Basic HTML-Version
CM
Cont rol ler ma g a z i n
6/04
3.4 Elektronische Steuererklärung -
ELSTER®
ELSTER entstand vor einigen [ahren im
Rahmen der
eGovemment Initiative der
Bayerischen Staatsregierung.^
Grund–
lage ist die Beobachtung, dass
neben
den Steuerberatern auch immer mehr
Bürger ihre Steuererklärungen am Com–
puter erstellen.
Dabei w/erden die Daten
für den Ausdruck der Steuererklärungs–
formulare dezentral elektronisch erfasst.
Die Idee liegt nun darin, diese bereits
er fassten elekt roni schen Daten der
Steuerverwaltung über das Internet zur
Weiterverarbeitung in den Rechenzen–
tren zur Verfügung zu stellen. Damit spart
die Steuerverwaltung zum einen die Ko–
sten für die Datentypisten, zum anderen
erfährt der Bearbeitungsprozess eine
Beschleunigung. Dazu kommt, dass der
aufwändige Formulardruck und die Klebe-
heftung des Mantelbogens entfallen.
Hinsichdich der Sicherheit bemerkt die
Oberfinanzdirektion München' : „Der
Bürger kann sicher sein, dass seine sach–
lich richtigen Angaben auch zutreffend
als Eingabewerte übernommen werden."
Realisiert wird dies unter anderem durch
Verschlüsselungsmechanismen, Authen-
tizitäts- und Plausibilitätskontrollen.
Der Gesamtprozess wurde durch dieses
ITProjekt deutlich optimiert. Der Prozess
konnte billiger und schneller (cheaper,
faster) gestaltet werden. Die für die Rol-
Berechnung notwendigen Daten wie
Projektkosten, Meilensteine und Ein–
sparungsgrößen waren mit Sicherheit
bekannt. Auch ohne die hier nicht be–
rücksicht igten Außenwirkungs- und
Marketingeffekte muss ein positiver Rol
unterstellt werden.
Aber der Rol bezieht sich auf den gesam–
ten Geschäftsprozess. Im Gegensatz zum
Mo t or s t eue rungspro j ek t spiel t die
IT-Sicherheit eine andere Rolle. Wurden
im Motorsteuerungsprojekt die Opti–
mierungspotenziale ausschließlich durch
die innovativen Securitymechanismen
hervorgerufen, so ist dies bei ELSTER nicht
der Fall. Die den Rol positiv bestimmen–
den Faktoren sind hier primär die
einge–
sparte elektronische Datenerfassung.
Die implementierten Security-Mechanis-
men wirken „lediglich" als „Enabler" zur
Implement ierung des Optimierungs–
potenzials. Der Anteil der Security soll
hier jedoch nicht in den Hintergrund
gedrängt werden. Denkt man z. B. an das
Internetbanking, so waren es die imple–
mentierten Sicherheitsmechanismen, die
diese enormen Einsparungspotenziale für
die Banken erst ermöglichten. Primär
handelte es sich aber auch hier nicht um
ein IT-Sicherheitsprojekt, sondern um eine
Geschäftsprozessoptimierung, die Kern–
prozesse eines Unternehmens betreffend.
3.5 Digitale Signatur in workflow–
gestützten Geschäftsprozessen
Beim Einsatz Digitaler Signaturen in
Workflows'" geht es darum,
repetitive
Geschäf tsprozesse elektronisch zu
unterstützen
und mit Hilfe von Authen-
tisierungsmechanismen" eine Nachweis–
barkeit von Teilschritten zu erreichen. So
kann z. B. die
Freigabe einer Bestellung,
die Genehmigung eines Udaubsantrages
oder eine Dienstreise ein solcher Teil–
schritt sein. Workflow-Management-Sy–
s t eme se t zen häuf ig ein hohe s
Optimierungspotenzial frei. Ein Rol ist in
entsprechenden Projekten meist darstell–
bar Das Projekt ELSTER hat dies eben–
falls gezeigt. Digitale Signaturen können
für die entsprechende Authentizität und
Nachweisbarkeit sorgen.
