Im DVDV werden die technischen Verbindungsparameter aller öffentlichen Dienste bereitgestellt, die zu ihrer Nutzung benötigt werden.

Das bedeutet konkret: Das Verzeichnis wird für alle Behörden bereitgestellt – sowohl für die des Bundes, der Länder und auch der Kommunen. Der Bund ist dabei federführend zuständig.

DVDV wird von Bund, Ländern und Kommunen gemeinsam bereitgestellt. Das DVDV ist als verteiltes System und Verbundverfahren aufgebaut und besteht aus einem sog. Bundesmaster sowie mehreren DVDV-Servern in verschiedenen Bundesländern, die sich paarweise vertreten.

Aufbau der DVDV-Infrastruktur (Quelle: ITZBund)

Das Deutsche Verwaltungsdiensteverzeichnis (DVDV) ermöglicht es E-Government-Anwendungen, deutschlandweit sicher und rechtskonform Daten auszutauschen.

In diesem Verzeichnisdienst können technische Verbindungsdaten von Online-Diensten der öffentlichen Verwaltung hinterlegt werden, die zu ihrer Adressierung und Nutzung benötigt werden. Hauptsächliche Nutzer des Verzeichnisses sind Applikationen beziehungsweise Programme, u. a. Onlinedienste und Fachverfahren.

Kern der verteilten Infrastruktur ist der Bundesmaster, der durch das Informationstechnikzentrum Bund (ITZBund) bereitgestellt wird. Sämtliche schreibenden Zugriffe auf den Datenbestand werden ausschließlich hier und nur durch berechtigte „Pflegende Stellen“ über einen „Pflege-Client“ vorgenommen.

Lesende Zugriffe, also Anfragen von beispielsweise Onlinediensten und Fachverfahren an das DVDV, richten sich immer an die sogenannten DVDV-Server des jeweiligen Bundeslandes, niemals an den Bundesmaster. Diese teilen sich die Anfragelast und springen bei einem Ausfall gegenseitig ein. Durch die zentrale Replikation ist überall stets derselbe Datenbestand gewährleistet; Änderungen werden umgehend in allen Landesservern wirksam.

Die Kommunikation zwischen den Applikationen erfolgt standardisiert und XML-basiert.

Da die Kommunikation zwischen den Behörden über das NdB (Netz des Bundes) läuft, ist das Sicherheitsniveau als sehr hoch einzuschätzen.

Grundvoraussetzung für eine sichere Kommunikation über DVDV, d.h. um Antragsdaten an die korrekte Behörde zu adressieren, ist das Hinterlegen eines DVDV-Eintrags durch die „Pflegende Stelle“. Dafür ist ein entsprechendes Eintragungskonzept und damit verbunden eine Dienstevorlage im DVDV hinterlegt.

Ein DVDV-Eintrag für die Nachnutzung bestimmter EfA-Leistungen ist erforderlich, wenn der EfA-Onlinedienst so entwickelt wurde, dass nur eine Anbindung über die DVDV-Kommunikation möglich ist. Zudem wurde von einem Teil der Fachverfahrenshersteller nach derzeitigem Stand ebenfalls der Datenaustausch über DVDV forciert.

Über DVDV sind Sender und Empfänger von Nachrichten eindeutig identifizierbar, indem entsprechende Postfachadressen, Behördenadressen, Zertifikatsinfos, etc. in diesem Verzeichnis hinterlegt sind. Die standardisierte Datenübermittlung würde mittels OSCI / XTA erfolgen. Dabei ist OSCI der Transportstandard für die einheitliche Übermittlung von Nachrichten in der IT-Infrastruktur für Fachverfahren der Verwaltung. XTA standardisiert fachübergreifend den Anschluss von Fachverfahren an die Übermittlungsinfrastruktur der Verwaltung.

FIT-Connect dagegen enthält bereits die Daten zur Identifizierung der Behörden sowie die Datenübermittlung.

Erste Entwicklungsschritte der Onlinedienste im EfA-Kontext wurden bereits ab dem Jahr 2019 vollzogen. Zu dieser Zeit war die Möglichkeit einer Anbindung über FIT-Connect noch im Entstehen und konnte seitens der Onlinedienst-Entwickler nicht berücksichtigt werden. Die Fachverfahrenshersteller hatten sich entsprechend den Vorgaben der IT-Dienstleister für den Onlinedienst zunächst auf die Entwicklung von OSCI / XTA-Schnittstellen verständigt. Aufgrund der Interessenlage der Vollzugsbehörden ist derzeit ein Mind Change bei der Schnittstellentwicklung, die Onlinedienste und Fachverfahren betreffend, feststellbar.

