DEUTSCHLAND-ONLINE INFRASTRUKTUR Gesamtdokumentation …€¦ · 13.02.08 1.5 Änderungswünsche...

DEUTSCHLAND-ONLINE INFRASTRUKTUR Gesamtdokumentation

doschmidt

RS 097/2008 des DLT Anlage 1

Gesamtdokumentation Deutschland-Online Infrastruktur

Seite 2

Inhaltsverzeichnis

1 EINFÜHRUNG: ALLGEMEINE RAHMENBEDINGUNGEN UND GRUNDLAGEN DES VORHABENS DOI ........................................................................................ 8

1.1 ALLGEMEINE RAHMENBEDINGUNGEN....................................................................... 9 1.2 GRUNDLAGEN DES VORHABENS DOI ..................................................................... 11 1.2.1 PRÄMISSEN FÜR DIE ERFOLGREICHE UMSETZUNG DES DOI-VORHABENS ................ 11 1.2.2 ZIELE DES VORHABENS DOI .................................................................................. 12 1.2.3 PROJEKTVERLAUF UND ORGANISATION .................................................................. 13 1.2.4 VORGEHENSWEISE UND METHODEN....................................................................... 16 1.3 ZUM INHALT DES DOKUMENTS ............................................................................... 20

2 BESTANDSANALYSE UND ABGELEITETE ANFORDERUNGEN................... 22

2.1 ERSTE ERHEBUNGEN, SCHWACHSTELLENANALYSEN UND ANFORDERUNGEN ......... 22 2.1.1 ERHEBUNG BEI AUSGEWÄHLTEN NETZEN................................................................ 23 2.1.2 ERSTE UNTERSUCHUNG AUSGEWÄHLTER FACHVERFAHREN ................................... 25 2.1.3 ANFORDERUNGEN VON ENTSCHEIDUNGSTRÄGERN ................................................. 28 2.2 UNTERSUCHUNG WEITERER FACHVERFAHREN ....................................................... 31 2.2.1 ZUSAMMENFASSUNG DER ANFORDERUNGEN AUS DER ANALYSE DER FACHVERFAHREN

............................................................................................................................. 31 2.3 UNTERSUCHUNG WEITERER VERWALTUNGSNETZE ................................................. 36 2.3.1 ANALYSE AUSGEWÄHLTER VERWALTUNGSNETZE.................................................... 36 2.3.2 ANFORDERUNGEN AUS DER ANALYSE DER VERWALTUNGSNETZE............................ 39 2.4 UNTERSUCHUNG DES ÜBERGREIFENDEN NETZES TESTA-D................................... 43 2.4.1 ANALYSE DES ÜBERGREIFENDEN NETZES TESTA-D............................................... 43 2.4.2 ANFORDERUNGEN AUS DER ANALYSE VON TESTA-D ............................................. 47

3 SOLL-KONZEPT FÜR DIE DOI-GOVERNANCE ............................................... 51

3.1 DOMÄNEN DER GOVERNANCE................................................................................ 51 3.2 GOVERNANCE-ELEMENT ORGANISATIONSMODELL ................................................. 52 3.2.1 POLITISCHE EBENE................................................................................................ 53 3.2.2 STEUERUNGSEBENE .............................................................................................. 53 3.2.3 FACHLICHE EBENE................................................................................................. 54 3.2.4 OPERATIVE EBENE ................................................................................................ 56 3.3 GOVERNANCE-ELEMENT AUFGABEN...................................................................... 57 3.3.1 KERNAUFGABEN INNERHALB VON DOI .................................................................... 57 3.3.2 AUFGABEN DER DOI-ORGANISATION...................................................................... 59 3.4 GOVERNANCE-ELEMENT PROZESSE ...................................................................... 60


Seite 3

3.4.1 STRATEGIE-MANAGEMENT-PROZESS ..................................................................... 63 3.4.2 DIENSTEPORTFOLIO-MANAGEMENT-PROZESS ........................................................ 63 3.4.3 ARCHITEKTUR-MANAGEMENT-PROZESS ................................................................. 64 3.4.4 SICHERHEITS-MANAGEMENT-PROZESS .................................................................. 64 3.4.5 SERVICE-MANAGEMENT PROZESS ......................................................................... 64 3.5 UMSETZUNG DER GOVERNANCE ............................................................................ 66 3.5.1 INITIALISIERUNGSPHASE......................................................................................... 66 3.5.2 MIGRATIONSPHASE................................................................................................ 67 3.5.3 AUSBAUPHASE ...................................................................................................... 68 3.5.4 ZEITPLAN ZUR ETABLIERUNG DER GOVERNANCE UND DOI-ORGANISATION............. 69

4 SOLL-KONZEPT FÜR DIE DOI-ARCHITEKTUR............................................... 74

4.1 TECHNISCHE ARCHITEKTUR DES DOI-NETZES ....................................................... 74 4.1.1 NEXT GENERATION NETWORK ARCHITEKTUR ......................................................... 75 4.1.2 IPV4/IPV6 DUALSTACK BACKBONE......................................................................... 77 4.2 DIENSTEPORTFOLIO .............................................................................................. 78 4.2.1 BASISDIENSTE-WARENKORB.................................................................................. 79 4.2.2 MEHRWERTDIENSTE-WARENKORB ......................................................................... 81 4.3 UMSETZUNG DER ARCHITEKTUR ............................................................................ 86 4.3.1 MIGRATION BESTEHENDER TESTA-D NUTZER ....................................................... 86 4.3.2 ANSCHLUSS VON STESTA..................................................................................... 88 4.3.3 MIGRATION ÜBER IPV6INIPV4 TUNNELTECHNIKEN .................................................. 88 4.3.4 MIGRATION ÜBER IPV4/IPV6-DUALSTACK............................................................... 89

5 STANDARDS UND OPTIONEN FÜR VERWALTUNGSNETZE ........................ 91

5.1 ZWECK DES KATALOGS DER STANDARDS .............................................................. 91 5.2 THEMATISCHER AUFBAU DES KATALOGS............................................................... 92 5.3 „UMGANG“ MIT DEN STANDARDS........................................................................... 92

6 RECHTSFORMEN............................................................................................... 94

6.1 ANFORDERUNGEN AN DIE RECHTSGESTALTUNGSFORM/RECHTSFORM DER DOI-ORGANISATION ..................................................................................................... 95

6.2 ANALYSE RECHTSGESTALTUNGSFORMEN/RECHTSFORMEN.................................... 97 6.2.1 EINSCHRÄNKENDE VORÜBERLEGUNGEN................................................................. 97 6.2.2 ÖFFENTLICH-RECHTLICHE GESTALTUNGSFORMEN ................................................. 98 6.2.3 PUBLIC PRIVATE PARTNERSHIP (PPP) ................................................................. 101 6.2.4 PRIVATRECHTLICHE GESTALTUNGSFORMEN ......................................................... 102 6.3 AUSWAHL DER RECHTSFORM DER DOI-ORGANISATION ....................................... 105 6.3.1 BEWERTUNGS-METHODIK .................................................................................... 106 6.3.2 KRITERIEN FÜR DIE AUSWAHL DER RECHTSGESTALTUNGSFORM/RECHTSFORM DER


Seite 4

DOI-ORGANISATION ............................................................................................ 107 6.3.3 ETABLIERUNG DER DOI-ORGANISATION ............................................................... 110

7 FINANZEN UND BETEILIGUNGEN ................................................................. 111

8 FALLSTUDIEN.................................................................................................. 113

8.1 INTERVIEW-THEMENLISTE .................................................................................... 113 8.2 BESCHREIBUNG DER UNTERSUCHTEN KOMMUNIKATIONSINFRASTRUKTUREN ........ 113 8.2.1 TESTA-D ........................................................................................................... 114 8.2.2 DEUTSCHES FORSCHUNGSNETZ (DFN)................................................................ 114 8.2.3 HERKULES........................................................................................................... 119 8.2.4 BOS-DIGITALFUNK .............................................................................................. 119 8.2.5 ENX (EUROPEAN NETWORK EXCHANGE) ............................................................. 119 8.2.6 DE-CIX (DEUTSCHER COMMERCIAL INTERNET EXCHANGE) .................................. 122 8.3 ZUSAMMENFASSENDE ABLEITUNG DER BEST PRACTICES AUS DEN

FALLBETRACHTUNGEN ........................................................................................ 124 8.3.1 BETREIBERKONZEPTE UND ORGANISATIONSMODELLE........................................... 125 8.3.2 FINANZIERUNGSVARIANTEN UND BETEILIGUNGSMODELLE ..................................... 125 8.3.3 REGULARIEN UND STANDARDS............................................................................. 126

LISTE DER ANLAGEN...................................................................................................... 130

ABBILDUNGSVERZEICHNIS ........................................................................................... 131

TABELLENVERZEICHNIS................................................................................................ 132

ABKÜRZUNGSVERZEICHNIS ......................................................................................... 133

GLOSSAR ......................................................................................................................... 137


Seite 5

Dokumenteninformation

Verfasser Projektteam DOI

Version 2.0

Status Durch Projektleitung frei gegeben

Klassifizierung -

Änderungshistorie

Datum Versi-on

Änderung Autoren

31.07.07 V01a 1. zusammengeführtes Dokument (Inputs aus allen Teilprojekten)

Markus Beckmann, Frank Deleiter, Peter Demharter, Matthias E-berle, Ulf Greifzu, Manu-el Höhne, Thomas Hörn-ke, Sebastian Mika, Eva Maria Scheid, Tobias Stuke, Kurt Tanneberger, Claudia Wölk,

13.08.07 V02a 2. zusammengeführtes Dokument (Inputs aus den TP’s 2, 3 und 4)

Markus Beckmann, Frank Deleiter, Peter Demharter, Matthias E-berle, Ulf Greifzu, Manu-el Höhne, Thomas Hörn-ke, Sebastian Mika, Eva Maria Scheid, Tobias Stuke, Kurt Tanneberger, Claudia Wölk,

17.08.07 V03a Änderungen durch TP 4, vor allem im Kapitel Rechtformen

Manuel Höhne

03.09.07 V04a 4. zusammengeführtes Dokument (Inputs aus den TP’s 2, 3 und 4)

Markus Beckmann, Frank Deleiter, Peter Demharter, Matthias E-


Seite 6

Datum Versi-on

Änderung Autoren

berle, Ulf Greifzu, Manu-el Höhne, Sebastian Mi-ka, Eva Maria Scheid, Tobias Stuke, Kurt Tan-neberger

10.09.07 05a 5. zusammengeführtes Dokument (Inputs aus den TP’s 2 und 4)

Frank Deleiter, Peter Demharter, Ulf Greifzu, Manuel Höhne, Sebasti-an Mika, Eva Maria Scheid, Tobias Stuke, Kurt Tanneberger

19.09.07 06a 5. zusammengeführtes Dokument

Inputs aus dem TP 3 und TP 4

Qualitätsgesichertes Kapitel 2.1 (TP 2)

Markus Beckmann, Frank Deleiter, Peter Demharter, Matthias E-berle, Ulf Greifzu, Manu-el Höhne, Sebastian Mi-ka, Eva Maria Scheid, Tobias Stuke, Kurt Tan-neberger

24.09.07 0.6b-f Qualitätssicherung PMO, Hr. Westerfeld

22.10.07 0.7 Qualitätssicherung PMO, Dr. Hanebeck, Hr. Westerfeld

16.11.07 0.8 Qualitätssicherung Manuel Höhne

22.11.07 0.8a Qualitätssicherung und Einpflegen überarbeiteter Inhalte

Horst Westerfeld, Manu-el Höhne

23.11.07 0.9 Qualitätssicherung und Einpflegen überarbeiteter Inhalte


28.11.07 0.9a Einpflegen der Anforderungen aus Phase 1

Ulf Greifzu

29.11.07 0.9b Qualitätssicherung und Überarbei-tung



Seite 7

Datum Versi-on

Änderung Autoren

03.12.07 1.0 Qualitätssicherung und Durchfüh-rung notwendiger Anpassungen (Gliederung, Fußzeile, Abkür-zungsverzeichnis, etc.)

Manuel Höhne

06.02.08 1.1 Qualitätssicherung durch die Fe-derführer und das BSI

Hr. Dr. Hanebeck,

Herr Dr. Grosse,

Herr Strauß,

Herr Feierabend

13.02.08 1.5 Änderungswünsche BSI eingear-beitet

Dr. Eckardt

14.02.08 1.6 Freigabe durch Projektleitung Herr Dr. Grosse

Herr Westerfeld

18.02.08 2.0 Finale Abstimmung Federführer


Seite 8

1 EINFÜHRUNG: ALLGEMEINE RAHMENBEDINGUNGEN UND GRUNDLAGEN DES VORHABENS DOI

Der Einsatz von IT in der öffentlichen Verwaltung ist inzwischen selbstverständ-lich. Der Großteil der Beschäftigten im Öffentlichen Dienst ist „vernetzt“ und viele Fachaufgaben werden IT-gestützt durchgeführt. Dies gilt gleichermaßen für Bund, Länder und Kommunen. Die Vernetzung in den Kommunen, Ländern und im Bund bildet die Basis für IT-gestützte Arbeitsprozesse in der Öffentlichen Verwal-tung. Die weitere Verbesserung der verwaltungsübergreifenden Kommunikation sowie der Kommunikation der Bürger und der Wirtschaft mit der Verwaltung bleibt eine wesentliche Herausforderung.

Die derzeitigen Netzinfrastrukturen der deutschen Verwaltung sind mit der tech-nologischen Entwicklung und entlang schrittweise erweiterter Kommunikations-bedürfnisse einzelner Behörden gewachsen. Daher stellen die bestehenden Netzinfrastrukturen vielfach „Insellösungen“ dar. Diese Insellösungen erschweren die zunehmend immer bedeutendere Kommunikation der Behörden untereinan-der: Nicht jede Behörde kann eine andere Behörde in Deutschland auf elektroni-schem Weg zuverlässig, einfach und sicher erreichen. Es gibt zahlreiche Me-dienbrüche, die aufwendig überbrückt werden müssen. Hinzu kommt, dass die bestehenden Netze sehr unterschiedliche technische Standards nutzen und die jeweils gewählten Betreibermodelle nicht verglichen werden können. Die Stan-dards für Technik, Sicherheit und Betrieb sind nicht harmonisiert, was Kompatibi-litätsverluste generiert, sodass erhebliche Mittel aufgewendet werden müssen, ohne dass die Kommunikationsinfrastrukturen durchgängig effizient nutzbar sind.

Grundlage für eine umfassende IT-basierte Modernisierung der Verwaltungspro-zesse ist eine abgestimmte sichere Kommunikationsinfrastruktur für die Dienst-stellen von Bund, Ländern und Kommunen. Sie wird für eine verlässliche Erreich-barkeit aller Behörden über elektronische Post ebenso benötigt wie für die im Aktionsplan DOL definierten Fachprojekte und alle zukünftigen Bund-Länder-übergreifenden IT-Vorhaben. Vor diesem Hintergrund haben die Regierungschefs des Bundes und der Länder im Aktionsplan Deutschland-Online entschieden, dass eine abgestimmte Kommunikationsinfrastruktur der Deutschen Verwaltung auf- und ausgebaut wird. Hinsichtlich Verfügbarkeit, Sicherheit und Qualität rich-tet sie sich an den besonderen Anforderungen einer leistungsfähigen Öffentlichen Verwaltung aus. Ziel des Vorhabens ist es, die Sicherheit, Flexibilität, Zukunftsfä-higkeit und Wirtschaftlichkeit der Netzinfrastrukturen in ihrer Gesamtheit zu erhö-hen. Darüber hinaus wird die Verbindung der Deutschen Verwaltung mit europäi-schen Strukturen sichergestellt.

Nach dem Prinzip „Einige für Alle“ sind das Land Hessen (vertreten durch das Hessische Ministerium des Innern und für Sport) und der Bund (vertreten durch das Bundesministerium des Innern) die Federführer im Vorhaben Deutschland-Online Infrastruktur.


Seite 9

1.1 Allgemeine Rahmenbedingungen

Bei der Etablierung von E-Government in der öffentlichen Verwaltung sind bei den konkreten Modernisierungsmaßnahmen, wie der Umsetzung einer Deutsch-land-Online Infrastruktur, vielfältige Einflüsse zu berücksichtigen.

Politische Rahmenbedingungen

Im Juni 2006 wurde durch einen Beschluss der Bundeskanzlerin und der Regie-rungschefs von Bund und Ländern der Aktionsplan Deutschland-Online (DOL) als E-Government Strategie von Bund, Ländern und Kommunen ins Leben gerufen. Ziel des Aktionsplans ist es, eine vollständig integrierte E-Government-Landschaft in Deutschland zu schaffen.

Als prioritäre Projekte enthält der Aktionsplan Deutschland-Online neben den Querschnittsprojekten Deutschland-Online Infrastruktur und Deutschland-Online Standardisierung Fachprojekte zu den Themen Kraftfahrzeugzulassung, Perso-nenstandswesen, Meldewesen und EU-Dienstleistungsrichtlinie. Für die prioritä-ren ebenso wie für die übrigen Fachprojekte ist DOI eine entscheidende Grundla-ge:

KFZ-Wesen

Melde-wesen

Personen-stands-wesen

Deutschland-Online Infrastruktur

Standardisierung

EU-Dienst-leistungs-richtlinie

KFZ-Wesen

Melde-wesen

Personen-stands-wesen

Deutschland-Online Infrastruktur

Standardisierung

EU-Dienst-leistungs-richtlinie

Abbildung 1: Priorisierte Vorhaben des Aktionsplans Deutschland Online

Ein weitere Initiative besteht in E-Government 2.0, welche im September 2006 durch einen Beschluss der Bundesregierung zum E-Government Programm des Bundes, mit dem Ziel, eine moderne und effiziente Bundesverwaltung zu schaf-fen, initiiert wurde.


Seite 10

Technische Rahmenbedingungen

Auf Grund der individuellen Anforderungen und historischer Entwicklungen haben sich in den föderalen Instanzen heterogene IT-Landschaften etabliert. Die genutz-ten IT-Systeme sind vielfach proprietär und verwenden unterschiedliche Anwen-dungsstandards und Kommunikationsschnittstellen. Für durchgängige, IT-gestützte Prozesse sind Vereinbarungen zur Interoperabilität zu treffen. Die Standardisierungsbemühungen bzgl. der Kompatibilität von Fachanwendungen werden in dem DOL-Vorhaben Standardisierung vorangetrieben. Durch die Ein-führung von Kommunikationsstandards für die Verwaltungsnetze, als Aufgabe von DOI, kann die gewünschte Interoperabilität unter Vermeidung von Medien-brüchen erreicht werden.

Rechtliche und organisatorische Rahmenbedingungen

In der Umsetzung von E-Government sind selbstverständlich Datenschutz und IT-Sicherheit zu berücksichtigen. Dies gilt umso mehr, wenn Interaktionen zwischen verschiedenen Verwaltungsinstanzen stattfinden. Dabei müssen Daten ebenso geschützt werden wie der Transport der Daten. Unter anderem ist für Kommuni-kationsnetze das Telekommunikationsgesetz zu beachten.

Die Berücksichtigung der verfassungsrechtlichen Rahmenbedingungen für die Zusammenarbeit von Bund und Ländern bei der Ausgestaltung eines gemeinsa-men Zwecken dienenden Vorhabens wie DOI ist ebenfalls notwendig. Gegenwär-tig wird im Rahmen der Föderalismuskommission II auch darüber beraten, wie die Zusammenarbeit von Bund und Ländern bezüglich IT verbessert werden kann und ob dafür eine Änderung des Grundgesetzes vorgenommen werden soll. Die in DOI entwickelten Lösungen orientieren sich an dem bestehenden verfassungs-rechtlichen Rahmen. Ob und inwieweit Änderungen dieser gegenwärtigen Rah-menbedingungen eine bessere Lösung ermöglichen würden, war nicht Gegens-tand der Überlegungen im Projekt.

IT-Sicherheit

Die IT-Sicherheitslage hat sich in den letzten Jahren deutlich verschärft. Die Be-drohung der IT-Infrastrukturen und die verwendeten Angriffstechniken entwickeln sich ständig fort, beispielsweise nehmen Zahl und Qualität von Schadprogram-men weiterhin deutlich zu. Der lang anhaltende Cyber-Angriff auf Estland im Frühjahr 2007 ist das jüngste Beispiel für die Bedrohung und stellte angesichts seines Ausmaßes als Angriff auf einen Staat insgesamt, bei dem hochrangige Ziele im öffentlichen und privaten Sektor attackiert wurden, und seiner professio-nellen Organisation einen erneuten Qualitätssprung in der Realisierung der Be-drohung dar.

Angesichts der Abhängigkeit der Verwaltung von ihren IT-Systemen sind die Kommunikationsnetze eine kritische Infrastruktur. Vor diesem Hintergrund ist eine


Seite 11

ständige Überprüfung der Bedrohungslage und des daraus erforderlichen Schutzbedarfes erforderlich, damit der Betreiber von DOI und die Betreiber der angeschlossenen Netze entsprechende Maßnahmen planen und umsetzen kön-nen.

1.2 Grundlagen des Vorhabens DOI

Zu den strategischen Anforderungen an das Vorhaben DOI gehören die föderale Entscheidungsfindung, die Nutzerorientierung, die Zukunftsfähigkeit, die Effizienz, die Sicherheit und die Wirtschaftlichkeit. Diese Anforderungen beziehen sich auf die technischen und betrieblichen Belange.

Wesentliche Kriterien für die Zukunftsfähigkeit sind die Erweiterbarkeit, Skalier-barkeit und Innovationsfähigkeit. Dies bezieht sich auf die DOI-Organisation, die Betriebsprozesse, das Leistungsportfolio und die technischen Ausprägungen.

Sicherheit und Effizienz beziehen sich ebenfalls auf die Organisation, den Betrieb und die Technik, wobei ein ausgewogenes Maß zwischen notwendiger Sicherheit und hinreichender Effizienz zu finden ist

Die Leistungserbringung muss nach marktüblichen Kriterien erfolgen und dabei wirtschaftlich sein.

1.2.1 Prämissen für die erfolgreiche Umsetzung des DOI-Vorhabens

Bei der Beurteilung der Perspektiven für die weitere Entwicklung einer einheitli-chen deutschen Kommunikationsinfrastruktur wird neben der Notwendigkeit wirt-schaftlichen Handelns von Folgendem ausgegangen:

(1) Der Auftrag, eine abgestimmte Kommunikationsinfrastruktur der Deut-schen Verwaltung auf- und auszubauen, erfordert nicht zwingend die Er-richtung eines vollständig einheitlichen Netzes. Mit dem Vorhaben DOI wird der Ansatz verfolgt, sich zunächst auf die Zusammenschaltung und auf die Verbesserung der Interoperabilität von bestehenden bzw. geplan-ten Netzen des Bundes, der Ländern und Kommunen zu konzentrieren. TESTA-D als bestehendes und akzeptiertes Netz zur ebenenübergreifen-den Kommunikation wird weiterentwickelt, sodass es zu einer deutsch-landweiten Kommunikationsinfrastruktur ausgebaut werden kann.

(2) Eine Harmonisierung von Leistungsmerkmalen der Netze von Bund, Län-dern und Kommunen kann im Wege der Entwicklung gemeinsamer Stan-dards erfolgen.

Für diese Entwicklung soll ein geeignetes Forum etabliert werden, wel-ches Standards zur Harmonisierung und Zusammenschaltung der Netzinf-rastrukturen von Bund, Ländern und Gemeinden erarbeitet und festlegt.


Seite 12

(3) Es kann zwischen der Entwicklung bzw. Beschaffung der Netzinfrastruktur und dem Betrieb der Infrastruktur unterschieden werden.

Für die Entwicklung bzw. Beschaffung der Netzinfrastrukturen müssen vergaberechtliche Fragen geklärt und eine entsprechende Organisation etabliert werden, die eine Beschaffung im föderalen Kontext durchführen kann. Darüber hinaus ist eine Vergabeunterlage zu erstellen und das Ver-gabeverfahren durchzuführen. Im vorliegenden Dokument hat das Vorha-ben DOI mögliche Rechtsformen für die Organisation untersucht, welche für die Vergabedurchführung in Frage kommen. Bei Vorliegen des ent-sprechenden Votums, kann diese Organisation später ggf. auch den Be-trieb verantworten.

Mit dem „Katalog der Standards und Optionen für Verwaltungsnetze“ wird die grobe Gliederung des fachlich-inhaltlichen Teils einer Vergabeunterla-ge vorbereitet.

Für den Betrieb der zukünftigen DOI bedarf es einer rechtlich handlungs-fähigen Organisation, welche die Verträge mit den Service-Providern ei-nerseits und die Vereinbarungen mit den Nutzern andererseits regelt und vertritt.

Diese rechtsfähige Organisation für die Beschaffung und ggf. für den Be-trieb soll in eine DOI-Governance (vgl. Kapitel 3) eingebunden werden.

Unter Berücksichtigung dieser Prämissen wird das Vorhaben sowohl die techni-schen als auch die organisatorischen Themen weiterführen.

1.2.2 Ziele des Vorhabens DOI

Mit dem Vorhaben DOI sollen folgende, wesentliche Ziele realisiert werden

• Sichere Konnektivität aller Netze unter- und zueinander herstellen,

• Harmonisierungs- und Standardisierungsnutzen realisieren,

• ein Angebot von zentralen Services entwickeln und

• verteilte Rechenzentren mit vertikalisierten Angeboten vernetzen.

Damit sollen folgende Wirkungen erzielt werden:

• Verbesserung der IT-gestützten Kollaboration der öffentlichen Verwal-tungen untereinander,

• Verbesserung der Funktionalitäten und Eigenschaften der Kommuni-kationsinfrastrukturen im Sinne abgesicherter „any to any“ mit jeweils geeigneter Sicherheit (u.a. Verfügbarkeit) und Performance für die e-


Seite 13

benenübergreifenden Fachanwendungen

• Verbesserung der technischen und betrieblichen Strukturen bestehen-der Netzinfrastrukturen mit dem Ziel der Technologieerneuerung

• Verbesserung der Kommunikationsschnittstelle von Online-Anwendungen für Bürger und Unternehmen

• Verbesserung der IT-Sicherheit.

Im Vorhaben DOI werden Lösungen für folgende Handlungsfelder entwickelt:

• Erarbeitung eines Governance-Modells (Grundsätze und Verfahren zur Steuerung und Kontrolle) für eine nationale Kommunikationsinfra-struktur (DOI-Netz),

• Klassifizierung der Anforderungen aus Fachverfahren an das DOI-Netz (nach Sicherheitskriterien (u.a. Verfügbarkeit) und Bandbreite),

• Abstimmung von Standards für Netzanbindungen und -übergänge, darunter fallen Sicherheits- und Serviceklassen und weitere Rahmen-bedingungen,

• Beschreibung eines Organisationsmodells und Betreiberkonzepts so-wie Entwicklung von Finanzierungsvarianten und Beteiligungsmodel-len für eine schlanke und flexible DOI-Organisation,

• Beschreibung möglicher Migrationspfade zur Transformation und An-bindung bestehender Netz-Infrastrukturen und

• Beschreibung des Diensteportfolios (z.B. E-Mail, Verwaltung digitaler Signaturen, Telefonbücher und anderer Verzeichnisdienste).

In diesem Ergebnisdokument sind - abgeleitet aus erhobenen Anforderungen - konzeptionelle Lösungsansätze für die aufgeführten Handlungsfelder beschrie-ben.

1.2.3 Projektverlauf und Organisation

Die Umsetzung des Vorhabens DOI erfolgt in mehreren Phasen. In einem ersten Projektabschnitt (Juli 2006 - Januar 2007) fand eine Bestandsaufnahme beste-hender Behördennetze statt. Hierbei handelte es sich um die erste ebenenüber-greifende Untersuchung der Kommunikationsinfrastrukturen in Deutschland seit 1949. Im Fokus der Untersuchung standen Flächennetze auf Bundes-, Landes- und Kommunalebene, welche der allgemeinen Verbindung von Standorten die-nen. Ebenfalls untersucht wurden die Anforderungen ebenenübergreifender Fachverfahren an Netzinfrastrukturen. Hierfür wurden insbesondere Verfahren


Seite 14

mit einer großen Anzahl beteiligter Behörden und einem hohen Datenaustausch- und Transaktionsvolumen ausgewählt. Auf Basis der Ergebnisse wurden erste Lösungsansätze skizziert, ein technisches Grobdesign entworfen und die grobe Vorhabensplanung erstellt.

Die zweite Projektphase von April 2007 – Dezember 2007 diente insbesondere der Planung für eine ebenenübergreifende Infrastruktur. Folgende Themen bzw. Arbeitspakete werden in der zweiten Projektphase bearbeitet:

• Interne und externe Projektkommunikation

− Einbeziehung der Zielgruppen (politische und fachliche Ansprech-partner in Kommunen, Ländern und Bund unter Beachtung gre-mienspezifischer Ausprägungen) und Vermittlung der Projektziele,

− Beschreibung von Nutzenargumenten und deren zielgruppenspezi-fische Aufbereitung,

− Einbeziehung von und Abstimmung mit Entscheidungsträgern und Gremien,

− Aufbereitung technischer, wirtschaftlicher und organisatorischer Inhalte für Publikationen, Vorträge und Veröffentlichungen,

− Flankierende Kommunikation durch Beteiligung an Messen, Ta-gungen, Kongressen, Konferenzen, Medienarbeit, Gremienarbeit, Roundtable-Gesprächen, Workshops.

• Analyse und Anforderungsbeschreibung

− Erfahrungsaustausch mit nationalen Aktivitäten (z.B. BMVg) und relevanten Gremien (z.B. europäische Taskforce) zur Einbezie-hung von IPv6 in die Planungen,

− Fortführung der Analyse geplanter und bestehender (ebenenüber-greifender) Applikationen und deren Implikationen für die Netzinf-rastrukturen,

− Ableitung technischer, organisatorischer und Sicherheitsanforde-rungen an ein DOI-Netz.

• Migrationen und laufende Konsolidierungen

− Abstimmung mit laufenden Netzprojekten und Ausschreibungen (Bund, Länder, Kommunen),

− Definition von Standards, Mindestanforderungen und Zugangsvor-aussetzungen,

− Definition von Migrationspfaden

• Gesamtarchitektur

− Definition eines DOI-Governance-Modells im Kontext zu Deutsch-


Seite 15

land-Online,

− Erarbeitung eines Betreiberkonzeptes und Organisationsmodells,

− Erstellung von Finanzierungsvarianten und Beteiligungsmodellen,

− Klärung rechtlicher Rahmenbedingungen,

− Untersuchung von Best Practice Beispielen mit bestehenden Mo-dellen (z.B. Herkules, ENX, BOS, TESTA-D).

Für die Umsetzung dieser Aufgaben wurde in der zweiten Projektphase folgende Projektorganisation gewählt:

MPK

CdS

AK Sts E-Government

Lenkungsgruppe DOL

Lenkungsausschuss

Bund Federführer Hessen

Lenkungs- und Entscheidungsgremien

DOL – Projekte

DOL- Geschäftsstelle

DOL – Projekte


BSI

Projektmanagement Office

Projektleitung


ProjektleitungIMKA

Projekt-gruppe

Steuerungs-Ausschuss

KoopA

IMKA

Projekt-gruppe


KoopA

TP 1Kommunikationskonzept

TP 2Analysefortschreibung

TP 3 Migrationen und laufende

Konsolidierungen

TP 4 Gesamtarchitektur

Abbildung 2: DOI-Projektorganisation der aktuellen Projektphase

Mit der Ergebnisdokumentation über die bisher erlangten Erkenntnisse und Re-sultate beginnt die Detaillierung der operativen Umsetzung. Das Ergebnisdoku-ment ist die Basis für die nächsten Umsetzungsschritte. Andererseits ist mit die-sem Ergebnisdokument die Phase der Ist-Analyse für DOI abgeschlossen und es wurden die konzeptionellen Grundlagen für das DOI-Soll-Konzept gelegt. Für die Arbeiten in 2008 stehen folgende Themen im Mittelpunkt:

• Strukturierung der Vergabeunterlagen für ein DOI-Netz

• Abstimmung und Fortschreibung des Katalogs der Standards

• Abstimmung der DOI-Governance mit den Deutschland-Online Gre-mien

• Erarbeitung von Rechtsgutachten für die Klärung offener vergabe-


Seite 16

rechtlicher, kartellrechtlicher und staatsrechtlicher Fragen im Zusam-menhang mit einer DOI-Organisation

• Bewertung und Auswahl der am Besten geeigneten Rechtsform für ei-ne DOI-Vorläuferorganisation und eine DOI-Regelorganisation

• Detaillierung der technischen Architektur für das DOI-Netz

• Erarbeitung eines Konzeptes für die Bereitstellung von Mehrwertdiens-ten (z.B. Public Key Infrastruktur, PKI, Verzeichnisse, E-Mail, Domain Name Service, DNS)

• Erarbeitung eines Planungskonzeptes für die Migration der Deutschen Verwaltung auf IPv6 und die Beantragung eines ausreichend großen Adressraumes bei RIPE (Réseaux IP Européens).

Für diese Projektphase wird folgende Projektorganisation umgesetzt:

MPK

CdS

AK Sts E-Government

Lenkungsgruppe DOL

Lenkungsausschuss

Bund Federführer Hessen

Lenkungs- und Entscheidungsgremien

DOL – Projekte


DOL – Projekte


BSI


Projektleitung


ProjektleitungIMKA

Projekt-gruppe


KoopA

IMKA

Projekt-gruppe


KoopA

TP 1

Betriebliches Konzept

TP 2

Technisches Konzept

Kommunikation

Abbildung 3: Projektorganisation für die Arbeiten in der folgenden Projektphase

1.2.4 Vorgehensweise und Methoden

Die Vorgehensweise und Methoden unterscheiden sich in den einzelnen Teilpro-jekten.

Alle Arbeiten im Teilprojekt „Kommunikation“ basieren auf einem mit der Deutsch-land-Online Geschäftsstelle abgestimmten Kommunikationskonzept. In diesem


Seite 17

Kommunikationskonzept sind die Ziele für die Innen- und Außenkommunikation des Vorhabens DOI definiert. Die Basis der strukturierten Kommunikationsarbeit zum Projekt DOI bildet ein Kommunikationsplan. Dieser enthält spezifische Aus-sagen zu folgenden Einzelaspekten:

• Zielgruppe

• Kommunikationsziel bzw. Ergebnis

• Ereignis

• Zeitpunkt

• Maßnahme

• Sender

• Feedback-Mechanismus

• Bemerkungen

Der Kommunikationsplan wird entlang des Projektfortschritts aktualisiert.

Im Teilprojekt „Analysefortschreibung“ werden die Erhebungen der ebenenüber-greifenden Fachverfahren anhand von strukturierten Interviews durchgeführt. In Vorbereitung auf die Interviews wurde ein Gesprächsleitfaden entwickelt, der die Vergleichbarkeit der Interviewergebnisse gewährleisten sollte. Jedes Interview wurde protokolliert. Diese Protokolle sind von den Interviewpartnern einer Quali-tätssicherung unterzogen worden. Die Anforderungen der Fachverfahren, insbe-sondere der ebenenübergreifenden DOL-Vorhaben, an DOI wurden aufgenom-men und klassifiziert. Daraus abgeleitet konnten wesentliche technische, organisatorische und Sicherheitsanforderungen definiert werden. In Überein-stimmung mit diesen und den weiteren Anforderungen aus Untersuchungen der Verwaltungsnetze wurden die DOI-Governance und die DOI-Gesamtarchitektur entworfen. Die Analysen zum Thema IPv6 sind vor allem auf Basis von Recher-chen in den Veröffentlichungen der internationalen Gremien, der EU und bei den beteiligten Foren entwickelt worden. Mit dem Koordinator der IPv6-Task Force der EU konnte ein Interview über die Europäischen Planungen durchgeführt wer-den.

Im Teilprojekt „Migrationen und Laufende Konsolidierungen“ wurden für die Er-mittlung der in zukünftigen Verwaltungsnetzen typischerweise geplanten vertrag-lichen, organisatorischen, betrieblichen und technologischen Eckpunkte struktu-rierte Interviews mit mehreren Öffentlichen Verwaltungen geführt. Zur Vorbereitung der Interviews und für die Sicherstellung der Vergleichbarkeit der In-terviewergebnisse wurde ein Interview-Leitfaden entwickelt. Bei der Auswahl der Interviewpartner wurden Organisationen verschiedener föderaler Ebenen berück-


Seite 18

sichtigt, die entweder kurz zuvor eine Neuvergabe ihres Verwaltungsnetzes durchgeführt haben oder die aktuell eine Neuvergabe von Netzdienstleistungen vorbereiten oder planen.

Die Interviewergebnisse wurden miteinander verglichen, um die Übereinstim-mungen bei allen untersuchten Verwaltungsnetzen zu finden. Aus diesem Modell der Gemeinsamkeiten (Konsensmodell) wurden anschließend Standards abgelei-tet, die als Vorlage für alle weiteren zukünftigen Netze der Öffentlichen Verwal-tungen dienen sollen, da sie entweder bereits bei einer Vielzahl der Verwaltungs-netze bewährte Praxis sind oder es nach Beobachtung internationaler Trends zukünftig sein werden. Diese Standards wurden dann in einem Katalog zusam-mengefasst und mit einer Verbindlichkeitsstufe versehen, die angemessenen Freiraum lässt, um den unterschiedlichen Anforderungen der verschiedenen fö-deralen Ebenen an ihre Verwaltungsnetze gerecht zu werden.

Die verschiedenen Arbeitspakete im Teilprojekt „Gesamtarchitektur“ erforderten die Anwendung unterschiedlicher Ansätze und Methoden. Zur Entwicklung der DOI-Governance wurde das vom IT-Governance Institute (ITGI) herausgegebene Framework für IT-Governance - COBIT verwendet.

Der Entwurf der DOI-Governance spiegelt die erhobenen organisatorischen und insbesondere auch strategischen Anforderungen wider. Dieser Entwurf berück-sichtigt vor allem die geforderte Einflussnahme der politischen (föderalen) Ebe-nen in Deutschland.

Für die Entwicklung der DOI-Organisationsstruktur wurde auf das „Component Business Model (CBM) für IT-Service Provider“ der IBM zurückgegriffen. CBM for the Business of IT ist eine IT-fokussierte Variante des Component Business Modelling. Mit diesem Analyseverfahren lässt sich eine Organisation hinsichtlich aller internen Funktionen und Wertschöpfungsketten in einer strukturierten Sammlung von Geschäftskomponenten darstellen.

Die Berechnung des Personalbedarfs der Vorläufer- und der Regelorganisation erfolgte unter Hinzuziehung des "Handbuch für die Personalbedarfsermittlung in der Bundesverwaltung" (Bundesministerium des Innern, 2. Auflage 1995, Dr. Pe-ter Röthig). Im Ergebnis konnte der Ressourcenbedarf für die Fortführung des Vorhabens DOI, einer DOI-Vorläuferorganisation und einer DOI-Regelorganisation kalkulatorisch aufgestellt werden.

Als ein weiterer wesentlicher Input für die Entwicklung der DOI-Governance und DOI-Organisation wurden bestehende, vergleichbare Organisationen, wie ENX, DFN, Herkules und TESTA-D in Fallstudien untersucht. Die Analyse erfolgte an-hand von Interviews und Internetrecherchen. Die Interviews wurden mit einem In-terview-Leitfaden vorbereitet. Im Ergebnis der Interviews und der ergänzenden Recherchen konnten kritische Erfolgsfaktoren und Best Practices herausgearbei-tet werden.


Seite 19

In das Design der Gesamtarchitektur des DOI-Netzes sind eine Vielzahl von in-ternationalen Referenzmodellen, wie z.B. das IMS- oder TISPAN-Modell, und Best Practices entsprechend ITIL eingeflossen. Die verschiedenen Referenzmo-delle und Standards wurden auf ihre Anwendbarkeit hin geprüft und für einzelne Komponenten der DOI-Gesamtarchitektur einbezogen. Die Technische Architek-tur orientiert sich an der von der ETSI (European Telecommunications Standards Institute)-Arbeitsgruppe TISPAN (Telecoms & Internet converged Services & Pro-tocols for Advanced Networks) erweiterten NGN-Spezifikation. Diese Spezifikati-on (das Schichtenmodell) wurde um eine Schicht für Applikationen (Fachanwen-dungen) ergänzt.

