personal. Das wird dann noch diese nächstes Jahr anhalten und dann.
Glaube ich haben wir es erst mal.

Matthias:
[8:10] Ja auch nicht ohne, würde ich sagen. Äh das.

Jörg:
[8:12] Ne

Matthias:
[8:14] Einiges ab, glaube ich.

Jörg:
[8:15] Ja, das deckt einiges ab, vor allen Dingen ist es auch also in Teilen auch noch mal viel viel Aufbauarbeit, ist also sehr sehr interessant. Ähm man.
Kommt nicht hin und ich sage mal, das Bett ist gemacht, sondern man muss zum Teil erstmal das Bett aufbauen.
Soweit ich weiß, in den nächsten äh Podcastrunden glaube ich kommen auch äh Fitstore und Fit Connect von uns nochmal zur Sprache. Äh also kann ich nur empfehlen, das wird auch mega interessant.

Torsten:
[8:41] Direkt im Anschluss gleich mal ein bisschen Teaser für die nächste Folge. Auch wenn sie noch nicht im Kasten ist, noch nicht mal die im Kasten ist hier.

Jörg:
[8:48] Ja, perfekt, aber das wird auf jeden Fall auch nochmal spannend, glaube ich. Ja.

Matthias:
[8:54] Gut, wenn man sich nicht immer ins gemachte Nest oder ins gemachte Bett setzen kann, sondern ein bisschen steuern kann. Ich glaube, das tut gerade in in vielen Bereichen, die wir die wir alle uns anschauen müssen, täglich äh tut es auch Not.

Jörg:
[9:07] Ja definitiv, also hat alles natürlich seine Vor-und Nachteile. Ähm wenn die ein oder anderen Prozesse noch nicht ganz so reibungslos laufen, wie man sich das wünscht, klar, hat aber den großen Vorteil, genau wie du sagst, ähm
Man kann noch viel gestalten, man kann auch äh man kann's ja noch viele Dinge ganz neu ausdenken.

Torsten:
[9:26] Ja, vielen Dank,
Und äh ich würde sagen, wir äh leiden jetzt langsam mal so über zum Hauptthema. Äh und zwar fangen wir mal an mit den Bullen.
Klaus, äh du hast mir im in der Vorbereitung so eine coole Präsentation geschickt, die heißt überschrieben mit äh elektronisch Signatur und Siegel, aber die erste Folie zeigt eine Münze, wenn ich das so mal so sehen darf, aber es ist ja eigentlich keine.

Klaus:
[9:51] Äh das äh das was da zu sehen ist ist tatsächlich ein großes Siegel. Das ist nämlich die goldene Bulle von Festhalten dreizehnhundertsechsundfünfzig,
Äh diese Jahreszeit kann man vielleicht ähm schon ganz schnell wieder vergessen. Wichtig ist dabei nur, dass es eine Urkunde ist, äh die bestimmte Dinge regelt zwischen damals dem deutschen Kaiser und den Kurfürsten.
Auch das kann man relativ schnell wieder vergessen, aber das eigentlich Wichtige ist,
Äh diese sogenannte Bulle ist äh tatsächlich das äh große Siegel, was an dieser Urkunde hängt und was mir äh besonders dabei gefällt ist, man kann anhand dieses goldenen,
Tatsächlich bis heute äh zeigen, dass diese Urkunde, die da aufgesetzt worden ist, echt ist,
Dass sie im Prinzip nicht verändert worden ist und wie wertvoll es ist, dass ein solches Igel an dieser Originalurkunde hängt. Das ist das eigentlich Spannende,
Mit anderen Worten, wir beschäftigen uns mit Sachen, die wir zumindest im analogen Leben schon seit Jahrhunderten kennen.

Torsten:
[11:00] Das heißt, so ein Siegel ist erst mal per se ein Beweis, dass ein Dokument echt und unverändert ist.

Klaus:
[11:08] Das ist echt und unveränderte ist und dass es einen besonderen aus eine besondere Aussage gegenüber jedem Dritten trifft, der eine solche Urkunde in die Hand.
Er kann nämlich davon ausgehen, dass er ähm dass er auch eine besonders wichtige Aussage in dieser Urkunde findet. Ähm,
Und ähm schon immer war tatsächlich der Bruch eines solchen Siegels und eine besondere Strafe gestellt, weil sich nämlich jeder im Rechtsverkehr auf so etwas verlassen können musste.
Ähm und es war auch eben nicht jedem gestattet ein solches Siegel zu führen, sondern gerade das, ähm wovon wir grade gesprochen haben, nämlich die goldene Bulle ist tatsächlich ein kaiserliches Siegel,
Das heißt, nur der Kaiser selber durfte ein solches Siegel anbringen und ein solches Siegel auch benutzen.

Torsten:
[11:59] Und ähm wenn wir da gleich noch mit einem Analogen bleiben, ist dann ein Stempel, was Ähnliches oder ist das irgendwie eine eine Ableitung von einem Siegel oder.

Klaus:
[12:09] Ja ähm zumindestens die Menschen, die im Behördenumfeld äh unterwegs sind, haben sicherlich auch schon mal ein solches sogenanntes Nasssiggel gesehen. Das ist nix anderes, als so ein kreisrunder meistens blauer Stempel,
da steht meistens drauf, welche Behörde das ausgestellt hat und eine Nummer,
Und anhand der Nummer lässt sich dann tatsächlich sogar nachvollziehen äh äh wer in der Behörde tatsächlich dieses Siegel angebracht hat,
Das trägt dann nochmal zu besonderen Beweiswert ähm und ist dann zum Beispiel im Rechtsverkehr ähm,
führt das nochmal zu einem erhöhten Beweiswert, wenn man sich vor Gericht über was strei.

Torsten:
[12:51] Das ist dann quasi erfunden worden, damit man nicht immer mit Ziegellack und so rumtun muss. Damit's ein bisschen einfacher ist.

Klaus:
[12:56] Genau. Also das ist sozusagen der Übergang äh hin äh zum zum einfachen Stempel, der aber einen besonderen Aussagewert trifft. Ähm,
Die Zwischenstufe war tatsächlich und so kennt man ins ja auch auf alten Urkunden tatsächlich der Siegellack, der mit einem Siegelring gedrückt wurde. Also das war die etwas einfachere Version gegenüber der goldenen Bulle halt, die ganz.

Matthias:
[13:20] Genau und auch das ist ja noch vergleichbar äh es darf nicht jeder einfach so ein so ein Siegel ausstellen auch das ist ja nur ganz bestimmte Personen in der Behörde vorbehalten ähm also ist das auch schon nach einem hohen Stellenwert da dadurch.

Klaus:
[13:33] Wichtig ist an der Stelle, es ist erstmal nach außen hin ein solches Siegel nicht zwingend ähm äh personenbezogen,
Das heißt, wenn wenn wir heute auf einem Behördendokument ein solches Siegel finden, kann man das zwar anhand der Nummer, die draufsteht, meistens nachvollziehen, aber oft steht dann da nur drauf,
Bundesverwaltungsamt äh und das ist dann gesiegelt und intern ist dann nachvollziehbar, wer das gemacht.

Torsten:
[13:59] Mhm. Und ähm jetzt haben wir das Ganze mal analog betrachtet, was ist analog und wie,
Bekommen wir das äh in die digitale Welt, weil so ein digitales Dokument ähm eine,
wird ja eigentlich immer hin und her kopiert von A nach B. Also es gibt ja ein analoges Dokument gibt's nur einmal. Das ist nur einmal gesiegelt und ein digitales äh Dokument wird den lieben langen Tag äh hin und her kopiert.
Wie kann ich denn sicherstellen, dass das nicht verändert wurde und auch immer noch äh und auch original quasi äh zur Verfügung steht.

Klaus:
[14:37] Ja, ich glaube, äh da du hast erst mal die den wichtigsten Punkt genannt. Äh in dem Moment, wo du ein Stück Papier entweder kopierst,
Also das Original oder eine beglaubigte Kopie kopierst ähm oder einscannst in den Rechner bringst und dann vor dir hast ähm ist es eine Kopie.
Nicht mehr, aber auch nicht weniger.

