Technische Fragestellungen

Erfolgreiche EfA-Projekte benötigen passende technische Lösungen und enge länderübergreifende Zusammenarbeit. Hier wird das Zusammenspiel zentraler und dezentraler Komponenten sowie der sichere Datenaustausch thematisiert.

DVDV (Deutsches Verwaltungsdiensteverzeichnis)

Das Deutsche Verwaltungsdiensteverzeichnis (DVDV) ist die fach- und verwaltungsübergreifende Infrastrukturkomponente, die den digitalen Informationsaustausch und die Kommunikation zwischen den Behörden der öffentlichen Verwaltung in Deutschland ermöglicht. Das DVDV ist damit wesentlicher Bestandteil bei der Datenübermittlung von Fachverfahrensdaten mittels der Standards OSCI-Transport und XÖV (z.B. OSCI-XMeld). Über eine sogenannte DVDV Pflegende Stelle, die in jedem Bundesland vertreten ist, erfolgt die Pflege der Verzeichnisinhalte für das jeweilige Bundesland.

Häufig gestellte Fragen zum DVDV:

Wie ist die DVDV-Infrastruktur aufgebaut?

Im DVDV werden die technischen Verbindungsparameter aller öffentlichen Dienste bereitgestellt, die zu ihrer Nutzung benötigt werden.

Das bedeutet konkret: Das Verzeichnis wird für alle Behörden bereitgestellt – sowohl für die des Bundes, der Länder und auch der Kommunen. Der Bund ist dabei federführend zuständig.

DVDV wird von Bund, Ländern und Kommunen gemeinsam bereitgestellt. Das DVDV ist als verteiltes System und Verbundverfahren aufgebaut und besteht aus einem sog. Bundesmaster sowie mehreren DVDV-Servern in verschiedenen Bundesländern, die sich paarweise vertreten.

Aufbau der DVDV-Infrastruktur (Quelle: ITZBund)

Wie funktioniert das DVDV?

Das Deutsche Verwaltungsdiensteverzeichnis (DVDV) ermöglicht es E-Government-Anwendungen, deutschlandweit sicher und rechtskonform Daten auszutauschen.

In diesem Verzeichnisdienst können technische Verbindungsdaten von Online-Diensten der öffentlichen Verwaltung hinterlegt werden, die zu ihrer Adressierung und Nutzung benötigt werden. Hauptsächliche Nutzer des Verzeichnisses sind Applikationen beziehungsweise Programme, u. a. Onlinedienste und Fachverfahren.

Kern der verteilten Infrastruktur ist der Bundesmaster, der durch das Informationstechnikzentrum Bund (ITZBund) bereitgestellt wird. Sämtliche schreibenden Zugriffe auf den Datenbestand werden ausschließlich hier und nur durch berechtigte „Pflegende Stellen“ über einen „Pflege-Client“ vorgenommen.

Lesende Zugriffe, also Anfragen von beispielsweise Onlinediensten und Fachverfahren an das DVDV, richten sich immer an die sogenannten DVDV-Server des jeweiligen Bundeslandes, niemals an den Bundesmaster. Diese teilen sich die Anfragelast und springen bei einem Ausfall gegenseitig ein. Durch die zentrale Replikation ist überall stets derselbe Datenbestand gewährleistet; Änderungen werden umgehend in allen Landesservern wirksam.

Die Kommunikation zwischen den Applikationen erfolgt standardisiert und XML-basiert.

Wie erfolgt die sichere Kommunikation über DVDV?

Da die Kommunikation zwischen den Behörden über das NdB (Netz des Bundes) läuft, ist das Sicherheitsniveau als sehr hoch einzuschätzen.

Grundvoraussetzung für eine sichere Kommunikation über DVDV, d.h. um Antragsdaten an die korrekte Behörde zu adressieren, ist das Hinterlegen eines DVDV-Eintrags durch die „Pflegende Stelle“. Dafür ist ein entsprechendes Eintragungskonzept und damit verbunden eine Dienstevorlage im DVDV hinterlegt.

Warum kommt bei bestimmten EfA-Leistungen DVDV zum Einsatz?

Ein DVDV-Eintrag für die Nachnutzung bestimmter EfA-Leistungen ist erforderlich, wenn der EfA-Onlinedienst so entwickelt wurde, dass nur eine Anbindung über die DVDV-Kommunikation möglich ist. Zudem wurde von einem Teil der Fachverfahrenshersteller nach derzeitigem Stand ebenfalls der Datenaustausch über DVDV forciert.

Stellt FIT-Connect die technische Basis für die eigentliche Kommunikation zwischen den im DVDV verzeichneten Behörden dar?

Über DVDV sind Sender und Empfänger von Nachrichten eindeutig identifizierbar, indem entsprechende Postfachadressen, Behördenadressen, Zertifikatsinfos, etc. in diesem Verzeichnis hinterlegt sind. Die standardisierte Datenübermittlung würde mittels OSCI / XTA erfolgen. Dabei ist OSCI der Transportstandard für die einheitliche Übermittlung von Nachrichten in der IT-Infrastruktur für Fachverfahren der Verwaltung. XTA standardisiert fachübergreifend den Anschluss von Fachverfahren an die Übermittlungsinfrastruktur der Verwaltung.

FIT-Connect dagegen enthält bereits die Daten zur Identifizierung der Behörden sowie die Datenübermittlung.

Warum kann nicht immer auf eine FIT-Connect-Anbindung bei EfA-Projekten zurückgegriffen werden?

Erste Entwicklungsschritte der Onlinedienste im EfA-Kontext wurden bereits ab dem Jahr 2019 vollzogen. Zu dieser Zeit war die Möglichkeit einer Anbindung über FIT-Connect noch im Entstehen und konnte seitens der Onlinedienst-Entwickler nicht berücksichtigt werden. Die Fachverfahrenshersteller hatten sich entsprechend den Vorgaben der IT-Dienstleister für den Onlinedienst zunächst auf die Entwicklung von OSCI / XTA-Schnittstellen verständigt. Aufgrund der Interessenlage der Vollzugsbehörden ist derzeit ein Mind Change bei der Schnittstellentwicklung, die Onlinedienste und Fachverfahren betreffend, feststellbar.

Welche Datenstruktur liegt dem DVDV zugrunde?

Die Darstellung der wichtigsten Datenobjekte, ihre Felder sowie deren Bedeutung und damit verbunden der Datenfluss im DVDV-Kernsystem ist in der nachfolgenden Abbildung dargestellt:

Datenstruktur des DVDV (Quelle: DVDV-Verfahrensbeschreibung ITZBund)

Organisationen: DVDV Behörden, Privatunternehmen sowie sonstige Organisationen mit hoheitlichen Aufgaben. Organisationen sind die Kommunikationspartner in den unterschiedlichen Fachszenarien, die Dienste anbieten und/oder verwenden („konsumieren“), die wiederum andere Organisationen anbieten.

