Kein Einsatz von Passkeys in der Verwaltung
Passwörter sind häufig umständlich zu merken. Eine einfache und sichere neue Methode ist das Passkeys-Verfahren, welches auch vom BSI empfohlen wird. Bei Passkeys werden zwei Schlüssel erzeugt, einer wird bei dem Anbieter des Services gespeichert, der andere liegt bei Euch. Statt des alten Loginverfahrens wird einfach auf den Schlüssel zugegriffen. Somit entfällt die Suche nach Login-Namen und Passwort.
Ob auch das Land Berlin bereits heute oder in Zukunft auf Passkeys setzt, habe ich den Senat gefragt (Drucksache 19/20586). Demnach teilt der Senat die Auffassung des BSI hinsichtlich der Empfehlung zum passwortlosen Anmeldeverfahren mittels Passkeys. Was die Verwendung innerhalb der Verwaltung angeht, wird aber lediglich auf den Standard des BSI IT-Grundschutzes verwiesen. Angesichts der Bedrohungslage der Berliner Verwaltungs-IT ist es auch kritisch zu sehen, dass die IKT-Steuerung keine Übersicht über die genutzten Loginverfahren in der Berliner Verwaltung hat. Bekannt ist immerhin, dass im ITDZ TOTPs (Time based One Time Passwords) genutzt werden. Es gibt demnach auch keine Pläne zentral neue und sichere Authentisierungsverfahren zu etablieren. Ein mal mehr zeigen die die Vorteile, der von uns geforderten Bündelung der IT-Vergabe bei der IKT-Steuerung.
Für alle, die sichere Login-Verfahen nutzen wollen, erklärt das BSI auf seiner Website, was Passkeys sind. Sie sind auch Thema im aktuellen Podcast des BSI.
1. Teilt der Senat die Bewertung des Bundesamt für Sicherheit in der Informationstechnik (BSI), dass sichere Authentisierungsverfahren von besonderer Bedeutung sind und einfache Nutzernamen-Passwort- Kombinationen als unsicher zu bewerten sind, aber Zwei-Faktor-Authentisierung von viele als umständlich empfunden wird?
Das BSI empfiehlt die Anwendung einer Zwei-Faktor-Authentisierung, sobald ein Online-Dienst dies ermöglicht. Der Senat teilt die Einschätzung des BSI zur besonderen Bedeutung und zur erhöhten Sicherheit bei einer Zwei-Faktor-Authentisierung. Ob eine Zwei- Faktor-Authentisierung „von vielen“, d.h. von Verbraucherinnen und Verbrauchern als umständlich empfunden wird, ist eine subjektive Empfindung der Nutzerinnen und Nutzer. Im Land Berlin gelten für die verfahrensunabhängige IKT (vuIKT) und die verfahrensabhängige IKT (vaIKT) der Berliner Verwaltung die Vorgaben zum IT-Einsatz nach den Standards des BSI (BSI IT-Grundschutz).
2. Wie bewertet der Senat die Empfehlung des BSI zur Nutzung von Passkeys als passwortloses Anmeldeverfahren? (Pressemitteilung „Login-Verfahren: BSI empfiehlt die Nutzung von Passkeys” vom 1.10.2024)
Der Senat teilt die Auffassung des BSI hinsichtlich der Empfehlung für Verbraucherinnen und Verbrauchern zum passwortlosen Anmeldeverfahren mittels Passkeys als einfaches und sicheres Login-Verfahren für einen besseren digitalen Verbraucherschutz.
3. Welche digitalen Authentisierungsverfahren (über „einfache“ Passwörtern hinaus) werden derzeit in der Berliner Verwaltung eingesetzt?
Eine Übersicht zu den in der Berliner Verwaltung eingesetzten digitalen Authentisierungsverfahren (über „einfache“ Passwörtern hinaus) liegt der IKT-Steuerung nicht vor. Eine Abfrage in den Behörden war in der Frist zur Beantwortung der Schriftlichen Anfrage nur beim ITDZ Berlin möglich und ergab folgendes Ergebnis: Im ITDZ Berlin werden für User mit Rechten zur Sicherstellung des störungsfreien Betriebs (sog. privilegierte User) TOTPs (Time based One Time Passwords) verwendet.
4. Welche Pläne hat der Senat zur Etablierung sicherer Authentisierungsverfahren für die (digitale) Berliner Verwaltung?
Die IKT-Steuerung bei der Senatskanzlei aktualisiert regelmäßig die Vorgaben der IKT-Architektur. Hierbei findet auch das Thema IKT-Sicherheit generell hohe Aufmerksamkeit. Eine zentrale Etablierung neuartiger sicherer Authentisierungsverfahren ist derzeit nicht geplant. Es obliegt der dezentralen Verantwortung der fachverfahrensverantwortlichen Stellen bei Bedarf angemessene Lösungen zu etablieren.