Online Services Computer Interface
Online Services Computer Interface (OSCI) ist eine Sammlung von Netzwerkprotokollen für die deutsche öffentliche Verwaltung, deren gemeinsames Merkmal die besondere Eignung für das E-Government ist:
- OSCI-Transport für die sichere, vertrauliche und rechtsverbindliche Übertragung digitaler Daten über das Internet sowie
- eine Reihe verschiedener Protokolle (OSCI-XÖV-Standards) für den Austausch fachlicher Inhaltsdaten auf XML-Basis zwischen Kunden und Behörden bzw. Behörden untereinander.
OSCI-Transportprotokoll
OSCI-Transport ist ein Protokollstandard zur vertraulichen und sicheren Übermittlung von Nachrichten in einer auf das deutsche Signaturgesetz abgestimmten Sicherheitsumgebung. Die Entwicklung begann im Rahmen des Media@Komm-Städtewettbewerbs. OSCI ist vor allem auf Kommunikationsanforderungen im E-Government zugeschnitten.
OSCI-Transport-Nachrichten haben einen zweistufigen „Sicherheitscontainer“. Dadurch ist es möglich, Inhalts- und Nutzungsdaten streng voneinander zu trennen und kryptografisch unterschiedlich zu behandeln. Die Inhaltsdaten werden vom Autor einer OSCI-Transport-Nachricht so verschlüsselt, dass nur der berechtigte Leser sie dechiffrieren kann. Die Nutzungsdaten werden vom Intermediär für die Zwecke der Nachrichtenvermittlung und die Erbringung der Mehrwertdienste benötigt, sie werden deshalb für den Intermediär verschlüsselt. Der Intermediär kann aber nicht auf die Inhaltsdaten zugreifen. Oft wird hier vom „Prinzip des Doppelten Umschlages“ gesprochen: Die verschlüsselten Inhaltsdaten sind wiederum in einen verschlüsselten Container eingebettet. Ein man-in-the-middle kann wegen dieser Verschlüsselungen weder die Nutzungs- noch die Inhaltsdaten abhören.
Jeder Sicherheitscontainer (für Nutzdaten und Inhaltsdaten) erlaubt die digitale Signatur und die Verschlüsselung des jeweiligen Inhalts. Dadurch sind Vertraulichkeit, Integrität und Authentizität der Nachrichten gewährleistet.
Die Public-Key-Infrastruktur (PKI) innerhalb der OSCI-Kommunikationspartner ist – zumindest für natürliche Personen – in der Regel durch das deutsche Signaturgesetz definiert. Es gibt somit keine geschlossene Anwendergruppe. Der Besitz einer Signaturkarte mit einem qualifizierten Signaturzertifikat nach dem Signaturgesetz und einem Verschlüsselungszertifikat sind für die OSCI-Kommunikation ausreichend. Je nach Sicherheitsanforderung kann auch der Einsatz fortgeschrittener elektronischer Signaturen (ohne Chipkarte) sinnvoll sein, auch dies wird durch OSCI-Transport unterstützt.
Sicherheitsexperten fanden 2017 mehrere schwerwiegende Sicherheitslücken in der OSCI 1.2-Transportbibliothek (CVE-2017-10668, CVE-2017-10669, CVE-2017-10670).[1] Diese wurden beim BSI als Warnmeldung CB-K17/1100 aufgenommen.[2] Derzeit gibt es allerdings kein ausnutzbares Bedrohungsszenario für OSCI[3].
OSCI-XÖV-Standards
Historisch wurden Transportprotokolle und Datenformate von der sogenannten OSCI-Leitstelle entwickelt, die sich seit 2011 Koordinierungsstelle für IT-Standards (KoSIT) nennt. Die OSCI-Leitstelle übernahm auch operativ das Projekt „XML in der öffentlichen Verwaltung“, aus dem das heutige XÖV-Rahmenwerk entstanden ist. Vor der Umbenennung der OSCI-Leitstelle in KoSIT lief das Datenformat XÖV auch unter dem Label „OSCI-XÖV-Standards“.
Literatur
- Christian Welzel: Modellgetriebene Softwareentwicklung im E-Government. 1. Auflage. Vdm Verlag Dr. Müller, 2008, ISBN 978-3-639-01026-8.
Einzelnachweise
- Pierluigi Paganini: Severe flaws found in German e-Government OSCI 1.2 Communication Library. In: Security Affairs. 3. Juli 2017 (Quelle).
- BSI – CERT Bund – Meldungen – CB-K17/1100. Abgerufen am 4. Juli 2017.
- Governikus KG: Kein ausnutzbares Bedrohungsszenario für OSCI. Abgerufen am 4. Juli 2017.