DVZ Datenverarbeitungszentrum
Mecklenburg-Vorpommern GmbH
Lübecker Straße 283
19059 Schwerin

Header DVZ community 2/2024 mit Magazincover

Echtheitsgarantie per Klick

Digitale Siegel und Signaturen

Behördliche Dokumente unterschreiben oder abstempeln? Dies gehört beim Landesamt für Finanzen MV (LAF) bald der Geschichte an.

Annika Holtmann | Marketing

15.11.2024

Jan Winkler, Dezernatsleiter für IT-Grundsatz und IT-Service im Landesamt für Finanzen (LAF)

Der zentrale Siegel- und Signaturdienst kommt bei ersten Fachverfahren zum Einsatz und schafft nicht nur Freiräume für qualifiziertere Arbeit, sondern ermöglicht volldigitalisierte, medienbruchfreie Prozesse.

Ein Gespräch mit Jan Winkler, Dezernatsleiter für IT-Grundsatz und IT-Service, zum aktuellen Status

Was verbirgt sich hinter dem Basisdienst „Zentraler Siegel- und Signaturdienst“?

Er umfasst die Möglichkeit, Dokumente digital zu unterschreiben bzw. zu siegeln, um sie dann auf dem jeweils geeigneten Weg digital auszutauschen. Wir erfüllen also die Konformität nicht nur im Sinne der eIDAS-Verordnung, sondern stellen auch automatisierte und durchgängig digitale Prozesse sicher. Signatur und Siegel unterscheiden sich dadurch, dass eine Signatur personengebunden ist: Ich als natürliche Person unterzeichne das vorliegende Dokument. Das Siegel ist im Grunde das digitale Pendant zum klassischen Behördensiegel. Die Behörde wird bei der Zertifizierungsstelle registriert sowie verifiziert und erhält ein elektronisches Siegel als Institution. Das ist prozessual extrem sinnvoll, beispielsweise in der Postverarbeitung. Die Beschäftigten sind ohnehin im Auftrag der Behörde tätig. Eine personengebundene Signatur verursacht mehr Aufwände, technische Administration und bekanntlich können Personen auch mal wechseln.

Was veranlasste das LAF, den Startschuss für den IT-Dienst zu geben?

Im Bereich des Forderungsmanagements, das wir verantworten, haben bestimmte Maßnahmen konkrete Rechtsfolgen – wie das Beantragen eines Haftbefehls. Hierfür war es notwendig, eine eigenhändige Unterschrift zu leisten. Das war der Auslöser, als wir im Januar 2023 an das DVZ herangetreten sind. Die Anpassung der eIDAS-Verordnung machte dabei erstmalig den Einsatz von Fernsignaturen möglich. Vorher war eine händisch ersetzende, digitale Unterschrift nur mit einem Kartenlesegerät und einer personengebundenen Karte, auf der sich das Signaturmaterial befunden hat, umzusetzen. Dadurch ist man allerdings arbeitsplatzgebunden, hat einen hohen manuellen Aufwand sowie technische Administration. Und wenn ein Beschäftigter ausfällt, ist die Karte nicht übertragbar. Diese Einschränkungen wollten wir mit der digitalen Fernsignatur auflösen.

Mehr Informationen zur eIDAS-Verordnung

Ein altes Wachssiegel auf einem Stück Papier

Wie war der Weg bis zur Einführung?

Zusammen mit dem DVZ haben wir den bestehenden zentralen Siegel- und Signaturdienst vom Software-Anbieter Governikus zur Reife gebracht und weiterentwickelt. Der Basisdienst steht allen Landesund Kommunalbehörden in MV zur Verfügung. Das DVZ betreibt und optimiert den Service für uns und trägt durch ihren Sitz im Technik- Ausschuss neue Anforderungen an Governikus heran, die dann bundesweit abgestimmt und für alle Länder entwickelt werden. Wir hatten beim Forderungsmanagement dringende Anforderungen, die das DVZ mit zielorientierten Lösungen umsetzte. Beispielsweise haben wir eine für den Menschen sichtbare digitale Signatur erwirkt: Vorher war diese rein technisch, mit dem Auge nicht erkennbar. Doch Menschen hilft es, eine Unterschrift zu sehen. Nun können wir die optische Signatur individuell auf dem Dokument positionieren.

Wie wird der Siegel- und Signaturdienst konkret angewendet?

Es gibt zwei Möglichkeiten: Entweder per Webanwendung oder Schnittstelle direkt im Fachverfahren. Bei der Webanwendung lädt man sein zu signierendes Dokument nach der Anmeldung hoch, wählt die Unterschriftenform aus, positioniert diese an die gewünschte Stelle, führt eine Autorisierung mittels TAN-Eingabe durch und speichert das signierte Dokument fertig ab. Die Fachverfahrensschnittstelle funktioniert prozessual genauso, allerdings medienbruchfrei direkt im Verfahren. Für uns ist das die bessere Lösung, da wir damit einen leicht nutzbaren und technisch abgesicherten Service für die Anwender schaffen. Und die Vorteile sind vielfältig: Die Fernsignaturen reduzieren manuelle Aufwände, überwinden oder minimieren Medienbrüche und ermöglichen Homeoffice und Desk-Sharing, da weder Karten noch Kartenlesegeräte notwendig sind.

Welche Sicherheitsvorkehrungen gelten für eine qualifizierte elektronische Unterschrift?

