Basisdienste für eGovernment - die rlp-Middleware
Die behördliche Infrastruktur in Rheinland-Pfalz:

In Rheinland-Pfalz sind alle Kommunen und staatlichen Stellen an geschlossenen Kommunikationsnetzen angeschlossen. Die Kommunen betreiben über KommWis das Kommunalnetz Rheinland-Pfalz (KNRP). Die staatlichen Stellen nutzen über den Landesbetrieb Daten und Information (LDI) das rlpNetz-2015.

Beide Netze sind so gestaltet, dass eine verschlüsselte Datenkommunikation für den personenbezogenen Datenverkehr innerhalb der Behörden sicher gestellt ist. Der flächendeckende Ansatz bietet die ideale Basis für die Umsetzung zentraler Modelle. Mit der rlp-Middleware wird auf der Bündelung der kommunalen und staatlichen Lokationen an zentralen Übergängen aufgebaut. Zudem stellt das Instrument gegenüber dem Bürger und der Wirtschaft die Infrastruktur dar, auf welches die zentralen aber auch dezentralen staatlichen und kommunalen Portale aufbauen. Mit der rlp-Middleware wird die staatliche und kommunale Infrastruktur rechtssicher über öffentliche Netze erreicht, ohne dass eine Kommune oder Landesbehörden selbst hohe Investitionen für die Abschottung der eigenen Fachverfahren tätigen muss.


Der rlp-Service:

Viele Behörden haben noch immer das Problem, dass ihre zahlreichen Fachanwendungen zum Teil auf unterschiedlichen Betriebssystemen laufen. Die Idee des rlp-Service ist es, die bereits bestehenden Anwendungen für eGovernment nutzbar zu machen. Der Schlüssel zur Lösung liegt in standardisierten Technologien wie XML über die auf Web-Services zugegriffen werden kann, ohne dass die bestehenden Applikationen und damit die bestehenden Abläufe zu ändern sind.

Ein bedeutender Vorteil der Architektur ist die asynchrone Anbindung der Fachverfahren. Mit anderen Worten: Wenn es die Rechtslage erlaubt, müssen Datenbestände weder gespiegelt noch abgeglichen werden. Das erhöht nicht nur die Sicherheit, sondern vereinfacht auch die notwendigen Wartungsarbeiten der Back-End-Bereiche erheblich. Im Regelfall erhält der Bürger/Nutzer seine Antwort auf eine Anfrage umgehend. Stehen die Back-End-Systeme nicht zur Verfügung oder ist eine Antwort aus dem Verarbeitungsprozess heraus nicht sofort verfügbar, bekommt der Nutzer eine E-Mail, sobald seine Antwort bereitsteht. Er kann sich die Antwort dann jederzeit über eine sichere SSL-Verbindung aus seinem Postfach im Gateway abholen.

Für den Privatkunden bietet das Verfahren zwei Sicherheitsstufen: die einfache Online-Registrierung über das Internet und eine zweite Stufe, für die sich der Bürger in einem der Kundenzentren der Stadt oder Gemeinde nach Vorlage des Ausweises freischalten lässt. Firmenkunden hingegen melden Masterbenutzer an und können danach weitere Benutzer selbst einrichten und verwalten. Die Fachverfahren schalten Firmen explizit für ein Fachverfahren frei. Zusätzlich gibt es auch die Möglichkeit, den rlp-Service ohne Registrierung von Web-Seiten aus anzusprechen.

Die ausgeklügelte Sicherheitsarchitektur bietet einerseits für das Gateway selbst aber auch für die Back-End-Verfahren sowie das gesamte Intranet ein Höchstmaß an Sicherheit vor Angriffen aus dem Internet. Das haben unter anderem Penetrationstests durch das BSI bestätigt. Der Grund dafür liegt in dem redundanten Ausbau des Systems: alle Datenbanken sind geclustert, Web- und Applikationsserver werden in einer Farm mit Lastverteilung betrieben. Als weiteres Sicherheitsmerkmal verfügt das Portal über ein mehrstufiges Firewall-Konzept. Daher gewährleistet das System neben der exzellenten Sicherheit auch ein sehr hohes Maß an Skalierbarkeit. Natürlich können Sie den rlp-Service jederzeit auch in kleineren Installationen betreiben, ohne dabei wesentlich an Sicherheit zu verlieren. Nicht zuletzt ist der rlp-Service mandantenfähig, Sie können es also für mehrere Kommunen und Länder einsetzen und betreiben.

Technisch basiert der rlp-Service auf der .NET-Technologie unter der Nutzung von XML und Web-Services. Als Datenbank dient der SQL-Server. Das System selbst ist modular aufgebaut, das heißt es existieren eigene Systeme für die Authentifizierung, Registrierung, Postfach-Management, synchrones und asynchrones Prozessmanagement, E-Mail-Versand, Benutzeroberfläche, etc.


