Zum Inhalt springen Zur Navigation springen
i-Kfz-Zulassung und die Informationssicherheit

i-Kfz-Zulassung und die Informationssicherheit

Artikel von Dr. Datenschutz·16. Februar 2024

Die internetbasierte Fahrzeugzulassung (i-Kfz) ist ein Projekt des Bundesministerium für Digitales und Verkehr (BMDV), mit der das Fahrzeugzulassungswesen in Deutschland digitalisiert werden soll. Digitalisierung beinhaltet nicht nur Chancen, sondern auch erhebliche Risiken, die u.a. durch ein angemessenes Informationssicherheitsmanagementsystem (ISMS) reduziert werden sollen.

Was ist i-Kfz?

In einem 4-stufigem Plan sollen alle Prozesse der Kfz-Zulassung so weit digitalisiert werden, dass die Bürger und auch juristische Personen jederzeit ein Kfz zulassen können. 2015 startete die erste Stufe, zum 01.09.2023 sollte die vierte Stufe deutschlandweit umgesetzt sein. Dadurch sollen folgende Vorteile erreicht werden:

  • Der „Behördengang“ ist 24/7 möglich.
  • Es entfallen die Wartezeiten bei und der Weg zu der Zulassungsstelle.
  • Senkung der Gebühren.
  • Durch den Wegfall des persönlichen Vorsprechens wird die Verwaltung entlastet.

Damit sollen folgende Zulassungsvorgänge online möglich sein

  • Anmeldung
  • Abmeldung
  • Wiederzulassung
  • Umschreibung mit oder ohne Halterwechsel
  • Tageszulassung
  • Auswahl von Elektro-, Saison- und Oldtimerkennzeichen (H)

Warum Informationssicherheit?

Die Übermittlung der zulassungsrelevanten Daten via Internet stellt erhebliche Anforderungen an die Fachanwendungen der Kommunen. So müssen Zugang zu den i-Kfz-Portalen und die nachfolgende Verarbeitung höchsten Sicherheitsanforderungen genügen. Nicht nur der Schutz der personenbezogenen Daten spielt hier eine Rolle, sondern auch die durchgehende Verfügbarkeit der Portale und die Unverfälschbarkeit der hinterlegten Daten.

Wie lauten die Anforderungen?

Das Kraftfahrtbundesamt (KBA) hat die Mindestsicherheitsanforderungen an die internetbasierte Fahrzeugzulassung (MSA-i-Kfz) festgelegt. Aus den Anforderungen werden sowohl allgemeine Sicherheitsanforderungen abgeleitet wie auch Anforderungen an die Sicherheit der Schnittstellen innerhalb der Architektur.

Die Umsetzung muss durch ein Audit und Penetrationstests (IS-Kurzrevision, IS-Webcheck und IS-Penetrationstests) nachgewiesen werden. Der Umfang unterscheidet sich je nachdem, welches der definierten Fallszenarien zutreffend ist.

Allgemeine Sicherheitsanforderungen MSA-i-Kfz

Die allgemeinen Sicherheitsanforderungen sind ein Blick wert und werfen die Frage auf, wie man sie am einfachsten umsetzen und vor allem auf dem gewünschten Reifegrad halten kann.

Das KBA hat für folgende Bereiche Anforderungen formuliert:

  1. Kommunikationswege zwischen i-Kfz-Portalen und dem KBA
  2. Härtung ausgewählter Komponenten
  3. Organisatorische Sicherheit
  4. Fachkunde und Zuverlässigkeit des Personals
  5. Räumliche Sicherheit
  6. System- und netztechnische Sicherheit muss sichergestellt werden.
  7. Incident Management
  8. Ein Informationssicherheitskonzept muss erstellt werden.
  9. Kommunikation zwischen den Komponenten
  10. Demilitarisierte Zonen
  11. Mandantentrennung
  12. Nutzung von externen Cloud-Diensten
  13. Zugangs- und Zugriffskonzept
  14. Nachweispflicht gegenüber KBA

Die Lösung steckt im Punkt 3. Dort wird ein Informationssicherheitsmanagementsystem (ISMS) gefordert. Dieses deckt aber nicht nur organisatorische Forderungen ab, sondern steuert alle anderen Forderungen im Sinne der Kommune aus.