[15:01] Aber spätestens, wenn du's als PDF auf deinem Rechner hast, ähm braucht man sicherlich äh keine besonderen technischen Fähigkeiten,
Um beliebige Änderungen an so einer Kopie vorzunehmen, ohne dass das ein Dritter erkennen kann. Also wenn dann noch eine Texterkennung drübergelaufen ist und der Text hat,
Den Text, den du hinzufügst, ähm der ist dann auch nicht unbedingt erkennbar und schon äh wird deutlich, was äh eine solche Kopie, wenn sie denn elektronisch im Rechner durchscannen erfasst, ist noch wert ist. Eigentlich,
Nichts, ne. Äh juristisch gesehen kann man sagen, ich bestreite das. Also ich sage, dass das Ding echt ist,
Und dann dann müsste jemand, der sagt ja, das Ding ist aber echt, der der müsste dann beweisen, dass das nicht verändert worden ist, was ihm nicht gelingen wird. Das ist,
Ähm technisch vermutlich irgendwie machbar, aber mit großen Aufwänden verbunden. Also müssen wir,
Die wir heute eigentlich immer davon ausgehen, ja, ja, ich kriege eine E-Mail und da hängt ein PDF dran und dann ist alles gut,
Darauf werden wir oft auch vertrauen, aber juristisch gesehen muss man sagen müsste, muss man viel mehr tun,
Und da kommen dann wieder tatsächlich Zertifikate, Siegel, Signaturen ins Spiel. Das heißt, wir müssen dafür sorgen, dass elektronisch etwas passiert, was wir analog früher mit.

[16:23] Mit den Nass-Siegeln oder mit irgendwelchen irgendwelchen ähm äh Siegelwachs und Ähnlichem getan haben, um elektronisch zumindest den gleichen Beweiswert zu erzielen,
Da ist das Bewusstsein noch nicht in der Form vorhanden,
Und wenn man sich aber andersrum anguckt, dass wir jetzt immer mehr E-Akten einführen, das heißt, wir verlassen zunehmend die Papierakte und versuchen alles digital zu erfassen,
müssen wir auch innerhalb dieser E-Akten Vorkehrungen treffen, dass die immer noch,
Beweiswert haben und nicht einfach nur eine Sammlung von Kopien sind, die jeder verändern kann.

Torsten:
[17:04] Wie wird das getan, weil wie kann ich mir denn so ein äh digitales Siegel dann vorstellen?

Klaus:
[17:10] Ähm es ist im Grunde ähm ein Zertifikat, was dem hinzugefügt wird. Das heißt, ich habe das ähm Original.
Papier und in dem Moment, wo ich es einscanne,
Äh sage ich gleichzeitig, ähm ich habe einen Mechanismus, einen Prozess, äh der dem ein Zertifikat hinzufügt.
Ähm sichtbar wird es dadurch, dass man ähm das Standardprogramme wie zum Beispiel bei PDF, wenn man die äh wenn man die nutzt, wenn man die aufklickt, dann wird quasi eine Zertifikatsprüfung sichtbar.
Zertifikate sind im Grunde, wenn du so willst, fest verbundener Anhängsel, die einen großen Kasten um ein solches Dokument oder um einen solchen Datensatz bilden, ähm,
Und das Vertrauen stellt man durch sogenannte Vertrauensdiensteanbieter oder durch eine Publik sicher.
Dabei will ich's erstmal bewenden lassen, denn jetzt fängt sozusagen an, das ganze Thema sich zu verästeln.

Matthias:
[18:19] Das heißt aber auch kurzes kurzes RIN-Frage noch, dieses dieses Siegel an sich, was man mit der Bulle losging, was dann über gewisse Sachen bis hin zu einem einfachen Stempel ähm,
äh sich entwickelt hat, das wird's in den digitalen Format so nicht mehr geben, sondern es wird euch ein Zertifikat, was unsichtbar im Hintergrund ist, quasi ersetzt.

Klaus:
[18:41] Ja, äh du kannst zwar visualisieren, dass ein solche Stempel da noch drauf ist, aber auch das ist dann nur noch elektronisch Bestandteil der Kopie.
Also ein so äh du selbst wenn du eine Farb ähm,
Äh Scan erstellst, der genau dem entspricht, was du gerade vor dir liegen hattest, so verändert sich quasi der Beweiswert dadurch, dass du es in ein anderes Medium überführst und aus einem Stück Papier einen Datensatz machst.

Torsten:
[19:11] Also rein technisch haben wir dann nur immer nur beglaubigte Kopien.

Klaus:
[19:16] Nicht mal beglaubigt.

Torsten:
[19:18] Mit der Signatur nicht.

Klaus:
[19:20] Mit der Signatur dann schon. Das ist richtig. Ähm mit der Signatur im Scanvorgang ähm.
Du etwas Ähnliches hinzu wie eine beglaubigte Kopie kannst aber,
äh viele Beweise führen, die du ohne Zertifikat nicht führen würdest. Da gibt's klare Beweisregeln im im Prozess recht,
oder drinsteht, wenn du eine Orkon, die eine Signatur trägt, dann hat die folgenden Beweiswert. Damit kannst du also den Urkundsbeweis führen. Das entspricht dem Or.

Torsten:
[19:54] Jetzt sprechen wir die ganze Zeit von eingescannten Dokumenten. Ähm wir wollen ja eigentlich weg von dem ganzen Papierkram und wir wollen ja eigentlich nix mehr einscannen. Wir wollen am besten auch gar nichts mehr ausdrucken, äh sondern wir wollen so eine Geburtsurkunde zum Beispiel äh,
von Ende zu Ende digital dahaben. Wie kann man das denn bewerkstelligen? Geht es auch mit solchen äh Signaturen oder mit Zertifikaten?

Jörg:
[20:17] Kann natürlich auch Datensätze, die ich mir irgendwo abrufe, ohne dass ich die jetzt ähm tatsächlich als PDF Dokument oder so was habe, äh kann ich Datensätze ähm äh die ich habe entsprechend auch signieren, ähm also auch ein Zertifikat, also
signieren ist vielleicht das falsche Wort, aber ich kann äh kann dir halt eben auch ähm entsprechend mit einem Zertifikat verbinden
So und wenn die Nachricht irgendwo ankommt, kann halt ein Empfangsystem überprüfen, ähm ja wurden die Daten manipuliert.
Ähm das ist vielleicht nochmal wichtig bei Zertifikaten, ähm was macht das jetzt eigentlich aus? Also in der analogen Welt,
Da wusste man genau oder man konnte zumindest mal davon ausgehen, dass äh wenn wenn das päpstliche Siegel drauf ist, ähm
Na ja, das durfte halt nur einer. Ähm es konnte vielleicht auch nur eine eine bestimmte Stelle herstellen. So und dann hatte man quasi eine Vertrauensstellung, wenn man so möchte.

[21:08] Und das und das ist ja genau der Punkt Claus ja hattest du glaube ich eben auch so ein Stück weit angesprochen,
Also nehmen wir mal an, drei Personen wollen irgendwie miteinander kommunizieren. Ähm ich habe irgendwie noch so einen Namen von früher, ähm Alice Bob und Eve, so ähm,
Ähm Alice, Alice schickt einen öffentlichen also ihren öffentlichen Schlüssel an Bord, weil sie mit ihm gern kommunizieren möchte und wenn er den öffentlichen Schlüssel hat, kann er eine Nachricht, äh die er ähm ähm an alles schicken möchte mit dem öffentlichen Schlüssel,
Quasi abschließen und und Alice kann den dann mit ihrem Privaten wieder aufmachen. So, jetzt gesell sich aber dazu,
Und die fängt halt eben den öffentlichen Schlüssel von LSA,
Lege dir einen eigenen darein und ähm Gott bekommt jetzt den Schlüssel? Nichts ahnt natürlich, ähm weil er hat ja irgendwie einen Schlüssel bekommen, denkt er kommuniziert mit alles und ähm jetzt schreibt er eine Nachricht und ähm verschüsselt das mit dem öffentlichen Schlüssel.
Er denkt von Alice, in Wahrheit aber von Eve, äh die sich durch so eine männende Mittelattacke dazwischengehackt hat. Jetzt gibt er das auf den Weg und jetzt kann ich das, weil es ist ja ihr öffentlicher Schlüssel, dass mit ihrem Privaten wunderbar entschlüsseln und kann die Nachricht abfallen,
Das ist ein Problem und.