Da haben wir zwei Sicherheitsfaktoren. Ich erkläre es anhand des Forderungsmanagements: Für eine Zwei-Faktor-Authentifizierung wollten wir auf keinen Fall ein Kartenlesegerät. Stattdessen findet nun eine Anmeldung mittels Benutzername plus Passwort statt
und der Signaturvorgang wird durch einen Telefonanruf auf die beim Nutzer hinterlegte Nummer ausgelöst. Klappt also auch wunderbar im Home Office. Zum Schutz vor Missbrauch wird auch noch eine individuelle PIN abgefragt, bevor man die TAN per Sprachansage erfährt. Das funktioniert sehr gut und hat sich etabliert. Aber wir wollen ja auch das digitale Behördensiegel – vor allem für große Fachverfahren. Ein Telefonanruf für jede Signatur wäre prozessualer Wahnsinn. Beim Forderungsmanagement ist der Einsatz einer digitalen Signatur kein Massenphänomen, aber in Bezug auf das Dienstreiseverfahren erwarten wir für das gesamte Land eine halbe Million notwendiger Siegelungen pro Jahr. Beim Beihilfeverfahren schätzen wir zwei Millionen und beim Bezügeverfahren reden wir von ganz anderen Dimensionen. In diesem Szenario wird die Nutzung des Siegels über moderne Sicherheitsmechanismen (OAuth2) und zertifikatsbasierte Anmeldung sichergestellt. Dies ermöglicht bei den Fernsiegeln einen automatischen Verarbeitungsprozess, bei dem kein Mensch mehr interagieren muss.

Und wie sieht die zweite Sicherheitsstufe aus?

Für jedes Dokument, das wir zum Signieren über das Verwaltungsnetz CN LAVINE an das DVZ schicken, wird ein einzigartiger, numerischer Wert berechnet – der sogenannte Hashwert, eine 128-stellige Zeichenkette bestehend aus Zahlen und Buchstaben. Diese Zeichenkette gibt das DVZ über sein Rechenzentrum an den Provider der Fernsignatur oder des Fernsiegels – in dem Fall D-Trust – weiter. Dort wird ausschließlich die Zeichenkette signiert und wir erhalten trotzdem über das DVZ ein valides signiertes Dokument wieder zurück. Es wird demnach ein technisches Spiegelbild erstellt, was aber nicht den Inhalt erhält. Die Daten bleiben bei uns und sind für niemand anderen lesbar, was hinsichtlich personenbezogener Daten extrem wichtig ist. Denn zwischen dem Fernsignaturanbieter und dem DVZ liegt nun mal das Internet und so schützen wir die Daten zum Beispiel vor Man-in-the-Middle-Angriffen.

Die digitale Signatur ist beim Forderungsmanagement bereits im Einsatz. Wie sieht es hinsichtlich des Behördensiegels bei den Dienstreise- und Beihilfeverfahren aus?

Beim Dienstreiseverfahren sind wir am weitesten. Der Prozess wird demnächst durch einen digitalen Workflow ersetzt – von der Beantragung über die Genehmigung bis hin zur Auszahlung. Dort ist der zentrale Signaturdienst vollautomatisiert per Schnittstelle in das Fachverfahren integriert und schon erfolgreich getestet. Aktuell erproben wir die Fernsiegel mit Pilotbehörden. Ein nächster Schritt ist das Beihilfeverfahren, wo sich bereits das Inputmanagement ändert: Hier müssen per Papier eingereichte Anträge dann zuvor eine Scanstrecke durchlaufen, bei der die Echtheit des Dokuments bestätigt wird. Das passiert gegenwärtig per Kartenlesegerät und Signaturkarte, aber dieser Prozess ist aus meiner Sicht nur mit einem Fernsiegel per Schnittstelle zukunftsfähig.

Zitat von Jan Winkler: Das DVZ ist quasi mein "IT-Dealer": Er stellt mir klar definierte IT-Komponenten zur Verfügung und ich bediene mich nach Bedarf.

Welche Vision verfolgen Sie mit dem Siegel- und Signaturdienst?

Der Basisdienst ist von unserer Seite aus vollständig einsetzbar: Wir und vermutlich auch alle anderen Behörden können diesen für verschiedene Verfahren und Prozesse problemlos einsetzen. Und das ist auch der richtige Weg: Im DVZ werden zentrale Services standardisiert aufgebaut und für alle Landesbehörden bereitgestellt. Das DVZ ist quasi mein „IT-Dealer“: Er stellt mir klar definierte IT-Komponenten zur Verfügung und ich bediene mich nach Bedarf – der zentrale Siegel- und Signaturservice ist eine davon. Für das LAF ist klar: Wir wollen bei allen großen neuen Fachverfahren die Fernsignaturen und -siegel anbringen, um die Konformität vollautomatisch herzustellen. Grundsätzlich verfolgen wir immer die Strategie, manuelle Prozesse im Zuge von Erneuerungsvorhaben zu reduzieren, um das Personal von unnötiger Arbeit zu entlasten und stattdessen Ressourcen für qualifiziertere Aufgaben zu schaffen. Und hier spart der digitale Siegel- und Signaturdienst Zeit durch Vermeidung von sinnlosem Stempeln, Lochen und Abheften.

Kontakt

Armin Maaßen

DVZ-Servicemanager Zentraler Siegel- und Signaturdienst

E-Mail: virtuelle-poststelle@dvz-mv.de

Telefon: +49 385 4800 866

Summary

Mit dem Basisdienst können Behörden elektronische Signaturen (natürliche Person) und elektronische Siegel (juristische Person) an Dokumenten anbringen, um dessen Authentizität und Integrität zu gewährleisten
Dank Anpassungen an der eIDAS-Verordnung sind medienbruchfreie Fernsignaturen und Fernsiegel möglich
Das LAF hat den Service zusammen mit dem DVZ für die Fachverfahren im Forderungs- und Dienstreisemanagement final entwickelt