Checkliste für Nicht-Trägerländer

Herstellung der eigenen Empfangsfähigkeit über OSCI-Transport für XÖV-Standards

Hinweis: Die Prozesse und benötigten Angaben können je nach Bundesland abweichen. Dieses Dokument dient lediglich als Hilfestellung.

☐ 1. Prüfung, ob eine Kopfstelle für den OSCI-Nachrichtentransport seitens des Empfängers eingesetzt wird (durch den IT-Koordinator und den IT-Dienstleister der Behörde/Kommune).

☐ Falls ja, Einbindung des Kopfstellenkoordinators für die nächsten Schritte.

☐ 2. Beschaffung eines Software-Zertifikats für OSCI-Transport (über den kommunalen IT-Dienstleister anstoßen oder Beschaffung selbst in die Wege leiten)

☐ Informationen aufbereiten

☐ Schlüssel-Verantwortlichen bestimmen (Aufgaben: stellvertretende Beantragung des Zertifikats für die Nutzergruppe Ihrer Behörde, persönliche Verwaltung & Gewährleistung des sicheren Umgangs mit dem Schlüsselmaterial des Zertifikats.

☐ Die Gruppen- bzw. Funktionsbezeichnung sollte nach folgendem Aufbau erfolgen: „[ORGANISATIONSKATEGORIE=Art der Behörde] [NAME DER BEHÖRDE] [JAHR DER BEANTRAGUNG]-OSCI“ z.B. „GRP: Wohngeldbehörde Teststadt 2022-OSCI“

☐ Bestimmung einer E-Mail-Adresse (dies sollte ein Funktions- bzw. Gruppenpostfach sein).

☐ Beglaubigung des Zertifikatsantrags von der siegelführenden Stelle der Behörde einholen

☐ Zertifikats-Anbieter (siehe Anhang A) oder landesspezifische Registrierungsstelle kontaktieren und Zertifikat beantragen.

☐ 3. Beantragung des DVDV Eintrags (über den kommunalen IT-Dienstleister anstoßen oder selbst in die Wege leiten)

☐ Informationen aufbereiten

☐ Organisationskategorie gemäß DVDV-Eintragungskonzept bestimmen

☐ Organisationsschlüssel gemäß DVDV-Eintragungskonzept bestimmen

☐ Öffentliches Zertifikat (siehe Punkt 2) muss verfügbar sein

☐ Intermediärsbetreiber (siehe Punkt 1) muss bekannt sein

☐ Kontaktaufnahme zur DVDV-pflegenden Stelle Ihres Bundeslandes [1] und DVDV-Eintragung beantragen

☐ Falls erforderlich, Beantragung des Zugriffs auf den DVDV-Server für Ihr Fachverfahren bei ihrem DVDV-Server-Betreiber

☐ 4. Festlegung eines Empfangspunktes (durch den IT-Koordinator und den IT-Dienstleister der Behörde/Kommune)

[1] Der ITZBund stellt im geschützten Bereich eine Übersicht der zuständigen „Pflegenden Stelle“ je Bundesland inkl. Ansprechpartner bereit. Die Liste finden Sie unter folgendem Link: https://www.itzbund.de/Restricted/DE/DVDV/DVDV_CUG_Ansprechpartner/Liste_Pflegende_Stellen.pdf?__blob=publicationFile&v=6 

Weiterführende Erläuterungen:

1         Prüfung, ob eine Kopfstelle für den OSCI-Nachrichtentransport seitens des Empfängers eingesetzt wird, z.B. Intermediär

Damit die Antragsdaten aus einem EfA-Online-Dienst erfolgreich zugestellt werden können, müssen Eintragungen im DVDV vorgenommen und notwendige Zertifikate hinterlegt werden. Dazu sollte der IT-Koordinator Ihrer Behörde/ Kommune zusammen mit dem IT-Dienstleister prüfen, ob eine Kopfstelle eingesetzt wird. Für den Fall, dass dies zutrifft, ist der Kopfstellenkoordinator des Empfängers bei den nächsten Schritten einzubinden.