[22:21] Ähm jetzt muss man das Problem irgendwie lösen. Das heißt, ich muss ein Zertifikat oder ein Schlüssel eindeutig einem Benutzer zuordnen können.
Dafür gibt's dann entsprechende Zertifizierung Zertifizierungsdienste. Die Zertifikate ausstellen.
Ähm die auch in öffentlichen Verzeichnissen diese öffentlichen Schlüssel bereitstellen,
Das heißt, jetzt kommen wir wieder am Anfang. Ähm ich rufe mir irgendeine Geburtsurkunde ab beispielsweise, als.
Als Amt oder ähm als als was auch immer und das wird entsprechend mit einem Zertifikat verschlüsselt und jetzt kann ein System beispielsweise überprüfen, ist dieses Zertifikat überhaupt noch gültig.
Und dazu wird's halt eben ähm in der entsprechenden öffentlich zur Verfügung stehenden Datenbank abfragen und sagen, ich habe hier was, stimmt das doch und bekommt dann halt eben also,
Der richtige Antwort zurück, nämlich ja das ist immer noch gültig.

Torsten:
[23:13] Also der Datenbank wird dann abgefragt, ob dieser Schlüssel noch gültig ist.

Jörg:
[23:16] Genau, ob das Zertifikat noch gültig ist und ob auch dieses Zertifikat tatsächlich äh dieser Behörde oder dieser Person ähm gehört in Anführungsstrichen, ähm die es vorgibt zu haben, genau.

Torsten:
[23:28] Das klingt mir alles so, als ob wir das in Deutschland schon haben könnten oder vielleicht sogar schon haben. Also äh den den Klaus kenne ich ja schon äh seit äh MPA Zeiten. Und ähm ich glaube, da war vor allen.

Klaus:
[23:42] Experten neuer Personalausweis, der nicht mehr neu ist.

Torsten:
[23:45] Genau.

Jörg:
[23:46] Oh Gott sagt er.

Torsten:
[23:48] Da war, glaube ich, der der der Traum von uns allen, dass man mit äh mit diesem genau solche Sachen machen könnte. Äh da gab's ja auch mal die QS, die auch von einem.
Von einer staatlichen GmbH quasi zur Verfügung gestellt wurde, also halt auch auf äh und äh Staatshand war, diese qualifizierte elektronische Signatur
warum machen wir das nicht mehr? Das ist doch eigentlich, eigentlich genau das Richtige, was ich brauchen kann. Ich kann als Privatperson
Zertifikate ausstellen, ich kann als als Behörde kann ich die direkt ähm überprüfen, weil
bei der Bundesdruckerei. Äh als als Vertrauensanker, warum haben wir's nicht mehr?

Klaus:
[24:27] Ja, also die Kombination von neuem Personalausweis und qualifizierter elektronischer Signatur äh schöne viele neue Worte, qualifizierter elektronischer Signatur äh war aus meiner Sicht der richtige Weg,
Ähm ich glaube, dass wir etwas zu früh waren.
Ähm die qualifizierten elektronischen Signaturen gibt's ja nun noch länger. Ich meine seit Mitte der Nuller-jahre äh ist das System weitestgehend etabliert.
Weil ähm sozusagen die ganzen Ketten ähm dann auch in irgendeiner Form zertifiziert waren, die man dafür braucht. Ähm,
Das hat sich aber.
Äh aus meiner Sicht deswegen nicht durchgesetzt. Ähm weil nicht verstanden worden ist, wozu eigentlich eine so eine digitale Unterschrift ähm Nutzbringen sein kann,
Zu dem Zeitpunkt, als das auf dem Markt war, waren wir noch viel mehr in Papier unterwegs, als wir's heute sind. Also.

[25:30] Ähm Ende der neunziger Jahre zum ersten Mal mit einer E-Akte gearbeitet, aber da waren wir fast alleine auf weiter Flur.
Selbstverständlich, dass wirklich in fast jedem Büro Papierakten stammen,
deutlich weiter und müssen erkennen, dass es alles schön und gut, wenn wir das alles vom analogen ins Digitale überführen, aber wir müssen's in irgendeiner Form absichern. Also ob das durch Signaturen ist,
oder durch,
Äh Siegel ähm mag erstmal dahingestellt sein, aber wichtig ist, dass man's durch Zertifikate abbildet. Also der wesentliche Unterschied.
Zwischen Signatur und Siegel ist eigentlich auf die Schnelle erstmal nur der, dass ein Signatur auf eine Person ausgestellt ist, während ein Siegel auf eine Institution ausgestellt.
Mit anderen Worten, ähm wie ich das vorhin schon bei diesem Stempel gesagt habe oder auf diesem Rundsiegel oder Nasssiegel, was man üblicherweise von Behörden bekommt,
Das ist äh klassischerweise eben ein Siegel, weil die Person nicht sofort erkennbar ist, die da drauf äh das Ding da drauf gehämmert hat,
die Signatur tatsächlich wiedergibt, aha, das hat Klaus Reuter höchstpersönlich unterschrieben und zwar elektronisch unterschrieben.
Durchgesetzt. Ich glaube, den den KO hat es in einem System neuer Personenausweis um QES in dem Moment gegeben, als die sogenannten Fernsignaturen kamen.

[26:59] Äh wieder ein neuer Begriff, Fernsehnaturen bedeuten an der Stelle einen Fortschritt, weil man eben die,
Die Infrastruktur, die es braucht, um eine Signatur elektronisch auszulösen mit einem Kartenlesegerät et cetera PP, die ist nicht ohne Aufwand.
Also erstmal kosten die kosten die ein paar Euro. Die Lesegeräte und ähm.
Die die Infrastruktur selber dann für alle bereitzuhalten war, dann schlicht nicht ohne. Und als man dann sagte, okay ähm,
Im europäischen Kontext dürfen das auch Dritte sozusagen auslösen und man konnte auf die Hardware-Infrastruktur am Arbeitsplatz bei Signaturen verzichten.
Ähm war das natürlich erstmal der leichtere Weg. Also wenn ich mir heute angucke, die die Fernsehsignaturlösungen sind wirklich easy. Da lockt man sich,
Einmal ein mit dem Personalausweis und löst quasi die Signatur über in diesem Fall über die Bundesdruckerei dann zum Beispiel aus.
Das ist einfacher, als wenn ich mir die Hardware-Infrastruktur an den Arbeitsplatzrechner anschließen muss, die Treibersachen und das, was da alles hinterhängt, auch alles machbar, auch einmal alles möglich,
Ist aber für den Einzelnen vermutlich etwas aufwendiger, als wenn er das äh tatsächlich über so eine Softwarelösung.

Torsten:
[28:20] Mit so einer Signatur und so einem Siegel kann ich ja erstmal die Echtheit beweisen. Um die Integrität äh zu beweisen von einem Dokument. Da brauche ich ja sowas wie eine Prüfsumme. Finde ich das dann in so einem Zertifikat wieder?

Jörg:
[28:34] Nee, du meinst mit Prüfsumme äh den den wahrscheinlich, oder.

Torsten:
[28:37] Genau, genau.

Jörg:
[28:38] Soweit ich das noch kenne ist ähm dass du ähm du erstellst ein Dokument.
Und dann äh wird daraus ein erzeugt beziehungsweise einen Fingerabdruck, also ein verkürzter,
Und und das wird alles äh dann letzten Endes mit einem entsprechenden Zertifikat oder mit mit einem Schlüssel, wie auch immer, verschlüsselt äh oder signiert,
geht dann weiter. Das heißt, ich kann dann äh einmal überprüfen, ja, das ist wirklich die Person, die mir das jetzt schickt, das ist jetzt meinetwegen Klaus Walter, das kann ich überprüfen und ich kann dann anhand des Hashtags auch überprüfen
dieses Dokument ähm verändert wurde.

Torsten:
[29:13] Okay, das ist aber, das war dann in in dem Zertifikat drin und nicht in der normalen Siegelung.

