08

Mai

2020

i-Kfz-Mindestanforderungen des KBA an die IT-Sicherheit

Was Zulassungsbehörden und Betreiber dezentraler Portale für Kfz-Zulassungen immer beachten müssen.

i-Kfz-Mindestanforderungen des KBA an die IT-Sicherheit

Mit ca. 20-25 Millionen Vorgängen, welche von 421 Zulassungsbehörden und 279 Nebenstellen abgewickelt werden, gehören Fahrzeugzulassungen zu den volumenstärksten Verwaltungsverfahren in Deutschland. Seit dem 1.10.2019 steht diese Verwaltungsdienstleistung bundesweit für Privatpersonen im Internet zur Verfügung („Stufe 3“) und soll in Zukunft auf juristische Personen ausgeweitet werden („Stufe 4“).

Betreiber der Lösungen für die internetbasierte Fahrzeugzulassung (i-Kfz) sind gesetzlich dazu verpflichtet (§ 15a Absatz 3 FZV) zahlreiche und hohe IT-Sicherheits- und Datenschutzanforderungen (MSADP) zu erfüllen und regelmäßig nachzuweisen. Schließlich werden insbesondere bei der Kommunikation mit den zentralen Registern des Kraftfahrt-Bundesamtes (KBA) schutzbedürftige Daten verarbeitet. Für Entscheider und IT-Verantwortliche der Betreiber sowie deren Mitarbeiter bedeutet dies zusätzliche Arbeitsbelastungen und Herausforderungen.

Das Projekt i-Kfz – von der Idee zur Umsetzung

Mit der Veröffentlichung des Aktionsplans Deutschland-Online wurde 2006 der Grundstein für das heutige i-Kfz-Verfahren gelegt. Für die Umsetzung diente die Nationale E-Government-Strategie des IT-Planungsrates von 2010.

Hamburg legte in 2012 als erstes Bundesland ein Konzept für das Vorhaben Kfz-Wesen vor, welches  in Zusammenarbeit mit der Zulassungsbehörde Ingolstadt erprobt wurde und aufgrund der positiven Resonanz in weiteren Bundesländern als Pilotprojekt adaptiert wurde. Einheitliche IT-Standards (XKfz) für die Datenkommunikation wurden durch Rheinland-Pfalz entwickelt. Der neue Personalausweis (nPA), De-Mail und ePayment (ePayBL) sind weitere Grundbestandteile des Verfahrens. Das Projekt i-Kfz wurde vom Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) mit dem Ziel der deutschlandweiten Umsetzung weitergeführt.

Quelle: BAnz AT 18. Mai 2016 B4, Kommunikationswege der i-Kfz-Lösung

Die erste Stufe begann 2015 mit internetbasierten Anträgen zur Außerbetriebsetzung von Fahrzeugen durch das Kraftfahrt-Bundesamt (KBA). Eine neue Zulassungsbescheinigung und Stempelplaketten mit Sicherheitscodes bildeten hierfür die Grundlage. Im Jahr 2017 wurde die Möglichkeit der Wiederzulassung auf denselben Halter im selben Zulassungsbereich und mit dem bei der Außerbetriebsetzung reservierten Kennzeichen ergänzt. Erstmalig wurde auch die deutschlandweite Erfassung, Speicherung und Überprüfung von Hauptuntersuchungen (HU) und Sicherheitsprüfungen (SP) relevanten Fahrzeugdaten im Zentralen Fahrzeugregister ermöglicht. 211 Onlineanträge zur Wiederzulassung wurden in den letzten drei Jahren gestellt, während in den letzten fünf Jahren 76.896 Anträge zur Außerbetriebsetzung über das Onlineangebot der Zulassungsbehörden gestellt wurden.

Mit der Stufe 3 ist seit Oktober 2019 ein sofortiges Losfahren bei Umschreibungen und Mitnahme des Kennzeichens möglich. Die digitale Automatisierung des Fahrzeugzulassungsprozesses wurde ausgeweitet. Die Antragsbearbeitung und -entscheidung umfasst nun auch die Außerbetriebsetzung und den Halterwechsel unter Kennzeichenbeibehaltung sowie einfache Adressänderungen. Die bundesweit einheitliche Gebühr für die Außerbetriebsetzung beläuft sich online auf 5,70 statt 6,90 Euro. Zulassungen kosten 27,90 Euro und die Umschreibung in einen anderen Zulassungsbezirk 28,20 Euro. Allerdings verzögert sich die Umsetzung in vielen Kommunen bis heute, da die Betreiber Schwierigkeiten mit Software, Datenschutz und Informationssicherheit haben. Während der aktuellen Coronakrise gab es daher Kritik aus der Automobilbranche, obwohl die Zulassungsstellen bislang noch keinen deutlichen Wechsel oder Fragen zu dem neuen Angebot festgestellt haben.

