4.1 Skip to content

4. Grobkonzept IAM für Behoerden

Redaktioneller Hinweis

Dokument der aktuellen Iteration.

4.1 Abstract

Das Identity- und Access Management für Behörden (IAM für Behörden) ist ein zentrales System zur Zuordnung und zum Abruf der Identitätsdaten und Rollen von IT-Komponenten, die von öffentlichen Stellen verantwortet werden. Jede IT-Komponente wird von einer registrierten öffentlichen Stelle fachlich verantwortet (fachverantwortliche Stelle) und von einer sonstigen Stelle technisch betrieben (betriebsverantwortliche Stelle). Das IAM für Behörden ermöglicht die Registrierung dieser verantwortlichen Stellen und deren IT-Komponenten samt zweckgemäßer Zuordnung von Rollen entsprechend ihrer Fachlichkeit. Es ermöglicht den Abruf registrierter Identitätsdaten und Rollen für Zugriffe auf andere IT-Komponenten (Ressourcen). Es ermöglicht Fachaufsichten die Prüfung der Korrektheit fachlicher Zuordnungen öffentlicher Stellen und zweckgemäßer Rollen von IT-Komponenten.

Das IAM für Behörden stellt bei der Registrierung verantwortlicher Stellen die Verwendung vertrauenswürdiger Identitäten und eine eindeutige fachliche Zuordnung sicher. Es stellt bei der Registrierung von IT-Komponenten die eindeutige Zuordnung deren verantwortlicher Stellen und zweckgemäßer Rollen sicher. Es stellt beim Abruf von Identitätsdaten und Rollen deren überprüfbare Integrität sicher. Das IAM für Behörden ermöglicht dadurch Ressourcen die sichere Prüfung von Zugriffsberechtigungen anfragender IT-Komponenten anhand von integren Identitätsdaten und Rollen.

Das IAM für Behörden wird als zentraler Berechtigungsdienst für technische Teilnehmer und Komponenten des Nationalen Once-Only Technical System (NOOTS) eingesetzt. Jede IT-Komponente muss ein Zugriffstoken mit vom IAM für Behörden bestätigten Identitätsdaten und Rollen vorweisen, wenn sie auf eine Ressource des NOOTS (z.B. auf einen Data Provider) zugreifen will. Die Ressource muss die Zugriffsberechtigung der anfragenden IT-Komponente anhand der im Zugriffstoken enthaltenen Rollen prüfen und beim Vorliegen einer berechtigten Rolle die anfragende IT-Komponente für den Zugriff autorisieren. Die Ressource kann die im Zugriffstoken enthaltenen Identitätsdaten für weitere Zwecke verwenden, bspw. zur Ermittlung fachlicher Zugehörigkeit oder zur Zugriffsprotokollierung.

Das IAM für Behörden ist kein Berechtigungsdienst für nicht-technische Teilnehmer, insbesondere nicht für Bürgerinnen und Bürger oder Unternehmen, die Onlinedienste mit NOOTS-Anbindung nutzen. Solche Onlinedienste sind hingegen technische Teilnehmer und nutzen das IAM für Behörden zum Zugriff auf Ressourcen des NOOTS.

Das vorliegende Konzept beschreibt die Ziele, Akteure und Prozesse des IAM für Behörden und die dafür nötige Datenhaltung. Es richtet sich an IT-Verantwortliche der öffentlichen Verwaltung mit Verantwortung für das IAM für Behörden, mit Verantwortung für IT-Komponenten zur elektronischen Kommunikation mit öffentlichen Stellen oder mit Fachaufsicht über öffentliche Stellen, die solche IT-Komponenten betreiben.

4.2 Einführung und Ziele

4.2.1 Überblick

Das IAM für Behörden ist ein zentrales System zur Zuordnung und zum Abruf der Identitätsdaten und Rollen von IT-Komponenten für Zugriffe auf andere IT-Komponenten (Ressourcen) gemäß rechtlichen Vorgaben. Das IAM für Behörden

  1. ermöglicht die Registrierung und Pflege von Akteuren und IT-Komponenten,
  2. ermöglicht die fachliche Zuordnung von fachverantwortlichen Stellen, Fachaufsichten und IT-Komponenten,
  3. ermöglicht die Zuordnung zweckgemäßer Rollen zu IT-Komponenten,
  4. ermöglicht IT-Komponenten den Abruf ihrer Identitätsdaten und Rollen,
  5. verlangt zu seiner Nutzung vertrauenswürdige elektronische Identitäten,
  6. protokolliert Änderungen im Datenbestand und die Nutzung seiner Funktionen.

4.2.2 Ziele der Komponente

Zur Sicherstellung des nötigen Vertrauens von Beteiligten in das IAM für Behörden und in die von ihm abgerufenen Identitätsdaten und Rollen sowie für seine möglichst effiziente Nutzung werden folgende Ziele verfolgt:

Tab. 1: Ziele

  Aspekt Ziel
1 Übergreifend Das IAM für Behörden ermöglicht die vertrauenswürdige und effiziente Registrierung verantwortlicher Stellen und IT-Komponenten samt fachlicher Zuordnung und zweckgemäßen Rollen.
2 Übergreifend Das IAM für Behörden ermöglicht die vertrauenswürdige und effiziente Bereitstellung registrierter Identitätsdaten und Rollen von IT-Komponenten für Zugriffe auf Ressourcen des NOOTS.
3 Vertrauensstellung

Akteure sind vertrauenswürdig und öffentliche Stellen eindeutig als solche erkennbar.
4 Vertrauensstellung

Öffentliche Stellen sind fachlich korrekt zugeordnet.
5 Vertrauensstellung

Öffentliche Stellen verantworten IT-Komponenten und deren fachliche Zuordnung samt zweckgemäßer Rollen.
6 Vertrauensstellung

Prozessnutzer (Akteure und IT-Komponenten) werden eindeutig authentifiziert.
7 Vertrauensstellung

Prozesse können nur in der Authentifizierung entsprechenden Umfang genutzt werden.
8 Vertrauensstellung

Die Korrektheit von Daten und Zuordnungen wird angemessen geprüft.
9 Effiziente Nutzung

Akteure können sich per Zertifikat registrieren und anschließend sofort Prozesse nutzen.
10 Effiziente Nutzung

IT-Komponenten werden von registrierten Akteuren registriert und benötigen keine eigenen Zertifikate.
11 Effiziente Nutzung

IT-Komponenten werden gemäß der fachlichen Zuordnung ihrer fachverantwortlichen Stelle fachlich zugeordnet.
12 Effiziente Nutzung

IT-Komponenten werden über ihre Teilnahmeart den zweckgemäßen Rollen für Ressourcenzugriffe zugeordnet.
13 Effiziente Nutzung

Zum Betrieb nötige Daten und Prozesse stehen zur Verfügung, zur fachlichen Steuerung nötige Daten werden nach Bedarf eingebracht.
14 Effiziente Nutzung

Die Behördenfunktionen und Verwaltungsbereiche können von Berechtigten zur Nachnutzung bezogen werden.

4.2.3 Begriffsdefinitionen

Die für das Verständnis dieses Konzepts relevanten Akteure und Begriffe werden nachfolgend definiert. Die jeweilige Definition ist ggf. auf die Zwecke des Konzepts begrenzt.

4.2.3.1 Akteure

Ein Akteur ist eine Organisationseinheit, die Prozesse des IAM für Behörden nutzt. Es gibt folgende Akteure:

Tab. 2: Akteure

Akteur Beschreibung
Öffentliche Stelle Behörde oder sonstige öffentliche Stelle gemäß § 2 BDSG
Fachverantwortliche Stelle Für den Betrieb einer IT-Komponente fachlich verantwortliche öffentliche Stelle. Eine fachverantwortliche Stelle kann mehrere IT-Komponenten im selben Verwaltungsbereich verantworten.
Betriebsverantwortliche Stelle

Von der fachverantwortlichen Stelle einer IT-Komponente mit deren technischem Betrieb Beauftragter. Eine betriebsverantwortliche Stelle kann mehrere IT-Komponenten im selben Verwaltungsbereich technisch betreiben.

Betriebsverantwortliche Stelle kann eine öffentliche Stelle oder ein Unternehmen gemäß § 3 UBRegG sein.
Pflegende Stelle Mit der Datenpflege und Überwachung des IAM für Behörden beauftragte öffentliche Stelle
Fachaufsicht

Öffentliche Stelle mit Fachaufsicht über andere öffentliche Stellen

4.2.3.2 Begriffe

Tab. 3: Begriffe

  Begriff Bedeutung
1 Zertifikat Elektronischer Identitätsnachweis zur Authentifizierung eines Akteurs (siehe Umgang mit Zertifikaten), ausgestellt von einer Zertifizierungsstelle
2 Zertifizierungsstelle (CA) Von einer Wurzelzertifizierungsstelle direkt oder indirekt zur Ausstellung von Zertifikaten berechtigte Stelle (Certification Authority)
3 Wurzelzertifizierungsstelle (Root CA) Vertrauensanker bei der Zertifikatsprüfung. Jede Zertifizierungsstelle muss von einer übergeordneten Zertifizierungsstelle zur Ausstellung von Zertifikaten berechtigt sein. Diese Kette übergeordneter Stellen endet bei einer Wurzelzertifizierungsstelle.
4 IT-Komponente IT-Anwendung oder Basisdienst zur elektronischen Kommunikation mit öffentlichen Stellen (vgl. § 2 (6) OZG [RGR-03])
5 Verwaltungsbereich Bestimmter Teil der öffentlichen Verwaltung gemäß § 12 (1) IDNrG
6 Rechtsnorm Rechtliche Regelung, zu deren Einhaltung öffentliche Stellen verpflichtet sind (z.B. EU-Verordnung, Bundesgesetz, Rechtsverordnung)
7 Behördenfunktion Fachlicher Aufgabenbereich einer öffentlichen Stelle in einem Verwaltungsbereich aufgrund einer Rechtsnorm (z.B. Zulassungsbehörde gemäß § 1 (1) StVG im Verwaltungsbereich Verkehr)
8 Identitätsdaten Akteur

Durch das Zertifikat belegte Eigenschaften des Akteurs (siehe Gültigkeit von Zertifikaten, Nr. 1.g bis 1.i) sowie identifizierende Merkmale des Zertifikats Gültigkeit von Zertifikaten, Nr. 1.a und 1.b), bei fachverantwortlichen Stellen und Fachaufsicht zudem Behördenfunktion(en) und Verwaltungsbereich.
9 Identitätsdaten IT-Komponente

Komponenten-ID, Bezeichnung, fach- und betriebsverantwortliche Stelle sowie eine der Behördenfunktionen ihrer fachverantwortlichen Stelle (siehe Registrierung einer IT-Komponente) und deren Verwaltungsbereich.

Die Identitätsdaten einer IT-Komponente sind im Zugriffstoken (s.u.) enthalten und können von Ressourcen (s.u.) nach Bedarf verwendet werden.
10 Ressource IT-Komponente, die Daten und Funktionen über Schnittstellen zur Nutzung durch andere IT-Komponenten bereitstellt. Eine Ressource kann den Zugriff über Rollen beschränken.
11 Rolle

Bestimmte Zugriffsart auf eine Ressource. Eine Rolle kann den Zugriff auf eine oder mehrere Schnittstellen/-methoden der Ressource umfassen.