Die Ergebnisse der einzelnen Teilprojekte wurden wie folgt integriert:

Phase 1Bestandserhebung

Analysefortschreibung

Anwendungsanalyse

Netzprojekte

Migrationspfade

Anfo

rder

ung

en

TP 2

TP 3

TP 4 Umsetzungs-vorschlag für 2008

Umsetzungs-vorschlag für 2008

TP 1

Kommunikation

Vorschläge

Modell für Gesamtarchitektur

ValidierunggegenBest Practices

Sept. 07April 07

Vorsch

läge

Abbildung 4: Vorgehensweise in der aktuellen Projektphase

Das Projekt DOI wird begleitet durch den Kooperationsausschuss Automatisierte Datenverarbeitung (kurz KoopA ADV), dem der Bund, die Länder und die kom-munalen Spitzenverbände angehören. Im März 2007 hat der KoopA ADV eine Projekt-Gruppe Deutschland-Online Infrastruktur (PG DOI) eingerichtet, die an der "Ausgestaltung und Umsetzung von Vorhaben der Initiative Deutschland On-line" mitwirkt. In Zusammenarbeit mit dieser Projektgruppe ist ein Architekturent-wurf für ein zukunftsfähiges DOI-Netz erarbeitet worden, welches auf dem beste-henden, ebenenübergreifenden Kommunikationsnetz der öffentlichen Verwaltung (TESTA-D) aufbaut. Die Sicherstellung des Betriebs und die strategische Weiter-entwicklung von TESTA-D liegen gegenwärtig noch in der Verantwortung des KoopA ADV. Am 20.09.2007 hat der KoopA ADV die Migration von TESTA-D in ein künftiges DOI-Netz beschlossen. Mit diesem Beschluss ist ein wichtiger Mei-


Seite 20

lenstein in der Entwicklung einer gemeinsamen nationalen Kommunikationsinfra-struktur gelungen.

1.3 Zum Inhalt des Dokuments

In Kapitel 2 „Bestandsanalyse und abgeleitete Anforderungen“ werden Anforde-rungen dokumentiert, die sich aus der Untersuchung von Fachverfahren, bereits bestehender Verwaltungsnetzinfrastrukturen und dem übergreifenden TESTA-D-Netz ergeben. Bei den untersuchten Fachverfahren handelt es sich um priorisier-te Deutschland-Online Vorhaben und ausgewählte weitere E-Government-verfahren, die über das künftige DOI-Netz genutzt werden sollen.

In Kapitel 3 wird ein „Soll-Konzept für die DOI-Governance“ entworfen. In Anleh-nung an COBIT (Control Objectives for Information and Related Technology) wird die allgemeine Governance-Struktur zunächst grob skizziert. Im Folgenden wer-den die relevanten Elemente der Governance (Organisation, Aufgaben und Pro-zesse) auf die zukünftige DOI-Organisation angewendet. Des Weiteren werden Vorschläge für die Umsetzung der Governance dargestellt.

Das anschließende Kapitel 4 beinhaltet das „Soll-Konzept für die DOI-Architektur.“ Unter Architektur werden hier im Wesentlichen die Technische Archi-tektur einer künftigen nationalen Kommunikationsinfrastruktur auf Basis eines Next Generation Network (NGN) und das zu etablierende Diensteportfolio ver-standen. Es wird ein Vorschlag für die Umsetzung in diese Architektur entwickelt.

Kapitel 5 erläutert den Inhalt des „Kataloges der Standards und Optionen für Verwaltungsnetze“.

Der vollständige Katalog ist dem Dokument als Anlage angefügt. Das Vorhaben DOI wird diesen Katalog in 2008 fortschreiben.

Die Vorstellung und Beurteilung möglicher „Rechtsformen“ für die künftige DOI-Organisation erfolgt in Kapitel 6. Nach einer Darstellung grundsätzlich geeigneter Rechtsformalternativen wird ein Bewertungsmodell für die Auswahl der am bes-ten geeigneten Rechtsform für eine DOI-Organisation vorgestellt. Die bereits entwickelten Methoden und erarbeiteten Ergebnisse werden durch rechtliche Stellungnahmen hinsichtlich staats-, vergabe- und kartellrechtlicher Fragestellun-gen flankiert, welche jedoch nicht Bestandteil dieses Dokumentes sind.

In Kapitel 7 „Finanzen und Beteiligungen“ werden erste Ansätze für die Finanzie-rung und Beteiligung an einer DOI-Organisation aufgezeigt.

Das abschließende Kapitel 8 „Fallstudien“ beinhaltet den Vergleich von verschie-denen privaten und öffentlichen Kommunikationsinfrastrukturen. Dabei werden die für DOI relevanten Themenbereiche wie z.B. Rechtsform oder Liefermodell hervorgehoben.


Seite 21

In der Liste der Anlagen werden alle zum Gesamtdokument geführten Anlagen zusammengefasst.

Das Abkürzungsverzeichnis und das Glossar erläutern die wesentlichen im Do-kument verwendeten Fachbegriffe.


Seite 22

2 BESTANDSANALYSE UND ABGELEITETE ANFORDERUNGEN

Innerhalb des Vorhabens DOI erfolgte in einer ersten Phase eine repräsentative Bestandsaufnahme der Kommunikationsnetze, Basisdienste und Fachanwen-dungen in Bund, Ländern und Kommunen. Zusätzlich wurden die strategischen Anforderungen von Entscheidungsträgern aufgenommen. Darauf aufbauend schloss sich eine weitergehende Analyse von ausgewählten und priorisierten Deutschland-Online Vorhaben an. Die Ergebnisse der ersten Phase sowie der vertiefenden Analyse sind Bestandteil der nachfolgenden Ausführungen dieses Kapitels.

Für die Konzeption einer nationalen Kommunikationsinfrastruktur durch DOI sind nicht nur die Anforderungen aus Sicht der Fachverfahren zu berücksichtigen, vielmehr werden auch ausgewählte Landesnetze detaillierter untersucht. Bei die-ser Untersuchung stehen die zwei Fragestellungen nach den mittelfristigen Pla-nungen für die Weiterentwicklung der Netze in den Ländern und den Anforderun-gen der Länder an eine gemeinsame und abgestimmte Kommunikations-infrastruktur der deutschen Verwaltung im Vordergrund. Die Ergebnisse der Un-tersuchungen sind im dritten Abschnitt dieses Kapitels dokumentiert.

Im letzten Abschnitt schließt sich die Darstellung des übergreifenden Netzes TESTA-D und die Beschreibung von Anforderungen, die sich während der Analy-se dieses Koppelnetzes herauskristallisiert haben, an.

2.1 Erste Erhebungen, Schwachstellenanalysen und Anforderungen

Innerhalb des Vorhabens DOI wurde die erste ebenenübergreifende Untersu-chung der Kommunikationsinfrastrukturen in der öffentlichen Verwaltung seit 1949 durchgeführt. Es wurde festgestellt, dass sich die Netzinfrastrukturen ge-mäß den individuellen Bedürfnissen der jeweiligen örtlichen und fachlichen Zu-ständigkeit entwickelt haben. Für eine Gesamtbetrachtung wird zum Zeitpunkt der Erhebung von einem potentiellen Nutzerkreis (PC-Arbeitsplätze) von rund 3,8 Mio. Mitarbeitern im öffentlichen Dienst ausgegangen. Nicht erfasst sind dabei Soldaten und Arbeiter. Der Nutzerkreis wendet dabei eine große Anzahl IT-gestützter Fachverfahren, die in zunehmendem Maße nicht mehr nur in einzelnen lokalen Rechenzentren betrieben werden. Die Aufgabenteilung zwischen Kom-munal-, Länder- und Bundesbehörden unter Verwendung IT-gestützter Fachver-fahren hat in den letzten Jahren erheblich zugenommen. Damit nimmt auch die Bedeutung einer durchgängigen Vernetzung zu und stellt einen kritischen Erfolgs-faktor für eine effiziente Verwaltung dar. Aus diesem Grunde wurden zunächst bestehende Netze auf allen Verwaltungsebenen für die Erhebung herangezogen, dazu gehören:


Seite 23

• 8 Netze des Bundes (z.B. IVBB, IVBV, BMF, BMAS, BMVBS),

• alle 16 Ländernetze, zum Teil unter Einbindung der Kommunen und der Netze der Polizei und der Steuerverwaltung, sowie

• 28 Netze der Kommunen und Landkreise.

Das ebenenübergreifende Netz TESTA-D wurde zu späterem Zeitpunkt geson-dert untersucht.

Des Weiteren wurden ausgewählte Fachverfahren und deren Anforderungen an eine Kommunikationsinfrastruktur untersucht. Die Kriterien für die Auswahl der untersuchten Fachverfahren leiten sich dabei aus der Anzahl der beteiligten Be-hörden und das dadurch begründete hohe Verkehrsaufkommen ab.

Bei den untersuchten Fachanwendungen handelte es sich u.a. um ELSTER (E-lektronische Steuererklärung), bei dem die Finanzverwaltungen bzw. Rechnungs-stellen von Bund, Ländern und Kommunen beteiligt sind. Dabei betragen allein die Umsatzsteuermeldungen 68.000 pro Tag.

Des Weiteren wurde VEMAGS (Verfahrensmanagement für Großraum- und Schwertransporte) untersucht. Dabei sind bei einer Anzahl von rund 350.000 ge-nehmigungspflichtigen Transporten pro Jahr bis zu 350 verschiedene Behörden pro Genehmigung beteiligt.

Als weiteres wichtiges Fachverfahren wurde das Vorhaben KFZ-Wesen (Verfah-ren zur Zulassung von Kraftfahrzeugen) untersucht. Hierbei werden rund 24 Mio. Transaktionen jährlich zwischen Bürgern und Behörden in über 440 KFZ-Zulassungsstellen abgewickelt.

Erkenntnisse aus weiteren priorisierten Vorhaben konnten erst im Rahmen einer zweiten Erhebungsphase ermittelt werden.

Außerdem wurden die Anforderungen an eine ebenenübergreifende Kommunika-tionsinfrastruktur bei den befragten Entscheidungsträgern ermittelt.

2.1.1 Erhebung bei ausgewählten Netzen

Für die Bestandsaufnahme wurden die o.g. Weitverkehrsnetze (Wide Area Net-work, WAN) von Bund, Ländern und Kommunen ausgewählt, die für die Gewin-nung repräsentativer Aussagen hinsichtlich projektrelevanter Fragestellungen von Bedeutung sind.

Die Erhebung der Bestandsdaten wurde anhand eines zwischen der Auftragge-ber- und der Auftragnehmerseite abgestimmten Fragebogens vorgenommen. Die Übermittlung der Ergebnisfragebögen mit den individuellen Inhalten erfolgte ver-schlüsselt.


Seite 24

2.1.1.1 Feststellungen zu den untersuchten Netzen

Die Mehrzahl der untersuchten Netze basieren auf Standleitungen, welche i.d.R. durch eine ringförmige Struktur im Backbonebereich und durch eine sternförmige Topologie im Zugangsbereich gekennzeichnet sind. Als Backup-Medien werden ISDN, Standleitungen und auch teilweise das Internet genutzt. Die Einwahl mobi-ler Nutzer erfolgt entweder über Wählverbindungen (ISDN-Dial-In) oder via VPN-Verbindung über das Internet.

In den meisten Fällen wird IP-basiertes Routing eingesetzt. Der für Weitverkehrs-netze (WAN) wichtige Basis-Infrastrukturdienst Domain Name Service ist eben-falls elementarer Bestandteil der meisten Netze der öffentlichen Verwaltung.

Quality of Service (QoS) als Basis zur Priorisierung der Datenströme unterschied-lich wichtiger IT-Anwendungen ist bei rund 50 Prozent der untersuchten Netze implementiert.

Mehrwertdienste wie Identity Management auf Basis einer Public Key Infrastruk-tur, Verzeichnisdienste, Metadirectories und Virtuelle Poststelle (VPS) werden auf allen föderalen Ebenen eingesetzt.

Anwenderorientierte Dienste wie Print-, File-, Web- und Backup-Services werden ebenfalls zunehmend genutzt.

Die Bundesnetze sind sternförmig ausgelegt und besitzen jeweils ein breitbandi-ges Backbone-Netzwerk. Es wurde eine starke Überlappung dieser Netze festge-stellt. Die Untersuchungen auf Länder- und Kommunalebene zeigen, dass auch auf Landesebene parallele, voneinander unabhängig aufgebaute und betriebene Infrastrukturen für unterschiedliche Aufgaben und Fachverfahren existieren.

2.1.1.2 Schwachstellen

Die Schwachstellen hinsichtlich der Netzwerkinfrastrukturen lassen sich wie folgt zusammenfassen:

• keine gemeinsame Entwicklungsstrategie der Verwaltungsnetze,

• keine vereinbarten Standards für Netze,

• keine gemeinsame Beschaffung,

• kein gemeinsamer Betrieb der Infrastruktur,

• unterschiedliche Betreibermodelle,

• keine Einkaufs- und Vertragsoptimierung (unterschiedliche Vertrags-modelle und -laufzeiten),

• fehlende standardisierte Auswahlkriterien für Betreiber der Netzwerke und IT-Infrastrukturen,

• keine einheitlichen Verfügbarkeits- und Service Level-Definitionen,


Seite 25

• kein standardorientiertes Prozessdesign und

• keine gesamtheitliche Planung der Netze hinsichtlich der geographi-schen Abdeckung und fehlende Redundanz trotz starker Überlappung

• keine Gewährleistung der IT-Sicherheit über alle Verwaltungsebenen hinweg.

Problematisch bei der Zusammenarbeit der bestehenden föderalen Infrastruktu-ren stellt sich beispielsweise die nicht koordinierte Adressierung der Systeme in-nerhalb der einzelnen Netze dar, weil es bei Erweiterungen zu erheblichen Eng-pässen bezüglich der Adressräume kommen wird.

Diese technische Schwachstelle wurde durch das nicht ausreichende Angebot an öffentlichen IP-Adressen nach dem derzeit am weitesten verbreiteten Adressie-rungsstandard des Internet Protokolls in der Version 4 sowie durch die Existenz von Lösungen zur temporären Entspannung der Problemlage in diesem Bereich verursacht. Diese offensichtliche Schwachstelle wird derzeit durch aufwendige Adressumsetzungen an den Netzübergängen oder durch organisato-risch/technische Maßnahmen gelöst.

Die Auswertungen zeigen ferner, dass keine einheitlichen Routing- und Netzan-bindungsstandards existieren. Es bedarf eines länderübergreifenden Routing- und Namenskonzeptes, welches die Datenvermittlung ebenenübergreifend defi-niert. Dabei muss auch die Anbindung der Infrastruktur an die EU bzw. an andere Länder berücksichtigt werden.

Weiterer Handlungsbedarf besteht für Konzepte zur Priorisierung von Verkehrs-strömen auf IP-Ebene sowie zur Sicherstellung der erforderlichen Qualitätspara-meter des Netzwerkes.

Ein wesentlicher Schwachpunkt sind die zum Teil fehlenden Sicherheitskonzepte auf allen Ebenen. Die Analyse zeigt, dass nur ca. zwei Drittel der befragten Teil-nehmer eine standardbasierte Sicherheitsrichtlinie (Security Policy) im Einsatz haben. Es existieren ferner keine gemeinsamen und abgestimmten Sicherheits-strategien.

Weiterhin sind fehlende Standards für Verfügbarkeitsgruppen und Sicherheitska-tegorien zu nennen. Diese sollten aus der Bewertung von Risiken heraus definiert werden, die sich aus den Aufgaben der einzelnen Verwaltungen ableiten.

2.1.2 Erste Untersuchung ausgewählter Fachverfahren

Für die Realisierung von DOI ist es wichtig, die Anforderungen der ebenenüber-greifenden Fachverfahren an die künftige Kommunikationsinfrastruktur der öffent-lichen Verwaltung in Deutschland zu ermitteln.


Seite 26

Hierfür wurde aus der Vielzahl der in der öffentlichen Verwaltung eingesetzten Fachverfahren eine für DOI relevante Auswahl getroffen.

Die Auswahl der Fachverfahren erfolgte anhand von Kriterien, bei denen neben der ebenenübergreifenden Relevanz der Fachverfahren insbesondere auch de-ren Bedeutsamkeit eine Rolle spielt.

Die nachfolgende Übersicht skizziert die charakterisierenden Merkmale der aus-wählten Verfahren:

Merkmal Außen-wirkung

Zentrali-sierung

Transak-tionszahl

Vernetz-ungsgrad

Aktua-lisie-rung

Beispiel in der DOI A-nalyse

Verfahrenstyp

Inne

rbeh

ördl

ich

G2G

Zum

Bür

ger

G2C

Zur

Wirt

scha

ft G

2B

Zen

tral

Dez

entr

al

Hoc

h (x

Mio

./a)

Ger

ing

Hoc

h

Ger

ing

Ech

tzei

tnah

größ

er T

ag-g

enau

Klassische Verwaltungs-Fachverfahren X X X X X X

Justiz- und Steuerfach-verfahren (ESt., ELSTER)

Register-Verfahren

X X X X X

ZStV, BZR Register, Ident-nummer

Flächen-Anwendungen

X X X X X X X Kfz-Zulassung

eGovernment- Anwendungen X X X X X X

VEMAGS, ELSTER (Frontend)

Sicherheitsan-wendungen

X X X X X X X deNIS 2+

Administrative Verfahren

X X X X X X eBeihilfe

Tabelle 1: Charakterisierung von Fachverfahren


Seite 27

2.1.2.1 Schwachstellen

Die ebenenübergreifende Wertschöpfungskette wird derzeit auf Grund der feh-lenden Durchgängigkeit der Netze und der verteilten Verantwortlichkeiten hierfür begrenzt. Dies führt zu deutlichen Ineffizienzen.

Für die Fachverfahren ist es häufig notwendig, eigene Lösungen für den Daten- und Kommunikationsaustausch zu entwickeln. Dabei kommt es verstärkt zu Pa-rallelentwicklungen. Synergien bleiben ungenutzt.

Auf Grund fehlender Zugänge zu den bereits existierenden Behörden-Netzinfrastrukturen und unzureichender Durchgängigkeit wird oft das Internet als Verbindung zwischen den beteiligten Behörden gewählt, wodurch eine sichere Kommunikation und Transaktion nur aufwändig gewährleistet werden kann. Au-ßerdem besteht in diesen Fällen eine Abhängigkeit von der Verfügbarkeit des In-ternet, die niemand gewährleisten kann.

2.1.2.2 Erste Anforderungen aus den Fachverfahren

In den nächsten Jahren werden Serviceorientierte Architekturen (Service Orien-ted Architecture, SOA) die Grundlage für moderne IT-Architekturen im Bereich der Anwendungsentwicklung bilden. Dies wird zu einer stärkeren Modularisierung und Verteilung der Anwendungskomponenten („Dienste“) führen. Die Abhängig-keit der Fachverfahren von in der Fläche verteilten Softwarekomponenten steigt und die Anforderungen an eine durchgängige, flächendeckende Kommunikations-infrastruktur wachsen in erheblichem Maße an.

Auch eine stärkere Zentralisierung des Betriebs von Fachverfahren durch Shared Service Center (SSC) erfordert eine intensive Vernetzung der nutzenden Behör-den mit den anbietenden Service-Centern. Ziel muss es sein, diese Dienstleis-tungen einem breiten verwaltungsebenenübergreifenden Benutzerkreiskreis ver-fügbar zu machen, so dass Größenvorteile in Form von Skaleneffekten erreicht werden und das volle wirtschaftliche Potenzial realisiert wird.

DOI soll für verwaltungsebenenübergreifende Fachverfahren folgende Anforde-rungen erfüllen:

• flächendeckender, durchgängiger Zugang zu Fachverfahren für die Behörden auf allen Verwaltungsebenen,

• skalierbare Bandbreiten,

• angemessene Verfügbarkeit,

• kurze Netzwerk-Reaktions- und Antwortzeiten,

• zukunftsfähiges IP-Adresskonzept,

• mobile Zugangsdienste und


Seite 28

• QoS (Quality of Service).

Ferner soll DOI einen angemessenen Sicherheitsstandard gewährleisten, durch

• abgestimmte Sicherheitsniveaus,

• netzwerkeigene Sicherheitsfunktionen und

• Berechtigungskonzepte.

Folgende Mehrwertdienste sollen anboten werden:

• Identitätsmanagement auf der Basis von PKI,

• Verzeichnisdienste (Metadirectories) sowie

• virtuelle Poststellen.

Im Weiteren sollen Kommunikationsdienste wie VoIP (Voice over Internet Proto-col) integriert und bereitgestellt werden.

2.1.3 Anforderungen von Entscheidungsträgern

Die Anforderungen an eine übergreifende nationale Kommunikationsinfrastruktur wurden auf der Basis strukturierter Interviews mit 15 Entscheidungsträgern für Verwaltungsnetze in Bund, Ländern und Kommunen ermittelt.

2.1.3.1 Strategische Anforderungen

Es ist eine alle Verwaltungsebenen übergreifende Kommunikation zu ermögli-chen.

Es ist ein Zugriff auf Fachverfahren aller föderalen Ebenen zu realisieren, ggf. sollte auch die Möglichkeit eines Angebotes von privaten Anbietern in DOI beste-hen.

Für die Nutzung von DOI sind verbindliche Standards und Richtlinien zu definie-ren, welche durch die jeweiligen Nutzer einzuhalten sind.

Es ist ein kontinuierlicher Verbesserungsprozess (KVP) zu etablieren, z.B. für die Realisierung einer länderübergreifenden Krisenfall-Absicherung.

Für leistungsgerechte Kosten sollen „state of the art“-Technologien und moderne Sourcingstrategien genutzt werden.


Seite 29

2.1.3.2 Anforderungen hinsichtlich Fachverfahren & Basisinfrastrukturdienste

Die Anbindung der Behörden an bestehende und zukünftige ebenenübergreifen-de Fachverfahren soll verbessert werden.

Die Bereitstellung standardisierter Basisinfrastrukturdienste wie Single Sign On, Zertifikate, VoIP, Video-Conferencing sowie die Realisierung vielfältiger Formen von Mobilität (mobile Verwaltungsmitarbeiter, Telearbeit und mobile Services für Bürger) soll mit DOI ermöglicht werden.

Künftige Anwendungsarchitekturen wie SOA sind durch DOI zu berücksichtigen.

2.1.3.3 Technologische Anforderungen

Es soll eine medienbruchfreie Kommunikation ermöglicht werden, um Dienste wie bundesweite IP-Telefonie, Unified Communication und Dokumentenmanagement zu unterstützen.

Auf Grund der neuen Technologien und Anwendungen ist eine dafür geeignete Adressierbarkeit zu realisieren. Es sollte ein übergeordnetes IP-Adressmanagement etabliert werden.

Bei der Übertragung von Datenkategorien im DOI-Netz (z.B. Daten, Sprache, Image und Video) soll die Vergabe von Priorisierungen (QoS) möglich sein.

2.1.3.4 Sicherheitsanforderungen

Es ist eine gemeinsame und abgestimmte Sicherheitsstrategie zu realisieren und die einzuhaltenden Sicherheitsstandards sind durch eine zentrale Instanz im Rahmen der DOI-Governance zu definieren und zu überwachen. Nutzernetze, die sich an das DOI-Netz anschließen wollen, müssen die für ihr jeweiliges Sicher-heitsniveau festgelegten Zugangsvoraussetzungen erfüllen.

DOI sollte zusätzlich zu dem durch das Netz bereitgestellten Sicherheitsniveau, Mechanismen für „Ende zu Ende“-Sicherheit für Fachverfahren zur Verfügung stellen.

Die kumulierten Anforderungen der sicherheitssensiblen Verfahren definieren das erforderliche Sicherheitsniveau des DOI-Netzes im Kern.

Es sind dem Bedarf angepasste, abgestufte Sicherheitsniveaus im Zugangsbe-reich bereitzustellen, die ausreichende Vertraulichkeit, Integrität und Verfügbar-keit für unterschiedlich eingestufte Fachverfahren bieten (z.B. unterschiedliche Anforderungen von Sicherheits- und Nicht-Sicherheitsbehörden).

Zusätzlich zu der Bereitstellung entsprechenden Sicherheitsniveaus durch das DOI-Netz sind von den Betreibern der Fachverfahren ebenfalls angemessene Si-cherheitsmaßnahmen umzusetzen.


Seite 30

Bei der Umsetzung des Vorhabens DOI sind die Anforderungen der nationalen Sicherheit zu beachten.

2.1.3.5 Anforderungen an Organisation und Betrieb

Der Netzwerkbetrieb ist keine Kernaufgabe der Verwaltung. Dennoch soll durch ein geeignetes Betreibermodell mit einem notwendigen Sourcinggrad bei gleich-zeitiger Wahrung von hoheitlichen Aufgaben der Betrieb einer ebenenübergrei-fenden Kommunikationsinfrastruktur sichergestellt werden.

Eine weitere Anforderung ist die Schaffung einer weitestgehenden Providerunab-hängigkeit.

Es soll eine zu starke Zentralisierung oder die Schaffung eines großen und unfle-xiblen DOI-Verwaltungsapparates vermieden werden.

Für das Betreibermodell ist eine zentrale und föderal zusammengesetzte Strate-gie- und Architekturgruppe vorzusehen.

Für den laufenden Betrieb sollte eine Aufteilung von zentralem und dezentralem Service Management möglich sein. Bedarfe an Netzwerk- und Basis-Infrastrukturdiensten sollten durch ein Anforderungsmanagement koordiniert wer-den, damit Skaleneffekte bei der Beschaffung oder Entwicklung von Portfolioele-menten erzielt werden.

Bei der Vergabe von Dienstleistungen ist die Wahrung der nationalen Sicherheit zu beachten.

2.1.3.6 Anforderung an eine Governance

Mit DOI soll die Standardisierung der Kommunikationsinfrastruktur vorangetrie-ben werden.

DOI soll ein Instrumentarium schaffen, das die Kosten transparent und verursa-chergerecht auf den Nutzer verteilen lässt. Das bedeutet, dass durch DOI ein att-raktives Preis-/ Leistungsverhältnis mit genügend Anreizen zur freiwilligen Nut-zung geboten werden soll.

Die vorgenannten Anforderungen an DOI zeigen im Kontext stark ausgeprägte Abhängigkeiten und Wechselwirkungen zwischen dem Profil der Fachverfahren, den strategischen Zielsetzungen und der zur Zielerreichung notwendigen Kom-munikationsinfrastruktur auf.

Diese Interdependenzen verlangen eine gemeinsame Steuerung der Aktivitäten und Prozesse in diesem für Deutschland strategisch wichtigen Bereich der IT.


Seite 31

2.2 Untersuchung weiterer Fachverfahren

In einer zweiten Phase wurden in Fortschreibung der Ergebnisse aus der ersten Betrachtung organisatorische, technische und Sicherheits-Anforderungen von geplanten und realisierten DOL-Vorhaben an die zukünftige Kommunikationsinf-rastruktur der öffentlichen Verwaltungen erhoben.

Im weiteren Verlauf des Vorhabens DOI werden die vorliegenden groben Anfor-derungen durch weitere Untersuchungen von Vorhaben, die sich in der Planung und Entwicklung befinden, komplettiert und detailliert. Im Fokus der Analysefort-führung stehen die im Aktionsplan Deutschland-Online priorisierten Vorhaben und weitere, für die Deutsche Verwaltung wichtigen zukünftigen E-Government Ver-fahren.

Folgende Vorhaben sind analysiert worden:

• Priorisierten DOL-Vorhaben

− Standardisierung,

− Personenstandswesen,

− Meldewesen,

− EU-Dienstleistungsrichtlinie (kurz EU-DLR).

Die Vorhabensbeschreibungen für die Deutschland-Online Vorhaben sind auf der Webseite www.deutschland-online.de zu finden.

• E-Government-Verfahren

− Gewerberegister (Vorhabensbeschreibung auf der Webseite www.deutschland-online.de )

− D-115 (Beschreibung zu finden auf www.bmi.bund.de )

− Elektronischer Rechtsverkehr (Beschreibung auf http://www.xjustiz.de/)

Die Ergebnisse der durchgeführten Erhebungen zu den genannten Fachverfah-ren werden gesondert dokumentiert.

2.2.1 Zusammenfassung der Anforderungen aus der Analyse der Fachverfahren

Im folgenden Abschnitt werden die von den untersuchten Fachverfahren genann-ten Anforderungen zusammengefasst.


Seite 32

2.2.1.1 Technische Anforderungen

Nachfolgende Punkte fassen die technischen Anforderungen der Fachverfahren an DOI zusammen:

• IT-Fachverfahren sind untereinander vernetzt und liefern Daten in In-formationssysteme und (Register-) Datenbanken. Die Integration von IT-Fachverfahren, auch über die föderalen Grenzen hinweg, nimmt zu. Für den Zugriff und die Nutzung gemeinsamer (Register-) Datenban-ken und Informationssysteme soll DOI eine Infrastruktur-Plattform von modular und wahlfrei angebotenen Netzwerk- und Basis-Infrastrukturdiensten zur Verfügung stellen.

• Eine ebenenübergreifende Vernetzung der Behörden und IT-Verfahren durch die Sicherstellung der Interoperabilität der beteiligten informationstechnischen Systeme soll mit dem Vorhaben DOI realisiert werden.

• Eine Deutschland-Online Infrastruktur benötigt ein abgestimmtes, strukturiertes, einheitliches und überlappungsfreies IP-Adresskonzept.

• Dazu wird ein abgestimmtes und konsolidiertes Namenskonzept (DNS Domains) benötigt.

• Die Behörden und IT-Verfahren sollen entsprechend ihres Bedarfs mit skalierbaren Bandbreiten sowie verschiedenen Service–Level-Klassen an die nationale Kommunikationsinfrastruktur angeschlossen werden können.

• Das Zusammenspiel von IPv6 und dem von vielen Fachverfahren ge-nutzten Transport-Standard OSCI muss im Rahmen des Vorhabens DOI berücksichtigt werden.

• Bereits zu einem frühen Zeitpunkt haben die untersuchten Fachverfah-ren exemplarisch Anforderungen an QoS-Parameter wie Latenzzeit, Jitter, Paketverlustrate und garantierten Datenduchsatz für ihre Kom-munikationsverbindungen definiert. Auf der gemeinsamen Kommuni-kationsinfrastruktur sollen verschiedene QoS-Klassen abgebildet wer-den können, die in Übereinstimmung mit den Anforderungen der Behörden und IT-Verfahren ausgewählt werden können.

• Das DOI-Netz soll Funktionen für die gesicherte, garantierte und prio-risierte Übertragung von Echtzeitdaten, VoIP und Video over IP bereit-stellen. Es sind eindeutige Definitionen für die Priorisierung unter-schiedlicher Datenkategorien (z.B. Daten, Sprache, Video) zu treffen.

• Im DOI-Netz sollen folgende, standardisierte Dienste bereitstehen:

− Sicheres Identitätsmanagement in Verbindung mit PKI-Nutzung

− Standardisierte Verzeichnisdienste (z.B. Behörden-, Dienste- und


Seite 33

Telefonverzeichnisse, „Zuständigkeitsfinder“).

− DVDV (als ein zentraler Kommunikationsdienst)

− Standardisierter Namensdienst DNS

− Asynchrone Kommunikationsdienste VPS und E-Mail

− Zeitdienste (Network Time Protocol, NTP)

− Mobile und multiple Zugangsdienste und -kanäle

Darüber hinaus sollen sichere Schnittstellen zum Internet realisiert werden.

2.2.1.2 Sicherheitsanforderungen

Zunächst sind grundsätzliche Sicherheitsanforderungen aufzunehmen. DOI muss die bereits eingangs beschriebene, sich verschärfende IT-Sicherheitslage be-rücksichtigen und dabei der Bedeutung der Kommunikationsinfrastrukturen der deutschen Verwaltung als kritische Infrastruktur Rechnung tragen. Vor diesem Hintergrund sind zum anderen die Schutzbedarfe der konkreten Fachverfahren zu betrachten. Die untersuchten DOL-Vorhaben und E-Government-Verfahren haben einen unterschiedlichen Schutzbedarf und stellen somit unterschiedliche Anforderungen an die Sicherheitsmerkmale einer Deutschland-Online Infrastruk-tur. Der Schutzbedarf eines Verfahrens oder Vorhabens wird im Rahmen einer Schutzbedarfsanalyse ermittelt. Entsprechend dem ermittelten Schutzbedarf wird der BSI-Standard (100-1 bis 100-4) angewendet.

Ergebnis der Schutzbedarfsfeststellung ist die Zuordnung zu einer der vom BSI festgelegten Schutzbedarfskategorien („Undefiniert“, „Normal“, „Hoch“, „Sehr Hoch“).

Sehr Hoch Hoch Normal Undefiniert

Verfügbarkeit z.B. Fach-verfahren X

Vertraulichkeit/ Integrität

z.B. Fach-verfahren X

Tabelle 2: Schutzbedarfskategorien von Fachverfahren gemäß des Schutzbedarfes

In der Tabelle (siehe oben) ist beispielhaft eine Zuordnung eines imaginären „Fachverfahrens X“ zu den im „Maßnahmenkatalog sichere Netze“ des BSI defi-nierten Schutzbedarfskategorien dargestellt.

Die Zuordnung der Verfahren zu den Schutzbedarfskategorien muss durch den


Seite 34

fachlichen Verantwortlichen für das Fachverfahren sowie den Sicherheitsbeauf-tragten der Behörde oder des Fachverfahrens vorgenommen werden. Die Krite-rien für Verfügbarkeit, Vertraulichkeit und Integrität, nach denen die Zuordnung der Fachverfahren und Vorhaben zu den Schutzbedarfskategorien erfolgt, wer-den einerseits in den Verschlusssachenanweisungen (VSA) für Bund und Länder sowie anderseits im IT-Grundschutzhandbuch definiert. Bei einer länderübergrei-fenden VS-Kommunikation kommt die VSA des Bundes in der jeweils gültigen Fassung zur Anwendung.

Die Analysen der ausgewählten Fachverfahren haben ergeben, dass bisher zum großen Teil noch keine Schutzbedarfsermittlung für die Verfahren und Vorhaben stattgefunden hat. Die Durchführung einer Schutzbedarfsanalyse ist jedoch eine Voraussetzung, um die Sicherheitsanforderungen im Detail zu ermitteln und eine Zuordnung der Verfahren und Vorhaben zu den Schutzbedarfskategorien durch-führen zu können.

Von einem Fachverfahren wurde bereits ein mittlerer Schutzbedarf festgestellt. TESTA-D definiert die Notwendigkeit für eine Freigabe zur Übertragung von In-formationen mit dem Einstufungsgrad VS-NfD oder vergleichbarer Bewertungen.

Für alle ausgewählten Fachverfahren, für die noch kein Schutzbedarf ermittelt wurde, sind Sicherheitsmaßnahmen aus den Schutzbedarfsanalysen der Fach-verfahren abzuleiten. Im BSI-Maßnahmenkatalog für sichere Netze werden die technischen und organisatorischen Maßnahmen für die Umsetzung der Sicher-heitsklassen beschrieben (siehe Anlage: „Katalog der Standards und Optionen für Verwaltungsnetze“).

Abgeleitet aus diesen Beschreibungen im Katalog wird für DOI eine anforde-rungsgerechte Sicherheitsarchitektur entwickelt werden, auf die die benötigten Schutzbedarfskategorien abgebildet werden können.

Weiterhin wird ein stringentes Berechtigungs- und Identitätsmanagementkonzept benötigt. Es sollten Basismechanismen für eine „Ende zu Ende“-Sicherheit von Fachverfahren zur Verfügung gestellt werden (z.B. für OSCI Transport, PKI, Kryp-to-Technik).

Darüber hinaus ist eine Sicherheitsstrategie zu entwickeln und umzusetzen, die mit den angebundenen Behörden und Einrichtungen abgestimmt ist. Für die Defi-nition, Fortschreibung und Überwachung der Sicherheitsstrategie wird ein geeig-netes Gremium benötigt.

2.2.1.3 Organisatorischen Anforderungen

Nachfolgende Punkte fassen die organisatorischen Anforderungen an die Deutschland-Online Infrastruktur zusammen:

• Die gemeinsame und abgestimmte Kommunikationsinfrastruktur soll einen flächendeckenden Zugang für die Verwaltungen und Behörden


Seite 35

in Deutschland ermöglichen.

• Aus Sicht der Fachverfahren und Vorhaben soll es eine Organisation bzw. Organisationseinheit geben, die diese Kommunikationsinfrastruk-tur für die Verwaltungen in Deutschland auf- und ausbaut.

• Die Fachverfahren nutzen die Kommunikationsinfrastruktur für den notwendigen Datentransport und Datenaustausch und können bereit-gestellte Dienste von der DOI-Organisation in Anspruch nehmen. Der Betrieb einer Kommunikationsinfrastruktur wird von den Fachverfahren und Vorhaben nicht als deren eigene Aufgabe angesehen.

• Es ist ein geeignetes Betreibermodell für die nationale Kommunikati-onsinfrastruktur und Dienste zu wählen, welches die Notwendigkeiten für einen effizienten zentralen Betrieb berücksichtigt und gleichzeitig eine gemeinsame Steuerung unter den Bedingungen der bundesstaat-lichen Ordnung ermöglicht.

• Die Bereitstellung von verbindlichen Standards und Regeln für die Ar-chitektur, den Betrieb und die Nutzung der Kommunikationsinfrastruk-tur sowie die Anbindung von Behörden und Verwaltungen und deren Fachverfahren ist sicherzustellen. Ein Verfahren für die Entwicklung von Standards soll in einem hierzu zu etablierendem Gremium entwi-ckelt werden.

• In der Betreiberorganisation für das DOI-Netz soll es eine Instanz für Change- und Problemmanagement (mit klarer Rollenverteilung) ge-ben.

• Innerhalb der DOI-Organisation soll ein kontinuierlicher Verbesse-rungsprozess mit regelmäßiger Technologie- und Sicherheitsüberprü-fung für die Kommunikationsinfrastruktur etabliert werden. Hierauf muss bei der organisatorischen Ausgestaltung entsprechend Rück-sicht genommen werden.

• Die bereitgestellten DOI-Services sind in einem Warenkorb mit defi-nierten Serviceklassen und Preisen zu hinterlegen. Für die vereinbar-ten Services sind SLAs mit definierten Qualitäten zu vereinbaren.

• Die DOI-Organisation soll die Verantwortung für die Entwicklung, Um-setzung und Fortschreibung eines übergeordneten IP-Adressmanagements sowie DNS-Namenskonzeptes übernehmen.

• Die untersuchten Fachverfahren nutzen herstellerunabhängige und in-novative Technologien wie SOA, OSCI, Webservices sowie offene Standards und Schnittstellen. Die gemeinsame Kommunikationsinfra-struktur soll diese Technologien unterstützen und auf einer entspre-chenden Architektur aufbauen.

• Das DOI-Netz muss in Abstimmung mit den zukünftigen europäischen


Seite 36

Kommunikationsinfrastrukturen entwickelt werden.

• Es ist eine zentrale Instanz im Rahmen der DOI-Governance zu schaf-fen, die einzuhaltende Sicherheitsstandards definiert und ihre Einhal-tung überwacht.

2.3 Untersuchung weiterer Verwaltungsnetze

Die Verwaltungen in Deutschland haben eine Reihe von Netzprojekten und Neu-vergaben von Netzleistungen initiiert, um veränderten Anforderungen gerecht zu werden. Mögliche Einflussgrößen für die Weiterentwicklung von Netzen sind ne-ben den Fachverfahren Veränderungen in der Organisation, die Weiterentwick-lung des „Standes der Technik“ oder die notwendige Reaktion auf neue Heraus-forderungen der IT-Sicherheit. Vor diesem Hintergrund wurden Anforderungen an eine Kommunikationsinfrastruktur der Deutschen Verwaltung - in Ergänzung zur Analyse der Fachverfahren - anhand von aktuellen Ausschreibungen zu Verwal-tungsnetzen sowie durch die Befragung von Multiplikatoren in Verwaltungen und Wirtschaft ermittelt.

Die Vorgehensweise bei der Analyse und die aus den Ergebnissen resultierenden Anforderungen werden im Folgenden dargestellt.

