Wozu dient eine Verschlüsselung von Ende-zu-Ende beim Datenaustausch mit BiPRO? Genügt die obligatorische Transportverschlüsselung durch HTTPS nicht?

Nachrichten werden bei vielen BiPRO-Anbindungen nicht nur zwischen Provider und Consumer ausgetauscht, sondern gehen auch über einen oder sogar mehrere weitere Punkte zum empfangenden Ende. Die Punkte zwischen Consumer und Provider werden von Dienstleistern zur Verfügung gestellt, die zusammengefasst als Intermediäre bezeichnet werden. An diesen Punkten liegen die Nachrichten unverschlüsselt vor, denn die Transportverschlüsselung schützt Vertraulichkeit und Integrität nur zwischen jeweils zwei Punkten. Mit den Intermediären bestehen feste Geschäftsbeziehungen, die durch Verträge geregelt werden. Bedingungen und Zusicherungen in diesen Verträgen betreffen auch den Datenschutz. Dennoch gibt es Gründe dafür, die Kommunikation über die Unterbrechung der Transportstrecke hinweg auch technisch abzusichern.

Ein wichtiger Grund ist das datenschutzrechtliche Prinzip der Datensparsamkeit. Hierbei erleichtert es eine Ende-zu-Ende-Verschlüsselung den zwischen den primären Punkten liegenden Kommunikationsbeteiligten, ihre Pflichten bzgl. des Datenschutzes zu erfüllen. Das folgende Beispiel dient der Veranschaulichung: Ein Intermediär bietet die Dienstleistung „Bündelung von Nachrichten“ zwischen primärem Absender und finalen Empfängern an. Dabei sieht er nur diejenigen Daten, die für die Durchführung seiner Dienstleistung erforderlich sind.

Ein anderer möglicher Use Case ist die unmittelbare Adressierung eines fachlichen Partners „hinter“ dem Endpunkt eines BiPRO-Service, etwa die Buchhaltung.

Die Verwendung der Ende-zu-Ende-Verschlüsselung ist als Option zu sehen, die in Absprache zwischen Consumer, Provider und Intermediär erfolgt. Um eine Verarbeitung zumindest der Verkehrsdaten zu ermöglichen, werden für die zu verschlüsselnden Services Felder definiert, deren Nichtverschlüsselung empfohlen wird. Diese Felder sollen also stets im Klartext von allen gelesen werden können, die an der Kommunikation bzw. am Transport der Nachrichten beteiligt sind. Welche Felder im Einzelnen verschlüsselt werden, hängt wiederum von der Einschätzung der Kommunikationspartner ab, bei welchen Daten eine Absicherung der Vertraulichkeit erforderlich erscheint.

Die neue Norm soll es ermöglichen, auch bei Unterbrechung des Nachrichtentransports durch dazwischenliegende Punkte die Vertraulichkeit zwischen primärem Absender und finalem Empfänger abzusichern. Dies ist insbesondere bei Daten sinnvoll, bei denen besondere Vertraulichkeit bzw. erhöhte Anforderungen an Authentizität und Integrität bestehen.

Die technische Basis, die dies ermöglicht, wird durch den W3C-Standard XML Encryption in der Version 1.1 hergestellt. In der Norm werden die zusätzlichen Verarbeitungsschritte betrachtet, die sich durch die Verschlüsselung ergeben, und Konzepte für verschiedene Szenarien umrissen. Die Implementierung hängt im Detail jedoch von der verwendeten Plattform und den eingesetzten Frameworks ab. Um qualifizierte Empfehlungen geben zu können, werden die Konzepte derzeit in praktischen Implementierungsstudien erprobt.

Und wie sehen die nächsten Schritte aus? Beim nächsten Treffen der Gremien im Juli wird der derzeitige Arbeitsentwurf einer Norm vorgestellt werden. Darauf aufbauend werden im Projekt noch Lösungsansätze diskutiert, mit denen der Zusatzaufwand insbesondere für Intermediäre verringert werden kann. Bis zum Gremientreffen im Herbst sollen dann alle Fäden zusammengeführt und Change Requests eingereicht werden. Eine wichtige Zwischenstation auf dem Weg dahin wird ein zweites Review durch den Normungsausschuss und weitere Gremienmitglieder sein.

Weitere Infos inkl. Kontaktperson finden sich hier: Projekt Ende-zu-Ende-Verschlüsselung – BiPRO