Nutzung des besondere elektronische Behördenpostfach (beBPo) in TightGate-Pro
Behörden sowie Körperschaften und Anstalten des öffentlichen Rechts sind aufgrund gesetzlicher Regelungen seit dem 1. Januar 2022 verpflichtet einen sicheren Übermittlungsweg für die Zustellung elektronischer Dokumente untereinander zu eröffnen. Als sicherer Übermittlungsweg für die elektronische Kommunikation mit den Gerichten sieht das Gesetz unter anderem das besondere elektronische Behördenpostfach (beBPo) vor. Mit der aktuellen Version von TightGate-Pro kann beBPo auch sicher innerhalb von TightGate-Pro genutzt werden.
Warum beBPo über TightGate-Pro?
TightGate-Pro bietet bekanntermaßen eine sichere Umgebung, um mit beliebigen Gegenstellen aus dem freien Internet kommunizieren zu können. Und laut TightGate-Schutzkonzept erfolgt die Kommunikation mit vertrauenswürdigen Gegenstellen direkt aus dem internen Netzwerk. Sei es über den lokalen Browser oder auch direkt aus der Fachanwendung heraus.
Warum es dennoch sinnvoll ist beBPo über TightGate-Pro zu nutzen liegt daran, dass zwar die Authentizität des Absenders im beBPo-Verfahren gewährleistet ist, genauso wie die Vertraulichkeit einer Nachricht durch die verwendete Verschlüsselung, jedoch bringt die Verschlüsselung ein anderes Problem mit. Es kann im beBPo-Verfahren selber nicht sichergestellt werden, dass darüber versendete Dokumente frei von Schadcode sind. Die Prüfung auf Schadcode kann prinzipbedingt erst dort erfolgen, wo die Nachricht entschlüsselt/ausgepackt wird. Ist dies im lokalen Netzwerk, kann es bereits zu spät sein.
TightGate-Pro bietet mit der Implementierung des beBPo-Klienten nun eine sichere Umgebung, in der Nachrichten geöffnet und sicher verarbeitet werden können.
Vorüberlegungen zur Nutzung von beBPo
Das beBPo-Verfahren ist nicht zu vergleichen mit einem gewöhnlichen Mailprogramm. Es gibt gravierende Einschränkungen, die es erforderlich machen organisatorische Vorbereitungen zu treffen. Da beBPo-Postfächer nur lokal verwendet werden können (im Gegensatz zu IMAP-Postfächer im normalen Mailverkehr), ist es sinnvoll pro beBPo-Postfach auf TightGate-Pro einen Benutzer anzulegen. Die Zugangsdaten für den Funktionsaccount können dann an die zuständigen Mitarbeiter oder Mitarbeiterinnen vergeben werden.
Installation von beBPo im TightGate-Pro
Die folgenden Schritte beschreiben die Installation und Nutzung von beBPo TightGate-Pro.
Voraussetzungen:
- Aktuelles TightGate-Pro
- Es müssen für die Nutzbarkeit folgende Server von TightGate-Pro aus erreichbar sein:
-Verzeichnisdienst-Server
-OSCI-Manager
-Validierungsserver
Installation:
- Melden Sie sich als Administrator update an und wählen den Menüpunkt Optionale Pakete hinzufügen aus. Wählen Sie (mit der Leertaste) das Paket mprivacy-bebpo aus und bestätigen Sie mit OK. Das Paket wird nun installiert. Bitte bestätigen Sie, dass die Konfiguration angewendet werden soll. Nach der Installation wird das Hauptmenü wieder angezeigt. Melden Sie sich nun wieder als update ab.
- Legen Sie nun als Administrator maint pro beBPo-Postfach eine neue Benutzerkennung im TightGate-Pro an. Achten Sie darauf, dass für die neue Kennung die Menü-Optionen = bebpo gesetzt ist und dass in TightGate-Pro Einzelsystemen der Wert für Quota = Hoch gesetzt ist. Prüfen Sie auch, dass der Datei-Transfer erlaubt ist, wenn Sie Dokumente aus beBPo-Postfächern in das interne Netzwerk übertragen möchten. Die m-privacy empfiehlt auch gleich Benutzerzertifikate für den Kennung erzeugen zu lassen, um ein Single-sign-on zu ermöglichen und einen Zugriff durch mehrere Nutzer zu ermöglichen.