2.3.1 Analyse ausgewählter Verwaltungsnetze

In der zurückliegenden Projektphase des Vorhabens DOI wurden Verwaltungs-netze analysiert, die gerade eine Neuvergabe durchgeführt haben, sich im Ver-gabeverfahren befinden oder eine Neuvergabe planen bzw. vorbereiten. Dies wa-ren vier Vorhaben von Ländern sowie eines aus dem kommunalen Bereich:

• Land Brandenburg:

Geplante Ausschreibung des Landesverwaltungsnetzes

• Land Mecklenburg-Vorpommern:

Geplante Ausschreibung des Netzes für Land und Kommunen

• Land Niedersachsen:

Geplante Ausschreibung des Netzes für Land und Kommunen

• Land Sachsen:

Aktuelle Ausschreibung des Landesnetzes mit Anschluss der Kommu-nen

• Kommunaler Bereich Rheinland-Pfalz:

Neuvergabe und Inbetriebnahme des Kommunalnetzes


Seite 37

Die Analyse erfolgte anhand von strukturierten Interviews. Dafür wurde ein Ge-sprächsleitfaden entwickelt, der folgende Themenbereiche umfasste:

• Vertragsgestaltung,

• Organisation und Betrieb,

• Architektur und

• IT-Sicherheit.

Ergänzt wurden die Interviews durch Fragen zu allgemeinen Netztrends sowie zu Erwartungen an die Entwicklung von Verwaltungsnetzen.

Bereits aus den ersten Interviews konnte ein relativ stabiles Bild gewonnen wer-den, das die künftige Gestalt von Verwaltungsnetzen beschreibt. Grundlegende Strukturen finden sich in nahezu identischer Form in allen analysierten Vorhaben. Die untersuchten Vorhaben unterscheiden sich aber auch in einer Reihe von Punkten – z. B. in der Verteilung von betrieblichen Aufgaben auf interne und ex-terne Organisationseinheiten oder in der Nutzung von Serviceklassen für Dienste und Technik.

Das entstandene Bild wurde in weiteren Gesprächen mit Vertretern aus Daten-zentralen sowie weiteren Einrichtungen der Öffentlichen Verwaltung diskutiert und konsolidiert. Folgende Gespräche wurden geführt:

• Hessische Zentrale für Datenverarbeitung

• KoopA ADV und TESTA-Managementgruppe

Darüber hinaus haben die Spezialisten der am Vorhaben DOI beteiligten Unter-nehmen IBM, EDS und CSC sowie weitere Experten der Beratungs- und IT-Branche Informationen zu aktuellen technologischen Trends im Netzwerkbereich eingebracht.

Sowohl die Gemeinsamkeiten der Verwaltungsnetze als auch die Unterschiede machen deutlich, dass es möglich und sinnvoll ist, gemeinsame Mindeststan-dards für Verwaltungsnetze in Deutschland zu definieren, ohne dadurch den Ges-taltungsspielraum für die spezifischen Belange einzelner Verwaltungen unange-messen einzuschränken. Durch geeignete Standards ist es einerseits möglich, die Interoperabilität der Verwaltungsnetze zu verbessern. Andererseits kann durch die gemeinsame Gestaltung und Nutzung von Netzen und Ressourcen wirtschaftlicher gehandelt und die Zukunftssicherheit der Verwaltungsnetze bes-ser geplant werden.

Als Ergebnis der Analysen konnten Gemeinsamkeiten und Variationsmöglichkei-ten von Verwaltungsnetzen allgemein dargestellt werden. Daraus – und aus wei-


Seite 38

teren technologischen, betrieblichen und Sicherheitsstandards – wurde ein Satz von Standards abgeleitet, die bei Verwaltungsnetzen typischerweise Verwendung finden sollten. Dieser „Katalog der Standards und Optionen für Verwaltungsnetze“ liefert für folgende Themen „verpflichtende“ Standards, Empfehlungen und Hand-lungsoptionen:

• Vertragsgestaltung:

− Typen von Vertragspartnern,

− Aufteilung in mehrere Lose,

− Vertragslaufzeit/Verlängerungsoptionen,

− Vertragsanpassung und -änderung

• Organisation und Betrieb:

− Organisationsstruktur,

− Schnittstellen,

− Prozessmodell,

− Betriebshandbuch,

− Benutzerunterstützung (Help Desk/Service Desk),

− Dienstgütevereinbarungen (Service Level Agreements),

• Technik:

− Netzarchitektur (Backbone, Access-Bereich),

− Netzkopplung,

− Virtualisierungstechniken,

− Dienstgüte/Service-Klassen,

− Datendienste (Transportprotokolle, Routing, Multicast),

− Zentrale Dienste (DNS, E-Mail, PKI, VPS),

• IT-Sicherheit:

− Sicherheitskonzept,

− Sicherheitsbeauftragter,

− Sicherheitsrelevante Prozesse,

− Technische Maßnahmen zur Netzwerksicherheit.

Dieser „Katalog der Standards und Optionen für Verwaltungsnetze“ soll als Grundlage für zukünftige Netzprojekte von öffentlichen Verwaltungen dienen.

Die wichtigsten Kernaussagen des Katalogs der Standards lassen sich - geglie-


Seite 39

dert nach den o.g. Themenbereichen - wie folgt zusammenfassen.

Vertragsgestaltung:

Für große logische Einheiten einer Lieferleistung gibt es einen einzigen rechtlich, kaufmännisch und fachlich verantwortlichen Partner („Generalunternehmer“).

Organisation und Betrieb:

Wichtigstes Element in der Organisation eines Verwaltungsnetzes ist eine zentra-le, verwaltungsseitige Einrichtung – sog. „logischer Betreiber“ – als Schnittstelle auf operativer Ebene zwischen Verwaltung und Lieferanten.

Das Verwaltungsnetz wird auf allen Ebenen – Technik, Dienste und Anwendun-gen – und in allen Bereichen – Arbeitsplatz, LAN, WAN und Netzübergänge – anhand möglichst durchgängiger und standardisierter Prozesse betrieben.

Architektur:

Die Technologien für alle Ebenen - Netz, Dienste und Anwendungen - werden entsprechend des Standes der Technik eingesetzt, wobei sich in der Gestaltung Raum für mögliche künftige Entwicklungen findet.

IT-Sicherheit:

Entsprechend des Schutzbedarfs, der über die Netze transportierten Daten, sind angemessene organisatorische, betriebliche und technische Sicherheitsmaß-nahmen zu treffen, die den Anforderungen an Vertraulichkeit, Integrität und Ver-fügbarkeit der übermittelten Informationen gerecht werden.

2.3.2 Anforderungen aus der Analyse der Verwaltungsnetze

Der „Katalog der Standards und Optionen für Verwaltungsnetze“ charakterisiert Verwaltungsnetze. Die Standards sollen insbesondere auch auf die Gesamtheit der Verwaltungsnetze anwendbar sein, die im Rahmen von Deutschland-Online Infrastruktur gebildet und durch das DOI-Netz zusammengeführt wird.

Ein Abgleich der Mindeststandards mit den strategischen Anforderungen an ein DOI-Netz ergab, dass die Ergebnisse aus beiden Analysepfaden miteinander kompatibel sind. Einige wichtige Anforderungen finden sich direkt im „Katalog der Standards und Optionen für Verwaltungsnetze“ wieder, z. B. die Anforderungen an die Bereitstellung einer zentralen IT Service Management-Organisation.

Viele der strategischen Anforderungen lassen sich durch die ermittelten Stan-


Seite 40

dards konkretisieren. Beispielsweise spiegelt sich die wichtige Anforderung nach einer verbesserten Anbindung von Behörden und Verfahren in den Standards für Netzanbindungen wider.

Andere wichtige Anforderungen richten sich spezifisch an eine alle Verwaltungen übergreifende Netzstruktur und sind allgemeiner formuliert. Beispiele dafür sind die Anforderungen zur horizontalen und zur vertikalen Integration von Infrastruk-tur- respektive Fachverfahrensanbietern oder Anforderungen, im Netz angebote-ne Leistungen im Wettbewerb der Netzteilnehmer zu erbringen. Die Standards im Katalog sind derart gewählt, dass sie die Erfüllung der strategischen Anforderun-gen ermöglichen bzw. unterstützen. Im Falle der vertikalen und der horizontalen Integration bedeutet das z. B., dass die Standards Möglichkeiten für die direkte Vernetzung von Leistungserbringern vorsehen müssen.

2.3.2.1 Organisatorische und vertragliche Anforderungen

In diesem Abschnitt werden diejenigen Anforderungen an DOI betrachtet, die sich in den Mindeststandards für Verwaltungsnetze zu den Themen Organisation und Vertragsgestaltung widerspiegeln.

Die aus den Netzprojekten abgeleiteten zentralen Anforderungen an die organi-satorisch-vertragliche Gestaltung von Verwaltungsnetzen zielen einerseits auf klare und einfache Schnittstellen zwischen Verwaltungsseite und externen Liefe-ranten und andererseits auf entsprechend klar geregelte Zuständigkeiten beider Seiten. Darüber hinaus werden auch innerhalb der Verwaltung klare Zuständig-keiten benötigt.

Auf die DOI-Organisation bezogen ergeben sich damit folgende Rahmenbedin-gungen:

• Es wird eine einzelne, zentrale Organisation auf Seiten der Verwaltung benötigt, die als „logischer Betreiber“ als Schnittstelle zwischen Ver-waltung und Lieferanten fungiert.

• Der „logische Betreiber“ spielt eine wichtige Rolle, sowohl in der DOI-Governance als auch bei der Umsetzung von Anforderungen der Nut-zer bzw. von Fachverfahren.

• Die DOI-Organisation soll Verträge mit Lieferanten abschließen kön-nen.

• Dabei sollten bei Bedarf angemessene Lose gebildet werden und de-finierte Prozesse bzw. Maßnahmen der Leistungs- bzw. der Vertrags-anpassung vereinbart werden.


Seite 41

2.3.2.2 Technische und betriebliche Anforderungen

Das künftige DOI-Netz wird eine komplexe, nutzer- und ebenenübergreifende Inf-rastruktur sein. Die unterschiedlichen Ausgangssituationen und Rahmenbedin-gungen in den angeschlossenen Verwaltungen sollen beachtet werden. Dement-sprechend müssen für die Verwaltungsnetze durch Festlegung von Mindest-standards die Netzstrukturen und -übergänge definiert sowie Techniken und Dienste spezifiziert werden, um abgestimmte Betriebsstrukturen über Verwal-tungsgrenzen hinaus etablieren zu können. Für das DOI-Netz, für seine Über-gänge zu den Verwaltungsnetzen und für seinen Betrieb ergeben sich daher fol-gende Rahmenbedingungen:

• Die einzelnen Segmente des Gesamtnetzes – Nutzernetze, Zugangs-netze und Backbone – sind entsprechend den Definitionen des Kata-logs der Standards zu identifizieren:

− Das Nutzernetz ist das interne Netzwerk eines Nutzers (z.B. ein Landesverwaltungsnetz), welches die vorhandenen Infrastruktur-komponenten des betreffenden Anwenders umfasst.

− Das Zugangnetz ist die Strecke vom Nutzernetz zum Backbone (z.B. Glasfaserstrecke, Breitbandzugänge, etc.). Diese Strecke enthält den Zugangs-Router, der in der Regel vom Provider gelie-fert wird.

− Das Backbone ist die oberste Ebene in jedem hierarchischen Netzwerk-Architekturmodell. Es verbindet je nach Kontext die Kno-tenpunkte eines Providernetzes miteinander oder die Standorte ei-ner oder mehrerer vernetzter Organisationen.

• Für den Zugang zum DOI-Netz und die Nutzung von Diensten und Anwendungen sind verschiedene Netzwerkzugänge mit unterschiedli-chen Bandbreiten, Übertragungstechnologien und Kommunikations-protokolle zu ermöglichen.

• Um die unterschiedlichen Anforderungen der einzelnen Verwaltungen an die Qualität und Performance einer Anbindung an das DOI-Netz wirtschaftlich abdecken zu können, sollen verschiedene Service-Klassen für den Bereich des Zugangsnetzes in das DOI-Netz verfüg-bar sein.

• Für die Anbindung von Standorten soll eine bundesweite Konnektivität inkl. Betrieb der Zugangsgeräte angeboten werden.

• Für die Verwendung von IPv4 ist eine geeignete Form der Adressum-setzung (NAT) beim Übergang zwischen Nutzernetzen und Zugangs-netz vorzunehmen.

• Für IPv6 ist ein geeigneter Prozess zur Adressregistrierung (Beantra-gung bei IPv6-Gremium), Zuteilung (an Behörden) und Zuweisung


Seite 42

(DHCP, Vergabe an Rechner im LAN) zu definieren.

• Eine Integration von Sprache, Video und Daten soll über das DOI-Netz möglich sein. Dies beinhaltet sowohl die Kopplung von TK-Anlagen über das IP-Protokoll als auch die direkte Kommunikation zwischen VoIP-fähigen Endgeräten.

• Um den Anforderungen kritischer Dienste und Anwendungen gerecht zu werden, sollen mehrere Quality of Service (QoS) -Klassen mit einer geeigneten Festlegung der Qualitätsparameter im DOI-Netz vorliegen.

• Weiterhin sollen Fachanwendungen und Mehrwertdienste von spezia-lisierten Anbietern aus der Öffentlichen Verwaltung oder Service-Providern für alle DOI-Nutzer bereitgestellt werden können.

• Für das DOI-Netz soll ein Störungsbearbeitungsprozess (Incident Ma-nagement) definiert werden. Das Incident Management soll durch ei-nen Service Desk wahrgenommen werden, der in diesem Zusammen-hang die folgenden Aufgaben übernimmt:

− Aufnahme und Dokumentation sämtlicher Störungsmeldungen,

− Vorqualifikation der eingehenden Meldungen (Erstbewertung),

− Klassifizierung und Zusammenführung gleichartiger Störungen,

− Eskalation an die zuständigen Supporteinheiten,

− Nachverfolgung der Meldungen und kontinuierliche Information der Nutzer,

− Wiederherstellung der Serviceleistung und Aufzeichnung aller durchgeführten Aktionen sowie

− Formales Abschließen der Störung inkl. Nachprüfung oder Entlas-tung durch Nutzer.

• Der Service Desk soll sowohl organisatorische wie auch technische Schnittstellen für eine Zusammenarbeit mit anderen Service Desks anbieten. Dazu gehören unter anderem:

− die Regelung der Melde- und Eskalationswege,

− die Veröffentlichung der Kontaktinformationen,

− die Berücksichtigung der im „Katalog der Standards und Optionen für Verwaltungsnetze“ beschriebenen Vorgaben für das Format von Trouble Tickets sowie

− die Unterstützung eines Austauschs von Trouble Tickets mit ande-ren Systemen über eine entsprechende Plattform.

• Das DOI-Netz selber muss ein definiertes durchgängiges Sicherheits-niveau besitzen. Nutzernetze, die sich an das DOI-Netz anschließen


Seite 43

wollen, müssen die für ihr jeweiliges Sicherheitsniveau festgelegten Zugangsvoraussetzungen erfüllen.

2.4 Untersuchung des übergreifenden Netzes TESTA-D

In diesem Kapitel wird TESTA-D beschrieben. Es ist die einzige Kommunikations-infrastruktur Deutschlands, welche Behörden auf allen föderalen Ebenen flächen-deckend verbindet. Aus dieser Betrachtung werden im folgenden Kapitel Anforde-rungen an eine künftig zu erstellende Infrastruktur abgeleitet. Diese Anforderungen gehen über die heute vorhandenen Leistungsmerkmale in TESTA-D hinaus. Die Informationen zu TESTA-D sind von der TESTA-Management-Gruppe bereitgestellt und mit der Projektgruppe DOI des KoopA ADV abgestimmt worden. Einzelne Textpassagen aus dem Arbeitspapier der Pro-jektgruppe in Vorbereitung auf die Sitzung des KoopA ADV am 20. und 21.09.2007 sind vollständig übernommen worden.

2.4.1 Analyse des übergreifenden Netzes TESTA-D

TESTA-D ist als geschlossenes, sicheres Verbindungsnetz (Backbone) konzi-piert. An TESTA-D sind alle Bundesländer, ca. 80% aller Kommunen (direkt oder über Landesverwaltungsnetze) mit insgesamt ca. 1,5 Mio. Anwendern sowie die wichtigsten Bundesnetze mit ca. 190.000 Anwendern angeschlossen (u.a. IVBB und IVBV). Darüber hinaus stellt TESTA-D einen Zugang zum Europäischen Ver-bundnetz sTESTA zur Verfügung. Jeder Anwender hat dabei grundsätzlich Zugriff auf mehr als 130 Dienste und Fachanwendungen, welche von den rund 100 an-geschlossenen Verwaltungsnetzen zur Verfügung gestellt werden.

2.4.1.1 Organisations- und Betriebsmodell

Das Projekt TESTA-D wurde im Jahr 1998 auf Basis des TESTA-EU-Rahmenvertrags vom KoopA ADV initiert. 2006 wurde durch den KoopA ADV ei-ne „Managementgruppe TESTA-D“ zur nachhaltigen Absicherung des Betriebs und strategischen Weiterentwicklung von TESTA-D eingerichtet. Diese ist gemäß den Regeln des KoopA ADV organisiert und führt die Aufgaben der TESTA-Task-Force und der Projektgruppe TESTA fort. Die Managementgruppe nimmt folgen-de Aufgaben wahr:

• Strategische Begleitung des Vorhabens TESTA-D,

• Sicherstellung der Abstimmung zwischen KoopA ADV sowie den Betreiberorganisationen und Vertragspartnern (T-Systems, TESTA-Koordinierungstelle, Freistaat Thüringen, sTESTA),


Seite 44

• Weiterentwicklung und Umsetzung eines Sicherheitskonzeptes,

• Weiterentwicklung des Betreibermodells, eventuell durch eine Über-gangslösung,

• Vorbereitung einer möglichen Neuvergabe,

• Sicherstellung der Kommunikation und Abstimmung der Vorhaben DOI und TESTA.

Der KoopA ADV stellt das Beschlussgremium dar und ist von operativen Aufga-ben weitgehend befreit wohingegen die Managementgruppe TESTA-D steuern-den Einfluss besitzt. Sie bereitet Beschlusse des KoopA ADV vor und wird hierbei von der Koordinierungsstelle, dem Projektbüro des KoopA ADV, der Arbeitsgrup-pe IT-Strategie sowie dem Anwenderforum TESTA-D beraten und unterstützt.

Die Mitgliedschaft von Bund, Ländern und kommunalen Spitzenverbänden im KoopA ADV sorgt für eine hohe Akzeptanz und Bindung an die gemeinsam ge-troffenen Entscheidungen. Die Mitglieder nehmen ihre Interessen über die Ent-sendung weisungsgebundener Personen in die KoopA ADV-Gremien wahr.

Die Konnektivität des TESTA-Netzes wird von der T-Systems als Provider bereit-gestellt; das Netzwerk wird mit IT-Prozessen gemäß der IT Infrastructure Library (ITIL) betrieben. Die TESTA-Koordinierungsstelle steuert den Provider mit zwei Vollzeitmitarbeitern in der Hessischen Zentrale für Datenverarbeitung (HZD). Darüber hinaus sind fünf weitere Personen innerhalb des KoopA ADV mit TESTA-D bezogenen Aufgaben betraut, in Summe rund 1,5 Vollzeitäquivalente.

2.4.1.2 Rechtliche Rahmenbedingungen

Der KoopA ADV ist ein Gremium, in dem gemeinsame Grundsätze des Einsatzes der Informations- und Kommunikationstechnologien (IKT) und wichtige IT-Vorhaben in der öffentlichen Verwaltung einvernehmlich abgestimmt werden. Der KoopA ADV hat - als Gremium - keine eigene Rechtsform. Somit können weder selbstständig Vergabeverfahren durchgeführt noch rechtlich bindende Vereinba-rungen mit den Nutzern getroffen werden. Auf Basis eines Rahmenvertrages der EU-Kommission mit der T-Systems über das europäische Overlaynetz TESTA wurde im Auftrag des KoopA ADV durch den Freistaat Thüringen ein Rahmenver-trag zu TESTA-D abgeschlossen.

2.4.1.3 Finanzierungs- und Beteiligungsmodell

Das Netz TESTA-D war von Beginn an ausschließlich gebührenfinanziert. Im Rahmenvertrag sind die allgemeinen Konditionen fixiert. Auf Basis dieses Rah-menvertrages schließen Nutzer für ihre Anschlüsse jeweils unmittelbar Einzelver-


Seite 45

träge mit dem Provider T-Systems ab. Die Abrechnung der Gebühren erfolgt dann nach einem Port-Modell durch den Provider unmittelbar mit dem beauftra-genden Nutzer. Im Anschlusspreis sind auch die besondere Sicherheitsausstat-tung in Form von SINA-Technologie, die Nutzung der verfügbaren Mehrwert-dienste sowie der Finanzierungsbeitrag für die TESTA-Koordinierungstelle enthalten.

Der Gesamtumsatz betrug in 2006 insgesamt rund 2,8 Mio. € und setzt sich aus den von den jeweiligen Nutzern an T-Systems gezahlten Beiträgen zusammen. Berechtige Nutzer sind grundsätzlich Behörden und Einrichtungen des öffentli-chen Dienstes. Über die Zulassung entscheidet der KoopA ADV.

Alle anderen Personalkosten (z.B. für Management- und Projektgruppe sowie Ar-beitskreise) werden durch Abordnung bzw. Freistellung von den beteiligten Be-hörden übernommen.

2.4.1.4 Regularien und Standards

Der gewünschte Anschluss an TESTA-D und die Nutzung der damit verbundenen Dienste setzt die Zustimmung des Anschlusswilligen zu den Regeln des Deut-schen Verwaltungsnetzes, den „Rahmenbedingungen für den Einsatz und die Nutzung von Verwaltungsnetzen und des Verbundes im Deutschen Verwaltungs-netz (DVN)“, voraus Diese sind organisatorischer, technischer und sicherheits-technischer Natur. Sie umfassen insbesondere Informations-, Verhaltens- und Mitwirkungspflichten bezüglich vorhandener Fachverfahren, den Schutz der Infra-struktur sowie Beistellungen. Die technischen Standards sind aus Nutzersicht sehr einfach gehalten; die Schnittstelle auf Nutzerseite besteht nur aus einem E-thernetanschluss mit gegebener Adresse in einem Netzendgerät (Router und IPsec VPN Gateway), welches von der T-Systems vorkonfiguriert an den Nutzer geliefert wird.

2.4.1.5 Technologie und Diensteportfolio

Die heutige Netzwerkplattform von TESTA-D basiert auf MPLS (Multi Protocol Label Switching). Diese Weitverkehrstechnologie ermöglicht grunsätzlich Funkti-onalitäten wie ’any to any’ (vollvermaschte) Kommunikation sowie die Konfigura-tion geschlossener Benutzergruppen auf Basis virtueller privater Netze (VPNs).

Die Backbone-Verfügbarkeit beträgt 99,5%, die zugesagte Anschlussverfügbar-keit liegt zwischen 98,5% (einfache Anbindung) und 99,5% (doppelte Anbindung).

Als Plattform für sicheres E-Government bietet TESTA-D folgende Leistungen bzw. Dienste an:

• Sicherer Datenaustausch durch Datenverschlüsselung (IPsec mit SINA-Technologie) und den Aufbau logischer geschlossener Benut-


Seite 46

zergruppen (VPN) auf dem Netz des Providers

• Zentrale Mehrwertdienste für alle Nutzer sowie

• Zertifikatsdienste für digitale Signatur, Verschlüsselung und Authentifi-zierung für angeschlossene Nutzer.

Alle Dienste und Funktionen werden derzeit auf Basis des IPv4-Protokolls ange-boten. Aufgrund der sich stark überlappenden IP-Adress-Räume der angeschlos-senen Teilnehmer erfordert dies einen komplexen Mechanismus zur IP-Adress-Umsetzung, um die Kommunikation zwischen TESTA-D-Nutzern untereinander zu ermöglichen.

Für den TESTA-D-Access kommen derzeit als Zugangstechnologien Asynchro-nous Transfer Mode (ATM) und DSL/ ATM auf der Plattform T-ATM der Deut-schen Telekom zum Einsatz. Vereinzelt noch vorhandene Frame Relay Zugänge werden derzeit abgelöst. Durch die Nutzung der bestehenden Infrastrukturen auf Basis der Layer 2 Technologien kann sofort auf performante Netzwerke aufge-setzt werden. Die Entfernungen der Nutzerlokation zum nächstgelegenen Netz-knoten (Point of Presence, PoP) werden über Anschlussleitungen (Datendirekt-verbindungen, DDV, ATM-Verbindungen und DSL-Zugangsleitungen) realisiert.

Sowohl die Zugangsplattform als auch die MPLS-Routerplattform werden vom Netzmanagementcenter proaktiv überwacht und gemanaged. Störungen und Leistungseinschränkungen im MPLS-Backbone sowie auch im Zugangsnetz kön-nen schnell erkannt und deren Beseitigung umgehend begonnen werden.

Die Absicherung der Kommunikation der TESTA-D-Nutzer untereinander erfolgt durch die Verwendung BSI-zugelassener (VS-NfD) Krypto-Technologien (IPsec, SINA).

Dies ist in den Nutzerpflichten geregelt („Rahmenbedingungen für den Einsatz und die Nutzung von Verwaltungsnetzen und des Verbundes im Deutschen Ver-waltungsnetz (DVN)“). Für die unterschiedliche Behandlung der zu übertragenden Anwendungsdaten bietet die TESTA-D-Netzplattform (IntraSelect Classic MPLS Data Access – Basis-Netzplattform TESTA-D) vier verschiedene Classes of Ser-vice (CoS) an:

• General Purpose Class (GPC)

• Application Class (AC)

• Real Time Class (RTC)

• Voice Class (VC)

Derzeit wird nur GPC genutzt.

TESTA-D bietet heute auf Basis einer zentralen Dienste-/Serviceplattform folgen-de hochverfügbare Mehrwertdienste an:


Seite 47

• Adressauflösung (Domain Name Service, DNS),

• Mail Relay (E-Mail-Verteilung),

• Public Key Infrastruktur (PKI),

• JURIS (Gesetzessammlung) sowie

• einen Backup-Service für die Netzzugänge.

Alle Service-Leistungen sind dabei SLA-basiert (Help Desk, Entstörzeit, Dienst-verfügbarkeit).

2.4.2 Anforderungen aus der Analyse von TESTA-D

Nachfolgend werden die Anforderungen, die sich aus der Übernahme des TESTA-D Netzes in das geplante DOI-Netz ergeben, beschrieben.

2.4.2.1 Organisatorische Anforderungen aus TESTA-D

Für den Netzwerkbetrieb ist ein geeignetes Betreibermodell zu entwickeln, das den notwendigen Sourcinggrad bei gleichzeitiger Wahrung von hoheitlichen Auf-gaben definiert. Providerunabhängigkeit kann dabei durch Teilvergabe von Tran-chen bzw. Segmenten erreicht werden.

Als wesentliches Element der DOI-Governance wird ein Gremium für die Festle-gung von Architektur- und Technologiestandards benötigt, welches für die Aus-wahl und Definition der angebotenen Dienste verantwortlich ist und die fortlau-fende Technologieerneuerung sicherstellt. Um die bereits in TESTA-D grundsätzlich mögliche „any to any“-Kommunikation in DOI tatsächlich und flä-chendeckend zu implementieren müssen verbindliche Standards, Schnittstellen und Sicherheitsanforderungen definiert werden. Nur unter diesen Voraussetzun-gen wird es den angeschlossenen Nutzern möglich sein, auf alle angebotenen Verfahren der unterschiedlichen Verwaltungsebenen direkt und unkompliziert zu-zugreifen.

Für den laufenden Betrieb soll eine sinnvolle Aufteilung von zentralem und de-zentralem Service Management erfolgen. Bedarfe an Netzwerk- und Basis-Infrastrukturdiensten sollen über eine zentrale Service-Management-Stelle koor-diniert werden, damit Effizienzgewinne bei der Beschaffung oder Entwicklung von Komponenten durch entsprechende Planung und Koordination erzielt werden können.

Bei der Vergabe von Netzwerk-Carrier- und IT-Infrastruktur-Dienstleistungen sind die Anforderungen der nationalen Sicherheit zu beachten. Durch Einrichtung von Aufsichtsgremien in der DOI-Governance sind entsprechende Schutzvorkehrun-


Seite 48

gen und vertragliche Regelungen, z.B. in Bezug auf Offshoring zu treffen.

Für die Umsetzung einheitlicher Fachverfahren ist eine Trennung zwischen der fachlichen und der technischen Verantwortung möglich.

Durch eine vertikale Integration von Fachverfahren können große Synergien und Einsparungen erzielt werden. Hierzu kann eine „Best-in-Class“-Auswahl im Wett-bewerb getroffen werden. Darüber hinaus können durch die Einbindung leis-tungsstarker Infrastrukturdienstleister standardisierte IT-Services effizient und mit einer angemessenen Servicequalität erbracht werden.

2.4.2.2 Technische und betriebliche Anforderungen aus TESTA-D

Eine moderne, leistungsfähige und zukunftssichere Kommunikationsinfrastruktur soll auf Basis von Next Generation Netzwork (kurz NGN) bereitgestellt werden.

Die ITU definiert ein Next Generation Network (NGN) wie folgt:

„Ein NGN ist ein paket-basiertes Netzwerk, welches in der Lage ist, Dienste wie zum Beispiel IP-Telefonie und Video Conferencing zur Verfügung zu stellen, wo-bei die Servicefunktionen (wie z.B. Quality of Service Mechanismen) der ver-schiedene Breitbandtechnologien unabhängig von der darunter liegenden Trans-porttechnologie genutzt werden.“

Ein NGN bildet also die integrale Plattform, um zentralisierte Mehrwertdienste und Anwendungen standardisiert und mit den erforderlichen Service-Merkmalen zur Verfügung zu stellen.

Wenn das DOI-Netz auf der Grundlage eines NGN realisiert wird, kann den Nut-zern eine Backbone-Infrastruktur zur Verfügung gestellt werden, die zum einen den Zugriff auf zentrale Mehrwertdienste und Fachanwendungen geschlossener Benutzergruppen erlaubt. Zum anderen kann eine ’any to any’-Kommunikationsbeziehung der Nutzer innerhalb der jeweiligen Benutzergruppe umgesetzt werden. Die Verfügbarkeit eines DOI-Netz s soll 99,9% betragen, um auch Hochverfügbarkeitsanschlüsse von 99,5% - z.B. für Data Center - anbieten zu können.

Der Zugriff auf diese Infrastruktur soll über alle heute und auch zukünftig reali-sierbaren Zugangstechnologien möglich sein, bis hin zu Hochgeschwindigkeits-anbindungen im mehrfachen 100 MBit/s- bzw. Gigabit/s-Bereich. Dies wiederum erfordert, dass die DOI-Netz -Infrastruktur skalierbar sein muss. Durch einfache und redundante Anbindungskonzepte lässt sich eine Zugangsverfügbarkeit zwi-schen 98,5% und 99,5% Prozent erreichen. Performance und Hochverfügbarkeit des DOI-Netz s sollen sich an den jeweils höchsten Erfordernissen der zu nut-zenden Mehrwertdienste bzw. Fachanwendungen orientieren.

Die Deutschland-Online Infrastruktur soll die Kommunikation der angeschlosse-nen Netzwerke über alle föderalen Ebenen hinweg sicherstellen. Da die meisten


Seite 49

föderalen Netzwerke jedoch einen stark überlappenden IPv4-Adress-Raum auf-weisen, reichen die heute zur Verfügung stehenden klassischen IPv4-Adressumsetzungsmechanismen nicht aus, um den vorherrschenden und abseh-baren Anforderungen gerecht zu werden. Schon heute ist die komplexe Konfigu-ration der Adressumsetzung nur sehr aufwendig zu betreiben. Die Einführung ei-nes ausreichend großen IPv6-Adressraumes für die Öffentliche Verwaltung in Deutschland ist deshalb erforderlich. Gleichzeitig soll gewährleistet werden, dass die heutige IPv4-Kommunikationsinfrastruktur weiterhin unterstützt wird (analog TESTA-D-Funktionalität). Bei der Verwirklichung der DOI soll somit von Anfang eine IPv4/v6-(Dualstack)-Netzwerkfunktionalität unterstützt werden. Die Imple-mentierung einer IPv4/v6-Netzwerkarchitektur ermöglicht eine bedarfsorientierte Migration aller heute bestehenden Verwaltungsnetze über einen ausreichend langen Zeitraum hinweg - unabhängig davon, ob das DOI-Netz als Overlay-Netz fungiert oder ob Verwaltungsnetze (nach dem Freiwilligkeitsprinzip) zukünftig auf die Deutschland-Online Infrastruktur migriert werden.

Höherer Bandbreitenbedarf für das DOI-Netz ergibt sich zukünftig durch die Au-tomatisierung von Fachverfahren, durch die Ausweitung IT-gestützter Angebote für die Bürger (z.B. D-115), durch zentrale Registerverfahren, durch EU-weite Verwaltungskooperationen und ggf. durch das zusätzliche Angebot zentraler, gut skalierender Mehrwertdienste wie z.B. oder Datenbackups. Darüber hinaus wird das DOI-Netz als Übertragungsplattform Netzwerktelefonie ermöglichen.

In Übereinstimmung mit den Anforderungen des BSI an eine sichere Datenkom-munikation werden zugelassene Datenverschlüsselungsmechanismen einge-setzt. Für den sicheren Betrieb der Komponenten ist der IT-Grundschutz anzu-wenden. Weiterhin ist der Beschaffungsleitfaden des BSI zu berücksichtigen.

Die Realisierung des DOI-Netzes wird konform zu den Anforderungen des BSI an eine sichere Datenkommunikation erfolgen. Zu diesem Zweck werden unter an-derem Datenverschlüsselungsmechanismen eingesetzt. (z.B. IPsec-/ Krypto-Technologie).

Für den Einsatz von IPv6 müssen zur Verschlüsselung noch geeignete Produkte ausgewählt bzw. bereitgestellt und durch das BSI zertifiziert werden.

In DOI soll eine zentrale Public Key Infrastruktur zur Erzeugung, Verteilung, Ver-waltung und Validierung elektronischer Echtheitszertifikate und Signaturen be-reitgestellt werden. Dies gilt auch für den koordinierten Einsatz von Verschlüsse-lungszertifikaten.

Es sei an dieser Stelle darauf hingewiesen, dass beim Einsatz der IPsec-Tunnel-Technologie Skalierbarkeit und Performance der beschriebenen Funktionalitäten sichergestellt werden müssen. Im Falle der Realisierung eines hohen Verma-schungsgrades der Kommunikationsbeziehungen führt die Realisierung der IPsec-Tunnel-Verbindungen zu einer hohen Komplexität (z.B.: um 10 Standorte any to any miteinander zu verbinden, müssen 45 IPsec-Verbindungen konfiguriert werden).


Seite 50

Da die zukünftige Deutschland-Online Infrastruktur netzwerknahe Services wie QoS und DNS sowie zentrale Mehrwertdienste wie Mail Relay, PKI, DVDV etc. anbieten soll, kommt der Thematik Überprüfung bzw. Einhaltung von Service Le-vel Vereinbarung (SLAs) eine große Bedeutung zu. Noch nicht vorhandene je-doch benötigte SLAs sollen in Übereinstimmung mit den Anforderungen und Be-dürfnisse der Teilnehmer entwickelt, vereinbart und permanent überwacht werden.

Dazu sollen geeignete Werkzeuge für das Monitoring zur Verfügung gestellt, die internen IT-Prozesse ITIL-konform (Incident-, Change-, Problem-, Configuration- und Release-Management etc.)und ein Benutzerservice/Hotline (User Help Desk) zur Koodination der Aufgaben etabliert und angepasst werden. Im Ergebnis kön-nen Fehlersituationen so schon frühzeitig erkannt werden.

Um den Anforderungen an eine zukünftige Deutschland-Online Infrastruktur ge-recht zu werden, besteht die Option, diese Funktionalitäten auf einer heute be-reits bestehenden flächendeckenden Infrastruktur bereitzustellen.


Seite 51

3 SOLL-KONZEPT FÜR DIE DOI-GOVERNANCE

In den nachfolgenden Abschnitten wird die DOI-Governance beschrieben. Unter DOI-Governance wird im Folgenden die Governance einer künftigen DOI-Organisation und deren Einbettung in eine politische Verantwortung verstanden. Die DOI-Governance orientiert sich an "COBIT" (Control Objectives for Informati-on and Related Technology), dem vom IT-Governance-Institut der ISACA (Infor-mation Systems Audit and Control Association) erstellten und etablierten Stan-dard.

Von COBIT wird Governance wie folgt definiert:

„IT-Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstel-len, dass die Unternehmens-IT dazu beiträgt, die Organisationsstrategie und -ziele zu erreichen und zu erweitern.“

In Anlehnung an diese Definition werden in den nachfolgenden Abschnitten die Elemente „Organisationsstruktur“, „Aufgaben“ und „Prozesse“ der DOI-Governance beschrieben. Im anschließenden Abschnitt „Domänen der DOI-Governance“ wird zunächst der grundlegende Regelkreis für das Zusammenwir-ken der Elemente der Governance erläutert. Mit der DOI-Governance wird si-chergestellt, dass einerseits die Ziele von DOI an sich erreicht werden und ande-rerseits die hierzu eingesetzte IT an den übergeordneten Zielsetzungen von Deutschland-Online (DOL) ausgerichtet ist und die föderalen Rahmenbedingun-gen gewahrt werden.

3.1 Domänen der Governance

Durch die DOI-Governance wird gewährleistet, dass Ressourcen (Personal, An-wendungen, Information, Infrastruktur) verantwortungsvoll eingesetzt und Risiken angemessen betrachtet werden. Die relevanten Governance-Domänen inklusive der beteiligten Rollen und Verantwortlichkeiten werden konkret beschrieben. Das Regelwerk der Zusammenarbeit der organisatorischen Ebenen ist zu gegebenem Zeitpunkt z.B. in einer Verwaltungsvereinbarung festzulegen. Hierfür sind wesent-liche Aspekte in Form von Governance-Strukturen vorzubereiten.

Das Zusammenwirken der Ebenen in der DOI-Governance-Struktur erfolgt in der Form eines Regelkreises. Dieser wird im nachstehenden Schaubild veranschau-licht:


Seite 52

Entscheidungs-Domänen

Umsetzung, Ausführung

Zielsetzung / Vorgaben

Messung, Bericht, Kontrolle

Entscheidung

Ope

rativ

Pol

it. E

bene

Fac

hlic

hS

teue

rung

Entscheidungs-Domänen




Entscheidung Entscheidungs-Domänen




Entscheidung

Ope

rativ

Pol

it. E

bene

Fac

hlic

hS

teue

rung

Abbildung 5: Zusammenwirken der Ebenen der Governance-Struktur

Für die wirksame Verzahnung der Ebenen gilt generell der folgende Ablauf:

Die jeweils übergeordnete Ebene setzt die Ziele und erstellt Vorgaben, die sie mit den beteiligten darunterliegenden Ebenen abstimmt. Diese führen ihre Kernauf-gaben unter Berücksichtigung der definierten Ziele durch und überwachen ihre Zielerreichung, indem die definierten Kennzahlen gemessen und an die überge-ordnete Ebene berichtet werden. Die übergeordnete Ebene fordert dabei jeweils Entscheidungs-vorbereitende Informationen ein.

Der dargestellte Governance-Zyklus wird auf allen organisatorischen Ebenen implementiert. Hierdurch soll garantiert werden, dass zur Umsetzung des politi-schen Auftrags systemkonforme Entscheidungen getroffen werden und deren Ausführung kontrolliert erfolgt.

Die nachfolgende Detailbeschreibung der Ebenen der DOI-Organisationsstruktur richtet sich nach den Vorgaben des Governance-Zyklus aus.

3.2 Governance-Element Organisationsmodell

Um die in Kapitel 2 beschriebenen Anforderungen und Rahmenbedingungen ab-zudecken, wird die DOI-Governance als ein Vier-Ebenen-Organisationsmodell bestehend aus politischer, steuernder, fachlicher und operativer Ebene, vorge-schlagen.