Organisationskategorien: sind den Organisationen und Dienstbeschreibungen im DVDV zugeordnet; ist bis zu vier Ebenen tief verschachtelt (z. B. erste Ebene: Behörde, Kammer, Portal, Privatwirtschaft usw.; zweite Ebene: u.a. Bauaufsichtsbehörde, Finanzamt, Meldebehörde, Standesamt, Wohngeldbehörde etc.). Die Zuordnung der obersten beiden Kategorien-Ebenen ist für sämtliche Organisationen obligatorisch, die Zuweisung einer dritten und vierten Ebene ist dagegen optional und wird derzeit in der Praxis auch nicht verwendet.

Organisationsschlüssel: Jeder im DVDV verzeichneten Organisation wird zu ihrer Identifikation ein Organisationsschlüssel zugeordnet. Der Aufbau des Organisationsschlüssels variiert je nach Fachstandard und Organisationskategorie und wird in einem sog. „Eintragungskonzept“ definiert (Präfix + „:“ + Organisations-ID).

Dienste: zentrale Elemente der im DVDV verzeichneten Daten. Organisationen bieten Dienste an oder verwenden („konsumieren“) diese. Dienste sind im DVDV verzeichnet, um von angebundenen Systemen aufgefunden zu werden und sind damit der Kern des Deutschen Verwaltungsdiensteverzeichnisses.

Dienstelemente: Daten, die die Ausprägung eines Dienstes eindeutig beschreiben und dem Dienstnutzer Informationen zur Erreichbarkeit des Dienstes liefern. Insbesondere sind dies konkrete Infrastrukturkomponenten, wie Intermediäre, URLs, Zertifikate und Ähnliches.

Wer ist die sogenannte „Pflegende Stelle“ in Thüringen?

Die Pflegende Stelle ist in Thüringen beim TLRZ angesiedelt. Die Kontaktdaten sind:dvdv@tlrz.thueringen.de

Beantragung DVDV-Eintrag

Grundlage für den digitalen Informationsaustausch und die Kommunikation zwischen den Behörden der öffentlichen Verwaltung in Deutschland ist der DVDV-Eintrag der Behördeninformationen (u. a. Adressdaten etc.) im Deutschen Verwaltungsdiensteverzeichnis. Über eine sogenannte DVDV Pflegende Stelle, die in jedem Bundesland vertreten ist, erfolgt die Pflege der Verzeichnisinhalte für das jeweilige Bundesland; in Thüringen liegt die Verantwortung der Pflegenden Stelle im Thüringer Landesrechenzentrum (TLRZ).

Häufig gestellte Fragen zu der Beantragung eines DVDV-Eintrags:

Was ist bei der Beantragung des DVDV-Eintrags zu beachten?

Für die Beantragung eines DVDV-Eintrags sollte dem fachlich zuständigen Ressort vom IT-Dienstleister des umsetzenden Landes das DVDV-Eintragskonzept bereitgestellt werden.

Dem Eintragungskonzept können der Dienst, der nachgenutzt werden soll, in Verbindung mit der DVDV-Organisationskategorie entnommen werden.

Für die Beauftragung einer DVDV-Verzeichnung bedarf es einer formellen Beantragung durch die jeweilige Behörde/ Gemeinde bei der Pflegenden Stelle Thüringen (TLRZ). Die dafür erforderlichen Angaben werden in eine E-Mailvorlage / Formular eingetragen und ausgefüllt an dvdv@tlrz.thueringen.de gesendet.

Erforderliche Angaben sind:

Angaben Bedeutung Details
Name und Adressdaten der Behörde die Anschrift wird im DVDV bei dem Organisationseintrag hinterlegt
Behördenkategorie = dient der Verzeichnung der Behörde entsprechend jeweiligem DVDV-Eintragungskonzept Beispielsweise: „Elterngeldstellen“
Behördenkennung

Die Behoerdenkennung fasst die Elemente zusammen, über die eine Behörde identifiziert werden kann. Die "Behoerdenkennung" ist prioritär zur Übermittlung der im DVDV verzeichneten Behördenschlüssel vorgesehen.

Diese Angaben sind dem jeweiligen DVDV-Eintragungskonzept zu entnehmen und bestehen i. d. R. aus vorangestelltem Präfix + achtstelligem amtlichen Gemeindeschlüssel (Ausnahme: Landesleistungen)

beispielsweise bei Elterngeld: „egs:“ → z.B. egs: 16XXXXXX0000 Produktion) „egs:“ → z.B. egs: 16XXXXXX0099 Test)
OSCI-Zertifikate

= Client-Zertifikate der Organisation, welche im DVDV-Kontext zur Authentifizierung der Organisation genutzt werden

Siehe Thema „OZG-Zertifikate“

  1. Bei bereits vorhandenen Zertifikaten: Angaben zu den benötigten Zertifikaten sowie deren öffentlichen Schlüssel
  2. Bei noch zu beantragenden Zertifikaten: Rücksprache mit der DVDV Pflegenden Stelle Thüringen (TLRZ) für Erhalt des entsprechenden CommonName
Dienste = die zentralen Elemente der im DVDV verzeichneten Daten. Organisationen bieten Dienste an oder verwenden („konsumieren“) diese. Dienste sind im DVDV verzeichnet, um von angebundenen Systemen aufgefunden zu werden und sind damit der Kern des Deutschen Verwaltungsdiensteverzeichnisses

Mit der Verzeichnung des Organisationseintrags kann die Behörde

  1. Absender von OSCI-Nachrichten sein
  2. Empfänger für OSCI-Nachrichten sein, hierzu erhält das TLRZ Mitteilungen über den zu verzeichnenden Dienst am Organisationseintrag + den gewünschten Zeitpunkt der Produktivsetzung

beispielsweis bei Elterngeld: xf041krankenkasse2elterngeldstelle ab tt.mm.jjjj

Intermediär Der Intermediär ist eine technisch erforderliche Komponente für die OSCI-konforme Übermittlung der Daten und stellt eine vertrauenswürdige Übermittlungsinstanz dar, welche eingehende Nachrichten prüft und weiterleitet. Dabei kommen Zertifikate zur Authentifizierung und Verschlüsselung zum Einsatz, die der Intermediär verifiziert. Grundsätzlich werden Nachrichten eines Senders im Rahmen des DVDV immer über einen Intermediär dem Empfänger zur Verfügung gestellt. Thüringer Intermediär (TLRZ) Referenz oder Produktion
AVV - Autragsverarbeitungsvertrag (AVV) Siehe Thema „Datenschutz“

Welche Kontaktdaten sollten bei der Beantragung eines Zertifikates verwendet werden?