Klaus:
[29:19] Praktisch gesprochen, äh damit man da mal sich das mal vorstellen kann. Wenn ich also ein ein solches Dokument von Jörg bekäme und er hat das digital signiert,
Und anschließend hat jemand Drittes ähm irgendwas in ja in das PDF oder in den Datensatz eingefügt,
Würde ich das bekommen, ja ja, das hat ursprünglich äh Krämer unterschrieben, aber das Dokument ist nicht mehr unverändert. Das heißt, diese automatisierte Prüfung, die man in diesen üblicherweise in dieser PDF-Software ähm,
In dieser PDF Software drin hat, ähm führt dann automatisch dazu hallo, da ist irgendwas nicht in Ordnung.
Ähm guckt mal ganz genau hin, da hat offenbar jemand Drittes das Dokument verändert. Das ist nicht das, was Jörg ursprünglich auf die Reise ging.

Torsten:
[30:05] Genau, also Softwareentwickler machen das ja auch zum Glück mehr und mehr, dass sie äh an ihre,
Software Artefakte äh ranhängen, damit man genau nachvollziehen kann, ob ähm der Inhalt verändert wurde oder nicht, ob's der gleiche Code ist wie vorher.

Jörg:
[30:22] Genau, das ist auch, also in der analogen, weil wir waren ja eben bei den äh bei bei den Ziegeln und das ist dann eigentlich wirklich nur signiert, nicht verschlüsselt, also verschlüsselt wird, wenn ich den Brief aufmache und dann irgendwelche
Buchstaben und Zahlenkombinationen habe, weil sonst nicht zu entziffern ist. Das wäre tatsächlich verschlüsselt und äh wenn aber das Siegel gebrochen ist, dann weiß ich
Hat's zumindest gelesen und vielleicht sogar meinen.

Klaus:
[30:44] Um's analog noch mal zu erläutern, das wäre so ähm du hast du hast vor dir vorliegen, eine Unterschriftenprobe von mir. Ich hätte jetzt eine Unterschriftenprobe von Jörg Krämer vor mir liegen,
Ich kriege das Dokument und das R am Ende von Krämer hat plötzlich so einen komischen Bogen.
Und ich lege den Original, das Original daneben und sage, da hat aber irgendjemand drin rumgemalt.
Ähm und das passiert im Grunde im Digitalen, indem dann die Anzeige kommt, ja ja, da hat Jörg Krämer das zwar alles unterschrieben, aber da hat noch einer so einen Bogen hinten dran gemacht und ergo ist in der Urkunde irgendwas verändert.

Jörg:
[31:23] Ich fürchte bei meiner aber vom Prinzip her hast du recht.

Klaus:
[31:26] Okay, wir üben noch.

Matthias:
[31:32] Lasst uns mal weitermachen mit dem Thema äh Nutzung. Jetzt haben wir schon viel gelernt über Signaturen und äh Zertifikate und Verschlüsselung. Wer nutzt denn aktuell jetzt schon Verschlüsselungen und wofür?

Torsten:
[31:42] Befürchte, dass es in der Verwaltung noch gar nicht so oft eingesetzt wird, die Verschlüsselung.

Klaus:
[31:46] Also ähm ich ähm kenne es in der Form, dass äh tatsächlich in der Vergangenheit das BSI eine wunderbare Software hatte,
Deren Namen mir gerade jetzt nicht einfällt, ähm aber da war's möglich, dass man sozusagen äh private und öffentlichen Schlüssel austauschen konnte.
Und ähm das führte im Grunde dazu, dass man äh häufig sicher sein konnte, dass jemand drittes äh nicht Mitglied.
Komme leider nicht auf den Namen der Software ähm es war alles andere als leicht ähm.

[32:24] Nee, äh das war's nicht, Volksverschlüsselung ist ein anderes Stichwort, aber ähm,
Tatsächlich ist es heute schon, auch mit dem Personalausweis, relativ einfach möglich, sich zum Beispiel äh Schlüsselmaterial für seine eigenen E-Mails zu holen,
Das heißt, wenn ich äh wenn ich selber eine E-Mail verschicke und sage, ich möchte, dass du mir in Zukunft als Gegenüber nur noch verschlüsselte E-Mail schickst, weil wir was auszutauschen haben.
Dann ist diese wunderbare Software, die den etwas ungewöhnlichen Namen Volksverschlüsselung trägt. Ähm dazu sehr geeignet mittels des Personalausweises, so was äh zu zu erzeugen.
Ja und dann gibt's noch von Governicus äh die Möglichkeit, das über Open P zu machen.
Geht's noch weiter in die Technik rein. Es gibt halt zwei verschiedene Verschlüsselungsmethoden. Lange Rede, kurzer Sinn. Ähm wir haben heute die Software äh zur Verfügung, um relativ einfach seine E-Mail selber zu verschlüsseln,
wo es das auch noch gibt.
Nicht so gebräuchlich, aber die DE-Mail arbeitet ähnlich. Das heißt, wenn ich ein D-Mail-Konto habe und mit einem anderen die E-Mail ähm Empfänger äh Nachrichten austausche, dann wird zumindestens der Weg,
Verschlüsselt. Da kann also kein Dritter so ohne Weiteres reingucken.

Matthias:
[33:52] War die E-Mail ja nicht so unbedingt von Erfolg gekrönt.

Klaus:
[33:56] Habe ich gesagt, nicht so verbreitet. Ich wollte mich neutral ausdrücken.

Matthias:
[33:59] Ich hab's auch noch versucht neutral zu halten. Aber noch mal zu dem Thema, E-Mail-Verschlüsselung. Jetzt gehen wir davon aus uns hören Menschen zu, die das noch nicht gemacht haben. Aber sagen, okay, das klingt sinnvoll.
Diese Menschen äh schreiben ihre E-Mails aber primär nur über ihr Smartphone. Wie kriegt jetzt der äh.
Nennen wir ihn Bob, weil wir's vorhin hatten. Wie kriegt Bob äh jetzt ein eine saubere Verschlüsselung auf sein Handy mit seiner, keine Ahnung, was für eine App einsetzt, was äh das Standardprogramm von Apple, das Standardprogramm von was auch immer,
Wie kriegt ihr das da rein.

Klaus:
[34:40] Ähm das für mich nun ausgerechnet auf die Möglichkeiten von Smartphones ist zwar durchaus nachvollziehbar, weil ab einer gewissen Generation so komische Desktoprechner, glaube ich, aus der Mode gekommen sind und selbst,
nicht mehr so angesagt sind,
Ähm das ist ungleich komplizierter, muss man echt sagen, weil das Angebot äh von von Apps in dem Bereich.

[35:03] Überschaubarer wird. Es gibt aber tatsächlich E-Mail-Clients, ähm die äh mit solchen Verschlüsselungssoftwaren zusammenarbeiten.
Das heißt, auch da ist es möglich, sich solche Schlüssel zu erzeugen, auch mit dem neuen Personenausweis tatsächlich zu erzeugen,
Ähm ich glaube, dass ähm dass die beiden vorhin schon genannten Programme,
Ähm zumindestens äh Design sind, wenn's nicht dir als eigene Apps sogar hoffentlich gibt.
Ähm und die Schlüssel können tatsächlich auch im Smartphone verwaltet werden,
Sobald man das einmal getan hat, ist es äh relativ einfach äh mit diesen Schüsseln umzugehen,
Je nach Technologie werden entweder die Schlüsselpaare miteinander automatisch ausgetauscht oder man verschickt immer seine Signatur,
Der andere klickt es an und hat dann den öffentlichen Schlüssel des Gegenübers automatisch in seinem Smartphone implementiert und wenn er dann eine Mail an den,
Hab's ursprünglich einen Absender verschickt, verschlüsselt der da die wird die Mail automatisch zurück verschlüsselt,
Das funktioniert durchaus. Zugegebenermaßen ist das aber im Umfeld von Smartphones noch ausbaufähig. Ganz deutlich sagen.

Torsten:
[36:20] Die Problematik ist halt das Sender und Empfänger, beide das gleiche Verschlüsselungsverfahren verwenden müssen. Es sind wahrscheinlich PGP. Und PGP auf zu installieren, ist leider immer noch ziemlich schwierig.
Wenn man sich da ein bisschen reinfuchst, funktioniert's, aber ähm es ist durchaus,
Herausfordernd und nicht für jeden auf der Straße äh machbar. Selbst mit den Apps.