Die Darstellung der wichtigsten Datenobjekte, ihre Felder sowie deren Bedeutung und damit verbunden der Datenfluss im DVDV-Kernsystem ist in der nachfolgenden Abbildung dargestellt:

Datenstruktur des DVDV (Quelle: DVDV-Verfahrensbeschreibung ITZBund)

Organisationen: DVDV Behörden, Privatunternehmen sowie sonstige Organisationen mit hoheitlichen Aufgaben. Organisationen sind die Kommunikationspartner in den unterschiedlichen Fachszenarien, die Dienste anbieten und/oder verwenden („konsumieren“), die wiederum andere Organisationen anbieten.

Organisationskategorien: sind den Organisationen und Dienstbeschreibungen im DVDV zugeordnet; ist bis zu vier Ebenen tief verschachtelt (z. B. erste Ebene: Behörde, Kammer, Portal, Privatwirtschaft usw.; zweite Ebene: u.a. Bauaufsichtsbehörde, Finanzamt, Meldebehörde, Standesamt, Wohngeldbehörde etc.). Die Zuordnung der obersten beiden Kategorien-Ebenen ist für sämtliche Organisationen obligatorisch, die Zuweisung einer dritten und vierten Ebene ist dagegen optional und wird derzeit in der Praxis auch nicht verwendet.

Organisationsschlüssel: Jeder im DVDV verzeichneten Organisation wird zu ihrer Identifikation ein Organisationsschlüssel zugeordnet. Der Aufbau des Organisationsschlüssels variiert je nach Fachstandard und Organisationskategorie und wird in einem sog. „Eintragungskonzept“ definiert (Präfix + „:“ + Organisations-ID).

Dienste: zentrale Elemente der im DVDV verzeichneten Daten. Organisationen bieten Dienste an oder verwenden („konsumieren“) diese. Dienste sind im DVDV verzeichnet, um von angebundenen Systemen aufgefunden zu werden und sind damit der Kern des Deutschen Verwaltungsdiensteverzeichnisses.

Dienstelemente: Daten, die die Ausprägung eines Dienstes eindeutig beschreiben und dem Dienstnutzer Informationen zur Erreichbarkeit des Dienstes liefern. Insbesondere sind dies konkrete Infrastrukturkomponenten, wie Intermediäre, URLs, Zertifikate und Ähnliches.

Die Pflegende Stelle ist in Thüringen beim TLRZ angesiedelt. Die Kontaktdaten sind:dvdv@tlrz.thueringen.de

Für die Beantragung eines DVDV-Eintrags sollte dem fachlich zuständigen Ressort vom IT-Dienstleister des umsetzenden Landes das DVDV-Eintragskonzept bereitgestellt werden.

Dem Eintragungskonzept können der Dienst, der nachgenutzt werden soll, in Verbindung mit der DVDV-Organisationskategorie entnommen werden.

Für die Beauftragung einer DVDV-Verzeichnung bedarf es einer formellen Beantragung durch die jeweilige Behörde/ Gemeinde bei der Pflegenden Stelle Thüringen (TLRZ). Die dafür erforderlichen Angaben werden in eine E-Mailvorlage / Formular eingetragen und ausgefüllt an dvdv@tlrz.thueringen.de gesendet.

Erforderliche Angaben sind:

Zu beachten ist, dass die Zertifikate keine personenbezogenen Daten enthalten dürfen, da dieses für eine Eintragung im DVDV nicht zulässig ist. Bei der angegebenen E-Mail sollte es sich um einen Funktionsmailadresse / einen Verteiler und nicht um eine personenbezogene E-Mail-Adresse handeln.

Ablaufschema zur DVDV-Beantragung (Quelle: TLRZ)

Im Rahmen der DVDV-Eintragung wird im EfA-Kontext zunächst ein Testeintrag für jeweils eine Kommune je Fachverfahren erstellt. Mit diesem Vorgehen im Rahmen der Pilotierung soll sichergestellt werden, dass Testantragsdaten über den Thüringen-Intermediär (TLRZ) tatsächlich von dem verwendeten Fachverfahren abgerufen werden können.

Der ITZ-Bund hat auf der Internetseite einen Katalog für die Behördenkategorien veröffentlicht.

Nach Aussage des TLRZ ist die Bezeichnung der Behörde (= Landratsamt bzw. Stadtverwaltung) zu verwenden.

Den Common Name des Zertifikats legt die Pflegende Stelle fest (z.B. "GRP:>>Behördenkürzel>> Behördenkategorie>> XStandard>> (OZG)"). Den Common Name mit einem entsprechenden OZG-Verweis zu versehen, ist für die Pflegende Stelle nicht zwingend erforderlich. Jedoch ist durch diesen eindeutigen Bezug auf den Bereich OZG im Rahmen der Zertifikatsbeantragung gewährleistet, dass bei einer möglichen Übernahme der Kosten der Zertifikate durch den Freistaat Thüringen (wie bereits im Jahr 2023 erfolgt) eine eindeutige Zuordnung erfolgen kann.