Die nachstehende Abbildung zeigt den funktionalen Aufbau des DOI-


Seite 53

Organisationsmodells schematisch und stellt den Wirkungszusammenhang der vier Ebenen im Überblick dar:

Erarbeitet DOI-Richtlinien und -Standards

Politische Ebene

Steuerungsebene

Fachliche Ebene

Berichtet den Auftrags-status und treibt politische

Entscheidungen

Erteilt politischen Auftrag

Beauftragt

Koordiniert und überwacht

Provider / Carrier

For

dert

an

Ber

ät

Abstimmung

Stellt Einhaltung der Richtlinien sicher und berichtet

Operative Ebene

betreibt

DO

I-N

utze

r

DO

I-N

utze

r

DOI-IT-Dienstleister

Beauftragt

Erarbeitet DOI-Richtlinien und -Standards

Politische Ebene

Steuerungsebene

Fachliche Ebene

Berichtet den Auftrags-status und treibt politische

Entscheidungen

Erteilt politischen Auftrag

Beauftragt

Koordiniert und überwacht

Provider / Carrier

For

dert

an

Ber

ät

Abstimmung

Stellt Einhaltung der Richtlinien sicher und berichtet

Operative Ebene

betreibt

DO

I-N

utze

r

DO

I-N

utze

r

DOI-IT-Dienstleister

Beauftragt

Abbildung 6: Ebenen des DOI-Organisationsmodells

3.2.1 Politische Ebene

Die politische Ebene wird unter Zugrundelegung der gegenwärtigen verfassungs-rechtlichen Rahmenbedingungen, föderal besetzt und erteilt den politischen Auf-trag für die DOI-Organisation. Hier werden DOI-relevante Ziele verabschiedet, politische Fragestellungen erörtert, politische Aufträge für die Umsetzung an die Steuerungsebene erteilt und der Erfüllungsgrad der politischen Zielsetzungen ü-berprüft. Ferner werden auf dieser Ebene Beschlussvorlagen der Steuerungs-ebene diskutiert und verabschiedet. Gemäß den Bestimmungen des Aktionsplans „Deutschland-Online“ erhält die politische Ebene während des Projektzeitraumes turnusgemäß, mindestens einmal jährlich, einen Statusbericht über den Zielerrei-chungsgrad des Vorhabens DOI. Dies kann über den Projektzeitraum hinaus fortgeführt werden, wenn aus dem Projekt eine DOI-Betreiber-Organisation ent-standen ist.

3.2.2 Steuerungsebene

Die Steuerungsebene beauftragt sowohl die fachliche als auch die operative E-


Seite 54

bene. In diesem Rahmen wird u.a. der Generalauftrag an die fachliche Ebene er-teilt, die Verantwortung für Richtlinien und Standards bezüglich der zentralen Fachthemen zu übernehmen. Der Auftrag für die fachliche Verantwortung kann aber auch an die operative Ebene gehen. Dann sollte es eine fachliche Ebene in Form einer Kontroll- und Coaching-Funktion außerhalb der operativen Ebene zu-sätzlich geben.

Die Verantwortung für das Management des DOI-Netzes und des DOI-Portfolios wird der operativen Ebene unter der Maßgabe übertragen, die von der Fachebe-ne definierten und durch die Steuerungsebene erlassenen Richtlinien und Stan-dards konsequent einzuhalten.

Im Rahmen dieser Aufgabenverteilung berichten sowohl die fachliche als auch die operative Ebene in Grundsatzfragen und Problemsituationen unmittelbar an die Steuerungsebene. Die Steuerungsebene erstattet der politischen Ebene tur-nusmäßig Bericht über den Grad der Zielerreichung und legt Vorschläge zur Be-schlussfassung vor.

3.2.3 Fachliche Ebene

Auf der fachlichen Ebene erfolgt die Erarbeitung von Richtlinien und Standards, welche unter der Koordinierung und Verantwortung der so genannten Fachboard-Steuerung in die Entscheidungsvorlagen einfließen. Zur Wahrnehmung der fach-lichen Aufgaben werden drei Arbeitsgruppen als Fachboards eingerichtet, die je-weils von einem Fachboard-Leiter geführt werden. Als Fachboards fungieren:

• Strategie- & Architektur-Board,

• Sicherheits-Board und

• Service-Management-Board.

Die Fachboard-Leiter setzen zur Bearbeitung der beauftragten Themenstellungen ihrer Boards jeweils verantwortliche Personen als Fachteam-Leiter ein; diese be-arbeiten ihre Themenstellungen gemeinsam mit ihren Teams. Das Fachboard bedient sich dabei ggf. verwaltungsinterner oder externer Kompetenzen und be-zieht die operative Ebene mit ein. Die durch die Fachboards erarbeiteten Vorga-ben und Standards werden zunächst mit der operativen Ebene abgestimmt. Im Ergebnis dieser Abstimmungen wird entweder ein von der operativen Ebene ge-billigter Vorschlag der übergeordneten Steuerungsebene zur Beschlussfassung vorgelegt oder - wenn keine Einigung erzielt werden kann - eskaliert die Fach-ebene den Vorschlag an das Steuerungsgremium.

Im Folgenden wird die Aufgabenstellung der Fachboards grob skizziert:

Im Board „Strategie und Architektur“ erfolgt die inhaltliche Auseinandersetzung mit Fragestellungen zu den strategischen Vorgaben für das DOI-


Seite 55

Dienstleistungsportfolio, die Entwicklung von Strategien und Vertriebskanälen zur Steigerung der „Marktdurchdringung“ (Gewinnung von neuen Nutzern) und die Erarbeitung strategischer Vorgaben für die Infrastruktur-Architektur (Plattformen, Standards).

Im Board „Sicherheit“ werden Vorgaben für die Erstellung und Fortschreibung von Sicherheitsrichtlinien und -standards erarbeitet. Des Weiteren werden Vorgaben entwickelt, mit deren Hilfe Anforderungen an die Kontinuität der Geschäftspro-zesse ermittelt, operationale Risiken identifiziert und bewertet sowie Fähigkeiten zum Wiederanlauf nach einer Katastrophe festgestellt werden können.

Das Board “Service-Management“ fokussiert auf die strategischen Ziele und An-forderungen, die Service-Level-Aspekte zum Gegenstand haben, wie z.B. Leis-tungsmerkmale und Servicestandards.

Bei unauflösbaren Interessenkonflikten zwischen den Fachboards entscheidet die Fachboard-Steuerung.

Standard-relevante Fragestellungen und Einwände von DOI-Nutzern bzw. von der operativen Ebene werden nach einem festgelegten Verfahren an die fachliche Ebene herangetragen. Über die weitere Behandlung entscheidet die Fachboard-Steuerung. In Fragen besonderer Bedeutung, besonderen Ausmaßes (z.B. bei Eskalationen) oder besonderer Auswirkung führt sie die Entscheidung durch An-rufung der Steuerungsebene herbei.

Die nachfolgende Abbildung stellt die Einbindung der fachlichen Ebene in das DOI-Organisationsmodell und die innere Ausgestaltung grafisch dar:


Seite 56

Fachliche Ebene (IT-Fachboards):

Inhaltliche Fachboard-Steuerung

Service-Management-

Board

Strategie- & Architektur-

Board

Sicherheits-Board

Die Boards erarbeiten die Richtlinien und Standards.Änderungsanträge werden über ein festgelegtes Verfahren

geprüft und Entscheidungen getroffen.

Erarbeitet DOI-Richtlinien und

-Standards

Operative Ebene

Politische Ebene

Steuerungsebene

AbstimmungAbstimmung

Beauftragt Entwicklung von DOI-Richtlinienund -Standards

Abbildung 7: DOI-Richtlinien und -Standards durch IT-Fachboards

3.2.4 Operative Ebene

Die vierte Ebene wird vollständig durch die zu etablierende DOI-Organisation ab-gebildet, welche als operative Instanz alle Funktionen und Aufgaben der Be-triebssteuerung wahrnimmt. Diese Aufgaben auf operativer Ebene bestehen ei-nerseits in der Steuerung und Koordination der verschiedenen DOI-Dienstleister, zu denen sowohl öffentlich-rechtliche und ggf. privatwirtschaftliche Fach- und Inf-rastruktur-Dienstleister als auch Netzwerk-Provider und Carrier zählen. Anderer-seits gestaltet sie das Kundenmanagement und die Servicevereinbarungen mit den Kunden (den Öffentlichen Verwaltungen, die das Leistungsportfolio der DOI-Organisation nutzen). In diesem Rahmen nimmt die operative Ebene auch die Anforderungen der DOI-Nutzer auf und berät sie in grundsätzlichen Fragen des Netzbetriebes.


Seite 57

3.3 Governance-Element Aufgaben

Die Strukturierung der Aufgaben und Funktionen des DOI-Organisationsmodells basiert auf der Grundlage des international anerkannten, komponentenbasierten vollständigen Funktionsmodells für IT-Servicedienstleister (Component Business Model für IT-Serviceprovider, CBM4ITSP). Sie werden in diesem Kapitel mit ihren grundlegenden auf die Belange der DOI adaptierten Ausprägungen beschrieben.

3.3.1 Kernaufgaben innerhalb von DOI

Die nachstehende Abbildung stellt die Kernaufgaben im Überblick dar. Diese Kernaufgaben können nicht ausschließlich der operativen Ebene zugeordnet wer-den. Vielfach werden diese Kernaufgaben durch einzelne Ebenen bzw. im Zu-sammenspiel der Ebenen des DOI-Organisationsmodells erbracht.

Fachverfahrens-Dienstleister

Infrastruktur-Dienstleister

Provider/Carrier

IT-DienstleisterDOI-Kernaufgaben

Koordiniert und überw

acht

Verwaltungsnetz-betreiber

DOI-Nutzer

RZ-Betreiber

Ber

ät u

nd n

imm

t Anf

orde

rung

en a

uf

Nutzer von Fach-verfahren, die über

DOI betrieben werden

• Strategie-Management

• Dienste-Portfolio-Management

• Architektur-Management

• Sicherheits-Management

• Service-Management

• Finanzmanagement

• Management und Controlling der Standards

• …

Kun

den-M

anage

men

t Partne

r-Managem

ent

Abbildung 8: DOI-Kernaufgaben

In der nachfolgenden Tabelle sind die Kernaufgaben detaillierter beschrieben:

Kernaufgabe Aufgaben

Strategie-Management

Langfristige, strategische Geschäftsplanung, abgestimmt auf die Vorgaben einer die DOI-Organisation steuernden Ebene (und damit z.B. integriert in die Deutschland-Online-Strategie) Anbahnung politischer und strategischer Grundsatzent-scheidungen

Diensteportfolio-Management

• Ausrichtung, Definition, Gestaltung des Dienste-Port-folios

• Vorgaben zur Erfolgskontrolle der bereitgestellten Dienste


Seite 58

Kernaufgabe Aufgaben

• Fortschreibung des Diensteportfolios in Bezug auf ver-änderte Anforderungen

• Make or Buy - Entscheidungen

Architektur-Management (& Innovations-Management)

• Entwicklung von Architektur-Richtlinien und Standards • Infrastruktur-Roadmap und -Masterplanung • Prüfung innovativer Technologien

Sicherheits-Management

• Entwicklung von sicherheitsrelevanten Richtlininen, -Standards und -Prinzipien

• Identifikation und Bewertung operationaler Risiken • Feststellung des aktuellen Bedarfs an Fähigkeiten zum

Wiederanlauf nach Katastrophen • Sicherstellung der Einhaltung der Richtlinien und Stan-

dards (Sicherheits-Controlling)

Service-Management

• Definition von Servicestandards und Leistungs-merkmalen

• Festlegen der Fertigungstiefe für einzelne Produkte und Services

• Definition von Rahmenvorgaben für das Service-Level-Management

Finanz-management

• Strategische Vorgaben zu Finanzierung, Beteiligungen und Kooperationen

• Bereitstellung eines leistungsbasierten Verrechnungs-modells für die DOI-Dienstleistungen

• Vergabe-, Vertrags-, Finanz- und Beteiligungs-Management

• Abrechnung geleisteter Services • Controlling, Management und Reporting über die Fi-

nanzen

Kunden-Management

• Entwicklung von Rahmenvorgaben für das Kundenma-nagement

Partner-Management

• Entwicklung von Rahmenvorgaben für das Partnerma-nagement

Tabelle 3: Ausgewählte DOI-Kernaufgaben

Die Verantwortung für diese Kernaufgaben liegt in der Steuerungsebene; die fachliche und die operative Ebene wirken entsprechend ihres Auftrages mit.


Seite 59

3.3.2 Aufgaben der DOI-Organisation

Im Folgenden werden die Aufgaben und Funktionen der DOI-Organisation in Be-zug zu den oben dargestellten Kernaufgaben im Überblick beschrieben:

Aufgabenbereich Aufgaben/Funktionen

Leitung Die Leitung der DOI-Organisation ist zentraler Ansprech-partner sowohl für die Steuerungs- als auch für die fachli-che Ebene. Die Leitung berichtet an die Steuerungsebene.

Betriebssteuerung Die Betriebssteuerung übernimmt die wichtigsten Steue-rungs-Prozesse, wie u.a. Kunden-Management, Partner-Management, Controlling sowie Beschaffung und Perso-nal. Weitere Aufgaben sind die Mitwirkung in den Bereichen Strategie und Diensteportfolio sowie die Sicherstellung der vereinbarten Service-Levels (Ermittlung, Verhandlung, Implementierung und Messung von SLA-basierten Leis-tungsdaten).

Standards, Technik und Sicherheit

Dieser Aufgabenbereich verantwortet die Mitwirkung an der Erstellung und Pflege technischer Standards und Si-cherheitsrichtlinien, in Abstimmung mit den Fachboards und die technische Ausschreibungs-Begleitung. Weitere Aufgaben sind Implementierung, IT-Support, Infrastruktur-Bereitstellung sowie ggf. Testlabor-Dienste.

Recht Zu den Aufgaben im Bereich Recht zählen die Unterstüt-zungsfunktionen für Vergabe-Management, Festlegung von Rahmenbedingungen für den Einkauf, Klärung rechtli-cher Anforderungen und Regeln für Netze/Anschlüsse, AGBs, Vertragsrecht, Vertrags-Durchsetzung und Ver-tragscontrolling sowie die Erstellung, Pflege und Sicher-stellung der Einhaltung des Regelwerks für alle ange-schlossenen Netze

Finanzen und Beteiligungen

Zu den Aufgaben in diesem Bereich zählen Vertrags-Management sowie Controlling, Abrechnung geleisteter Services und Berichterstattung über die Finanzen und die Abstimmung mit den Fachboards.

Kommunikation Dieser Aufgabenbereich verantwortet die regelmäßige In-formation aller angeschlossenen Nutzer und anzuspre-chenden Zielgruppen über das Leistungsspektrum und


Seite 60

Aufgabenbereich Aufgaben/Funktionen

den Nutzen der Kommunikationsinfrastruktur.

Projektmanage-ment

In diesem Bereich werden Projektmanagement-Standards erstellt, gepflegt und deren Einhaltung durch Projektteams kontrolliert. Mit zunehmender Anzahl der durch die DOI-Organisation initiierten Projekte wird ein zentrales, über-geordnetes Multi-Projektmanagement- (z.B. Ressourcen-Management, Change-Management) aufgebaut, um früh-zeitig Synergiepotenziale und Abhängigkeiten zwischen den Projekten identifizieren zu können.

Kunden-Management

Dieser Aufgabenbereich ist verantwortlich für das Mana-gement von Kundenanforderungen und Benutzeranfragen und -aufträgen (z.B. Anbindung neuer Liegenschaften, Änderung des Bandbreitenbedarfs, Aufschaltung/ Abschal-tung von Diensten). Darüber hinaus liegt die etablierte Supportstruktur (User Help Desk) in der Verantwortung des Kundenmanage-ments. Das Kundenmanagement unterstützt die Leitung bei der Gewinnung von DOI-Nutzern.

Partner-Management

Das Partner Management verantwortet das Management der Provider- /Carrier-Verträge in Verbindung mit einer entsprechenden Performance Analyse. Darüber hinaus wird ein kontinuierlicher Vergleich von Dienstleistern ge-führt, der die Auswahl von Dienstleistern erleichtern soll.

Standard- und Si-cherheits-Controlling

Dieser Aufgabenbereich stellt die Richtlinienkonformität der DOI-IT-Dienstleister/Provider/Carrier durch Konformi-täts-Reviews (Audits) sicher und unterstützt in der techni-schen Ausschreibungsbegleitung.

Tabelle 4: Aufgaben der DOI-Organisation

3.4 Governance-Element Prozesse

Da es sich bei Deutschland-Online Infrastruktur um ein priorisiertes DOL-Vorhaben handelt, stellen die DOL-Gremien aus Sicht des DOI-Vorhabens eine übergeordnete Governance dar. Da das Vorhaben DOI durch den Aktionsplan Deutschland-Online in die DOL-Governance eingebunden ist, müssen alle Aktivi-täten im Zusammenhang mit DOI auf die DOL-Ziele ausgerichtet sein. Die Ein-bindung einer wie auch immer ausgestalteten DOI-Organisation in die DOL-Governance kann zu diesem Zeitpunkt nicht beschrieben werden. Die Entschei-


Seite 61

dung über die Governance einer solchen DOI-Organisation ist, unter Berücksich-tigung bestimmter Rahmenbedingungen, politisch zu treffen. Eine rechtsfähige DOI-Organisation wird auch über den Aktionsplan Deutschland-Online, der 2010 endet, hinaus Bestand haben. Insofern wird die DOL-Governance, die an den Ak-tionsplan gebunden ist, nur zeitlich begrenzt auch für eine DOI-Organisation gel-ten. Im Kontext der Beratungen in der Föderalismuskommission II zur Zusam-menarbeit von Bund und Ländern in der IT ist jedoch keine von bestehenden Strukturen unabhängige neue Governance zu entwerfen. Vielmehr bietet es sich an vorläufig die bereits bestehende DOL-Struktur zu nutzen. In Abhängigkeit von den Ergebnissen der Föderalismuskommission II ist zu entscheiden, wie eine Governance für DOI unter diesen eventuell veränderten Bedingungen gestaltet wird.

Im Weiteren werden die folgenden Governance-Prozesse näher ausgeführt:

• Strategie-Management-Prozess

• Diensteportfolio-Management-Prozess

• Architektur-Management-Prozess

• Sicherheits-Management-Prozess

• Service-Management-Prozess

Die Gemeinsamkeit dieser Management-Prozesse liegt darin, dass in allen Dis-ziplinen übergeordnete Richtlinien und Standards erstellt und gepflegt werden und deren Einhaltung sichergestellt wird. Ein für alle konzeptionell gültiger IT-Richtlinien-Management-Prozess (dies schließt Standards ein) ist in der nachfol-genden Abbildung mit einem Ablaufdiagramm dargestellt.


Seite 62

Fachboard-

Beauftragung

DOIBeschlussgremium

Beauftragtes Fachboard

Fachboard-übergreifende

Abnahme

Fachboard-Steuerung

EntgegennahmeAuftrags-

verantwortung

Erarbeitung Beschluss-

vorlage

Beschluss

DOI Organisation

Prüfung Beitrag & ggf.

Nachsteuerung

Prüfung und Fachboard-interne

Abnahme

Beauftragung Fachteam

Beauftragtes Fachteam

ErarbeitungEntwurf

Abstimmung

temporäre Rolle

InitiierungPflege,

Kommunikation und Kontrolle der Umsetzung

Auslöser

Antrag erstellen inkl. Beratung der

Anforderer

Antrags-Prüfung

Erarbeitung Beitrag

Antrag auf Beitrag

DOI-Org

Abstimmung zur Beauftragung der

DOI-Org.

Abstimmung

ggf.

Rüc

k-

De

lega

tion

Fachboard-Beauftragung

DOIBeschlussgremium

Beauftragtes Fachboard

Fachboard-übergreifende

Abnahme

Fachboard-Steuerung

EntgegennahmeAuftrags-

verantwortung

Erarbeitung Beschluss-

vorlage

Beschluss

DOI Organisation

Prüfung Beitrag & ggf.

Nachsteuerung

Prüfung und Fachboard-interne

Abnahme

Beauftragung Fachteam

Beauftragtes Fachteam

ErarbeitungEntwurf

Abstimmung

temporäre Rolle

InitiierungPflege,

Kommunikation und Kontrolle der Umsetzung

Auslöser

Antrag erstellen inkl. Beratung der

Anforderer

Antrags-Prüfung

Erarbeitung Beitrag

Antrag auf Beitrag

DOI-Org

Abstimmung zur Beauftragung der

DOI-Org.

Abstimmung

ggf.

Rüc

k-

De

lega

tion

Abbildung 9: IT-Richtlinien-Management-Prozess

Zur Erstellung der Richtlinien beauftragt die Steuerungsebene die Fachboard-Steuerung. Die Fachboard-Steuerung beauftragt anschließend das zuständige Fachboard. Das jeweilige Fachboard setzt - im Regelfall in der Fachboard-Linie - einen Verantwortlichen als Fachteam-Leiter ein, der sich interner oder im Aus-nahmefalle auch externer Kompetenzen bedient, um den Entwurf der Richtlinien zu erstellen.

Die DOI-Organisation kann zur jeweiligen Entwurfsfassung Beiträge leisten. Dazu ist eine entsprechende Beauftragung durch die Steuerungsebene - in Abstim-mung mit der Fachlichen Ebene - erforderlich. Der erarbeitete Beitrag wird dem jeweiligen Fachteam zur Prüfung vorgelegt, das den Beitrag prüft und diskutiert.

Das jeweilige Fachteam legt den Entwurf der DOI-IT-Richtlinen dem Fachboard zur fachboard-internen Abnahme vor. Nach dessen Abnahme wird die fachboard-übergreifende Abnahme im pflichtgemäßen Ermessen des Fachboard-Leiters eingeleitet, um u.U. relevante Konflikte mit anderen Fachboards zeitgerecht iden-tifizieren und klären zu können. Die Fachboard-Steuerung erstellt die jeweilige Beschlussvorlage, über die im Beschlussgremium auf der Steuerungsebene ent-schieden wird. Das Ergebnis des Beschlusses wird in Abstimmung mit der opera-tiven Ebene entsprechend kommuniziert und umgesetzt.

Änderungsanträge von DOI-Nutzern und Providern/Carriern werden über die DOI-Organisation erstellt und in den geregelten Management-Prozess eingesteu-ert. Der Richtlinien-Management-Prozess wird wie folgt auf fünf ausgewählte Go-vernance-Prozesse hin ausgeprägt:


Seite 63

3.4.1 Strategie-Management-Prozess

Der Prozess des Strategie-Managements entspricht generell der Beschreibung des IT-Richtlinien-Management-Prozesse. Das verantwortliche Board ist das Strategie- & Architektur-Board (Bereich Strategie). Prozess-Auslöser ist z.B. die zyklische Aktualisierung aufgrund veränderter übergeordneter sowie eigener Ziel-stellungen, auf Grund inhaltlicher Neuausrichtung.

3.4.2 Diensteportfolio-Management-Prozess

Der Prozess des Diensteportfolio-Managements entspricht generell der Beschrei-bung des IT-Richtlinien-Management-Prozesses. Das verantwortliche Board ist das Strategie- & Architektur-Board (Bereich Diensteportfolio). Prozess-Auslöser ist die Beauftragung der Steuerungsebene zur Aufnahme zu erbringender Diens-te bzw. ein interner Änderungsantrag oder ein von Nutzern/Providern/Carriern gestellter Antrag.

Das Management des Diensteportfolios umfasst den gesamten Lebenszyklus der Services und Produkte, das heißt von der Beschreibung über die Gestaltung und Anpassung bis hin zur Kontrolle des Erfolges und der Fortschreibung des Portfo-lios in Bezug auf veränderte Rahmenbedingungen und Erfordernisse. Die strate-gische Ausrichtung des Portfolios und die Überwachung des Erfolgs des Portfoli-os liegen in der Verantwortung der Steuerungsebene in Abstimmung mit der operativen Ebene.

Die Verantwortung für das operative Management der Services und Produkte wird für den gesamten Lebenszyklus von der Steuerungsebene an die operative Ebene übertragen. Die detaillierte inhaltliche Ausgestaltung und das operative Management des Diensteportfolios sind kontinuierliche Aufgabe der DOI-Organisation. Die eigentliche Dienst-Erstellung obliegt entweder den beauftragten Netzwerkprovidern/Carriern/Dienstleistern oder im Falle von anderen Mehrwert-diensten, die von einzelnen Mitgliedern angeboten werden, der jeweiligen Stelle in Bund, Land oder Kommune.

Kriterien für die Diensteportfolio-Priorisierung:

Pro Portfolioelement ist neben den Entwicklungs- und Betriebskosten auch die Variabilität der Betriebskosten zu bewerten, um das Risiko hoher Betriebskosten bei gleichzeitig geringem Volumen mit zu analysieren. Produkt- bzw. Servicekos-ten, Servicedauer/Laufzeit sowie der Aufwand der Service-/Produkt-Einführung inkl. Logistik sind weitere Kriterien. Pro Portfolioelement muss festgestellt wer-den, wie viele Wettbewerber in dem Bereich aktiv sind und wie deren Stärke und Produktreife einzuschätzen sind. Die Komplexität des Produktes (wie viele Einzel-Services zusammenspielen) und von wie vielen Lieferanten der Gesamtservice bzw. das Gesamtprodukt abhängig ist, ist zu prüfen. Bei der Einstufung eines


Seite 64

Services bzw. Produktes in seinem aktuellen Lebenszyklus ist weiterhin die Frage zu beantworten, wo das Produkt auf dem Markt (falls noch nicht im eigenen Port-folio) anzusiedeln ist.

Auf Basis eines regelmäßigen Berichts mit Nachweis des Wertbeitrags der Servi-ces und Produkte werden Vorlagen bzgl. Neuaufnahme und Abschaltung von Services und Produkten erarbeitet und der Steuerungsebene zur Entscheidung vorgelegt.

3.4.3 Architektur-Management-Prozess

Der Prozess des Architektur-Managements entspricht generell der Beschreibung des IT-Richtlinien-Management-Prozesses. Das verantwortliche Board ist das Strategie- & Architektur-Board (Bereich Architektur). Prozess-Auslöser ist die Be-auftragung der Steuerungsebene zur Entwicklung konzeptioneller Architektur-grundlagen bzw. ein interner Änderungsantrag oder ein von anderer Stelle ge-stellter Antrag.

3.4.4 Sicherheits-Management-Prozess

Im Bereich Sicherheit werden die sicherheitspolitischen Richtlinien und Vorgaben erstellt und es wird definiert, wie deren Durchsetzung und Einhaltung durch einen IT-Sicherheits-Management-Prozess sichergestellt werden kann. Dabei werden die Risiken proaktiv analysiert und bewertet sowie risikominimierende bzw. aus-schließende Maßnahmen berücksichtigt. In regelmäßigen Abständen erfolgen entsprechend BSI-Standard 100-1 bis ggf. 100-4 (noch nicht veröffentlicht) eine Überprüfung der etablierten Sicherheitsmaßnahmen und nach Abwägung eine Anpassung der Maßnahmen.

Der Prozess des Sicherheits-Managements entspricht generell der Beschreibung des IT-Richtlinien-Management-Prozesses.

3.4.5 Service-Management Prozess

Der Prozess des Service-Managements entspricht generell der Beschreibung des IT-Richtlinien-Management-Prozesses. Das verantwortliche Board ist das Servi-ce-Management-Board. Prozess-Auslöser ist die Beauftragung der Steuerungs-ebene zur Entwicklung von Service-Management-Richtlinien bzw. ein interner Änderungsantrag oder ein von anderer Stelle gestellter Antrag.

Die Verantwortung für die übergeordneten IT-Service-Management-Aufgaben des Betriebes liegt im Service-Management-Fachboard. Dieses richtet sich am defi-nierten Diensteportfolio aus und erstellt Vorgaben, um sicherzustellen, dass diese


Seite 65

Dienste gemäß den Anforderungen erbracht werden. Dazu gehört die sinnvolle Aufteilung von zentralem und dezentralem IT-Service-Management, d.h. zentral definierte Prinzipien und dezentrale Ausprägung und Zuordnung. Die Anforde-rungen an Netzwerk- und Basis-Infrastrukturdienste werden über das IT-Service-Management-Board koordiniert, damit Skaleneffekte bei der Beschaffung oder Entwicklung von Komponenten durch entsprechende Planung und Koordination erzielt werden. Die Anlehnung an ITIL als Best-Practice-Sammlung für Betriebs-prozesse bildet eine übergeordnete Vorgabe im Bereich des Service-Managements.


Seite 66

3.5 Umsetzung der Governance

Der Aufbau der DOI-Organisation mit den zuvor beschriebenen Aufgaben und zu etablierenden Prozessen erfolgt stufenweise in den drei Phasen:

(1) Initialisierung,

(2) Migration und

(3) Ausbau,

die in der anschließenden Abbildung grafisch dargestellt sind.

RegelorganisationAusbauphase (Teil-/Vollausbau)

Kernaufgaben:Vergabe DOI-Netz, Migration

TESTA-Strukturen,Überführung der Vorläufer- in die

Regelorganisation

Kernaufgaben:Betriebssteuerung, Management

ProjektorganisationInitialisierungsphase 2008

Kernaufgaben:Gründung Vorläuferorganisation, Vorbereitung Vergabe DOI-Netz

(Erstellung Leistungsbeschreibung/ Pflichtenheft), Fortschreibung von

Standards und Prozessen

Politik

Steuerung

Fachlich

Operativ

Politik

Steuerung

Fachlich

Politik

Steuerung

Fachlich

OperativOperativ

VorläuferorganisationMigrationsphase

Geschätzter Aufwand für geforderte funktionale Abdeckung in der VorläuferorganisationGeschätzter Aufwand für geforderte funktionale Abdeckung in der Regelorganisation

Gründung Start Vergabeverfahren

MigrationTESTA

Start Abschluss

Abbildung 10: Schrittweise Etablierung der DOI-Organisation

3.5.1 Initialisierungsphase

In der Initialisierungsphase werden durch die DOI-Projektorganisation die Vor-aussetzungen für eine DOI-Vorläuferorganisation und das Vergabeverfahren ge-schaffen. Darüber hinaus werden die Standards, Prozesse und DOI-Richtlinien fortgeschrieben, eine Leistungsbeschreibung und ein Pflichtenheft für die Verga-be erstellt , das Diensteportfolio detailliert und eine Konzeption zum Partner- und Kundenmanagement gemäß der DOI-Governance erarbeitet. Die 4 Ebenen der DOI-Governance werden unter Beachtung der Gremienstruktur von Deutschland-Online umgesetzt. Die vorgesehenen Aufgaben werden entweder durch Bediens-tete der öffentlichen Verwaltung oder durch temporäre, projektbezogen einge-


Seite 67

setzte externe Spezialisten ausgeführt. Die Vorläuferorganisation wird das Euro-päische Vergabeverfahren für das DOI-Netz verantworten. Das Vorhaben DOI wird bis zum Ablauf des Aktionsplans Deutschland-Online bestehen bleiben und mit der DOI-Organisation zusammenarbeiten.

Stellt Einhaltung der

Richtlinien sicher und berichtet

BeauftragtDOI-Projekt

Politische Ebene

Steuerungsebene

Fachliche Ebene


DOI-Nutzer

RZ-Betreiber

Nim

mt A

nfor

deru

ngen

auf



Provider/Carrier

IT-Dienstleister

Bew

ertung Diensteportfolio

DOI-Projektorganisation



Gründung Vorläuferorganisation

Vorbereitung Vergabe DOI-Netz(Erstellen Leistungsbeschreibung und Pflichtenheft)

Fortschreibung von Standards und Prozessen

Erstellen des Dienstekatalogs

Konzeption Kunden-Management

Konzeption Partner-Management


Abbildung 11: Aufgaben des Vorhabens DOI in der Initialisierungsphase

3.5.2 Migrationsphase

In der Migrationsphase hat die Vorläuferorganisation die Aufgabe, das Vergabe-verfahren zu betreuen und erfolgreich zu beenden, die Voraussetzungen für den späteren operativen Betrieb der Regelorganisation zu schaffen und die Gründung der Regelorganisation durchzuführen. Im Detail gehören zu den Aufgaben der Vorläuferorganisation die Etablierung ausgewählter Steuerungsprozesse (z.B. Partner- und Kundenmanagement) und der Start der Überführung/Migration von TESTA-D. Die Aufgaben der Vorläuferorganisation sind in der folgenden Abbil-dung dargestellt. Diese sind - soweit in dieser Phase benötigt – bereits gezielt in die Struktur der zukünftigen Regelorganisation eingegliedert, da letztere ja die Zielstruktur sein wird:


Seite 68

Stellt Einhaltung der

Richtlinien sicher und berichtet

Beauftragtoperative Ebene

Politische Ebene

Steuerungsebene

Fachliche Ebene



Provider/Carrier

IT-DienstleisterDOI-Vorläuferorganisation

Vergabe gem

äßS

tandards


DOI-Nutzer

RZ-BetreiberN

imm

t Anf

orde

rung

en a

uf



Vergabe DOI-Netz

Migration TESTA-Strukturen

Überführung der Vorläufer- in die Regelorganisation

Etablierung Kunden-Management

Etablierung Partner-Management


Abbildung 12: Aufgaben der DOI-Vorläuferorganisation

Wie in der Initialisierungsphase werden die Aufgaben entweder durch Bedienste-te der öffentlichen Verwaltung oder durch temporäre, projektbezogen eingesetzte Spezialisten aus der Wirtschaft ausgeführt. Die zu erwartenden Kosten für die DOI-Vorläuferorganisation hängen (wie auch schon die Kosten der Projektorgani-sation) in hohem Maße von der genauen Personalbesetzung der Vorläuferorgani-sation ab. Die Vorläuferorganisation geht in die Regelorganisation über. Für die-sen Übergang werden in der Migrationsphase alle rechtlichen, betrieblichen und organisatorischen Voraussetzungen geschaffen.

3.5.3 Ausbauphase

In der Ausbauphase übernimmt die Regelorganisation die Betriebssteuerung und das Management des DOI-Netzes.

Dabei ist dem Vollausbau des DOI-Netzes noch eine Stufe des Teilausbaus vor-geschaltet. Der Teilausbau des DOI-Netzes ist abgeschlossen, wenn die Konnek-tivität für die DOI-Nutzer, unter Einhaltung der gemäß des Katalog der Standards vorgesehenen Standards, sichergestellt ist. Das DOI-Diensteportfolio ist in der Teilausbaustufe auf Konnektivität und erste Basis- und Mehrwertdienste be-grenzt. Die Ressourcen werden gemäß der anfallenden Projektierungsaufwände für Infrastruktur-Anbindungen und der Integration der Netze skaliert. Die perso-nelle Ausgestaltung ergibt sich aus der überführten DOI-Vorläuferorganisation und der ggf. notwendigen Erweiterung durch weitere interne oder externe Res-sourcen. Im Vollausbau sind alle beschriebenen Elemente der DOI-Governance eingeführt und in Betrieb. Das DOI-Diensteportfolio ist im Vergleich zur Teilaus-baustufe vollständig ausgebaut und wird - in Übereinstimmung mit den Anforde-rungen der Kunden - kontinuierlich weiter entwickelt.


Seite 69

Abbildung 13: Aufgaben der DOI-Regelorganisation

3.5.4 Zeitplan zur Etablierung der Governance und DOI-Organisation

Die beschriebenen drei organisatorischen Phasen werden sich teilweise überlap-pen. Hervorzuhebende Meilensteine von DOI können der nachstehenden Abbil-dung entnommen werden:


Seite 70

PG DI

TESTA

DOI

– Kontinuierliche Kommunikation und Abstimmung mit DOI –

Vereinbarung verbesserter Leistungen und Preise mit T-Systems zum Rahmen-

vertrag mit Thüringen



Beginn Erarbeitung derVergabeunterlagen

(Pflichtenheft,Leistungsbeschreibung)



Vereinbarung PG mit DOI über TESTA


Aufbau einer Vorläufer-

Organisation


Organisation

Start Vergabeprozess


Beginn Migration TESTAmit den Funktionen der

MG TESTA


MG TESTA

06/07 12/0808/07 12/0908/08

Evaluierung derVorläufer-

Organisation


Organisation

MS1Typ Anfang

10.03.08

MS2 Typ Ende31.07.08

MS3Typ Anfang

05.09.08

MS5Typ Ende30.06.11

MS4Typ Anfang

06.04.09…12/11

PG DIPG DIPG DI

TESTATESTATESTA

DOIDOIDOI

– Kontinuierliche Kommunikation und Abstimmung mit DOI –












Organisation


Organisation




MG TESTA


MG TESTA

06/0706/07 12/0812/0808/0708/07 12/0912/0908/0808/08


Organisation


Organisation

MS1Typ Anfang

10.03.08

MS2 Typ Ende31.07.08

MS3Typ Anfang

05.09.08

MS5Typ Ende30.06.11

MS4Typ Anfang

06.04.09…12/1112/11

Abbildung 14: Meilensteinplan für DOI

Meilenstein Start-Datum Bezeichnung des Meilensteins

Meilenstein 1 März 08 Erarbeitung Vergabeunterlagen beginnt Meilenstein 2 Juli 08 Vorläuferorganisation existiert Meilenstein 3 September 08 Start Vergabeprozess Meilenstein 4 April 09 Migration beginnt Meilenstein 5 Juni 11 Evaluierung der Vorläuferorganisation

Das DOI-Projekt kann die DOI-Vorläuferorganisation durch die Übernahme von Aufgaben unterstützen. Den genauen Unterstützungsbedarf legt die DOI-Vorläuferorganisation jährlich neu fest. Insofern ist die nachfolgende Aufgabentei-lung zwischen der DOI-Vorläuferorganisation und dem DOI-Projekt als ein mögli-ches Modell zu werten.

In diesem Modell wird das Projekt die DOI-Vorläuferorganisation bis Ende 2010 unterstützen. Mit Gründung und Aufbau der Vorläuferorganisation können die Projektkapazitäten schrittweise reduziert werden. Eine erste Reduzierung kann mit Beginn des Personalaufbaus in der Vorläuferorganisation erfolgen. Nach Fer-tigstellung der Vergabeunterlagen ist eine zweite Reduzierung möglich. Sobald die Vergabeunterlagen fertig gestellt wurden, können die Schwerpunkte in Rich-tung Aufbau der Organisationsstrukturen und Prozesse gelegt werden. Diese werden in der Vorläuferorganisation vorbereitet und später in die Regelorganisa-tion übernommen. Die Projektorganisation hilft bei diesen Tätigkeiten und baut ih-


Seite 71

re Kapazitäten im Jahr 2010 weiter ab.

Im vorliegenden Modell wird das Projekt in den Jahren 2008 – 2010 u.a. folgende Aufgaben übernehmen:

• 2008:

− Fertigstellung der Vergabeunterlage (Leistungsbeschreibung, Pflichtenheft etc.)

− Fertigstellung der Feinkonzepte für die DOI-Architektur (NGN und IPv6), den DOI-Betrieb (Dienste-Potfolio und Betriebshandbuch) und Sicherheit

− Begleitung des Vergabeprozesses

− Vorbereitung der Gründung der Vorläuferorganisation und Überga-be der Vergabeunterlagen

− Berichterstattung zum Vorhaben DOI in der Deutschland-Online Lenkungsgruppe

− Sofern erforderlich, Einbindung der Gremien (KoopA ADV, Deutschland-Online Lenkungsgruppe, Runde der Staatssekretäre E-Government, Konferenz der Chefs der Staatskanzleien, Minis-terpräsidentenkonferenz) und Fortschreibung des Katalogs der Standards

− Planung und Vorbereitung der Migration TESTA-D

• 2009

− Fortschreibung des Katalogs der Standards und Abstimmung mit den Gremien

− Unterstützung der DOI-Vorläuferorganisation bei der Koordination der politischen Abstimmungen mit den o.g. Gremien

− Unterstützung der DOI-Vorläuferorganisation bei der Erarbeitung von Beschlussentwürfen für die Beschlussfassung zu DOI in ge-nannten Gremien

− In Abstimmung mit der DOI-Vorläuferorganisation Berichterstattung zu DOI in der Deutschland-Online Lenkungsgruppe

− Unterstützung der DOI-Vorläuferorganisation bei Migration von TESTA-D nach DOI

• 2010

− Unterstützung der DOI-Vorläuferorganisation bei der politischen Abstimmungen in den Gremien (KoopA ADV, Runde der Staats-sekretäre E-Government, CdS, MPK)

− Unterstützung der DOI-Vorläuferorganisation bei der Erarbeitung


Seite 72

von Beschlussentwürfen für die Beschlussfassung zu DOI in ge-nannten Gremien

− In Abstimmung mit der DOI-Vorläuferorganisation Berichterstattung zu DOI in der Deutschland-Online Lenkungsgruppe

Die DOI-Vorläuferorganisation übernimmt in den Jahren 2008 – 2010 u.a. folgen-de Aufgaben:

• 2008

− Personalgewinnung und Aufbau der Organisation nach Gründung

− Start Vergabeprozess und Durchführung der Vergabe

− Mit Unterstützung durch das DOI-Projekt Aufbau der DOI-Governance

− In Abstimmung mit dem DOI-Projekt , Planung und Vorbereitung der Migration TESTA-D

• 2009

− Abschluss der Vergabe mit Zuschlag

− Aufbau des Lieferanten-Managements

− Aufbau des Kunden-Managements

− Unterstützung bei der TESTA-D Migration (als Auftraggeber)

• 2010

− Betrieb der Vorläuferorganisation

Gegenwärtig wird die Personalausstattung der DOI-Vorläuferorganisation mit 9,2 Vollzeitäquivalenten geplant.