Was umfasst ein ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) bietet eine strukturierte Herangehensweise an die Informationssicherheit. Es umfasst Richtlinien, Prozesse und Technologien, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Hierzu wird das gewünschte Schutzniveau ermittelt und durch eine Risikoanalyse Lücken in den bestehenden Anwendungen und IT-Systemen aufgedeckt. Maßnahmen schließen dann diese Angriffsvektoren. Regelmäßige Audits und Status-Berichte  an die Verantwortlichen machen den Zustand der ISMS-Prozesse und der Sicherheit der Informationen transparent und sichern ein gleichbleibendes Niveau ab.

ISO 27001 oder IT-Grundschutz?

Beide Systeme greifen zu den gleichen Prozessen, um die Informationssicherheit zu etablieren und zu steuern. Der IT-Grundschutz bietet gegenüber den Controls der ISO ein breiteres Spektrum an spezifischen Anforderungen (Bausteine) und ein klar beschriebenes Vorgehensmodell (BIS Standards 200-x). Ebenso bieten IT-Grundschutz-Profile, wie z.B. zum „i-Kfz“, einen leichteren Einstieg in die Umsetzung.

Nachweis der Umsetzung der Sicherheitsanforderungen

Die Anforderungen des KBA zum Nachweis der Umsetzung der Sicherheitsanforderungen sind eindeutig:

Die Erfüllung der in diesem Dokument definierten Mindestsicherheitsanforderungen muss im Rahmen eines Audits durch einen unabhängigen Dritten überprüft und bestätigt werden […]

Mindestens die Auditteamleitung muss eine entsprechende Zulassung/ Zertifizierung nach ISO-27001 auf der Basis von BSI-IT-Grundschutz besitzen. […]

Die Überprüfung (Audit) ist alle 3 Jahre zu wiederholen. Die Ergebnisse sind dem KBA unaufgefordert und fristgerecht vorzulegen.

Ergänzend müssen noch die Härtungsmaßnahmen durch einen IS-Webcheck (Ziel: Webanwendung) und einen IS-Penetrationstest (Ziel: Sicherheitsgateway und Schnittstellen) nachgewiesen werden.

Falls keine Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz vorliegt, muss zusätzlich eine IS-Kurzrevision durchgeführt werden.

Was sind die Lehren?

Am 30. Oktober vergangenen Jahres griffen Kriminelle den kommunalen Dienstleister Südwestfalen IT an. In der Folge waren unter anderem mehrere Kfz-Zulassungsstellen in Nordrhein-Westfalen über Monate lahm gelegt. Allein im Kreis Siegen schätzt man die finanziellen Auswirkungen der zweieinhalb-monatigen Zwangspause auf rund 382.000 Euro. Im Nachgang des Vorfalls entzog das KBA rund 40 Zulassungsstellen die i-Kfz-Zulassung, weil sie die hier dargestellten Sicherheitsanforderungen nicht erfüllten. Zudem musste man 230 Stellen Ausnahmegenehmigungen erteilen.

Man sieht also, die Anforderungen an den Schutz der Informationen nimmt auch im kommunalen Umfeld inkl. der kommunalen Rechenzentren rapide an Bedeutung zu. Nicht nur die Sicherheit vom i-Kfz, sondern auch die „Basis-Absicherung Kommunalverwaltung“ sind ein wichtiges Thema. Die immer enger werdende Zusammenarbeit inkl. Datenaustausch im Gesundheitswesen (Integrierte regionale Versorgung, Kooperation Leistungserbringer mit Gesundheitsämtern und Kinder-/Jugendhilfe) stellt weitere Anforderungen an den Umgang mit besonders schützenswerten Daten.

Alle diese Anforderungen lassen sich nur durch ein leistungsfähiges ISMS rechtzeitig erkennen und in zielführenden Maßnahmen umsetzen. Eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz vermittelt dann allen Beteiligten einen greifbaren Nachweis der Leistungsfähigkeit der etablierten Sicherheitsprozesse und -maßnahmen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.