Drucksache 17/5200
– 122 –
Deutscher Bundestag – 17. Wahlperiode
11.1.3.2 ELENA – Das Sicherheitskonzept für
den Datenbank-Hauptschlüssel
– Beantwortung von Auskunftsersuchen von Behörden
und Privatpersonen
Das Gesetz über das Verfahren des elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz) wurde am 28. März
2009 im Bundesgesetzblatt (BGBl. 2009 I S. 634) verkündet. Damit wurde mir die neue Aufgabe zugewiesen, den
Datenbank-Hauptschlüssel zu verwalten. Die Verwaltung
des Schlüssels soll das Verfahren ELENA sicherer machen
und ist ein wesentlicher Teil eines umfassenden komplexen
Sicherheitskonzepts.
– Aktive Mitwirkung beim Betrieb der ZSS zur Überwachung von sicherheitsrelevanten Aktivitäten
Nach § 99 Absatz 3 SGB IV wird der Datenbank-Hauptschlüssel durch meine Dienststelle verwaltet. Einzelheiten regelt das Gesetz nicht. Diese Aufgabe kann aufgrund
der Vorprojekte und der Konzeption des ELENA-Verfahrens (vgl. hierzu u. Nr. 11.1.3.1) wie folgt beschrieben
werden:
Die Funktion des Datenbank-Hauptschlüsselverwalters
wurde zur Stärkung des Datenschutzes geschaffen. Da die
Sitzungsschlüssel (Sessionskeys) für einzelne Datensätze
mit dem Hauptschlüssel (Masterkey) verschlüsselt sind,
erhält der Betreiber der ELENA-Datenbank – das ist die
bei der Datenstelle der Träger der Rentenversicherung eingerichtete Zentrale Speicherstelle (ZSS) – nicht gleichzeitig auch die Hoheit über den Inhalt der Datenbank. Die
Datenbankinhalte können nur durch Freigabe des Datenbank-Hauptschlüsselverwalters gelesen werden. Für die
Verschlüsselung des Sitzungsschlüssels der schützenswerten Daten in der ZSS ist der Einsatz eines Hardware Security Moduls (HSM) vorgesehen. Bei dem HSM handelt es
sich um eine speziell geschützte und zertifizierte Hardware für kryptographische Operationen, die höchsten Sicherheitsanforderungen genügt. Meine Aufgaben umfassen
neben der Administration des HSM auch die Überwachung
der Abrufe aus der Datenbank.
Im Einzelnen habe ich als Datenbank-Hauptschlüsselverwalter folgende Aufgaben:
– Erarbeitung und Fortschreibung eines Kryptokonzepts
(unter Beteiligung des BSI)
– Betrieb des HSM, in denen der Datenbank-Hauptschlüssel (Masterkey) der ZSS generiert, verwaltet
und gespeichert wird
– Verwahrung des Backups des (Ersatz-) DatenbankHauptschlüssels (Masterkeys) für den Fall eines Defektes im laufenden System
– Initiierung von planmäßigen (jährlichen) und außerplanmäßigen Schlüsselwechseln sowie deren Durchführung und Dokumentation
– Überwachung des Betriebs der ZSS und der Zugriffe
auf den Datenbank-Hauptschlüssel
BfDI 23. Tätigkeitsbericht 2009-2010
– „Tätige Zwei-Augen“ als Unterstützung des Vier-Augen-Prinzips bei der Anmeldung von Verantwortlichen
der abrufenden Stellen
– Überwachung der Rechtmäßigkeit der Abrufe aus der
Datenbank (in Verbindung mit den Landesbeauftragten für den Datenschutz)
Seit dem 1. Januar 2010 sind die Arbeitgeber nach dem
ELENA-Verfahrengesetz verpflichtet, die Entgeltdaten zu
melden. Daher standen zunächst die Installation und die
Aufnahme des Betriebs eines HSM im Vordergrund. Hierfür habe ich zusammen mit der ZSS ein HSM-Betriebskonzept erarbeitet. Dabei sind die Beschaffung und Inbetriebnahme in enger Abstimmung mit der ZSS erfolgt, da
die Systemkomponenten aufeinander abgestimmt werden
mussten. Mit Hilfe des in dem HSM gespeicherten Datenbank-Hauptschlüssels werden alle Sitzungsschlüssel (Sessionkeys), mit denen die Datensätze in der ZSS-Datenbank verschlüsselt werden, wiederum verschlüsselt. Dies
bedeutet:
Ohne meine Mitwirkung kann kein Datensatz der
ELENA-Datenbank entschlüsselt werden. Da das HSM
im Monat ca. 34 Millionen Datensätze jeweils mit einem
anderen Sessionkey zu verschlüsseln hat, sind sehr hohe
Performanz- und Sicherheitsanforderungen zu stellen.
Im Laufe des Jahres 2009 wurde das HSM beschafft und
in Betrieb genommen. Rechtzeitig vor der Meldung der
ersten Entgeltdaten wurde im Dezember 2009 durch zwei
Mitarbeiter meiner Dienststelle der Datenbank-Hauptschlüssel „2010“ generiert.
Das HSM ist physikalisch im Rechenzentrum der Zentralen Speicherstelle (vgl. Kasten zu Nr. 11.1.3.2) untergebracht. Zugriff auf diese Systeme ist nur von autorisierten
Mitarbeitern des BfDI vor Ort möglich. Eine externe
Schnittstelle (Online-Verbindung) wurde aus Sicherheitsgründen nicht eingerichtet.
Für das HSM wurde ein Grobkonzept, ein Sicherheitskonzept und ein Betriebskonzept erarbeitet und dem BSI
zur Prüfung vorgelegt. Diese werden den jeweiligen Anforderungen entsprechend fortgeschrieben.
Wenn die abrufenden Stellen ihren Betrieb aufnehmen
und in das ELENA-System eingebunden werden, muss
die Entschlüsselung der Daten in dem HSM ebenfalls berücksichtigt werden. Ich bin daher auch nach dem Aufbau
der Infrastruktur weiterhin in das Verfahren intensiv eingebunden.