Fragen und Antworten zum Wirtschaftsportalverbund

Was heißt Portalverbund?

Der seit 2001 in Betrieb befindliche Portalverbund der Verwaltung (Bund, Länder, Gemeinden, SV) ist eine rechtliche Vereinbarung, mit der das Identitätsmanagement (Identifizierung, Authentifizierung und Berechtigung) von den Anwendungsverantwortlichen an Dritte delegiert wird. Teil der einheitlichen Vereinbarung sind technische Schnittstellen. Der Portalverbund hat alle Merkmale der Konzepte „Federated Identity Management“, „Circle of Trust“ und „Trust Federation“. Die Anwendungsfälle sind primär G2G (Government to Government), z.T. aber auch B2G.

 

Was ist der WPV überhaupt?

Der nächste logische Schritt nach der erfolgreichen Etablierung des Behörde-PV ist die Einführung eines erweiterten Portalverbundes, eines Verbundes der Verbünde, der auch andere Bereiche wie Wirtschaft, Gesundheit und Wissenschaft umfasst. Das entspricht in etwa dem Identity-Ecosystem der US-Regierung oder bei Microsoft dem Identity-Metasystem.

Einer dieser Verbünde - potentiell der größte - ist demnach der Wirtschaftsportalverbund (W-PV).

Der W-PV ist demnach die Gesamtheit der Geschäftsprozesse, Infrastruktur und beteiligten Organisationen und Personen, mit der im Bereich der B2B- und B2C-Kommunikation identitätsbasierte Zugriffe auf Systeme und Ressourcen im Einklang mit dem vereinbarten Regelwerk erfolgt.

Um das Konzept besser verständlich zu machen, sind wohl noch mehrere Versuche einer Definition notwendig. Hier ein weiterer Vorschlag:

Der W-PV ist ein Verbund von Service- und Identitäts-Providern, die sich gegenseitig vertrauen auf der Basis eines einheitlichen Regelwerks für die Informationssicherheit zwischen Unternehmen und mit Konsumenten. Die Kommunikation mit anderen Bereichen kann zwischen den Föderationen abgeschlossen werden.

 

Wer braucht den W-PV?

Aus geschäftlicher Sicht liegt das Problem darin, dass Vertrauen in die zuverlässige elektronische Kommunikation immer bilateral oder in kleinen Bereichen aufgebaut werden muss. Das ist so, als würde man im bargeldlosen Zahlungsverkehr noch immer ein Konto bei der Bank des Zahlungsempfängers haben müssen, weil es kein Clearing zwischen den Banken bzw. Kreditkartenorganisationen gäbe.

Auf der technisch-organisatorischen Ebene liegt das Problem darin, dass Identitäts- und Sicherheitsmanagement nicht Teil der Infrastruktur ist, sondern pro Anwendung realisiert wird.

Aus der Sicht der Benutzer sind die vielfältigen Authentifizierungssysteme nicht überschaubar, was zu erheblichen Sicherheitsdefiziten führt.

Somit brauchen über kurz oder lang alle einen W-PV, die über die derzeitigen Beschränkungen hinauswachsen wollen, wie

  • Partnervernetzung mit -zig oder hunderten Anwendungen betreiben

  • Anwendungen in der Wolke ankaufen (SaaS/Software as a Service)

  • Kunden eine hohe Sicherheit bieten wollen, den Aufwand (des Kunden und der Anwendungsanbieter) dafür aber auf viele Anwendungen aufteilen wollen

  • Bessere Strukturen und Prozesse für die Informationssicherheit umsetzen wollen (GRC)

 

Ist die Bürgerkarte nicht ausreichend?

Die Bürgerkarte hat das Ziel, Bürgern eine nationale elektronische Identität mit starker Authentifizierung zur Verfügung zu stellen. Aus dieser Zielsetzung heraus ergeben sich jedoch einige Einschränkungen, die eine universelle Anwendbarkeit für alle Anforderungen des Identitätsmanagements verhindern. So wird etwa die Maschine zu Maschine Kommunikation nicht unterstützt, es gibt keine abgestufte Sicherheit, die Auswahl an Authentifizierungsverfahren ist stark eingeschränkt und die Integration in unternehmensinterne Identitätsmanagementsysteme ist nur bedingt möglich. Auch in der Verwaltung konnte sich die Bürgerkarte bis jetzt nicht durchsetzen, jedenfalls nicht als Signaturkarte mit Personenbindung. Somit ist die Bürgerkarte zwar als solides Authentifizierungsverfahren nützlich, benötigt aber eine Infrastruktur etwa in Form von SAML-Providern um einen Portalverbund zu etablieren.