Smartphone mit darüberliegenden Fingerprint

Clever & Smart - Apps für die öffentliche Verwaltung

01. Dezember 2017

Smartphones und mobile Devices werden immer beliebter – bei Privatpersonen ebenso wie im Bereich der Verwaltung. Doch wie sicher ist es eigentlich, diverse Aktionen über mobile Endgeräte abzuwickeln?

94 % der Österreicher:innen besit­zen ein Smartphone, 93 % nutzen Internet am Handy, mobiles Internet ist weltweit auf dem Vormarsch. Im Durchschnitt haben die Österreicher:innen 30,4 Apps auf ihrem Smart­phone – allerdings achten nur 55 % bei der Installation von Apps auf Sicherheit. Dies sind beachtliche Zahlen, die belegen, dass Smart­phones oder andere mobile Devices jene Geräte sind, auf denen die digitale Transformation letztendlich stattfindet. Die Zahlen für die Pri­vatnutzung sind eindrucksvoll, doch wie sieht es im Bereich der Verwaltung aus?

Um es gleich vorwegzunehmen: Der Einsatz von Apps in der Verwaltung hält sich noch in Gren­zen. Man kann unterscheiden in Apps, die für die Bürger:innen angeboten werden, und solchen, die von den Mitarbeiter:innen der Verwaltung genutzt werden. Zahlreiche Ministerien bieten Apps für die Bevölkerung an, die meist Infor­mationen bündeln und diese leicht zugänglich machen. Das Bundesministerium für Finanzen geht einen Schritt weiter beim Servicegedanken und hat z. B. eine Belegcheck-App für Unter­nehmer:innen im Angebot. Damit kann man feststellen, ob die Inbetriebnahme der Sicher­heitseinrichtung der Registrierkasse ordnungsge­mäß durchgeführt wurde. Der maschinenlesbare Code (QR-Code) auf dem Startbeleg wird mit der Belegcheck-App gescannt und damit die Gül­tigkeit der Belege der Registrierkasse überprüft. Diese App wurde knapp 50.000 Mal herunterge­laden, 300.000 Belege haben Unternehmer:innen damit bisher geprüft. Das Ergebnis der Prüfung wird unmittelbar am Display des Smartphones angezeigt. Praktisch und schnell. Die App gibt es entsprechend adaptiert auch für interne Zwe­cke, und zwar für alle Betriebsprüfer:innen des Finanzministeriums. Rund 3.250 Mitarbeiter:innen profitieren bei ihrer täglichen Arbeit davon.

Man will es komfortabel

Mobile Apps könnten in vielerlei Hinsicht Vor­teile bringen, brauchen aber oft einen direkten Zugang zu sensiblen Daten, entsprechend hoch sind die Sicherheitsanforderungen. Man denke an Anwendungen im Bereich Personalmanage­ment – Außendienste gleich am Smartphone eintragen. Unterstützung der Ermittlungstätig­keit ist ein weiteres Thema, die Beweissamm­lung erfolgt direkt am Handy. Der Vorstellung sind keine Grenzen gesetzt. Der tatsächlichen Anwendbarkeit allerdings schon. Diese Grenzen liegen nicht zuletzt im Bereich der Sicherheit. Gleichzeitig erwartet der User einen einfachen und komfortablen Zugang. Zu Recht – denn wenn die Anmeldung am Handy länger dauert als das Hochfahren des PCs, geht ein entschei­dender Vorteil verloren: einfache und rasche Nutzbarkeit.

Wie sicher kann ein Handy sein?

Die Technik im mobilen Bereich schreitet so rasch voran, dass es schwierig ist, Innovation und Sicherheit zu vereinen. Gerade aber in der öffentlichen Verwaltung sind hohe Sicherheits­anforderungen unabdingbar. Das BRZ arbeitet an Methoden, die Nutzung von Apps für die Verwaltung einfacher und sicherer zu machen. Grundsätzlich zu unterscheiden ist, ob die Apps auf Managed Devices oder Unmanaged Devices laufen. Managed Devices sind (Mobil-)Geräte, die über ein Mobile Device Management zentral administriert werden.

Unmanaged Devices sind sozusagen die Privathandys. Für alle mobilen Endgeräte wurde im Rahmen des österreichischen E-Government verbindliche Sicherheitsklassen definiert, die für jede IT-Anwendung festlegen, welche Sicher­heitsauflagen ein User der Anwendung erfüllen muss. Das Zauberwort in diesem Zusammen­hang heißt Zwei-Faktor-Authentifizierung, d. h., der User muss über das mobile Endgerät verfü­gen und er muss es entsperren können. Dabei ist es nicht wesentlich, ob Fingerprint, PIN oder Iris-Scan zum Einsatz kommt – entscheidend ist, dass ein sicheres Grundprinzip entwickelt wird, das auch bei technischen Weiterentwicklungen zum Einsatz kommen kann.

Sicherheit bei Managed Devices

Sicherheitsstandards wie z. B. die Verwendung eines Geräte-PINs können erzwungen werden, zusätzlich können für die User Konfigurationen vorgenommen werden. Für die sichere Verwendung von Apps kann das Mobile Device Management die initiale Authentisierung für die Benutzerin bzw. den Benutzer übernehmen – sie/ er kann somit nach transparentem Durchlaufen des Prozesses die App einfach verwenden, für sie/ ihn ergibt sich ein Single-Sign-on. Bei besonders sensiblen Apps kann die Verwendung zusätzlich über eine Gerätefunktion abgesichert werden. Das BRZ bietet hier mit dem Mobile Device Management eine fertige Lösung on Premises an.

Sicherheit bei Unmanaged Devices

Bei personenbezogenen oder sensiblen Daten ist bei einem Zugriff von einem beliebigen Gerät über das Internet eine starke 2-Faktor-Authenti­sierung vorgeschrieben. Das BRZ Mobile Device Security-Konzept bietet hier eine komfortable Lösung. Die erstmalige Authentisierung kann z. B. an einem bestehenden Portal erfolgen. Für Unternehmen steht hier das Unternehmensser­viceportal zur Verfügung, für Bürger:innen die Plattform HELP.gv.at und für Mitarbeiter:innen ihr jeweiliges Stammportal. Die Eingabe der User-Daten kann in die App z. B. durch Abfo­tografieren eines QR-Codes oder Eingabe eines Aktivierungscodes erfolgen.

Mobile Device Security bietet hier eine komfor­table 2-Faktor-Authentisierung, die sonst nur mit erheblichem Aufwand erreichbar wäre.