Zu beachten ist, dass die Zertifikate keine personenbezogenen Daten enthalten dürfen, da dieses für eine Eintragung im DVDV nicht zulässig ist. Bei der angegebenen E-Mail sollte es sich um einen Funktionsmailadresse / einen Verteiler und nicht um eine personenbezogene E-Mail-Adresse handeln.

Wie erfolgt der Eintrag des DVDV-Antrags (Ablauf von Beantragung bis zum Eintrag)?

Ablaufschema zur DVDV-Beantragung (Quelle: TLRZ)

Wird zunächst ein DVDV-Testeintrag erstellt? Weshalb ist dieser Testeintrag notwendig?

Im Rahmen der DVDV-Eintragung wird im EfA-Kontext zunächst ein Testeintrag für jeweils eine Kommune je Fachverfahren erstellt. Mit diesem Vorgehen im Rahmen der Pilotierung soll sichergestellt werden, dass Testantragsdaten über den Thüringen-Intermediär (TLRZ) tatsächlich von dem verwendeten Fachverfahren abgerufen werden können.

Gibt es eine Art Katalog für die Behördenkategorien?

Der ITZ-Bund hat auf der Internetseite einen Katalog für die Behördenkategorien veröffentlicht.

Ist für die im Rahmen der Beantragung des DVDV-Eintrags anzugebenden Kontakt- und Adressdaten der Behörde die Bezeichnung (= Landratsamt bzw. Stadtverwaltung) oder der Name der juristischen Person (= Kreis bzw. Stadt) zu verwenden?

Nach Aussage des TLRZ ist die Bezeichnung der Behörde (= Landratsamt bzw. Stadtverwaltung) zu verwenden.

Ist es sinnvoll, bei den EfA-Leistungen im Common Name des erforderlichen Zertifikats auf die Verwendung im Rahmen von OZG zu verweisen?

Den Common Name des Zertifikats legt die Pflegende Stelle fest (z.B. "GRP:>>Behördenkürzel>> Behördenkategorie>> XStandard>> (OZG)"). Den Common Name mit einem entsprechenden OZG-Verweis zu versehen, ist für die Pflegende Stelle nicht zwingend erforderlich. Jedoch ist durch diesen eindeutigen Bezug auf den Bereich OZG im Rahmen der Zertifikatsbeantragung gewährleistet, dass bei einer möglichen Übernahme der Kosten der Zertifikate durch den Freistaat Thüringen (wie bereits im Jahr 2023 erfolgt) eine eindeutige Zuordnung erfolgen kann.

FIT-Connect-Anbindung

Häufig gestellte Fragen zu der Routingvariante FIT-Connect:

Was ist FIT-Connect?

FIT-Connect ist eine föderale Antragsdaten- Übermittlungs-Infrastruktur-Komponente der Verwaltungsdigitalisierung in Deutschland, die im Auftrag des IT-Planungsrats von der Föderalen IT-Kooperation (FITKO) entwickelt (2020-2022) und betrieben wird. FIT-Connect dient der elektronischen Übermittlung von Anträgen (Einreichungen) von einem Sender (Onlinedienst) zu einem adressierten Empfänger (Fachverfahren/Subscriber). Eine Beschreibung der einzelnen Dienste von FIT-Connect finden Sie auf den folgenden Seiten: Einführung in FIT-Connect, Anträge senden, Anträge empfangen

Hauptkomponenten von FIT-Connect sind:

1. Zustelldienst: Ermöglicht es IT-Systemen, Anträge über eine einheitliche Programmier-schnittstelle (API) maschinenlesbar bei der zuständigen Fachbehörde einzureichen.

2. Routingdienst: Mit Hilfe dieses Dienstes können Onlinedienste klären, welches Verwaltungs-system für eine Einreichung (Antrag, Bericht) zuständig ist.

3. Self Service Portal: Auf diesem Portal registrieren Verantwortliche für Onlinedienste und Verwaltungssysteme ihre Anwendungen zur Nutzung von FIT-Connect.

Welches Ziel verfolgt FIT-Connect?

FIT-Connect wurde vom IT-Planungsrat gezielt für zentral bereitgestellte Onlinedienste (EfA-Anträge) entwickelt.

Welchen Nutzen bringt FIT-Connect für ein Umsetzungsprojekt, in welchem sowohl ein Online-dienst als auch ein Fachverfahren an FIT-Connect angebunden werden?

FIT-Connect wurde darauf konzipiert, dass Onlinedienst und Fachverfahren voneinander entkoppelt sind. Dadurch lassen sich der Onlinedienst und das Fachverfahren getrennt entwickeln, pflegen und betreiben.

Was ist aus finanzieller Sicht bei der Nutzung von FIT-Connect zu beachten?

Seit 01.01.2023 wird FIT-Connect als Produkt des IT-Planungsrat durch diesen beworben und dauerhaft finanziert. Es entstehen keine Kosten durch die Nutzung.

Jedoch lassen sich die Fachverfahrenshersteller den erforderlichen Adapter zur Integration der FIT-Connect-Daten in das Fachverfahren bezahlen.

Was ist aus rechtlicher Sicht bei der Nutzung von FIT-Connect zu beachten?

Für die Anbindung an FIT-Connect im eingeschränkten Teilnehmendenkreis (Produktivumgebung) haben nutzende Behörden ihr Einverständnis zu den Nutzungsbedingungen zu erteilen. Die Nutzungsbedingungen sind unter Nutzungsbedingungen für die Anbindung an FIT-Connect im eingeschränkten Teilnehmendenkreis (Produktivumgebung) | FIT-Connect (fitko.de) abgelegt.

Muss auf Empfängerseite ein AVV geschlossen werden?

Auf Empfängerseite ist es nicht notwendig, einen AVV mit der FITKO zu schließen.

Was ist aus datenschutzrechtlicher Sicht bei der Nutzung von FIT-Connect zu beachten?

Die Vertraulichkeit der Übermittlung ist jederzeit gewährleistet, da eine Ende-zu-Ende Verschlüsse-lung standardmäßig für alle übermittelten Daten vorgesehen ist und bis in den Browser oder das Endgerät der Antragssteller:in oder Berichtsersteller:in möglich ist.

Was ist aus technischer Sicht bei der Nutzung von FIT-Connect zu beachten?

Für FIT-Connect ist kein DVDV-Eintragungskonzept erforderlich. Das DVDV ist über einen eigenen Microservice mit separatem Datenbestand an FIT-Connect angebunden. Bei der Eintragung von Zustellpunkten im Self-Service-Portal von FIT-Connect erfolgt die Eintragung über diesen DVDV-Microservice vollständig automatisch (in separatem Datenbestand!). Über den Routingdienst von FIT-Connect sind die im DVDV hinterlegten Parameter abrufbar. OSCI-Intermediär und XTA-Server sind nicht notwendig.