FIT-Connect ist eine föderale Antragsdaten- Übermittlungs-Infrastruktur-Komponente der Verwaltungsdigitalisierung in Deutschland, die im Auftrag des IT-Planungsrats von der Föderalen IT-Kooperation (FITKO) entwickelt (2020-2022) und betrieben wird. FIT-Connect dient der elektronischen Übermittlung von Anträgen (Einreichungen) von einem Sender (Onlinedienst) zu einem adressierten Empfänger (Fachverfahren/Subscriber). Eine Beschreibung der einzelnen Dienste von FIT-Connect finden Sie auf den folgenden Seiten: Einführung in FIT-Connect, Anträge senden, Anträge empfangen

Hauptkomponenten von FIT-Connect sind:

1. Zustelldienst: Ermöglicht es IT-Systemen, Anträge über eine einheitliche Programmier-schnittstelle (API) maschinenlesbar bei der zuständigen Fachbehörde einzureichen.

2. Routingdienst: Mit Hilfe dieses Dienstes können Onlinedienste klären, welches Verwaltungs-system für eine Einreichung (Antrag, Bericht) zuständig ist.

3. Self Service Portal: Auf diesem Portal registrieren Verantwortliche für Onlinedienste und Verwaltungssysteme ihre Anwendungen zur Nutzung von FIT-Connect.

FIT-Connect wurde vom IT-Planungsrat gezielt für zentral bereitgestellte Onlinedienste (EfA-Anträge) entwickelt.

FIT-Connect wurde darauf konzipiert, dass Onlinedienst und Fachverfahren voneinander entkoppelt sind. Dadurch lassen sich der Onlinedienst und das Fachverfahren getrennt entwickeln, pflegen und betreiben.

Seit 01.01.2023 wird FIT-Connect als Produkt des IT-Planungsrat durch diesen beworben und dauerhaft finanziert. Es entstehen keine Kosten durch die Nutzung.

Jedoch lassen sich die Fachverfahrenshersteller den erforderlichen Adapter zur Integration der FIT-Connect-Daten in das Fachverfahren bezahlen.

Für die Anbindung an FIT-Connect im eingeschränkten Teilnehmendenkreis (Produktivumgebung) haben nutzende Behörden ihr Einverständnis zu den Nutzungsbedingungen zu erteilen. Die Nutzungsbedingungen sind unter Nutzungsbedingungen für die Anbindung an FIT-Connect im eingeschränkten Teilnehmendenkreis (Produktivumgebung) | FIT-Connect (fitko.de) abgelegt.

Auf Empfängerseite ist es nicht notwendig, einen AVV mit der FITKO zu schließen.

Die Vertraulichkeit der Übermittlung ist jederzeit gewährleistet, da eine Ende-zu-Ende Verschlüsse-lung standardmäßig für alle übermittelten Daten vorgesehen ist und bis in den Browser oder das Endgerät der Antragssteller:in oder Berichtsersteller:in möglich ist.

Für FIT-Connect ist kein DVDV-Eintragungskonzept erforderlich. Das DVDV ist über einen eigenen Microservice mit separatem Datenbestand an FIT-Connect angebunden. Bei der Eintragung von Zustellpunkten im Self-Service-Portal von FIT-Connect erfolgt die Eintragung über diesen DVDV-Microservice vollständig automatisch (in separatem Datenbestand!). Über den Routingdienst von FIT-Connect sind die im DVDV hinterlegten Parameter abrufbar. OSCI-Intermediär und XTA-Server sind nicht notwendig.

Um ein Fachverfahren an FIT-Connect anzubinden, sind die nachfolgenden Schritte entsprechend dem Prozessablauf für Behörde notwendig.

Um die Kommunen bei der erfolgreichen Implementierung von FIT-Connect zu unterstützen, wurde von der FITKO ein übersichtlicher Leitfaden entwickelt, der die erforderlichen Schritte zusammenfasst.

Für die Behörde kann ein Zertifikat der Verwaltungs-PKI beantragt werden. Dieses Zertifikat kann für die Anbindung von bis zu 30 Verfahren Ihrer Behörde an FIT-Connect (unter Voraussetzung der Sicherheitseinhaltung) genutzt werden.

Für FIT-Connect benötigen Sie Zertifikate, die von der Verwaltungs-PKI (V-PKI) ausgestellt werden.

1. Login-Daten beantragen: über das Webportal der Telekom Security (Trust Center) bei der zuständigen Registrierungsstelle; dazu für TH: E-Mail an mc-berlin.tsi@telekom.de mit dem Betreff „Zugangsdaten für DOI Zertifikat“ senden; Subdomäne: "Kommunikation Thüringen" auswählen; Hash-Algorithmus: "SHA-512" auswählen
2. Antrag für ein V-PKI-Zertifikat erstellen
3. Antrag stellen: Senden Sie Ihren Antrag auf ein V-PKI-Zertifikat an die zuständige Registrierungsstelle (Antrag herunterladen und bei der Registrierungsstelle einreichen).
4. Zertifikat erhalten (Zertifikat vom Webportal der Telekom Security (Trust Center)) laden.

