Inhalt:
01.09.2005 - Kopfstellenlösung zur Kommunikation mit dem KBA
Die Kopfstellenlösung bringt enorme Vorteile mit sich. Die einzelnen Arbeitsplätze von Sachbearbeitern in Führerschein- oder Zulassungsstellen müssen nicht länger mit Kartenleser und Karte ausgestattet werden. Alle Sachbearbeiter können jederzeit über die Kopfstelle Daten mit dem Kraftfahrt-Bundesamt (KBA) in Flensburg austauschen. Die Verbindung wird über ein zentrales Gateway – das PrivateWire Gateway – aufgebaut und durch Verschlüsselungstechniken gesichert. Das PrivateWire Gateway ist eine Infrastrukturkomponente, die sich ähnlich wie eine Firewall, in das Netzwerk der Behörde integriert.
Was gibt es bei der Kopfstellenlösung zu beachten?
Beim Betreiben einer Kopfstellenlösung ist es unverzichtbar, die Richtlinien und die Technischen Informationen zur Anbindung an das KBA zu beachten. Hier sind grundlegende Anforderungen festgelegt, die die Sicherheit einer Kopfstellenlösung garantieren und unbefugten Dritten keinen Zugang zu schützenswerten Daten gewähren.
Das PrivateWire Gateway wird als zentrale Stelle auf einem separaten Rechner mit Windows Serverbetriebssystem und zwei Netzwerkkarten betrieben. Weitere Applikation sollen nicht installiert sein. Erforderlich ist ein am Server angeschlossener Kartenleser.
Wie kann die interne Verschlüsselung umgesetzt werden?
Werden die zu übertragenden Daten von den Fachanwendungen auf dem jeweiligen Arbeitsplatz vorgehalten, kann die interne Verschlüsselung mittels einer preisgünstigen Software Version des PrivateWire Clients ohne Kartenleser und Karte erfolgen. Die Sachbearbeiter melden sich über den PrivateWire Client an der Kopfstelle an; die Verbindung wird mit entsprechender Verschlüsselung geschützt. An der bisherigen Handhabung ändert sich nichts – es müssen weder Kartenleser noch Karten verteilt werden.
Es gibt verschiedene Möglichkeiten, die Verschlüsselungsanforderung zwischen dem Arbeitsplatz des Sachbearbeiters und der Kopfstellenlösung umzusetzen.
Die hier beschriebene Lösung wird in vollem Umfang von apsec unterstützt. Updates bei Betriebssystemwechsel oder bei eventuell auftretenden Problemen wird apsec ebenso zur Verfügung stellen wie die technische Unterstützung bei Inbetriebnahme und laufendem Betrieb dieser Lösung.
Für die im nachfolgenden beschriebene Lösung ist dies nicht der Fall.
Keine Supportunterstützung, wenn der PrivateWire Client als Server genutzt wird.
Für die Kopfstellenlösung ist das PrivateWire Gateway die Lösung, die vom Hersteller empfohlen, getestet und auch supported wird.
Der PrivateWire Client wurde als Client Lösung entwickelt und nicht als Server-Lösung. Vom Hersteller wurde diese Möglichkeit weder vorgesehen noch getestet. Der Anwender, der diese Konfiguration wählt, kann keinen Support erwarten. Dies wurde allen Beteiligten in diesem Verfahren, einschließlich KBA, vor langer Zeit mitgeteilt. Da es mit diesem Ansatz keine Langzeiterfahrungen gibt, sind künftige Probleme (z.B. Performance oder Probleme bei Betriebssystemupgrades etc.) absehbar.
Wir gehen davon aus, dass ein Zugriff durch mehrere Anwender zu Systemausfällen und weiteren Problemen führt. Der Einsatz des Clients als Kopfstelle entspricht nicht dem vorgesehenen Verwendungszweck. Der PrivateWire Client ist, wie der Name schon sagt, eine Client-Lösung, die nicht für den Einsatz als zentrales Gateway entwickelt wurde. Da der Client nicht für einen automatisierten Betrieb konzipiert wurde, ist es notwendig, bei jedem Verbindungsaufbau am Server das Passwort neu einzugeben. Firewallfunktionen sind nicht ausreichend eingebunden und eine Protokollierung kann nicht im notwendigen Maße sichergestellt werden.
Wir verweisen an dieser Stelle auch auf die Verpflichtungserklärung und das Dokument zur technischen Anbindung des KBA und dessen Aussagen hierzu.
Für einen Gatewayeinsatz bietet der Hersteller eine eigene Lösung an: das, als performante Lösung für Server konzipierte, PrivateWire Gateway – getestet und freigegeben.
Abbildung: Einsatz PrivateWire Gateway mit interner Verschlüsselung
Haben Sie Fragen an uns?
Wir sind gerne für Sie da:Kontakt