Welche Schritte sind bei der Anbindung von EfA-Diensten über FIT-Connect an das jeweilige Fachverfahren zu berücksichtigen?

Um ein Fachverfahren an FIT-Connect anzubinden, sind die nachfolgenden Schritte entsprechend dem Prozessablauf für Behörde notwendig.

Um die Kommunen bei der erfolgreichen Implementierung von FIT-Connect zu unterstützen, wurde von der FITKO ein übersichtlicher Leitfaden entwickelt, der die erforderlichen Schritte zusammenfasst.

Wenn eine Behörde mehrere Leistungen über FIT-Connect anbietet und für jede Leistung einen Zustellpunkt konfiguriert hat, muss dann für jeden Zustellpunkt ein eigenes Zertifikat verwendet werden?

Für die Behörde kann ein Zertifikat der Verwaltungs-PKI beantragt werden. Dieses Zertifikat kann für die Anbindung von bis zu 30 Verfahren Ihrer Behörde an FIT-Connect (unter Voraussetzung der Sicherheitseinhaltung) genutzt werden.

Was ist bei der Zertifikatsbeantragung zu beachten?

Für FIT-Connect benötigen Sie Zertifikate, die von der Verwaltungs-PKI (V-PKI) ausgestellt werden.

  1. Login-Daten beantragen: über das Webportal der Telekom Security (Trust Center) bei der zuständigen Registrierungsstelle; dazu für TH: E-Mail an mc-berlin.tsi@telekom.de mit dem Betreff „Zugangsdaten für DOI Zertifikat“ senden; Subdomäne: "Kommunikation Thüringen" auswählen; Hash-Algorithmus: "SHA-512" auswählen
  2. Antrag für ein V-PKI-Zertifikat erstellen
  3. Antrag stellen: Senden Sie Ihren Antrag auf ein V-PKI-Zertifikat an die zuständige Registrierungsstelle (Antrag herunterladen und bei der Registrierungsstelle einreichen).
  4. Zertifikat erhalten (Zertifikat vom Webportal der Telekom Security (Trust Center)) laden.
Leiten Zustellpunkte von sich aus Anträge an die Fachverfahren weiter?

Zustellpunkte stellen Anträge zur Abholung bereit. Empfangende Systeme fragen regelmäßig nach, ob für sie Einreichungen (Anträge) vorliegen, oder sie lassen sich via Callback informieren, sobald ein Antrag für sie im Zustellpunkt eingetroffen ist.

Wie ist der Support von FIT-Connect seitens der FITKO geregelt?

Die FITKO bietet über einen von ihr beauftragten Support-Dienstleister einen Support zur Anbindung von API-Clients an die FIT-Connect-Infrastruktur an.

Supportzeiten sind von Montag bis Freitag in der Zeit von 9:00 Uhr bis 15:30 Uhr.

Schriftliche Anfragen an die im Dokumentationsportal genannte Support-Adresse werden innerhalb von 72 Stunden beantwortet (Reaktionszeit).

Berechtigt zur Stellung von Supportanfragen sind Nutzer:innen mit Zugang zur eingeschränkten Produktivumgebung.

Gibt es eine Übersicht, welche Verwaltungssysteme, Onlinedienste und Behörden bereits an FIT-Connect angebunden sind?

Der Anbindungskatalog für FIT-Connect bietet eine transparente Übersicht über die Fachverfahren und Onlinedienste, die sich erfolgreich an FIT-Connect angebunden haben oder dies planen. Dieser Katalog dient dazu, Anbindungsinteressierten einen klaren Überblick über die bereits verfügbaren Produkte und Dienste bereitzustellen.

Welche Möglichkeiten gibt es, mehr über FIT-Connect zu erfahren?

In den Online-Veranstaltungen der FITKO zu FIT-Connect, die regelmäßig stattfinden, stehen die folgenden Themen zur Auswahl:

  1. FIT-Connect: Interessiertenkreis
    Agenda: Vorstellung FITKO, FIT-Connect & Anbindungsprozess
    Teilnehmer: Interessierte an der Nutzung von FIT-Connect
    Turnus: In der Regel jeden 1. Donnerstag im Monat zwischen 11 und 12 Uhr.
  2. FIT-Connect: Nutzendenkreis
    Agenda: Planung und Fortschritt Features / Releases, Vorstellung der Roadmap, konzeptionelle Diskussion aktueller Themen, Bearbeitung angefragter Themen
    Teilnehmer: Verantwortliche und Entscheidende, die mindestens in der Testumgebung von FIT-Connect arbeiten
    Turnus: In der Regel jeden letzten Donnerstag im Monat zwischen 11 und 12 Uhr.
  3. FIT-Connect: Technikkreis
    Agenda: Updates aus dem technischen Bereich von FIT-Connect. Klärung von technischen Rückfragen in Ergänzung zur Dokumentation. Erfahrungsaustausch und Feedback zwischen und aus den Anbindungsprojekten (u.a. Best Practices).
    Teilnehmer: Entwickler und Techniker aus den Anbindungsprojekten mit FIT-Connect
    Turnus: In der Regel jeden 2. Donnerstag im Monat zwischen 11 und 12 Uhr.
Anmeldung können über die Terminabfrage der FITKO erfolgen.

Zertifikatsbeschaffung

In verschiedenen Bereichen der öffentlichen Verwaltung hat der elektronische Datenaustausch die papiergebundenen Prozesse abgelöst. Zur Absicherung dieser elektronischen Kommunikation werden Sicherheitsmechanismen wie Verschlüsselung, Authentisierung und elektronische Signatur eingesetzt. Die Grundlage zur Nutzung dieser Sicherheitsmechanismen sind "elektronische Ausweise", so genannte Zertifikate.
Alle an DVDV teilnehmenden Behörden benötigen zu ihrer Authentifizierung Zertifikate. Darin sind Schlüssel für ihre eindeutige Identifizierung und die Verschlüsselung der Nachrichten enthalten. Das DVDV selbst stellt keine Zertifikate aus, verwendet sie aber.

Häufige grundsätzliche Fragen zur Zertifikatsbeschaffung:

1. Beantragung

Wofür wird ein Zertifikat benötigt?

Die Zertifikate werden für die Ende-zu-Ende-Verschlüsselung von Antragsdaten in Online-Diensten benötigt. Um einen Eintrag ins Deutsche Verwaltungsdiensteverzeichnis (DVDV) vornehmen zu können, wird der öffentliche Schlüssel des Zertifikats benötigt.