Zustellpunkte stellen Anträge zur Abholung bereit. Empfangende Systeme fragen regelmäßig nach, ob für sie Einreichungen (Anträge) vorliegen, oder sie lassen sich via Callback informieren, sobald ein Antrag für sie im Zustellpunkt eingetroffen ist.

Die FITKO bietet über einen von ihr beauftragten Support-Dienstleister einen Support zur Anbindung von API-Clients an die FIT-Connect-Infrastruktur an.

Supportzeiten sind von Montag bis Freitag in der Zeit von 9:00 Uhr bis 15:30 Uhr.

Schriftliche Anfragen an die im Dokumentationsportal genannte Support-Adresse werden innerhalb von 72 Stunden beantwortet (Reaktionszeit).

Berechtigt zur Stellung von Supportanfragen sind Nutzer:innen mit Zugang zur eingeschränkten Produktivumgebung.

Der Anbindungskatalog für FIT-Connect bietet eine transparente Übersicht über die Fachverfahren und Onlinedienste, die sich erfolgreich an FIT-Connect angebunden haben oder dies planen. Dieser Katalog dient dazu, Anbindungsinteressierten einen klaren Überblick über die bereits verfügbaren Produkte und Dienste bereitzustellen.

In den Online-Veranstaltungen der FITKO zu FIT-Connect, die regelmäßig stattfinden, stehen die folgenden Themen zur Auswahl:

1. FIT-Connect: Interessiertenkreis
   Agenda: Vorstellung FITKO, FIT-Connect & Anbindungsprozess
   Teilnehmer: Interessierte an der Nutzung von FIT-Connect
   Turnus: In der Regel jeden 1. Donnerstag im Monat zwischen 11 und 12 Uhr.
2. FIT-Connect: Nutzendenkreis
   Agenda: Planung und Fortschritt Features / Releases, Vorstellung der Roadmap, konzeptionelle Diskussion aktueller Themen, Bearbeitung angefragter Themen
   Teilnehmer: Verantwortliche und Entscheidende, die mindestens in der Testumgebung von FIT-Connect arbeiten
   Turnus: In der Regel jeden letzten Donnerstag im Monat zwischen 11 und 12 Uhr.
3. FIT-Connect: Technikkreis
   Agenda: Updates aus dem technischen Bereich von FIT-Connect. Klärung von technischen Rückfragen in Ergänzung zur Dokumentation. Erfahrungsaustausch und Feedback zwischen und aus den Anbindungsprojekten (u.a. Best Practices).
   Teilnehmer: Entwickler und Techniker aus den Anbindungsprojekten mit FIT-Connect
   Turnus: In der Regel jeden 2. Donnerstag im Monat zwischen 11 und 12 Uhr.

Die Zertifikate werden für die Ende-zu-Ende-Verschlüsselung von Antragsdaten in Online-Diensten benötigt. Um einen Eintrag ins Deutsche Verwaltungsdiensteverzeichnis (DVDV) vornehmen zu können, wird der öffentliche Schlüssel des Zertifikats benötigt.

Damit die Pflegenden Stellen mit dem Pflegeclient auf die zentralen DVDV-Daten des Bundesmasters zugreifen können, benötigen sie ein gültiges Zertifikat. Ausgestellt werden die Zertifikate vom Technologiedienstleister TSystems. Er nutzt dafür eine Public Key Infrastructure (PKI). Das DVDV überprüft die Gültigkeit der Zertifikate anhand der Sperrlisten, die von der Zertifizierungsstelle oder certificate authority (CA) der NdB zur Verfügung gestellt werden.

Zertifikate müssen regelmäßig – in der Regel alle drei Jahre – erneuert werden.

Behörden mit Zuordnung zu einem kommunalen Rechenzentrum oder anderen Dienstleistern (OSCI-Rolle Intermediär) benötigen ein Zertifikat der DOI-CA.

Das Zertifikat kann beispielsweise über die Telesec beantragt werden. Zur Beantragung eines DOI-CA Softwarezertifikates für OZG verwenden Sie bitte folgenden Link: https://doi.telesec.de/doi/ee

Das konkrete Vorgehen der Zertifikatsbeantragung ist in der vom TLRZ dokumentierten Benutzeranleitung OZG-Softwarezertifikat auf der Internetseite des TLRZ unter „Service / Support“ beschrieben.