Sind Geschäftsprozesse noch nicht durch–
gehend elektronisch implementiert, so
gibt es dafür meistens gute Gründe. Häu–
fig treten diese Szenarien in der Indu–
strie-Behördenkommunikation auf, wo
auf juristischen Gründen händische Un–
terschriften erforderiich sind. Beispielhaft
dafür steht die Kommunikation der
Flugzeugbauer mit dem Luftfahrtbundes–
amt oder die Kommunikation der Phar–
maindustrie mit den zuständigen Auf–
sichtsbehörden (z. B. FDA - Food and
Drug Administration). Die von Workflow-
Management-System-Anbietern immer
wieder vorgebrachte These, mit Digita–
len Signaturen könne ein positiver Rol in
dieser Art von Projekten relativ einfach
nachgewiesen werden, soll im folgenden
näher untersucht werden.
Das
Deutsche Signaturgesetz
(SigG)
bietet grundsätzlich die Möglichkeit,
händische Unterschriften abzulösen und
durch zertifizierte Digitale Signaturen
(elektronische Unterschriften) zu er–
setzen. Das erfordert Investitionen der
Unternehmen, denen für den Nachweis
einer positiven Rol-Kennzahl ein Nutzen
gegenüber gestellt werden muss. Der
Nutzen kann jedoch nur aus Prozessver–
besserungen generiert werden. An die–
ser Stelle wird wieder deutlich: Die
Prozessoptimierung mit der Freisetzung
des Einsparpotenzials resultiert nicht di–
rekt aus einem Securityprojekt, sondern
aus der Ablösung papiergebundener Pro–
zesse durch elektronische Systeme.
4 PROJEmVPEN
Klassifiziert man die vorgestellten Pro–
jekte, so lassen sich drei grundlegende
Projekttypen ableiten: das Versicherer–
projekt, das Enablerprojekt und das Ein–
sparerprojekt.
Versichererprojekt (insurer)
Zahlreiche IT-Securi typrojekte sind
Versichererprojekte. Ziel dieser Projekte
ist es, die
Eintrittswahrscheinlichkeiten
und das Risiko
von ungewünschten Er–
eignissen
zu minimieren.
Das primäre Ziel
ist es nicht, Einsparpotenziale zu realisie–
ren. Beide Ziele verhalten sich gegenläu–
fig. Ein Rol ist im Regelfall nicht darstellbar
Ermöglicherprojekt (enabler)
Haben neue Geschäftsprozesse Sicher–
heitsanforderungen, dann handelt es sich
bei den betroffenen Teilprojekten oft um
ein Enablerprojekt. Dabei hilft die IT-
Security der Anwendung, ihren Mehr–
wert in der Gesamtheit erbringen zu kön–
nen. Die Einsparung wird allerdings
primär von der Anwendung erbracht,
nicht von den zuarbeitenden Security-
bausteinen. Oftmals werden die Sicher–
hei tsanforderungen der Anwendung
durch „Standardsecurity", sogenannte
commodi ty modules umgesetzt . Bei–
spiele für solche Module sind: PIN-TAN-
Verfahren, SSL'^-Protokoll, Passwort–
verfahren für Authentizitätskontrollen,
Be t r i ebs sys t emme chan i smen . Auch
Firewallsysteme können hierzu gerech–
net werden, da sie die durch die
Abschottung des Unternehmensnetzes
bestimmte Transaktionen ermöglichen
(z. B. Sicherer Zugriff von Kunden auf
seine Bestelldaten im Firmenrechner).
Kennzeichen dieses Projekttypus ist, dass
Rol-Überiegungen in gewissen Grenzen
von nachgeordneter Bedeutung sind.
Komplexe Sicherhei tsinfrastrukturen
werden allerdings - aus Rol-Argumenten
heraus - oftmals abgelehnt.
521