Zu einem Evaluierungszeitpunkt 2010 wird die Leistungsfähigkeit der Vorläufer-organisation überprüft. Im Ergebnis dieser Prüfung wird entschieden, ob die Vor-läuferorganisation in der bestehenden Rechtsform fortgeführt wird. Entspricht die Vorläuferorganisation den Anforderungen zum Evaluierungszeitpunkt, geht die Vorläuferorganisation mit ihrer Rechtsform in die Regelorganisation über. Ent-spricht die Vorläuferorganisation nicht den Anforderungen zum Evaluierungszeit, wird entschieden, ob eine neue Rechtsform für die Regelorganisation ausgewählt wird oder ob eine bestehende Organisation die Aufgaben der Regelorganisation übernehmen kann.

Die dargestellten Mechanismen für eine DOI-Governance sind so ausgelegt, dass sie unabhängig von der Größe der Organisation anwendbar sind. Aufgaben und


Seite 73

Größe der DOI-Organisation werden sich im Laufe der Zeit entwickeln. Am An-fang der Entwicklung können einige Elemente und Funktionen der DOI-Governance in den definierten unterschiedlichen Governance-Ebenen zusam-mengefasst werden. Beispielsweise können Aufgaben der Fachebene auf die operative und Steuerungsebene verteilt werden.


Seite 74

4 SOLL-KONZEPT FÜR DIE DOI-ARCHITEKTUR

Im anschließenden Abschnitt „Technische Architektur des DOI-Netzes“ werden zunächst die wesentlichen technischen Eckpunkte des DOI-Architektur-Designs - Next Generation Network und IPv4/v6 Dualstack - erläutert. Darauf folgt die Dar-stellung des durch das Vorhaben DOI weiterzuentwickelnden bzw. aufzubauen-den Diensteportfolios bevor in einem dritten Abschnitt denkbare Umsetzungssze-narien auf dem Weg zur Deutschland-Online Infrastruktur beschrieben werden.

4.1 Technische Architektur des DOI-Netzes

Die im Kapitel 1.2.2 aufgeführten Zielsetzungen des Vorhabens DOI können nur durch ein gestuftes Vorgehen erreicht werden. Zum einen muss allen Teilneh-mern eine durchgängige Konnektivität bereitgestellt werden, zum anderen ist die Harmonisierung der Teilnehmernetze durch Standards zu beginnen. Parallel dazu erfolgt die Implementierung von Mehrwertdiensten wie zum Beispiel E-Mai-Services, PKI, Verzeichnisdienste etc. und die Nutzbarmachung vertikal verteilter Rechenzentren-Leistungen (z.B. KFZ-Wesen, Meldewesen etc.). Dafür werden seitens DOI Standards bzgl. einzuhaltender Sicherheitsstufen, Service-Klassen und Leistungsstufen definiert. Nach letztlich durchzuführender Integration und Konsolidierung stellt sich die Deutschland-Online Infrastruktur als gemeinsame Dienste- und Anwendungsplattform für die DOI-Teilnehmer in der Ausbaustufe (Vollausbau) wie folgt dar:

Abbildung 15: Deutschland-Online Infrastruktur Ausbaustufe


Seite 75

4.1.1 Next Generation Network Architektur

Die technische Umsetzung diese Zieldesigns erfolgt dabei auf Basis einer Next Generation Networks (NGN) -Architektur (siehe auch Kapitel 2.4.2.2).

Die Internationale Telecommunication Union (ITU) – weltweit offiziell mit den technischen Aspekten der Telekommunikation beschäftigt – sieht in NGN ein Netzwerk mit einem Ende-zu-Ende-Dienst für Sprache, Daten und Multimedia, wobei die genutzten Übertragungstechnologien, entkoppelt von der Dienstschicht, die jeweils erfoderliche Dienstqualität ermöglichen müssen.

Die ITU hat in dieser NGN-Architektur zwei Schichten definiert; eine Transport-schicht und eine Dienstschicht. Die Dienstschicht wird in der Praxis in zwei weite-re Ebenen unterteilt, die Anwendungsebene welche die Applikationen (Fachan-wendungen) zur Verfügung stellt und die eigentliche Dienstebene. Diese Entkopplung ermöglicht, dass Fachanwendungen Dienste gemeinsam nutzen können. Zum Beispiel könnten verschiedene Fachanwendungen auf denselben Verzeichnisdienst zugreifen. Dadurch muß dieser Dienst nur einmal vorgehalten werden.

Die European Telecommunications Standards Institute (ETSI) Arbeitsgruppe TISPAN (Telecoms & Internet converged Services & Protocols for Advanced Networks) hat diese NGN-Spezifikationen um weitere Multimedia-Funktionen, -Komponenten und -Protokolle erweitert. Für diese so genannten IMS-Dienste (IP-Multimedia-Subsystem) wird DOI, auf Anforderung (z.B. D-115) die notwendigen Quality of Service- Dienstmerkmale zur Verfügung stellen. Dies gilt weiterhin für die erforderlichen Sicherheitsfunktionalitäten.

DOI wird als NGN-Architektur in dem oben beschriebenen, erweiterten Schich-tenmodell realisiert.


Seite 76

Engeräte:PCPDAMobiltelefonetc.

Zugang Land

Zugang Kommune

Zugang EU

Zugang Bund

Transportebene

Dienstebene(DNS, VPN, QoS, Mail-Relay, DVDV, PKI, IMS etc.)

Anwendungsebene(Bürgertelefon D-115, Meldewesen, Personenstandswesen etc.) S

ECURITY

IPv4/IPv6 DualstackBackbone

Engeräte:PCPDAMobiltelefonetc.

Zugang Land

Zugang Kommune

Zugang EU

Zugang Bund

Transportebene

Dienstebene(DNS, VPN, QoS, Mail-Relay, DVDV, PKI, IMS etc.)

Anwendungsebene(Bürgertelefon D-115, Meldewesen, Personenstandswesen etc.) S

ECURITY

IPv4/IPv6 DualstackBackbone

Abbildung 16: NGN-Architektur Deutschland-Online Infrastruktur

Die zukünftige DOI-Architektur - auf Basis des NGN-Modells - bildet die integrale Plattform, um Basis- bzw. Mehrwertdienste und Anwendungen zentralisiert und standardisiert dem jeweiligen DOI-Endteilnehmer über mehrere physikalische Netzwerkgrenzen hinweg zur Verfügung stellen zu können. Für die Bereitstellung der Dienste und Anwendungen werden entsprechende Dienstmerkmale definiert.

Die Auswahl der Basis- bzw. Mehrwertdienste, die in der DOI zur Verfügung ge-stellt werden sollen, erfolgt in Übereinstimmung mit den im Kapitel 2 erhobenen Anforderungen. Um diesen Anforderungen gerecht zu werden, müssen die erfor-derlichen Dienste und Qualitätsmerkmale nicht nur innerhalb von DOI, sondern auch in den daran angeschlossenen Verwaltungsnetzen des Bundes, der Länder und der Kommunen sowie - zumindest teilweise - in jeweiligen lokalen Netzen (LAN) zur Verfügung gestellt werden. Dabei ist zu beachten, dass es auf der Transportebene eine Vielzahl an Funk-, Kupfer- und Glasfaser-basierten Zu-gangsnetzen gibt, die zum gegenwärtigen Zeitpunkt bestimmte Dienstmerkmale, wie beispielsweise QoS, nicht anbieten. Beispiele für diese Zugangsnetze sind die Funkstandards GPRS/UMTS/Wireless LAN, die xDSL-Dienste sowie das öf-fentliche Internet.

Sicherheitsheitsanforderungen müssen auf jeder Ebene der DOI-Architektur be-rücksichtigt werden. Das notwendige Schutzniveau wird insbesondere durch An-wendung des BSI-Grundschutz erreicht werden, wobei das Netz auch den Hoch-verfügbarkeitsanforderungen der Fachverfahren genügen muss.

Im zentralen Bereich des DOI-Netzes werden die Anforderungen eines hohen


Seite 77

Schutzniveaus erfüllt. Für den Zugangsbereich werden im Einzelfall entsprechend den Anforderungen der angeschlossenen Netze und der dahinter liegenden Fachverfahren entweder ein normaler oder hoher Schutzbedarf festgestellt und durch Maßnahmen umgesetzt.

Die Bildung von Virtuellen Privaten Netzen (VPN) auf Basis vom BSI zugelasse-ner Kryptokomponenten in einer gemeinsamen, von allen Behörden genutzten, physikalischen Infrastruktur stellt ein weiteres wichtiges Sicherheitsmerkmal dar. Dadurch ist es für zusammengehörige Verwaltungseinheiten in Form von ge-schlossenen Benutzergruppen möglich, zum einen abgesicherten „any to any“ untereinander zu kommunizieren (z.B. für Video-Conferencing), zum anderen aus der geschlossenen Benutzergruppe heraus auf zentrale Dienste und Fachan-wendungen zuzugreifen.

Die Umsetzung der VPN-Struktur bildet geschlossene Benutzergruppen für die verschiedenen Sicherheitsniveaus ab (normal und hoch). Diese VPNs werden an definierten Übergangspunkten (Application Layer Gateways) verbunden. Diese haben die Funktion, die Kommunikation zwischen den definierten Sicherheitsbe-reichen nur in geregelter Form zuzulassen. Ein Sicherheitsbereich umfasst dabei alle Komponenten, Einrichtungen und Dienste, welche durch gleiche Sicherheits-anforderungen demselben Sicherheitsniveau zugeordnet sind. Innerhalb eines Sicherheitsbereiches kann ohne zusätzliche Mechanismen kommuniziert werden.

4.1.2 IPv4/IPv6 Dualstack Backbone

Wesentliches Element der DOI-Architektur ist der IPv4/IPv6 Dualstack Backbone. Wie oben bereits erwähnt, fordert die ITU bzw. ETSI, dass IP das ausschließliche Transportprotokoll für Daten und Informationen darstellt. Die Analyse der beste-henden Verwaltungsnetze innerhalb des Vorhabens DOI ergab ebenenübergrei-fend überlappende IPv4-Adressräume. Damit kann eine durchgängige verwal-tungsnetzübergreifende Kommunikation nur mit erheblichen (NAT-) Aufwänden realisiert werden. Der Einsatz moderner multimediabasierter Dienste und Fach-verfahren, wie beispielsweise „D-115“, kann nicht unterstützt werden. Um die in Kapitel 2 erhobenen Anforderungen umsetzen zu können, wird DOI IPv4/IPv6 Dualstack einführen. IPv4/IPv6 Dualstack ermöglicht die parallele Nutzung von Diensten und Fachanwendungen über IPv4 oder über IPv6. Die Auswahl der “richtigen“ IP-Version erfolgt dabei automatisch durch das Betriebssystem des jeweiligen Endgeräts.

Eine der wichtigsten Voraussetzungen für die Realisierung des IPv4/IPv6 Du-alstack Backbones ist die Beantragung eines ausreichend großen “Provider-unabhängigen IPv6-Adressraums“ für Deutschland. Der Koordinator der EU-Task Force hat die Beantragung eines ausreichend großen Adressraumes für Deutsch-land empfohlen. Bereits durch Behörden implementierte IPv6-Adressen, können, da sie einen eindeutigen Charakter besitzen, im DOI-Netz geroutet werden. Be-


Seite 78

reits durch Behörden beantragte IPv6-Adressräume können zurückgegeben und durch einen entsprechenden Adressraum aus dem beantragten Adressbereich ersetzt werden.

Wenn jedes Verwaltungsnetz einen separaten Antrag für einen IPv6-Adressraum beim RIPE (Réseaux IP Européens) stellen würde, besteht nach heutiger RIPE-Vergabepolitik eine hohe Wahrscheinlichkeit, dass zumindest einzelne, kleinere Verwaltungsnetze (z.B. Kommunen) nur einen standardmäßigen IPv6-Adressraum erhalten. Dieser wird im Internet derzeit nicht geroutet. An den Gren-zen zum DOI-Netz und zum Internet müsste weiterhin NAT eingesetzt werden.

Der Bund wird als zentrale Instanz einen entsprechenden IPv6-Prefix Provider “Independent“ Adressraum für den Bereich des öffentlichen Dienstes Deutsch-lands beim RIPE beantragen.

IPv6 ist in großen asiatischen Ländern wie Indien und China, auch in den dorti-gen Verwaltungen, bereits erfolgreich implementiert. Darüber hinaus verfolgt die USA Administration intensiv die Migration auf IPv6. Die SSA (Social Security As-sociation) nutzt derzeit einen großen MPLS-Backbone mit QoS für Sprach-, Da-ten- und Videokommunikation. Dieses Netz wird von zwei US-Providern betrieben und in 2008 zunächst im Backbone und dann sukzessive bis zum Endgerät auf IPv4/IPv6 Dualstack umgestellt. Intensive Interoperabilitätstests zur Integration und Koexistenz von IPv4 und IPv6 wurden bereits erfolgreich abgeschlossen. Das amerikanische Verteidigungsministerium (Department of Defense) plant e-benfalls im Jahr 2008 mit der Migration zu beginnen.

In der EU arbeitet seit längerem eine IPv6-Task Force, um das Thema IPv6 vo-ranzutreiben. In Deutschland haben unter anderem der DFN-Verein (Deutsches Forschungsnetz) und das Fraunhofer Institut FOKUS IPv4/IPv6 Dualstack Refe-renzinstallation realisiert. Beide Institutionen haben dem Vorhaben DOI Unter-stützung und Know-How Transfer angeboten. Für eine erfolgreiche Planung und Umsetzung einer IPv4/IPv6-Dualstack-Lösung wird auf umfangreiche nationale und internationale Erfahrungen zurückgegriffen werden.

Derzeit gibt es auf dem Markt keine Komponenten für IPv4/IPv6 Dual-Stack–Umgebungen die den BSI-Anforderungen für die Zulassung bzgl. sicherer Daten-kommunikation erfüllen.

Zur weiteren Umsetzung des priorisierten DOL-Vorhabens DOI muss von der In-dustrie die schnellstmögliche Bereitstellung entsprechender Produkte gefordert werden, die durch das BSI zeitnah zugelassen/zertifiziert werden müssen.

4.2 Diensteportfolio

Das DOI-Diensteportfolio wird als kundenorientiertes Leistungsportfolio mit einem Warenkorb von Basisdiensten (Netzwerkleistungen auf Basis verbindlicher etab-


Seite 79

lierter sowie erweiterter Standards und zentrale Basisdienste) sowie einem Wa-renkorb von Mehrwertdiensten realisiert.

Das „Hosting“, d.h. der technische Betrieb eines Dienstes oder einer Anwendung und der „Betrieb“, d.h. die organisatorische Betreuung von Prozessen, sind zu un-terschieden und können von unterschiedlichen Organisationen geliefert werden.

Abzugrenzen von den Diensten sind die Fachanwendungen. Für die Anwender in den an TESTA-D angeschlossenen Verwaltungsnetzen ist heute der Zugriff auf über 100 Fachanwendungen möglich. Diese Fachanwendungen dienen stets der Erledigung einer spezifischen Fachaufgabe der öffentlichen Verwaltung. Sie sind nicht unmittelbar Bestandteil des hier beschriebenen DOI-Diensteportfolios, wer-den aber über die zur Verfügung gestellten Basis- und Mehrwertdienste besser zugreifbar und leichter realisierbar.

Basisdienste stehen in einem untrennbaren Zusammenhang mit der Netzwerkinf-rastruktur, d.h. ohne Basisdienste ist keine sinnvolle Netzwerknutzung möglich. Beispiele sind die Konnektivität an sich, die Definition von MPLS VPNs, Switching und Routing, die IP-Adressvergabe (DHCP) und die Adressauflösung (DNS).

Mehrwertdienste sind allgemeiner technischer Natur. Sie bieten einen optionalen Nutzen, d.h. das Netzwerk kann auch ohne diese Dienste sinnvoll genutzt wer-den. Beispiele sind E-Mail Relay, VPS, IP-Telefonie, Teamserver, PKI, Sicher-heitsdienste und Portaldienste wie „juris“. Im Verwaltungsumfeld sind solche Dienste häufig behördenspezifisch implementiert, z.B. der CIRCA-Server.

Eine wesentliche Forderung ist, dass neben den Basis- und Mehrwertdiensten al-le im Rahmen des Aktionsplanes Deutschland Online (DOL) entwickelten oder weiterentwickelten Fachanwendungen IPv6-fähig sind und zukünftig der stan-dardmäßige Zugriff via IPv6-Protokoll erfolgen soll.

4.2.1 Basisdienste-Warenkorb

Zu den Basisdiensten zählen die Konnektivität zwischen Verwaltungsnetzen und DOI-Netz in verschiedenen Bandbreiten und mit unterschiedlichen Service Le-vels.

Vom Leistungsumfang entspricht der Basiswarenkorb zunächst im Wesentlichen dem des heutigen TESTA-D und wird um weitere Funktionalitäten, wie um die Möglichkeit der Nutzung von IPv6 erweitert..

Konnektivität (abgesichertes „any to any“) Netzwerk

Über das zukünftige DOI-Netz erhalten die Teilnehmer die Konnektivität zu allen heute an TESTA-D angeschlossenen deutschen Verwaltungsnetzen. Stand Juli 2007 sind dies die wichtigsten Bundesnetze (u.a. IVBV und IVBB), die Netze aller Bundesländer sowie die meisten kommunalen Netze, die entweder direkt oder


Seite 80

über die jeweiligen Landesverwaltungsnetze angeschlossen sind. Weiterhin sind 33 kommunale Rechenzentren, die Deutsche Rentenversicherung Bund sowie das europäische Verbundnetz sTESTA angeschlossen.

Die Konnektivität wird über ein Kabel des Zugangs-Providers an einem Switch-port des DOI-Routers im Rechenzentrum des Nutzers hergestellt. Es wird für DOI ein privates eigenes Netz (VPN) mit eigenem Adressbereich definiert.

Die Konzeption als privates, geschlossenes und dediziertes Netzwerk (im Ge-gensatz zu einem Netzwerk auf Basis von Internetverbindungen) ist essentiell, da ein Maximum an Verfügbarkeit und Kontrolle über die Infrastruktur gemäß den im Kapitel 2 dargelegten Anforderungen vorhanden ist. Dass die Nutzung von Inter-netverbindungen zu vermeiden ist, geht auch aus der 2007 erschienenen Nemer-tes-Studie „The Internet Singularity, Delayed: Why Limits in Internet Capacity Will Stifle Innovation on the Web“ hervor.

Die Registrierung von IP-Adressen sowie -Adressräumen ist ein grundlegender Dienst in Zusammenhang mit der Konnektivität.

Um die Zukunftsfähigkeit zu gewährleisten und heute bestehende Engpässe bei der Zuteilung von IP-Adressen zu überwinden, soll die Infrastruktur „IPv6-ready“ implementiert und IPv4/v6-fähig gemacht werden. Dazu wird ein IPv6-Adresskonzept (siehe vorheriges Kapitel) neu erstellt. Mit Abschluss der IPv6-Migration wird erstmals jeder Rechner der Deutschen Verwaltung eine eindeutige Adresse aus einem homogenen Adressraum bekommen.

Adressumsetzung (NAT)

An den Grenzen zwischen Verwaltungsnetzen und Backbone bzw. Internet muss eine Adressumsetzung in öffentliche Adressen vorgenommen werden. Die priva-ten Adressbereiche können von allen Netzbetreibern intern nach Belieben ge-nutzt werden, sie sind also nicht eindeutig und daher nicht im Backbone oder In-ternet zugelassen. Der Absender wird dabei nach außen hin faktisch anonymisiert, für den Backbone bzw. das Internet kommen alle Pakete aus-schließlich vom umsetzenden NAT-Gerät (Firewall, Router, Gateway).

NAT wird aus Gründen des akuten Mangels an öffentlichen Adressen im IPv4-Adressraum eingesetzt. Zugleich kann der Einsatz von privaten Adressräumen zusammen mit der Adressumsetzung aufgrund von IT-Sicherheitsanforderungen gefordert sein. Die Geschwindigkeit der NAT-Geräte wird durch die erforderlichen Paketmanipulationen gemindert.

An Netzübergängen kann durch NAT eine effizientere Nutzung des Netzwerkes erschwert werden. Es erschwert in bestimmten Fällen die Nutzung einigen Diens-te und die Behebung von Netzwerkproblemen.

Darüber hinaus ist das Infrastrukturmanagement aufwändiger, da die Umset-zungsstellen und deren Verhalten im Detail dokumentiert werden müssen, wobei


Seite 81

das nach Aussage des BSI auch ein gewünschter Effekt aufgrund der Pseudo-nymisierung darstellt.

Mit der Einführung von IPv6 wird NAT zunehmend abgebaut. Allerdings erfordert die IPv4/v6 Dualstack Migration einen Übergangszeitraum, in dem NAT weiterhin im Einsatz bleibt.

Adressauflösung (DNS)

IPv4- und IPv6-Adressen sind numerisch, Anwendungen und Anwender sprechen sie aber i.d.R. über ihren Namen an. Dies erfordert eine Übersetzung des Na-mens in die IPv4/v6-Adresse durch den Namensdienst DNS (Domain Name Sys-tem).

DNS wird im Internet und in geschlossenen Netzwerken (z.B. vom Verzeichnis-dienst Windows Active Directory, AD) verwendet. Im Internet besteht das DNS aus einer hierarchischen, dezentralen Datenbank. Es ist kritisch für die Funktion des globalen Internet. Die Manipulation von Einträgen würde z.B. die Umleitung von Zugriffen auf Rechner mit abweichender IP-Adresse ermöglichen.

4.2.2 Mehrwertdienste-Warenkorb

Zusätzlich zu den Basisdiensten werden Mehrwertdienste bereitgestellt. TESTA-D stellt heute, wie bereits erwähnt, die Dienste Mail Relay (E-Mail-Verteilung), PKI (Zertifikatsdienst), „Ende zu Ende“-Verschlüsselung durch IPSec- VPN, Juris (Gesetzessammlung), Intranetdienste und CIRCA-Server bereit.

Für die unten beschriebenen Mehrwertdienste wird das DOI-Netz als transparen-tes Übertragungsnetz zur Verfügung stehen. Die Anforderungen der Mehrwert-dienste an das Transportnetz hinsichtlich bestimmter Eigenschaften wie Class of Service (CoS), Quality of Service (QoS) sowie Bandbreitenmanagement und wei-tere werden dabei vom DOI-Netz abgedeckt.

Die technischen Komponenten zur Bereitstellung der Mehrwertdienste werden außerhalb des DOI-Netzes platziert.

Die folgenden Mehrwertdienste werden zur Aufnahme in das DOI-Portfolio vorge-schlagen, wobei die Umsetzung im Einzelfall zu prüfen und ebenso eine entspre-chende Schutzbedarfsanalyse durchzuführen ist.

4.2.2.1 Kategorie Kommunikationsdienste:

Mail Relay

Ein Mail Relay ist eine zentrale Verteilstelle für E-Mails. Dort werden alle DOI-Nutzer mit ihrer Mail-Domäne (z.B. behoerde_x.finanzverwaltung.hessen.de) und


Seite 82

dem zugehörigen Mailserver registriert. Dies erspart die aufwändige und vielfache lokale Pflege der Einträge.

Virtuelle Poststelle (VPS) (künftig möglicher Dienst)

Eine VPS übernimmt zentral Sicherheitsfunktionen im Zusammenhang mit dem Versand und der Bearbeitung von Dokumenten. Sie entlastet Anwender von der Komplexität der Signatur- und Verschlüsselungsfunktionen lokaler PC-Anwendungen. Eingehende Nachrichten werden zentral entschlüsselt und deren Signatur überprüft. Ausgehende Nachrichten werden signiert und verschlüsselt. Die Übermittlung kann als E-Mail, OSCI-Nachricht oder auch per Web-Postfach (über http und Browser) erfolgen. Eine bekannte Implementierung ist „Governi-kus“.

Webserver-Hosting (künftig möglicher Dienst)

Webserver stellen alle Arten von Informationen (z.B. Webseiten, Dokumente, Da-teien) über das Webprotokoll http zur Verfügung. Über verschiedene Erweiterun-gen kann auch aktiver Programmcode ausgeführt werden, wodurch die Imple-mentierung von Web-Anwendungen ermöglicht wird. Wegen ihrer vielfältigen Verwendbarkeit sind Webserver ein Basisbaustein jeder IT-Infrastruktur. Der si-chere Betrieb kann wegen der Funktionsvielfalt und der Anbindung an das Inter-net sehr aufwändig sein, kann aber gut standardisiert werden und eignet sich damit sehr gut als zentrales DOI-Portfolio-Element.

Web-/ Videokonferenzen auf Basis von IP (künftig möglicher Dienst)

In vielen Bereichen haben sich bereits IP-basierte Telefonie (IPT) sowie Web- und Videokonferenzen durchgesetzt. Vorteile sind die Möglichkeit zur Einsparung separater Telefonnetze und lokaler Telefonanlagen, die zentrale Administration, günstigere Gesprächskosten und Einsparung von Reiseaufwendungen. Ob tat-sächlich Einsparpotenzial besteht und wie hoch es ggf. ist, muss jedoch für jeden Einzelfall ermittelt werden.

Webkonferenzen gestatten die gemeinsame Arbeit verteilter Arbeitsgruppen an Dokumenten oder einem Computer. Ein Videokonferenzdienst ermöglicht eine einfache Live-Bildverbindung an jedem Anwender-Arbeitsplatz, aber auch höher-wertige Dienste z.B. im Zusammenhang mit speziellen Videokonferenzräumen.

Internetzugang

E-Government erfordert die möglichst nahtlose Verknüpfung von Verwaltungs-prozessen mit Bürgern und Wirtschaftsunternehmen, die in der Regel durch die Internet-Portale der angeschlossenen Netze realisiert werden.


Seite 83

Jede Internetanbindung stellt ein erhebliches Sicherheitsrisiko dar und kann bei hoher Gefährdungsstufe nur mit hohem Aufwand annähernd sicher implementiert werden. Es sollten grundsätzlich so wenige Internetzugänge wie möglich an zent-raler Stelle implementiert werden.

DOI soll für angeschlossenen Teilnehmer einen oder ggf.mehrere zentral koordi-nierte und abgesicherte Internetzugänge zur Verfügung stellen, der optional ge-nutzt werden kann.

4.2.2.2 Kategorie Sicherheit

Spamfilter

E-Mail ist der am häufigsten genutzte und auch der am häufigsten missbrauchte Dienst im Internet. Der Spam-Anteil im IVBB betrug laut BSI-Lagebericht 2007 im Jahr 2006 ca. 85%. Insgesamt sieht das BSI eine weiter steigende Bedrohungs-lage durch Spam.

Um die Auswirkungen von Spam auf geschlossene Netze zu verringern, sind an allen betroffenen Stellen Spamfilter zu installieren, d.h.

• an den Grenzen zum Internet (d.h. in der DMZ, s. Katalog der Stan-dards als Anlage zu diesem Dokument),

• am Mail Relay (s.o.) und

• ggf. zusätzlich auf den Mailservern.

Zentrale Spamfilter sind sehr aufwändig und müssen hohe Überlastreserven so-wie ein sehr differenziertes Regelwerk aufweisen, um nicht zu viele erwünschte Mails zu löschen.

Anti-Virenfilter

Viren sind Schadprogramme, die sich selbstständig verbreiten. Die Infektion fin-det über verschiedene Wege statt, z.B. über Spam-Mails, Makros in Office-Programmdateien, Zugriffe auf präparierte Webseiten und Ausführung von Soft-ware aus nicht vertrauenswürdigen Quellen. Daher sind sie analog zu Spamfiltern zu installieren, d.h. an den Internetzugängen, den Grenzen zwischen Verwal-tungsnetzen und Backbone sowie den Anwender-PCs. Gerade zentrale Virenfil-ter, die Webzugriffe filtern, sind komplex und erfordern einen spezialisierten Be-trieb und hochleistungsfähige Hardware. Daher soll dieser Dienst zentral von DOI zur Verfügung gestellt werden. Dazu gehört auch der Schutz vor so genannten Trojanischen Pferden. Bei der Implementierung ist der entsprechenden BSI-Empfehlung zu folgen.


Seite 84

Daten-Backup

Jeder Rechnerbetrieb ist zahlreichen Unwägbarkeiten unterworfen, was den Ver-lust von Daten bedeuten kann. Daher ist eine zuverlässige und stetige Datensi-cherung für jeden Server und Anwender-Rechner (sofern die lokale Speicherung von Daten erlaubt ist) unerlässlich. Dies erfordert Client- und Server-Backupsysteme mit angeschlossenen Speichersystemen, die zwar aufwändig sind, aber im großen Maßstab sehr gut skalieren. Der Dienst ist wegen der erheb-lichen Datenvolumina besonders breitbandig anzubinden.

Im Gegensatz zu manuellen Backups laufen Backupdienste automatisiert ab und sichern während des laufenden Betriebs sowohl die Daten als auch das System selbst. Sie sparen erheblichen Speicherplatz durch die Fähigkeit, auch innerhalb einer Datei nur geänderte Daten inkrementell zu speichern und Dubletten organi-sationsweit zu vermeiden. Der Sicherheit wird durch verschlüsselte Übertragung und Speicherung Rechnung getragen.

Meldung und Vorbeugung von Einbrüchen (Intrusion Detection, IDS, bzw. Intrusi-on Prevention, IPS)

Einbrüche in Rechner-Netzwerke sind in der Regel schwierig zu erkennen, da oft kaum sichtbare Spuren hinterlassen werden. Erfahrene Hacker benutzen außer-dem zahlreiche Zwischenstationen für Angriffe. Somit müssten für eine erfolgrei-che Einbruchserkennung die Log-Dateien zahlreicher Systeme auf verdächtige Muster hin ausgewertet werden. Diese komplexe Aufgabe ist manuell kaum zu leisten.

Diese Auswertungen werden daher von „Intrusion Detection“- bzw. „Intrusion Prevention“-Systemen automatisiert. Sie bestehen in der Regel aus Sensor-Software (auf allen überwachten Rechnern und Netzwerkgeräten) sowie zentra-len Servern, die die gewonnenen Daten (vor allem die internen Log-Daten jedes Gerätes) auswerten. Das Wissen über zahlreiche typische Angriffsmuster ist auf dem Server hinterlegt. Sobald ein typisches Angriffsmuster erkannt wird, werden die Administratoren benachrichtigt und eventuell automatisch Gegenmaßnahmen eingeleitet.

Naturgemäß sind solche Systeme sehr komplex und erfordern stetige und erfah-rene Administration. Insbesondere muss das interne Regelwerk kontinuierlich ge-pflegt werden, um die Zahl der Fehlalarme gering zu halten.

Verzeichnisdienst

Dies ist ein zentraler, hierarchisch organisierter Informationsspeicher mit Informa-tionen über Objekte und ihre Eigenschaften (Attribute). In der Regel sind die Ob-jekte Anwender, ihre Eigenschaften sind Name, Passwort, Berechtigungen sowie


Seite 85

die zugeordneten Ressourcen (z.B. Speicherplatz, Drucker).

Der Vorteil eines Verzeichnisdienstes im Gegensatz zu lokalen Authentisierungs-Verzeichnissen ist die konsistente, verbindliche und ständig verfügbare Speiche-rung der Informationen an einem zentralen Ort. Fehleranfällige Aktualisierungen mehrerer Datenspeicher entfallen. Daher werden Verzeichnisdienste als Grund-lage für ein umfassendes Identitätsmanagement genutzt. Sie erleichtern zudem die Einhaltung von Datenschutzbestimmungen, denn Zugriffsrechte auf verschie-dene Attribute einer Identität können differenziert vergeben werden.

Im DOI-Netz wird der Verzeichnisdienst DVDV zur Verfügung gestellt werden.

Identitätsmanagement

Sicherheit und Kontrolle in einem Netzwerk hängen maßgeblich von einer korrek-ten Authentisierung der Anwender ab. Dazu gehören Benutzername und Pass-wort genauso wie die betreffenden Zugangsrechte und die Eigenschaften des Anwenders. Die Summe dieser Informationen stellt die Identität dar.

Dazu ist zunächst sicherzustellen, dass Zugänge zum DOI-Netz (das heißt zu Anwender-Rechnern oder Servern) auch tatsächlich an eine persönliche Identität gekoppelt werden, und nicht z.B. lediglich an den Zugang zu bestimmten Rech-nern.

Jede Anwendung besitzt zwar in der Regel einen Identitätsspeicher, jedoch ergibt sich im Gesamtbild der Anwendungslandschaft das Problem der konsistenten Pflege mehrerer, unabhängiger solcher Speicher. Abweichungen wie beispiels-weise unvollständig durchgeführte Änderungen schaffen Sicherheitsprobleme, die nur schwer zu überblicken oder zu beheben sind.

Die besondere Schwierigkeit in der Praxis liegt allerdings in der Integration mit bestehenden Anwendungen. Die Implementierung erfolgt daher in der Regel in überschaubaren Phasen.

4.2.2.3 Kategorie Sonstige

Dienstgüte

Dienstgüte (Quality of Service, QoS) bezeichnet einen garantierten Zuverlässig-keitsgrad in einem Netzwerk. Besonders wichtig ist QoS für Echtzeit-Anwendungen wie IP-Telefonie und Videokonferenzen, aber auch priorisierte Fachanwendungen oder Anwender.

QoS als Priorisierungskonzept funktioniert nur, wenn es über alle angeschlosse-nen Netze von „Ende zu Ende“ auf die gleiche Art und Weise implementiert ist. Ansonsten kann die Paketpriorisierung in den Paketen nicht von allen Netzknoten einheitlich geschrieben und gelesen werden.


Seite 86

In der Regel werden unterschiedliche Prioritätsklassen für die folgenden Ver-kehrstypen definiert, z. B. nach absteigender Priorität geordnet für:

• Systemmeldungen (wenig Netzlast, wichtig für Netzsteuerung),

• Sprachdaten (für gute Verständlichkeit in Echtzeit, ohne Echos, ver-setzte Worte oder Lücken),

• Videodaten für Echtzeittransport, jedoch stört hier ein gelegentliches Ruckeln weniger als bei Sprache,

• wichtige Anwendungen wie SAP oder XML-basierte Systeme, die rela-tiv wenig Last haben, deren Daten aber sofort weiterverarbeitet wer-den sollen sowie

• sonstige Daten (Mail, FTP, Webzugriffe), mit geringer Priorität.

QoS wird durch technische Implementierungen von Prioritätsregeln realisiert. Voraussetzung für die Funktion von QoS-Mechanismen ist die Verfügbarkeit von Bandbreite in einem Maß, welches die Anforderungen aller QoS-basierten Diens-te und Fachverfahren abbildet. In diesem Fall wird die Entstehung von Engpäs-sen vermieden.

4.3 Umsetzung der Architektur

Im Rahmen der Etablierung des DOI-Netzes sind technische Anpassungen der TESTA-Netzinfrastruktur und die Migration von TESTA-D nach DOI vorzuneh-men. Die flächendeckende Umsetzung der im „Katalog der Standards mit Optio-nen für Verwaltungsnetze“ (siehe Anlage) definierten Netzeigenschaften erfordert darüber hinaus Anpassungen und ggf. längerfristige Migrationen in den Verwal-tungsnetzen und den daran angeschlossenen lokalen Netzen (LANs). Nachfol-gend werden Migrationsstrategien von IPv4 nach IPv6 beschrieben.

4.3.1 Migration bestehender TESTA-D Nutzer

Das neu aufzubauende DOI-Netz soll die heutige TESTA-D-Funktionalität auf Basis IPv4 für die derzeitigen TESTA-D-Anwender für einen begrenzten Zeitraum zur Verfügung stellen.

Dies bedeutet hinsichtlich einer Neuvergabe, dass der zukünftige Service Provi-der einerseits die derzeitigen komplexen IPv4 NAT-Mechanismen nachbilden, und andererseits die jetzigen Dienste wie DNS, Mail Relay etc. sowie die Zugriffe auf die heute über TESTA-D genutzten Fachanwendungen im DOI-Netz abbilden muss.


Seite 87

Dazu ist es notwendig, dass die derzeitigen TESTA-D-Anschlüsse auf die neue DOI-Infrastruktur migriert werden.

Abbildung 17: Migrationszenario TESTA-D-Teilnehmer

Um eine reibungslose Migration sicherzustellen, sollen während eines ausrei-chend großen Zeitraumes keine Änderungen an den bestehenden TESTA-D-Anschlüssen vorgenommen werden.

Für die TESTA-D-Nutzer empfiehlt sich dabei folgende Migrationsstrategie:

Da davon auszugehen ist, dass der Zugriff auf IPv4-basierte Fachanwendungen über einen langen Zeitraum notwendig ist, sollen alle TESTA-D-Nutzer in einem ersten Schritt eine Migration ins DOI-Netz ohne Änderung der Funktionalität vor-nehmen, unabhängig davon, zu welchem Zeitpunkt eine IPv6-Migration geplant ist. Da die Netzkoppelpunkte des DOI-Netzes beide IP-Varianten parallel unter-stützen, ist dies möglich.

Darüber hinaus soll während der gesamten Migrationsphase der TESTA-D-Nutzeranschlüsse eine Kopplung des TESTA-D-Netzes und des DOI-Netzes vor-gesehen werden (ähnlich der temporären Bridge-Funktion während der sTESTA-Migration). Dies ist notwendig, um einerseits die Verbindung zwischen bereits migrierten und nicht migrierten TESTA-D-Nutzern sicherzustellen und anderer-seits den Zugriff auf bestehende Dienste und Fachverfahren (Data Center etc.) während der Migrationsphase zu gewährleisten.

Nachdem im DOI-Netz die notwendige TESTA-D-Funktionalität implementiert wurde, werden die TESTA-D Nutzer parallel an den DOI-Netz angeschlossen. TESTA-D Data Center Verbindungen können erst nach erfolgreicher Migration al-


Seite 88

ler TESTA-D Nutzer abgebaut werden. Danach kann das gesamte TESTA-D-Netz gekündigt werden.

4.3.2 Anschluss von sTESTA

Das TESTA-D-Netz ist heute über ein Gateway an sTESTA angeschlossen. Über diesen Knoten ist es TESTA-D-Nutzern u.a. möglich auf Dienste und Fachverfah-ren der EU zuzugreifen, sollten die entsprechenden Voraussetzungen an Sicher-heit erfüllt sein. Für die Migrationsphase muss eine geeignete parallele Anbin-dung an DOI erfolgen.

4.3.3 Migration über IPv6inIPv4 Tunneltechniken

Für alle Nutzer, die neue IPv6-basierte Mehrwertdienste und Fachanwendungen nutzen, jedoch für einen überschaubaren Zeitraum einen möglichst geringen Än-derungsaufwand leisten wollen, empfiehlt sich die IPv6inIPv4 Tunneltechnik.

Wie die folgende Abbildung zeigt, werden dazu die IPv6-Verbindungen vom An-wender-Endgerät (PC) durch die heute bestehenden IPv4-Bundes-, Landes- und Kommunalnetze getunnelt.

Abbildung 18: Migrationszenario IPv6inIPv4 Tunneling

Dazu müssen lediglich Tunnel von den Behörden-Standorten, welche IPv6-Dienste nutzen wollen, zum Austauschknoten des DOI-Netzes geschaltet wer-den.

Innerhalb der Behörden-Standorte werden nur diejenigen Anwender auf IPv4/v6 Dualstack umgestellt, welche die ‘neuen‘ IPv6-basierten Dienste und Fachverfah-


Seite 89

ren nutzen. Via IPv6inIPv4 Tunneltechnologie geschieht dies ohne nennenswer-ten Einfluss auf die bestehende IPv4-LAN-Infrastruktur. IPv4/v6 Dualstack An-wendern stehen dabei weiterhin alle bisherigen IPv4-Dienste wie Netzwerkdru-cker, Zugriff auf lokale Server etc. zur Verfügung. Alle Betriebssysteme sind bereits IPv6-fähig und IPv6 muss lediglich auf dem PC freigeschaltet werden.