Die Rollen einer IT-Komponente werden über ihre Teilnahmeart (s.u.) zugeordnet, im Zugriffstoken (s.u.) aufgeführt und von Ressourcen zur Prüfung der Zugriffsberechtigung verwendet.
12 Teilnahmeart

Fachlicher Zweck einer IT-Komponente mit den dafür nötigen Rollen.

Aus dem fachlichen Zweck einer IT-Komponente ergeben sich deren Ressourcenzugriffe und die dafür nötigen Rollen. Diese werden als Teilnahmeart gebündelt und können dadurch gleichartigen Teilnehmern in einfacher Weise zugeordnet werden. Das reduziert den Pflegeaufwand und Fehlermöglichkeiten.
13 Zugriffstoken Gesiegelte Zusammenstellung von Identitätsdaten, Teilnahmeart und Rollen einer IT-Komponente mit einem Gültigkeitszeitraum (siehe Zugriffstoken abrufen)

4.3 Randbedingungen

4.3.1 Technische / Organisatorische / Rechtliche Randbedingungen

4.3.1.1 Betrachtete IT-Komponenten

Im Rahmen dieses Konzepts werden nur IT-Komponenten und Ressourcen mit Bezug zur Registermodernisierung betrachtet.

Betrachtete IT-Komponenten sind

  • die Komponenten des NOOTS (Registerdatennavigation, Intermediäre Plattformen, IDM für Personen, IDM für Unternehmen, Vermittlungsstelle, Datenschutzcockpit) und
  • die Teilnehmer des NOOTS (Data Consumer, Data Provider).

Davon werden die Registerdatennavigation, das IDM für Personen, das IDM für Unternehmen, die Vermittlungsstelle, Intermediäre Plattformen (beim Abruf von EU-Nachweisen nach Anwendungsfall 4 in der High-Level-Architecture) und Data Provider als Ressourcen betrachtet.

4.3.1.2 Protokollierung von Ereignissen

Jede Nutzung eines Prozesses des IAM für Behörden (siehe Laufzeitsicht) ist ein relevantes Ereignis und muss vom IAM für Behörden protokolliert werden (siehe NOOTS-953).

Die Protokollierung muss geeignet sein, um diese Ereignisse nachvollziehen und Auffälligkeiten, Störungen und Angriffsversuche erkennen zu können. Insbesondere muss der Prozessnutzer (Zertifikatsinhaber, siehe Umgang mit Zertifikaten) eindeutig identifizierbar protokolliert werden.

Die pflegende Stelle muss protokollierte Ereignisse regelmäßig hinsichtlich der vorgenannten Aspekte analysieren und ggf. entsprechende Maßnahmen zu deren Behebung oder Vermeidung unternehmen.

4.3.2 Abgrenzungen

Das IAM für Behörden umfasst nicht

  • die Einführung und Verwendung eindeutiger Behörden-Identifikatoren.
    • Pflegende, fachverantwortliche und betriebsverantwortliche Stellen werden anhand von Zertifikaten authentifiziert.
  • die Prüfung der Identität einer Zertifikats-beantragenden Stelle und die Ausstellung eines Zertifikats für eine beantragende Stelle.
    • Dafür sind Zertifizierungsstellen zuständig.
  • die Sperrung von nicht mehr benötigten oder kompromittierten Zertifikaten.
    • Die Veranlassung einer Zertifikatssperrung bei der Zertifizierungsstelle ist Aufgabe der Zertifikatsbesitzer.
    • Die Aufnahme gesperrter Zertifikate in Zertifikats-Sperrlisten ist Aufgabe der Zertifizierungsstellen.
    • Das IAM für Behörden beachtet Einträge in Zertifikats-Sperrlisten bei der Prüfung der Gültigkeit von Zertifikaten.
  • die abstrakte Berechtigungsprüfung gemäß §§ 7 (2) und 12 (4) IDNrG.
    • Für deren Veranlassung sind die Sicheren Anschlussknoten der Data Consumer zuständig.
    • Für deren Durchführung ist die Vermittlungsstelle zuständig.
    • Für die Prüfung des Vorliegens einer abstrakten Berechtigung sind dieSicheren Anschlussknoten der Data Provider zuständig.
  • einen besonderen Umgang mit unberechtigt oder fehlerhaft agierenden Teilnehmern.
    • Das IAM für Behörden lässt nur eine Nutzung durch Besitzer gültiger Zertifikate zu.
    • Die Prüfung nötiger Rollen für Zugriffe auf Ressourcen ist Sache der Ressourcen.
  • die Zuordnung von Rollen zu ressourcenspezifischen Zugriffsberechtigungen.
    • Das ist Aufgabe der Ressourcen.
  • die Zuordnung und den Abruf von Identitätsdaten und Rollen von Personen.
    • Antragstellende werden über Nutzerkonten gem. § 2 (5) OZG zur Kommunikation mit öffentlichen Stellen berechtigt.
    • Sachbearbeitende werden spezifisch für den Zugriff auf Fachverfahren berechtigt.
  • den Abruf eindeutiger Identifikatoren von natürlichen Personen (IDNr) und Unternehmen (beWiNr).
    • Diese Identifikatoren werden von den Ressourcen IDM für Personen bzw. IDM für Unternehmen abgerufen.
  • die Zuordnung und den Abruf von Identitätsdaten und Rollen von Verfahren anderer EU-Mitgliedstaaten im Rahmen des EU-OOTS.
    • Die zur Anbindung an das EU-OOTS vorgesehenen Intermediären Plattformen werden im IAM für Behörden als IT-Komponenten verwaltet.
  • die Protokollierung von Nachweisabrufen gemäß § 9 IDNrG und von sonstigen personenbezogenen Datenübermittlungen gemäß § 76 BDSG.

4.4 Kontextabgrenzung

4.4.1 Fachlicher Kontext

Das IAM für Behörden ist der zentrale Berechtigungsdienst für das Nationale Once-Only Technical System (NOOTS). Eine darüberhinausgehende Verwendung ist nicht Teil der Betrachtungen dieses Konzepts.

Das IAM für Behörden pflegt die Verwaltungsbereiche, Behördenfunktionen und Rechtsnormen, die zur fachlichen Zuordnung öffentlicher Stellen nötig sind und dadurch Teil von deren Identitätsdaten werden. Die in Zugriffstoken enthaltenen fachlichen Zuordnungen (Behördenfunktion und Verwaltungsbereich) können durch Ressourcen ausgewertet und für ihre Zwecke verwendet werden. Die Vermittlungsstelle verwendet sie zur Prüfung der abstrakten Berechtigung nach §§ 7 (2), 12(4) IDNrG, um der unerwünschten Bildung von Persönlichkeitsprofilen entgegenzuwirken. Aus demselben Grund wird die Zuständigkeit Intermediärer Plattformen nach Verwaltungsbereichen aufgeteilt.

Das IAM für Behörden schafft mit abrufbaren Zugriffstoken und den darin enthaltenen Rollen die Voraussetzung für den autorisierten Zugriff von IT-Komponenten auf Ressourcen. Die Ressourcen sind dafür verantwortlich,

  • Zugriffe auf die von ihnen dafür vorgesehenen Rollen zu beschränken,
  • die vorgesehenen Rollen mit den entsprechenden Berechtigungen für den technischen Zugriff zu verknüpfen,
  • Zugriffstoken hinsichtlich Gültigkeitszeitraum und Siegel zu validieren,
  • die darin enthaltenen Rollen mit den für den Zugriff nötigen Rollen abzugleichen und
  • den Zugriff bei Entsprechung zu gewähren (Autorisierung) oder andernfalls abzulehnen.

4.4.2 Technischer Kontext

Das IAM für Behörden ist unabhängig von anderen technischen Systemen. Es wird vielmehr von anderen technischen Systemen als zentraler Berechtigungsdienst genutzt.

4.5 Anforderungen

Die Anforderungen an das IAM für Behörden werden in funktionale und nichtfunktionale Anforderungen unterschieden. Sie berücksichtigen die anwendbaren Bestandteile der nachfolgenden Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik und sind auf das Vertrauensniveau "substantiell" ausgerichtet. "Substantiell" bedeutet, dass Software-Token gem. Unterkap. 4.2 der TR-03107-1 für private Schlüssel von Zertifikaten zulässig sind.

Tab. 4: BSI-Richtlinien

Nummer Richtlinie Teil Quelle Anwendbare Bestandteile
TR-02103

X.509 Zertifikate und Zertifizierungspfadvalidierung

   [SQ-08] alle
TR-03107-1 Elektronische Identitäten und Vertrauensdienste im E-Government Teil 1: Vertrauensniveaus und Mechanismen [SQ-07] Kap. 1 - 6, Unterkap. 10.2 und 10.6
TR-03116-4

Kryptographische Vorgaben für Projekte der Bundesregierung

Teil 4: Kommunikationsverfahren in Anwendungen

[SQ-10]

 Kap. 1 - 2, Unterkap. 6.1

4.5.1 Funktionale Anforderungen

Das IAM für Behörden muss die nachfolgenden funktionalen Anforderungen erfüllen. Die Maßnahmen zur Umsetzung der Anforderungen werden nachfolgend beschrieben.

Tab. 5: Funktionale Anforderungen

Nr.

Anforderungen

Abgedeckte Ziele

Beschreibung
NOOTS-808

Das IAM für Behörden MUSS die Nutzung seiner Prozesse durch Besitzer gültiger und zulässiger elektronischer Identitäten sicherstellen.

3, 6

Prozesse werden von Akteuren und IT-Komponenten genutzt. Ein Prozess darf nur genutzt werden, wenn dabei ein gültiges Zertifikat als elektronische Identität verwendet und der Besitz des zugehörigen privaten Schlüssels bewiesen wird. Das Zertifikat muss außerdem zulässig sein, also auf eine vom IAM für Behörden vorgesehene Wurzelzertifizierungsstelle zurückgeführt werden können.
NOOTS-1139

Das IAM für Behörden MUSS die Unterscheidung elektronischer Identitäten öffentlicher Stellen von denen sonstiger Stellen sicherstellen.

3

Die meisten Pflege- und Registrierungsprozesse sind öffentlichen Stellen vorbehalten. Zudem müssen jeder IT-Komponente eine öffentliche Stelle als fachverantwortliche Stelle und eine sonstige Stelle als betriebsverantwortliche Stelle zugeordnet werden. Das IAM für Behörden muss elektronische Identitäten entsprechend unterscheiden können. Die pflegende Stelle muss dazu jede zulässige Wurzelzertifizierungsstelle entsprechend klassifizieren (s.u.).
NOOTS-1140 Das IAM für Behörden MUSS die Nutzung seiner Prozesse auf dafür Berechtigte beschränken. 7 Das IAM für Behörden muss Missbrauch und unberechtigte Einsicht verhindern, insbesondere dass sonstige Stellen Prozesse öffentlicher Stellen nutzen.
NOOTS-988 Das IAM für Behörden MUSS der pflegenden Stelle die Pflege von Wurzelzertifizierungsstellen, Verwaltungsbereichen, Rollen und Teilnahmearten ermöglichen.

5, 13

 Die pflegende Stelle ist für die fachlichen und betrieblichen Grundlagen des IAM für Behörden verantwortlich. Sie pflegt die zulässigen Wurzelzertifizierungsstellen samt Klassifikation (öffentliche/sonstige Stellen), die von der Bundesregierung festgelegten Verwaltungsbereiche, die mit den Ressourcen abgestimmten Rollen für Ressourcenzugriffe und die Teilnahmearten zur Bündelung von Rollen nach fachlichem Zweck der Teilnehmer.
NOOTS-1027 Das IAM für Behörden MUSS öffentlichen Stellen die Pflege von Behördenfunktionen und deren Zuordnung zu Verwaltungsbereichen ermöglichen.