Sie benötigen:

• ein Software-Zertifikat
• einen Eintrag Ihrer Kommune für den OZG-Dienst
• einen OSCI-Client

2         Beschaffung eines Software-Zertifikats für OSCI-Transport

Sie benötigen möglichst je Dienst mit Datenübermittlung über OSCI ein eigenes Zertifikat. Planen Sie die Beauftragung des Zertifikats frühzeitig, denn dies erfordert in der Regel einige Vorlaufzeit!

Ihre Behörde muss über ein digitales Gruppen-/Funktions-Zertifikat aus der Public-Key-Infrastruktur der Verwaltung (V-PKI) verfügen. Sofern kein solches vorhanden ist, ist es zu beschaffen.

Hinweis: Beantragung eines Gruppenzertifikats; kein Einzelzertifikat!

• Sie können ein Zertifikat aus der V-PKI von einem der in Anhang A genannten Anbieter beziehen.
• Ihr kommunaler IT-Dienstleister kann in der Regel über eine landesspezifische Registrierungsstelle das digitale Zertifikat für Sie besorgen. Ggfs. steht dazu ein entsprechendes Antragsformular oder eine Prozessbeschreibung zur Verfügung. Hier können Sie auch die Kosten für die Ausstellung eines Zertifikats erfragen.

Zum Management des Zertifikats müssen Sie einen Schlüssel-Verantwortlichen benennen, der das Zertifikat stellvertretend für die Nutzergruppe in Ihrer Behörde beantragt, persönlich verwaltet und den sicheren Umgang mit dem Schlüsselmaterial gewährleistet.

Für die Beschaffung eines V-PKI-Zertifikats entstehen Kosten. Die Zertifikate haben eine Laufzeit von zwei bis drei Jahren und müssen rechtzeitig vor Ablauf erneuert werden.

Bei der Beantragung beachten Sie bitte folgende Punkte:

• Beantragt wird ein Software-Zertifikat in der Form eines Gruppen-/Funktions-Zertifikats für die OSCI-Kommunikation.
• Die Gruppen- bzw. Funktionsbezeichnung sollte nach folgendem Aufbau erfolgen: „[ORGANISATIONSKATEGORIE=Art der Behörde] [NAME DER BEHÖRDE] [JAHR DER BEANTRAGUNG]-OSCI“

• z.B. „GRP: Wohngeldbehörde Teststadt 2022-OSCI“

• Für die anzugebende E-Mail-Adresse sollte ein Funktions- bzw. Gruppenpostfach gewählt werden.
• Antragsteller ist automatisch der Schlüssel-Verantwortliche.
• Der Antrag muss von Ihrer siegelführenden Stelle beglaubigt werden.
• Die Zertifizierungsstelle stellt das Software-Zertifikat als Datei im Format PKCS#12 (Endung „.p12“ oder „.pfx“) bereit. Diese Datei enthält neben dem privaten auch den öffentlichen Schlüssel. Sie benötigen Ihren privaten Schlüssel für den jeweiligen XÖV-Standard unter anderem zum Entschlüsseln der Inhaltsdaten eingehender Nachrichten. Geben Sie diese PKCS#12-Datei NICHT weiter, auch nicht an Ihre DVDV-pflegende Stelle.
• Zusätzlich benötigen Sie auch den öffentlichen Schlüssel. Dieser wird ebenfalls von Ihrer Zertifizierungsstelle bereitgestellt. Diese Datei hat in der Regel die Endung „.cer“, „.crt“, „.pem“ oder „.der“ und wird von Ihrer DVDV-Pflegenden Stelle benötigt (siehe Kapitel 2).

3         Beantragung des DVDV-Eintrages

Die für die elektronische Kommunikation mit Ihrer Behörde notwendigen Daten und Dienste für die Entgegennahme des Online-Antrags und der dazugehörigen Nachweise müssen im DVDV hinterlegt werden.

