Wie Unternehmen elektronische Geschäftsprozesse sicher abwickeln

Der Ausbau der Swissdec Informationsplattform stellt neue Sicherheitsanforderungen an die Identifizierung und die Authentifizierung der teilnehmenden Unternehmen. Die Swissdec Unternehmens-Authentifizierung (SUA) umfasst die Prozesse zur Registrierung, Konfiguration sowie Erneuerung und Revozierung, die es einem Unternehmen erlauben, ein Swissdec Unternehmens-Zertifikat zu erlangen und damit den Datenaustausch sicher und verbindlich zu gestalten.

Die vom Verein Swissdec  betriebene zentrale Informationsplattform für die Standardisierung des elektronischen Datenaustausches ermöglicht bereits heute die vollständig elektronische Übermittlung von Lohndaten im Rahmen des “Lohnstandard-CH (ELM)”. Darauf aufbauend und als Erweiterung des Prozesses von der Anmeldung eines Anspruchs bis hin zur Leistungserbringung wird aktuell der “Leistungsstandard-CH (KLE)” entwickelt. Swissdec-zertifizierte Lohnbuchhaltungen und ERP-Systeme können damit die Abläufe der Unternehmen erheblich vereinfachen, ermöglichen korrekte Deklarationen und verringern den administrativen Aufwand.

Durch die elektronische Abwicklung der Geschäftsprozesse von der Ereignismeldung (Bsp. Unfallmeldung an den Versicherer) bis hin zur Taggeldabrechnung stellen sich zusätzliche Anforderungen an die Ausgestaltung der Kommunikation, sowie die Identifizierung und Authentifizierung der teilnehmenden Unternehmen:

  • Sicherer Kanal: Alle Kommunikationsverbindungen zwischen ERP-System, Swissdec-Distributor und Endempfänger (Versicherungen & Behörden) müssen durch einen gegenseitig authentisierten, sicheren Kanal auf Transportebene (2-way SSL) geschützt werden.
  • Authentifizierung auf Nachrichtenebene: Alle beteiligten Endsysteme müssen auf Nachrichtenebene (durch Signieren der übermittelten Daten) eindeutig authentifizierbar sein.
  • Vertraulichkeit auf Nachrichtenebene: Um die übermittelnden Informationen trotz sicherem Kanal zusätzlich gegen weitere Angriffsvektoren schützen zu können, müssen die übertragenen Dateninhalte für den jeweiligen Empfänger verschlüsselt werden.
  • Nichtabstreitbarkeit: Über den gesamten Kommunikationsvorgang hinweg, soll der Versand und der Empfang von Daten von allen beteiligten Entitäten nicht in Abrede gestellt werden können. Die Nichtabstreitbarkeit ist eine Voraussetzung für die Verbindlichkeit.
  • Verbindlichkeit: Alle zu einem Kommunikationsvorgang relevanten Daten und Informationen (inkl. Signatur & Zeitstempel) müssen protokolliert und archiviert werden.
  • Registrierung: Die Identifizierung und Registrierung der Unternehmen zwecks Ausstellung von UID-Zertifikaten muss durch Swissdec erfolgen. Dabei basiert die Identitätsprüfung eines Unternehmens auf bereits bestehenden Beziehungen mit den antragstellenden Unternehmen. So können Registrierungsprozesse teilautomatisiert, unbürokratisch und dennoch sicher abgewickelt werden.

Das Lösungskonzept von SUA, das von der Forschungsgruppe IAM  des Instituts ICTM  in Zusammenarbeit mit itServe  entwickelt wurde, sieht eine online Registrierung basierend auf einer existierenden Vertragsbeziehung eines Unternehmens mit einer Versicherung (V&B), vor (siehe Abbildung 1).  Nach der Überprüfung der gesendeten Daten und einem Abgleich mit dem BFS-UID-Register  wird ein Passwort generiert, welches an das Unternehmen per Brief gesendet wird. Mit diesem Passwort ist es dann in einem zweiten Schritt möglich, ein UID-Zertifikat für das Unternehmen von der Swissdec CA abzuholen.

Abbildung 1: SUA Registrierungs-Prozess

Bei den Swissdec UID-Zertifikaten handelt es sich um fortgeschrittene X509-Zertifikate, die für eine UID-Einheit (Unternehmen) ausgestellt werden. Diese UID-Zertifikate werden im Rahmen einer Maschine-to-Maschine(M2M)-Kommunikation vom ERP-System des Unternehmens verwendet. Damit kann sich das ERP-System im Namen des Unternehmens gegenüber dem Swissdec Distributor authentifizieren, zu versendende Nachrichten signieren und für das Unternehmen verschlüsselte Daten empfangen.

Swissdec ist zurzeit dabei die Swissdec CA aufzubauen und eine Musterlösung für SUA zu implementieren. Noch in diesem Jahr soll eine erste Pilot-Installation umgesetzt werden.


Referenzen

[1] https://www.swissdec.ch/de/

[2] https://www.bfh.ch/ti/de/forschung/forschungsbereiche/identity-access-management-iam/

[3]  ictm.bfh.ch

[4] https://www.itserve.ch

[5] https://www.uid.admin.ch/Search.aspx 

AUTOR/AUTORIN: Annett Laube

Annett Laube leitet das Institute for Data Applications and Security (IDAS) an der BFH Technik & Informatik und ist verantwortlich für den Schwerpunkt Identität und Privatsphäre am BFH-Zentrum Digital Society.

AUTOR/AUTORIN: Gerhard Hassenstein

Gerhard Hassenstein ist Dozent an der BFH Technik und Informatik.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.