Die Umstellung der verbleibenden Anwender-Endgeräte auf IPv4/v6 Dualstack kann im Rahmen der üblichen LAN-Hardware/Software-Tauschzyklen erfolgen. Die Migration der jeweiligen Verwaltungsnetze (Bund, Länder, Kommunen etc.) kann im Rahmen der Service-Provider-Verhandlungen bzw. Neuausschreibung bedarfsgerecht erfolgen.

Tunneltechnologien unterliegen grundsätzlich gewissen Einschränkungen bzgl. der Skalierbarkeit und Performance und sollten daher nur beschränkt bzw. über einen begrenzten Migrationszeitraum hinweg eingesetzt werden. Weiterhin wird vorausgesetzt, dass Data Center mit IPv6-Diensten und -Fachanwendungen be-reits auf IPv4/v6 Dualstack umgestellt worden sind.

4.3.4 Migration über IPv4/IPv6-Dualstack

Das Migrationszenario IPv4/IPv6 Dualstack erfordert einen höheren Änderungs-aufwand in der bestehenden Netzwerkinfrastruktur des Nutzers (Bund, Land, Kommune).

Die komplette Migration auf IPv4/IPv6 des jeweiligen Weitverkehrsnetzes auf Bundes-, Landes- oder Kommunalebene erfolgt in einen Schritt.

Da heute die meisten Bundes-, Landes- und Kommunalnetze von Service-Providern betrieben werden, bedeutet dies für die einzelnen Nutzer lediglich den Einkauf eines zusätzlichen Dienstes (IPv4/IPv6 Dualstack) beim Provider. Nutzer, welche ihre Netze auf IP-Ebene selbst betreiben, müssen dazu einen etwas hö-heren Migrationsaufwand in Kauf nehmen. Allerdings unterstützt moderne Netz-Hardware und -Software IPv6 schon bzw. kann darauf per Software-Upgrade aufgerüstet werden, so dass die Aufwendungen eher im Bereich Planung, Orga-nisation, Design und ggf. Aufrüstungsarbeiten anfallen werden.


Seite 90

Abbildung 19: Migrationszenario IPv4/v6 Dualstack

Für die angeschlossenen Behörden-Standorte gilt auch in diesem Migrationsze-nario, dass nicht alle Anwender gleichzeitig bzw. parallel migriert werden müssen. Auch hier besteht die Möglichkeit, wiederum nur Teile der LAN-Hard- und Soft-ware zu migrieren und die verbliebenen LAN-Teile zu einem späteren Zeitpunkt im Rahmen der üblichen Tausch-Zyklen umzustellen. Es wäre auch hier denkbar, die oben erwähnte ISATAP-Tunnel-Variante zu nutzen.

Auch bei dieser Variante wird vorausgesetzt, dass die Data Center, welche IPv6-Dienste und -Fachanwendungen anbieten, bereits auf IPv4/IPv6 Dualstack um-gestellt worden sind.


Seite 91

5 STANDARDS UND OPTIONEN FÜR VERWALTUNGSNETZE

In den verschiedenen Zuständigkeitsbereichen der Deutschen Verwaltungen gibt es eine Vielzahl von Netzen für die Daten- und die Sprachkommunikation. Ange-sichts ihrer unterschiedlichen Entstehungs- und Entwicklungsgeschichte, ihrer verschiedenen Einsatzzwecke und der jeweils eigenen Zuständigkeit ihrer Betrei-ber weisen diese Netze sehr unterschiedliche Eigenschaften hinsichtlich Technik und Betrieb, aber auch Organisation, Sicherheit oder vertraglicher Gestaltung auf.

Bevor Maßnahmen zur Konsolidierung der Verwaltungsnetzlandschaft in Deutschland flächendeckend greifen können, ist es notwendig, die Einzelnetze soweit zu standardisieren, dass die Einführung oder die Verbesserung von ein-zelnen Technologien oder auch organisatorischen Regelungen überall auf ein-heitliche Mindestvoraussetzungen aufbauen kann.

Dies soll innerhalb des Vorhabens DOI durch einen „Katalog der Standards und Optionen für Verwaltungsnetze“ ermöglicht werden.

5.1 Zweck des Katalogs der Standards

Der „Katalog der Standards und Optionen für Verwaltungsnetze“ beschreibt Standards für Verwaltungsnetze in Deutschland. Er kann damit den Verwaltungen als Leitfaden bei der Weiterentwicklung ihrer Netze dienen und dabei deren

• Interoperabilität,

• Wirtschaftlichkeit

• Zukunftsfähigkeit und

• Sicherheit

sichern und verbessern helfen. Die Standards definieren die Mindestleistungen eines modernen Verwaltungsnetzes, ohne den Raum für Innovation oder zusätz-liche Leistungen zu beschränken. Durch Empfehlungen und Optionen werden auch für die über das Mindestmaß hinaus gehenden Aspekte Möglichkeiten auf-gezeigt, Verwaltungsnetze zu modernisieren, ohne die genannten Ziele auf-zugeben.

Der Katalog kann auch von Wirtschaftsunternehmen genutzt werden, die Leis-tungen für Verwaltungsnetze anbieten oder erbringen. Er bietet ihnen eine Orien-tierung bei der Entwicklung ihrer Leistungsangebote.


Seite 92

5.2 Thematischer Aufbau des Katalogs

Ein Verwaltungsnetz kann aus verschiedenen Perspektiven betrachtet werden. Auch wenn die technische Sicht am nächsten liegt und viele Parameter für die Gestaltung bietet, sind weitere Betrachtungsweisen ebenso wichtig. Daher defi-niert dieser Katalog Standards für folgende Themengebiete:

• Vertragsgestaltung

In diesem Abschnitt werden einige Empfehlungen zur Gestaltung von Verträgen gegeben, wie sie in Netzprojekten spezifisch oder typisch sind. Es soll dabei nicht versucht werden, alle Aspekte der allgemei-nen Vertragsgestaltung zu adressieren.

• Organisation und Betrieb

Qualitativ hochwertige Netz-Dienstleistungen zu erbringen, erfordert klare Organisationsstrukturen sowie definierte und angemessene Be-triebsabläufe. Im entsprechenden Abschnitt werden wesentliche Ele-mente für den Betrieb von Verwaltungsnetzen spezifiziert.

• Architektur der Infrastruktur

Der Aufbau moderner Verwaltungsnetze sowie deren technische Schnittstellen werden in diesem Abschnitt beschrieben. Der Betrieb von Verfahren über Verwaltungsgrenzen hinweg erfordert es, dass verbindliche Mindeststandards für Netztechnik und Dienste bei allen Beteiligten eingehalten werden.

• IT-Sicherheit

Um die Sicherheit von Verwaltungsnetzen gewährleisten zu können, müssen entsprechend des jeweiligen Schutzbedarfs Maßnahmen ge-troffen werden. Die für die verschiedenen Sicherheitsniveaus relevan-ten Standards werden im Katalog definiert.

5.3 „Umgang“ mit den Standards

Das Ziel der im Katalog definierten Standards besteht darin, Interoperabilität, Wirtschaftlichkeit, Zukunftsfähigkeit und Sicherheit von Verwaltungsnetzen in Deutschland zu sichern und zu verbessern. Dies betrifft zum einen jedes einzelne Netz und zum anderen auch Strukturen, die Netze verbinden.

Die im Katalog definierten Standards sind in unterschiedlichem Umfang erforder-lich bzw. geeignet, dieses Ziel zu erreichen. Daher wird ihre Verbindlichkeit in drei Stufen bewertet:

• Verpflichtend sind solche Standards, die notwendig dafür sind, das


Seite 93

Ziel zu erreichen. Dies schließt insbesondere die Zugangsvorausset-zungen zum Netz der Deutschland-Online Infrastruktur ein.

• Empfohlen werden Standards, die die Zielerreichung mindestens für einen der genannten Aspekte fördern.

• Optional sind diejenigen Standards, die das Erreichen der Ziele nicht behindern.

Die genannten Ziele zu verfolgen, begründet unterschiedlichen Handlungsbedarf. Während sichere Kommunikation zwischen den verschiedenen Beteiligten einer Infrastruktur nur dann stattfinden kann, wenn sie gemeinsame Standards erfüllen – hier besteht also ggf. direkter Handlungsbedarf –, haben Maßnahmen zur Ver-besserung der Wirtschaftlichkeit und zur Absicherung der Zukunftsfähigkeit i. d. R. einen längeren Planungshorizont. Insofern bedeutet die Verbindlichkeitsstufe „verpflichtend“ nicht automatisch, dass eine Umsetzung sofort erfolgen muss. Ausnahmen bilden diejenigen Standards, die die Zugangsvoraussetzungen zum DOI-Netz definieren und sofort erfüllt werden müssen. Ansonsten bedeutet die Bewertung „verpflichtend“, dass bei den nächsten geplanten oder notwendigen Änderungen die entsprechenden Eigenschaften eingefordert werden. Somit ge-ben insbesondere diese verpflichtenden Standards sowohl den Verwaltungen als auch ihren Dienstleistern Planungssicherheit hinsichtlich künftiger Entwicklungen von Netzen.

Der vollständige Katalog der Standards ist diesem Dokument als Anlage beige-fügt.


Seite 94

6 RECHTSFORMEN

Die Etablierung der DOI-Organisation erfordert eine Rechtsgestaltungs-form/Rechtsform, um den Anforderungen einer ebenenübergreifenden Kommuni-kationsinfrastruktur entsprechen zu können. Die DOI-Rechtsgestaltungsform/Rechtsform ermöglicht eine eigenständige Rechts-, Ge-schäfts- und Handlungsfähigkeit. Nur auf der Grundlage einer rechtsfähigen DOI-Organisation können Verträge für alle föderalen Ebenen geschlossen werden. Die DOI-Organisation tritt darüber hinaus in Vereinbarungen mit Nutzern des Netzes aus allen föderalen Ebenen ein. Dabei sind die kartell- und vergaberecht-lichen Rahmenbedingungen zu beachten.

Im nachfolgenden Kapitel wird die methodenbasierten Auswahl der am Besten geeigneten Rechtsgestaltungsform/Rechtsform für die geplante DOI-Organisation beschrieben. Die Kriterien sind auf der Grundlage der gegenwärtigen verfas-sungsrechtlichen Rahmenbedingungen gebildet.

Zunächst werden in einer Voranalyse die Rechtsgestaltungsfor-men/Rechtsformen beschrieben, die als grundsätzlich geeignet für die DOI-Organisation angesehen werden.

In den politischen Beschlüssen zur Umsetzung von DOI (Aktionsplan Deutsch-land-Online, E-Government 2.0 und Beschlüsse des KoopA ADV zu DOI vom 20.09.07) wurde einerseits ein dringender organisatorischer Handlungsbedarf do-kumentiert. Andererseits kann davon ausgegangen werden, dass die Etablierung der DOI-Governance und die Gründung der DOI-Organisation einen erheblichen zeitlichen Aufwand erfordern und nur stufenweise realisiert werden können. Mit der Gründung einer DOI-Vorläuferorganisation, als einer kurzfristig realisierbaren Lösung, können diese beiden Anforderungen umgesetzt werden. Aus diesem Grund wird zunächst eine Bewertung und Auswahl der am Besten geeigneten Rechtsgestaltungsform/Rechtsform für die Vorläuferorganisation durchgeführt.

Nach erfolgtem Bewertungsdurchlauf wird geprüft, ob die am Besten geeignete Rechtsgestaltungsform/Rechtsform für die zukünftige DOI-Betriebsorganisation in einer bereits bestehenden Organisation realisiert werden kann, z.B. indem deren Auftragsspektrum erweitert wird.

Die Erarbeitung des Kriterienkatalogs zur Bewertung der Rechtsgestaltungsfor-men/Rechtsformen erfolgt auf der Basis zusammengefasster, fachlicher, politi-scher und rechtlicher Anforderungen, abgeleitet aus den Analysen.

Die nachfolgende Abbildung stellt die gewählte Vorgehensweise grafisch dar:


Seite 95

Rechtsformrelevante Grundsatzentscheidungen

Rechtsformrelevante Grundsatzentscheidungen Voranalyse RechtsformenVoranalyse Rechtsformen

Kriterien für die Rechtsformauswahl

Kriterien fKriterien füür die r die Rechtsformauswahl Rechtsformauswahl

BewertungsdurchlaufBewertungsdurchlaufBewertungsdurchlauf

Rechtsform-Kandidaten für den Bewertungsdurchlauf

RechtsformRechtsform--Kandidaten fKandidaten füür den r den BewertungsdurchlaufBewertungsdurchlauf

BewertungsergebnisBewertungsergebnisBewertungsergebnis

Prüfung auf Nutzbarkeit bestehender Organisationen

PrPrüüfung auf Nutzbarkeit bestehender fung auf Nutzbarkeit bestehender OrganisationenOrganisationen

Bewertungsmethode (UfAB) zur Auswahl der Rechtsform

Abbildung 20: Auswahlverfahren Rechtsgestaltungsformen/Rechtsformen

6.1 Anforderungen an die Rechtsgestaltungsform/Rechtsform der DOI-Organisation

Für die Auswahl der geeigneten Rechtsgestaltungsform/Rechtsform sind die bereits beschriebenen Anforderungen an eine DOI-Governance und DOI-Organisation bindend. Aus diesen Anforderungen sind zwei wesentliche Kriterien an die Rechtform herausgearbeitet worden:

• DOI-Governance:

Gewährleistung sowohl der politischen als auch der fachlichen Einflussnahme durch die öffentliche Hand unter Beteiligung aller föderalen Ebenen,

• DOI-Organisation:

Größtmögliche Wirtschaftlichkeit und Qualität des Netzwerkbetriebs bei gleichzeitig minimiertem Risiko.

Aus diesen übergeordneten Anforderungen wurden für den Kriterienkatalog zur Bewertung der Rechtsgestaltungsform/Rechtsform für die DOI-Organisation die folgenden beiden Hauptkriteriengruppen abgeleitet:

• Wahrung der Einflussmöglichkeit der föderal Beteiligten,


Seite 96

• Handlungsfähigkeit/Leistungsfähigkeit.

Die bereits erörterten Anforderungen und Aufgaben einer neuen DOI-Organisation sind vor dem Hintergrund des heutigen Erkenntnisstandes und der aktuell wahrnehmbaren Randbedingungen definiert. Mit der zeitnahen Etablie-rung der DOI-Vorläuferorganisation – in welcher Rechtsform auch immer - wer-den neue Modelle der Steuerung und Koordinierung zwischen den föderal Betei-ligten umgesetzt. Gleichzeitig zeigen die in Kapitel 3.3.2 definierten Aufgaben keine derartigen Unstetigkeiten zwischen der Aufbau- und Regelbetriebsphase, dass eine Änderung der Rechtsform zwischen Vorläufer- und Regelorganisation aus heutiger Sicht bereits zwingend erscheint.

Daher erscheint es sinnvoll, die gegenwärtig vollzogene Auswahl der Rechtsform der DOI-Organisation nach einem zu definierenden Zeitraum einer Evaluierung zu unterziehen. Nach diesem Evaluierungsmeilenstein soll eine umfassende Be-wertung der Arbeit und Leistungsfähigkeit der DOI-Vorläuferorganisation, der ge-wonnenen Erfahrungen und der dann aktuellen Rahmenbedingungen und Anfor-derungen vorgenommen werden. Im Ergebnis dieser Evaluierung wird entschieden, ob die DOI-Organisation in der Rechtsform der Vorläuferorganisati-on weiter geführt werden soll oder ob eine Überleitung dieser Rechtsform in eine bestehende Organisation oder in eine andere, dann auszuwählende Rechtsform erforderlich ist.

Abbildung 21: Roadmap zur Einführung und Evaluierung der DOI-Organisation

Resultat dieser neuerlichen Evaluierung kann dann eine Entscheidung zur


Seite 97

• Fortführung der Vorläuferorganisation als DOI-Regelorganisation unter Beibehaltung der Rechtsform,

• Überführung der Vorläuferorganisation in eine besser geeignete Re-gelorganisation einschließlich geänderter Rechtform,

oder zur

• Überführung der DOI-Vorläuferorganisation in eine bestehende ande-re, zum Evaluierungszeitpunkt geeignet erscheinende Organisation mit vergleichbaren Aufgaben sein.

6.2 Analyse Rechtsgestaltungsformen/Rechtsformen

6.2.1 Einschränkende Vorüberlegungen

Für die DOI-Organisation kommen grundsätzlich folgende drei Rechts-gestaltungsformen in Betracht:

• Öffentlich-Rechtliche Gestaltungsformen,

• Public-Private-Partnership (PPP) und

• Privatrechtliche Gestaltungsformen.

Den vorgenannten Rechtsgestaltungsformen können unterschiedliche Rechtsformen, z.B. als GmbH, AG oder Verein (e.V.) zugeordnet werden.

Während in einer Öffentlich-Rechtlichen Gestaltungsform keine private Beteiligung möglich ist, können Beteiligungen der öffentlichen Hand in den beiden anderen Rechtsgestaltungsformen realisiert werden (z.B. in den Rechtsformen Verein (e.V.) bzw. Genossenschaft).

Nachfolgend wurden nur die Rechtsformen näher betrachtet, welche für die Zweckbestimmung der DOI-Organisation als geeignet angesehen werden. Die Auswahl erfolgte unter Beachtung der oben genannten, zusammengefassten Anforderungen. Im Ergebnis dieser Auswahl wurden folgende Rechtsformen nicht näher untersucht:

• Rechtformen, die den Anforderungen der DOI-Governance nicht ent-sprechen:

− Ausländische Rechtsformen, auch wenn sie in Deutschland zulässig sind, z.B. die Rechtsform „Limited“ (Ltd.)

− Rein private Gestaltungsformen ohne öffentliche Beteiligung, z.B. GmbH mit rein privater Beteiligung,

• Rechtformen, die den Anforderungen der DOI-Organisation nicht ent-


Seite 98

sprechen:

− Gesellschaften mit unbeschränkter Haftung, z.B. Gesellschaft des bürgerlichen Rechts (GbR), Kommanditgesellschaft (KG), Offene Handelsgesellschaft (OHG

− Stiftung öffentlichen Rechts (z. B. Stiftung preussischer Kulturbe-sitz oder die Berliner Philharmoniker). Im Gegensatz zu privatrechtlichen Stiftungen werden bei Stiftungen nach öffentlichem Recht i.d.R. keine Erträge aus dem Stiftungsvermögen erwirtschaftet, da sie auch ohne größeres Stiftungsvermögen errichtet werden können. Stiftungen öffentlichen Rechts leben daher dauerhaft von staatlichen Zuwendungen (Nachstiftungen) und besitzen damit nur eine schwache Existenzsicherheit.

Nachfolgend werden die Rechtsformen detaillierter beschrieben, die für die DOI-Organisation grundsätzlich in Frage kommen.

6.2.2 Öffentlich-Rechtliche Gestaltungsformen

6.2.2.1 Körperschaft des öffentlichen Rechts (KdöR)

Die Körperschaft des öffentlichen Rechts (KdöR) wird durch einen staatlichen Hoheitsakt konstituiert (Gesetz, Anerkennung oder Bestätigung). Die Steuerung der KdöR erfolgt durch die Geschäftsführung nach Maßgabe der Mitgliederversammlung auf Grundlage eines Gesetzes und/oder einer Satzung bzw. eines Verwaltungsabkommens. Die KdöR ist mitgliedschaftlich verfasst und hat daher einen demokratischen Charakter. Sie ist mit allen Rechten einer öffentlich-rechtlichen Organisation ausgestattet (z.B. Rechts- und Dienstherrenfähigkeit).

Den Anforderungen an eine DOI-Governance entsprechen die nachfolgenden Charakteristika der KdöR:

• hohes Konsenspotenzial der Nutzer durch deren unmittelbare Beteili-gung (mitgliedschaftliche Verfassung),

• Eignung für eine größere Anzahl an Mitgliedern durch die genannte mitgliedschaftliche Verfassung,

• Vorbehaltlich einer rechtlichen Prüfung: Möglichkeit der Steuerfreiheit für wirtschaftliche Betätigung innerhalb des Zweckbetriebs.

Im Vergleich zu den Anforderungen an eine DOI-Organisation kann sich die


Seite 99

relativ geringe Kontrolle der Entscheidungen durch einzelne Stellen als nachteilig erweisen.

Beispiele für Körperschaften des öffentlichen Rechts sind die kommunalen Spitzenverbände, die Industrie- und Handelskammern (IHK) und die ● Rechtsanwalts-, Notar- und Ärztekammern der Länder.

6.2.2.2 Anstalt des öffentlichen Rechts (AöR)

Die Konstitution einer Anstalt des öffentlichen Rechts erfolgt durch Gesetz. Die AöR wird auf der Grundlage einer Satzung gesteuert. Die Anstaltsleitung verantwortet die Aufgabenerfüllung entsprechend dem betreffenden Gesetz und der Satzung. Anders als bei der Körperschaft des öffentlichen Rechts ist die AöR nicht mitgliedschaftlich verfasst. Sie kennt nur Benutzer, aber keine Mitglieder. Die Haftung obliegt dem Anstaltsträger (Gewährsträgerhaftung).

Den Anforderungen an eine DOI-Governance entsprechen die nachfolgenden Charakteristika der AöR

• effiziente Handlungsfähigkeit, welche durch die weitgehende Autono-mie der Anstaltsleitung gewährleistet wird und

• Vorbehaltlich einer rechtlichen Prüfung: Steuerfreiheit für wirtschaftli-che Betätigung innerhalb des Zweckbetriebs.

Föderale Körperschaften können sich lediglich mittelbar an der AöR beteiligen. Die AöR kann nur durch die Verabschiedung eines Gesetzes gegründet werden, was eine zusätzliche Beteiligung der jeweils zuständigen Gesetzgebungsorgane erfordert.

Beispiele für Anstalten des öffentlichen Rechts im IT-Infrastruktur-Umfeld sind die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) und die Anstalt für Kommunale Datenverarbeitung Bayern (AKDB), ansonsten die Sparkassen und Rundfunkanstalten der Länder.

6.2.2.3 Behörde

Die Konstitution einer Behörde erfolgt durch einen staatlichen Hoheitsakt. Das Recht, Behörden zu errichten, zu ändern oder aufzuheben (Organisationsgewalt) ist dem Bundespräsidenten und den Ministern als Träger der vollziehenden Gewalt verfassungsmässig übertragen. Die Verwaltungsbehörden innerhalb eines Geschäftsbereichs stehen im Verhältnis der Über- und der Unterordnung (Amts-hierarchie) zueinander. Aus der Überordnung folgt eine Aufsichts- und Weisungsbefugnis. Die Verantwortung für das öffentlich-rechtliche Handeln trägt der Behördenleiter, dem auch die Entscheidungsgewalt für seinen


Seite 100

Zuständigkeitsbereich allein zusteht.

Die Behörden besitzen keine eigene Rechtsform. Sie können jedoch im Namen und auf Rechnung des Trägers (Bund, Land oder Kommune) Verträge abschließen. Der jeweilige Träger haftet für Verbindlichkeiten „seiner“ Behörde (Gewährsträgerhaftung).

Die Arbeit der Behörden erfolgt heute in der Regel noch nach kameralen Prinzipien, d.h. Einnahmen- und Ausgaben-orientiert, jedoch findet in den Behörden verstärkt eine Umstellung auf Doppik statt.

Eine Steuerpflicht für die Behörden besteht nicht; daher bestehen aber auch keine (progressiven) Abschreibungsmöglichkeiten.

6.2.2.4 Eigenbetrieb nach §26 BHO

Der Eigenbetrieb nach § 26 BHO unterscheidet sich von der Organisationsform „Behörde“ im Wesentlichen durch das Arbeiten nach ausschließlich betriebswirtschaftlichen (z.B. durch Aufstellen eines Wirtschaftsplanes) anstelle kameraler Prinzipien. Das bedeutet, dass hier nicht einnahmen- bzw. ausgabenorientiert, sondern ertrags- und aufwandsorientiert agiert wird. Ansonsten ist diese Rechtsform durch die gleichen charakteristischen Merkmale wie eine Behörde geprägt.

6.2.2.5 GmbH (Eigengesellschaft)

In einer GmbH als „Eigengesellschaft“ erfolgt eine Beteiligung einer Öffentlich-Rechtlichen Instanz an dieser Privat-rechtlichen Gestaltungsform (z.B. kann eine Kommune, Anteile an einer Wohnungsbaugesellschaft halten). Eine Eigengesellschaft kann - als eine Ausprägung - auch als Public-Private-Partnership zählen.

In der Regel ist der Einfluss der öffentlichen Hand in einer Eigengesellschaft sehr ausgeprägt. So verbleibt bei einer funktionalen Privatisierung beispielsweise die Gewährleistung in der öffentlichen Hand. Die Gesellschaft wird wie eine eigene Dienststelle behandelt. Die Gründung erfolgt durch den öffentlich-rechtlichen Träger bzw. Gesellschafter als juristische Person nach den jeweiligen privatrechtlichen Regelungen. Zum Beispiel muss eine GmbH nach dem GmbH-Gesetz gegründet werden.

Den Anforderungen an eine DOI-Governance und eine DOI-Organisation entsprechen folgende Merkmale von Eigengesellschaften:

• Flexibilität einer privaten Rechtsform,

• Nutzung von Spezialwissen privater Partner,


Seite 101

• Möglichkeit, einen privaten Partner ohne Vergabe zu bestimmen,

• Nutzung von Behördenkonditionen wie Eigenversicherung und Steu-erbefreiungen.

Zu berücksichtigen ist bei einer Eigengesellschaft jedoch die komplette Risiko-übernahme durch den öffentlichen Partner.

Diese Rechtsform wurde vielfach für kommunale Unternehmen (z.B. Wohnungsbaugesellschaften) gewählt. Auf Bundesebene ist z.B. der Bundeswehr-Fuhrpark als Eigengesellschaft des Bundes in Form einer GmbH gestaltet worden. Das BMVg ist seitdem über sein Unternehmen „g.e.b.b.“ zusammen mit der Deutschen Bahn AG Miteigentümer der „BwFuhrparkGmbH“.

6.2.3 Public Private Partnership (PPP)

In einer Public-Private-Partnership (PPP) beteiligt der Staat private Partner bei der Aufgabenerfüllung. Ziel ist die gemeinsame und partnerschaftliche Gestaltung eines gemeinsamen Vorhabens. Die Gewährleistungspflicht der öffentlichen Aufgabe verbleibt beim Staat. Die Erstellungs-, Finanzierungs-, Verwertungs- und/oder Betriebsrisiken werden individuell auf die Partner der PPP verteilt.

Den Anforderungen an die DOI-Organisation entsprechen folgende Merkmale der gemischtwirtschaftliche Strukturen im Sinne einer PPP:

• finanzielle Beteiligung des privaten Partners an den Investitionen,

• Nutzung des hoch spezialisierten Wissens von Fachexperten,

• Interesse des privaten Partners am Erfolg des Vorhabens,

• mögliche Kostenersparnis durch enge Abstimmung innerhalb der PPP im Vergleich zu Abstimmungsaufwänden bei einem Auftragge-ber/Auftragnehmer Verhältnis (z.B. Optimierung der Betriebskosten bereits während der Planungsphase),

• mögliche gesteigerte Flexibilität bei der Beschaffung im Vergleich zur Öffentlich-rechtlichen Gestaltungsform.

Eine Public-Private-Partnership kann in unterschiedlichen Ausprägungen realisiert werden:

• Kooperationsmodell: In diesem Modell soll der private Partner bei komplexen, kapitalintensiven Vorhaben mit hohem Risiko zu langfristig vorteilhafter Vorhabensgestaltung motiviert werden.

• Betreibermodell: Konzessionierung des Betriebs an den privaten Betreiber, d.h. alle Phasen von der Planung über die Finanzierung bis


Seite 102

hin zur Errichtung und zum Betrieb realisiert der private Partner.

• Betriebsführungsmodell: Stellt eine Variante des Betreibermodells dar, bei dem jedoch Finanzierung und Eigentümerschaft der Wirtschaftsgü-ter bei der öffentlichen Hand verbleiben.

Ein Beispiel für eine PPP in der Ausprägung des Kooperationsmodells ist die Bundeswehr Informatik (BWI) GmbH, welche das Herkules-Projekt zusammen mit zwei IT-Töchtern der Firmen IBM und Siemens umsetzt.

Aufgrund des gesetzten engen Zeitrahmens lässt sich eine Public-Private-Partnership als denkbare Rechtsgestaltungsform der zunächst zu schaffenden DOI-Vorläuferorganisation a priori ausschließen.

Alle Erfahrungen der Vergangenheit zeigen, dass mit der Errichtung einer PPP

• ein erheblicher zeitlicher Aufwand in der Definition des Geschäfts-zwecks und

• ein komplexes Verhandlungsverfahren hinsichtlich der Verteilung des Finanzierungsaufwands, der Lasten und Risiken des Geschäftsbe-triebs

zwischen öffentlichem und privaten Partnern bewältigt werden muss.

Daneben müsste bereits die Auswahl eines möglichen privaten Partners oder ei-nen privaten Partnerkonsortiums einer potenziellen PPP im Rahmen einer öffent-lichen, EU-weiten Ausschreibung erfolgen.

Im Weiteren wird daher auf eine Betrachtung von Public-Private-Partnership als denkbare Rechtsgestaltungsform für die DOI-Vorläuferorganisation verzichtet. Zum Zeitpunkt der oben bereits vorgeschlagenen späteren Evaluierung mit er-neut durchzuführender Rechtsformbewertung können Überlegungen zur Einrich-tung einer Public-Private-Partnership wieder Gegenstand einer Betrachtung wer-den.

6.2.4 Privatrechtliche Gestaltungsformen

6.2.4.1 Eingetragener Verein (e.V.)

Die Konstitution eines Vereins erfolgt durch Eintragung in das Vereinsregister.

Rechtsfähige, d.h. eingetragene Vereine sind mitgliedschaftlich verfasste Körperschaften des privaten Rechts. Sie sind zumeist nicht profitorientiert. Entscheidungen werden von der Mitgliederversammlung getroffen. Die Mitgliederversammlung verabschiedet eine Satzung des Vereins. Der Vorstand


Seite 103

hat die Entscheidungen der Mitgliederversammlung Rahmen der Satzung und des allgemeinen Privatrechts umzusetzen. Der Verein haftet mit seinem Vereinsvermögen.

Den Anforderungen an eine DOI-Governance entsprechen die folgenden, charakteristischen Merkmale von eingetragenen Vereinen:

• Unmittelbare Beteiligung der Mitglieder an den Entscheidungen und der Finanzierung,

• hohes Potential für eine Konsensbildung durch einen klar umrissenen, gemeinsamen Zweck,

• gemeinsames Interesse an einer schlanken Organisation mit hoher Performanz und

• unkomplizierte Mitgliedschaftskriterien, z.B. bzgl. des Kapitaleinsatzes.

6.2.4.2 Genossenschaft (e.G.)

Die Konstitution einer Genossenschaft erfolgt durch Eintragung in das Genos-senschaftsregister. Rechtsfähige, d.h. eingetragene Genossenschaften werden durch Unterzeichnung von mindestens sieben Genossen gegründet. Die Rechtsgrundlage bildet das Genossenschaftsgesetz. Eine Genossenschaft ist auf die wirtschaftliche Betätigung seiner Mitglieder, u.a. durch Gewinnerzielung, ausgerichtet. Insofern verfolgt eine Genossenschaft vorrangig ökonomische Ziele. Entscheidungen werden von der Mitgliederversammlung getroffen. Der Vorstand hat die Entscheidungen der Mitgliederversammlung im Rahmen der Satzung und des allgemeinen Privatrechts umzusetzen. Die Genossenschaft haftet mit ihrem Genossenschaftsvermögen. Eine Haftung der Mitglieder über ihre geleistete Kapitaleinlage hinaus findet nicht statt. Im Vergleich zu den Anforderungen an eine DOI-Governance ist die Genossenschaft durch die gleichen charakteristischen Merkmale gekennzeichnet, wie sie auch bei der Organisationsform „Verein“ vorliegen.

6.2.4.3 Stiftung (des Privatrechts)

Die Stiftung ist gekennzeichnet als Vermögensmasse, die einem bestimmten Zweck, insbesondere gemeinnützigen Zwecken, auf Dauer gewidmet ist. Ihre Er-richtung ist §§ 80ff. BGB geregelt, sie bedarf einer staatlichen Anerkennung durch die Stiftungsbehörde des Landes, in der die Stiftung ihren Sitz hat. Die Stif-tungsbehörde prüft zudem regelmäßig, ob die Stiftungsarbeit die Vorgaben der Satzung erfüllt. Kennzeichnend für eine Stiftung nach Privatrecht ist zudem der Umstand, dass aus dem Stiftungsvermögen Erträge erwirtschaftet werden müs-sen (z.B. aus Verpachtung, Vermietung, Verzinsung etc.), die für den Stiftungs-zweck verwendet werden und einen Verbrauch des Stiftungsvermögens verhin-


Seite 104

dern. Zu unterscheiden sind operative Stiftungen, die aus eigenem Antrieb mit ei-genen Ressourcen und Projekten den Stiftszweck verfolgen sowie fördernden Stiftungen, die Projekte anderer Einrichtungen oder gesellschaftlicher Gruppen fi-nanziell fördern.

Bekannte Stiftungen nach Privatrecht sind die Bertelsmann Stiftung (operative Stiftung) oder die Robert Bosch Stiftung.

6.2.4.4 GmbH (nicht als Eigengesellschaft)

Die GmbH ist eine Handelsgesellschaft mit eigener Rechtspersönlichkeit und mit einem im Gesellschaftsvertrag bestimmten Stammkapital, das von den Gesellschaftern durch Einlagen (Stammeinlagen) aufgebracht wird. Es gibt Bar-oder Sacheinlagen. Die Gründung einer GmbH erfolgt durch die Eintragung beim Notar und im Handelsregister. Rechtsgrundlage ist das GmbH-Gesetz. Erforderlich sind mindestens zwei Gründer, die den Gesellschaftsvertrag schliessen. Die GmbH ist auf Rendite für die GmbH-Anteilseigner oder auf die Belange einer gemeinnützigen Tätigkeit (gGmbH) ausgerichtet.

Die Steuerung einer GmbH obliegt der Geschäftsführung nach Maßgabe der Gesellschafterversammlung und der Satzung. Die GmbH haftet für ihre Verbindlichkeiten mit ihrem ganzen Vermögen. Die Haftung der Gesellschafter ist, von Ausnahmefällen abgesehen, auf den Verlust ihrer Stammeinlage beschränkt.

Den Anforderungen an eine DOI-Governance entsprechen folgende Merkmale

• Kapitalbeschaffungsmöglichkeiten durch private Rechtsform,

• Hohe Fexibilität durch private Rechtsform,

• Relativ geringer Aufwand für die Gründung.

Folgende Merkmale einer GmbH können die Umsetzung von Anforderungen an eine DOI-Governance behindern, wenn eine private Beteiligung erfolgt :

• Profitorientierung hat Vorrang vor Nutzerbedürfnissen,

• Ggf. begrenzte unmittelbare Einflussnahmemöglichkeiten der öffentlichen Hand in Abhängigkeit der Beteiligungsverhältnisse.

Bei Gründung einer GmbH unter ausschließlicher Beteiligung der öffentlichen Hand muss die Frage nach der Steuerpflichtigkeit der GmbH ebenso wie die Nutzbarkeit vorteilhafter Rahmenbedingungen der öffentlichen Hand geprüft werden.


Seite 105

6.2.4.5 Aktiengesellschaft (AG)

Die Gründung einer Aktiengesellschaft erfolgt durch die Übernahme von Aktien als Einlage (mindestens drei Aktionäre) und die Eintragung beim Notar und im Handelsregister. Rechtsgrundlage ist das Aktiengesetz. Die Aktiengesellschaft ist auf Gewinnmaximierung und Renditen für die Aktionäre ausgerichtet. Die Steuerung einer Aktiengesellschaft erfolgt durch den Vorstand, die Bestellung und Kontrolle durch den Aufsichtsrat. Die Haftung der Aktionäre ist auf das gezeichnete Kapital (Stammeinlage) begrenzt.

Den Anforderungen an eine DOI-Governance entsprechen folgende Merkmale für Aktiengesellschaften:

• Kapitalbeschaffungsmöglichkeiten über Börsengang,

• Stimmrechtsberechtigte und stimmrechtslose Aktien,

Folgende Merkmale einer Aktiongesellschaft können die Umsetzung von Anforderungen an eine DOI-Governance behindern:

• Profitorientierung hat Vorrang vor Nutzerbedürfnissen,

• Hoher Gründungs- und Verwaltungsaufwand (Vorstand, Aufsichtsrat, ggf. Börsennotierung, Hauptversammlung),

• begrenzte unmittelbare Einflussnahmemöglichkeit,

• Gefahr feindlicher Übernahmen, ggf. anonymer Kapitalbesitz.

6.3 Auswahl der Rechtsform der DOI-Organisation

Für die Bewertung der am Besten geeigneten Rechtsform für DOI wurde folgen-des Vorgehensmodell definiert:

Zunächst wird ein Kriterienkatalog definiert, mithilfe dessen zu einem späteren Zeitpunkt der Bewertungslauf durchgeführt wird.

Nachdem der Kriterienkatalog mit den maßgeblichen Anforderungskriterien er-stellt ist, werden die zur Auswahl stehenden Rechtsformen (Bewertungskandida-ten) für die DOI-Organisation in einem so genannten Bewertungsdurchlauf be-wertet. Es werden insgesamt 18 Punktsummen in diesem Bewertungszyklus für die neun Bewertungskandidaten (4 Rechtsformen in der öffentlich-rechtlichen Gestaltungsform und 5 Rechtsformen in der Privat-rechtlichen Gestaltungsform) ermittelt. Die Rechtsform mit der höchsten Punktsumme wird als die am Besten geeignete Rechtsform betrachtet.

Tritt der Fall ein, dass die am Besten geeignete Rechtsform nicht der am höchs-ten bewerteten Gestaltungsform zugeordnet werden kann oder zwei Bewertungs-


Seite 106

kandidaten die gleiche Punktsumme erhalten haben, wird der gesamte Bewer-tungsprozess von einem zweitem Bewertungsteam wiederholt.

Jede Bewertung wird kommentiert. Die Kommentare bilden die Basis für die Er-läuterung der Bewertungsergebnisse.

In Bezug auf die am besten geeignete Rechtsform der zunächst zu etablierenden DOI-Vorläuferorganisation wird in einem nächsten Schritt geprüft, ob eine beste-hende Organisation, die der Rechtsform entspricht, für den Aufbau von DOI ge-nutzt werden kann.

Dafür werden aus dem erstellten Kriterienkatalog so genannte „Muss-Kriterien“ ausgewählt. Diese „Muss-Kriterien werden mit „ja“ oder „nein“ beantwortet. Ein aus dem Kriterienkatalog abgeleitetes „Muss-Kriterium“ kann die föderale Beteili-gung an einer bestehenden Organisation sein. In den Fallstudien sind für nahezu jede der untersuchten Rechtsformen „Best Practice Beispiele“ (siehe Kapitel 8) analysiert worden. Das auf die ausgewählte Rechtsform passende „Best Practice Beispiel“ wird bewertet. Wenn für das „Best Practice Beispiel“ ein „Muss-Kriterium“ mit „nein“ beantwortet wird (d.h. dieses Kriterium trifft auf diese beste-hende Organisation nicht zu), dann kann DOI nicht in dieser bestehenden Orga-nisation aufgebaut werden.

Da sich die Anforderungen und Aufgaben einer DOI-Betreiberorganisation im Laufe der Zeit auf Grund geänderter Rahmenbedingungen, die derzeit noch nicht absehbar sind, wandeln können, ist entsprechend den Ausführungen des Ab-schnitts 6.1 ein erneuter Bewertungsdurchlauf für die Bestimmung der Rechts-form der DOI-Regelorganisation zu einem späteren Zeitpunkt notwendig.

6.3.1 Bewertungs-Methodik

Das Auswahlverfahren zur Feststellung der am Besten geeigneten Rechtsgestal-tungsform/Rechtsform für die DOI-Organisation wird mit Hilfe der in der öffentli-chen Verwaltung für die Bewertung von Ausschreibungen eingesetzten Bewer-tungsmethode „gemäß UfAB“ durchgeführt.