Jörg:
[36:45] Also im Smartphonebereich ist tatsächlich etwas äh unkomfortabel und ähm,
also wenn ich mir mich bei mir so in der Familie umgucke, also ich glaube, da gibt's nicht allzu viel Personen, die das wirklich könnten und äh da muss ich auch wirklich sagen,
Bin mir nicht sicher, ob ich dazu wirklich immer Lust hätte, äh das dann zu machen. Also da da ist wirklich noch sehr viel Luft nach oben. Ähm
und ich habe jetzt hier Tablet oder oder ähm Desktop-PC denke. Also wir bei der Fitguck, wenn's um um,
ähm personenbezogene Daten geht, ähm dann verschlüsseln wir uns im Mails intern auch. Das geht
ähm und das geht auch sehr komfortabel. Also da muss man sein Kennwort eingeben und dann ähm wird das automatisch signiert oder verschlüsselt oder beides. Das kann ich dann auch aussuchen, direkt in Outlook zum Beispiel. Das ist wirklich sehr komfortabel und auch sehr hilfreich, aber
bei Smartphones hm da da gäb's tatsächlich noch einiges zu tun, glaube ich.

Klaus:
[37:36] Ähm vielleicht können wir mal so einen Schwenk machen, wo die Verwaltung eigentlich ähm da so ihre Einsatzszenarien äh haben könnte.

Torsten:
[37:47] Ja sehr gern, wo wo könnte denn die das in der Verwaltung eingesetzt werden.

Klaus:
[37:50] Ähm ich hatte vorhin schon mal das ganze Thema E-Akte genannt. Ähm haben wir im Prinzip zwei Situationen. Erst mal ähm.

[38:01] Wie kriegen wir Dokumente oder Daten.
Ähm die die wir ähm reinbekommen von außen. Wie kriegen wir der kriegen wir die eigentlich in so eine E-Akte rein, äh ohne dass der Beweiswert flöten geht.
Wir haben uns mal so verschiedene im BVA selber angeguckt,
Klar, der Papierweg, den hatte ich gerade schon genannt. Da muss es also so ein Szenario geben, dass wenn wir irgendwas im Papier bekommen, was immer noch gar nicht mal so unüblich ist,
dass dieses Papier so in die E-Akte überführt wird, dass der Beweiswert erhalten bleibt und auch dauerhaft erhalten bleibt. Dafür gibt's technische Richtlinien des BSI, die vorsehen, wie damit umzugehen ist.
Bei den,
Ähm bei den rein elektronischen Daten, zum Beispiel wenn man Antragsverfahren haben mit Webformularen, machen wir's äh in der Regel so, dass wir ähm.
Dann in Zukunft äh Fortgeschrittene ähm Siegel einsetzen oder fortgeschrittene Signaturen einsetzen,
Also in dem Moment, wo der Nutzer das Webformular abschließt und auf Enter drückt, äh kommt da automatisch ein,
Zertifikat drauf, äh was dann anschließend den ganzen Datensatz schließt und in die E-Akt überführt.

[39:22] Im Prozess der E-Akte selber äh muss man im Blick haben, dass solche Zertifikate auch eine bestimmte Laufzeit haben. Das heißt, nach zwei bis drei Jahren.
Steht dann da, ja, das ist alles gültig. Das hat auch derjenige ausgestellt, aber das Zertifikat ist quasi abgelaufen. Also es gibt keine,
keine endlos Zertifikate, die über zwanzig, dreißig, 40, 50 Jahre in einem Rutsch endgültig endlos gültig sind.
Sondern dann muss man ein bestimmtes Prozedere einführen, wo quasi das ähm das schon bestehende Zertifikat noch mal,
übersigniert oder übergesiegelt wird. Das heißt, damit wird bestätigt, ja ja, das Alte war gültig und das Neue kommt hinzu.
Jetzt hebt der Thorsten die Hand.

Torsten:
[40:13] Genau, jetzt muss ich gleich mal ein bisschen ketzerisch nachfragen, warum äh kann man denn ein digitales äh Siegel oder digitale Signatur nicht auch ewig gelten lassen? Wir hatten's am Anfang direkt mit der goldenen Bulle, die gilt immer noch.

Klaus:
[40:27] Ja, das ist die liebe Technik. Ähm äh.
Also wir haben wir haben Leute, die da viel, viel mehr Ahnung haben als ich erklärt ähm solche Zertifikate oder solche technischen Lösungen sind irgendwann äh sozusagen angreifbar.
Das heißt, die Laufzeit müssen wir deswegen begrenzen, weil irgendwann die Wahrscheinlichkeit steigt, dass Algorithmen geknackt werden, die die dafür sorgen, dass Verschlüsselungsmechanismen äh überhaupt funktionieren,
Äh wir müssen, das hat im Ergebnis Sicherheitsgründe,
magst du ergänzen, Jörg, äh da hört sozusagen mein technisches Verständnis an der Stelle auf, aber ich weiß eben, dass die alle zwei bis drei Jahre tatsächlich erneuert werden.

Jörg:
[41:14] Ja alle zwei bis drei Jahre. Es gibt auch durchaus längere Laufzeiten, aber ähm klar, also das ist einmal dieser Sicherheitsaspekt
ähm wir denken nur mal an einen Quantencomputer, die vielleicht in zehn Jahren Normalität werden und dann sind sämtliche Verschlüsselungstechnologien, die wir im Moment kennen.
Also dann lässt sich alles knacken. Also von daher,
Genau und äh der andere Punkt ist aber, ähm wenn ich jetzt so drüber nachdenke, so ein Zertifikat 30 oder 40 Jahre lang, ähm.
Zu lassen. Ähm das bedeutet ja, dass ich während dieser Zeit immer wieder überprüfen kann, stimmt das eigentlich noch? Ähm also
ist die Gültigkeit noch da ist die Zugordnung der Person oder die zugeordnete Organisation stimmt das eigentlich noch? Und wenn ich das jetzt mal hochrechne
allein was ich dann an technischer Infrastruktur bräuchte um diese Daten so lange zu speichern auch
sicher zu speichern und immer wieder vorhalten zu müssen, das ist natürlich für denjenigen, der so etwas betreibt, also fürn ähm Zertifikatsanbieter ein enorm hoher Aufwand äh und das muss ich ja irgendwie rechnen und
Na ja, also je länger die gültig gültig sind, desto teurer wird die ganze Geschichte. Und dann stellt sich natürlich irgendwann die Frage nach der Rentabilität.

Torsten:
[42:26] Ja, jetzt stelle ich mir grad vor, wenn wir grad von so Geburtsurkunden und ähnlichen Melderegistern und so weiter sprechen, ähm da müssen die Daten 11 Jahre mindestens aufgehoben werden.
Ähm analog habe ich damit überhaupt gar kein Problem. Da mache ich meinen meinen Nasssiegel drauf.
Archiviert das ordentlich und es ist da auch noch in 110 Jahren wenn das Papier dann aushält aber das meiste Papier schafft es
Digital bin ich ja dann immer über 11 Jahre hinweg alle zwei, drei, fünf, zehn Jahre, je nachdem was festgelegt ist, am Nachsignieren.

Klaus:
[43:02] Ähm das ähm ist im Prinzip die Konsequenz, ähm auch dafür haben die lieben Kollegen vom Bundesamt für Sicherheit eine Informationstechnik, eigene technische Richtlinie geschrieben. Ähm die ähm.
TR Isoa heißt, wenn ich das richtig im Kopf habe.

Torsten:
[43:21] Genau, ich habe grad mal schon zwei rausgesucht, TAISO und TR Resi Scan.

Klaus:
[43:25] Ja, wobei die scannen einen Schritt vorher ist, das ist die die beschreibt äh was zu machen ist, wenn Papier äh in,
In ein digitales Format umgewandelt wird,
Äh das klingt alles furchtbar schrecklich kompliziert ähm aber Gott sei Dank gibt's auch dafür tatsächlich schon Lösungsanbieter, ähm die einem sozusagen den Kasten dazwischensetzen, dass die Schnittstellen zwischen dem einen,
Anderen Teil deutlich reibungsloser laufen, als wir das heute haben.