4, 13

 Öffentliche Stellen sind für die fachlichen Zuordnungen von sich selbst und ihren IT-Komponenten verantwortlich und müssen die Grundlagen entsprechender Zuordnungen pflegen können.
NOOTS-1025 Das IAM für Behörden MUSS öffentlichen Stellen die Registrierung als fachverantwortliche Stelle oder als Fachaufsicht ermöglichen und dabei die Zuordnung zu Behördenfunktionen sicherstellen.

1, 4, 8, 9

 Jede fachverantwortliche Stelle und jede Fachaufsicht muss mindestens einer Behördenfunktion zugeordnet sein, damit sie die jeweiligen Prozesse nutzen kann. Eine Registrierung als fachverantwortliche Stelle oder Fachaufsicht ist öffentlichen Stellen vorbehalten.
NOOTS-987 Das IAM für Behörden MUSS sonstigen Stellen die Registrierung als betriebsverantwortliche Stelle ermöglichen.

1, 9

 Sonstige Stellen können sich ausschließlich als betriebsverantwortliche Stelle registrieren, um als solche (a) einer zu registrierenden IT-Komponente zugeordnet werden zu können oder (b) deren Registrierung selbst zu veranlassen. Die fachverantwortliche Stelle muss die Registrierung der IT-Komponente veranlasst haben (a) oder bestätigen (b).
NOOTS-967 Das IAM für Behörden MUSS fach- und betriebsverantwortlichen Stellen die einvernehmliche Registrierung einer IT-Komponente ermöglichen. 10 Die Registrierung einer IT-Komponente ist einvernehmlich, wenn eine der beiden verantwortlichen Stellen die Registrierung veranlasst und die andere verantwortliche Stelle die Registrierung bestätigt hat. Ohne Registrierungsbestätigung wird eine IT-Komponente vom IAM für Behörden nicht authentifiziert und kann daher kein Zugriffstoken abrufen. Unbestätigte Registrierungen werden nach Fristablauf gelöscht.
NOOTS-1141

Das IAM für Behörden MUSS die Zuordnung jeder IT-Komponente zu ihrer fachverantwortlichen Stelle, zu ihrer betriebsverantwortlichen Stelle, zu einer Behördenfunktion ihrer fachverantwortlichen Stelle und zu zweckgemäßen Rollen sicherstellen.

1, 5, 11, 12

Diese Zuordnungen werden im Betrieb zu verschiedenen Zwecken genutzt. Die fachverantwortliche Behörde gibt die möglichen Behördenfunktionen der IT-Komponente vor. Die festgelegte Behördenfunktion der IT-Komponente bestimmt deren Fachzugehörigkeit und kann bspw. zur abstrakten Berechtigungsprüfung (s. Vermittlungsstelle) genutzt werden. Die zugeordneten Rollen ermöglichen der IT-Komponente entsprechende Ressourcenzugriffe. Das Zertifikat der betriebsverantwortlichen Stelle (und der zugehörige private Schlüssel) ist für den Abruf des Zugriffstokens der IT-Komponente nötig.
NOOTS-966

Das IAM für Behörden MUSS einer authentifizierten IT-Komponente den Abruf ihrer Identitätsdaten und Rollen mit befristeter Integrität ermöglichen.

 

2, 6

 

Eine IT-Komponente kann ihre Identitätsdaten und Rollen als Zugriffstoken abrufen. Damit die Vertrauenswürdigkeit der enthaltenen Daten erhalten bleibt und von Ressourcen geprüft werden kann, versieht das IAM für Behörden das Zugriffstoken mit einem Gültigkeitszeitraum und siegelt es mit dem dafür vorgesehenen Zertifikat.

 
NOOTS-1031

Das IAM für Behörden MUSS den Abruf des Zertifikats ermöglichen, mit dem es Zugriffstoken siegelt.

2, 13

Ressourcen können die Integrität gesiegelter Zugriffstoken nur anhand des Zertifikats prüfen, das zur Siegelung verwendet wurde. Es muss daher bereitgestellt werden.
NOOTS-951

Das IAM für Behörden MUSS berechtigten Stellen den Abruf von Behördenfunktionen und Verwaltungsbereichen zur Nachnutzung ermöglichen.

14

Das IAM für Behörden pflegt mit Behördenfunktionen und Verwaltungsbereichen Daten von übergreifender Relevanz. Berechtigte Stellen mit Bedarf an diesen Daten können sie vom IAM für Behörden abrufen und nachnutzen.
NOOTS-1033

Das IAM für Behörden MUSS die Erneuerung von Zertifikaten ermöglichen und Verantwortliche rechtzeitig über den Gültigkeitsablauf hinterlegter Zertifikate informieren.

13

Für den Betrieb des IAM für Behörden sind die hinterlegten Zertifikate von entscheidender Bedeutung. Abgelaufene Zertifikate verhindern die Prozessnutzung durch Zertifikatsinhaber, die Authentifizierung von IT-Komponenten betroffener verantwortlicher Stellen und (bei abgelaufenen Zertifikaten von Wurzelzertifizierungsstellen) die Zulässigkeitsprüfung von Zertifikaten. Die rechtzeitige Zertifikatserneuerung ist daher essentiell für den reibungslosen Betrieb und muss entsprechend unterstützt werden.
NOOTS-1142

Das IAM für Behörden MUSS verwaltungsbereichsübergreifende Zuordnungen von fach- und betriebsverantwortlichen Stellen und IT-Komponenten verhindern.

4

Eine fachverantwortliche Stelle darf sich nur Behördenfunktionen aus demselben Verwaltungsbereich zuordnen. Eine betriebsverantwortliche Stelle darf nur IT-Komponenten zugeordnet werden, deren Behördenfunktionen demselben Verwaltungsbereich zugeordnet sind. Dadurch werden eine Missbrauch ermöglichende Kumulation von Zuständigkeiten und Daten verhindert und Auswirkungen abgelaufener und gesperrter Zertifikate begrenzt.
NOOTS-1143

Das IAM für Behörden MUSS die Fachaufsicht über Zuordnungen von Behördenfunktionen, Verwaltungsbereichen und Rollen zu fachverantwortlichen Stellen und IT-Komponenten unterstützen.

4, 8

Fachaufsichten prüfen im eigenen Ermessen die Korrektheit fachlicher Zuordnungen in ihrer Zuständigkeit. Sie benötigen dazu entsprechende Sichten auf den Datenbestand, die ihnen das IAM für Behörden bereitstellen muss.

4.5.2 Nicht-funktionale Anforderungen

Die nichtfunktionalen Anforderungen (sonstige Qualitätskriterien entsprechend ISO 25010) an das IAM für Behörden sind in der nachfolgenden Tab. 5 aufgeführt.

Tab. 6: Nichtfunktionale Anforderungen

Nr.

Anforderung

Qualitätskriterium (ISO 25010)
NOOTS-1118

Das IAM für Behörden MUSS eine hohe Anzahl von Abrufen von Zugriffstoken pro Sekunde verarbeiten können.

Performanz - Kapazitäten
NOOTS-1119

Das IAM für Behörden MUSS den Abruf eines Zugriffstokens innerhalb von einer Sekunde beantworten können.

Performanz - Zeitverhalten
NOOTS-953

Das IAM für Behörden MUSS relevante Ereignisse in einer technisch auswertbaren Weise protokollieren.

 Sicherheit
NOOTS-1120

Das IAM für Behörden MUSS relevante Ereignisse ohne Zeitverzug protokollieren können.

Performanz - Kapazitäten
NOOTS-1121

Das IAM für Behörden MUSS 24/7 zu 99,9% verfügbar sein.

Sicherheit - Verfügbarkeit
NOOTS-1122

Das IAM für Behörden MUSS 24/7 mit mindestens zwei örtlich getrennten und inhaltlich redundant gehaltenen Instanzen betrieben werden.

Sicherheit - Wiederherstellbarkeit
NOOTS-1123

Das IAM für Behörden MUSS 24/7 bei einem Ausfall innerhalb von wenigen Stunden wiederhergestellt werden.

Sicherheit - Wiederherstellbarkeit

4.6 Lösungsstrategie

Das IAM für Behörden wird als zentraler Berechtigungsdienst für nationale Behörden, deren Dienstleister und den von diesen betriebenen IT-Komponenten umgesetzt.

Das nötige Vertrauen von Beteiligten in das IAM für Behörden wird durch folgende Maßnahmen sichergestellt:

  • Die Identität jedes Akteurs ist von einer unabhängigen vertrauenswürdigen Instanz durch ein Zertifikat bestätigt.
  • Zertifikate öffentlicher Stellen werden eindeutig von Zertifikaten sonstiger Stellen unterschieden.
  • IAM-Prozesse können nur auf der Grundlage von Zertifikaten genutzt werden.
  • Fach- und betriebsverantwortliche Stellen registrieren selbständig ihre IT-Komponenten. Die jeweils andere (fach-/betriebs-)verantwortliche Stelle bestätigt die Registrierung.
  • Jede IT-Komponente ist einer Behördenfunktion und darüber einem Verwaltungsbereich zugeordnet.
  • Behördenfunktionen, Verwaltungsbereiche und deren Verknüpfungen und Rechtsgrundlagen werden zentral im IAM für Behörden gepflegt.
  • Jeder IT-Komponente sind nur die Rollen ihrer Teilnahmeart zugeordnet.
  • Fachaufsichten prüfen Behördenfunktionen, Verwaltungsbereiche und Rechtsnormen, deren Zuordnungen untereinander und zu IT-Komponenten und fachverantwortlichen Stellen sowie Teilnahmearten, deren Rollen und Zuordnungen im eigenen Ermessen.

Die möglichst effiziente Nutzung des IAM für Behörden wird durch folgende Maßnahmen sichergestellt:

  • Akteure benötigen nur ein gültiges Zertifikat, das zur gewünschten Registrierung geeignet ist.
  • Die Registrierung eines Akteurs muss nicht von anderen Akteuren bestätigt werden.
  • IT-Komponenten werden mit ihrer KomponentenID und dem Zertifikat ihrer betriebsverantwortlichen Stelle sicher authentifiziert.
  • Öffentliche Stellen registrieren Behördenfunktionen und Rechtsnormen nach ihrem Bedarf.
  • Die pflegende Stelle ordnet den Teilnahmearten die nötigen Rollen für Ressourcen-Zugriffe nach fachlichem Bedarf zu.
  • Die pflegende Stelle sorgt für die Verfügbarkeit des IAM für Behörden samt seiner grundlegenden Daten und Funktionen und überwacht dessen Betrieb.
  • Ressourcen melden der pflegenden Stelle die für den jeweiligen Zugriff nötigen Rollen.

4.7 Bausteinsicht

4.7.1 Datenmodell

Die vom IAM für Behörden vorzuhaltenden Informationen werden nachfolgend als Entitäten dargestellt. Die Assoziationen der Entitäten und deren Kardinalitäten bilden die Vorgaben dieses Konzepts ab. Die Beisteuerung der Daten durch verschiedene Akteure und sonstige Stellen ist farblich gekennzeichnet (siehe "Datenherkunft" in der Abbildung).