Damit die Pflegenden Stellen mit dem Pflegeclient auf die zentralen DVDV-Daten des Bundesmasters zugreifen können, benötigen sie ein gültiges Zertifikat. Ausgestellt werden die Zertifikate vom Technologiedienstleister TSystems. Er nutzt dafür eine Public Key Infrastructure (PKI). Das DVDV überprüft die Gültigkeit der Zertifikate anhand der Sperrlisten, die von der Zertifizierungsstelle oder certificate authority (CA) der NdB zur Verfügung gestellt werden.

Wie oft müssen Zertifikate erneuert werden?

Zertifikate müssen regelmäßig – in der Regel alle drei Jahre – erneuert werden.

Welches Zertifikat muss beantragt werden?

Behörden mit Zuordnung zu einem kommunalen Rechenzentrum oder anderen Dienstleistern (OSCI-Rolle Intermediär) benötigen ein Zertifikat der DOI-CA.

Wo kann das Zertifikat beantragt werden?

Das Zertifikat kann beispielsweise über die Telesec beantragt werden. Zur Beantragung eines DOI-CA Softwarezertifikates für OZG verwenden Sie bitte folgenden Link: https://doi.telesec.de/doi/ee

Das konkrete Vorgehen der Zertifikatsbeantragung ist in der vom TLRZ dokumentierten Benutzeranleitung OZG-Softwarezertifikat auf der Internetseite des TLRZ unter „Service / Support“ beschrieben.

Bei Rückfragen wenden Sie sich gerne an: Zertifikate@tlrz.thueringen.de


2. Private und öffentliche Schlüssel

Was ist eine asymmetrische Verschlüsselung?

Bei der asymmetrischen Verschlüsselung gibt es im Gegensatz zur symmetrischen Verschlüsselung immer zwei sich ergänzende Schlüssel:

  1. der Public Key – dient dem Verschlüsseln einer Nachricht,
  2. der Private Key – dient dem Entschlüsseln der Nachricht.

Zur Verschlüsselung wird der öffentliche Schlüssel auf den zu verschlüsselnden Text angewandt. Der verschlüsselte Text wird dann vom Schlüsselinhaber mit dem privaten Schlüssel wieder entschlüsselt.

Besonderes Merkmal der Public Key Infrastructure (PKI) ist die Zertifizierungsstelle. Das ist eine allgemein anerkannte Stelle, deren Aufgabe es ist, die jeweils einmaligen Schlüsselpaare (privater und öffentlicher Schlüssel) natürlichen Personen fest zuzuordnen und dies den Benutzern mittels "Zertifikaten" zu bestätigen. Dazu ist meist noch eine Public-Key-Infrastruktur notwendig, die die Gültigkeit der verwendeten Schlüssel durch Zertifikate bestätigt.

Wofür wird der private Schlüssel benötigt?

Private Schlüssel werden zum Entschlüsseln verwendet.

Private Schlüssel spielen in digitalen Zertifikaten eine grundlegende Rolle und bilden den Grundstein für eine sichere Online-Kommunikation.

Der private Schlüssel wird zum digitalen Signieren Ihrer Zertifikatsignierungsanforderung verwendet (CSR) und später, um Verbindungen zu Ihrem Server zu sichern und zu überprüfen.

Der private Schlüssel eines digitalen Zertifikats spielt eine entscheidende Rolle bei der Gewährleistung von Online-Sicherheit, Vertraulichkeit und Vertrauen. Die Wahrung der Geheimhaltung und Integrität privater Schlüssel ist für die Schaffung einer sicheren Online-Umgebung von entscheidender Bedeutung, in der Benutzer vertraulich Daten austauschen und sichere Transaktionen durchführen können.

Der Empfänger nutzt den privaten Schlüssel zum Abholen der OSCI-Nachricht vom Intermediär.

Was passiert mit dem privaten Schlüssel?

Der private Schlüssel verbleibt beim Admin der Kommune auf dem Rechner und darf nicht herausgegeben werden.

Warum ist der private Schlüssel ungültig, wenn er einmal herausgegeben wurde?

Mit dem Versand des privaten Schlüssels über öffentliche Netze kann der Schlüssel ausgespäht werden und ist daher nicht mehr sicher.

Wofür wird der öffentliche Schlüssel benötigt?

Der öffentliche Schlüssel wird zum Verschlüsseln verwendet.

DerDer öffentliche Schlüssel muss jedem zugänglich sein, der eine verschlüsselte Nachricht an den Besitzer des privaten Schlüssels senden will. Dabei muss sichergestellt sein, dass der öffentliche Schlüssel auch wirklich dem Empfänger zugeordnet ist.

Zertifikate für Verschlüsselung und ggf. Signatur liegen dem Sender vor (sie können z. B. aus dem DVDV abgerufen werden), d. h.:

  • Das Zertifikat mit dem öffentlichen Schlüssel des Empfängers
  • Das Zertifikat mit dem öffentlichen Schlüssel des Intermediärs für die Verschlüsselung der OSCI-Auftragsdaten.

Weiterführende Informationen:

  • Beschreibung der Zertifikatsinfrastruktur im DVDV
  • IT-Sicherheitstests

    Um ein angemessenes Sicherheitsniveau bei der Nachnutzung von OZG Online-Diensten gewährleisten zu können, führt das Thüringer Finanzministerium zusammen mit einer kommunalen Verwaltungsbehörde, welche an der Nachnutzung eines Dienstes interessiert ist, Tests mit Bezug zur IT-Sicherheit durch.

    Häufig gestellte Fragen zu den IT-Sicherheitstests:

    Handelt es sich bei dem durchgeführten Test um einen Penetrationstest?

    Es handelt sich bei dem durchgeführten Test nicht um einen Penetrationstest. Im Zuge des Tests wird auch geprüft, ob implementierte Sicherheitsfunktion wie gewünscht funktionieren, jedoch liegt der Fokus mehr auf der Nutzerfreundlichkeit aus Sicht des Anwenders.

    Warum ist ein IT-Sicherheitstest überhaupt notwendig?

    Das Vorhandensein bestimmter Sicherheitsfunktionen bei Online-Verwaltungsleistungen ist notwendig, um die Sicherheit und Vertrauenswürdigkeit der Verwaltungsdienste zu gewährleisten und einen Missbrauch zu verhindern. Aus Sicht der nachnutzenden Kommunen dienen Sicherheitsmerkmale dem Schutz eigener Systeme.

    Wie läuft ein solcher IT-Sicherheitstest ab?

    Ein Test läuft in drei Phasen ab:

    In der ersten Phase des Tests übersendet das Thüringer Finanzministerium ein Fragebogen an den Betreiber des Dienstes. Dieser Fragebogen ist ein Selbstauskunft des Betreibers, welcher grundlegende Aspekte des sicheren Betriebes beinhaltet. Hierzu zählen zum Beispiel

  • das Vorhandensein eines Sicherheitskonzeptes für den Online-Dienst,
  • eine Kontaktstelle für Support-Anfragen aber auch
  • technische Details (wie z.B. verwendete Verfahren zur verschlüsselten Übertragung von Daten).