Da das i-Kfz-Verfahren die eID-Funktion des nPA über ein Lesegerät oder Smartphone mit NFC-Reader (z.B. iOS, Android via AusweisApp2) erfordert, werden die Nutzungszahlen maßgeblich von der Freischaltung der Funktion und der einfachen Verwendung durch den Bürger abhängen. Bislang haben etwa 60 Millionen Bundesbürger den nPA, was 80% des Gesamtbestands entspricht. Die genaue Anzahl der nPA mit freigeschalteter eID-Funktion ist nicht bekannt, sie wird auf ca. 25 Millionen geschätzt.

Für die Verwaltung bietet der Umstieg auf den digitalen Verwaltungsprozess großes Einsparpotenzial. Je höher der Automatisierungs- und Nutzungsgrad, umso geringer sind die Aufwände der Sachbearbeitung durch Mitarbeiter. Auch Bürgerinnen und Bürger profitieren von dem eGovernment-Angebot. Wartezeiten entfallen, der Behördengang ist jederzeit und von allerorts möglich und bietet somit einen Mehrwert für alle.

i-Kfz als Cyberrisiko

Die Online-Fahrzeugzulassung setzt Bürger, i-Kfz-Betreiber sowie das KBA allerdings auch zusätzlichen Cybersicherheitsrisiken aus, denn die Nutzung des Verfahrens setzt die Anbindung an das Zentrale Fahrzeugregister des KBA voraus. Das hierfür vorgesehene Portal, die notwendigen Schnittstellen sowie alle am Zulassungsverfahren direkt und indirekt beteiligten Fachverfahren (z.B. Wunschkennzeichen, fahrzeugindividuelle Datensätze etc.) müssen den hohen Sicherheitsanforderungen des ZFZR entsprechen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher in Kooperation mit den Ländern über 40 Sicherheitsanforderungen erarbeitet, um die Kompromittierung des Fachverfahrens zu verhindern. Die Kommunikation mit der KBA-Infrastruktur ist nur den zugelassenen Kommunikationspartnern gestattet, über deren Zulassung ausschließlich das KBA entscheidet. Wer die Mindestanforderungen (MSADP) an die IT-Sicherheit nicht erfüllt, riskiert die Sperrung oder Kündigung einer Zulassung durch das KBA.

Für wen gelten die Sicherheitsanforderungen?

Die Anforderungen gelten für den Betreiber des Portals sowie der oben genannten, beteiligten Systeme. Als Betreiber gilt, wer den Betrieb der oben genannten Systeme ganz oder in Teilen verantwortet bzw. hierfür die notwendige Infrastruktur zur Verfügung stellt. Dies kann also eine der 421 Zulassungsbehörden (oder ein Zusammenschluss) oder ein externer Dienstleister (z.B. AKDB, Dataport) sein.

Welche sicherheitstechnischen Mindestanforderungen (MSADP) werden an die Betreiber gestellt?

Implementierung eines Informationssicherheitsmanagementsystems (ISMS)

Jeder Betreiber muss ein ISMS nachweisen können, welches das Portal bzw. die Verfahren im Informationsverbund berücksichtigt. Ein Zertifikat muss nicht vorliegen, kann aber helfen (siehe „Durchführung von Penetrationstests“). Es empfiehlt sich eine Orientierung an den gängigen Standards ISO 27001 oder IT-Grundschutz, da viele der geforderten Maßnahmen bereits im ISMS umgesetzt werden. Auch die Überprüfung durch unabhängige Dritte erfolgt anhand der Vorgaben des BSI.

Der Aufbau eines ISMS kann mehrere Monate dauern und benötigt auch die Einbindung diverser interner Ressourcen.

Umsetzung technischer und organisatorischer Maßnahmen

Jeder Betreiber muss technische und organisatorische Sicherheitsmaßnahmen umsetzen – kurz MSADP. Dazu gehören die Implementierung des o. g. ISMS inklusive der Erstellung von Sicherheitskonzepten, der Etablierung eines Incident Management Systems (IT-Störungsmanagement) sowie der Durchführung von Schulungen zum Thema Datenschutz und Informationssicherheit. Darüber hinaus gibt es i-Kfz-spezifische Sicherheitsmaßnahmen, wie z.B. die Härtung der Schnittstellen.

Auch der Datenschutz beeinflusst zahlreiche Maßnahmen. § 15a Absatz 3 FZV erfordert, dass Protokolldaten gegen zweckfremde Verwendung sowie gegen sonstigen Missbrauch geschützt und nach sechs Monaten automatisiert gelöscht werden.