Die virtuelle Poststelle:

Die virtuelle Poststelle regelt ebenso wie beim traditionellen Postweg die sichere und nachvollziehbare Kommunikation, nur eben auf elektronischem Weg. Selbstverständlich muss der gesamte elektronische Datenaustausch auch rechtsverbindlich möglich sein. Die Kernelemente der virtuellen Poststelle sind der Umgang mit verschlüsselten und signierten Nachrichten, die über verschiedene Protokolle (Email, S/MIME, Web-Upload, Dateischnittstellen, PKCS#-Formate, OSCI-Transport, etc.) empfangen werden. Dabei ist die Führung eines rechtsverbindlichen Posteingangs- und -ausgangsbuch obligatorisch. Um Nachrichten zu bearbeiten und weiterzuleiten bedient sich die virtuelle Poststelle der Postfachfunktionlität des rlp-Service. Je nach Nachrichtentyp und Dienstkennung, lassen sich diese mit Hilfe des BizTalk-Servers auch direkt an Fachanwendungen weiterleiten. Dabei nimmt die virtuelle Poststelle auch Protokollumwandlungen vor, sofern das technisch möglich ist. Ein Beispiel: Sie senden eine mit PKCS#7 signierte Datei per Email (ggf. noch mit S/MIME verschlüsselt) an die virtuelle Poststelle. Diese führt die notwendigen Aufgaben (Prüfung der Gültigkeit des Absenderzertifikats, Anbringen eines Zeitstempels, Eintrag in das Posteingangsbuch, etc.) durch und wandelt die Nachricht dann beispielsweise in OSCI, um sie an eine Fachanwendung mit OSCI-Schnittstelle zu übergeben.

Eine der wichtigsten Funktionen der virtuellen Poststelle ist die Einbindung des „Deutschen Verwaltungsdiensteverzeichnis“ (DVDV). Hier werden für alle elektronischen Dienste die Kommunikationsparameter hinterlegt. Dazu gehören z.B. das zu verwendende Verschlüsselungszertifikat, die unterstützten Eingangskanäle, die unterstützten Eingangsformate oder die URL bzw. Adresse, unter der Sie den virtuellen Briefkasten erreichen. Die Anbindung von DVDV erfolgt mittels dem OSCI-Transport-Protokoll.

Die Virtuelle Poststelle führt dabei an zentraler Stelle folgende Dienste aus:
  • Entschlüsselung
  • Versand einer Eingangsbestätigung
  • Signaturprüfung
  • Virenschutz
  • Ggf. Umschlüsselung und Verteilung auf nachfolgende Behörden
Bevor das virtuelle Postfach jedoch eine Eingangsbestätigung versendet, werden zunächst die Zugangseröffnungs-Informationen aus der Benutzerregistrierung im rlp-Service-Portal des gemeinsamen elektronischen Verwaltungsbriefkastens ausgewertet. Die Virtuelle Poststelle führt die mathematische Signaturprüfung selbst durch und reicht die Signaturzertifikate zur Überprüfung über eine XKMS2-Schnittstelle (X-KISS) an eine Zertifikatsprüfungskomponente weiter. Die Zertifikatsprüfung verwendet dabei eine Schnittstelle, die in der Regel auch von der OSCI-Infrastruktur benutzt wird. Nachdem alle zentralen Dienste durchgeführt sind, kann die Nachricht je nach Konfiguration für die jeweilige Behörde per OSCI, per E-Mail, oder über ein Postfach im rlp-Service zugestellt werden.

Virtuelle Poststelle

Der OSCI-Intermediär:

Zur Abbildung der OSCI-Funktionalität wird ein OSCI-Server, der so genannte OSCI-Intermediär benötigt. Dieser arbeitet ähnlich wie ein Email-Server, indem er OSCI-Nachrichten entgegennimmt, alle notwendigen Prüfungen und Aufzeichnung durchführt und die Nachricht dann an entsprechende Back-End-Systeme weiterleitet oder sie in Postfächer zur Abholung durch Benutzer ablegt. Der Intermediär selbst ist sehr schlank gehalten, weil er die komplette Nachrichtenbehandlung dem BizTalk-Server mit Hilfe der OSCI-XML-Schemata überlässt. Für die Bereitstellung von Postfächer und Zertifikatsprüfungen werden die Module des rlp-Service und der virtuellen Poststelle genutzt. Da hier jedoch gut dokumentierte und klare Schnittstellen vorliegen, lassen sich auch andere Systeme integrieren, wie es beispielsweise Dataport mit der Governikus-Integration macht. Besonderes Augenmerk liegt auf der Interoperabilität des Intermediärs. Die offenen Schnittstellen, die für die Einbindung der Kryptografie-Komponenten in die virtuelle Poststelle genutzt werden, ermöglichen, dass für OSCI-Infrastruktur und Zertifikatsprüfung bei Dataport und LDI unterschiedliche Produkte eingesetzt werden. Gerade die Interoperabilität der Komponenten rlp-Service, virtuelle Poststelle und OSCI-Intermediär machen die Gesamtlösung so attraktiv.
 
  
 
  
 
 
 
Downloads