Bei Rückfragen wenden Sie sich gerne an: Zertifikate@tlrz.thueringen.de

Bei der asymmetrischen Verschlüsselung gibt es im Gegensatz zur symmetrischen Verschlüsselung immer zwei sich ergänzende Schlüssel:

1. der Public Key – dient dem Verschlüsseln einer Nachricht,
2. der Private Key – dient dem Entschlüsseln der Nachricht.

Zur Verschlüsselung wird der öffentliche Schlüssel auf den zu verschlüsselnden Text angewandt. Der verschlüsselte Text wird dann vom Schlüsselinhaber mit dem privaten Schlüssel wieder entschlüsselt.

Besonderes Merkmal der Public Key Infrastructure (PKI) ist die Zertifizierungsstelle. Das ist eine allgemein anerkannte Stelle, deren Aufgabe es ist, die jeweils einmaligen Schlüsselpaare (privater und öffentlicher Schlüssel) natürlichen Personen fest zuzuordnen und dies den Benutzern mittels "Zertifikaten" zu bestätigen. Dazu ist meist noch eine Public-Key-Infrastruktur notwendig, die die Gültigkeit der verwendeten Schlüssel durch Zertifikate bestätigt.

Private Schlüssel werden zum Entschlüsseln verwendet.

Private Schlüssel spielen in digitalen Zertifikaten eine grundlegende Rolle und bilden den Grundstein für eine sichere Online-Kommunikation.

Der private Schlüssel wird zum digitalen Signieren Ihrer Zertifikatsignierungsanforderung verwendet (CSR) und später, um Verbindungen zu Ihrem Server zu sichern und zu überprüfen.

Der private Schlüssel eines digitalen Zertifikats spielt eine entscheidende Rolle bei der Gewährleistung von Online-Sicherheit, Vertraulichkeit und Vertrauen. Die Wahrung der Geheimhaltung und Integrität privater Schlüssel ist für die Schaffung einer sicheren Online-Umgebung von entscheidender Bedeutung, in der Benutzer vertraulich Daten austauschen und sichere Transaktionen durchführen können.

Der Empfänger nutzt den privaten Schlüssel zum Abholen der OSCI-Nachricht vom Intermediär.

Der private Schlüssel verbleibt beim Admin der Kommune auf dem Rechner und darf nicht herausgegeben werden.

Mit dem Versand des privaten Schlüssels über öffentliche Netze kann der Schlüssel ausgespäht werden und ist daher nicht mehr sicher.

Der öffentliche Schlüssel wird zum Verschlüsseln verwendet.

DerDer öffentliche Schlüssel muss jedem zugänglich sein, der eine verschlüsselte Nachricht an den Besitzer des privaten Schlüssels senden will. Dabei muss sichergestellt sein, dass der öffentliche Schlüssel auch wirklich dem Empfänger zugeordnet ist.

Zertifikate für Verschlüsselung und ggf. Signatur liegen dem Sender vor (sie können z. B. aus dem DVDV abgerufen werden), d. h.:

• Das Zertifikat mit dem öffentlichen Schlüssel des Empfängers
• Das Zertifikat mit dem öffentlichen Schlüssel des Intermediärs für die Verschlüsselung der OSCI-Auftragsdaten.

Es handelt sich bei dem durchgeführten Test nicht um einen Penetrationstest. Im Zuge des Tests wird auch geprüft, ob implementierte Sicherheitsfunktion wie gewünscht funktionieren, jedoch liegt der Fokus mehr auf der Nutzerfreundlichkeit aus Sicht des Anwenders.

Das Vorhandensein bestimmter Sicherheitsfunktionen bei Online-Verwaltungsleistungen ist notwendig, um die Sicherheit und Vertrauenswürdigkeit der Verwaltungsdienste zu gewährleisten und einen Missbrauch zu verhindern. Aus Sicht der nachnutzenden Kommunen dienen Sicherheitsmerkmale dem Schutz eigener Systeme.

Ein Test läuft in drei Phasen ab:

In der ersten Phase des Tests übersendet das Thüringer Finanzministerium ein Fragebogen an den Betreiber des Dienstes. Dieser Fragebogen ist ein Selbstauskunft des Betreibers, welcher grundlegende Aspekte des sicheren Betriebes beinhaltet. Hierzu zählen zum Beispiel

Nachdem der Fragebogen durch das Thüringer Finanzministerium gesichtet und bewertet wurde, erfolgt in der zweiten Phase die praktische Durchführung. Nach einer Absprache mit dem IT-DL sowie dem umsetzenden Land des Online-Dienstes, dem TFM und ggf. dem Fachressort wird der praktische Test durch Bedienstete der nachnutzenden Kommune (in Vertretung für alle Kommunen) übernommen. Sie schlüpfen in die Rolle eines Antragstellers, durchlaufen den Prozess der Antragserstellung und laden spezielle Testdateien als Anhänge zu ihrem Antrag in das Verfahren. Die Reaktionen des Systems, das Feedback an den Antragsteller und besondere Vorkommnisse werden dabei in einem Protokoll dokumentiert.

