Permalink für diese Seite: www.xoev.de/sicherertransport/faq
U1) Worin unterscheiden sich die IT-Standards, Fachstandards, Transportstandards und IT-Produkte?
Ein IT-Standard wird in der Regel in einer definierten Gremienstruktur entwickelt, die innerhalb eines Betriebskonzeptes definiert ist. Die IT-Standards werden in IT-Produkten/Infrastrukturen (allgemein "Implementierungen" - lauffähige Software bzw. produktive Umgebung) implementiert/umgesetzt. Eine weitere Konkretisierung der IT-Standards findet anhand der Begriffe Fachstandard und Transportstandard statt. In einem Fachstandard werden Strukturen der Fachnachrichten, fachliche Prozesse sowie Vorgaben für den Nachrichtentransport festgelegt. Die Transportstandards definieren fachübergreifend, wie ein sichererer Transport von Fachnachrichten stattfinden kann.
U2) Was ist ein standardisiertes IT-Produkt bzw. eine standardisierte IT-Infrastruktur?
Ein IT-Standard ist eine normierte Spezifikation für IT-Komponenten, Schnittstellen, Datenformate oder Prozesse, die den Austausch von Informationen zwischen Systemen verschiedener Hersteller oder Betreiber ermöglicht. Er beschreibt wie Daten ausgetauscht oder Prozesse gestaltet werden sollen, während ein standardisiertes IT-Produkt oder Infrastruktur eine korrekte Implementierung dieses Standards darstellt. Andernfalls handelt es sich um ein proprietäres IT-Produkt oder eine proprietäre Lösung.
Wichtig: Ein "Standardprodukt" bedeutet jedoch nicht, dass das Produkt notwendigerweise auf einem IT-Standard basiert. Der Begriff „standard“ wird häufig im allgemeinen Sprachgebrauch verwendet, um auszudrücken, dass etwas (ggf. angeblich) „üblich“ oder „weit verbreitet“ ist. Der IT-Planungsrat legt gemäß IT-Staatsvertrag fachunabhängige oder fachübergreifende IT-Interoperabilitäts- und IT-Sicherheitsstandards fest, um eine einheitliche Digitalisierung der öffentlichen Verwaltung zu gewährleisten. Die umgangssprachliche Verwendung des Begriffs kann daher zu Missverständnissen führen und eine falsche Einstufung von IT-Produkten bewirken.
U3) Was ist eine Nicht-Abstreitbarkeit im Nachrichtentransport und warum ist dessen Gewährleistung eine "Muss"-Anforderung?
Die Abstreitbarkeit der Nachrichten ist u.a. im Social-Media Bereich möglich (z.B. Messenger und Plattformen), wo die Nachrichten z.B. nach dem Versand und Empfang editiert / gelöscht werden können.
Im Behördenbereich hingegen muss die Erstellung der Nachrichten, der Versand und der Empfang nachweisbar sein. Die Nachricht muss bis zum Leser unversehrt ggf. unter Einhaltung der Einreichungsfrist transportiert werden. Der Autor darf nicht über die Inhalte und Herkunft der Nachricht leugnen können (Nicht-Abstreitbarkeit). Die Nicht-Abstreitbarkeit ist eines der Kernaspekte der DSGVO und wird durch diverse fachspezifische Rechtstexte gefordert (siehe nächsten Eintrag U4).
U4) Welche Rechtstexte beinhalten Vorgaben, die im Kontext des Sicheren Transports bzw. bei Datenübermittlungen im Behördenbereich beachtet werden müssen?
In der Regel gibt es für jeden Fachbereich spezifisch an diesen gebundene Rechtstexte. Möglich sind auch fachbereichsübergreifende Vorgaben für den Nachrichtentransport. Bei der Implementierung des Nachrichtentransports innerhalb eine Fachverfahrens muss eigenständig evaluiert werden, welche Gesetze und Verordnungen zu beachten sind. Eine vollständige Liste aller Rechtstexte existiert aktuell nicht. Zur Veranschaulichung der Möglichkeiten gibt es eine unvollständige Liste (pdf, 218.9 KB).
O1) Kann der Standard OSCI nur mit dem Standard XTA verwendet werden?
Nein. Der Standard OSCI kann auch ohne XTA direkt von den Fachverfahren genutzt werden.
O2) Gibt es eine OSCI Version 2.0?
Nein, diese Version wurde und wird nicht finalisiert. Im Zuge der Weiterentwicklung hat sich die Gesamtheit der Anforderungen geändert und es wurde festgestellt, dass die Version 1.2 alle grundlegenden Bedarfe abdeckt. Aktuell anderweitige Anforderungen werden in Form von Korrigenden und Ergänzungen herausgebracht, siehe www.xoev.de/osci/versionen.
O3) Ist eine fachlich synchrone Kommunikation mit OSCI möglich?
Ja. Es werden sowohl synchrone als auch asynchrone Kommunikationsszenarien zwischen Autor und Leser bzw. unterschiedlichen Fachverfahren unterstützt.