Abb. 1: Datenhaltung im IAM für Behörden

4.7.2 Facharchitektur

4.7.2.1 Umgang mit Zertifikaten

Im IAM für Behörden dürfen ausschließlich Funktionszertifikate gemäß BSI TR-03107 (nachfolgend kurz: Zertifikate) verwendet werden. Zertifikate müssen gültig, eindeutig und ihre Herkunft zulässig sein. Zertifikate werden bei der Registrierung von Akteuren im IAM für Behörden hinterlegt und müssen rechtzeitig erneuert werden.

Nachfolgend werden die statischen Aspekte von Zertifikaten beschrieben, die im Rahmen von Prozessen zu beachten sind.

4.7.2.1.1 Herkunft von Zertifikaten

Zulässige Herkünfte werden über Wurzelzertifizierungsstellen festgelegt (siehe NOOTS-988). Wurzelzertifizierungsstellen werden gekennzeichnet mit dem Herkunftskennzeichen

  • ROOT_CA_BEHÖRDEN: zulässige Wurzelzertifizierungsstelle für Zertifikate öffentlicher Stellen
    oder
  • ROOT_CA_SONST: zulässige Wurzelzertifizierungsstelle für Zertifikate sonstiger Stellen.

Jede zulässige Wurzelzertifizierungsstelle hat eines dieser Herkunftskennzeichen.

Hinweise:

  • Die Nutzung von Prozessen öffentlicher Stellen, von Prozessen fachverantwortlicher Stellen und von Prozessen der Fachaufsicht ist auf Akteure beschränkt, deren Zertifikate auf eine Wurzelzertifizierungsstelle mit dem Herkunftskennzeichen ROOT_CA_BEHÖRDEN zurückgeführt werden können.
4.7.2.1.2 Gültigkeit von Zertifikaten

Ein Zertifikat ist gültig, wenn alle folgenden Bedingungen eingehalten werden:

  1. Das Zertifikat entspricht dem Standard RFC 5280 und enthält mindestens folgende Inhalte:
    1. Identifikationsmerkmal (Seriennummer),
    2. Öffentlicher Schlüssel,
    3. Zertifizierungsstelle,
    4. Verweis auf Zertifikats-Sperrlisten (Certificate Revocation List / CRL) der Zertifizierungsstelle oder einer von ihr beauftragten Stelle (Certificate Registration Authority / RA),
    5. Gültigkeitszeitraum,
    6. Verwendungszwecke (z.B. Authentisierung, Siegelung, Verschlüsselung),
    7. Organisation des Zertifikatsinhabers,
    8. Zertifikatsinhaber (Funktionsträger in der Organisation),
    9. Anschrift des Zertifikatsinhabers,
    10. E-Mail-Adresse des Zertifikatsinhabers oder des Schlüsselbeauftragten (Funktions-Postfach).
  2. Die Herkunft des Zertifikats ist über seine Zertifizierungsstelle (1.c) bis zu einer zulässigen Wurzelzertifizierungsstelle sicher nachvollziehbar.
  3. Das Zertifikat ist in keiner referenzierten Zertifikats-Sperrliste (1.d) aufgeführt.
  4. Der Prüfzeitpunkt liegt im Gültigkeitszeitraum (1.e) des Zertifikats.
  5. Die Authentisierung ist einer der Verwendungszwecke (1.f) des Zertifikats.
4.7.2.1.3 Eindeutigkeit von Zertifikaten

Ein Zertifikat ist eindeutig, wenn es von allen im IAM für Behörden hinterlegten Zertifikaten verschieden ist.

4.7.2.1.4 Erneuerung von Zertifikaten

Zertifikate werden bei der Registrierung von Akteuren im IAM für Behörden hinterlegt. Der Zertifikatsinhaber (Akteur) kann das Zertifikat unter folgenden Voraussetzungen erneuern:

  • Das bisherige und das neue Zertifikat sind (noch) gültig.
  • Das neue Zertifikat ist eindeutig.
  • Das neue Zertifikat kann auf eine Wurzelzertifizierungsstelle mit demselben Herkunftskennzeichen zurückgeführt werden wie das bisherige Zertifikat.

Ist der Gültigkeitszeitraum eines hinterlegten Zertifikats bereits abgelaufen,

  • kann der Zertifikatsinhaber kein erneuertes Zertifikat hinterlegen und
  • können dem Zertifikatsinhaber zugeordnete IT-Komponenten nicht authentifiziert werden.

4.7.2.2 Fachliche Zuordnung

Fachliche Zuordnungen von Fachaufsichten, fachverantwortlichen Stellen und IT-Komponenten sind nötig, um ihnen die fachlich vorgesehenen Wirkmöglichkeiten einräumen und sie darauf begrenzen zu können. Die genannten Akteure sollen bei der Nutzung der Prozesse des IAM für Behörden gemäß ihrer Fachlichkeit unterstützt und zugleich auf ihre Fachlichkeit begrenzt werden. IT-Komponenten sollen auf Ressourcenzugriffe in der fachlich vorgesehenen Weise beschränkt werden können. Fachliche Zuordnungen sind daher Teil der Identitätsdaten der genannten Akteure und Bestandteil der Zugriffstoken von IT-Komponenten. Dadurch können Ressourcen fachliche Zugehörigkeiten anfragender IT-Komponenten prüfen (z.B. im Rahmen der abstrakten Berechtigungsprüfung), protokollieren und Berechtigungen oder sonstige Maßnahmen daraus ableiten.

Fachliche Zuordnungen umfassen

  • die Fachgrundlage, bestehend aus Behördenfunktionen, Rechtsnormen, Verwaltungsbereichen und deren Zuordnungen,
  • die zugeordnete Fachlichkeit, bestehend aus den Zuordnungen von Behördenfunktionen zu Fachaufsichten, fachverantwortlichen Stellen und IT-Komponenten, sowie
  • die Eindeutigkeit des Verwaltungsbereichs von registrierten Akteuren und IT-Komponenten.

Nachfolgend werden die Regeln der fachlichen Zuordnung beschrieben. Das IAM für Behörden stellt die Einhaltung dieser Regeln bei der Registrierung und Pflege von Akteuren und IT-Komponenten sicher (siehe entsprechende Prozesse in der Laufzeitsicht) und ermöglicht den Abruf der Fachgrundlage (siehe Behördenfunktionen abrufen).

4.7.2.2.1 Fachgrundlage

Für die Pflege der Fachgrundlage gelten folgende Regeln:

  1. Jeder Verwaltungsbereich hat
    • genau eine Langbezeichnung gemäß der Rechtsverordnung der Bundesregierung nach § 12 (1) IDNrG und
    • genau eine eindeutige Kurzbezeichnung
  2. Jede Rechtsnorm hat
    • genau eine Langbezeichnung (Schreibweise gemäß Veröffentlichung, z.B. Straßenverkehrsgesetz),
    • genau eine Kurzbezeichnung (Abkürzung gemäß Veröffentlichung, z.B. StVG) und
    • möglichst einen Verweis auf einen entsprechenden Eintrag in einem Rechtsnormen-Verzeichnis (z.B. Verweis auf Eintrag in www.gesetze-im-internet.de).
  3. Jede Behördenfunktion hat
    • genau einen zugeordneten Verwaltungsbereich,
    • genau eine zugeordnete Rechtsnorm (z.B. Straßenverkehrsgesetz),
    • genau eine Fundstelle in der Rechtsnorm, an der die Behördenfunktion begründet wird (Artikel, Paragraph, Absatz o.ä. der Rechtsnorm, z.B. § 1 Absatz 1) und
    • genau eine Bezeichnung im Singular gemäß der Fundstelle in der Rechtsnorm (z.B. Zulassungsbehörde).

Hinweise:

  • Eine Behördenfunktion hat eine Rechtsgrundlage. Eine Rechtsgrundlage besteht aus einer Rechtsnorm und der begründenden Fundstelle in der Rechtsnorm. Eine Rechtsnorm kann begründende Fundstellen mehrerer Behördenfunktionen enthalten.Rechtsnormen werden daher separat von Behördenfunktionen gepflegt und von diesen als Teil ihrer Rechtsgrundlage referenziert.
  • Rechtsnormen sollen auf entsprechende Einträge in Rechtsnorm-Verzeichnissen (bspw. mit www.gesetze-im-internet.de) verweisen, um eine einfache Einsichtnahme der Rechtsgrundlage zu ermöglichen. Perspektivisch ist eine noch stärkere Verzahnung bis hin zur Übernahme solcher Einträge in das IAM für Behörden vorstellbar.
4.7.2.2.2 Zugeordnete Fachlichkeit

Für zugeordnete Fachlichkeit gelten folgende Regeln:

  1. Jede als fachverantwortliche Stelle oder als Fachaufsicht registrierte öffentliche Stelle ist mindestens einer Behördenfunktionzugeordnet.
  2. Jede IT-Komponente ist genau einer der Behördenfunktionen ihrer fachverantwortlichen Stelle zugeordnet.
  3. Jede betriebsverantwortliche Stelle ist der Fachlichkeit ihrer IT-Komponenten zugeordnet.
4.7.2.2.3 Eindeutigkeit des Verwaltungsbereichs

Für die Eindeutigkeit des Verwaltungsbereichs gelten folgende Regeln:

  1. Alle einer Fachaufsicht zugeordneten Behördenfunktionen gehören zu demselben Verwaltungsbereich.
  2. Alle einer fachverantwortlichen Stelle zugeordneten Behördenfunktionen gehören zu demselben Verwaltungsbereich.
  3. Alle einer betriebsverantwortlichen Stelle zugeordneten IT-Komponenten haben eine Behördenfunktion aus demselben Verwaltungsbereich.

4.7.2.3 Zweckgemäße Rollen

IT-Komponenten benötigen zur Erfüllung ihres Zwecks die Berechtigung zum Zugriff auf bestimmte Ressourcen. Die pflegende Stelle stimmt mit den Ressourcen zweckgemäße Zugriffe und dafür nötige Rollen ab. Rollen sind also das gemeinsame „Vokabular“ von Ressourcen und IAM für Behörden zur Regelung zweckgemäßer Ressourcenzugriffe von IT-Komponenten.

Die pflegende Stelle bündelt die Rollen für einen bestimmten fachlichen Zweck zu einer Teilnahmeart. Das IAM für Behörden stellt bei der Registrierung und Pflege von IT-Komponenten deren Zuordnung zu einer Teilnahmeart sicher.

Hinweise:

  • Ressourcen definieren grundsätzlich selbständig, welche Rollen anfragende IT-Komponenten benötigen, um von der Ressource zur jeweiligen Nutzung autorisiert zu werden, und melden der pflegenden Stelle die definierten Rollen.
  • Rollen regeln Ressourcen-Zugriffe ohne Bezug auf mögliche Inhalte, die darüber abgerufen werden können. Rollen dienen insbesondere nicht zur Steuerung abrufbarer Nachweise. Das ist Aufgabe der Vermittlungsstelle.
  • Bei mehreren Ressourcen derselben Teilnahmeart (z.B. bei Data Providern) muss eine Rolle für alle Ressourcen dieser Teilnahmeart dieselbe Bedeutung und Wirkung haben. Die pflegende Stelle koordiniert die Festlegung solcher Rollen.
  • Rollen werden IT-Komponenten stets über ihre Teilnahmeart, also mittelbar zugeordnet.
  • Teilnahmearten ermöglichen eine bedarfsgerechte Unterscheidung von Zwecken und die gleichartige Zuordnung nötiger Rollen zu IT-Komponenten mit demselben Zweck.
  • Teilnahmearten und Rollen sind Bestandteile von Zugriffstoken.
4.7.2.3.1 Rollen

Eine Rolle hat

  • einen Bezeichner entsprechend der Namenskonvention der pflegenden Stelle,
  • einen Berechtigungszweck und
  • eine oder mehrere berechtigende Ressourcen.