  • Nachdem der Fragebogen durch das Thüringer Finanzministerium gesichtet und bewertet wurde, erfolgt in der zweiten Phase die praktische Durchführung. Nach einer Absprache mit dem IT-DL sowie dem umsetzenden Land des Online-Dienstes, dem TFM und ggf. dem Fachressort wird der praktische Test durch Bedienstete der nachnutzenden Kommune (in Vertretung für alle Kommunen) übernommen. Sie schlüpfen in die Rolle eines Antragstellers, durchlaufen den Prozess der Antragserstellung und laden spezielle Testdateien als Anhänge zu ihrem Antrag in das Verfahren. Die Reaktionen des Systems, das Feedback an den Antragsteller und besondere Vorkommnisse werden dabei in einem Protokoll dokumentiert.

    Im dritten und letzten Schritt wird das Protokoll in der Arbeitsgruppe Informationssicherheit vorgestellt. Die Mitglieder der AG beurteilen das Ergebnis des durchgeführten Tests. Insofern es noch Fragen oder offene Punkte aus einem Test gibt, werden diese durch das TFM an den Betreiber bzw. das federführende Bundesland kommuniziert. Wenn kein Handlungsbedarf identifiziert wird, gilt ein Test als bestanden. Das Protokoll zum Test wird daraufhin im OZG-Manager veröffentlicht, so das Kommunen mit dem Interesse an einer Nachnutzung auf die Informationen zugreifen können.

    Wie wird Problemen umgegangen, die im Rahmen der Testdurchführung ermittelt werden?

    Sollte im Zuge der Durchführung eines Tests festgestellt werden, dass ein implementierter Sicherheitsmechanismus nicht wie gewünscht funktioniert oder dass das Feedback an den Antragsteller unzureichend ist, werden die erkannten Probleme durch das TFM an das federführende Land bzw. den Betreiber des Dienstes kommuniziert. Die schnelle Beseitigung identifizierter Mängel steht dabei im Vordergrund.

    Welche Dateien werden für den Test verwendet?

    Die Testdateien werden durch das Thüringer Landesrechenzentrum geprüft und zur Verfügung gestellt. Es handelt sich dabei um verschiedene Dateien unterschiedlicher Formate, um bestimmte Sicherheitsmechanismen auf ihre korrekte Funktionsweise hin prüfen zu können. Konkret beinhalten die für Tests vorgesehen Dateien folgende Typen

  • umbenannte Dateien mit anderen Endungen,
  • EICAR-Testdateien,
  • Dateien mit aktiven Inhalten (z.B. Makros) und
  • normale Bilddateien und Dokument.

  • Die Testdateien sind alle unschädlich und deren Nutzung hat keine negativen Folgen (z.B. Virenbefallen).

    Was sind EICAR-Testdateien?

    Es handelt sich hierbei um ein Testmuster, das durch das European Institute for Computer Antivirus Research (EICAR) bereitgestellt wird und dem Test der korrekten Funktionsweise von Antiviren Software dient. Im Wesentlichen beinhalten die Testdateien eine spezifische Zeichenfolge, die von gängigen Lösungen zum Schutz vor Computerviren als vermeintlicher „Virus“ erkannt wird. Die Dateien sind alle unschädlich. Ihre Verwendung hat keinerlei negative Folgen.

    Wie erfolgt die Bereitstellung der Testdateien?

    Das TFM stellt die Testdateien in ihrer jeweils aktuellen Version über eine dafür eingerichtete Webseite (Gitlab) zur Verfügung. Interessierte Kommunen bekommen einen Zugang auf Anfrage bereitgestellt. Die Beantragung erfolgt schriftlich und Bereitstellung folgender Informationen:

  • Name,
  • Benennung der Dienststelle,
  • dienstliche E-Mail-Adresse sowie
  • dienstliche Telefonnummer.

  • Bitte die genannten Informationen zusammen mit dem Wunsch, einen Zugang zur Webseite (Gitlab) zu erhalten, an das Funktionspostfach ozg@tfm.thueringen.de.

    Sind die Testdateien wirklich unschädlich?

    Die Dateien wurden speziell für den Test der Onlinedienste durch Experten des Thüringer Landesrechenzentrums entwickelt und anschließend getestet. Die Bereitstellung erfolgt durch das Thüringer Finanzministerium über eine spezielle Webseite (Gitlab). Die Administration der Seite erfolgt aus dem gesicherten Netz der Thüringer Landesverwaltung heraus.

    Basisdienste 

    Basisdienste und Basiskomponenten sind zentrale IT-Dienstleistungen und technische Bausteine, die die Grundlage für die digitale Verwaltung bilden. Basisdienste umfassen allgemeine, übergreifende Dienstleistungen wie Identitätsmanagement, Bezahlfunktionen und Dokumentenmanagement. Sie ermöglichen eine reibungslose, sichere und effiziente Interaktion zwischen Bürgern, Unternehmen und der öffentlichen Verwaltung.

    Digitale Identitäten, Nutzerkonten & Postfächer

    Nutzerkonten ermöglichen eine sichere Identifikation und Authentifizierung von Bürgerinnen, Bürgern und Organisationen bei der Inanspruchnahme von Verwaltungsleistungen.

    Häufig gestellte Fragen zur BundID:

    Was ist die BundID?

    Der Bund hat zur Erfüllung seiner gesetzlichen Umsetzungsverpflichtung im Bereich der Bundesverwaltung ein OZG-konformes Nutzerkonto, genannt „BundID“ für natürliche Personen bereitgestellt. Die BundID wird durch das BMI verantwortet und basiert auf einer Entwicklung der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB).

    Welche Funktionen beinhaltet die BundID?

    Die BundID bietet eine Vielzahl von Funktionen. Dazu gehören temporäre Nutzerkonten, die ohne Registrierung genutzt werden können, sowie dauerhafte Nutzerkonten, die eine Registrierung erfordern. Bei den dauerhaften Nutzerkonten steht zudem ein elektronischer Postkorb gemäß § 9 OZG zur Verfügung, das sogenannte Zentrale Bürgerpostfach (ZBP). Das ZBP ermöglicht eine medienbruchfreie Bekanntgabe und Zustellung von Bescheiden gemäß § 3a VwVfG und dient als "Rückkanal".
    Die BundID unterstützt verschiedene Vertrauensniveaus: niedriges Vertrauensniveau (Benutzername und Passwort), substanzielles Vertrauensniveau (Registrierung mit Elsterzertifikat) und hohes Vertrauensniveau (eID, nPA). Zudem bietet sie eIDAs-Authentifizierung und kann von Bund, Ländern, Kommunen sowie unmittelbaren Verwaltungen wie Industrie- und Handelskammern (IHKs) oder Hochschulen nachgenutzt werden.

