Wie das eGovernment-Nachrichtenportal am 18.12. meldete, erfüllen laut Kraftfahrt-Bundesamt (KBA) zahlreiche Zulassungsstellen, beziehungsweise deren System-Installationen, nicht die geforderten Mindestsicherheitsstandards. Deshalb droht vielen i-Kfz-Portalen zum Jahreswechsel die Sperrung. Aktuell ist davon auszugehen, dass rund die Hälfte aller Kfz-Zulassungsstellen mit i-Kfz 4-Diensten betroffen sein werden. Dabei waren die neuen Stufe-4-Dienste erst seit September 2023 flächendeckend eingeführt worden. Doch „Ein Drama in Akten“ und „Back to the Papierchaos-Roots“, wie es in den Headlines kolportiert wird, steht nicht zu befürchten, jedenfalls nicht in Bayern. Andreas Günther, Leiter Strategische Geschäftsentwicklung und CIO der Telecomputer GmbH, erklärt im Kurzinterview die Hintergründe.
Herr Günther, was ist passiert?
Fehlende Sicherheitsstandards und deren Nachweise sowie technische Unzulänglichkeiten bei der Einführung von i-Kfz seitens einiger Kfz-Zulassungsstellen und beim IT-Betrieb von Fachverfahren für das Kfz-Zulassungswesen haben dazu geführt, dass nun die Sperrung der Online-Verfahren vieler Zulassungsstellen durch das Kraftfahrtbundesamt (KBA) droht. Die Sicherheitsbedenken sind groß, nicht zuletzt aufgrund der jüngsten Cyberattacken im kommunalen Umfeld der letzten Wochen und Monate.
Welche Kfz-Zulassungsstellen und Betreiber von Fachverfahren für das Kfz-Zulassungswesen sind voraussichtlich von der Sperrung betroffen?
Betroffen davon sind zum Großteil Kfz-Zulassungsbehörden, welche das Fachverfahren für das Kfz-Zulassungswesen autonom betreiben und die Nachweise zur Erfüllung der IT-Sicherheit gegenüber dem KBA noch nicht erbracht haben. Auch für einige Rechenzentrumsbetreiber gilt: Sie müssen bis 31.12.2023 auch noch den Nachweis bzgl. der Erfüllung der Mindestsicherheitsanforderungen erbringen.
Wann wird die Sperrung voraussichtlich stattfinden?
Nach unserem Kenntnisstand wird das KBA am 28.12.2023 alle von der Sperrung betroffenen Kfz-Zulassungsstellen per Mail über die anstehende Sperrung informieren und ihnen eine letzte Frist für Verlängerungsanträge bis zum 29.12.2023, 12:00 Uhr, einräumen. Die Abschaltung durch das KBA ist dann direkt in den ersten Tagen des Monats Januar 2024 geplant.
Welche Zulassungsstellen sind nicht von der Sperrung betroffen?
Zulassungsstellen, die OK.VERKEHR und OK.VORFAHRT im Outsourcing-Rechenzentrum der AKDB betreiben und die i-Kfz-Online-Portale der AKDB nutzen (Anm. d. Redaktion: ebenfalls im Outsourcing-Rechenzentrum der AKDB betrieben) sind nicht betroffen. Als erstes Rechenzentrum in Deutschland hat das AKDB-Rechenzentrum vom Kraftfahrtbundesamt seit dem 15.12.2023 den uneingeschränkten Betriebsbescheid im Kontext der Erfüllung der Mindestsicherheitsanforderungen mit dem Status „gültig“ erlangt. Mit dem offiziellen Bescheid attestiert das KBA der AKDB, dass bei der Anbindung dezentraler Portale an die Zulassungsbehörden sowie beim Betrieb der i-Kfz-Portale und der Fachverfahren für das Kfz-Zulassungswesen die Mindestanforderungen an die Informationssicherheit (MSA-i-Kfz) erfüllt sind. Eine vorläufige Genehmigung lag der AKDB bereits seit Ende August vor. Dahinter steckt viel Arbeit, sowohl im Vorfeld als auch während der Sicherheitsprüfungen. Den beteiligten Mitarbeitenden der AKDB und ihrer Tochterunternehmen sprechen wir für die ebenso komplexe wie zeitintensive Teamarbeit einen ganz besonderen Dank aus.
Was bedeutet der KBA-Betriebsbescheid konkret?