Im dritten und letzten Schritt wird das Protokoll in der Arbeitsgruppe Informationssicherheit vorgestellt. Die Mitglieder der AG beurteilen das Ergebnis des durchgeführten Tests. Insofern es noch Fragen oder offene Punkte aus einem Test gibt, werden diese durch das TFM an den Betreiber bzw. das federführende Bundesland kommuniziert. Wenn kein Handlungsbedarf identifiziert wird, gilt ein Test als bestanden. Das Protokoll zum Test wird daraufhin im OZG-Manager veröffentlicht, so das Kommunen mit dem Interesse an einer Nachnutzung auf die Informationen zugreifen können.

Sollte im Zuge der Durchführung eines Tests festgestellt werden, dass ein implementierter Sicherheitsmechanismus nicht wie gewünscht funktioniert oder dass das Feedback an den Antragsteller unzureichend ist, werden die erkannten Probleme durch das TFM an das federführende Land bzw. den Betreiber des Dienstes kommuniziert. Die schnelle Beseitigung identifizierter Mängel steht dabei im Vordergrund.

Die Testdateien werden durch das Thüringer Landesrechenzentrum geprüft und zur Verfügung gestellt. Es handelt sich dabei um verschiedene Dateien unterschiedlicher Formate, um bestimmte Sicherheitsmechanismen auf ihre korrekte Funktionsweise hin prüfen zu können. Konkret beinhalten die für Tests vorgesehen Dateien folgende Typen

Die Testdateien sind alle unschädlich und deren Nutzung hat keine negativen Folgen (z.B. Virenbefallen).

Es handelt sich hierbei um ein Testmuster, das durch das European Institute for Computer Antivirus Research (EICAR) bereitgestellt wird und dem Test der korrekten Funktionsweise von Antiviren Software dient. Im Wesentlichen beinhalten die Testdateien eine spezifische Zeichenfolge, die von gängigen Lösungen zum Schutz vor Computerviren als vermeintlicher „Virus“ erkannt wird. Die Dateien sind alle unschädlich. Ihre Verwendung hat keinerlei negative Folgen.

Das TFM stellt die Testdateien in ihrer jeweils aktuellen Version über eine dafür eingerichtete Webseite (Gitlab) zur Verfügung. Interessierte Kommunen bekommen einen Zugang auf Anfrage bereitgestellt. Die Beantragung erfolgt schriftlich und Bereitstellung folgender Informationen:

Bitte die genannten Informationen zusammen mit dem Wunsch, einen Zugang zur Webseite (Gitlab) zu erhalten, an das Funktionspostfach ozg@tfm.thueringen.de.

Die Dateien wurden speziell für den Test der Onlinedienste durch Experten des Thüringer Landesrechenzentrums entwickelt und anschließend getestet. Die Bereitstellung erfolgt durch das Thüringer Finanzministerium über eine spezielle Webseite (Gitlab). Die Administration der Seite erfolgt aus dem gesicherten Netz der Thüringer Landesverwaltung heraus.

Der Bund hat zur Erfüllung seiner gesetzlichen Umsetzungsverpflichtung im Bereich der Bundesverwaltung ein OZG-konformes Nutzerkonto, genannt „BundID“ für natürliche Personen bereitgestellt. Die BundID wird durch das BMI verantwortet und basiert auf einer Entwicklung der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB).

Die BundID bietet eine Vielzahl von Funktionen. Dazu gehören temporäre Nutzerkonten, die ohne Registrierung genutzt werden können, sowie dauerhafte Nutzerkonten, die eine Registrierung erfordern. Bei den dauerhaften Nutzerkonten steht zudem ein elektronischer Postkorb gemäß § 9 OZG zur Verfügung, das sogenannte Zentrale Bürgerpostfach (ZBP). Das ZBP ermöglicht eine medienbruchfreie Bekanntgabe und Zustellung von Bescheiden gemäß § 3a VwVfG und dient als "Rückkanal".
Die BundID unterstützt verschiedene Vertrauensniveaus: niedriges Vertrauensniveau (Benutzername und Passwort), substanzielles Vertrauensniveau (Registrierung mit Elsterzertifikat) und hohes Vertrauensniveau (eID, nPA). Zudem bietet sie eIDAs-Authentifizierung und kann von Bund, Ländern, Kommunen sowie unmittelbaren Verwaltungen wie Industrie- und Handelskammern (IHKs) oder Hochschulen nachgenutzt werden.

Jeder Online-Dienst, welcher Anforderungen an die Identität seiner Nutzer (natürliche Personen) stellt, kann die BundID für die Identifizierung auf dem gewünschten Vertrauensniveau nutzen.

Das OZG 2.0 verpflichtet die Bundesländer zur Nachnutzung der BundID. Diese wird zur DeutschlandID weiterentwickelt und löst die interoperablen Länderservicekonten (u.a. das Thüringer Servicekonto) ab.

Noch nicht an das Thüringer Servicekonto angebundene Online-Dienste können direkt bei deren Umsetzung an die BundID anbinden. Für bestehende Onlinedienste mit einer Integration des Thüringer Servicekonto ist langfristig die Umstellung auf die BundID geplant. Im Übergangszeitraum werden bereits an das Thüringer Servicekonto (mittels OpenID Connect) angebundene Online-Dienste durch eine zentral betriebene Komponente (ID Mercury) im TLRZ an die BundID (mittels SAML) angebunden. Bestehende Nutzerkonten im Thüringer Servicekonto werden nicht migriert.

Kontakt bei weiteren Fragen: servicekonto@tlrz.thueringen.de

Mein Unternehmenskonto dient zur Identifizierung, Authentifizierung und Kommunikation bei der Nutzung digitaler Verwaltungsleistungen. Die Grundlage dafür sind ELSTER-Organisationszertifikate.

Mein Unternehmenskonto umfasst verschiedene Komponenten, darunter das Authentifizierungsmodul (NEZO), das Postfach 2.0 und die Single-Sign-On-Funktion.

Mein Unternehmenskonto kann von den in § 3 Abs. 1 des Unternehmensbasisregistergesetzes (UBRegG) genannten Organisationen genutzt werden. Dazu gehören insbesondere juristische Personen, Vereinigungen sowie natürliche Personen, die beruflich oder gewerblich tätig sind. Darüber hinaus ist eine Nutzung auch durch Behörden im Sinne von § 1 Abs. 4 des Verwaltungsverfahrensgesetzes (VwVfG) möglich.

Alle notwendigen Informationen finden sich unter Downloads.

Kontakt bei weiteren Fragen: servicekonto@tlrz.thueringen.de

Die ePayment-Lösung „ePayBL“ (ePayment Bund-Länder) bietet den Behörden und Einrichtungen der Thüringer Landes- und Kommunalverwaltung sowie den Körperschaften des öffentlichen Rechts die Möglichkeit, Gebühren mittels Internetzahlungen, wie Kreditkartenzahlungen, PayPal und Giropay zu vereinnahmen. Sie stellt die zentrale Komponente zur Abwicklung von Zahlungen im Rahmen der digitalen Verwaltungsdienste gemäß dem Onlinezugangsgesetz (OZG) dar.

Die Kommunen können zunächst Informationen bezüglich der ePayment-Lösung „ePayBL“ anfordern. Die ersten Informationen zur ePayment-Lösung „ePayBL“ finden Sie auf folgender Seite (Passwort: !3P4ym3n7!).
In den abgelegten Dokumenten finden Sie Erstinformationen, Rahmenbedingungen, Informationen zu weiteren Fachverfahren, ein Handbuch für die dezentrale Administration (HDA) und vieles mehr.

Kontakt bei weiteren Fragen: epayment@tlrz.thueringen.de.

Unterschiedliche Transaktionskosten für elektronische Bezahlverfahren (ePayment) stellen eine Problematik für Kommunen dar, die diese Kosten auf die Bürger umlegen möchten. Die Höhe der Transaktionskosten variiert je nach gewähltem Bezahlverfahren und den damit verbundenen Gebühren. Diese Kosten basieren auf den Vertragsbeziehungen, die Kommunen mit Zahlungsverkehrsprovidern haben, welche privatwirtschaftliche Gewinninteressen verfolgen und dabei Gestaltungsfreiheit genießen.
Das TFM hat keine Einflussmöglichkeiten auf diese Vertragsbeziehungen. Kommunen können die Bezahlverfahren zwar individuell auswählen, doch Einschränkungen in der Auswahl könnten die Akzeptanz der Bürger verringern. Eine mögliche Alternative wäre eine Mischkalkulation der Gebührenhöhe, die auf der Nutzungshäufigkeit bestimmter Bezahlverfahren basiert.

Die ePayBL ist bereits an ThAVEL angebunden. Über die Option „Bezahlverfahren wählen“ kann der Payment Service des TLRZ ausgewählt werden. Anschließend erfolgt die Konfiguration des Bezahlverfahrens auf Grundlage der bereitgestellten Konfigurationsformulare. Für jeden Mandanten muss ein Client-Zertifikat über das ePayBL System beantragt werden. Während des gesamten Prozesses bieten das TLRZ und KIV Unterstützung an.