    Wer ist der Adressat und wie ist die OZG-Verortung?

    Jeder Online-Dienst, welcher Anforderungen an die Identität seiner Nutzer (natürliche Personen) stellt, kann die BundID für die Identifizierung auf dem gewünschten Vertrauensniveau nutzen.

    Wie ist der Ausblick zur Nutzung der BundID?

    Das OZG 2.0 verpflichtet die Bundesländer zur Nachnutzung der BundID. Diese wird zur DeutschlandID weiterentwickelt und löst die interoperablen Länderservicekonten (u.a. das Thüringer Servicekonto) ab.

    Wie funktioniert die Nachnutzung der BundID in Thüringen?

    Noch nicht an das Thüringer Servicekonto angebundene Online-Dienste können direkt bei deren Umsetzung an die BundID anbinden. Für bestehende Onlinedienste mit einer Integration des Thüringer Servicekonto ist langfristig die Umstellung auf die BundID geplant. Im Übergangszeitraum werden bereits an das Thüringer Servicekonto (mittels OpenID Connect) angebundene Online-Dienste durch eine zentral betriebene Komponente (ID Mercury) im TLRZ an die BundID (mittels SAML) angebunden. Bestehende Nutzerkonten im Thüringer Servicekonto werden nicht migriert.

    Kontakt bei weiteren Fragen: servicekonto@tlrz.thueringen.de

    Häufig gestellte Fragen zu Mein Unternehmenskonto (ELSTER):

    Was ist das Mein Unternehmenskonto?

    Mein Unternehmenskonto dient zur Identifizierung, Authentifizierung und Kommunikation bei der Nutzung digitaler Verwaltungsleistungen. Die Grundlage dafür sind ELSTER-Organisationszertifikate.

    Welche Funktionen beinhaltet das Mein Unternehmenskonto?

    Mein Unternehmenskonto umfasst verschiedene Komponenten, darunter das Authentifizierungsmodul (NEZO), das Postfach 2.0 und die Single-Sign-On-Funktion.

    Wer ist der Adressat und wie ist die OZG-Verortung?

    Mein Unternehmenskonto kann von den in § 3 Abs. 1 des Unternehmensbasisregistergesetzes (UBRegG) genannten Organisationen genutzt werden. Dazu gehören insbesondere juristische Personen, Vereinigungen sowie natürliche Personen, die beruflich oder gewerblich tätig sind. Darüber hinaus ist eine Nutzung auch durch Behörden im Sinne von § 1 Abs. 4 des Verwaltungsverfahrensgesetzes (VwVfG) möglich.

    Wie funktioniert die Nachnutzung von Mein Unternehmenskonto in Thüringen?

    Alle notwendigen Informationen finden sich unter Downloads.

    Kontakt bei weiteren Fragen: servicekonto@tlrz.thueringen.de

    Bezahldienste - ePayBL

    Bezahldienste sind interoperable Komponenten, die Zahlungen von Nutzenden an Behörden ermöglichen. Verschiedene Bezahldienste werden von Bundes-, Landes- und Kommunalbehörden eingesetzt, um sichere Zahlungstransaktionen zwischen Bürgerinnen und Bürgern, Zahlungsprovidern und den behördlichen Haushalts-, Kassen- und Rechnungssystemen sicherzustellen. Der Schnittstellenstandard "XBezahldienste" ermöglicht es Bürgerinnen und Bürgern, Transaktionen bei EfA-Onlinediensten unabhängig von der genutzten ePayment-Lösung über alle Verwaltungsebenen hinweg durchzuführen.

    Häufig gestellte Fragen zu Bezahldiensten:

    Was ist ePayBL und wie ist die OZG-Verortnung?

    Die ePayment-Lösung „ePayBL“ (ePayment Bund-Länder) bietet den Behörden und Einrichtungen der Thüringer Landes- und Kommunalverwaltung sowie den Körperschaften des öffentlichen Rechts die Möglichkeit, Gebühren mittels Internetzahlungen, wie Kreditkartenzahlungen, PayPal und Giropay zu vereinnahmen. Sie stellt die zentrale Komponente zur Abwicklung von Zahlungen im Rahmen der digitalen Verwaltungsdienste gemäß dem Onlinezugangsgesetz (OZG) dar.

    Welche Anbindungsschritte sind bei einer Nutzung der ePayment-Lösung „ePayBL“ in Thüringen notwendig?

    Die Kommunen können zunächst Informationen bezüglich der ePayment-Lösung „ePayBL“ anfordern. Die ersten Informationen zur ePayment-Lösung „ePayBL“ finden Sie auf folgender Seite (Passwort: !3P4ym3n7!).
    In den abgelegten Dokumenten finden Sie Erstinformationen, Rahmenbedingungen, Informationen zu weiteren Fachverfahren, ein Handbuch für die dezentrale Administration (HDA) und vieles mehr.

    Kontakt bei weiteren Fragen: epayment@tlrz.thueringen.de.

    Wie sollte mit der kommunalen Gebührenerhebung bei elektronischen Verwaltungsleistungen umgegangen werden?

    Unterschiedliche Transaktionskosten für elektronische Bezahlverfahren (ePayment) stellen eine Problematik für Kommunen dar, die diese Kosten auf die Bürger umlegen möchten. Die Höhe der Transaktionskosten variiert je nach gewähltem Bezahlverfahren und den damit verbundenen Gebühren. Diese Kosten basieren auf den Vertragsbeziehungen, die Kommunen mit Zahlungsverkehrsprovidern haben, welche privatwirtschaftliche Gewinninteressen verfolgen und dabei Gestaltungsfreiheit genießen.
    Das TFM hat keine Einflussmöglichkeiten auf diese Vertragsbeziehungen. Kommunen können die Bezahlverfahren zwar individuell auswählen, doch Einschränkungen in der Auswahl könnten die Akzeptanz der Bürger verringern. Eine mögliche Alternative wäre eine Mischkalkulation der Gebührenhöhe, die auf der Nutzungshäufigkeit bestimmter Bezahlverfahren basiert.

    Wie funktioniert eine Nutzung der ePayBL in ThAVEL?

    Die ePayBL ist bereits an ThAVEL angebunden. Über die Option „Bezahlverfahren wählen“ kann der Payment Service des TLRZ ausgewählt werden. Anschließend erfolgt die Konfiguration des Bezahlverfahrens auf Grundlage der bereitgestellten Konfigurationsformulare. Für jeden Mandanten muss ein Client-Zertifikat über das ePayBL System beantragt werden. Während des gesamten Prozesses bieten das TLRZ und KIV Unterstützung an.

