Clever & Smart - Apps für die öffentliche Verwaltung
01. Dezember 2017
Smartphones und mobile Devices werden immer beliebter – bei Privatpersonen ebenso wie im Bereich der Verwaltung. Doch wie sicher ist es eigentlich, diverse Aktionen über mobile Endgeräte abzuwickeln?
94 % der Österreicher:innen besitzen ein Smartphone, 93 % nutzen Internet am Handy, mobiles Internet ist weltweit auf dem Vormarsch. Im Durchschnitt haben die Österreicher:innen 30,4 Apps auf ihrem Smartphone – allerdings achten nur 55 % bei der Installation von Apps auf Sicherheit. Dies sind beachtliche Zahlen, die belegen, dass Smartphones oder andere mobile Devices jene Geräte sind, auf denen die digitale Transformation letztendlich stattfindet. Die Zahlen für die Privatnutzung sind eindrucksvoll, doch wie sieht es im Bereich der Verwaltung aus?
Um es gleich vorwegzunehmen: Der Einsatz von Apps in der Verwaltung hält sich noch in Grenzen. Man kann unterscheiden in Apps, die für die Bürger:innen angeboten werden, und solchen, die von den Mitarbeiter:innen der Verwaltung genutzt werden. Zahlreiche Ministerien bieten Apps für die Bevölkerung an, die meist Informationen bündeln und diese leicht zugänglich machen. Das Bundesministerium für Finanzen geht einen Schritt weiter beim Servicegedanken und hat z. B. eine Belegcheck-App für Unternehmer:innen im Angebot. Damit kann man feststellen, ob die Inbetriebnahme der Sicherheitseinrichtung der Registrierkasse ordnungsgemäß durchgeführt wurde. Der maschinenlesbare Code (QR-Code) auf dem Startbeleg wird mit der Belegcheck-App gescannt und damit die Gültigkeit der Belege der Registrierkasse überprüft. Diese App wurde knapp 50.000 Mal heruntergeladen, 300.000 Belege haben Unternehmer:innen damit bisher geprüft. Das Ergebnis der Prüfung wird unmittelbar am Display des Smartphones angezeigt. Praktisch und schnell. Die App gibt es entsprechend adaptiert auch für interne Zwecke, und zwar für alle Betriebsprüfer:innen des Finanzministeriums. Rund 3.250 Mitarbeiter:innen profitieren bei ihrer täglichen Arbeit davon.
Man will es komfortabel
Mobile Apps könnten in vielerlei Hinsicht Vorteile bringen, brauchen aber oft einen direkten Zugang zu sensiblen Daten, entsprechend hoch sind die Sicherheitsanforderungen. Man denke an Anwendungen im Bereich Personalmanagement – Außendienste gleich am Smartphone eintragen. Unterstützung der Ermittlungstätigkeit ist ein weiteres Thema, die Beweissammlung erfolgt direkt am Handy. Der Vorstellung sind keine Grenzen gesetzt. Der tatsächlichen Anwendbarkeit allerdings schon. Diese Grenzen liegen nicht zuletzt im Bereich der Sicherheit. Gleichzeitig erwartet der User einen einfachen und komfortablen Zugang. Zu Recht – denn wenn die Anmeldung am Handy länger dauert als das Hochfahren des PCs, geht ein entscheidender Vorteil verloren: einfache und rasche Nutzbarkeit.
Wie sicher kann ein Handy sein?
Die Technik im mobilen Bereich schreitet so rasch voran, dass es schwierig ist, Innovation und Sicherheit zu vereinen. Gerade aber in der öffentlichen Verwaltung sind hohe Sicherheitsanforderungen unabdingbar. Das BRZ arbeitet an Methoden, die Nutzung von Apps für die Verwaltung einfacher und sicherer zu machen. Grundsätzlich zu unterscheiden ist, ob die Apps auf Managed Devices oder Unmanaged Devices laufen. Managed Devices sind (Mobil-)Geräte, die über ein Mobile Device Management zentral administriert werden.
Unmanaged Devices sind sozusagen die Privathandys. Für alle mobilen Endgeräte wurde im Rahmen des österreichischen E-Government verbindliche Sicherheitsklassen definiert, die für jede IT-Anwendung festlegen, welche Sicherheitsauflagen ein User der Anwendung erfüllen muss. Das Zauberwort in diesem Zusammenhang heißt Zwei-Faktor-Authentifizierung, d. h., der User muss über das mobile Endgerät verfügen und er muss es entsperren können. Dabei ist es nicht wesentlich, ob Fingerprint, PIN oder Iris-Scan zum Einsatz kommt – entscheidend ist, dass ein sicheres Grundprinzip entwickelt wird, das auch bei technischen Weiterentwicklungen zum Einsatz kommen kann.
Sicherheit bei Managed Devices
Sicherheitsstandards wie z. B. die Verwendung eines Geräte-PINs können erzwungen werden, zusätzlich können für die User Konfigurationen vorgenommen werden. Für die sichere Verwendung von Apps kann das Mobile Device Management die initiale Authentisierung für die Benutzerin bzw. den Benutzer übernehmen – sie/ er kann somit nach transparentem Durchlaufen des Prozesses die App einfach verwenden, für sie/ ihn ergibt sich ein Single-Sign-on. Bei besonders sensiblen Apps kann die Verwendung zusätzlich über eine Gerätefunktion abgesichert werden. Das BRZ bietet hier mit dem Mobile Device Management eine fertige Lösung on Premises an.
Sicherheit bei Unmanaged Devices
Bei personenbezogenen oder sensiblen Daten ist bei einem Zugriff von einem beliebigen Gerät über das Internet eine starke 2-Faktor-Authentisierung vorgeschrieben. Das BRZ Mobile Device Security-Konzept bietet hier eine komfortable Lösung. Die erstmalige Authentisierung kann z. B. an einem bestehenden Portal erfolgen. Für Unternehmen steht hier das Unternehmensserviceportal zur Verfügung, für Bürger:innen die Plattform HELP.gv.at und für Mitarbeiter:innen ihr jeweiliges Stammportal. Die Eingabe der User-Daten kann in die App z. B. durch Abfotografieren eines QR-Codes oder Eingabe eines Aktivierungscodes erfolgen.
Mobile Device Security bietet hier eine komfortable 2-Faktor-Authentisierung, die sonst nur mit erheblichem Aufwand erreichbar wäre.