BSI: Technische Richtlinien für Steuer-ID
Die digitale Transformation der Verwaltung schreitet voran. In diesem Zuge soll auch eine Registermodernisierung und mit ihr die Verwendung der Steuer-ID erfolgen. Um eine sichere Übermittlung der Steuer-ID bei der Registermodernisierung zu ermöglichen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 22.01.2024 einen Entwurf für eine Technische Richtlinien veröffentlicht. Diese soll sicherstellen, dass die Datenübertragung in den digitalisierten Registern geschützt ist.
Hintergrund: Once-only-Prinzip und OZG
Zurzeit arbeitet das BSI an der Implementierung des im Januar 2021 beschlossenen Registermodernisierungsgesetzes. Entscheidend hierfür ist das “Once-only-Prinzip” der EU zur Verwaltungsreform. Danach sollen Unterlagen, die für Leistungen aus dem Onlinezugangsgesetz (OZG) erforderlich sind, nur einmal vorgezeigt werden. In Deutschland wurde dazu die Steuer-ID als übergreifendes Ordnungsmerkmal eingeführt, um Informationen in verschiedenen relevanten Datenbanken zu verknüpfen. So soll zukünftig mit Zustimmung der Bürger bei einer Stelle bereits vorhandene Informationen an eine andere übermittelt werden können, um Verwaltungsdienstleistungen zu vereinfachen.
Herausforderung: Sicherheitsrisiken bei Datenübermittlung
Dies führte jedoch zu Bedenken hinsichtlich des Datenschutzes und sogar der Verfassungsmäßigkeit. Auch das BSI betont, dass die Datenübermittlung in der Registermodernisierung potenzielle Sicherheitsrisiken birgt. Dadurch begründe man die Gefahr von Datenabfang oder Manipulation in Verbindung mit der allgemeinen Identifikationsnummer (IDNr).
Die Technische Richtlinie im Detail
Zur Umsetzung des „Once-only-Prinzips“, der Sicherung der Steuer-ID und der geschützten Datenübertragung insgesamt hat das BSI am 22.01.2024 einen Entwurf vom 04.12.2023 für eine Technische Richtlinie TR-03176 veröffentlicht. Die Technische Richtlinie des BSI definiert klare Anforderungen für die sichere Datenübermittlung im Sinne der Identitätsabrufung gemäß § 6 IDNrG. IT-Dienstleister sollen bestimmte betriebliche Maßnahmen implementieren, um Sicherheitsvorfälle zu vermeiden. Die Richtlinie adressiert Anbieter und Nutzer von Registern, hiermit zusammenhängende Vermittlungsservices und andere Dienstleister, sowie Entwickler und Betreiber des geplanten Nationalen Once-Only Technical Systems (NOOTS).
Um die Inhalte zu schützen, müssen die für die Datenübertragung verwendete Mechanismen mit dem Mindeststandard übereinstimmen. Die Richtlinie betont die Notwendigkeit von Ende-zu-Ende-Verschlüsselung, Verifikation, Nachrichtenvalidierung und kryptografischen Anforderungen. Zudem werden Punkte wie Protokollierung, Angriffserkennung und Datenlöschung behandelt.
Spezielle Anforderungen für die Steuer-ID
Da die Steuer-ID eine zentrale Rolle spielt, definiert das BSI zusätzliche Anforderungen für deren Umgang in der zusätzlichen TR-03176-1 “XBasisdaten”. Basisdaten sind nach der Definition der Richtlinie „Stammdaten über eine natürliche Person oder ein Unternehmen im Sinne des § 4 IDNrG oder § 3 UBRegG“, also auch die Steuer-ID. Hierfür sind besonders gesicherte Verbindungen zu nutzen, um die Authentizität, Integrität und Vertraulichkeit von Identifikationsnummern zu gewährleisten.
Ausblick und Kommentare
Das BSI lädt bis zum 12.02.2024 zur Kommentierung ein. Die Initiative des BSI, eine Technische Richtlinien für die Steuer-ID zu formulieren, ist die Antwort auf vielseitige Kritik bezüglich der Verwendung der Steuer-ID als allgemeine Identifikationsnummer. Sie setzt den Fokus auf einen effektiven Schutz vor möglichen Angriffen. Will der Staat langfristig das Vertrauen der Bürger für dieses Vorhaben gewinnen, handelt es sich hierbei um die Mindestanforderungen.