Bei diesem Verfahren werden Kriterien zugrunde gelegt, anhand derer die zur Auswahl stehenden Kandidaten bewertet werden. Hierbei erfolgt die Strukturie-rung der Kriterien in der Regel auf drei Ebenen:

• Ebene 1: Kriterienhauptgruppen (KHG)

• Ebene 2: Kriteriengruppe (KG)

• Ebene 3: (Einzel-)Kriterien (K)

Da die Kriterien eine unterschiedliche Bedeutungsrelevanz für die zu treffende Auswahl besitzen können, wird auf jeder Ebene eine Maximalzahl von Gewich-


Seite 107

tungspunkten (normiert auf die Zahlen 10, 100 oder 1000) vergeben und verteilt. Dabei muss die Summe der auf einer Ebene verteilten Gewichtungspunkte der dort vergebenen Maximal-Gewichtungspunktzahl entsprechen.

Für jeden zur Auswahl stehenden Kandidaten werden 1 bis 5 Bewertungspunkte für die Erfüllung eines Kriteriums (Ebene 3) vergeben. Dieses Bewertungsergeb-nis wird mit dem Ergebnis des jeweils aggregierten Gewichtes (Multiplikation der Gewichtungsfaktoren) ausmultipliziert. Die so auf der Ebene 3 jeweils erzielten Ergebnisse werden addiert und ergeben als Punktsumme das Gesamtergebnis für den zur Auswahl stehenden Kandidaten (im Folgenden kurz Bewertungskan-didaten).

6.3.2 Kriterien für die Auswahl der Rechtsgestaltungsform/Rechtsform der DOI-Organisation

Gemäß der UfAB-Methodik werden zunächst die Hauptkriteriengruppen und die Kriteriengruppen definiert.

Für die Bewertung der in Frage kommenden Rechtsgestaltungsfor-men/Rechtsformen der DOI-Organisation werden im Folgenden die aus den fach-lichen und technischen Anforderungen abgeleiteten Hauptkriterien und Bewer-tungsmerkmale festgelegt.


Seite 108

Attraktivität für qualifiziertesPersonal

Schnelle Beschlussfassungund Flexibiltät

Aufwand zur Gründung derVL-Organisation

Handlungsfähigkeit / Leistungsfähigkeit

(Wie können die Anforderungen in derPraxis umgesetzt werden?)

Wirtschaftlichkeit und Finanzierung

Qualität

Governance

Wahrung der Einflussmöglichkeit derföderal Beteiligten

(Was wird gefordert?)

KriteriengruppeHauptkriteriengruppe

Attraktivität für qualifiziertesPersonal

Schnelle Beschlussfassungund Flexibiltät

Aufwand zur Gründung derVL-Organisation

Handlungsfähigkeit / Leistungsfähigkeit

(Wie können die Anforderungen in derPraxis umgesetzt werden?)

Wirtschaftlichkeit und Finanzierung

Qualität

Governance

Wahrung der Einflussmöglichkeit derföderal Beteiligten

(Was wird gefordert?)

KriteriengruppeHauptkriteriengruppe

Abbildung 22: Kriteriengruppierung zur Auswahl der Rechtsgestaltungsform

6.3.2.1 Beschreibung der Hauptkriteriengruppen

• Wahrung der Einflussmöglichkeit der föderal Beteiligten

Dieses Hauptkriterium umfasst alle Kriteriengruppen, die für die Ein-flussmöglichkeiten der verschiedenen Verwaltungsebenen und födera-len Instanzen von Bedeutung sind.

• Handlungsfähigkeit/Leistungsfähigkeit

Dieses Hauptkriterium umfasst alle Kriteriengruppen, die für die Siche-rung der Handlungsfähigkeit und Leistungsfähigkeit der Organisation entscheidend sind.

6.3.2.2 Beschreibung der Kriteriengruppen

• Governance

Diese Kriteriengruppe umfasst alle Kriterien, die für die Umsetzung der politischen Ziele bzgl. Einbindung der Mitglieder in die Aufgaben der


Seite 109

DOI-Organisation, die interne Willensbildung und die Einflussmöglich-keiten auf das operative Geschäft von Bedeutung sind.

• Qualität

Diese Kriteriengruppe umfasst alle Kriterien, die für die Möglichkeiten der föderal Beteiligten ausschlaggebend sind, die Qualität der erbrach-ten Leistungen zu beeinflussen.

• Wirtschaftlichkeit und Finanzierung

Diese Kriteriengruppe umfasst alle Kriterien, die für die wirtschaftlichen Folgen für die Mitglieder von Bedeutung sind.

• Aufwand zur Gründung der VL-Organisation

Diese Kriteriengruppe umfasst alle Kriterien, die aus Sicht der mit der Gründung verbundenen Kosten und Aufwände inkl. einer evtl. späte-ren Änderung der Rechtsform in eine Regelorganisation entscheidend sind.

• Schnelle Beschlussfassung und Flexibilität

Diese Kriteriengruppe umfasst alle Kriterien, die für Effizienz und Fle-xibilität der Organisation entscheidend sind.

• Attraktivität für qualifiziertes Personal

Diese Kriteriengruppe umfasst alle Kriterien, die dafür entscheidend sind, dass die Organisation das für die Leistungserbringung benötigte Personal auch tatsächlich gewinnt.

Die einzelnen Bewertungskriterien (Ebene 3) sind gesondert dokumentiert.

6.3.2.3 Bewertungsergebnis

Die Ergebnisse des Bewertungsverfahrens zur Auswahl der am Besten geeigne-ten Rechtsgestaltungsform/Rechtsform sind bei unterschiedlichen Resultaten für die Vorläuferorganisation bzw. für die Regelorganisation einer eingehenden Ana-lyse im Hinblick auf ihre gegenseitigen Abhängigkeiten und Folgewirkungen zu unterziehen.

In diese Analyse sollen rechtliche Aspekte und Haftungsfragen als auch politische und allgemeine Akzeptanzfragen sowie die Auswirkungen auf Personal, Infra-struktur, Aufwand/Zeit und Sicherstellung von Kontinuität bzw. Stabilität in der Aufgabenwahrnehmung einbezogen werden.

Von besonderer Bedeutung ist die Klärung der Frage, ob die Vorläuferorganisati-on alle anstehenden Vergabeverfahren durchführen kann. Im Rahmen eines Rechtsgutachtens soll geklärt werden, ob die am Besten geeignete Rechtsform


Seite 110

der Vorläuferorganisation eine Vergabe für die Regelorganisation durchführen kann.

6.3.3 Etablierung der DOI-Organisation

Für die Umsetzung der DOI-Organisation als Öffentlich-Rechtliche, Privat-rechtliche Rechtsgestaltungsform oder ggf. PPP soll geprüft werden, ob eine bestehende Organisation genutzt werden kann. Diese Prüfung ist notwendig, da die Gründung der Vorläufer- und der Regelorganisation für DOI mit erheblichen finanziellen und personellen Aufwänden im Vorhaben DOI einhergeht. Unter dem Gebot des Wirtschaftlichen Handelns ist deshalb für die ausgewählte, am Besten geeignete Rechtsform zu prüfen, ob DOI in eine bestehende Organisation integriert werden kann.

Die Anforderungen an die aufnehmende Organisation sind:

• Rechtsfähigkeit,

• Beteiligung von Bund und Ländern sowie Konsensbildung mit den Kommunalen Spitzenverbänden,

• Keine konkurrierende Dienst-, Fach- oder Rechtsaufsicht,

• Erfahrung in (Multi-)Providersteuerung,

• Interesse an der DOI-Realisierung,

• Akzeptanz der DOI-Governance (vor allem der Beauftragung durch die DOI-Steuerungsebene) sowie

• Nutzbarkeit von Rechtsperson, Ressourcen und Sachmitteln für das Vergabeverfahren und die Weiterführung von TESTA-D durch die DOI-Organisation.

Durch die Nutzung bereits vorhandener Strukturen kann ein vergleichsweise ge-ringer Gründungs- oder Etablierungsaufwand entstehen, was im Weiteren zu Vor-teilen bei der frühzeitige Vergabe des DOI-Netzes führen kann. Allerdings soll im Detail mit der aufnehmenden Organisation abgestimmt werden, ob es ggf. kon-kurrierende Aufgabenfelder gibt. Des Weiteren könnte wertvolle Steuerungserfah-rung der bestehenden Organisation genutzt werden. Hinsichtlich der Haftungsfra-gen sollen für beide Seiten akzeptable und tragfähige Regelungen getroffen werden.

Bei Neugründung einer rechtsfähigen DOI-Organisation ergibt sich u.a. die Mög-lichkeit, eine optimale Anpassung und Ausrichtung der Organisation an die ver-folgten Ziele - ohne Beachtung bereits bestehender Strukturen - vorzunehmen.


Seite 111

7 FINANZEN UND BETEILIGUNGEN

Hier werden verschiedene Varianten für die finanzielle Beteiligung an den Kosten der DOI erörtert:

• Die Finanzierung der DOI erfolgt ergänzend wie bei TESTA-D neben den monatliche Anschlussgebühren zusätzlich auch über Fixkosten-beiträge. Dies kann auf Grund erhöhter Aufwendungen durch die Pro-fessionalisierung der Organisation im Vergleich zur heutigen TESTA-D-Organisation erforderlich werden.

• Die Finanzierung der DOI wird zwischen allen Nutzern entsprechend dem jeweiligen Nutzungsgrad aufgeschlüsselt.

• Die Finanzierung erfolgt nach dem Königsteiner Schlüssel.

• Direkt zurechenbare Kosten werden vom jeweiligen Nutzer getragen, z.B. Anschlusskosten, Mehrwertdienste und Sonderprojekte.

• Monatliche Anschlusskosten werden pauschal (d.h. inkl. beliebig ho-hem Datenvolumen) eingekauft und abgerechnet. Mehrwertdienste werden, wo dies sinnvoll ist, ebenfalls pauschal abgerechnet („flat“). In Fällen deutlich erhöhter Kosten durch erhöhte Nutzung (z.B. Spei-cherplatz beim Backup-Dienst) wird erst bei mehrfacher Überschrei-tung einer gewissen Schwelle ein erhöhter Betrag berechnet, ggf. auch verbrauchsabhängig („fair flat“). Dabei ist der Aufwand für Erfas-sung und Abrechnung gegen die Höhe der tatsächlichen Erlöse abzu-wägen.

• Alle Nutzer können auch als Lieferanten von Mehrwert-Diensten auf-treten; entsprechende Erlöse können mit den Kosten für andere DOI-Dienste verrechnet werden.


Seite 112

Die folgende Tabelle zeigt ein Beispiel für einen Finanzierungsvorschlag nach Kostenarten und föderaler Ebene:

Kosten Bund Länder Kommunen

Vorhaben DOI Anteil gemäß Vereinbarung mit Federführer

Anteile gemäß Vereinbarung mit Federführer & ggf. weiteren Ländern

voraussichtlich keine

Erstellungskos-ten DOI-Netz

1 Anteil Je 1 Anteil ge-mäß Königstei-ner Schlüssel

Keine (ggf. Kommunen, die heute einen TESTA-D-Direktanschluss haben)

DOI-Organisation 1 Anteil Je 1 Anteil ge-mäß Königstei-ner Schlüssel

1/n Anteil je Di-rektanschluss (n: je nach Größe)

Konnektivität Monatlich, nach Bandbreite und SLA (Flatrate)

Basisdienste In den Anschlusskosten (siehe Kon-nektivität) enthalten

Mehrwertdienste Jeder Nutzer eines Mehrwertdiens-tes, pro Dienst möglichst pauschal je Nutzer oder Anwender, Verrechnung mit selbst bereitgestellten Diensten

Projekte zur Umsetzung von beson-deren Anforderungen

Nach Aufwand

Tabelle 5: Finanzierungsvariante für DOI

In der Entscheidungsvorlage zur Gründung der DOI-Vorläuferorganisation wer-den konkrete Ausprägungen der Beteiligungen und des Finanzierungsmodells er-örtert.


Seite 113

8 FALLSTUDIEN

Die Fallstudien dienen der Sammlung von Informationen und Erkenntnissen aus der Planung, dem Aufbau und dem Betrieb von anderen komplexen sowie orga-nisationsübergreifenden öffentlichen und privaten Kommunikationsinfrastrukturen. Diese Informationen und Erkenntnisse liefern wichtige Hinweise für die Umset-zung von DOI.

Im Rahmen der Projektarbeit wurden folgende Quellen verwendet:

• durchgeführte Interviews mit strukturiertem Interviewleitfaden

• verfügbare Dokumente (öffentliche Informationen) und

• vorhandenes Beraterwissen.

Die Interviews wurden mit Entscheidungsträgern der befragten Organisationen geführt. Im Wesentlichen fokussierte die Untersuchung der Praxisbeispiele auf die Kommunikationsinfrastruktur lieferte darüber hinaus jedoch auch Erkenntnis-se zur Gesamtarchitektur und Governance der betrachteten Institutionen.

Die wichtigsten Ergebnisse jeder untersuchten Kommunikationsinfrastruktur wer-den jeweils in einem zusammenfassenden „Fact Sheet“ im Anhang dargestellt.

8.1 Interview-Themenliste

Der Themenkatalog für die Interviews wurde gemeinsam mit dem Projekt „Netze des Bundes“ festgelegt. Für beide Vorhaben relevante Kommunikationsinfrastruk-turen wurden gemeinsam bearbeitet. Der Interviewleitfaden umfasste alle für die Fallstudien relevanten Fragestellungen. Auf der Grundlage der Vorab-Recherchen wurde je Interview eine Vorauswahl an Themen und Fragen getrof-fen. Die Interviews konzentrierten sich auf die jeweils ausgewählten Themen.

8.2 Beschreibung der untersuchten Kommunikationsinfrastrukturen

In den folgenden Abschnitten werden die einzelnen, untersuchten Kommunikati-onsinfrastrukturen aus den Fallstudien beschrieben. Dabei werden die Ergebnis-se nach den oben genannten Themen gegliedert. In einem Fazit werden die Er-kenntnisse jeweils zusammengefasst.


Seite 114

8.2.1 TESTA-D

TESTA-D wird bereits in Kapitel 2.4 ausführlich beschrieben.

8.2.2 Deutsches Forschungsnetz (DFN)

Das Deutsche Forschungsnetz (DFN) des DFN-Vereins ist ein flächendeckendes Netz mit über 2 Mio. Anwendern und einem mehrschichtigen Liefermodell. Die dargestellten Informationen stammen aus dem von Netze des Bundes geführten Interview und der Stoffsammlung.


Im DFN steuern etwa 50 Personen die Dienstleister, betreiben die Routing-Plattform, unterstützen die Nutzer, entwickeln die Infrastruktur weiter und for-schen z.B. zu Methoden des verteilten Rechnens.

Entscheidungen werden per Mehrheitsbeschluss durch die Mitgliederversamm-lung getroffen. Mittels Schulungen, Tagungen, Workshops, Konferenzen und Fo-ren werden Mitglieder und Nutzer informiert und in die verschiedenen Prozesse einbezogen.

Die DFN-Verbindungen sind für 10 Jahre von den Netzanbietern KPN und Gas-LINE gemietet; es werden Teilstrecken des jeweils günstigsten Anbieters kombi-niert. Das Glasfasernetz kauft der DFN für 5 Jahre beim chinesischen Anbieter Huawei ein. Der Betrieb der Routing-Plattform wird vom DFN selbst durchgeführt. Die reale Verfügbarkeit beträgt 99,9%, angestrebt werden 99,99% durch doppelte Anbindungen.

Die folgende Abbildung zeigt die Topologie des DFN-Kernnetzes:


Seite 115

Abbildung 23: Topologie des DFN-Kernnetzes

Die Mehrwertdienste DFN-PKI (Zertifikate-Dienst) und DFN-CERT (Notfallteam für Sicherheits-Vorfälle) werden von externen Unternehmen erbracht, an denen der DFN nicht beteiligt ist.

Das Betriebshandbuch des DFN entspricht weder einem Standard, noch richtet es sich an ITIL aus. Nach Auskunft des DFN entspricht es aber dem Bedarf und den Anforderungen der Mitglieder.

8.2.2.2 Rechtsform

Der DFN ist ein rechtsfähiger, gemeinnütziger, eingetragener Verein (e.V.). Eine Besonderheit des DFN ist das satzungsmäßige Verbot, als Anbieter an Aus-schreibungen teilzunehmen. Nutzer des DFN müssen allerdings nicht ausschrei-ben, da der DFN seine eigenen Beschaffungen bereits nach europäischem Recht ausgeschrieben hat.

Die Rechtsformen und ihre Eigenschaften sowie deren Eignung für DOI werden im Kapitel 6 besprochen.


Seite 116


Das wichtigste Element der rechtlichen Regularien gegenüber den Nutzern ist der Rahmenvertrag. Er ist umfasst weniger als 10 Seiten; je Mehrwertdienst gibt es eine weitere Rahmenvereinbarung von ca. 2-3 zusätzlichen Seiten. Aus Vereinfa-chungsgründen wurden die AGBs abgeschafft.

Die Pflichten der Nutzer werden in einer einfach gehaltene Benutzerordnung ge-regelt (5 Seiten, siehe http://www.dfn.de/dienstleistungen/ dfninter-net/benutzungs-ordnung/ vom Mai 2007). Sie richtet sich an Nutzer-Administratoren, welche diese auch bei ihren Anwendern bekanntmachen und durch lokale Benutzerordnungen mit Bezugnahme zur DFN-Ordnung ergänzen sollen.

Organisatorisch

Der Vorstand führt die Geschäfte nach Maßgabe der Satzung, welche die Orga-nisationsstruktur vorgibt. Die Leistungen können auch von Nicht-Mitgliedern be-zogen werden.

Die organisatorische Schnittstelle zu den Nutzern wird von der Benutzerordnung geregelt. Sie verlangt die Benennung von Ansprechpartnern für Netzadministrati-on, Sicherheit, Postmaster, Anwendungen und Beratung/Ausbildung bei jedem Nutzer und benennt die jeweils zu übertragenden Aufgaben. Es wird ausdrücklich zugelassen, dass mehrere dieser Aufgaben von derselben Person wahrgenom-men werden.

Technisch

Die Infrastruktur besteht aus einer vollvermaschten Ring-Topologie auf optischer Basis. Dies ermöglicht praktisch unbegrenzte Bandbreiten zwischen den über 50 Kernstandorten. Auf jede der bis zu 144 Fasern eines Kabels können gleichzeitig bis zu 160 verschiede „Lichtfarben“ (Wellenlängen im unsichtbaren Bereich) mit jeweils 10 Gbit/s Kapazität transportiert werden, also bis zu 1,6 Tbit/s je Faser.

Der Nutzeranschluss erfolgt über Ethernet. Ethernet wird nicht nur am lokalen Anschlusspunkt, sondern auch im WAN mit bis zu 10 Gbit/s Bandbreite verwen-det. Die Begrenzung der Ethernet-Kabellängen auf 100m (Kupfer) bzw. 4 km (Glasfaser) wird durch Verwendung des Ethernet-Protokolls bereits auf der Netz-zugangsschicht (MAC-Adresse, Switching) aufgehoben. Die Verkehrssteuerung erfolgt nicht über MPLS. Die VPN-Funktionalität von MPLS wird nicht benötigt, da private Netze bereits auf physikalischer Ebene (Lichtfarbe) definiert werden. Die breitbandige Auslegung des Netzwerkes macht außerdem die Verkehrssteue-rungs-Funktionen von MPLS überflüssig. Daher entschied sich der DFN für das Routing-Protokoll OSPF. Nach Aussage des DFN machen die hohen Bandbrei-tenreserven außerdem einen Dienstgüte-Standard (QoS) überflüssig.


Seite 117

Der neue Adressierungsstandard IPv6 ist parallel zum bisherigen IPv4 flächende-ckend verfügbar (Dual Stack).

Sicherheit

Die Benutzungsregeln des DFN enthalten Empfehlungen zur Verhinderung von Missbrauch (Hacking, Spam-Versand, Download urheberrechtlich geschützter Dateien etc.) an die Nutzer. Dort werden z.B. die Verpflichtung der Anwender zur vertraulichen Behandlung von Passworten und andere Grundregeln empfohlen. Die Minimierung der Speicherung persönlicher Daten hingegen wird ausdrücklich verlangt.

Bei Verstößen sind die Nutzer gehalten, den Missbrauch abzustellen und sich gegenseitig zu informieren. Zur Wahrung der Interessen aller Nutzer behält es sich der DFN vor, Personen oder Einrichtungen von der Nutzung der Infrastruktur auszuschließen. In schwerwiegenden Fällen, d.h. bei der Verletzung von gelten-dem Recht, können auch zivil- oder strafrechtliche Schritte eingeleitet werden.


Der DFN finanziert sich durch Mitgliedsbeiträge und Nutzungsentgelte für die Inf-rastruktur. Die Mitglieder müssen keine Gesellschaftsanteile erwerben.

Der DFN sieht sich nicht primär als Netzwerkdienstleister. Nach seinem Ver-ständnis besteht auch kein Anbieter-Kundenverhältnis bei der Erbringung der Netzdienstleistungen für seine Mitglieder. Das Selbstverständnis des DFN ent-spricht dem einer Vermögensverwaltung, mit der DFN-Infrastruktur als Vermö-gen. Dieses Vermögen wird durch die monatlichen Anschlusskosten der Nutzer finanziert.

Die Beteiligung der Nutzer erfolgt durch die Mitgliedschaft und die Beteiligung an den mehrheitlichen Abstimmungen.

DFN-Anschlüsse können bundesweit zum gleichen Preis bezogen werden. Dabei werden Mehrkosten in dünner besiedelten Gebieten, z.B. durch erforderliche An-schlussarbeiten oder Fremdleitungen durch leicht erhöhte Kosten in den Bal-lungsgebieten querfinanziert.

8.2.2.5 Diensteportfolio

Der primäre Dienst ist die vollständige Vernetzung aller DFN-Nutzer, der Zugang zu anderen Forschungsnetzen und zum Internet. Dabei bietet DFN große Band-breiten, die manche Nutzer z.B. für verteiltes Rechnen benötigen.

Die Entgelte sind ortsunabhängig und z.B. für einen Regelanschluss „DFNInter-


Seite 118

net“ pauschal pro Monat (Stand 6/2007) wie folgt gestaltet:

• 100Mbit/s; 5.166 €

• 1Gbit/s, 23.750 €

• 10Gbit/s, 47.500€

Auf Wunsch ist alle 12 Monate eine Verdoppelung der Bandbreite ohne Kosten-erhöhung erhältlich.

Es werden zahlreiche Mehrwertdienste angeboten, z.B. eine PKI, eine Authentifi-zierungs- und Autorisierungs-Infrastruktur (AAI), IP-Telefonie, Video Conferen-cing, SAP Zugang, WLAN Roaming und ein Notfalldienst für Sicherheitsvorfälle (Computer Emergency Response Team, DFN-Cert). Letztgenannter Bereich weist laut Angaben des DFN ein starkes Wachstum auf.

8.2.2.6 Sicherheit

Die Infrastruktur besteht auf der Netzzugangsebene aus Glasfasern und opti-schen Switchen (DWDM-Technik, Dense Wavelength Division Multiplexing). Die privaten Netze verschiedener Nutzer werden bereits auf der physikalischen Ebe-ne als jeweils eigene „Lichtfarbe“ (d.h. unsichtbare Wellenlängen) in der Glasfa-ser realisiert. Alle Netzaktivitäten und der logische wie physische Zugriff auf alle Netzwerkkomponenten sowie den Wartungszugang unterliegen der vollen Kon-trolle des DFN. Da es sich um eine eigene Infrastruktur handelt, bestehen um-fangreiche Zugriffsmöglichkeiten und -rechte.

Die Leitungen verlaufen teilweise zusätzlich gesichert (d.h. bei GasLINE entlang der Gaspipeline-Trassen). Der unbefugte Zugriff auf eine einzelne der vielen Lichtfarben in einer Glasfaser ist schwierig, weil dazu ein Eingriff in die Faser er-forderlich wäre. Ein solcher Eingriff in die Faser würde jedoch wegen der daraus resultierenden Veränderungen der Dämpfungswerte automatisch bemerkt.

8.2.2.7 Fazit

Die DFN-Infrastruktur entspricht dem neuesten technischen Stand, ist bundesweit verfügbar und bietet umfassende und preislich wettbewerbsfähige Dienstleistun-gen an. Durch die gemeinnützige Vereinsstruktur besteht weder die Gefahr der Übernahme durch ausländische Konzerne noch müssen Gewinne erzielt werden. Der DFN hat seine Bereitschaft zur Beteiligung beim Auf- und Ausbau von DOI ausgedrückt.

Als Best Practices für die Gestaltung einer DOI-Organisation und des DOI-Netzes sind die folgenden Punkte hervorzuheben:


Seite 119

• die deutschlandweit zum Einheitspreis verfügbaren Anschlüsse,

• das umfangreiche Portfolio an Mehrwertdiensten,

• die Architektur der Infrastruktur als vollvermaschtes, preisgünstiges Hochleistungsnetz,

• die umfassende Einbeziehung der Nutzer und damit verbunden ein hohes Maß an Konsens,

• das konsequent auf spezialisierte Anbieter und maximale Kontrolle ausgerichtete Sourcing-Modell sowie

• die einfache Gestaltung des Nutzer-Regulariums.

8.2.3 Herkules

Beschreibungen zu Herkules sind unter http://www.bwi-it.de/ zu finden.

8.2.4 BOS-Digitalfunk

Beschreibungen zu Herkules sind unter http://www.bdbos.bund.de/ zu finden.

Die Ergebnisse der Erhebungen zu den betrachteten Fallstudien Herkules und BOS-Digitalfunk werden gesondert dokumentiert.

8.2.5 ENX (European Network Exchange)

Der ENX-Verein betreibt das Netzwerk der europäischen Automobilindustrie. Er wird von großen Autoherstellern und deren Zulieferern getragen und gesteuert, eine internationale Expansion ist geplant. ENX arbeitet als Non-Profit-Organisation. Die Infrastruktur wird von 600 Organisationen mit ca. 1000 Standor-ten genutzt.


Der Verein hat 17 Mitglieder (Automobilhersteller, Industrieverbände und einige große Zulieferer). Viele Nutzer sind, wie beim DFN, keine Vereinsmitglieder.

Es gibt im Verein fünf operativ tätige Personen, die in der Geschäftsstelle in Frankfurt tätig sind. Der Betrieb der Datenaustauschpunkte und der Zugangs-Leitungen ist weitgehend ausgelagert.

Die Datenaustauschpunkte werden von einer Tochter der Deutschen Telekom


Seite 120

betrieben. Die Nutzeranschlüsse und die benötigte Hardware werden von fünf ENX-zertifizierten Providern bereitgestellt. ENX ist - analog zur Koordinierungs-stelle von TESTA-D - über eine Umlage am Umsatz beteiligt. Die Verbindungen zwischen Nutzer und Providern können nur durch eine ID hergestellt werden, die von ENX verwaltet wird.

8.2.5.2 Rechtsform

Der ENX ist ein französischer Verein.

Durch das Direkt-Vertragsverhältnis zwischen Nutzer und Provider gibt es kein di-rektes Kundenverhältnis zwischen ENX und den Nutzern, somit liegt die Haftung für Betriebsstörungen nicht bei ENX, sondern bei den Providern. Vor der Frei-schaltung müssen die Nutzer den AGB des ENX zustimmen.


Organisatorisch

ENX ist als eingetragener Verein mitgliedschaftlich verfasst, d.h. das maßgebli-che Regelwerk für die Organisation ist die Satzung des Vereins. Weiterhin gibt es Nutzungsbedingungen, die für alle Nutzer verbindlich sind. ENX behält sich die Freischaltung neuer Nutzer vor und koppelt diese zusätzlich an eine Zertifizierung der verwendeten Provider und Geräte.

Technisch

Der ENX-Betreiber stellt lediglich einige zentrale Datenaustauschpunkte zur Ver-fügung (Point of Interconnection, POI). Er setzt Standards, insbesondere zur Kompatibilität der verschiedenen beteiligten VPN-Plattformen.

Das ENX-Netzwerk ist kein „any to any“-Netzwerk, sondern besteht nur aus ver-schlüsselten Punkt-zu-Punkt-Verbindungen. Diese können mit geringem Aufwand so konfiguriert werden, dass jeder Nutzer mit jedem anderen kommunizieren kann.

Die Anbindungen sind als virtuelle, verschlüsselte Verbindungen über die Netze der Provider realisiert. Manche der typischen Anwendungen sind extrem datenin-tensiv (Austausch von Konstruktionsdaten und 3D-Simulationen). Daher werden Bandbreiten von 1 GBit/s angeboten. Die Mehrzahl der Nutzer sind Zulieferer, die im Durchschnitt mit ca. 512 kBit/s angeschlossen sind. ENX verbindet sowohl verschiedene Standorte eines Nutzers als auch verschiedene Nutzer der Bran-che, das heißt, die Nutzer können ENX auch als internes WAN nutzen. Das Sys-tem ist über ein separates SSL-Gateway zu Wartungszwecken über das Internet erreichbar.


Seite 121

Zentrale Bedeutung hat bei ENX die Standardisierung zwischen verschiedenen VPN-Plattformen und Providern. Dafür wird eine IPsec Verschlüsselung verwen-det, für deren Nutzung die Provider und Plattformen zertifiziert (Technik und Pro-zesse) werden. Ohne einen Zugriffscode von ENX kann trotz vorhandenem Pro-videranschluss keine Verbindung aufgebaut werden.

Der Zugang zum Austauschknoten erfolgt über die MPLS-Netze der Provider.

Die Kundenschnittstelle ist immer als Ethernetanschluss ausgeführt.

Dienstgüten (QoS) sollen aufgrund steigender Nachfrage ab 2008 eingeführt werden.


Der ENX finanziert sich aus einer Umsatzbeteiligung an den Nutzer-Anschlüssen. Die Gremienarbeit findet über die Verbände der Automobilwirtschaft statt. Dreimal jährlich finden Nutzerversammlungen statt.


ENX konzentriert sich auf die Aspekte Zertifizierung und Providersteuerung. Der Verein stellt lediglich das Adressmanagement und die PKI für die IPsec Verbin-dungsauthentisierung bereit.

8.2.5.6 Sicherheit

Alle Zugänge zu den Datenaustauschpunkten sind verschlüsselt; die beteiligten Endpunkte authentisieren sich gegenseitig über digitale Zertifikate. Zu deren Verwaltung wurde ein eigener PKI-Dienst implementiert, der das Schlüsselmana-gement der IPsec Geräte mit bis zu 4.000 gleichzeitigen Verbindungen unter-stützt. Das Netzwerk ist als geschlossene Nutzergruppe mit „Eins zu Eins“-Verbindungen konzipiert. Die Konzeption ist der von TESTA-D sehr ähnlich.

8.2.5.7 Fazit

Wesentliches Charakteristikum von ENX ist die Wahlfreiheit der Nutzer hinsicht-lich des Providers. Durch den Wettbewerb ist das Preis-Leistungsverhältnis marktgerecht und die Akzeptanz der Nutzer gut.

Weitere Best Practices für DOI sind:

• der Betrieb mit minimalen eigenen Ressourcen als Non-Profit-Organisation,


Seite 122

• die Konzeption als geschlossenes und damit sehr sicheres Netz für ei-ne interne Nutzergruppe,

• die Zertifizierung von zugelassenen Plattformen und Providern,

• die sichere Authentisierung von Kommunikations-Endpunkten über di-gitale Zertifikate und eine PKI,

• die ausschließliche Verwendung verschlüsselter Verbindungen,

• die zentrale Umlage zur Finanzierung zentraler Ressourcen sowie

• die Verwendung gängiger und verbreiteter Standards und einfacher Schnittstellen (Ethernet + Provider-Router).

8.2.6 DE-CIX (Deutscher Commercial Internet Exchange)

Der DE-CIX ist der größte und wichtigste der deutschen Internet-Austauschknoten (Peering Point, d.h. Austauschknoten für Internet-Datenverkehr). Er bedient über 60% der Deutschen Internetanwender bei über 200 angeschlossenen Providern (Nutzern). Mit über 200 Gbit/s Kapazität und durchschnittlicher Auslastung von 95 Gbit/s ist er einer der drei größten europäi-schen Betreiber.

Die dargestellten Informationen stammen aus dem durchgeführten Interview, ei-ner Stoffsammlung aus öffentlich zugänglichen Quellen sowie einem Expertenge-spräch mit einem langjährigen DE-CIX Architekten.


Der DE-CIX wird von einer Management GmbH betrieben, welche vom „eco e.V.“ (Verein der deutschen Internetwirtschaft) getragen wird. Die Aufteilung in Verein und Betriebs-GmbH wurde gewählt, um den Betrieb des Austauschknotens un-abhängiger von der Vereinspolitik zu machen. Im Unterschied zum DE-CIX ist der Träger der .de Domain-Vergabestelle (DENIC) als Genossenschaft ohne separa-te Betriebsgesellschaft organisiert.

Der DE-CIX wird mit ca. 10 Vollzeitstellen betrieben.


Organisatorisch

Die DE-CIX-Infrastruktur wird von der DE-CIX Management GmbH betrieben. De-ren Organisation wird vom Arbeitskreis DE-CIX im Verein „eco“ (Träger) gesteu-ert.


Seite 123

Technisch

Der DE-CIX benötigt lediglich eine Basis-Netzwerkinfrastruktur auf der Netz-schicht 2 (Switching) zur Verbindung der vier Datenaustauschpunkte mit jeweils zwei hochperformanten Switchen. Auf der Netzebene 3 (Routing) wird BGP als Routing-Protokoll zum Anschluss der Provider genutzt. Innerhalb der DE-CIX Inf-rastruktur wird lediglich Ethernet als Protokoll benutzt. Die Bandbreitenreserven sind, ähnlich wie beim DFN, so hoch, dass im Normalbetrieb kein QoS erforder-lich ist.

SLAs sollen ab 2008 angeboten werden.

Sicherheit

Der DE-CIX wird auf der Basis einer BSI-Grundschutzzertifizierung betrieben. Von den Nutzern sind alle Anforderungen der technischen Anforderungen einzu-halten (siehe, http://www.decix.de/info/DE-CIX_technical_requirements.pdf). Sie regeln die zu verwendenden Protokolle und einige Konfigurationsparameter, die den reibungslosen Betrieb der Plattform sicherstellen.

Die technischen Anforderungen enthalten jedoch kein sicherheitsspezifisches Nutzer-Regularium. Der DE-CIX versteht sich ausschließlich als Austauschknoten für Internet-Datenverkehr. Die Bewertung des Verkehrs als „sicher“ oder „unsi-cher“ sieht der DE-CIX nicht als seine Aufgabe. Dies wird den angeschlossenen Internetprovidern überlassen.


Alle Nutzer des DE-CIX zahlen einmalige Anschluss- sowie monatliche Nutzung-sentgelte entsprechend den genutzten Anschlüssen (Ports). Der Umsatz von DE-CIX beträgt ca. 4 Mio. €/Jahr im Vergleich zu 6 Mio € Jahresumsatz des gesam-ten „eco-Vereins.

Innerhalb des eco repräsentiert ein Arbeitskreis DE-CIX die Interessen der Provi-der und entsendet zwei (nicht weisungsgebundene) Vertreter in den 3-köpfigen DE-CIX-Beirat. Die dritte Person entsendet der eco-Verein. Damit haben die Nut-zer keinen direkten Durchgriff auf die Betriebsorganisation.


Der primäre Dienst des DE-CIX ist das „öffentliche peering“ (public peering) – al-so die „any to any“-Verbindung der Provider untereinander. Ergänzend wird „pri-vates peering“ angeboten, d.h. die „Punkt zu Punkt“-Verbindung zweier Provider. Der für die Anbindung jeweils erforderliche Router kann beim DE-CIX unterge-bracht werden (Router colocation).


Seite 124

Weiterhin bietet der DE-CIX eine Benutzerunterstützung an (Help Desk).

8.2.6.5 Sicherheit

Da die von DE-CIX betriebene Infrastruktur kritisch für alle Deutschen Internet-nutzer ist, ist sie vierfach redundant aufgebaut und bei vier verschiedenen Provi-dern an einem Glasfaserring (Dark Fiber) in Frankfurt/M. angeschlossen. An die-se sind die Nutzer sternförmig angeschlossen.

Obwohl QoS im Normalbetrieb wegen der hohen Bandbreiten nicht benötigt wird, ist es trotzdem als Schutz vor „Denial of Service“ (DOS) -Angriffen implementiert. Im Falle der Überflutung mit sinnlosem Netzverkehr durch Angreifer kann so der eigentliche Kundenverkehr priorisiert werden.

8.2.6.6 Fazit

Best Practices des DE-CIX hinsichtlich einer DOI-Organisation sind

• der Betrieb mit minimalen eigenen Ressourcen als Non-Profit-Organisation,

• das Konzept des vernetzten, höchstverfügbaren Datenaustauschpunk-tes, welcher die Zusammenschaltung bestehender Netze ermöglicht,

• die operative Trennung der politischen Ebene (Verein) und der Be-triebsorganisation (Management GmbH),

• die Nutzung von QoS als Sicherheitsmaßnahme trotz vorhandener Bandbreitenreserven (Priorisierung von berechtigtem Datenverkehr bei Überflutungsangriffen) und

• die hohe Redundanz dieser für Deutschland äußerst kritischen Infra-struktur, die freiwillig und nicht aufgrund gesetzlicher Regulierung ge-schieht.

8.3 Zusammenfassende Ableitung der Best Practices aus den Fallbetrachtungen

Resultierend aus der Betrachtung unterschiedlicher Praxisbeispiele lassen sich - bezogen auf Aspekte des Betriebs und der Organisation, der Finanzierung und Beteiligungsmöglichkeiten, der Rechtsformen sowie der Regularien und Stan-dards - folgende Best Practices für das Vorhaben DOI ableiten.


Seite 125

8.3.1 Betreiberkonzepte und Organisationsmodelle

Alle untersuchten privaten Betreiber organisationsübergreifender Infrastrukturen haben sich als eingetragene (d.h. rechtsfähige), nicht profitorientierte Vereine (e.V.) organisiert. Für die Mitglieder deckt der Verein einen konkreten, genau de-finierten Bedarf und ist auf die optimale Erfüllung dieses einen Zwecks ausgerich-tet. In der Folge ergeben sich ein sehr hoher Marktanteil im betreffenden Seg-ment und ein hoher Grad an Konsens unter den Nutzern. Die Vereine arbeiten mit minimaler Personalausstattung.

Die untersuchten Betreiber der öffentlichen Infrastrukturen sind jeweils unter-schiedlich organisiert:

• Die BDBOS ist wegen der Wahrnehmung hoheitlicher Aufgaben als Anstalt öffentlichen Rechts (AöR) konstituiert.

• TESTA-D wird - historisch bedingt - vom KoopA ADV ohne Rechtsform getragen.

• Herkules ist eine gemischtwirtschaftliche PPP mit öffentlicher Minder-heitsbeteiligung.

Die Infrastrukturen von Herkules und BOS-Digitalfunk sind noch in der Entste-hungsphase und bei beiden macht das Netzwerk nur einen Teil des Gesamtleis-tungsumfangs aus.

Alle untersuchten Organisationen lassen netzwerknahe Dienste (d.h. Verlegung und Betrieb von Kabeln, Switchen und Routern) von Providern bzw. Dienstleistern erbringen. Bei ENX und DE-CIX sind jeweils mehrere Dienstleister beteiligt.

Die Aufbauorganisation ist bei allen untersuchten Kommunikationsinfrastrukturen in mehrere Ebenen aufgeteilt:

• Auftraggeber/politische Ebene

• Steuerung

• Fach- und Nutzergremien

• Provider-Steuerung und Rechtsträgerschaft

8.3.2 Finanzierungsvarianten und Beteiligungsmodelle

Die drei Vereine DE-CIX, DFN und ENX finanzieren sich aus Mitgliedsbeiträgen und Einnahmen aus dem Dienstleistungsgeschäft. Die Nutzung der Dienstleis-tungen ist jeweils auch ohne Mitgliedschaft möglich. Die Beteiligung dieser Nutzer erfolgt dann über die Nutzerforen. Anfallende Investitionskosten werden durch Überschüsse aus den Beiträgen finanziert. Teilweise werden kreative Wege der


Seite 126

Kostenreduzierung beschritten, z. B. kann der DE-CIX als Referenzanwender ei-nes Switch-Herstellers gratis über die erforderlichen Hochleistungsgeräte verfü-gen.

Die laufenden Kosten von Herkules werden über den Haushalt des BMVg finan-ziert. Die BDBOS wird über eine Mischfinanzierung von Bund und Ländern fin-ziert. Die nicht direkt zurechenbaren Kosten werden hier nach dem Königsteiner Schlüssel aufgeteilt.