Matthias:
[43:55] Gerne mal so ein so eine Stolperfalle. Ich habe in der Vergangenheit oft mit Problematiken zu tun gehabt äh es ging was nicht, weil's Zertifikate abgelaufen,
Ähm wie kann man denn hier dann sicherstellen, dass eben diese diese Sache nicht passiert, beziehungsweise was ist der Worst Case, wenn's passiert, wenn das Zertifikat ausgelaufen ist und das merkt keiner.
Kann ich dann liebe ich lange noch übersignieren oder ist da irgendwann dann ist irgendwann verloren irgendwo.

Klaus:
[44:25] Also im Zweifel geht dann erstmal zumindestens der Bereich Urkundensbeweis im Prozessverfahren kann dann schon mal schwierig werden,
in den Riegeln, im Prozessrecht halt drinsteht, ähm was eigentlich eine Urkunde beweisen können muss, wenn's elektronisch passiert. Und äh da steht nun mal eben drin,
dass das ein gültiges Zertifikat sein muss, was diesen Beweise antritt.
Ähm das das führt nicht gleich von von Beweiswert 100 auf null, Gott sei es gedankt. Denn auch immer auch bei einer abgelaufenen Zertifikat kann man immer noch erkennen, wer es ausgestellt hat,
das zum Zeitpunkt der Ausstellung gültig war und im Zweifel auch, dass das Dokument nicht verändert worden ist. Das heißt, es steht dann.
In Anführungsstrichen lediglich dran, jawoll, das Zertifikat ist abgelaufen,
Heißt aber nicht, dass das jetzt der der Wert auf null geht, sondern das führt eben dazu, dass dass man eine von der Qualität an etwas anders, eine etwas andere Qualität hat als vorher,
Bei weitem nicht so schlimm, als wäre ein Zertifikat irgendwann mal gesperrt worden,
Weil der private Schlüssel von jemandem geklaut worden ist oder Ähnliches, ähm immer noch hat es einen sehr hohen Beweiswert, aber eben nicht den einer.

Torsten:
[45:46] Also jetzt habe ich grad so was ähnliches wie ein Alptraum, weil ich muss jetzt ein Wort sagen, was ich äh was eigentlich bei uns im im Podcast ein Bier kostet und zwar Blockchain.

Klaus:
[45:54] Ja.

Torsten:
[45:57] Wenn ich ähm eine Signatur übersigniere,
wieder aktualisiere, kann ich ja die Signatur bis hin zur Wurzel, also ich kann quasi die ganze Vererbung der Signaturen, diese komplette Signaturkette, kann ich äh nachvollziehen bis hin,
Zum ersten Zertifikat, was je ausgestellt wurde,
Warum lege ich jetzt nicht gleich in die Blockchain? Weil in der Blockchain, da laufen die Zertifikate quasi nie ab, weil das äh Dokument ja immer einen Bezug hat auf das vorhergehende Dokument und sobald ich,
An dem Dokument etwas verändere, ist die komplette Blockchain kaputt. Also es widerstrebt mich wirklich, das zu fragen, aber wäre das nicht,
die eine Anwendung für die Blockchain, die tatsächlich Sinn machen würde?

Klaus:
[46:43] Ich habe mich gerade auf stumm geschaltet. Ich habe die Frage nicht verstanden. Quatsch, Scherz beiseite. Ähm also äh ich ich sehe einen anderen Punkt. Ähm.
Die die Blockchain hat vielleicht eine Herausforderung im Bereich der Zertifikateverwaltung. Du musst ja einen öffentlichen Schlüssel bereitstellen.
Und wenn dieser öffentliche Schlüssel, der ja dazu führt, dass ich etwas an den anderen schicken kann, verschlüsselt schicken kann,
dieser öffentlichen Schlüssel zurückgerufen wird,
Dann ist mein vielleicht technisch beschränktes Verständnis eins, dass das mit Blockchain nicht so gut zusammenpasst. Weil äh einen öffentlichen Schlüssel aus einer Blockchain zurückzurufen.
Äh kann ich mir irgendwie nicht so gut vorstellen, wie das funktionieren soll.
Das heißt, ähm das wird schon schwierig mit dem Sperren, weil du dann brauchst ja doch irgendwie eine Institution, die dafür sorgt, dass es ein Sperrmechanismus gibt,
den öffentlichen Schlüssel aber noch schwieriger wird's, wenn der kontaminiert ist und ich will ihn zurückrufen. Ich weiß nicht, wie das mit Blockchain zusammenpasst.

Torsten:
[47:51] Aber ich kann auf jeden Fall die Integrität des Dokuments sicherstellen.
Die Integrität ist immer immer gegeben und im Original habe ich's ja irgendwann mal signiert äh auch wenn die Signatur abgelaufen ist, kann ich durch die Blockchain sicherstellen, dass die Integrität noch da ist.
Ist zwar die goldene Bulle jetzt nur noch silbern ähm.
Aber ich kann mir sicher sein, dass der Inhalt noch die gleiche ist. Können wir nicht beantworten, vielleicht kann das können, dass unsere Zuhörerinnen und Zuhörer wenn ihr dazu äh einwendungsfall habt, seid ihr hiermit aufgerufen,
direkt zu kommentieren, gerne auch per Sprachnachricht, das bauen wir dann in einer nächsten Podcast mit ein.

Klaus:
[48:32] Äh ich würde den Bogen gerne nochmal ganz kurz zu Ende spannen, äh was was die Einsatzszenarien bei Zertifikaten erlangt, wenn ihr einverstanden seid. Ähm.
Die dir nächste den nächsten News Case, den wir entwickelt haben, äh der eigentlich auch sehr naheliegend ist, ist genau der, den wir vorhin ja schon äh im Papier beschrieben haben, nämlich wenn,
Die Daten zunächst mal, ob wir im Papier oder digital oder wie auch immer ähm die die Börde wieder verlassen. Ähm,
Dann kann man ja durchaus dem auch diesen äh dieses Zertifikat wieder mitgeben. Der große Vorteil daran ist, dass ich dann,
Als Empfänger dieser Information, ob das Daten sind oder Papier, äh die gegenüber jedem 3. zeigen kann, aha, das kommt jetzt vom Bundesverwaltungsamt.

[49:23] Ist nicht verändert worden, dass es dann und dann ausgestellt worden und das Zertifikat ist gültig. Das heißt, ich muss, ohne dass irgendein Mediumbruch wieder dazwischen eintritt,
Kann ich gegenüber jedem 3 zeigen, dass es etwas, was das Bundesverwaltungsamt ausgestellt hat? Für mich.
Oder meine mein Standesamt in Neustadt an der Weinstraße hat. Meine Geburtsurkunde oder meine,
äh sonstige Papiere für mich ausgestellt, die ich bei Dritten zeigen muss ähund das kann ich dann digital tun und muss nicht wieder irgendwas äh beglaube ich bei Dritten ab.

[50:03] Sodass es für mich einer der zentralen Punkte. Im Grunde der digitale Nachweis.

Matthias:
[50:11] Wenn du jetzt eben vor diesem digitalen Nachweis sprichst, äh wie weit sind denn die öffentlichen Verwaltungen da schon.
Was machen die denn da schon in der Richtung? Ist das schon weit verbreitet oder ist das eher so das Thema E-Akte? Ja, es ist äh zunehmende Bedeutung, aber die einen haben's schon nahezu komplett umgesetzt, die anderen fangen gerade damit an.

Klaus:
[50:30] Also die Bahn sind ja vielleicht warst du kannst du zunächst da was zu sagen aus eurer Sicht, wie weit die da schon gekommen sind die verschiedenen Beam.

Jörg:
[50:43] In Bezug auf E-Akte.

Klaus:
[50:44] Im Bereich von von digitalen Nachweisen.

Matthias:
[50:48] Nur das Beispiel, weil ich kenne kenne Ämter, die die sind mit der E-Aktischen sehr, sehr weit. Die sind nahezu komplett auf EAD umgestellt. Ich kenne Ämter, die sind ja, wir haben jetzt mal angefangen da uns Angebote einzuholen.
Ganz massive Spannung.

