imported>Wheeke: HC: −Kategorie:Öffentliche Verwaltung (Deutschland); ±Kategorie:E-Government→Kategorie:E-Government (Deutschland)

2026-04-24T09:05:08Z

HC: −Kategorie:Öffentliche Verwaltung (Deutschland); ±Kategorie:E-Government→Kategorie:E-Government (Deutschland)

Neue Seite

'''Online Services Computer Interface''' ('''OSCI''') ist eine Sammlung von [[Netzwerkprotokoll]]en für die deutsche [[öffentliche Verwaltung]], deren gemeinsames Merkmal die besondere Eignung für das [[E-Government]] ist:
* ''OSCI-Transport'' für die sichere, vertrauliche und rechtsverbindliche Übertragung digitaler Daten über das Internet sowie
* eine Reihe verschiedener Protokolle (''OSCI-XÖV-Standards'') für den Austausch fachlicher Inhaltsdaten auf [[Extensible Markup Language|XML]]-Basis zwischen Kunden und Behörden bzw. Behörden untereinander.

== OSCI-Transportprotokoll ==
OSCI-Transport ist ein Protokollstandard zur vertraulichen und sicheren Übermittlung von Nachrichten in einer auf das deutsche [[Signaturgesetz (Deutschland)|Signaturgesetz]] abgestimmten Sicherheitsumgebung. Die Entwicklung begann im Rahmen des [[Media@Komm]]-Städtewettbewerbs. OSCI ist vor allem auf Kommunikationsanforderungen im [[E-Government]] zugeschnitten.

OSCI-Transport-Nachrichten haben einen zweistufigen „Sicherheitscontainer“. Dadurch ist es möglich, Inhalts- und Nutzungsdaten streng voneinander zu trennen und [[Kryptografie|kryptografisch]] unterschiedlich zu behandeln. Die Inhaltsdaten werden vom Autor einer OSCI-Transport-Nachricht so verschlüsselt, dass nur der berechtigte Leser sie dechiffrieren kann. Die Nutzungsdaten werden vom Intermediär für die Zwecke der Nachrichtenvermittlung und die Erbringung der [[Mehrwertdienst (Telekommunikation)|Mehrwertdienste]] benötigt, sie werden deshalb für den Intermediär verschlüsselt. Der Intermediär kann aber nicht auf die Inhaltsdaten zugreifen. Oft wird hier vom „Prinzip des Doppelten Umschlages“ gesprochen: Die verschlüsselten Inhaltsdaten sind wiederum in einen verschlüsselten Container eingebettet. Ein [[man-in-the-middle]] kann wegen dieser [[Verschlüsselung]]en weder die Nutzungs- noch die Inhaltsdaten abhören.

Jeder Sicherheitscontainer (für Nutzdaten und Inhaltsdaten) erlaubt die [[digitale Signatur]] und die Verschlüsselung des jeweiligen Inhalts. Dadurch sind Vertraulichkeit, Integrität und Authentizität der Nachrichten gewährleistet.

Die [[Public-Key-Infrastruktur]] (PKI) innerhalb der OSCI-Kommunikationspartner ist – zumindest für [[Natürliche Person|natürliche Personen]] – in der Regel durch das deutsche Signaturgesetz definiert. Es gibt somit keine geschlossene [[Anwendergruppe]]. Der Besitz einer Signaturkarte mit einem qualifizierten Signaturzertifikat nach dem Signaturgesetz und einem Verschlüsselungszertifikat sind für die OSCI-Kommunikation ausreichend. Je nach Sicherheitsanforderung kann auch der Einsatz fortgeschrittener elektronischer Signaturen (ohne [[Chipkarte]]) sinnvoll sein, auch dies wird durch OSCI-Transport unterstützt.

Sicherheitsexperten fanden 2017 mehrere schwerwiegende Sicherheitslücken in der OSCI 1.2-Transportbibliothek (CVE-2017-10668, CVE-2017-10669, CVE-2017-10670).<ref>{{Literatur |Autor=Pierluigi Paganini |Titel=Severe flaws found in German e-Government OSCI 1.2 Communication Library |Sammelwerk=Security Affairs |Datum=2017-07-03 |Kommentar=[http://blog.sec-consult.com/2017/06/german-e-government-details-vulnerabilities.html Quelle] |Online=http://securityaffairs.co/wordpress/60645/hacking/osci-communication-library-flaws.html}}</ref> Diese wurden beim [[Bundesamt für Sicherheit in der Informationstechnik|BSI]] als Warnmeldung ''CB-K17/1100'' aufgenommen.<ref>{{Internetquelle |url=https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/warnmeldung_cb-k17-1100 |titel=BSI – CERT Bund – Meldungen – CB-K17/1100 |abruf=2017-07-04}}</ref> Derzeit gibt es allerdings kein ausnutzbares Bedrohungsszenario für OSCI<ref>{{Internetquelle |url=https://www.governikus.de/newsroom-presse/details/?tx_ttnews%5Btt_news%5D=460&cHash=208b1c7b67f337dbb32d3747e3290f62 |titel=Governikus KG: Kein ausnutzbares Bedrohungsszenario für OSCI |sprache=de |abruf=2017-07-04}}</ref>.

== OSCI-XÖV-Standards ==
{{Hauptartikel|XÖV}}
Historisch wurden Transportprotokolle und Datenformate von der sogenannten '''OSCI-Leitstelle''' entwickelt, die sich seit 2011 [[Koordinierungsstelle für IT-Standards]] (KoSIT) nennt. Die '''OSCI-Leitstelle''' übernahm auch operativ das Projekt „XML in der öffentlichen Verwaltung“, aus dem das heutige [[XÖV|XÖV-Rahmenwerk]] entstanden ist. Vor der Umbenennung der ''OSCI-Leitstelle'' in KoSIT lief das Datenformat XÖV auch unter dem Label „OSCI-XÖV-Standards“.

== Literatur ==
* {{Literatur
|Autor=Christian Welzel
|Titel=Modellgetriebene Softwareentwicklung im E-Government
|Auflage=1.
|Verlag=Vdm Verlag Dr. Müller
|Datum=2008
|ISBN=978-3-639-01026-8}}

== Weblinks ==
* {{Internetquelle |url=https://www.itzbund.de/DE/Produkte/XOeV/OSCI/osci_node.html |titel=OSCI-Bezugsstelle |hrsg=[[Informationstechnikzentrum Bund]] |abruf=2018-10-16 |abruf-verborgen=1}}

== Einzelnachweise ==
<references />

[[Kategorie:E-Government (Deutschland)]]
[[Kategorie:XML-basierte Sprache]]
[[Kategorie:Kryptologischer Standard]]
[[Kategorie:Standard für Elektronischen Datenaustausch]]
[[Kategorie:Informationstechnik (Deutschland)]]

Online Services Computer Interface - Versionsgeschichte

imported>Wheeke: HC: −Kategorie:Öffentliche Verwaltung (Deutschland); ±Kategorie:E-Government→Kategorie:E-Government (Deutschland)