OZG Security Challenge 2023
Gemeinsam zu mehr IT-Sicherheit

Source Code auf Open CoDE

Sie finden den Source Code der OZG Security Challenge 2023 auf Open CoDE.

Unser Projekt

Die wachsende Digitalisierung erfordert höchste IT-Sicherheit in der öffentlichen Verwaltung, um Vertrauen im Umgang mit persönlichen Daten zu gewährleisten. Das BMI setzte 2023 mit der „OZG-Security Challenge“ einen spielerischen Ansatz mit dem Ziel um, die IT-Sicherheit bei der OZG-Umsetzung zu steigern.

Hintergrund

Mit der zunehmenden Digitalisierung der öffentlichen Verwaltung steigt die Bedeutung der zugrundeliegenden Informationssicherheit. Bürgerinnen, Bürger und Unternehmen erwarten, dass der Staat vertrauensvoll mit ihren persönlichen Daten umgeht und diese durch ein hohes Maß an IT-Sicherheit schützt. Das Bundesministerium des Innern und für Heimat (BMI) möchte daher die Steigerung der IT-Sicherheit bei der OZG-Umsetzung weiter vorantreiben und hat in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die „OZG-Security-Challenge 2023“ ins Leben gerufen.

Die sechs IT-Sicherheitsmaßnahmen der OZG-Security-Challenge

Folgende sechs IT-Sicherheitsmaßnahmen standen bei dem Schnelltest im Fokus:

• Responsible Disclosure (PDF, 594KB, Datei ist barrierefrei⁄barrierearm): Responsible Disclosure ist ein Verfahren zur Meldung von Sicherheitslücken bzw. Schwachstellen vor Veröffentlichung.
• Transport Layer Security (TLS) 1.3 (PDF, 475KB, Datei ist barrierefrei⁄barrierearm): Das neueste Sicherheitsprotokoll bietet aktuelle Verschlüsselung der Kommunikation zwischen OZG-Dienst, Bürgerin und Bürger.
• TLS 1.1 & 1.0 deaktivieren (PDF, 737KB, Datei ist barrierefrei⁄barrierearm): Wurden sind als veraltet eingestufte Sicherheitsprotokolle und sollten deaktiviert werden.
• Strict-Transport-Security (HSTS) (PDF, 740KB, Datei ist barrierefrei⁄barrierearm): HSTS lässt für einen angegebenen Zeitraum ausschließlich verschlüsselte und damit sichere Verbindungen zwischen Bürgerinnen, Bürger und Ihrem OZG.Dienst zu.
• DNS Security Extensions (DNSSEC) (PDF, 626KB, Datei ist barrierefrei⁄barrierearm): DNSSEC sorgt durch Signaturen für eine Sichere Verknüpfung von Internetadresse (Domain) und Serveradresse (IP-Adresse).
• Resource Public Key Infrastructure (RPKI) (PDF, 1MB, Datei ist barrierefrei⁄barrierearm): Die Resource Public Key Infrastructure schützt vor einer nicht autorisierten Umleitung von Datenverkehr von Nutzerenden.

Diese sechs IT-Sicherheitsmaßnahmen sind aber nicht abschließend zu betrachten, sondern stellen einen ersten Ansatz zur Standardisierung der IT-Sicherheit im OZG-Kontext dar. Die Umsetzung von IT-Sicherheit ist ein Prozess, der kontinuierlich fortgeführt werden muss.