Jörg:
[51:04] Ja, das trifft's ungefähr, genau. Genau. Ähm jetzt wirklich also echte digitale Nachweise im Sinne von ich habe was aufm Smartphone, kann das zeigen, beispielsweise ähm das ist tatsächlich nicht sehr ausgeprägt, also ganz spontan.
Fällt mir ganz spontan rein digitaler Nachweis ein, den wir haben musste ich jetzt wirklich hart überlegen. Ähm.

Klaus:
[51:29] Ich hätte tatsächlich einen ganz klassischen Nachweis, äh den wir eigentlich alle kennen, nämlich den Impfpass. Das Impfzertifikat.
Ähm das ist ja im Grunde ein Zertifikat, was ich,
zeigen kann, das ist ja äh der analoge Eintrag wär, der im im Impfpass selbst gewesen und digital kriege ich ein Zertifikat ausgestellt, das durch Dritte überprüft werden kann, dass meine Impfungen statt.

Jörg:
[51:58] Das stimmt. Das stimmt.

Klaus:
[52:01] Und äh ich denke da da soll's hingehen. Ähm.

Jörg:
[52:05] Also
dass es dahingehend soll es unstreitig. Also jetzt spannen wir den Boden mal ein bisschen weiter. Äh Register Modernisierung das ist ja sage ich mal der Klassiker jetzt jetzt in dem Bereich, ja.
Klaus du hast eben schon gesagt ähm das heißt also die Daten, ähm ob das jetzt Geburtsurkunden sind oder Geburtsdaten, Personenstandsdaten
oder irgendwelche anderen Daten wie zum Beispiel alles was im Fahrerlaubnisregister steht solche Dinge die sind ja alle da,
Die sind ja alle in den elektronischen Daten da und dadrum geht's ja genau, dass ich diese Daten als Bürgerinnen oder Bürger, wenn ich etwas bei der Verwaltung beantrage, eben nicht.

[52:43] In Papierform oder irgendwie anders beibringen muss, sondern dass diese digital abgehoben werden, dass direkt aus dem Register. Das ist übrigens, wo wir eben eben davon gesprochen haben, ähm,
denn noch so Anwendungsfälle in der Verwaltung für Zertifikate, also für eine verschlüsselte Übertragung oder auch eine signierte Übertragung. Ähm OZG Umsetzung,
Wenn man jetzt die Kette mal spielen, ich sitze vor eher vor meinem Meister, habe einen Onlinedienst ähm aufgerufen und und tippe da jetzt Daten ein. Ähm,
Und schicke die dann auf die Reise. Also was passiert dann eigentlich im Hintergrund? Ich will jetzt nichts spoilern auf eine der nächsten Folgen, wenn Fit Connect kommt, aber wenn ich die Daten über Fit Connect schicke
Dann passiert genau das, dass nämlich die Daten im Online-Dienst, im Grunde genommen schon verschlüsselt werden ähm und verschlüsselt bis runter ins Fachverfahren geschoben werden und auch erst da wieder entschlüsselt werden können. Ähm,
das dann quasi zweifach. Also ich habe die sogenannten Transportverschlüsselungen äh äh über TLS kennen wir immer, wenn im Browser HDTPS steht, sondern ist zumindest die technische Verbindung. Ähm genau, aber die Inhaltsdaten halt eben auch
die werden dann halt eben auch verschlüsselt und das erfolgt dann auch Zertifikatsbasiert und wenn ich
ähm jetzt angebe bei meinem Antrag, ich habe einen Führerschein und die Daten dürft ihr abrufen. Dann erfolgt auch noch der direkte, also wenn wir dann soweit sind mit der Registermodernisierung, auch noch der direkte Abruf dieser Daten aus dem entsprechenden Führerschein oder Pfeilerlaubnisregister.
Dafür gibt's.

Torsten:
[54:11] Jetzt stelle ich mir grad vor, ähm wir haben ja einen föderalen Staat, er ist föderal aufgebaut. Äh die Länder haben ihre Zuständigkeiten, der Bund hat seine Zuständigkeiten, die Kommunen haben ihre Zuständigkeiten
und jeder hat das Recht, Dinge auszuwählen und selber zu signieren, selber zu äh zu verschlüsseln und Ähnliches
je nach je nach Gusto und äh ähm rechtlicher Anforderungen. Ich stelle mir grad vor.
Wir kommen dann irgendwann in einen riesengroßen Wald oder Zoo an verschiedensten äh Zertifikaten und Signaturen, wo dann äh die der Geburtsurkunde von meiner Frau mit einer anderen Signatur unterschrieben ist, wie die Geburtsurkunde von mir oder meiner Tochter
und äh ich in einem Fall, wo ich das einreichen muss, bei drei verschiedenen Registern nachfragen muss. Ist da irgendwas,
Schon in Planungen und Vorbereitungen, dass man so was ein bisschen vereinheitlicht.

Jörg:
[55:03] Weißt du wahrscheinlich besser aus juristischer Sicht oder?

Klaus:
[55:07] Also ähm ich wollte gerade den Schwenk vielleicht mal machen zu zu dem ähm was wir jetzt ähm in der Pipeline haben,
Ähm so was wie ein Basisdienst aufzubauen.
Zu sagen wir bieten in Zukunft einen Basisdienst an, den Bund, Länder und Kommunen gemeinsam nutzen können,
Damit sie äh an den verschiedenen Anknüpfungspunkten, die ich gerade beschrieben habe, ähm diesen Basisdienst über eine einheitliche Schnittstelle ansprechen.
Heißt, ich muss nicht selber als Kommunik Y in die Beschaffung gehen, damit,
mein Prozess beim Ersetzen scannen oder bei der Beweiswerterhaltung der E-Akte oder hinten, wenn ich äh einen digitalen Nachweis produzieren will,
die Zertifikate einzusetzen, sondern dort nur noch einen zentralen Basisdienst ähm anzusprechen, dem Bund Länder und Kommunen gemeinsam nutzen können.

Torsten:
[56:07] Das heißt, das BVA hat da grad ein Projekt ähm.
Basis äh Funktionalität zu schaffen, die in jegliches Onlineverfahren oder Fachverfahren einfach so integriert werden kann, so dass ich eben nicht diesen Zoo habe von verschiedensten Zertifizierungsstellen, Zertifikaten, Softwareherstellern und ähnlichem.

Klaus:
[56:26] Also da der Jörg und ich äh in vielen Punkten sehr ähnlich ticken, was Verwaltungsdigitalisierung anlangt, sind wir in dem Bereich sozusagen gemeinsam auf auf der auf der selben Schiene unterwegs.
Das ist nicht ähm nicht alleine ähm BVA-Projekt, sondern das ist ein Projekt, äh wo neben dem BVA und der Fitko auch ähm Länder und Kommunen beteiligt sind,
Äh und auch ein ein IT-Dienstleister, äh sodass wir in der Lage sein können, glaube ich, äh die verschiedenen Aspekte, die ein solches.
Auch vernünftig zu steuern. Und das Ziel soll es sein, dass dann auch in den in des,
Produktmanagement des Planungsrates zu überführen und deswegen bin ich auch sehr dankbar, dass die FitCO sich äh an dem Thema auf jeden Fall beteiligt. Und da auch.
Ziemlich viel Verantwortung über.

Torsten:
[57:20] Und würde das Ganze auch open source sein.

Jörg:
[57:23] Es gibt so was wie föderale Architekturrichtlinien und da steht drin, dass es das das so was gibt wie ein Open Source Prinzip. Das heißt, wenn es einem werden sollte, äh dann ja, dann wäre die Vorgabe, das auch irgend so was zur Verfügung zu stellen.
Und ja, muss aber jetzt ehrlicherweise auch dazu sagen, es sind auch noch etwas in der Planungsphase und müssen jetzt gucken, wie das Ganze dann tatsächlich startet, aber ähm,
Ich glaube, äh dass es sinnvoll und und auch notwendig ist, wenn man dann digitale Ento-Endprozesse denkt, ja, dürfte es eigentlich kaum zwei Meinungen geben.

Torsten:
[57:53] Und wie weit ist es in dem Projekt schon äh dienen? Ist es absehbar, dass es kommt oder wat noch bis zwanzig, fünfundzwanzig?

