Wie Unternehmen elektronische Geschäftsprozesse sicher abwickeln
Der Ausbau der Swissdec Informationsplattform stellt neue Sicherheitsanforderungen an die Identifizierung und die Authentifizierung der teilnehmenden Unternehmen. Die Swissdec Unternehmens-Authentifizierung (SUA) umfasst die Prozesse zur Registrierung, Konfiguration sowie Erneuerung und Revozierung, die es einem Unternehmen erlauben, ein Swissdec Unternehmens-Zertifikat zu erlangen und damit den Datenaustausch sicher und verbindlich zu gestalten.
Die vom Verein Swissdec betriebene zentrale Informationsplattform für die Standardisierung des elektronischen Datenaustausches ermöglicht bereits heute die vollständig elektronische Übermittlung von Lohndaten im Rahmen des «Lohnstandard-CH (ELM)». Darauf aufbauend und als Erweiterung des Prozesses von der Anmeldung eines Anspruchs bis hin zur Leistungserbringung wird aktuell der «Leistungsstandard-CH (KLE)» entwickelt. Swissdec-zertifizierte Lohnbuchhaltungen und ERP-Systeme können damit die Abläufe der Unternehmen erheblich vereinfachen, ermöglichen korrekte Deklarationen und verringern den administrativen Aufwand.
Durch die elektronische Abwicklung der Geschäftsprozesse von der Ereignismeldung (Bsp. Unfallmeldung an den Versicherer) bis hin zur Taggeldabrechnung stellen sich zusätzliche Anforderungen an die Ausgestaltung der Kommunikation, sowie die Identifizierung und Authentifizierung der teilnehmenden Unternehmen:
- Sicherer Kanal: Alle Kommunikationsverbindungen zwischen ERP-System, Swissdec-Distributor und Endempfänger (Versicherungen & Behörden) müssen durch einen gegenseitig authentisierten, sicheren Kanal auf Transportebene (2-way SSL) geschützt werden.
- Authentifizierung auf Nachrichtenebene: Alle beteiligten Endsysteme müssen auf Nachrichtenebene (durch Signieren der übermittelten Daten) eindeutig authentifizierbar sein.
- Vertraulichkeit auf Nachrichtenebene: Um die übermittelnden Informationen trotz sicherem Kanal zusätzlich gegen weitere Angriffsvektoren schützen zu können, müssen die übertragenen Dateninhalte für den jeweiligen Empfänger verschlüsselt werden.
- Nichtabstreitbarkeit: Über den gesamten Kommunikationsvorgang hinweg, soll der Versand und der Empfang von Daten von allen beteiligten Entitäten nicht in Abrede gestellt werden können. Die Nichtabstreitbarkeit ist eine Voraussetzung für die Verbindlichkeit.
- Verbindlichkeit: Alle zu einem Kommunikationsvorgang relevanten Daten und Informationen (inkl. Signatur & Zeitstempel) müssen protokolliert und archiviert werden.
- Registrierung: Die Identifizierung und Registrierung der Unternehmen zwecks Ausstellung von UID-Zertifikaten muss durch Swissdec erfolgen. Dabei basiert die Identitätsprüfung eines Unternehmens auf bereits bestehenden Beziehungen mit den antragstellenden Unternehmen. So können Registrierungsprozesse teilautomatisiert, unbürokratisch und dennoch sicher abgewickelt werden.
Das Lösungskonzept von SUA, das von der Forschungsgruppe IAM des Instituts ICTM in Zusammenarbeit mit itServe entwickelt wurde, sieht eine online Registrierung basierend auf einer existierenden Vertragsbeziehung eines Unternehmens mit einer Versicherung (V&B), vor (siehe Abbildung 1). Nach der Überprüfung der gesendeten Daten und einem Abgleich mit dem BFS-UID-Register wird ein Passwort generiert, welches an das Unternehmen per Brief gesendet wird. Mit diesem Passwort ist es dann in einem zweiten Schritt möglich, ein UID-Zertifikat für das Unternehmen von der Swissdec CA abzuholen.
Abbildung 1: SUA Registrierungs-Prozess
Bei den Swissdec UID-Zertifikaten handelt es sich um fortgeschrittene X509-Zertifikate, die für eine UID-Einheit (Unternehmen) ausgestellt werden. Diese UID-Zertifikate werden im Rahmen einer Maschine-to-Maschine(M2M)-Kommunikation vom ERP-System des Unternehmens verwendet. Damit kann sich das ERP-System im Namen des Unternehmens gegenüber dem Swissdec Distributor authentifizieren, zu versendende Nachrichten signieren und für das Unternehmen verschlüsselte Daten empfangen.
Swissdec ist zurzeit dabei die Swissdec CA aufzubauen und eine Musterlösung für SUA zu implementieren. Noch in diesem Jahr soll eine erste Pilot-Installation umgesetzt werden.
Referenzen
[1] https://www.swissdec.ch/de/
[2] https://www.bfh.ch/ti/de/forschung/forschungsbereiche/identity-access-management-iam/
Die bestehende Vertragsbeziehung zwischen Unternehmen und Versicherung ist der Vertrauensanker von SUA. Die Daten bei der Versicherung dienen zum Abgleich und Ergänzung der vom Unternehmen bei der Registrierung angegebenen (selbstdeklarierten) Informationen (Verifikation). So wird z.B. der Brief mit dem OTP an die Adresse des Unternehmens entspr. Vertrag geschickt.
Eine Entkopplung wäre nur möglich, wenn man eine andere Datenquelle hat, die für die Verifikation der Unternehmensdaten geeignet ist.