- Die Installation am TightGate-Pro ist damit abgeschlossen das beBPo kann wie nachfolgend beschrieben verwendet werden.
Achtung
Ist im TightGate-Pro ein Uplink-Proxy konfiguriert, so ist unbedingt sicherzustellen, dass der Uplink-Proxy den Wert client_request_buffer_max_size 128MB gesetzt hat. Sollte dies nicht der Fall sein, werden beBPo-Nachrichten mit Anhängen (<512KB) nicht zugestellt und beBPo zeigt einen Fehler an.
Hinweis
Sofern die Benutzerauthentifizierung per Active-Directory erfolgt, sind aller Benutzerkennungen die das beBPo-Verfahren nutzen sollen in die AD-Sicherheitsgruppe TGbebpoicon aufzunehmen. Eine Übersicht über alle AD-Sicherheitsgruppen findet sich hier: Übersicht AD-Sicherheitsgruppen für TightGate-Pro.
Den beBPo-Klienten nutzen
Um den beBPo-Klienten nutzen zu können, sollten Sie alle notwendigen Zertifikate, die Konfigurations-ID für Ihr OSCI-Szenario sowie alle weiteren benötigten Dateien haben. Kopieren Sie diese von der ersten Nutzung in das Transfer-Verzeichnis des für das beBPo-Postfach neu angelegten Nutzers.
Dann weiter wie folgt:
- Melden Sie sich mit dem TightGate-Viewer und der für das beBPo-Postfach angelegten Kennung am TightGate-Pro an.
- Starten Sie den beBPo-Klienten über das Icon in der Taskleiste, wie hier dargestellt:
- Geben Sie in der Maske die Konfigurations-ID für das gewünschte OSCI-Szenario ein und bestätigen Sie die Eingabe über den Hinzufügen Button. Es öffnet sich eine erste Eingabemaske. Brechen Sie den Dialog ab und beenden Sie beBPo über den Menüpunkt Datei > Löschen und Beenden.
- Für jede Konfigurations-ID legt TightGate-Pro automatisch ein Arbeitsverzeichnis an. Dieses kann über den Dateimanager aufgerufen werden. Es liegt jeweils im Benutzerverzeichnis > bebpo > [Name des OSCI-Szenarios]. Dort sollten nun alle für das Postfach spezifischen Dateien hinein gelegt werden.
- Nun kann der beBPo-Klient neu gestartet und das Postfach eingerichtet werden.
Hinweis
Wird der beBPo-Klient gestartet und läuft bereits eine beBPo-Version im Hintergrund, so öffnet sich ein Hinweisfenster dazu. Das Starten einer weiteren beBPo-Instanz kann durch Bestätigung des Hinweisfensters durchgeführt werden.
Backup und Restore von beBPo-Postfächern
Über TightGate-Pro eingerichtete Postfächer können über den Backup-Mechanismus von TightGate-Pro gesichert werden. Dabei werden nicht einzelnen Postfächer gesichert, sondern der komplette Benutzer mit seinen Daten. Bei der Wiederherstellung wird dann auch der gesamte Benutzer mit all seinen Benutzerdaten (wozu auch die beBPo-Postfächer gehören) wiederhergestellt.
Um also die beBPo-Postfächer von TightGate-Pro zu sichern ist es notwendig Backups von TightGate-Pro System zu erstellen. Die Einrichtung von Backups erfolgt, wie hier beschrieben: Backup erstellen.
Es ist wichtig darauf zu achten, dass der richtige Sicherungsumfang ausgewählt wird. Nur die folgenden Sicherungstypen enthalten alle beBPo-Postfächer:
- System, Benutzer, kein transfer
- System und Benutzer-Daten
- System, Ben., Opt., kein transfer
- System, Ben.-Daten optimiert
Die Rücksicherung erfolgt analog der Rücksicherung normaler Benutzer, wie hier beschrieben: Wiederherstellen von Daten aus einem Backup