Das OSCI-Zertifikat muss an die DVDV-Pflegende Stelle Ihres Landes zur Eintragung in das DVDV weitergeleitet und ggf. dem Intermediärsbetreiber mitgeteilt werden.

Damit die Daten Ihrer Behörde für den XÖV-Standard in das DVDV eingetragen werden, wenden Sie sich bitte die DVDV-Pflegende Stelle Ihres Bundeslandes. (Jedes Bundesland verfügt über eine eigene „Pflegende Stelle“. Ausschließlich die „Pflegende Stelle“ des jeweiligen Bundeslandes besitzt die Berechtigung Daten ihres Bundeslandes einzupflegen oder zu verändern. Der ITZBund stellt im geschützten Bereich eine Übersicht der zuständigen „Pflegenden Stelle“ je Bundesland inkl. Ansprechpartner bereit. Die Liste finden Sie unter folgendem Link: https://www.itzbund.de/Restricted/DE/DVDV/DVDV_CUG_Ansprechpartner/Liste_Pflegende_Stellen.pdf?__blob=publicationFile&v=6

Bei Beantragung eines Zertifikates über Ihre Zentrale Registrierungsstelle stellt Ihnen die DVDV-Pflegende Stelle ein DVDV-Auftragsformular zur Verfügung.

3.1        Zulässige Organisationskategorien

Zu jedem Dienst sind im DVDV-Eintragungskonzept die zulässigen Organisationskategorien als sendende und empfangende Stelle definiert. Die für Ihren nachzunutzenden Online-Dienst zulässigen Organisationskategorien finden Sie auf den Informationsseiten des Dienstes.

Bitte wählen Sie daraus eine Ihrem Dienst und Ihrer Behörde entsprechenden Organisationskategorie aus.

3.2        Vergabe der Organisationsschlüssel

Um sich in das DVDV eintragen lassen zu dürfen, benötigt jede sendende und empfangende Stelle einen eindeutigen Organisationsschlüssel. Der Diensteprovider ist dafür verantwortlich, dass jede sendende oder empfangende Stelle ihren eindeutigen Organisationsschlüssel erhält.

3.3        Beantragung des Zugriffs auf den DVDV-Server

Die erforderlichen Zugriffs-Konfigurationsdateien für Ihr Fachverfahren erhalten Sie bei Bedarf von ihrem DVDV-Server-Betreiber.

4         Festlegung eines Empfangspunktes

Neben den Eintragungen im DVDV müssen die Transportfestlegungen umgesetzt werden. Auch hierzu sind IT-Koordinator, IT-Dienstleister und ggf. Kopfstellenkoordinator des Empfängers notwendig. Jede Kommune muss für jeden OSCI-fähigen Dienst einen Empfangspunkt festlegen und bereitstellen. Dies kann z.B. ein XTA-Server, ein File-Server, ein Postfach oder ein OSCI-Client sein. Da die Daten, die aus dem Intermediärs-Postfach abgeholt werden, erst dort entschlüsselt werden dürfen, wo diese weiterverarbeitet werden, ist der ideale Empfangspunkt abhängig von den Gegebenheiten des zuständigen Fachamts. Wird zum Beispiel ein Fachverfahren verwendet, so ist bei der Wahl des Empfangspunktes der Betreiber des Fachverfahrens einzubeziehen, da dieser die Datenpakete am Entschlüsselungspunkt empfangen muss.

4.1        Beispiel Empfangspunkt: Beschaffung eines OSCI-Postfachs

Ihre Behörde muss über ein OSCI-Postfach (alias OSCI-Account) verfügen, um eingehende Antragsnachrichten über den Transportweg „OSCI“ empfangen zu können.

Sofern notwendig, sind OSCI-Postfächer mit entsprechenden Zertifikaten auf dem Landesintermediär zu beantragen.

Wenden Sie sich hierzu an den Intermediärs-Betreiber.

• Anbieter von V-PKI-Zertifikaten

Für den Bezug eines Zertifikats aus der Public-Key-Infrastruktur der Verwaltung (V-PKI) können Sie sich an einen der folgenden Anbieter wenden: