PKI Newsletter 1

Im Rahmen des Projektprogramms Bayern PKI 2.0, das aus mehreren aufeinanderfolgenden Projekten besteht, erfolgt die Ablösung der bestehenden Public Key Infrastructure (PKI). Das gesamte Projektprogramm erstreckt sich über die folgenden Jahre. 
In diesem Schreiben erhalten Sie einen anfänglichen Überblick über die neue Bayern PKI 2.0 sowie die derzeitige Planung des Einführungsprojektes.  

Auf folgende Fragen gehen wir näher ein:

  • Was ist die Bayern-PKI 2.0 und was zeichnet das neue Produkt aus?
  • Für wen ist die Bayern-PKI 2.0?
  • Wer steht hinter der Bayern-PKI 2.0?
  • Wie wird die Bayern-PKI eingeführt?
  • Welche Vorteile bringt die Umstellung auf die neue Bayern-PKI 2.0?
  • Wie erhalten Sie weitere Informationen?

Weitere Newsletter werden in den Folgemonaten über verschiedene Themen im Detail informieren, so etwa über die Komponenten der PKI oder weitere Projektschritte. 
Ergänzend hierzu erhalten Sie die Möglichkeit, sich im Rahmen von Veranstaltungen einen Einblick in die neue Bayern-PKI 2.0 zu verschaffen. Termine hierfür werden per Newsletter oder Veröffentlichung auf den weiter unten benannten Websites veröffentlicht.

Was ist die Bayern-PKI 2.0 und was zeichnet das neue Produkt aus?

Die Bayern-PKI 2.0 ist eine zentrale Infrastrukturkomponente, die ressortübergreifend durch das IT-DLZ zur Verfügung gestellt wird.  
Die PKI 2.0 ist modernisiert und an neueste technische Anforderungen angepasst. Sie stellt sicher, dass digitale Prozesse im Freistaat Bayern mittels private-trusted Zertifikaten sicher betrieben werden können und gewährleistet damit auf aktuellstem technischen Niveau die Vertraulichkeit, Integrität und Verbindlichkeit von Daten bzw. Nachrichten.

Die Bayern-PKI 2.0 besteht aus den folgenden Komponenten:

IDM (Identitätsmanagement)

Die zentrale Bereitstellung der Identitäten als Akteure innerhalb der Anwendung (oder Organisation) stellt die korrekte Identifizierung von Teilnehmern (Usern und Funktionsstellen) sicher. Sie ist die Datenbasis für die MPKI und IPKI.

MPKI (Managed PKI)

Die - vom Dienstleister Eviden betriebene - Managed Public Key Infrastructure stellt Personenzertifikate und Funktionsstellenzertifikate aus.

IPKI (Infrastruktur-PKI)

Die vom IT-DLZ on-premise betriebene Infrastruktur-PKI stellt Zertifikate für Infrastrukturkomponenten wie Server und Clients im Bayerischen Behördennetz aus.

 

Wesentliche Neuerungen 

  • Zentraler Betrieb einer IDM-Plattform für die PKI im IT-DLZ
  • On-premise Betrieb der IPKI im IT-DLZ
  • Betrieb der MPKI durch unseren Partner Eviden
  • Zentrales Druckzentrum im LDBV für Smartcards für IT-DLZ-Kunden
  • Ausschließliche Unterstützung von Bayern-PKI-spezifischen SmartCards  
  • Bereitstellung/Unterstützung verschiedener Automatisierungsmechanismen, z.B. Autoenrollment-Protokolle

Für wen ist die Bayern-PKI 2.0?

Kommunale und staatliche Behörden können die Bayern-PKI 2.0 nutzen. Die Zertifikate werden für natürliche Personen, juristische Personen, Personengruppen, Funktionen und Assets/Geräte ausgestellt.

Wer steht hinter der Bayern-PKI 2.0?

Die Umstellung auf die neue Basiskomponente PKI erfolgt im Rahmen eines Programms, das aus mehreren aufeinanderfolgenden Projekten besteht. Diese werden in enger Zusammenarbeit zwischen dem StMFH, IT-DLZ, LDBV und LSI sowie dem externen Dienstleister Eviden durchgeführt. Die Programmleitung für die Bayern-PKI 2.0 liegt beim IT-DLZ.

Das StMFH ist Federführer für die Bayern-PKI. 

Für den technischen Betrieb verantwortlich ist das IT-DLZ, das einen Teil des PKI-Betriebs an den Dienstleister Eviden und das Druckzentrum an das LDBV ausgelagert hat.

Das LSI berät in allen sicherheitsrelevanten Fragestellungen zur Bayern-PKI. Darunter fallen beispielsweise die Pflege der Certificate Policy der Bayern PKI 2.0 und die Entscheidung über zugelassene Algorithmen.

 

Wie wird die Bayern-PKI eingeführt?