Tab. 7: Beispiele für Rollen

Rolle Berechtigt zu Bei Ressource
RDN.NACHWEISANGEBOT Abruf von Nachweisangeboten Registerdatennavigation
RDN.VERBINDUNGSPARAMETER Abruf von Verbindungsparametern Registerdatennavigation
RDN.IDNRDP Abruf aller Data Provider, die Nachweisabrufe mit IDNr anbieten Registerdatennavigation
IDMP.IDNR Abruf von Identifikationsnummern natürlicher Personen Identity Management für Personen
IDMU.BEWINR Abruf von bundeseinheitlichen Wirtschaftsnummern von Unternehmen Identity Management für Unternehmen
VS.ABSTRAKTEBERECHTIGUNG Auslösung abstrakter Berechtigungsprüfungen Vermittlungsstelle
DP.NACHWEIS Abruf von Nachweisen aus Deutschland Data Provider
DP.PROTOKOLLDATEN Abruf von Protokolldaten zu Nachweisabrufen mit IDNr Data Provider
IP.NACHWEIS Abruf von Nachweisen aus einem EU-Mitgliedstaat Intermediäre Plattform

Hinweise:

  • Die angeführten Beispiele haben keinen normativen Charakter, sondern dienen nur zur Veranschaulichung des Konzepts.
  • Die pflegende Stelle und die Ressourcen können beliebig davon abweichende Rollen und Zwecke festlegen.
4.7.2.3.2 Teilnahmearten

Eine Teilnahmeart hat

  • einen zweckgemäßen Bezeichner und
  • mindestens eine zugeordnete Rolle.

Tab. 8: Beispiele für Teilnahmearten unter Nutzung der o.g. Beispiel-Rollen

Teilnahmeart Rollen Zuordnung zu Hinweise
DC_ONLINEDIENST
  • RDN.NACHWEISANGEBOT
  • RDN.VERBINDUNGSPARAMETER
  • IDMP.IDNR
  • IDMU.BEWINR
  • VS.ABSTRAKTEBERECHTIGUNG
  • DP.NACHWEIS
  • IP.NACHWEIS
 Onlinedienst als Data Consumer

Ein Onlinedienst kann interaktive Abrufe von Nachweisen aus Deutschland und EU-Mitgliedstaaten veranlassen. Er benötigt die aufgeführten Rollen zur Vorbereitung und Durchführung solcher Nachweisabrufe, um

  • von der Registerdatennavigation Nachweisangebote und Verbindungsparameter abzurufen,
  • ggf. die IDNr abzurufen, wenn das Nachweissubjekt eine natürliche Person ist,
  • ggf. die beWiNr abzurufen, wenn das Nachweissubjekt ein Unternehmen ist,
  • die abstrakte Berechtigungsprüfung der jeweiligen Datenübermittlung auszulösen und
  • ggf. den Nachweis aus Deutschland abzurufen oder
  • ggf. den Nachweis über eine Intermediäre Plattform aus einem EU-Mitgliedstaat abzurufen.
DC_FACHVERFAHREN
  • RDN.NACHWEISANGEBOT
  • RDN.VERBINDUNGSPARAMETER
  • IDMP.IDNR
  • IDMU.BEWINR
  • VS.ABSTRAKTEBERECHTIGUNG
  • DP.NACHWEIS
 Fachverfahren als Data Consumer

Ein Fachverfahren kann nicht-interaktive Abrufe von Nachweisen aus Deutschland veranlassen. Es benötigt die aufgeführten Rollen zur Vorbereitung und Durchführung solcher Nachweisabrufe.

Im Vergleich zur Teilnahmeart DC_ONLINEDIENST fehlt die Rolle IP.NACHWEIS, da Abrufe aus EU-Mitgliedstaaten nur interaktiv möglich sind.
DC_IP
  • RDN.NACHWEISANGEBOT
  • RDN.VERBINDUNGSPARAMETER
  • IDMU.BEWINR
  • DP.NACHWEIS
 Intermediäre Plattform als
Data Consumer /
Evidence Requester Proxy

Eine Intermediäre Plattform kann stellvertretend für Verfahren anderer EU-Mitgliedstaaten Nachweise aus Deutschland abrufen. Sie benötigt die aufgeführten Rollen zur Vorbereitung und Durchführung solcher Nachweisabrufe.

Im Vergleich zur Teilnahmeart DC_ONLINEDIENST fehlen die Rollen IDMP.IDNR, VS.ABSTRAKTEBERECHTIGUNG und IP.NACHWEIS,da sie für Nachweise zu natürlichen Personen keine IDNr abrufen darf und ein Aufruf einer weiteren Intermediären Plattform unzulässig ist.
DSC
  • RDN.VERBINDUNGSPARAMETER
  • RDN.IDNRDP
  • DP.PROTOKOLLDATEN
 Datenschutzcockpit Das Datenschutzcockpit muss Nachweisabrufe mit einer bestimmten IDNr anzeigen und dazu entsprechende Protokolldaten von allen Data Providern anfordern, die Nachweisabrufe mit IDNr anbieten. Diese Data Provider und deren Verbindungsparameter ermittelt sie über die Registerdatennavigation und ruft von ihnen die benötigten Protokolldaten ab.

Hinweise:

  • Die angeführten Beispiele haben keinen normativen Charakter, sondern dienen nur zur Veranschaulichung des Konzepts.
  • Die pflegende Stelle kann beliebig davon abweichende Teilnahmearten und zugeordnete Rollen festlegen.
4.7.2.3.3 Zuordnung von Teilnahmearten

Das IAM für Behörden stellt sicher, dass jede IT-Komponente einer Teilnahmeart zugeordnet ist. Dadurch verfügt jede IT-Komponente über alle für ihren Zweck nötigen Rollen.

Für Teilnehmer zum Abruf von Nachweisen (Data Consumer) könnten beispielsweise folgende Teilnahmearten festgelegt werden:

4.7.2.4 Registrierung von Akteuren

Jeder Akteur muss sich mit einem  gültigen und eindeutigen Zertifikat zulässiger Herkunft im IAM für Behörden registrieren. Die Registrierung eines Akteurs wird abgewiesen, wenn eine dieser Bedingungen verletzt ist. Bei erfolgreicher Registrierung hinterlegt das IAM für Behörden das verwendete Zertifikat zum Akteur. Der Akteur ist dafür verantwortlich, das hinterlegte Zertifikat rechtzeitig zu erneuern.

Die Möglichkeiten zur Registrierung eines Akteurs unterscheiden sich je nach der Herkunft des Zertifikats:

  • Öffentliche Stellen haben ein Zertifikat, das auf eine ROOT_CA_BEHÖRDEN zurückgeführt werden kann. Sie können sichunter Angabe einer Behördenfunktion als fachverantwortliche Stelle oder als Fachaufsicht registrieren (vgl. Fachliche Zuordnung).
  • Sonstige Stellen haben ein Zertifikat, das auf eine ROOT_CA_SONST zurückgeführt werden kann. Sie können sich als betriebsverantwortliche Stelle registrieren.

Die pflegende Stelle registriert sich nicht als Akteur. Vielmehr wird das Zertifikat der pflegenden Stelle in einem manuellen Prozess im IAM für Behörden hinterlegt.

4.7.2.5 Registrierung von IT-Komponenten

Eine IT-Komponente kann von einer fachverantwortlichen Stelle oder von einer betriebsverantwortlichen Stelle unter Angabe der jeweils anderen Stelle, der Teilnahmeart und einer Behördenfunktion der fachverantwortlichen Stelle registriert werden. Die jeweils andere Stelle muss die Registrierung bestätigen. Die Prozesse von IT-Komponenten können nur von bestätigten IT-Komponenten genutzt werden.

4.8 Laufzeitsicht

Nachfolgend werden die Prozesse der IT-Komponenten und der Akteure beschrieben, die vom IAM für Behörden angeboten werden.

Die Prozesse von IT-Komponenten werden von IT-Komponenten genutzt, die auf andere IT-Komponenten zugreifen wollen, insbesondere von Data Consumern, die für Zugriffe auf NOOTS-Komponenten und Data Provider von diesen autorisiert werden müssen. Sie rufen dazu Zugriffstoken ab, die die nötigen Rollen für den jeweiligen Zugriff enthalten.

Alle übrigen Prozesse sind Pflegeprozesse der jeweiligen Akteure.

4.8.1 Nutzungsbedingungen

Für die Nutzung aller vom IAM für Behörden angebotenen Prozesse gilt:

  • Der Prozessnutzer muss den Prozess unter Verwendung eines gültigen Zertifikats aufrufen.
  • Das IAM für Behörden muss die Gültigkeit des verwendeten Zertifikats prüfen.
  • Das IAM für Behörden muss vom Prozessnutzer einen Beweis des Besitzes des privaten Schlüssels des verwendeten Zertifikats verlangen, z.B. über ein kryptographisches Challenge-Response-Verfahren.
  • Das IAM für Behörden muss den Prozess abbrechen, wenn ein ungültiges Zertifikat verwendet oder dessen Besitz nicht bewiesen wird (siehe NOOTS-808).

Bei Einhaltung dieser Nutzungsbedingungen und der jeweiligen Prozess-Bedingungen führt das IAM für Behörden den genutzten Prozess durch und bestätigt dessen Durchführung.

4.8.2 Prozesse von IT-Komponenten

IT-Komponenten können die nachfolgenden Schnittstellenmethoden des IAM für Behörden aufrufen, um insbesondere ihr Zugriffstoken für den Zugriff auf andere IT-Komponenten abzurufen.

Das IAM für Behörden bietet IT-Komponenten folgende Schnittstellenmethoden an:

Tab. 9: Schnittstellenmethoden

  Methode Zweck Aufrufparameter Aufgerufene Prozesse Ergebnis (bei erfolgreicher Authentifizierung und erfolgreichem Folgeprozess)
1 getZugriffstoken Abruf eines Zugriffstokens
  • Komponenten-ID
  • Zertifikat der betriebsverantwortlichen Stelle
  • IT-Komponente authentifizieren
  • Zugriffstoken abrufen
 Zugriffstoken mit den nachfolgend beschriebenen Bestandteilen
2 getSiegelzertifikat Abruf des zur Siegelung von Zugriffstoken verwendeten Zertifikats
  • Komponenten-ID
  • Zertifikat der betriebsverantwortlichen Stelle
  • IT-Komponente authentifizieren
  • Siegelzertifikat abrufen
 Elektronisches Zertifikat gemäß Standard RFC 5280
3 getBehördenfunktionen Abruf der Fachgrundlage zur Nachnutzung in anderen Systemen öffentlicher Stellen
  • Komponenten-ID
  • Zertifikat der betriebsverantwortlichen Stelle
  • IT-Komponente authentifizieren
  • Behördenfunktionen abrufen
 Liste aller Behördenfunktionen des IAM für Behörden, je mit Rechtsgrundlage und zugeordnetem Verwaltungsbereich

4.8.2.1 Zugriffstoken abrufen

Eine authentifizierte IT-Komponente kann jederzeit vom IAM für Behörden ein Zugriffstoken für den Zugriff auf andere IT-Komponenten abrufen (siehe NOOTS-958).