Audit

Ein IT-Sicherheitsaudit muss alle drei Jahre durchgeführt werden. Die Prüfung und Bestätigung der umgesetzten Maßnahmen müssen durch einen unabhängigen Dritten erfolgen. Dies erfolgt anhand einer Dokumentenprüfung sowie einer Vor-Ort-Begehung. Zur Sicherstellung der Kompetenz verlangt das KBA, dass der Auditor eine Zulassung gemäß IT-Grundschutz bzw. ISO 27001 vorweisen kann.  Die Ergebnisse in Form eines Prüfberichts müssen dem KBA unaufgefordert vorgelegt werden. Festgestellte Mängel sollten innerhalb von drei Monaten behoben und durch eine Nachprüfung nachgewiesen werden. Sollte diese Frist nicht eingehalten werden können, sind dem KBA Umsetzungspläne mit einer klaren Zeitachse vorzulegen.

Durchführung von Penetrationstests

Penetrationstests müssen alle zwei Jahre statt ursprünglich jährlich (BAnz AT 18. Mai 2016 B4) durchgeführt und deren Ergebnisse dem KBA vorgelegt werden. Diese gelten insbesondere für das „dezentrale Portal“ sowie die „Systeme der Fachverfahren“ und „indirekt am Zulassungsprozess beteiligten Verfahren“. Auch hier muss ein unabhängiger Dritter die Tests durchführen. Die Wahl eines BSI-zertifizierten Penetrationstesters wird empfohlen.

Eine zeitlich außerordentliche Durchführung von Penetrationstests kann ebenfalls erforderlich werden. Dazu zählen Sicherheitsvorfälle, der Einsatz neuer Hauptversionen der Anwendung, Änderungen an kritischen Schnittstellen sowie Änderungen an anderen involvierten und sicherheitskritischen Infrastrukturkomponenten.

Die Penetrationstests setzen sich aus den nachfolgenden Bestandteilen zusammen:

  • IS-Kurzrevision: Gemäß den BSI-Vorgaben wird anhand der Anforderungen der IT-Grundschutz Basisabsicherung eine (stichprobenartige) Kurzrevision durchgeführt.

 

  • IS-Webcheck: Es wird ein über das Internet erfolgender, nicht-invasiver Schwachstellentest durchgeführt. Der IS-Webcheck soll in erster Linie verifizieren, inwieweit ein unautorisierter Angreifer aus dem Internet die Fachverfahren manipulieren kann. Weiterhin soll eine Überprüfung auf Anfälligkeit gegen die OWASP Top 10 Vulnerabilities stattfinden.

 

  • IS-Penetrationstest: Technische Sicherheitsüberprüfung der für das Portal und die Verfahren genutzten IT-Systeme (z. B. Router, Firewall, Clients). Auch dieser Test erfolgt nicht-invasiv. Zielsetzung eines IS-Penetrationstest ist es, in einem klar definierten Rahmen sämtliche Schwachstellen pro Zielobjekt zu identifizieren. Ein IS-Penetrationstest im Rahmen der i-Kfz ermittelt somit die Empfindlichkeit des zu testenden Systems gegen Angriffe.

 

Je nach Betreiber kann die Durchführung von Penetrationstests mehrere Wochen dauern. Die Ergebnisse müssen allgemein verständlich und inklusive der daraus abgeleiteten Maßnahmen dokumentiert werden.

Ein ISMS schafft alle Voraussetzungen zur Absicherung des i-Kfz-Verfahrens

Interessant ist, dass die Implementierung eines ISMS in den Mindestanforderungen (MSADP) lediglich als eine der umzusetzenden Anforderungen genannt wird. Dabei schafft ein gut geplantes ISMS alle Voraussetzungen zur erfolgreichen Umsetzung der Mindestanforderungen für ein sicheres i-Kfz-Verfahren. Die technischen und organisatorischen Maßnahmen können, wenn nicht ohnehin im ISMS bereits berücksichtigt, als zusätzliche Maßnahmen aufgenommen werden. Die regelmäßige Überprüfung durch Penetrationstests und Audits ist ebenfalls Bestandteil des kontinuierlichen Verbesserungsprozesses eines ISMS.

infodas: ISMS für Betreiber des i-Kfz-Verfahrens

Wer ein langfristig effektives und vor allem effizientes Konzept für die Mindestanforderungen sucht, sollte bereits in der Planung das ISMS in den Fokus stellen und die Prozesse und Anforderungen gemäß der i-Kfz-Anforderungen anpassen.

Profil/Autor
Burkhard Gerlach
IT-Security Consultant | infodas