Die Einführung wird in mehreren Phasen vorgenommen. Die bestehende PKI wird parallel betrieben, bis die neue Bayern-PKI 2.0 final für alle Benutzer eingeführt ist.

  • Alle ab März 2024 ausgegebenen "alten" PKI- Zertifikate sind bis März 2027 gültig. Deren Gültigkeitsdauern werden ab Stichtag 12.03.2024 entsprechend verkürzt.
  • Die Planung sieht vor, alle Zertifikate der "alten" Bayern-PKI mit dem Ende der Migration zu revozieren.

Konzeption

2024 werden im Projekt Bayern-PKI 2.0 in der Konzeptionsphase mit dem Dienstleister die Architektur, Sicherheitsstruktur sowie betriebliche Konzepte und Prozesse erarbeitet. 

Implementierung

Danach schließt sich die technische Implementierung des neuen Systems an und wird mit einer Testphase für einen kleinen Kreis von Pilotkunden abgeschlossen. 

Migration

In den folgenden Monaten wird die flächendeckende Migration aller Behörden folgen. An ihrem Ende steht die vollständige Ablösung der Zertifikate der bisherigen Bayern-PKI.

Welche Vorteile bringt die Umstellung auf die neue Bayern-PKI 2.0?

Mit der PKI 2.0 wird ein neues, effizientes Betriebsmodell eingeführt: 

  • Bündelung vorhandener Datenbestände zu einem zentralen Identitätsmanagement für die Bayern-PKI 2.0 im IT-DLZ
  • Etablierung eines zentralen Druckzentrums (Smartcards) für IT-DLZ-Kunden im LDBV. Kommunale Kunden werden weiterhin vom Dienstleister IDpendant versorgt.
  • On-premises Betrieb der Infrastruktur-PKI im IT-DLZ
  • Outsourcing Betrieb der Managed PKI durch Dienstleister Eviden

Ihre Vorteile mit der neuen Bayern-PKI 2.0:

  • Verbesserungen des Datenbestands 
    • Hohe Datenqualität und -aktualität
    • Konsistenz der Zertifikatsinhalte durch zentralen Datenbestand für alle PKI-Systeme
    • Verhindern "verwaister“ Zertifikate
  • Steigerung der Effizienz 
    • einheitliche Benutzeroberfläche
    • automatisierte Aktualisierung der Daten
    • Entlastung und Arbeitserleichterung der Registrierungsstellen
  • Aufwandsreduzierung aufgrund der angebotenen Autoenrollment Protokolle:
    • MS WCCE (Microsoft Autoenrollment)
    • SCEP
    • SCEP-NDES
    • EST
    • ACME
  • Hohes Sicherheitslevel
    • Erfüllung der einschlägigen technischen Richtlinien (TRs) des BSI (insbesondere der BSI TR-03145) und der 
    • Certification Policy-Vorgaben (CP) des LSI
    • Zentrale Pflege der Benutzerdaten durch Anbindung dezentraler Datenbestände (z.B. VIVA)

Wie erhalten Sie weitere Informationen?

Detaillierte Informationen zu den genannten Themenbereichen IDM, MPKI, IPKI etc. werden wir Ihnen ab dem 2. Quartal in loser Folge zukommen lassen.
Zudem werden grundlegende Informationen an den folgenden Stellen veröffentlicht:

Allgemeine Informationen im Web:

Auf dieser Website wurde eine eigene Rubrik zur Bayern-PKI 2.0 eingerichtet. Diese enthält neben aktuellen Informationen zum Projekt auch 

  • FAQ zur Bayern-PKI 2.0
  • Ansprechpartner zu den verschiedenen Themen
  • Informationen innerhalb des Behördennetzes:

Im Onlineportal des IT-DLZ finden Sie 

  • die Bayern-PKI im Produktportfolio
  • das Angebot an Vorträgen/Kundenworkshops des IT-DLZ
  • ein Newsletterarchiv zur Bayern-PKI 2.0

Haben Sie Fragen?

So erreichen Sie uns:

IT-DLZ PKI  

Mail:  bayern-pki-2.0@ldbv.bayern.de

LSI 

Das LSI unterstützt Sie bei sicherheitstechnischen Fragen im Bereich PKI, unter anderem bei:

  • Auswahl der Zertifikats-Algorithmen
  • Auswahl von Autoenrollment-Mechanismen
  • Erfüllung von spezifischen Sicherheitsanforderungen durch die PKI

Mail: beratung-staatsverwaltung@lsi.bayern.de oder beratung-kommunen@lsi.bayern.de

 

Mit freundlichen Grüßen
Ihr PKI-Team

Landesamt für Digitalisierung, Breitband und Vermessung
IT-Dienstleistungszentrum des Freistaats Bayern
St.-Martin-Str. 47
81541 München
Internet: https://www.ldbv.bayern.de/digitalisierung/itdlz.html
E-Mail: bayern-pki-2.0@ldbv.bayern.de