Ein Zugriffstoken besteht aus folgenden Bestandteilen:

Tab. 10: Bestandteile von Zugriffstoken

  Bestandteil Beschreibung
1

Komponenten-ID

 Vom IAM für Behörden bei der Registrierung vergebene ID der IT-Komponente
2

Bezeichnung

 Bezeichnung der IT-Komponente
3

Behördenfunktion

 Behördenfunktion der IT-Komponente
4

Verwaltungsbereich

 Verwaltungsbereich der Behördenfunktion der IT-Komponente
5

Teilnahmeart

 Teilnahmeart der IT-Komponente
6

Rollen

 Menge von Rollen gemäß der Teilnahmeart
7 FV-ID Vom IAM für Behörden bei der Registrierung vergebene ID der fachverantwortlichen Stelle
8 FV-Organisation Organisation der fachverantwortlichen Stelle laut deren Zertifikat
9 FV-Funktionsträger Funktionsträger der fachverantwortlichen Stelle laut deren Zertifikat
10 FV-Anschrift Anschrift der fachverantwortlichen Stelle laut deren Zertifikat
11 BV-ID Vom IAM für Behörden bei der Registrierung vergebene ID der betriebsverantwortlichen Stelle
12 BV-Organisation Organisation der betriebsverantwortlichen Stelle laut deren Zertifikat
13 BV-Funktionsträger Funktionsträger der betriebsverantwortlichen Stelle laut deren Zertifikat
14 BV-Anschrift Anschrift der betriebsverantwortlichen Stelle laut deren Zertifikat

Das IAM für Behörden

  • ermittelt die Werte für die Bestandteile des Zugriffstoken anhand der Identitätsdaten und der direkt oder über die Teilnahmeart zugeordneten Rollen der IT-Komponente,
  • ermittelt den Gültigkeitszeitraum der ermittelten Werte mit sekundengenauen Zeitpunkten für
    • Beginn (Erstellungszeitpunkt) und
    • Ende (Erstellungszeitpunkt zuzüglich der Gültigkeitsdauer von Zugriffstoken, siehe NOOTS-1031),
  • strukturiert die ermittelten Daten als Zugriffstoken (siehe Ausblick),
  • siegelt das Zugriffstoken mit dem privaten Schlüssel seines Siegel-Zertifikats (siehe NOOTS-1031) und
  • stellt der IT-Komponente das gesiegelte Zugriffstoken zur Verfügung.

4.8.2.2 Siegelzertifikat abrufen

Eine authentifizierte IT-Komponente kann jederzeit das vom IAM für Behörden zur Siegelung von Zugriffstoken verwendete Zertifikat abrufen.

4.8.2.3 Behördenfunktionen abrufen

Eine authentifizierte IT-Komponente kann jederzeit die im IAM für Behörden verwalteten Behördenfunktionen samt jeweiliger Rechtsgrundlage und zugeordnetem Verwaltungsbereiche über folgende Schnittstelle abrufen:

4.8.2.4 IT-Komponente authentifizieren

Eine IT-Komponente wird vom IAM für Behörden unter folgenden Bedingungen authentifiziert (siehe NOOTS-966):

  • Die angegebene Komponenten-ID verweist auf eine registrierte IT-Komponente.
  • Die Registrierung der IT-Komponente ist bestätigt.
  • Das verwendete Zertifikat ist der betriebsverantwortlichen Stelle der IT-Komponente zugeordnet.
  • Das Zertifikat der fachverantwortlichen Stelle der IT-Komponente ist gültig (siehe Zertifikate).

Liegt eine der Voraussetzungen nicht vor, lehnt das IAM für Behörden die Authentifizierung der IT-Komponente ab.

Dieser Prozess wird nicht über eine Schnittstellenmethode zum Aufruf durch IT-Komponenten angeboten. Er wird vom IAM für Behörden vor der Durchführung eines per Schnittstellenmethode aufgerufenen Prozesses verpflichtend als Vor-Prozess durchgeführt. Das stellt sicher, dass nur authentifizierte IT-Komponenten die per Schnittstelle angebotenen Prozesse nutzen können.

Hinweise:

  • Die IT-Komponente wird von der betriebsverantwortlichen Stelle betrieben. Daher wird deren Zertifikat zur Authentisierung verwendet. Es muss den Nutzungsbedingungen genügen, also u.a. ebenfalls gültig sein.

4.8.3 Prozesse öffentlicher Stellen

Öffentliche Stellen können die nachfolgenden Prozesse des IAM für Behörden nutzen, um Rechtsnormen oder Behördenfunktionen als Teil der Fachgrundlage zu pflegen oder um sich als fachverantwortliche Stelle oder als Fachaufsicht zu registrieren.

Nach der Registrierung können sie die entsprechenden Prozesse nutzen (siehe Prozesse fachverantwortlicher Stellen und Prozesse der Fachaufsicht). Die Nutzung der Prozesse zur Pflege von Rechtsnormen und Behördenfunktionen bleibt öffentlichen Stellen auch nach einer Registrierung erhalten.

4.8.3.1 Rechtsnormen pflegen

Eine öffentliche Stelle kann jederzeit bei berechtigtem Interesse eine Rechtsnorm unter folgenden Bedingungen anlegen:

  • Das verwendete Zertifikat kann auf eine Wurzelzertifizierungsstelle für Zertifikate öffentlicher Stellen zurückgeführt werden.
  • Schreibweise und Kurzbezeichnung der Rechtsnorm sind angegeben und noch nicht im IAM für Behörden vorhanden (Eindeutigkeit im Namensraum des IAM für Behörden).
  • Der Verweis auf den entsprechenden Eintrag in einer Rechtsnormen-Datenbank ist angegeben und technisch gültig (URL kann aufgelöst werden).

Eine öffentliche Stelle kann jederzeit eine vorhandene Rechtsnorm unter Einhaltung der vorgenannten Bedingungen ändern.

Hinweise:

  • Die Fachaufsicht kontrolliert die Rechtsnormen der von ihr beaufsichtigten Behördenfunktionen.

4.8.3.2 Behördenfunktionen pflegen

Eine öffentliche Stelle kann jederzeit bei berechtigtem Interesse eine Behördenfunktion unter folgenden Bedingungen anlegen:

  • Das verwendete Zertifikat kann auf eine Wurzelzertifizierungsstelle für Zertifikate öffentlicher Stellen zurückgeführt werden.
  • Die Bezeichnung der Behördenfunktion sowie deren Rechtsnorm, Fundstelle und Verwaltungsbereich sind angegeben.
  • Der Rechtsnorm ist keine Behördenfunktion mit derselben Bezeichnung zugeordnet (Eindeutigkeit im Namensraum der Rechtsnorm).
  • Die Kombination von Fundstelle und Rechtsnorm (Rechtsgrundlage) wird von keiner anderen Behördenfunktion verwendet (fachliche Eindeutigkeit).
  • Der Verwaltungsbereich der Behördenfunktion ist einer der Verwaltungsbereiche der Rechtsnorm oder die Rechtsnorm ist keinem Verwaltungsbereich zugeordnet.

Eine öffentliche Stelle kann jederzeit eine vorhandene Behördenfunktion unter Einhaltung der vorgenannten Bedingungen ändern.

Hinweise:

  • Die öffentliche Stelle kann eine noch nicht im IAM für Behörden vorhandene Rechtsnorm anlegen.
  • Die öffentliche Stelle muss ggf. Anpassungen an Berechtigungsregeln bei der Vermittlungsstelle veranlassen, um aufgrund der registrierten Behördenfunktion Nachweise abrufen zu dürfen.
  • Die Fachaufsicht kontrolliert die von ihr beaufsichtigten Behördenfunktionen.

4.8.3.3 Als fachverantwortliche Stelle registrieren

Eine öffentliche Stelle kann sich jederzeit im IAM für Behörden als fachverantwortliche Stelle unter folgenden Bedingungen registrieren:

  • Das verwendete Zertifikat kann auf eine Wurzelzertifizierungsstelle für Zertifikate öffentlicher Stellen zurückgeführt werden.
  • Mit dem verwendeten Zertifikat wurde noch kein Akteur registriert.
  • Eine Behördenfunktion ist zugeordnet.

Abb. 2: Als fachverantwortliche Stelle registrieren

Hinweise:

  • Die öffentliche Stelle kann eine noch nicht im IAM für Behörden vorhandene Behördenfunktion anlegen.
  • Die Fachaufsicht kontrolliert fachverantwortliche Stellen mit einer von ihr beaufsichtigten Behördenfunktion.

4.8.3.4 Als Fachaufsicht registrieren

Eine öffentliche Stelle kann sich jederzeit im IAM für Behörden als Fachaufsicht unter folgenden Bedingungen registrieren:

  • Das verwendete Zertifikat kann auf eine Wurzelzertifizierungsstelle für Zertifikate öffentlicher Stellen zurückgeführt werden.
  • Mit dem verwendeten Zertifikat wurde noch kein Akteur registriert.
  • Eine Behördenfunktion ist zur Aufsicht angegeben.
  • Die zur Aufsicht angegebene Behördenfunktion ist keiner anderen Fachaufsicht zugeordnet.

Hinweise:

  • Ein Zertifikat darf nur zur Registrierung von genau einem Akteur verwendet werden.
  • Die öffentliche Stelle kann eine noch nicht im IAM für Behörden vorhandene Behördenfunktion anlegen.

4.8.4 Prozesse fachverantwortlicher Stellen

Eine fachverantwortliche Stelle kann die nachfolgenden Prozesse des IAM für Behörden nutzen, um eine IT-Komponente zu registrieren, deren Registrierung zu bestätigen oder Daten zu korrigieren.

4.8.4.1 IT-Komponente registrieren (fachverantwortliche Stelle)

Eine fachverantwortliche Stelle kann eine IT-Komponente unter folgenden Bedingungen registrieren (siehe NOOTS-967):

  • Die Bezeichnung der IT-Komponente sowie deren Teilnahmeart, Behördenfunktion und betriebsverantwortliche Stelle sind angegeben.
  • Teilnahmeart,Behördenfunktion undbetriebsverantwortliche Stelle sind im IAM für Behörden registriert.
  • Die angegebene Behördenfunktion ist eine der Behördenfunktionen der fachverantwortlichen Stelle.
  • Es gibt keine IT-Komponente mit derselben Bezeichnung, die der fachverantwortlichen oder der betriebsverantwortlichen Stelle zugeordnet ist (Eindeutigkeit in den Namensräumen beider verantwortlicher Stellen).
  • Die Behördenfunktionen aller sonstigen der betriebsverantwortlichen Stelle zugeordneten IT-Komponenten sind demselben Verwaltungsbereich wie die fachverantwortliche Stelle zugeordnet (Eindeutigkeit des Verwaltungsbereichs beider verantwortlicher Stellen).

Das IAM für Behörden muss der fachverantwortlichen Stelle Möglichkeiten bieten zur

  • Suche und Auswahl der Teilnahmeart,
  • Suche und Auswahl der betriebsverantwortlichen Stelle und
  • zur Auswahl der Behördenfunktion der IT-Komponente aus den Behördenfunktionen der fachverantwortlichen Stelle.