Jörg:
[58:02] War richtig zu fragen. Nein.

Klaus:
[58:05] Wir können ja jetzt sagen, reden wir üblicherweise in den Zeitabläufen wie OZG insgesamt funktioniert oder reden wir jetzt mal, dass wir wirklich was auf die Straße bringen wollen?

Torsten:
[58:18] Ja, wenn wir was auf die Straße bringen wollen, dann sollten wir uns nicht am OCG äh orientieren, sondern wir sollen äh das Richtige machen. Die richtigen Dinge richtig tun.

Klaus:
[58:25] So so krass würde ich's jetzt nicht formulieren wollen, aber ähm es ist tatsächlich wie das immer so ist äh in den föderalen Strukturen nicht so ganz trivial ähm,
dort alle alle ähm unter ein Dach zu kriegen. Äh die Finanzierung muss halt stehen,
Und ähm das ist eben erstmal kein Selbstbedienungsladen, sondern,
Das muss erstmal stehen, aber ich glaube, wenn wir wenn die Finanzierung steht, dass es aber meine persönliche Einschätzung, wenn die Finanzierung steht,
Äh profitieren wir auf jeden Fall davon, dass wir im Bereich der Zertifikatszertifikate selber äh nicht das Rad neu erfinden.
Die einer der Knackpunkte wird sicherlich sein die Schnittstelle so auszugestalten, dass möglichst viele natürlich daran partizipieren können.
Deswegen ist es auch genauso von meiner Seite, genauso unabdingbar, dass wir uns da an die äh Architekturrichtlinien halten müssen,
Und wenn dann die andere Seite sich auch daran orientiert hat, äh dürfte die Verbindung auch dann nicht mehr so schwer fallen.

Torsten:
[59:34] Und wie sieht's da aus äh zivilgesellschaftliche Nutzung von diesem ähm Tool? Wäre das auch möglich.

Jörg:
[59:42] Gute Frage. Ähm haben wir noch nie drüber nachgedacht.

Torsten:
[59:47] Finde ich eine schöne Geschichte, weil wenn's wenn's sowieso schon ein Open Source werden soll, dann äh können wir das ja auch äh direkt zur Verfügung stellen und vielleicht das Thema E-Mail Signatur leichter machen, indem man auf diesem Basisdienst.
Ähm keine Ahnung, E-Mail-Programme oder E-Mail-Programm Plugins oder ähnlichem darauf aufbauen können.

Jörg:
[1:00:07] Also jetzt wo du das so sagst nee wir haben uns tatsächlich darüber noch gar keine Gedanken gemacht aber ist natürlich eine Idee
Ähm aber ich glaube jetzt, im ersten Schritt müssen wir erstmal sehen, dass wir das eine tatsächlich ähm irgendwann zum Fliegen kriegen, das Projekt überhaupt erst mal zum Stadt bringen.
Und es dann auch auch ein Ergebnis vorlegen und dann kann man darauf weiter aufbauen klar und wenn's in den entsprechenden News Case dafür gibt, dass auch für andere Anwendungszwecke zivilgesellschaftlich, was auch immer, zu nutzen, ja why not
Also natürlich kann man das tun.

Torsten:
[1:00:39] Ja, ich denke, ich kenne jede Menge Start-ups, die sich sofort drauf stürzen wollen würden.

Jörg:
[1:00:43] Also wie gesagt war auch kein Problem. Was kann man machen, aber ähm.
Ich sage mal so, eine gewisse Langkurve hat man ja auch gedreht, dass man zuerst mal ein Ding fertigmachen muss und dann dadurch weiter aufbauen kann, aber den den Scope nicht gleich allzu groß werden zu lassen, sonst wären wir nämlich nie fertig.

Torsten:
[1:01:01] Ich würde mich sehr freuen, wenn wenn das äh auch so eine zivilgesellschaftliche Anwendung finden könnte. Weil das wäre dann wahrscheinlich sogar das erste Projekt äh aus dem föderalen Bereich oder aus dem.
Öffentlichen Bereich was auch so ein so ein zivilgesellschaftliches Projekt werden könnte.

Klaus:
[1:01:18] Man darf, man darf vielleicht eins nicht vergessen, ähm diese Nutzung von Zertifikaten ist ja auch sozusagen käuflich,
erwerbbar. Das heißt äh es gibt sicherlich die Anbieter, die das nicht so,
Charmant finden, wenn wir plötzlich äh mit solchen Anwendungen die Preisgestaltung der Vertrauensdienstanbieter unterlaufen,
Ähm zumal wenn das äh wenn das sozusagen dieselbe Firma ist.

Torsten:
[1:01:48] Ja aber letztendlich Krypto zum Beispiel hat das Internet revolutioniert und plötzlich ist alles äh hatte DBS und es gibt gar keine harte Webseiten mehr oder fast nicht mehr und äh das könnte eine Revolution auslösen und,
Wenn's nur in Deutschland ist, ich fänd's sehr schön.

Jörg:
[1:02:07] Revolution.

Klaus:
[1:02:08] Ab heute gestartet.

Torsten:
[1:02:11] Der Revolution.

Jörg:
[1:02:12] Genau.
Nee, aber meins also erstmal das Kleine und wie gesagt, äh wenn das Ergebnis dann nutzbar ist auch für andere Anwendungsfälle, also klar, warum net.

Klaus:
[1:02:26] Glaube, dass es erstmal eine Revolution war, dass das äh im Bereich von Evement, Architektur erstmal verstanden worden ist, dass es äh Basisdienste gibt.
Die äh quer über allen Fachverfahren liegen. Also ähm,
Vor zehn Jahren, äh als es dann so losging mit dem Thema Bürgerkonten, war es heute Nutzerkonten sind ähm.
Da kann ich mich noch an manche Veranstaltungen erinnern, dass ich von den Siloanbietern wüst beschimpft worden bin, was ich denn da wohl vorhätte, indem man das Identitätsmanagement äh aus dem Fachverfahren aus,
Das fanden die gar nicht witzig.

Torsten:
[1:03:05] Ja was ist jetzt äh gang und gäbe und das ist auch gut so.
Ich glaube, wir haben jetzt einen äh riesengroßen Bogengespann von der goldenen Bulle bis hin zur Zukunftsprojekten. Ähm haben wir noch was ähm.
Was Großes vergessen, überhaupt noch irgendwas vergessen, was es äh was wir vielleicht nochmal ansprechen sollten.

Klaus:
[1:03:28] Vielleicht ganz allgemein für die Zuhörer, die sich bisher noch nicht so dran getraut haben. Ähm die Traute zu entwickeln, erstmal sich bei den eigenen E-Mails mit dem Thema Verschlüsselung zu beschäftigen.
Dieses äh von uns schon genannte Programm ist wirklich nicht schwer zu bedienen ähm und integriert ja,
mehr oder weniger automatisch in den gängigen E-Mail-Clients und in den Webseiten die Zertifikate,
Das heißt, man man muss da keinen weiteren technischen Sachverstand mitbringen, wenn man das nicht nicht am Handy versucht, sondern tatsächlich sich an einen handelsüblichen Desktop-Rechner setzt.
Dann ist es wirklich nicht schwer.

Torsten:
[1:04:13] Ich habe wie immer eine große Liste an an Links in den Shownotes und äh da finden die Zuhörerinnen und Zuhörer auch die Links zu.
Heute angesprochenen PGP Volksverschlüsselung Schlüssel und Ähnlichem. Einfach mal anschauen, es ist.
Wenn man's einmal verstanden hat oder wenn man's einmal installiert hat, funktioniert's und äh es ist nicht ganz so kompliziert wie die Nerds immer behaupten.
Gut, dann bedanken wir uns bei euch. Schön, dass ihr da wart bei uns.
Wir hoffen den Hörerinnen und Hörern hat's auch gefallen und dann verabschieden wir uns und wünschen allen schönen Tag, schöne Abend, schöne Nacht, je nachdem wann der Podcast gehört wird und bis zum nächsten Mal.

Einspieler

Torsten:
[1:04:57] Bis dahin.

Jörg:
[1:04:59] Auch, tschau.