Er bescheinigt, dass beim Betrieb der i-Kfz-Online-Fachdienste im Bürgerservice-Portal der AKDB und der Zulassungsverfahren – also OK.VERKEHR und OK.VORFAHRT - im Outsourcing-Rechenzentrum sämtliche Sicherheitsanforderungen erfüllt werden und dass diese AKDB-Kunden nichts weiter unternehmen müssen, da die AKDB bereits alle Formalitäten für sie erledigt hat.
Wie wurden die Sicherheitsstandards bei der AKDB geprüft?
Es fanden Penetrationstests, IS-Webchecks und ein Audit zur IT-Sicherheit statt, welche von externen sowie speziell qualifizierten Unternehmen durchgeführt wurden.
Stellt die AKDB bereits eine erhöhte Nachfrage vonseiten der Kunden fest, die mit ihrem Fachverfahren ins Rechenzentrum migrieren wollen?
Ja, wir verzeichnen seit Sommer dieses Jahres eine verstärkte Nachfrage von Kunden nach einer Migration in unser Outsourcing-Rechenzentrum. Die Nachfrage ist aktuell wesentlich größer als die zur Verfügung stehenden Zeitslots. Solche Migrationen sind technisch-organisatorisch anspruchsvoll und zeitaufwendig, mit ein paar Mausklicks ist es jedenfalls nicht getan. Wir tun aber alles dafür, so viele Kunden wie möglich geordnet und in möglichst kurzen Fristen in das Rechenzentrum zu migrieren. Eine Vielzahl davon können wir bis zum 31.03.2024 überführen. Andere hingegen, die sich erst sehr kurzfristig zu diesem Schritt entschlossen haben bzw. noch entscheiden wollen, können erst im Q2/2024 oder später migriert werden …
Wie werden die i-Kfz 4 Online-Dienste aus AKDB- und Telecomputer-Sicht angenommen?
In Bayern sind allein in den ersten zwei Monaten nach dem Start der vierten Stufe der Online-Fahrzeugzulassung bereits mehr als 20.000 Anträge gestellt worden. Aktuell liegen wir nach knapp vier Monaten des Betriebs von i-Kfz Stufe 4 bereits bei 48.000 erfolgreichen Online-Vorgängen nur im Freistaat Bayern. Das spricht eindeutig für eine gute Akzeptanz und Nutzung seitens der Antragsteller. Wir sind überzeugt, dass sich diese Zahlen im kommenden Jahr um ein Vielfaches multiplizieren werden. Insofern ist in Bayern weder ein Drama noch eine Rückkehr zu den Papierchaos-Wurzeln zu befürchten.
Neben OK.VERKEHR und OK.VORFAHRT nutzt auch eine Vielzahl von AKDB- und Telecomputer-Kunden das Fachverfahren IKOL-KFZ. Wie sieht es für diese Nutzer aus?
Hier gilt die gleiche Vorgehensweise wie bereits beschrieben. Die Kfz-Zulassungsbehörden, welche IKOL-KFZ im eigenen Haus installiert haben bzw. die beauftragten externen Betreiber dieses Fachverfahrens, müssen bis zum 31.12.2023 ihre Nachweise bzgl. der Erfüllung der Mindestsicherheitsanforderungen gegenüber dem KBA erbringen. Zusätzlich gibt es die Möglichkeit, bis spätestens 29.12.2023 eine begründete Fristverlängerung beim KBA bis 31.03.2024 zu beantragen. Diesem Antrag sind die Verträge mit dem zukünftig zu nutzenden Rechenzentrum bzw. dem Dienstleister für die Prüfung zur Erfüllung der Sicherheitsanforderungen sowie ein bestätigter Zeitplan mit Abschluss der Maßnahmen bis zum 31.03.2023 beizufügen. Ansonsten droht auch hier die Sperrung der i-Kfz-Portale für diese Kfz-Zulassungsstellen.
IKOL-KFZ wird in mehreren Rechenzentren für Kfz-Zulassungsstellen betrieben. Gibt es einen Status, wie es in diesen Rechenzentren mit dem Nachweis der i-Kfz-Mindestsicherheitsanforderungen steht?
Aktuell haben wir nur die Kenntnis von einer Betriebserlaubnis des Rechenzentrums der regio iT. Wir wissen allerdings auch, dass diverse kommunale IT-Dienstleister mit Hochdruck daran arbeiten, die Nachweise noch rechtzeitig dem KBA zur Verfügung zu stellen. Diesbezüglich können wir den betroffenen Kfz-Zulassungsstellen nur empfehlen, kurzfristig mit ihrem Rechenzentrums-Partner Kontakt aufzunehmen. Diese Empfehlung gilt auch für die Kunden, welche das Fachverfahren OK.VERKEHR in anderen Rechenzentren außerhalb der AKDB betreiben lassen.