    Kontakt bei weiteren Fragen:

      Für Landesverwaltung / Körperschaften des öffentlichen Rechts:
      Betreiber und fachlicher Ansprechpartner für ePayBL Software ist das Thüringer Landesrechenzentrum (TLRZ): epayment@tlrz.thueringen.de
      Für Kommunalverwaltung:
      Ansprechpartner ist die Kommunale Informationsverarbeitung Thüringen GmbH (KIV): epayment@kiv-thueringen.de

    Weitere Basisdienste

    Routing & Transporting

    Routing- und Transportkomponenten sind entscheidend für die elektronische Übermittlung der Antragsdaten von EfA-Onlineleistungen in das Backend der Verwaltung. Hierbei müssen sowohl die zuständige Behörde bzw. das Fachverfahren identifiziert als auch die technischen Adressdaten ermittelt werden. Zu den Routing- und Transportkomponenten gehören die OSCI/XTA-Infrastrukturen (Transport) und das DVDV (Dienste Verzeichnis).
    Durch einen Klick hier erhalten Sie zusätzliche Informationen.

    Kontakt bei weiteren Fragen: dvdv@tlrz.thueringen.de

    Zuständigkeitsfinder

    Der Zuständigkeitsfinder ist ein Basisdienst des Freistaats Thüringen in Kooperation mit den Thüringer Kommunen. Er stellt je nach Informationsbedarf für Situationen wie z.B. Geburt, Heirat, Umzug usw. Auskünfte zu Verwaltungsleistungen sowie die amtlichen Formulare zum Download bereit.
    Durch einen Klick hier erhalten Sie zusätzliche Informationen.

    Kontakt bei weiteren Fragen: zufi-zentralredaktion@tfm.thueringen.de

    Thüringer Antragssystem für Verwaltungsleistung (ThAVEL)

    ThAVEL ist ein zentrales Antragsmanagementsystem für Behörden, das vom Freistaat Thüringen mit entwickelt wurde. In der Kommunikation mit dem Bürger ermöglicht es die intuitive, elektronische Antragstellung von Verwaltungsleistungen über das Internet. Dabei fügt sich ThAVEL in die bestehenden Internetauftritte der Behörden bzw. Kommunen ein.
    Durch einen Klick hier erhalten Sie zusätzliche Informationen.

    Kontakt bei weiteren Fragen:

  • dirk.funke@tfm.thueringen.de
  • sandra.hecht@tfm.thueringen.de
  • Vertrauensniveau

    Um Online-Verwaltungsleistungen zu nutzen, müssen sich Antragsteller sicher identifizieren. Analog erfolgt dies durch Vorzeigen des Personalausweises oder einer Ausweiskopie. Digital geschieht die Identifikation in der Regel über ein Nutzerkonto (z.B. Bürgerkonto), das verschiedene Vertrauensniveaus bietet. Diese Vertrauensniveaus bestimmen, wie sicher und vertrauenswürdig die Herkunft der Nutzerdaten ist und welche Anmeldemethoden zur Identifizierung genutzt werden.

    Häufig gestellte Fragen zum Vertrauensniveau:

    Was bedeutet Vertrauensniveau?

    Das Vertrauensniveau bestimmt, wie sicher und vertrauenswürdig die Herkunft der Nutzerdaten ist und welche Anmeldemethoden zur Identifizierung genutzt werden. Es gibt drei Arten von Vertrauensniveaus gemäß der eIDAS-Verordnung: Niedrig, Substanziell und Hoch.

    Warum ist eine sichere Identifikation bei Online-Verwaltungsleistungen notwendig?

    Die sichere Identifikation der Antragsteller bei Online-Verwaltungsleistungen ist notwendig, um die Sicherheit und Vertrauenswürdigkeit der Verwaltungsdienste zu gewährleisten und Missbrauch zu verhindern.

    Wie erfolgt die digitale Identifikation und welche Technologien zur Authentisierung werden angeboten?

    Die digitale Identifikation erfolgt durch ein Nutzerkonto, wie beispielsweise ein Bürger- oder Organisationskonto, das verschiedene Vertrauensniveaus bietet. Bei der Basisregistrierung erfolgt die Authentisierung mittels Benutzername und Passwort. Auf substanzieller Ebene werden ELSTER-Zertifikate verwendet. Das höchste Vertrauensniveau wird durch den elektronischen Identitätsnachweis mittels der Online-Ausweisfunktion des Personalausweises, der eID-Karte oder des elektronischen Aufenthaltstitels erreicht.

    Wie wird das Vertrauensniveau ermittelt?

    Durch die Fachverantwortlichen des Online-Dienstes wird das Vertrauensniveau unter Beteiligung von IT-Sicherheits- und Datenschutzbeauftragten ermittelt. Dabei werden potenzielle Schäden, Eintrittswahrscheinlichkeiten und der Schutzbedarf berücksichtigt. Mit dem Praxistool Vertrauensniveau können die für Online-Dienste notwendigen Vertrauensniveaus ermittelt werden: Praxistool Vertrauensniveau.

    Welche Faktoren werden bei der Zuordnung von Vertrauensniveaus berücksichtigt?

    Das Vertrauensniveau wird basierend auf Gefährdungen, potenziellen Schäden und Eintrittswahrscheinlichkeiten ermittelt. Wenn mehrere Gefährdungen relevant sind, wird das Maximum berücksichtigt. Der Prozess umfasst die Identifizierung, Willenserklärung und Dokumentenübermittlung und wird strukturiert dokumentiert.

    Kann sich das Vertrauensniveau ändern?

    Ja, das Vertrauensniveau kann sich ändern, basierend auf Erfahrungen der Behörde und einer Risikoanalyse. Wenn die tatsächliche Eintrittswahrscheinlichkeit von der abstrakten Bewertung abweicht, kann das Vertrauensniveau angepasst werden.

    Können konkrete Erfahrungen der Kommunen das Vertrauensniveau beeinflussen?

    Ja, Kommunen können konkrete Erfahrungen einbeziehen, um das Vertrauensniveau bei abweichenden Eintrittswahrscheinlichkeiten anzupassen. Risikoanalysen bieten vergleichbare Beispiele zur Bewertung.

    Wie können Behörden sicherstellen, dass das Vertrauensniveau angemessen ist?

    Um sicherzustellen, dass das Vertrauensniveau angemessen ist, sollten die Fachverantwortlichen regelmäßig die Risiken bewerten, Erfahrungen der Behörde berücksichtigen und bei Bedarf Anpassungen vornehmen. Eine kontinuierliche Überwachung und Evaluation der Sicherheitsmaßnahmen ist entscheidend, um sicherzustellen, dass das Vertrauensniveau den aktuellen Anforderungen entspricht.


    Kontakt bei weiteren Fragen:

    Für allgemeine Anfragen können Sie sich gern per E-Mail an ozg@tfm.thueringen.de wenden.