Insgesamt lässt sich die Empfehlung ableiten, den finanziellen Aufwand durch in-telligente Nutzung vorhandener Strukturen (konkret z.B. des bestehenden Daten-austauschpunktes zu sTESTA), günstige Marktgegebenheiten (durch Beteiligung mehrerer Provider/Carrier) und eine „schlanke“ Organisation gering zu halten.

8.3.2.1 Rechtsformen

Wie die Fallstudien zeigen, ist insbesondere die Rechtsform eines eingetragenen Vereins in bestimmten Marktsegmenten verbreitet. Diese Rechtsform wird auch für DOI geprüft. Die für DOI relevanten Rechtsformen werden in Kapitel 6.2 be-schrieben; ein Kriterienkatalog zu ihrer Bewertung wird in Kapitel 6.3.2 vorge-stellt.

8.3.3 Regularien und Standards

Organisatorisch

Die untersuchten Vereine beteiligen die Nutzer über die Mitgliederversammlung und entsprechende Foren an den Entscheidungsprozessen. Hervorzuheben ist unter den Vereinen beim DE-CIX die Entkopplung der Betriebsorganisation als separate GmbH von der politischen Ebene (Trägerverein eco).

Die föderalen Beteiligungsverhältnisse bei der BDBOS sind im Verwaltungsab-kommen, Satzung und BDBOS-Gesetz fixiert. Die Leitung der AöR kann in der Folge im Rahmen der Beschlüsse des Verwaltungsrates autonom handeln.

Technisch

Alle untersuchten Infrastrukturen basieren auf der IP-Familie. Die meisten nutzen zur Netzsteuerung die MPLS-Technologie (außer DFN). Die Backbones sind - bis auf TESTA-D - sehr breitbandig. Kleinere Standorte werden i.d.R. mit DSL ange-bunden, für Sonderfälle sind auch ISDN-Anbindungen verfügbar. Bandbreiten-überschüsse werden in den untersuchten Kommunikationsinfrastrukturen zur Einsparung von Verkehrssteuerung (MPLS, bei DFN), Dienstgüteverwaltung (QoS, bei DFN und DE-CIX) sowie als Reservefunktion im Fall von Spitzenlasten und bei Hacker-Angriffen genutzt.


Seite 127

Die Standards werden in der Regel durch die Beistellung einheitlich vorkonfigu-rierter Geräte implementiert. Die technische Schnittstelle zum Nutzer-Netz redu-ziert sich damit auf einen Ethernet-Anschluss mit einem zum jeweiligen Netz pas-senden IP-Adressbereich. Allerdings muss bei der Verwendung von Ethernet im WAN (siehe DFN) geprüft werden, ob eine komplexe Behebung von Störungen notwendig wird.

Die technische Standardisierung erstreckt sich in der Regel auch auf verfügbare Basisdienste (z.B. DNS) oder Mehrwertdienste (z.B. einheitlich verfügbare PKI).

Sicherheit

Verbindungen werden in den untersuchten Kommunikationsinfrastrukturen fast immer mit IPsec VPN-Technologie verschlüsselt (außer DE-CIX, dort nur Transit-verkehr, beim DFN, dort bereits auf physikalischer Ebene). Bei BOS und Herku-les sind die Ziel-Architekturen noch in der Entstehung und konnten nicht ab-schließend untersucht werden werden. Die eingesetzten Geräte sind durchweg mit digitalen Zertifikaten ausgestattet, die über eine eigene Schlüssel-Infrastruktur verwaltet werden.

Bei den Behördeninfrastrukturen sind BSI-konforme Standards und Sicherheits-konzepte realisiert. Bei den privaten Betreibern sind gleichfalls entsprechende Regelwerke und Sicherheitsmaßnahmen umgesetzt.

In den Nutzerregeln finden sich Vorschriften, die alle Nutzer und ihre Anwender zu sicherheitskonformem Verhalten verpflichten (Schutz gegen Hacker, firewall-geschützte Anbindung, Zugangsschutz für Geräte, Informationspflichten und defi-nierte Ansprechpartner).


Seite 128

Die folgende Tabelle vergleicht die Organisationsebenen der untersuchten Kommunikationsinfrastrukturen mit den vier Ebenen der DOI-Governance.

Herkules BOS Digitalfunk ENX TESTA-D DFN DE-CIX Ebene

(PPP: GmbH) (AöR) (Französischer Ver-ein)

(keine Rechtsform) (e.V.) (e.V. + GmbH)

Politisch BMVg Präsident und Ver-waltungsrat der BDBOS (Je 1 Mit-glied von Bund und je Land), Bestellung durch BMI bzw. Län-der

Mitgliederversammlung (17 Vertreter von Auto-herstellern, großen Zu-lieferern, Industriever-bände)

Mitglieder des KoopA (Gebietskörperschaften)

DFN Mitglieder, v.a. aus der Forschung, Un-ternehmen, Bun-des/Landesämter

Arbeitskreis DE-CIX im ECO Ver-ein (Mitglieder-versammlung, Vorstand)

Steuerung (Beschluss-gremium)

StS im BMVg IT-Amt der Bundeswehr

s.o. Mitgliederversammlung, Vorstand

KoopA („Mitgliederver-sammlung“,2 x jährlich)

Mitgliederversammlung, Vorstand, Verwaltungs-rat

Geschäftsführung der DE-CIX Ma-nagement GmbH

Fachlich AG-Management des IT-Amtes

Dienstleister BWI GmbH,

Geschäftsstelle (5 Per-sonen)

Management Gruppe (MG TESTA-D) ; Koo-pA-Arbeitsgruppe Stra-tegie; Ggf. weitere Koo-pA-Arbeitsgruppen

Geschäftsstelle (50 hauptamtliche Pers.) Ausschüsse für Tech-nologie, Betrieb, Recht + Sicherheit

Beirat (3 Mitglie-der beraten GmbH-GF)


Seite 129

Herkules BOS Digitalfunk ENX TESTA-D DFN DE-CIX Ebene

(PPP: GmbH) (AöR) (Französischer Ver-ein)

(keine Rechtsform) (e.V.) (e.V. + GmbH)

Operativ AG-Management des IT-Amtes

BWI Systeme und BWI Ser-vices

EADS (GU), Siemens (Systemtechnik)

5 zertifizierte Provider, Nutzer können aussu-chen

Koordinierungsstelle bei der HZD (TeKo, 2 Per-sonen)

Geschäftsstelle (50 hauptamtliche Pers.)

DE-CIX Mana-gement GmbH

Glasfaser: GASAG, KPN

Anschlüsse: ??

Provider

T-Systems

Routing: die Hochschu-len

Tabelle 6: Vergleich Organisationsebenen und Governance


Seite 130

LISTE DER ANLAGEN

Anlagennummer Name der Anlage

Anlage 1 Katalog der Standards und Optionen für Verwaltungsnetze


Seite 131

ABBILDUNGSVERZEICHNIS

Abbildung 1: Priorisierte Vorhaben des Aktionsplans Deutschland Online..........................9

Abbildung 2: DOI-Projektorganisation der aktuellen Projektphase ....................................15

Abbildung 3: Projektorganisation für die Arbeiten in der folgenden Projektphase .............16

Abbildung 4: Vorgehensweise in der aktuellen Projektphase ............................................19

Abbildung 5: Zusammenwirken der Ebenen der Governance-Struktur..............................52

Abbildung 6: Ebenen des DOI-Organisationsmodells........................................................53

Abbildung 7: DOI-Richtlinien und -Standards durch IT-Fachboards ..................................56

Abbildung 8: DOI-Kernaufgaben........................................................................................57

Abbildung 9: IT-Richtlinien-Management-Prozess.............................................................62

Abbildung 10: Schrittweise Etablierung der DOI-Organisation ..........................................66

Abbildung 11: Aufgaben des Vorhabens DOI in der Initialisierungsphase.........................67

Abbildung 12: Aufgaben der DOI-Vorläuferorganisation....................................................68

Abbildung 13: Aufgaben der DOI-Regelorganisation .........................................................69

Abbildung 14: Meilensteinplan für DOI...............................................................................70

Abbildung 15: Deutschland-Online Infrastruktur Ausbaustufe ...........................................74

Abbildung 16: NGN-Architektur Deutschland-Online Infrastruktur .....................................76

Abbildung 17: Migrationszenario TESTA-D-Teilnehmer ....................................................87

Abbildung 18: Migrationszenario IPv6inIPv4 Tunneling.....................................................88

Abbildung 19: Migrationszenario IPv4/v6 Dualstack ..........................................................90

Abbildung 20: Auswahlverfahren Rechtsgestaltungsformen/Rechtsformen ......................95

Abbildung 21: Roadmap zur Einführung und Evaluierung der DOI-Organisation ..............96

Abbildung 22: Kriteriengruppierung zur Auswahl der Rechtsgestaltungsform .................108

Abbildung 23: Topologie des DFN-Kernnetzes................................................................115


Seite 132

TABELLENVERZEICHNIS

Tabelle 1: Charakterisierung von Fachverfahren ...............................................................26

Tabelle 2: Schutzbedarfskategorien von Fachverfahren gemäß des Schutzbedarfes.......33

Tabelle 3: Ausgewählte DOI-Kernaufgaben.......................................................................58

Tabelle 4: Aufgaben der DOI-Organisation........................................................................60

Tabelle 5: Finanzierungsvariante für DOI ........................................................................112

Tabelle 6: Vergleich Organisationsebenen und Governance...........................................129


Seite 133

ABKÜRZUNGSVERZEICHNIS

Abkürzungen Begriffe

AAI Authentifizierungs- und Autorisierungs-Infrastruktur AG Aktiengesellschaft AK Arbeitskreis AKDB Anstalt für Kommunale Datenverarbeitung Bayern AöR Anstalt des öffentlichen Rechts ATM Asynchronous Transfer Mode BDBOS Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit

Sicherheitsaufgaben BGP Border Gateway Protokoll BHO Bundeshaushaltsordnung BKA Bundeskriminalamt BND Bundesnachrichtendienst BMAS Bundesministerium für Arbeit und Soziales BMF Bundesministerium der Finanzen BMI Bundesministerium des Innnern BMR Bundesmelderegister BMVBS Bundesministerium für Verkehr, Bau und Stadtentwicklung BMVg Bundesministerium für Verteidigung BMWi Bundesministerium für Wirtschaft und Technologie BSI Bundesamt für Sicherheit in der Informationstechnik BWI Bundeswehr Informatik CBM Component Business Model CdS Chef der Staatskanzlei CERT Computer Emergency Response Team CIRCA Communication and Information Resource Centre Administrator COBIT Control Objectives for Information and Related Technology CSC Computer Sciences Corporation DatML/RAW Data Markup Language - Raw Data DE-CIX Deutscher Commercial Internet Exchange DENIC Domain Verwaltungs- und Betriebsgesellschaft eingetragene Genossen-

schaft deNIS 2+ Deutsche Notfallvorsorge-Informationssystem DFN Deutsches Forschungsnetz DHCP Dynamic Host Configuration Protocol DNS Domain Name System DOI Deutschland-Online Infrastruktur DOL Deutschland-Online DoS Denial of Service


Seite 134


DSL Digital Subscriber Line DVDV Deutsches Verwaltungsdiensteverzeichnis DVN Deutsches Verwaltungsnetz DWDM Dense Wavelength Division Multiplexing EADS European Aeronautic Defence and Space Company eBeihilfe Elektronische Beihilfe eco e.V. Verein der deutschen Internetwirtschaft EDS Electronic Data Systems e.G. Eingetragene Genossenschaft e.V. Eingetragener Verein ENX European Network Exchange EU-DLR Europäische Dienstleistungsrichtlinie GasLINE Telekommunikationsnetzgesellschaft deutscher Gasversorgungsunter-

nehmen mbH & Co. KG GmbH Gesellschaft mit beschränkter Haftung HZD Hessische Zentrale für Datenverarbeitung IBM International Business Machines IMI Internal Market Information IMS IP Multimedia Subsystem IP Internet-Protokoll IPsec Internet Protocol Securtity IPv4 Internet-Protokoll Version 4 IPv6 Internet-Protokoll Version 6 ISACA Information Systems Audit and Control Association ISATAP Intra-Site Automatic Tunnel Access Protocol ISDN Integrated Services Digital Network ISPRAT Institut Interdisziplinäre Studien zu Politik, Recht, Administration und Technolo-

gie IT Informationstechnologie ITIL IT Infrastructure Library IVBB Informationsverbund Berlin-Bonn IVBV Informationsverbund der Bundesverwaltung KDÖR Körperschaft des öffentlichen Rechts KFZ Kraftfahrzeug KG Kriteriengruppe KHG Kriterienhauptgruppe KIVD Kommunikationsinfrastruktur für die Öffentliche Verwaltung Deutschland KoopA Kooperationsausschuss KoopA ADV Kooperationsausschuss Automatisierte Datenverarbeitung

Bund/Länder/Kommunaler Bereich KPN Niederländischer Netz-Provider


Seite 135


KVP Kontinuierlicher Verbesserungsprozess LAN Local Area Network LDCP Local Domain Connection Point MAC Adresse Media Access Control MPK Ministerpräsidentenkonferenz MG Managementgruppe MPLS Multi Protocol Label Switching NAT Network Address Translation NGN Next Generation Network NKK Netzkopplungsknoten NTP Network Time Protocol OSCI Online Services Computer Interface OSI Open System Interconnection PKI Public Key Infrastruktur POI Point of Interconnection PPP Public Private Partnership QoS Quality of Services SAP Systeme, Anwendungen, Programme SINA Sichere Inter-Netzwerk-Architektur SLA Service Level Agreement SOA Service Oriented Architecture SOAP Simple Object Access Protokoll SSC Shared Service Center SSL Secure Sockets Layer sTESTA Secure Trans-European Services for Telematics between Administrati-

ons (Sichere Transeuropäische Telematikdienste zwischen Verwaltun-gen)

TCP/IP Transmission Control Protocol/Internet Protocol TeKo TESTA Koordinierungsgruppe TESTA Trans-European Services for Telematics between Administrations

(Transeuropäische Telematikdienste zwischen Verwaltungen) TESTA-D Trans-European Services for Telematics between Administrations Deut-

schalnd (Transeuropäische Telematikdienste zwischen Verwaltungen Deutschland)

TFM Thüringer Finanzministerium

TK Telekommunikation TP Teilprojekt UfAB Unterlage für die Ausschreibung und Bewertung von IT-Leistungen

VEMAGS Verfahrensmanagement für Großraum- und Schwertransporte VITAKO Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister e.V. VoIP Voice over Internet Protokoll


Seite 136


VPN Virtual Private Network

VPS Virtual Private Server VS NfD Verschlusssache nur für den Dienstgebrauch VSA Verschlusssachenanweisung WAN Wide Area Network WLAN Wireless LAN xDSL x steht für spezifische Verfahren des DSL wie z. B ADSL (asymmetric

DSL) XML Extended Markup Language XÖV elektronischen Datenaustausch in der öffentlichen Verwaltung ZStV Zentrale Staatsanwaltschaftliche Verfahrensregister


Seite 137

GLOSSAR

Begriff Definition

AAI - Authentication and Authorization In-frastructure

Ein Service und ein Verfahren, die Angehörigen unterschiedlicher In-stitutionen Zugriff auf geschützte Informationsangebote ermöglichen, die verteilt auf unterschiedlichen Webservern liegen. Dabei wird ge-prüft, ob eine Person berechtigt ist, auf eine Ressource zuzugreifen.

Access-Bereich Zugangsbereich einer Behörde oder eines Netzes zu einer Infrastuk-tur/einem anderen Netz.

ATM - Asynchronous Transfer Mode

Eine verbindungsorientierte Technik zur Übertragung von Daten, Sprache und Bewegtbildern in gleich großen Zellen, wird im IVBB ein-gesetzt.

Authentifizierung Überprüfung, ob eine Meldung tatsächlich von derjenigen Person o-der Institution stammt, die sich als Absender ausgibt.

Authentisierung Die Vorlage eines Nachweises eines Kommunikationspartners, dass er tatsächlich derjenige ist, der er vorgibt zu sein.

Authentizität Die Eigenschaft, die gewährleistet, dass der Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein bzw. dass die vorlie-genden Informationen von der angegebenen Quelle erstellt wurde.

Backbone Ein Transitnetz, das mehrere Netze verbindet. Bandbreite Übertragungskapazität eines Netzes. BGP - Border Gate-way Protokoll

Ein Routing-Protokoll für die Wegefindung in IP-Netzwerken. Zwi-schen den Partnern (Peers) wird eine TCP-Verbindung aufgebaut.

Carrier Telekommunikationsunternehmen, die Datenleitungen auch verlegen.CERT - Computer Emergency Re-sponse Team

Organisationen, die sich mit Computersicherheit befassen, Warnun-gen vor Sicherheitslücken herausgeben und Lösungsansätze bieten. Aufgaben rund um die Computersicherheit in den Institutionen der Bundesrepublik Deutschland übernimmt seit dem 1. September 2001 das eigens hierfür gegründete CERT-Bund des Bundesamts für Si-cherheit in der Informationstechnik - BSI.

CobiT - Control Ob-jectives for Informa-tion and Related Technology

Das international anerkannte Framework zur IT-Governance, gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kon-trollziel übersetzt, eigentlich Steuerungsvorgaben).

Dark Fibre Netz Ein Lichtwellenleiter, der unbeschaltet verkauft oder vermietet wird. Data Center Rechenzentrum DatML/RAW - Data Markup Language - Raw Data

Ein XML-Dokumenttyp für die Lieferung statistischer Roh- und Meta-daten per Datei. Die Struktur ist auf größtmögliche Flexibilität ausge-legt und erlaubt die Lieferung von Daten mehrerer beliebiger Erhe-bungen für unterschiedliche Berichtszeiträume von verschiedenen Berichtspflichtigen in einem Dokument. DatML/RAW ist sowohl aus Absender- wie aus Empfängersicht mandantenfähig. Desweiteren un-


Seite 138

Begriff Definition

terstützt DatML/RAW eine Reihe von Zusatzfunktionen wie Testun-terstützung, Adreßänderung und Empfangsbestätigung.

DHCP - Dynamic Host Configuration Protocol

Verwendet zur zentralen Verwaltung und Verteilung von Netzwerk-Konfigurationen in IP-Netzwerken. Über DHCP-Server können jedem Endgerät im angeschlossenen Netz eine IP-Adresse und weitere zu-gehörige Parameter für einen bestimmten Zeitraum zugewiesen wer-den, was eine Verwaltung der Adressen und eventuelle Änderungen erleichtert.

Digitale Signatur Eine elektronische Signatur, die auf asymmetrischen Kryptoalgo-rithmen basiert. Eine digitale Signatur kann nur mit dem privaten Schlüssel erzeugt, aber durch jedermann unter Verwendung des öf-fentlichen Schlüssels geprüft werden.

DNS - Domain Name Services

Zentraler Namensdienst im Internet zur Auflösung von Hostnamen in IP-Adressen. Über den DNS erfolgt die Übersetzung der symboli-schen Namen eines Hosts im Internet in die weltweit eindeutige nu-merische IP-Adresse.

DNS Domain Domain des DNS Servers DoS - Denial of Ser-vice, DDoS Distrib-uted Denial of Ser-vice

Angriffe, mit dem Ziel, die Verfügbarkeit von Rechnern oder einzelne Funktionen dieses Rechners zu schädigen. Dabei wird in der Regel der Aspekt ausgenutzt, daß die Ressourcen (Speicher, Rechenzeit, etc.) auf einem Rechner nur in begrenztem Maße vorhanden sind. Die so genannten "Distributed Denial of Service" (DDoS )-Angriffe basieren auf einem ferngesteuerten, gleichzeitigen Angriff ausgehend von einer sehr großen Zahl von Rechnern auf einen Zielrechner.

DSL - Digital Subsc-riber Line

Ein Datenübertragungsverfahren, das einen breitbandigen Internet-anschluss über einen herkömmlichen Telefonanschluss erlaubt

Dual Stack Architek-tur

Konzept für die Anpassung von Computeranwendungen, die über TCP/IP-Netzwerke kommunizieren und 2 IP-Stacks haben (IPv4 und IPv6).

DVDV - Deutsches Verwaltungsdienste-verzeichnis

Deutsches Verwaltungsdiensteverzeichnis - eine fach- und ebenen-übergreifende Infrastrukturkomponente für das E-Government in Deutschland. Es werden jene technischen Verbindungsparameter von Online-Diensten der öffentlichen Verwaltung hinterlegt, die zu ih-rer Nutzung benötigt werden. Grundlage des DVDV ist ein Verzeich-nisdienst, in dem Behörden und andere Betreiber mit ihren Diensten aufgenommen werden können. Auskunftssuchende und Nutzer des DVDV sind Applikationen (Fachverfahren) und nicht natürliche Per-sonen.

Ethernet Verbreiteter Typ von Netzwerk (LAN), Alle vernetzten Rechner benut-zen dasselbe Kabel und benötigen, um Konflikte zu vermeiden, ein


Seite 139

Begriff Definition

Zugriffsverfahren. Rechner, die das TCP/IP-Protokoll zum Austausch von Daten verwenden, sind häufig über Ethernet an das INTERNET angeschlossen.

Firewall Ein Sicherheitsmechanismus, der Datenpakete auf Protokoll- oder In-haltsebene filtert und die Übertragung spezieller Anwendungen, Viren oder unerwünschter Inhalte zwischen zwei Netzwerken verhindert.

Frame Relay Eine effektive Datenübertragungstechnik für Datenströme, die eine konstante Bitrate haben wie zum Beispiel digitale Sprache. Für Da-tenübertragungen mit stark wechselndem Verkehrsprofil oder auch für Multimedia ist sie nicht besonders gut geeignet. Trotzdem wird sie wegen der geringen Kosten gerne für die Verbindung von LANs über Weitverkehrsstrecken verwendet. Die Fehlerrate ist dann aber in Lastsituationen deutlich spürbar.

Gateway Komponente zur Verbindung von Netzwerken. Hacking Hier: unerlaubt in fremde Computernetzwerke eindringen. Hosting Die Unterbringung von Projekten/Diensten/Hardware bei einem

Dienstleistungsanbieter, der diese umfassend nach den Wünschen des Kunden b+B13etreut.

Incident Management Der gesamte organisatorische und technische Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Störungen in IT-Bereichen sowie hierzu vorbereitende Maßnahmen und Prozesse.

Integrität Die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollstän-dig und unverändert sind.

Internet Weltweites Computer-Netzwerk, das sich mittlerweile zu einer univer-sellen, internationalen Plattform für Information und Kommunikation entwickelt hat.

Interoperabilität Die Eigenschaft von IT-Systemen und -Anwendungen, plattformüber-greifend miteinander zu kommunizieren.

Intranet Eigene, vom Internet abgekoppelte Netzwerke mit Internettechnolo-gien

IP - Internet Protocol Weltweiter etablierter Standard für die Vernetzung von Computern. Verwendet zur Adressierung (IP-Adressen) von Endgeräten und Kno-ten des Internets.

IP-Adresse Zur Adressierung von Rechnern, Netzen und Knoten in TCP/IP Net-zen (z. B.: Internet) werden IP-Adressen und Netzmasken verwendet. Eine IP-Adresse ist weltweit eindeutig und ermöglicht somit eine ein-deutige Zustellung der Datenpakete, die im Internet transportiert wer-den.

IPsec - Internet Pro-tocol Securtity

Ein Paket von Protokollen, die für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeitsaspekte innerhalb des VPN zu-


Seite 140

Begriff Definition

ständig sind.

IP-Telefonie Das Telefonieren über ein Computernetzwerk auf der Grundlage des Internetprotokolls

IPv4 Version 4 des Internet Protocol (IP), zz. noch Standard IPv6 Version 6 des Internet Protocol (IP), die z.B. wesentlich mehr Adres-

sen vergeben kann als IPv4. ISATAP - Intra-Site Automatic Tunnel Access Protocol

Ein Transitions-/Migrationsmechanismus, den man bei der Umstel-lung auf echten IPv6/IPv4-Dualstack-Betrieb einsetzen kann. Wird benutzt, um innerhalb einer Site einzelne IPv6-fähige isolierte Hosts durch das IPv4-Netz getunnelt an das IPv6-Netz anzuschließen. Vor-teil ist, dass man nach der einmaligen Installation eines Servers für den Tunnelaufbau nur die Clientseite, nicht aber die Serverseite kon-figurieren muss.

IT- Governance Das IT-Governance Institue (ITGI) beschreibt Governance wie folgt: „IT-Governance ist die Verantwortung von Führungskräften und Auf-sichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu bei-trägt, die Organisationsstrategie und -ziele zu erreichen und zu erwei-tern.“

IT-Grundschutz Eine Methodik zum Aufbau eines Sicherheitsmanagementsystems sowie zur Absicherung von IT-Verbünden über Standard-Sicherheitsmaßnahmen. Außerdem wird mit IT-Grundschutz der Zu-stand bezeichnet, in dem die vom BSI empfohlenen Standard-Sicherheitsmaßnahmen für IT-Systeme mit normalem Schutzbedarf umgesetzt sind.

ITIL - Information Technology Infra-struktur Library

Ein Regelwerk, das die für den Betrieb einer IT-Infrastruktur notwen-digen Prozesse beschreibt. Die Prozesse orientieren sich bei ITIL nicht an der Technik, sondern an den durch den IT-Betrieb erbrach-ten Services bzw. den Dienstleistungen.

IT-Sicherheit Der Zustand, in dem die Risiken, die beim Einsatz von Informations-technik aufgrund von Gefährdungen vorhanden sind, durch ange-messene Maßnahmen auf ein tragbares Maß beschränkt sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch an-gemessene Maßnahmen geschützt sind.

IVBB - Informations-verbund Berlin-Bonn:

In der Konzeption ein Corporate Network des Bundes, dessen Netz-basis sich auf die beiden Orte Berlin und Bonn sowie die Verbindung dieser beiden Orte erstreckt. Angeschlossen sind neben den Bun-desministerien und nachgeordneten Behörden auch das Bundes-kanzleramt, das Presse- und Informationsamt, der Bundespräsident, der Bundestag und der Bundesrat.


Seite 141

Begriff Definition

IVBV - Informations-verbund der Bundes-verwaltung

Weiterentwicklung des IVBB.

Jitter Schwankungen bei Paketankunftszeiten. Kryptografie Der Sammelbegriff für alle Verfahren, um Daten durch Verschlüsse-

lung zu schützen. Es gibt unterschiedliche Verschlüsselungsverfah-ren, die dem Schutz der Daten dienen. Grundsätzlich werden die Da-ten unter Verwendung vom Algorithmen verschlüsselt. Dabei werden die Daten z.B. vertauscht, ausgetauscht oder geändert.

LAN - Local Area Network

In der Regel ein kabelgebundenes Rechnernetz, dessen Ausdehnung sich auf eine Liegenschaft beschränkt.

Latenzzeit Verzögerungszeit, Zeitraum zwischen einer Aktion und dem Eintreten einer Reaktion. In Computernetzwerken die Zeitspanne, die ein Da-tenpaket vom Sender zum Empfänger benötigt.

Layer Schichten des OSI-Referenzmodells. LDCP - Local Domain Connection Point

Übergabepunkt von TESTA-D zum europäischen Testa-Netz.

Mac- Adresse - Media Access Control Adresse

Physikalische Adresse einer Netzwerkschnittstelle.

Monitoring Ein Sondertyp des Protokollierens - die unmittelbare systematische Erfassung, Beobachtung oder Überwachung eines Vorgangs oder Prozesses mittels technischer Hilfsmittel oder anderer Beobach-tungssysteme. Die Funktion des Monitorings besteht darin, bei einem beobachteten Ablauf bzw. Prozess steuernd einzugreifen, sofern die-ser nicht den gewünschten Verlauf nimmt bzw. bestimmte Schwell-werte unter- bzw. überschritten sind.

MPLS - Multi Protocol Label Switching

Netzwerktechnologie für große Netzwerke, die die Möglichkeit biete-tet, überlastete Routing-Systeme zu entlasten und somit die verfüg-baren Bandbreiten der Weitverkehrs-Übertragungsleitungen besser auszulasten. Datenpakete werden nicht mehr länger von einem Rou-ter zum nächsten Router (Hop-by-Hop) weitergeleitet und es wird nicht in jedem Router aufs Neue die Entscheidung für den günstigs-ten Weg getroffen. Die Datenpakete werden an einem Eingangspunkt (Ingress-Router) auf einem vorsignalisierten Datenpfad gesendet und erst am Ausgangspunkt (Egress-Router) wird wieder die herkömmli-che Hop-by-Hop-Weiterleitung von IP genutzt. Mit MPLS werden auf paketorientierten Netzwerken wie IP verbindungsorientierte Kommu-nikationsverbände aufgebaut, insbesondere zum Aufbau von VPN und zur Sicherung der Dienstgüten.


Seite 142

Begriff Definition

NAT – Network Address Translation

Eine Art „dynamische Adressierung“ (Umsetzung von IP-Adressen), bei der über eine einzige weltweit eindeutige IP Adresse u.U. Tau-sende von Rechnern eines „privaten“ LANs mit dem Internet verbun-den werden können. Dabei werden die Adressen eines privaten Net-zes öffentlich registrierten IP-Adressen zugeordnet. Durch diese Zuordnung sind diese Rechner in der Lage, eine Verbindung zu Zie-len im Internet aufzubauen.

NGN - Next Genera-tion Network

Ein paket-basiertes Netzwerk, welches in der Lage ist, Dienste wie zum Beispiel IP-Telefonie und Video Conferencing zur Verfügung zu stellen, wobei die Servicefunktionen (wie z.B. Quality of Service Me-chanismen) der verschiedene Breitbandtechnologien unabhängig von der darunter liegenden Transporttechnologie genutzt werden.

NTP - Network Time Protokoll

Protokoll zum Zeitabgleich über TCP/IP-Netzwerke.

offene Standard Standards, die für alle Marktteilnehmer besonders leicht zugänglich, weiterentwickelbar und einsetzbar sind. Aufgrund regulatorischer In-teressen werden oft besondere Offenheits-Anforderungen definiert, die ein förderungswürdiger Standard erfüllen soll, und dementspre-chend werden nur solche Standards als offen zu bezeichnen, die die-se Anforderungen erfüllen.

offshoring Verlagerung unternehmerischer Funktionen und Prozesse ins Aus-land.

OSCI - Online Servi-ces Computer Inter-face

Name eines Protokollstandards für die deutsche Kommunalwirtschaft. Steht für eine Sammlung von Protokollen, die inhaltlich für E-Government-Anwendungen geeignet sind. Über das Internet können so private und öffentliche Dienstleister mit ihren Kunden rechtlich an-erkannte, digital signierte und chiffrierte Dokumente sicher austau-schen. XML als Notation ist technisches Merkmal von OSCI. "OSCI-Transport" ist der Teil von OSCI, der die Querschnittsaufgaben im Si-cherheitsbereich löst.

OSI - Open System Interconnection

Ein offenes, standardisiertes Schichtenmodell. Mit Hilfe von OSI wird ein abstraktes Modell zur Datenübertragung zwischen Computersys-temen beschrieben. Es enthält sieben aufeinander aufbauende Abs-traktionsschichten mit jeweils definierten Aufgaben und Schnittstellen.

Overlay Netz Netzkonzept, das bereits vorhandenen Netzen überlagert ist. Paketverlust Tritt bei der paketbasierten Datenübertragung in Netzwerken auf. Es

gibt verschiedene Ursachen für Paketverlust: Fehler des Übertra-gungsmediums, Paketverlust bei der Verarbeitung/(Zwischen-)Speicherung der Pakete,Paketverlust aufgrund des Einhaltens von Regeln und Standards.

Peering Point Austauschknoten für Internet-Datenverkehr peer-to-peer Netzarchitektur, bei der jeder Rechner gleichberechtigt ist und alle


Seite 143

Begriff Definition

Aufgaben für das Netz übernehmen kann. Gegensatz zum client-server-Modell, bei dem jeder Rechner spezifische Aufgaben hat.

PKI Sicherheitsinfrastruktur, die es ermöglicht, in nicht gesicherten Net-zen (z. B. Internet) auf der Basis eines von einer vertrauenswürdigen Stelle ausgegebenen Schlüsselpaares ( Asymmetrische Verschlüsse-lung ) verschlüsselte Daten auszutauschen, Signaturen zu erzeugen und zu prüfen. Bildet auch die Basis für ID-Management.

POI - Point of Inter-connection

Point of Interconnection: Punkt der Zusammenschaltung mehrerer unabhängiger Netzwerke.

Port Anschluss, über den Daten und Steuerinformationen in ein Gerät bzw. hier Netz ein- und ausgegeben werden.

Protokoll Beschreibung/Spezifikation des Datenformats für die Kommunikation zwischen elektronischen Geräten.

Provider Anbieter von Internet-Dienstleistungen. QoS - Quality of Ser-vices

Alle Verfahren, die den Datenfluss in LANs und WANs so beeinflus-sen, dass der Dienst mit einer festgelegten Qualität beim Empfänger ankommt. Es handelt sich also um die Charakterisierung eines Diens-tes, der für den Nutzer unmittelbar »sichtbar« ist und dessen Qualität er messen kann.

Redundanz das mehrfache Vorhandensein funktions-, inhalts- oder wesensglei-cher Objekte

Router Verbindet zwei räumlich getrennte Netzwerke über eine Telekommu-nikations-Leitung miteinander.

Router colocation Angemieteter Raum oder Platz in einem Rechenzentrum, um dort ei-gene Komponenten unterzubringen und zu betreiben.

Routing Festlegen von Wegen für Nachrichtenströme durch ein Netzwerk. Schutzbedarf Beschreibung, welcher Schutz für die Geschäftsprozesse, die dabei

verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.

Service Provider Provider, der seinen Kunden den Internet-Zugang ermöglicht. Sicherheitsmaßnah-me

Alle Aktionen, die dazu dienen, Sicherheitsrisiken zu steuern und ent-gegenzuwirken. Dies schließt sowohl organisatorische, als auch per-sonelle, technische oder infrastrukturelle Sicherheitsmaßnahmen ein.

SINA - Sichere Inter-Netzwerk Architektur

Eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Firma Secunet entwickelte IT-Sicherheitsarchitektur. Durch die Kombination von Thin-Client/Server-Verarbeitung und Virtual Pri-vate Network (IPsec-VPN)-Technologie, sowie den weitgehenden Einsatz von Open-Source Software können mit SINA flexible und hochsichere Systemlösungen in Kommunikationsnetzen und Kom-munikationsanwendungen realisiert werden.


Seite 144

Begriff Definition

SLA - Service Level Agreement

Eine Vereinbarung zwischen Anbietern und Nutzern von EDV-Diensten (z. B. zwischen einer Behörde und einen EDV Dienstleister). Die Vereinbarung verpflichtet den Dienstleister zur Leistungserbrin-gung in einem festgelegten Umfang zu einer bestimmten Qualität (Service-Level) und den Nutzer zur Mitwirkung im definierten Umfang.

SOAP - Simple Ob-ject Access Protocol

Ein Protokoll zur Weiterleitung und Verteilung XML-codierter Daten über das Internet. Es kombiniert die Fähigkeiten von XML mit klassi-schen Internetprotokollen.

SPAM Unerwünschte, in der Regel auf elektronischem Wege übertragene Nachrichten, die dem Empfänger unverlangt zugestellt werden und massenhaft versandt wurden.

SSL - Secure Socket Layer

Ein Protokoll zur sicheren Datenübertragung im Internet.

Standards Vereinheitlichte, weithin anerkannte Art und Weise, etwas durchzu-führen, die sich gegenüber anderen durchgesetzt hat.

Support Unterstützung von Anwendern durch Händler und Hersteller, z.B. bei Problemen oder Neuerungen.

Switch Eine Netzwerkkomponente der 2. Schicht des OSI-Schichtenmodells (Verbindungsschicht). Jedem angeschlossenen Rechner steht bei der Paketübertragung über den Switch die volle Systembandbreite zur Verfügung. Ein Switch "lernt" die Ethernet-Adresse des an einem Port angeschlossenen Netzteilnehmers und leitet dorthin nur noch die an diesen Netzteilnehmer adressierten Datenpakete weiter.

TCP/IP - Transmission Control Protocol/Internet Protocol

Bezeichnet die Internetprotokoll-Familie, die aus dem TCP- und dem IP-Protokoll besteht. TCP ist dabei ein Protokoll der Transportschicht, das auf dem IP-Protokoll aufsetzt und eine verbindungsorientierte Da-tenübertragung ermöglicht. Bei einer verbindungsorientierten Über-tragung von Daten werden gesendete Datenpakete vom Empfänger bestätigt, sodass eventuell verlorene Pakete ersetzt werden können. TCP ist daher für die Übertragung sensibler Daten geeignet, bringt aber einen Geschwindigkeitsnachteil gegenüber einer verbindungslo-sen Datenübertragung.

TESTA - Trans-European Services for Telematics bet-ween Administrations (Transeuropäische Telematikdienste zwischen Verwaltun-gen)

Ein privates europäisches Computer-Netzwerk, das alle von den ein-zelnen nationalen Regierungsbehörden betriebenen Intranetze ver-knüpft. Technisch ist das Netz über den Zusammenschluss von Ga-teways realisiert, die über ein besonderes Protokoll kommunizieren. Jedes Bundesland verfügt über eine TESTA-Kopfstelle und ist mit drei weiteren Gateways direkt verbunden. Es handelt sich jeweils um Festverbindungen. Das Testa-Netz ist als geschlossene Teilnehmer-gruppe konzipiert.

Topologie Physikalischer Aufbau der Verbindungen (Netzwerkknoten) in einem Rechnernetz


Seite 145

Begriff Definition

Transaktion eine Folge von Informationsverarbeitungsschritten, die als Einheit be-trachtet werden.

Tunnel In der EDV eine Technik zum Verbinden zweier Netzwerke über ein drittes Netz, bei dem der Transitverkehr vom Datenverkehr des zwi-schengeschalteten Netzes isoliert wird. Die Endpunkte der zu verbin-denden Netze können z.B. ein Gateway oder ein Router, eine Fire-wall aber auch ein Arbeitsplatz-PC sein.

Verbindlichkeit Die Eigenschaft einer Information, wenn ihr Wahrheitsgehalt so hoch ist, dass hierauf weit reichende Entscheidungen fußen können.

Verfügbarkeit Gütemaß für die Betriebszuverlässigkeit eines Netzes. Vertraulichkeit Der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche

Daten und Informationen dürfen ausschließlich Befugten in der zuläs-sigen Weise zugänglich sein.

Verzeichnisdienst Zentrale Instanz in einem Netzwerk oder Rechnersystem, das Infor-mationen verwaltet und publiziert.

Video Conferencing Audiovisuelles Telekommunikationsverfahren, das (bewegte) Bilder und Ton und optional Anwenderdaten zwischen zwei oder mehr Standorten überträgt.

VoIP - Voices over Internet Protokoll

siehe IP-Telefonie.

VPN - Virtual private network

Overlay-Netz auf öffentlichen Netzen, das die Eigenschaften von pri-vaten Netzen aufweist.

WAN - Wide Area Network

Weitverkehrsnetz - ein privates oder öffentliches Netz mit einer Aus-dehnung von mehr als 10 km.

WLAN - Wireless Lo-cal Area Network

Drahtloses lokales Netzwerk. Die Nutzer können mit einer entspre-chenden Netzwerkkarte ohne eine Kabelverbindung auf das Internet zugreifen.

XML - eXtensible Markup Language

Standard zur Erstellung strukturierter, maschinen- und menschenles-barer Dateien. XML gibt eine Grammatik, aber keine Semantik und auch kein Layout vor.

Zertifikat Elektronische Bescheinigung, dass der öffentliche Schlüssel eines asymmetrischen Verschlüsselungsverfahrens zu der vorgeblichen Person oder Institution gehört (Signaturprüfschlüssel).

Zuverlässigkeit Der Umfang, in dem von einem System erwartet werden kann, dass es die beabsichtigte Funktion mit der erforderlichen Genauigkeit aus-führt. Sie umfasst Korrektheit, Robustheit und Ausfallsicherheit.

DEUTSCHLAND-ONLINE INFRASTRUKTUR Gesamtdokumentation …€¦ · 13.02.08 1.5 Änderungswünsche...

Documents

Transcript of DEUTSCHLAND-ONLINE INFRASTRUKTUR Gesamtdokumentation …€¦ · 13.02.08 1.5 Änderungswünsche...