Verschlüsselung eines Behördenpostfaches

Zur Absicherung von besonders schützenswerten personenbezogenen Daten kann für die Zustellung in das interne Behördenpostfach die Verschlüsselung der Antragsdaten aktiviert werden. Jeder Antrag, der an dieses Postfach versendet wird, wird vor der Zustellung verschlüsselt. Zum Lesen der Daten benötigt man dann den passenden Schlüssel, um die Daten zu lesen.

Verschlüsselung aktivieren

Zum Aktivieren der Verschlüsselung eines Behördenpostfaches der EFAST-Plattform muss das entsprechende Postfach über den Schreibtisch geöffnet werden. In der Übersicht der offenen Anträge wird im Aktionsmenü der Punkt Konfiguration ausgewählt.

Über die Konfigurationsseite zeigt die EFAST-Plattform an, ob das Behördenpostfach bereits verschlüsselt wurde oder nicht. Ein frisch angelegtes Behördenpostfach ist immer unverschlüsselt, daher steht in der Übersicht an erster Stelle der Text “Es ist kein öffentlicher Schlüssel hinterlegt.”.

Unter der Überschrift Aktionen finden sich die beiden Optionen Öffentlichen Schlüssel hochladen und Schlüsselpaar erzeugen.

Option: Öffentlichen Schlüssel hochladen

Das Behördenpostfach bietet die Möglichkeit ein bereits existierendes, asymmetrisches Schlüsselpaar für die Verschlüsselung des Postfaches zu nutzen, indem man den öffentlichen Schlüssel in das Postfach hochlädt. So lassen sich Schlüsselpaare mehrfach nutzen und der private Schlüssel muss zu Beginn einer Sitzung nur einmal hochgeladen werden. Er kann dann für mehrere Postfächer genutzt werden.

Option: Schlüsselpaar erzeugen

Mit einem Klick auf den Link Schlüsselpaar erzeugen öffnet sich die Seite zum Erzeugen des asymmetrischen Schlüsselpaares.

Nur mit dem passenden privaten Schlüssel lassen sich verschlüsselte Daten lesen, wenn dieser verloren geht oder defekt ist, lassen sich die Daten nicht mehr lesen. Ein verlorener oder defekter Schlüssel kann auch durch das Service Center nicht wiederhergestellt werden.

Mit einem Klick auf den Button Schlüsselpaar generieren erzeugt EFAST das, für die Verschlüsselung erforderliche, asymmetrische Schlüsselpaar und zeigt beide Schlüssel in der Oberfläche an. Das Postfach empfängt alle Anträge von diesem Augenblick an verschlüsselt, daher ist es sehr wichtig den geheimen Schlüssel unmittelbar zu speichern. Hierfür bietet die Seite den Button Geheimen Schlüssel herunterladen an.

Den öffentlichen Schlüssel kann man nur durch Cut and Paste in einer Textdatei sichern oder mit den entsprechenden Kenntnissen aus dem geheimen Schlüssel ableiten.

Öffnet man die Konfigurationsseite erneut, so wird nur noch der öffentliche Schlüssel angezeigt, der geheime Schlüssel ist nicht im System gespeichert und kann nicht dargestellt werden.

Verschlüsselung deaktivieren

Um die Verschlüsselung eines Behördenpostfaches der EFAST-Plattform zu deaktivieren, öffnet man die Konfiguration des Postfaches und klickt auf den Link Öffentlichen Schlüssel löschen. Sobald der öffentliche Schlüssel gelöscht wurde, werden alle Antragsdaten unverschlüsselt an das Postfach übermittelt und können ohne den geheimen Schlüssel gelesen werden.

Solange noch offene, verschlüsselte Anträge in einem Behördenpostfach liegen, wird weiterhin der geheime Schlüssel benötigt, um die Daten und Anlagen dieser Anträge einsehen zu können. Daher wird der geheime Schlüssel auch noch nach dem Deaktivieren der Verschlüsselung des Postfaches benötigt.

Verschlüsselte Daten lesen und herunterladen

Wenn ein Antrag in einem verschlüsselten Postfach geöffnet wird, gibt es mehrere Stellen, die auf die Verschlüsselung der Antragsdaten hinweisen und Auskunft darüber geben, welcher Schlüssel zum Einsatz kam.

Die Sektion Verschlüsselung wird nur bei aktivierter Verschlüsselung dargestellt und informiert darüber, welcher Schlüssel verwendet wurde. Die Schlüsselnummer wurde beim Herunterladen des geheimen Schlüssels in den Filenamen übernommen.

In der Liste der Dateien in der Sektion Antrag kennzeichnet die verschlüsselten Dateien mit einem Schloss-Symbol vor dem Datentyp.

Wird versucht, eine verschlüsselte Datei zu öffnen, öffnet sich der Dialog Dokument entschlüsseln, mit dem der geheime Schlüssel geladen werden kann, falls dieser nicht schon in einem vorherigen Vorgang hochgeladen wurde. Im Dialog selbst wird die Schlüsselnummer des benötigten Schlüssels angezeigt, um die Identifikation zu erleichtern.

Mit einem Klick in das Eingabefeld wird der Dialog zum Hochladen der Schlüsseldatei geöffnet. Nach der Auswahl der entsprechenden Schlüsseldatei wird der Name der Datei im Dialog angezeigt

Ein Klick auf den Button Entschlüsseln wird die gewählte Datei entschlüsselt und geöffnet oder heruntergeladen.

Für das Herunterladen der ZIP-Datei mit allen Antragsdateien wird ebenfalls der geheime Schlüssel benötigt, daher öffnet sich der Dialog zum Laden des Schlüssels auch bei einem Klick auf den Link Download als ZIP, falls der Schlüssel nicht schon zuvor geladen wurde.

Um die Arbeit mit verschlüsselten Anträgen zu erleichtern, muss der geheime Schlüssel nur einmal pro Sitzung beim Öffnen der ersten verschlüsselten Datei hochgeladen werden. Für weitere Dateien im selben oder anderen Anträgen wird der geheime Schlüssel automatisch verwendet.

Erst mit dem Beenden der aktuellen Sitzung in der EFAST-Plattform steht der Schlüssel nicht mehr zur Verfügung und muss wieder geladen werden.