Kontakt bei weiteren Fragen:

Für Landesverwaltung / Körperschaften des öffentlichen Rechts:
Betreiber und fachlicher Ansprechpartner für ePayBL Software ist das Thüringer Landesrechenzentrum (TLRZ): epayment@tlrz.thueringen.de

Für Kommunalverwaltung:
Ansprechpartner ist die Kommunale Informationsverarbeitung Thüringen GmbH (KIV): epayment@kiv-thueringen.de

Routing- und Transportkomponenten sind entscheidend für die elektronische Übermittlung der Antragsdaten von EfA-Onlineleistungen in das Backend der Verwaltung. Hierbei müssen sowohl die zuständige Behörde bzw. das Fachverfahren identifiziert als auch die technischen Adressdaten ermittelt werden. Zu den Routing- und Transportkomponenten gehören die OSCI/XTA-Infrastrukturen (Transport) und das DVDV (Dienste Verzeichnis).
Durch einen Klick hier erhalten Sie zusätzliche Informationen.

Kontakt bei weiteren Fragen: dvdv@tlrz.thueringen.de

Der Zuständigkeitsfinder ist ein Basisdienst des Freistaats Thüringen in Kooperation mit den Thüringer Kommunen. Er stellt je nach Informationsbedarf für Situationen wie z.B. Geburt, Heirat, Umzug usw. Auskünfte zu Verwaltungsleistungen sowie die amtlichen Formulare zum Download bereit.
Durch einen Klick hier erhalten Sie zusätzliche Informationen.

Kontakt bei weiteren Fragen: zufi-zentralredaktion@tfm.thueringen.de

ThAVEL ist ein zentrales Antragsmanagementsystem für Behörden, das vom Freistaat Thüringen mit entwickelt wurde. In der Kommunikation mit dem Bürger ermöglicht es die intuitive, elektronische Antragstellung von Verwaltungsleistungen über das Internet. Dabei fügt sich ThAVEL in die bestehenden Internetauftritte der Behörden bzw. Kommunen ein.
Durch einen Klick hier erhalten Sie zusätzliche Informationen.

Kontakt bei weiteren Fragen:

Das Vertrauensniveau bestimmt, wie sicher und vertrauenswürdig die Herkunft der Nutzerdaten ist und welche Anmeldemethoden zur Identifizierung genutzt werden. Es gibt drei Arten von Vertrauensniveaus gemäß der eIDAS-Verordnung: Niedrig, Substanziell und Hoch.

Die sichere Identifikation der Antragsteller bei Online-Verwaltungsleistungen ist notwendig, um die Sicherheit und Vertrauenswürdigkeit der Verwaltungsdienste zu gewährleisten und Missbrauch zu verhindern.

Die digitale Identifikation erfolgt durch ein Nutzerkonto, wie beispielsweise ein Bürger- oder Organisationskonto, das verschiedene Vertrauensniveaus bietet. Bei der Basisregistrierung erfolgt die Authentisierung mittels Benutzername und Passwort. Auf substanzieller Ebene werden ELSTER-Zertifikate verwendet. Das höchste Vertrauensniveau wird durch den elektronischen Identitätsnachweis mittels der Online-Ausweisfunktion des Personalausweises, der eID-Karte oder des elektronischen Aufenthaltstitels erreicht.

Durch die Fachverantwortlichen des Online-Dienstes wird das Vertrauensniveau unter Beteiligung von IT-Sicherheits- und Datenschutzbeauftragten ermittelt. Dabei werden potenzielle Schäden, Eintrittswahrscheinlichkeiten und der Schutzbedarf berücksichtigt. Mit dem Praxistool Vertrauensniveau können die für Online-Dienste notwendigen Vertrauensniveaus ermittelt werden: Praxistool Vertrauensniveau.

Das Vertrauensniveau wird basierend auf Gefährdungen, potenziellen Schäden und Eintrittswahrscheinlichkeiten ermittelt. Wenn mehrere Gefährdungen relevant sind, wird das Maximum berücksichtigt. Der Prozess umfasst die Identifizierung, Willenserklärung und Dokumentenübermittlung und wird strukturiert dokumentiert.

Ja, das Vertrauensniveau kann sich ändern, basierend auf Erfahrungen der Behörde und einer Risikoanalyse. Wenn die tatsächliche Eintrittswahrscheinlichkeit von der abstrakten Bewertung abweicht, kann das Vertrauensniveau angepasst werden.

Ja, Kommunen können konkrete Erfahrungen einbeziehen, um das Vertrauensniveau bei abweichenden Eintrittswahrscheinlichkeiten anzupassen. Risikoanalysen bieten vergleichbare Beispiele zur Bewertung.

Um sicherzustellen, dass das Vertrauensniveau angemessen ist, sollten die Fachverantwortlichen regelmäßig die Risiken bewerten, Erfahrungen der Behörde berücksichtigen und bei Bedarf Anpassungen vornehmen. Eine kontinuierliche Überwachung und Evaluation der Sicherheitsmaßnahmen ist entscheidend, um sicherzustellen, dass das Vertrauensniveau den aktuellen Anforderungen entspricht.