O4) Kann OSCI auch in unsicheren Netzen wie Internet eingesetzt werden?
Ja. Hierfür wird auch der Einsatz des Prinzips "doppelter Umschlag" empfohlen, siehe OSCI-Transport 1.2 – Entwurfsprinzipien, Sicherheitsziele und -mechanismen (pdf, 496.1 KB).
X1) Kann der Standard XTA nur mit dem Standard OSCI verwendet werden?
Nein. Der Standard XTA soll bereits mit seiner vollständigen Ausschreibung "XÖV Transport Adapter" darauf hindeuten, dass "beliebige Lösungen" auf der Transportebene für die Übermittlung der Nachrichten genutzt werden können. Der Standard XTA wurde eingeführt, um den Transport von Nachrichten von und zu den einzelnen Fachverfahren unabhängig vom jeweiligen Übertragungsweg durchzuführen. Hintergrund dabei ist, dass sich Kommunikationswege zwischen verschiedenen Netzen regelmäßig ändern können, z.B. durch sich ändernde Sicherheitsstandards, Veränderungen in der Netzaufteilung oder Änderung von Verantwortlichkeiten. Aktuell wird XTA somit in verschiedenen Kombinationen genutzt - standardisierte Übertragungswege wie Peppol mit ebMS/AS4-Profilierung, OSCI-Transport und unter anderem proprietäre Infrastrukturen/Produkte. Siehe u.a. auch www.xoev.de/sicherertransport/einsatzszenarien und www.xoev.de/sicherertransport/implementierungen.
X2) Ist eine fachlich synchrone Kommunikation mit XTA möglich?
Ja. Es werden sowohl synchrone als auch asynchrone Kommunikationsszenarien zwischen Autor und Leser bzw. unterschiedlichen Fachverfahren unterstützt. Im synchronen Kommunikationsszenario wird ebenfalls die Übermittlung einer sofortigen Fachantwort unterstützt. Siehe Spezifikation und u.a. auch www.xoev.de/sicherertransport/einsatzszenarien.
O1) Wie werden die IT-Standards OSCI und XTA betrieben/betreut?
Der IT-Planungsrat hat die KoSIT mit der Aufgabe des dauerhaften Betriebs der Standards OSCI und XTA für den sicheren Transport in der öffentlichen Verwaltung (kurz: Sicherer Transport) beauftragt, siehe Errichtungskonzept und Beschluss 2017/06. Die KoSIT ist damit Hüterin der strategischen Vorgaben des IT-Planungsrates und hat die Aufgabe, strategische Entwicklungsziele und operative Ausgestaltung miteinander zu harmonisieren. Weitere Details sind www.xoev.de/sicherertransport/betriebskonzept. Die auf den Standards basierte Implementierungen, Produkte, Infrastrukturen, Onlineservices sowie die Anwendungsbetreuung gehören nicht zum Betrieb der Standards.
O2) Wie wird der Betrieb der IT-Standards OSCI und XTA finanziert?
Der Finanzierung erfolgt über das Haushaltsbudget des IT-Planungsrats und wird über die Wirtschaftspläne des IT-Planungsrats fortlaufend gestaltet. Mit der Einrichtung der neuen Zwischeninstanz "FiTKO" hat der IT-Planungsrat sämtliche Aufgaben auf der operativen Ebene diesen zugewiesen. Der Bereich Sicherer Transport ist seitdem verpflichtet über FITKO die finanziellen Bedarfe sowie Berichte an den IT-Planungsrat zu liefern. Die finanziellen Bedarfe und die Begründungen sind durch die FITKO in die Wirtschaftspläne zu übernehmen. Aktuell hat der Standard XTA kein eigenes explizites Budget und wird seit 2017 kostenneutral mit dem Budget für OSCI betrieben. Diese Finanzierung umfasst nur die Standards und nicht für die Produkte, jegliche Infrastrukturkomponenten, deren Implementierung oder deren Betrieb.
O3) Wo bekomme ich verlässliche Informationen zu OSCI und XTA?
Alle offene Punkte, Unklarheiten, Einsatzszenarien/-möglichkeit, Lösungsvergleiche, Bedarfe und sämtliche Fragen sind an die KoSIT zu richten. Jegliche Anfragen werden als Beratung geführt. Die Beratung erfolgt offiziell im Auftrag des IT-Planungsrates durch die KoSIT und keiner anderen Organisation. Zur Vorbeugung der Verbreitung von negativen/fraglichen Informationen durch andere Stellen wenden Sie sich immer direkt an die KoSIT (siehe Kontakt im Navigationsmenü oder Personen im Bereich Sicherer Transport).
Anfragen zu OSCI richten Sie bitte an:
Funktionspostfach mit Betreff "OSCI Anfrage"
Anfragen zu XTA richten Sie bitte an:
Funktionspostfach mit Betreff "XTA Anfrage"
Weitere Anfragen richten Sie bitte an:
Funktionspostfach mit Betreff "OSCI/XTA Anfrage"
Für eine persönliche Kontaktaufnahme finden Sie weitere Informationen unter Kontakte