Abb. 3: IT-Komponente registrieren (fachverantwortliche Stelle)

Das IAM für Behörden führt bei Einhaltung der Bedingungen folgende Schritte durch:

  1. Die IT-Komponente anlegen mit
    • neuer Komponenten-ID als eindeutiger und dauerhafter Identifikator im Namensraum des IAM für Behörden,
    • Bezeichnung, Teilnahmeart und Behördenfunktion aus den Angaben zur Registrierung,
    • Zuordnung zurregistrierenden fachverantwortlichen Stelle,
    • Zuordnung zur angegebenen betriebsverantwortlichen Stelle,
    • Zustand "unbestätigt" (im Datenmodell: bestätigt = false).
  2. Die Registrierung gegenüber der fachverantwortlichen Stelle unter Angabe der Komponenten-ID bestätigen und auf die nötige Bestätigung durch die betriebsverantwortliche Stelle innerhalb der vorgegebenen Frist hinweisen.
  3. Die Betriebsverantwortliche Stelle unverzüglich unter Angabe der Komponenten-ID über die Registrierung informieren und zur Bestätigung innerhalb einer bestimmten Frist auffordern.

Eine unbestätigte IT-Komponente

  • darf vom IAM für Behörden nicht authentifiziert werden.
  • kann bis zum Ablauf der Bestätigungsfrist durch die betriebsverantwortliche Stelle bestätigt oder abgelehnt werden.
  • wird nach Ablauf der Bestätigungsfrist aus dem IAM für Behörden gelöscht.

Hinweise:

  • Eine IT-Komponente kann auch von der betriebsverantwortlichen Stelle registriert werden.
  • Die pflegende Stelle gibt für die Bestätigungsfrist eine angemessene Zeitspanne vor.

4.8.4.2 Registrierung einer IT-Komponente bestätigen (fachverantwortliche Stelle)

Eine bei der Registrierung einer IT-Komponente durch eine betriebsverantwortliche Stelle angegebenefachverantwortliche Stelle muss die Registrierung dieser IT-Komponente bestätigen, damit die IT-Komponente verwendet werden kann (siehe NOOTS-1032).

Abb. 4: Registrierung einer IT-Komponente bestätigen (fachverantwortliche Stelle)

Das IAM für Behörden muss einer fachverantwortlichen Stelle die Bestätigung oder Ablehnung der Registrierung von IT-Komponenten ermöglichen, die ihr als fachverantwortlicher Stelle zugeordnet sind. Es führt dazu folgende Schritte durch:

  1. Unbestätigte IT-Komponenten mit deren Identitätsdaten darstellen,
  2. Möglichkeiten zur Bestätigung oder Ablehnung der Registrierung anbieten.

Lehnt die fachverantwortliche Stelle die Registrierung ab, löscht das IAM für Behörden die unbestätigte IT-Komponente und bestätigt dies gegenüber der fachverantwortlichen und der betriebsverantwortlichen Stelle.

Bestätigt die fachverantwortliche Stelle die Registrierung, überführt das IAM für Behörden die IT-Komponente in den Zustand "bestätigt" und bestätigt dies gegenüber der fachverantwortlichen und der betriebsverantwortlichen Stelle.

Hinweise:

  • Das IAM für Behörden soll der fachverantwortlichen Stelle im Rahmen der Registrierungsbestätigung die Änderung von Bezeichnung, Behördenfunktion und Teilnahmeart der IT-Komponente ermöglichen, um den Aufwand bei Korrekturbedarf zu minimieren.
  • Die fachverantwortliche Stelle kann diese Angaben auch nach der Registrierung ändern.

4.8.4.3 Eigenschaften einer IT-Komponente ändern

Eine fachverantwortliche Stelle kann jederzeit die Bezeichnung, die Behördenfunktion und die Teilnahmeart einer ihr zugeordneten IT-Komponenteunter folgenden Bedingungen ändern:

  • Die Bezeichnung der IT-Komponente sowie deren Behördenfunktion und Teilnahmeart sind angegeben.
  • Es gibt keine andere IT-Komponente mit dieser Bezeichnung, die der fachverantwortlichen oder der betriebsverantwortlichen Stelle zugeordnet ist (Eindeutigkeit im Namensraum beider verantwortlichen Stellen).
  • Die angegebene Behördenfunktion und die angegebene Teilnahmeart sind im IAM für Behörden registriert.
  • Die angegebene Behördenfunktion ist eine der Behördenfunktionen der fachverantwortlichen Stelle.

4.8.4.4 Betriebsverantwortliche Stelle einer IT-Komponente ändern

Eine fachverantwortliche Stelle kann jederzeit die betriebsverantwortliche Stelle einer ihr zugeordneten IT-Komponente unter folgenden Bedingungen ändern:

  • Eine betriebsverantwortliche Stelle ist angegeben.
  • Es gibt keine andere IT-Komponente mit diesem Namen, die der betriebsverantwortlichen Stelle zugeordnet ist (Eindeutigkeit im Namensraum verantwortlicher Stellen).
  • Die Behördenfunktion der IT-Komponente ist demselben Verwaltungsbereich zugeordnet wie die Behördenfunktionen aller sonstigen der betriebsverantwortlichen Stelle zugeordneten IT-Komponenten (Eindeutigkeit des Verwaltungsbereichs der betriebsverantwortlichen Stelle).

Nach Abschluss der Änderung muss das IAM für Behörden

  • die IT-Komponente in den Zustand "unbestätigt" setzen und
  • den Prozess zur Bestätigung einer registrierten IT-Komponente durch die betriebsverantwortliche Stelle anstoßen.

4.8.4.5 Eigene Behördenfunktionen ändern

Eine fachverantwortliche Stelle kann jederzeit ihre zugeordneten Behördenfunktionen unter folgenden Bedingungen ändern:

  • Nach Abschluss der Änderungen gibt es mindestens eine zugeordnete Behördenfunktion.
  • Der Verwaltungsbereich der zugeordneten Behördenfunktionen ist eindeutig.
  • Alle IT-Komponenten der fachverantwortlichen Stelle bleiben einer der Behördenfunktionen der fachverantwortlichen Stelle zugeordnet.

Hinweise:

  • Mehrere Behördenfunktionen einer fachverantwortlichen Stelle im selben Verwaltungsbereich sollten zur Abbildung der Realität im Kommunalbereich ermöglicht werden.
  • Die Zugehörigkeit einer fachverantwortlichen Stelle zu mehr als einem Verwaltungsbereich widerspricht dem Ansatz der abstrakten Berechtigungsprüfung beim Nachweisabruf nach § 7 (2) IDNrG zur Vermeidung der Bildung von Persönlichkeitsprofilen.

4.8.5 Prozesse betriebsverantwortlicher Stellen

Von öffentlichen Stellen zum Betrieb von IT-Komponenten beauftragte sonstige Stellen können die nachfolgenden Prozesse des IAM für Behörden nutzen, um sich selbst oder eine IT-Komponente zu registrieren oder die Registrierung einer IT-Komponente zu bestätigen.

4.8.5.1 Als betriebsverantwortliche Stelle registrieren

Eine sonstige Stelle kann sich jederzeit unter folgenden Bedingungen als betriebsverantwortliche Stelle registrieren:

  • Mit dem verwendeten Zertifikat wurde noch kein Akteur registriert.

Abb. 5: Als betriebsverantwortliche Stelle registrieren

4.8.5.2 IT-Komponente registrieren (betriebsverantwortliche Stelle)

Eine betriebsverantwortliche Stelle kann eine IT-Komponente unter folgenden Bedingungen registrieren (siehe NOOTS-967):

  • Die Bedingungen bei der Registrierung einer IT-Komponente durch eine fachverantwortliche Stelle sind analog eingehalten; statt der betriebsverantwortlichen wird die fachverantwortliche Stelle angegeben.

Der weitere Ablauf ist analog zur Registrierung einer IT-Komponente durch eine fachverantwortliche Stelle mit der Abweichung, dass die fachverantwortliche Stelle zur Bestätigung der Registrierung aufgefordert wird.

4.8.5.3 Registrierung einer IT-Komponente bestätigen (betriebsverantwortliche Stelle)

Eine bei der Registrierung einer IT-Komponente durch eine fachverantwortliche Stelle angegebene betriebsverantwortliche Stelle muss die Registrierung dieser IT-Komponente bestätigen, damit die IT-Komponente authentifiziert werden kann (siehe NOOTS-1032).

Der Ablauf ist analog zur Bestätigung der Registrierung einer IT-Komponente durch eine fachverantwortliche Stelle mit der Abweichung, dass die betriebsverantwortliche Stelle die Angaben zur IT-Komponente nicht ändern darf.

4.8.6 Prozesse der Fachaufsicht

Eine öffentliche Stelle kann die nachfolgenden Prozesse nutzen, um sich selbst als Fachaufsicht zu registrieren und um beaufsichtigte Behördenfunktionen und deren Rechtsnormen zu kontrollieren.

4.8.6.1 Registrierte Behördenfunktionen einsehen

Die Fachaufsicht kann jederzeit die vorhandenen Behördenfunktionen einsehen. Das IAM für Behörden zeigt zu jeder Behördenfunktion die zugeordnete Fachaufsicht an. Eine Behördenfunktion ohne zugeordnete Fachaufsicht ist unbeaufsichtigt und wird vom IAM für Behörden entsprechend angezeigt.

Stellt die Fachaufsicht eine falsche Zuordnung einer Behördenfunktion zu sich als Fachaufsicht fest, ändert sie ihre beaufsichtigten Behördenfunktionen entsprechend.

Stellt die Fachaufsicht eine falsche Zuordnung einer Behördenfunktion zu einer anderen Fachaufsicht fest, veranlasst sie außerhalb des IAM für Behörden eine entsprechende Korrektur.

Hinweise:

  • Die Fachaufsicht kann sich jederzeit eine unbeaufsichtigte Behördenfunktion zuordnen.

4.8.6.2 Beaufsichtigte Behördenfunktionen ändern

Die Fachaufsicht kann jederzeit die von ihr beaufsichtigten (also ihr zugeordneten)Behördenfunktionen unter folgenden Bedingungen ändern:

  • Mindestens eine Behördenfunktion ist zur Aufsicht zugeordnet.
  • Die zugeordneten Behördenfunktionen sind keiner anderen Fachaufsicht zugeordnet.
  • Der Verwaltungsbereich der zugeordneten Behördenfunktionen ist eindeutig.

4.8.6.3 Beaufsichtigte Behördenfunktionen kontrollieren

Die Fachaufsicht kontrolliert Behördenfunktionen unter ihrer Aufsicht nach folgenden Gesichtspunkten:

  • Alle beaufsichtigten Behördenfunktionen sind korrekt registriert und dem korrekten Verwaltungsbereich zugeordnet.
  • Den beaufsichtigten Behördenfunktionen sind die richtigen öffentlichen Stellen zugeordnet.

Die Fachaufsicht kann jederzeit

  • die ihr zugeordneten Behördenfunktionen einsehen,
  • die fachverantwortlichen Stellen einsehen, die den Behördenfunktionen der Fachaufsicht zugeordnet sind,
  • eine ihr zugeordnete Behördenfunktion ändern,
  • eine noch nicht vorhandene Behördenfunktion anlegen und sich zuordnen.

Stellt die Fachaufsicht eine falsche Zuordnung einer fachverantwortlichen Stelle zu einer beaufsichtigten Behördenfunktion fest, veranlasst sie außerhalb des IAM für Behörden eine entsprechende Korrektur.

Die Fachaufsicht kann jederzeit eine ihr zugeordnete Behördenfunktion unter folgenden Bedingungen löschen:

  • Es gibt keine fachverantwortliche Stelle, die dieser Behördenfunktion zugeordnet ist.

