IAMV: Gesetzlicher Rahmen für zentrale Identitätsverwaltung
Verordnung verabschiedet
Welche Personengruppen darf ein solches IAM-System erfassen? Welche Arten von Daten dürfen über diese Personen im IAM-System aufgeführt werden? Welche Systeme und/oder Personen dürfen das IAM-System nutzen? Solche Fragen müssen rechtlich geregelt werden, damit ein IAM-System in Betrieb genommen werden kann. Aus diesem Grund hat der Bund eine „Verordnung über die Identitätsverwaltungssysteme und Verzeichnisdienste des Bundes (IAMV)“ erarbeitet. Diese Verordnung wurde im Oktober vom Bundesrat verabschiedet und tritt anfangs 2017 in Kraft.
Die Verordnung beschreibt die Regeln für die Weitergabe von Personendaten zwischen den Systemen und definiert, über welche Personen aus welchen Gründen wie viele Daten im zentralen Verzeichnis geführt werden dürfen. Neben Mitarbeitenden der Bundesverwaltung gehören zum Beispiel auch die Mitglieder der Bundesversammlung und Mitarbeitenden der Gerichte zum einbezogenen Personenkreis. Weiter können Mitarbeitende der SBB, Post, RUAG und SUVA sowie Externe, die für Bundesstellen tätig sind, dazukommen. Es gibt aber noch weitere mögliche Personenkreise:
Offen für Kantone, Gemeinden und Private
Ausdrücklich können auch Angehörige kantonaler oder kommunaler Behörden in den IAM-Systemen geführt werden, wenn sie vom Bund bereitgestellte Informationssysteme benutzen. Das Gleiche gilt für Privatpersonen und Organisations-Vertreter/-innen, die auf vom Bund bereitgestellte Informationssysteme und/oder auf eGovernment-Anwendungen zugreifen, sowie für Mitarbeitende von Kantonen, Gemeinden und bundesnahen Betrieben, die ein digitales Zertifikat des Bundes nutzen.
Grundlage für Verbundlösungen
Die neue IAMV-Verordnung enthält auch einen Abschnitt zum „Verbund von IAM-Systemen“. Dieser beschreibt unter anderem die Voraussetzungen und das Vorgehen zum Anschluss externer IAM-Systeme an die IAM-Systeme des Bundes. Die folgenden IAM-Systeme kommen laut der Verordnung dafür in Frage:
- IAM-Systeme mit kantonalen und kommunalen Mitarbeitenden
- vom ISB (Informatiksteuerungsorgan Bund) anerkannte IAM-Systeme, die für den Identitätsverbund im eGovernment vorgesehen sind
- ausländische IAM-Systeme oder Identitätsverbunde, wenn die gegenseitige Anbindung in einem Staatsvertrag vorgesehen ist
- Attribut-Register mit Angaben zu beruflichen Funktionen.
Für den Anschluss externer Systeme ist ein Antrag erforderlich, der unter anderem die Belege für die Einhaltung der Anforderungen an die Informationssicherheit enthalten soll. Mindestens eine Stelle, die für ein nachgelagertes System verantwortlich ist, auf das mit dem anzuschliessenden IAM-System zugegriffen werden soll, soll zudem schriftlich ihre Unterstützung für das Projekt bekunden.
Weitere Informationen:
Bundesrat: Bundesrat regelt die Speicherung und Übermittlung von Personendaten des Bundes zur Identitätsverwaltung, Medienmitteilung vom 19. Oktober 2016
Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV), Vorentwurf