4.8.6.4 Rechtsnormen beaufsichtigter Behördenfunktionen kontrollieren

Die Fachaufsicht kontrolliert Rechtsnormen von Behördenfunktionen unter ihrer Aufsicht nach folgenden Gesichtspunkten:

  • Die Rechtsnormen beaufsichtigter Behördenfunktionen sind korrekt registriert.
  • Die Rechtsnormen beaufsichtigter Behördenfunktionen sind ggf. gemäß der Rechtsgrundlage für Verwaltungsbereiche den korrekten Verwaltungsbereichen zugeordnet.

Die Fachaufsicht kann jederzeit eine Rechtsnorm beaufsichtigter Behördenfunktionen registrieren oder ändern.

Die Fachaufsichtkann jederzeit eine&nbsp Rechtsnorm unter folgenden Bedingungen löschen:

  • Es gibt keine Behördenfunktion, die auf diese Rechtsnorm (als Teil der Rechtsgrundlage) verweist.

4.8.7 Prozesse der pflegenden Stelle

Die pflegende Stelle kann die nachfolgenden Prozesse des IAM für Behörden nutzen, um die zum Betrieb des IAM für Behörden nötigen Daten einzubringen und aktuell zu halten. Für die Nutzung jedes dieser Prozesse gilt:

  • Das verwendete Zertifikat muss im IAM für Behörden als Zertifikat der pflegenden Stelle hinterlegt sein.

Hinweise:

  • Organisatorische Prozesse (bspw. Anlass, Häufigkeit und Auswahl von Analysen protokollierter Ereignisse) werden hier nicht beschrieben.

4.8.7.1 Wurzelzertifizierungsstellen verwalten

Die für das IAM für Behörden verantwortliche Stelle

  • bestimmt die vom IAM für Behörden zu verwendenden Wurzelzertifizierungsstellen und
  • legt jeweils fest, ob es eine Wurzelzertifizierungsstelle für Zertifikate öffentlicher Stellen ist.

Die pflegende Stelle verwaltet Zertifikate von Wurzelzertifizierungsstellen nach diesen Vorgaben. Sie stellt insbesondere sicher,

  • dass jede Wurzelzertifizierungsstelle entweder mit "Wurzelzertifizierungsstelle für Zertifikate öffentlicher Stellen" oder mit "Wurzelzertifizierungsstelle für Zertifikate sonstiger Stellen" gekennzeichnet ist,
  • dass es jederzeit mindestens eine Wurzelzertifizierungsstelle für Zertifikate öffentlicher Stellen gibt,
  • dass es jederzeit mindestens eine Wurzelzertifizierungsstelle für Zertifikate sonstiger Stellen gibt und
  • dass die Zertifikate aller verwalteten Wurzelzertifizierungsstellen gültig sind.

Das IAM für Behörden soll die pflegende Stelle rechtzeitig über den anstehenden Gültigkeitsablauf von Zertifikaten der Wurzelzertifizierungsstellen informieren (siehe NOOTS-1033).

4.8.7.2 Verwaltungsbereiche verwalten

Die pflegende Stelle verwaltet Verwaltungsbereiche auf der Grundlage einer entsprechenden Verordnung der Bundesregierung nach § 12 (1) IDNrG oder im Vorgriff auf eine zu erwartende solche Rechtsgrundlage nach den Vorgaben der für das IAM für Behörden verantwortlichen Stelle.

Die pflegende Stelle kann jederzeit einen Verwaltungsbereich mit seinem Namen unter folgenden Bedingungen anlegen und ändern:

  • Der Name des Verwaltungsbereichs ist noch nicht vorhanden.

Die pflegende Stelle kann jederzeit einen Verwaltungsbereich unter folgenden Bedingungen löschen:

  • Es gibt keine Behördenfunktionen und keine Rechtsnormen, die dem Verwaltungsbereich zugeordnet sind.

4.8.7.3 Rollen verwalten

Die pflegende Stelle verwaltet Rollen aufgrund entsprechender Meldungen von Ressourcen.

Eine Rolle wird nach dem Schema <Präfix>.<Name> bezeichnet. Dabei wird

  • <Präfix> ersetzt mit der Kurzbezeichnung der Teilnahmeart oder der Ressource, bspw. RDN für "Registerdatennavigation" oder DP für "Data Provider".
  • <Name> ersetzt mit einer prägnanten Bezeichnung der Zugriffsart nach Wahl der Ressource.

Die pflegende Stelle gibt die zu verwendenden Präfixe vor und achtet auf die Einhaltung der Namenskonvention.

Die pflegende Stelle kann jederzeit eine Rolle unter folgenden Bedingungen anlegen und ändern:

  • Die o.g. Namenskonvention für Rollen ist eingehalten.
  • Es gibt noch keine Rolle mit diesem Namen.

Die pflegende Stelle kann jederzeit eine Rolle unter folgenden Bedingungen löschen:

  • Die Rolle ist keiner Teilnahmeart zugeordnet.

4.8.7.4 Teilnahmearten verwalten

Die pflegende Stelle verwaltet Teilnahmearten zur nachvollziehbaren Zuordnung von Rollen zu IT-Komponenten.

Die pflegende Stelle kann jederzeit den Namen einer Teilnahmeart unter folgenden Bedingungen anlegen und ändern:

  • Es gibt noch keine Teilnahmeart mit diesem Namen.
  • Der Bezeichner ist an der Fachlichkeit orientiert. Im Kontext von NOOTS sollen die Bezeichner der NOOTS-Komponenten und für entsprechende Teilnehmer die Bezeichner "Data Consumer" und "Data Provider" verwendet werden.

Die pflegende Stelle kann jederzeit unter folgenden Bedingungen Rollenzu einer Teilnahmeart hinzufügen und von einer Teilnahmeart entfernen:

  • Das Hinzufügen oder Entfernen entspricht den fachlichen Bedürfnissen für die Teilnahmeart.

Die pflegende Stelle kann jederzeit eine Teilnahmeart unter folgenden Voraussetzungen löschen:

  • Die Teilnahmeart ist keiner IT-Komponente zugeordnet.

4.8.7.5 Zertifikat zur Siegelung verwalten

Das IAM für Behörden muss ein zur Siegelung geeignetes Zertifikat (Siegelzertifikat) und den zugehörigen privaten Schlüssel vorhalten, um abgerufene Zugriffstoken und Identitätsdaten siegeln zu können und dadurch die Prüfung deren Integrität und Herkunft durch Dritte zu ermöglichen (siehe NOOTS-1031).

Die pflegende Stelle verwaltet das Siegelzertifikat des IAM für Behörden und gewährleistet dessen Verfügbarkeit, Gültigkeit und Abrufbarkeit durch Dritte, um diesen die Prüfung der Herkunft und Gültigkeit des Siegelzertifikats zu ermöglichen (siehe Siegelzertifikat abrufen).

4.8.7.6 Gültigkeitsdauer von Zugriffstoken verwalten

Die Gültigkeitsdauer für Zugriffstoken wird mit 60 Sekunden vorbelegt.

Die pflegende Stelle kann jederzeit die Gültigkeitsdauer für Zugriffstoken unter folgenden Bedingungen ändern:

  • Die Gültigkeitsdauer ist nicht kleiner als 30 Sekunden.
  • Die Gültigkeitsdauer ist nicht größer als 300 Sekunden.
  • Die Gültigkeitsdauer ist auf die Bedürfnisse der Teilnehmer abgestimmt.

Das IAM für Behörden verwendet die von der pflegenden Stelle festgelegte Gültigkeitsdauer bei der Ausstellung von Zugriffstoken.

4.8.7.7 Frist für Registrierungsbestätigung verwalten

Die Frist zur Bestätigung der Registrierung von IT-Komponenten wird mit sieben Kalendertagen vorbelegt.

Die pflegende Stelle kann jederzeit die Bestätigungsfrist unter folgenden Bedingungen ändern:

  • Die Bestätigungsfrist ist nicht kleiner als drei Kalendertage.
  • Die Bestätigungsfrist ist nicht größer als 14 Kalendertage.
  • Die Bestätigungsfrist ist auf die Bedürfnisse der Teilnehmer abgestimmt.

Das IAM für Behörden verwendet die von der pflegenden Stelle festgelegte Bestätigungsfrist zur Prüfung des Fristablaufs unbestätigter Registrierungen von IT-Komponenten und löscht unbestätigte Registrierungen von IT-Komponenten nach Fristablauf.

4.8.8 Prozesse von Ressourcen

4.8.8.1 Rollen melden

Die fachverantwortliche oder betriebsverantwortliche Stelle einer Ressource meldet der pflegenden Stelle die für den Zugriff auf die Ressource definierten Rollen.

Hinweise:

  • Verantwortliche Stellen von Ressourcen melden die für Zugriffe nötigen Rollen dem IAM für Behörden auf organisatorischem Weg. Eine technische Unterstützung solcher Meldungen durch das IAM für Behörden ist nicht vorgesehen.

4.9 Ausblick und weiterführende Aspekte

Das IAM für Behörden soll auf der Grundlage des Standards OAuth2 (RFC 6749 oder Nachfolger, siehe [SQ12]) umgesetzt werden, möglichst auf der Grundlage einer dafür geeigneten Open-Source-Software wie Keycloack(siehe [SQ-11]).

Die Verwendung des Standards OAuth2 und auf dieser Grundlage erstellte Zugriffstoken entsprechen dem Stand der Technik. Angefragte Ressourcen können anhand der Informationen im Zugriffstoken selbständig entscheiden, ob ein Zugriff gewährt wird oder nicht.

Die Ausstellung eines Zugriffstokens zur Verwendung bei mehreren Ressourcenzugriffen (innerhalb seiner Gültigkeitsdauer) entlastet Ressourcen von spezifischen Prüfungen und Abfragen und vermeidet entsprechende zusätzliche Kommunikation.

4.9.1 Offene Punkte

Tab. 11: Offene Punkte

  ID Aspekt Beschreibung
1 IAM-OP-01 Personenbezogene Authentifizierung Muss für bestimmte Prozesse (insb. für Prozesse öffentlicher und fachverantwortlicher Stellen, der Fachaufsicht und der pflegenden Stelle) eine zusätzliche personenbezogene Authentifizierung verlangt und protokolliert werden?
2 IAM-OP-02 Vertrauensniveau Muss das IAM für Behörden auf das Vertrauensniveau "hoch" ausgerichtet werden? Dann müssen gemäß Unterkap. 3.2, 3.7 und 4.2 der Technischen Richtlinie BSI TR-03107-1 Hardware-Token (elektronische Mitarbeiterausweise, Chipkarten, spezielle USB-Sticks, etc.) für private Schlüssel von Zertifikaten verwendet werden.

4.10 Änderungsdokumentation

Tab. 12: Änderungen

  Release-Versionen Kapitel Beschreibung der Änderung Art der Änderung Priorisierung/ major changes Quelle der Änderung
1 Q1/2024 Einleitung
  • Vollständige Überarbeitung des Konzepts der Datenhaltung
 neuer Inhalt

NOOTS-Board
2 Q1/2024 Fachliches Konzept
  • Erweiterung entsprechend Konzepts der Datenhaltung; geht auf in Unterkapitel Einleitung - Datenhaltung
 neuer Inhalt

NOOTS-Board
3 Q1/2024 Prozesse
  • Neu: Prozesse der IT-Komponenten und der Akteure beschrieben, die vom IAM für Behörden angeboten werden
 neuer Inhalt

NOOTS-Board
4 Q2/2024 Alle
  • Vollständige Überarbeitung und Restrukturierungauf der Grundlage von Arc42
 neuer Inhalt

NOOTS-Board